信息安全管理體系專職認證人員考試試卷

1、姓名：分數(shù)：一、填空題（每題4分，共計40分）1、 采用信息安全管理體系是組織的一項 性決策。2、 信息安全管理體系通過應(yīng)用風(fēng)險管理過程來保持信息的、和，以充分管理風(fēng)險并給予相關(guān)方信心。3、 信息安全在、時就要考慮信息安全。4、組織聲稱符合信息安全管理體系標(biāo)準(zhǔn)時，對于第4章到第10章的要求 刪減。5、信息安全管理體系初次審核的第一階段現(xiàn)場審核不宜少于個審核人日。6、當(dāng)客戶由于信息安全的原因在申請評審階段不能提供給認證機構(gòu)足夠的信息時，認證機構(gòu)應(yīng)通過 審核在客戶的現(xiàn)場補充對上述信息的確認，并完成申請評審任務(wù)。這種情況下，認證機構(gòu)應(yīng) 第一階段現(xiàn)場審核時間。7、認證機構(gòu)應(yīng)確?？蛻舴瞎ば挪柯?lián)協(xié)201

2、0394號文的要求，以及有關(guān)主管部門/監(jiān)管部門對信息 安全管理體系認證的管理要求（如工信部2011年第21號公告工業(yè)和信息化 部加強政府部門信息技術(shù)外包服務(wù)安全管理等）。8、如果認證機構(gòu)因為未獲得客戶的允許或無法滿足適用的要求而不能接觸相關(guān)信息資產(chǎn)，那么認證機構(gòu)應(yīng)對審核和認證所受到的影響進行評估并采取相應(yīng) 的措施（例如 等）。9、審核組成員不宜在審核過程中以任何方式記錄受審核客戶 的。審核組在離開受審核客戶前，宜請受審核客戶 檢查和確認審核組攜帶的文件、資料和設(shè)備中未夾帶受審核客戶的任何保密 或敏感信息。10、為了確保能夠?qū)嵤┯行У膶徍瞬⒋_保可靠和可比較的結(jié)果，對表B.1中審核 時間的減少，不

3、應(yīng)超過。二、簡答題（每題10分，共計60分）1、實施申請評審以確定所需的審核組能力、選擇審核組成員并確定審核時間的 人員需要具備哪些知識？4、參與ISMS審核的審核員，應(yīng)具有哪些業(yè)務(wù)管理實踐的知識?5、簡述信息安全管理體系審核員的評價準(zhǔn)則姓名：分數(shù)：一、填空題（每題4分，共計40分）1、采用信息安全管理體系是組織的一項戰(zhàn)略性決策。2、信息安全管理體系通過應(yīng)用風(fēng)險管理過程來保持信息的保密性、完整性和可 用性，以充分管理風(fēng)險并給予相關(guān)方信心。3、信息安全在設(shè)計過程、信息系統(tǒng)、控制措施時就要考慮信息安全。4、組織聲稱符合信息安全管理體系標(biāo)準(zhǔn)時，對于第4章到第10章的要求不能刪減。5、信息安全管理體系

4、初次審核的第一階段現(xiàn)場審核不宜少于1個審核人日。6、當(dāng)客戶由于信息安全的原因在申請評審階段不能提供給認證機構(gòu)足夠的信息 時，認證機構(gòu)應(yīng)通過第一階段審核在客戶的現(xiàn)場補充對上述信息的確認，并 完成申請評審任務(wù)。這種情況下，認證機構(gòu)應(yīng)增加第一階段現(xiàn)場審核時間。7、認證機構(gòu)應(yīng)確?？蛻舴瞎ば挪柯?lián)協(xié)2010394號文關(guān)于加強信息安全管理體系認證安全管理的通知的要求，以及有關(guān)主管部門/監(jiān)管部門對信息安 全管理體系認證的管理要求（如工信部2011年第21號公告工業(yè)和信息化部 加強政府部門信息技術(shù)外包服務(wù)安全管理等）。8、如果認證機構(gòu)因為未獲得客戶的允許或無法滿足適用的要求而不能接觸相關(guān) 信息資產(chǎn)，那么認證機

5、構(gòu)應(yīng)對審核和認證所受到的影響進行評估并采取相應(yīng) 的措施（例如終止審核、縮小審核和認證的范圍等）。9、審核組成員不宜在審核過程中以任何方式記錄受審核客戶的保密或敏感信息。審核組在離開受審核客戶前，宜請受審核客戶檢查和確認審核組攜帶的文件、 資料和設(shè)備中未夾帶受審核客戶的任何保密或敏感信息。10、為了確保能夠?qū)嵤┯行У膶徍瞬⒋_?？煽亢涂杀容^的結(jié)果，對表B.1中審核 時間的減少，不應(yīng)超過30%。二、簡答題（每題10分）1、實施申請評審以確定所需的審核組能力、選擇審核組成員并確定審核時間的 人員需要具備哪些知識？認證過程中所用的相關(guān)ISMS標(biāo)準(zhǔn)和其他規(guī)范性文件。與客戶業(yè)務(wù)領(lǐng)域相關(guān)的通用術(shù)語、過程、技術(shù)

6、和風(fēng)險。客戶的產(chǎn)品、過程、組織類型、規(guī)模、治理、結(jié)構(gòu)、職能和關(guān)系，包括外包 的職能。2、合同評審信息安全管理體系認證申請的主要內(nèi)容有哪些？a）識別申請組織的行業(yè)類別和與之相應(yīng)的信息安全管理的特性和服務(wù)要求；b）掌握國家對相應(yīng)行業(yè)的信息安全管理體系認證的管理要求；c）申請組織及其管理體系的信息充分，可以進行審核；d）認證要求已有明確說明并形成文件，且已提供給申請組織；e）解決了認證機構(gòu)與申請組織之間任何已知的理解差異；f）認證機構(gòu)有能力并能夠?qū)嵤┱J證活動；g）考慮了申請的認證范圍、申請組織的運作場所、完成審核需要的時間和任何其他影響認證活動的因素；h）保持了決定實施審核的理由的記錄。3、申請信息

7、安全管理體系申請者應(yīng)提交哪些材料？a）認證申請書b）法人資格證明（工商營業(yè)執(zhí)照、事業(yè)單位法人證書或社會團體法人登記證書）；c）取得相關(guān)法規(guī)規(guī)定的行政許可文件（適用時）；d）從事的業(yè)務(wù)活動符合中華人民共和國相關(guān)法律、法規(guī)、信息安全標(biāo)準(zhǔn)和有關(guān)規(guī)范的要求；e）對信息安全管理體系認證范圍涉及的業(yè)務(wù)活動的描述；f）體系覆蓋的人員數(shù)量。g）信息收集表，至少包含組織的資源管理、組織的過程管理、組織的風(fēng)險管理。h）已按認證依據(jù)和相關(guān)要求建立和實施了文件化的信息安全管理體系；i）體系有效運行3個月以上，并且已完成內(nèi)部審核和管理評審。4、參與ISMS審核的審核員，應(yīng)具有哪些業(yè)務(wù)管理實踐的知識？a）行業(yè)的信息安全最

8、佳實踐和信息安全規(guī)程；b）信息安全的策略和業(yè)務(wù)要求；c）通用業(yè)務(wù)管理的概念、實踐，以及方針、目標(biāo)和結(jié)果之間的關(guān)系；d）管理過程和相關(guān)的術(shù)語。注:這些過程也包括人力資源管理、內(nèi)部溝通、外部溝通和其他的相關(guān)支持過程。5、簡述信息安全管理體系審核員的評價準(zhǔn)則a）具備等同于大學(xué)教育水平的專業(yè)教育或培訓(xùn)；b）在信息技術(shù)方面具備至少4年的全職實際工作經(jīng)歷，其中至少2年的工作經(jīng) 歷來自與信息安全有關(guān)的職責(zé)或職能；c）成功地完成至少5天的培訓(xùn)，培訓(xùn)范圍包括ISMS審核和審核管理；d）在被賦予審核員責(zé)任之前，已獲得整個信息安全評估過程的經(jīng)驗。宜通過參 與最少4次、總天數(shù)至少20天（其中最多5天可來自于監(jiān)督審核）的ISMS認證 審核（包括再認證審核和監(jiān)督審核）來獲得這種經(jīng)驗。參與審核時，應(yīng)包括評審 文件與風(fēng)險評估，評估實施情況和報告審核情況；e）具備相關(guān)的且合乎時宜的經(jīng)驗；f）通過持續(xù)的專業(yè)發(fā)