信息安全管理體系審核員真題

ISMS202209/11一、簡(jiǎn)答1、內(nèi)審不符合項(xiàng)完成了30/35，審核員給開(kāi)了不符合，是否正確？你怎么審核？[參考]不正確。應(yīng)作如下〔不符合項(xiàng)整改打算或驗(yàn)證記錄審不符合項(xiàng)的訂正措施實(shí)施狀況，分析對(duì)不符合的緣由確定是否充分，所實(shí)施的訂正措施是否有效；所實(shí)行的訂正措施是否與相關(guān)影響相適宜，如對(duì)業(yè)務(wù)的風(fēng)險(xiǎn)影響，風(fēng)險(xiǎn)掌握策略和時(shí)間點(diǎn)目標(biāo)要求，與組織的資源力量相適應(yīng)。評(píng)估所實(shí)行的訂正措施帶來(lái)的風(fēng)險(xiǎn)，假設(shè)該風(fēng)險(xiǎn)可承受，則實(shí)行訂正措施，反之可實(shí)行適當(dāng)?shù)恼莆沾胧┘纯?。綜上，假設(shè)全部訂正措施符合風(fēng)險(xiǎn)要求，與相關(guān)影響相適宜，則訂正措施適宜。2、在人力資源部查看網(wǎng)管培訓(xùn)記錄，負(fù)責(zé)人說(shuō)證書(shū)在本人手里，培訓(xùn)是外包的，成績(jī)從那里要，要來(lái)后一看都合格，就完畢了審核，對(duì)嗎？[參考]不對(duì)。應(yīng)依據(jù)標(biāo)準(zhǔn)GB/T22080-2022條款5.2.2培訓(xùn)、意識(shí)和力量的要求進(jìn)展如下詢問(wèn)相關(guān)人員，了解是否有網(wǎng)管崗位說(shuō)明書(shū)或相關(guān)職責(zé)、角色的文件？查閱網(wǎng)管職責(zé)相關(guān)文件，文件中如何規(guī)定網(wǎng)管的崗位要求，這些要求基于教育、培訓(xùn)、閱歷、技術(shù)和應(yīng)用力量方面的評(píng)價(jià)要求，以及相關(guān)的培訓(xùn)規(guī)程及評(píng)價(jià)方法；查閱網(wǎng)管培訓(xùn)記錄，是否符合崗位力量要求和培訓(xùn)規(guī)程的規(guī)定要求？了解相關(guān)部門和人員對(duì)網(wǎng)管培訓(xùn)后的工作力量確認(rèn)和培訓(xùn)效果的評(píng)價(jià)，是否保持記錄？假設(shè)崗位力量經(jīng)評(píng)價(jià)不能滿足要求時(shí)，組織是否按規(guī)定要求實(shí)行適當(dāng)?shù)拇胧?，以保證崗位人員的力量要求。二、案例分析1、查某公司設(shè)備資產(chǎn)，負(fù)責(zé)人說(shuō)臺(tái)式機(jī)放在辦公室，辦公室做了來(lái)自環(huán)境的威逼的預(yù)防；筆記本常常帶入帶出，有時(shí)在家工作，領(lǐng)導(dǎo)同意了，在家也沒(méi)什么擔(dān)憂全的。A9.2.5 組織場(chǎng)所外的設(shè)備安全 應(yīng)對(duì)組織場(chǎng)所的設(shè)備實(shí)行安全措施要考慮工作在組織場(chǎng)所以外的不同風(fēng)險(xiǎn)2是正版。A12.5.2操作系統(tǒng)變更后應(yīng)用的技術(shù)評(píng)審 當(dāng)操作系統(tǒng)發(fā)生變更時(shí)應(yīng)對(duì)業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)展評(píng)審和測(cè)試，以確保對(duì)組織的運(yùn)行和安全沒(méi)有負(fù)面影響。3、創(chuàng)公司托付專業(yè)互聯(lián)網(wǎng)運(yùn)營(yíng)商供給網(wǎng)絡(luò)運(yùn)營(yíng)，供給商為了提升效勞級(jí)別，采用了技術(shù)，也通知了創(chuàng)公司，但創(chuàng)認(rèn)為技術(shù)確定更好，就沒(méi)實(shí)行任何措施，后來(lái)由于軟件不兼容造成斷網(wǎng)了。A10.2.3第三方效勞的變更治理應(yīng)治理效勞供給的變更，包括保持和改進(jìn)現(xiàn)有的信息安全策略、規(guī)程和掌握措施，并考慮到業(yè)務(wù)系統(tǒng)和涉及過(guò)程的關(guān)鍵程度及風(fēng)險(xiǎn)的評(píng)估。4、查某公司信息安全大事處理時(shí)，有好幾份處理報(bào)告的緣由都是感染計(jì)算機(jī)病毒，負(fù)責(zé)人說(shuō)我們嚴(yán)格的殺毒軟件下載應(yīng)用規(guī)程，不知道為什么沒(méi)有效，估量其它方法更沒(méi)用了。訂正措施5、查看web近總死機(jī)，都聯(lián)系不上供給商負(fù)責(zé)人了。A10.2.1安全掌握措施、效勞定義和交付水準(zhǔn)。單項(xiàng)選擇糾錯(cuò)〔選擇一個(gè)最正確可行的答案〕1便于探測(cè)未經(jīng)授權(quán)的信息處理活動(dòng)的發(fā)生2確保計(jì)算機(jī)連接和信息流不違反業(yè)務(wù)應(yīng)用的訪問(wèn)掌握策略3、針對(duì)信息系統(tǒng)的軟件包，應(yīng)盡量勸阻對(duì)軟件包實(shí)施變更，以躲避變更的風(fēng)險(xiǎn)4、國(guó)家信息安全等級(jí)保護(hù)實(shí)行：自主定級(jí)、自主保護(hù)的原則。5、對(duì)于用戶訪問(wèn)信息系統(tǒng)使用的口令，假設(shè)使用生物識(shí)別技術(shù)，可替代口令6到的時(shí)間點(diǎn)要求。7、關(guān)于IT系統(tǒng)審核，以下說(shuō)法正確的選項(xiàng)是：組織經(jīng)評(píng)估認(rèn)為IT系統(tǒng)審計(jì)風(fēng)險(xiǎn)不行承受時(shí)，可以刪減。A.15.38、依據(jù)GB/T22080，組織與員工的保密性協(xié)議的內(nèi)容應(yīng)：反映組織信息保護(hù)需要的保密性或不泄露協(xié)議要求9、為了防止對(duì)應(yīng)用系統(tǒng)中信息的未授權(quán)訪問(wèn)，正確的做法是：依據(jù)訪問(wèn)掌握策略限制用戶訪問(wèn)應(yīng)用系統(tǒng)功能和隔離敏感系統(tǒng)10、 對(duì)于全部擬定的訂正和預(yù)防措施，在實(shí)施前應(yīng)先通過(guò)〔風(fēng)險(xiǎn)分析〕過(guò)程進(jìn)展評(píng)審。11、12、13、14、

WEB〔保證注冊(cè)帳戶的時(shí)效性。ISMS〔符合性。國(guó)家對(duì)于經(jīng)營(yíng)性互聯(lián)網(wǎng)信息效勞實(shí)施：許可制度。針對(duì)獲證組織擴(kuò)大范圍的審核，以下說(shuō)法正確的選項(xiàng)是：一種特別審核，可以和監(jiān)視審核一起進(jìn)展。15、 信息安全治理體系初次認(rèn)證審核時(shí)，第一階段審核應(yīng)：對(duì)受審核方信息安全治理體系文件進(jìn)展審核和符合性評(píng)價(jià)。16、 文件在信息安全治理體系中是一個(gè)必需的要素，文件有助于：確?？勺匪菪?。17、 對(duì)一段時(shí)間內(nèi)發(fā)生的信息安全大事類型、頻次、處理本錢的統(tǒng)計(jì)分析屬于大事治理。18、19、

哪一種安全技術(shù)是鑒別用戶身份的最好方法：生物測(cè)量技術(shù)。最正確的供給本地效勞器上的處理工資數(shù)據(jù)的訪問(wèn)掌握是：使用軟件來(lái)約束授權(quán)用戶的訪問(wèn)。20、 當(dāng)打算對(duì)組織的遠(yuǎn)程辦公系統(tǒng)進(jìn)展加密時(shí)應(yīng)當(dāng)首先答復(fù)下面哪一個(gè)問(wèn)題：系統(tǒng)和數(shù)據(jù)具有什么樣的敏感程度。簡(jiǎn)述題1、 審核員在某公司審核時(shí)，覺(jué)察該公司從保安公司聘用的保安的門卡可通行公司全部的門禁。公司主管信息安全的負(fù)責(zé)人解釋說(shuō)，因保安負(fù)責(zé)公司的物理區(qū)域安全，他們夜里以及節(jié)假日要值班和巡查全部區(qū)域，所以只能給保安全權(quán)限門卡。審核員對(duì)此解釋表示認(rèn)同。假設(shè)你是審核員，你將如何做？答：是否有形成文件的訪問(wèn)掌握策略，并且包含針對(duì)公司每一局部物理區(qū)域的訪問(wèn)掌握策略的內(nèi)容？訪問(wèn)掌握策略是否基于業(yè)務(wù)和訪問(wèn)的安全要素進(jìn)展過(guò)評(píng)審？核實(shí)保安角色是否在訪問(wèn)掌握策略中有明確規(guī)定？核實(shí)訪問(wèn)掌握策略的制定是否與各物理區(qū)域風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果全都？核實(shí)發(fā)生過(guò)的信息安全大事，是否與物理區(qū)域非授權(quán)進(jìn)入有關(guān)？核實(shí)如何對(duì)保安進(jìn)展背景調(diào)查，是否明確了其安全角色和職責(zé)？〔1〕詢問(wèn)相關(guān)責(zé)任人，查閱文件3-5份，了解如何規(guī)定對(duì)信息安全大事進(jìn)行總結(jié)的機(jī)制？該機(jī)制中是否明確定義了信息安全大事的類型？該機(jī)制是否規(guī)定了量化和監(jiān)視信息安全大事類型、數(shù)量和代價(jià)的方法和要求，并包括成功的和未遂大事？查閱監(jiān)視或記錄3-15條，查閱總結(jié)報(bào)告文件3-5份，了解是否針對(duì)信息安全大事進(jìn)展測(cè)量，是否就類型、數(shù)量和代價(jià)進(jìn)展了量化的總結(jié)，并包括成功的和未遂大事。查閱文件和記錄以及訪問(wèn)相關(guān)責(zé)任人，核實(shí)依據(jù)監(jiān)視和量化總結(jié)的結(jié)果實(shí)行后續(xù)措施有效防止同類大事的再發(fā)生。案例分析題1、不符合標(biāo)準(zhǔn)GB/T2“”的要求。不符合事實(shí)：某知名網(wǎng)站總部陳設(shè)室中5臺(tái)演示用的電腦可以連接外網(wǎng)和內(nèi)網(wǎng)。2、不符合標(biāo)準(zhǔn)GB/T22080-2022條款A(yù)9.1.2物理入口掌握“安全區(qū)域應(yīng)由適合不符合事實(shí)：現(xiàn)場(chǎng)覺(jué)察未經(jīng)授權(quán)的人員張X進(jìn)出機(jī)器和網(wǎng)絡(luò)操作機(jī)房，卻沒(méi)〔GX28〕規(guī)定除授權(quán)工作人員可憑磁卡進(jìn)出外，其余人員進(jìn)出均須辦理準(zhǔn)入和登記手續(xù)。3、不符合標(biāo)準(zhǔn)GB/T22080-2022條款4.2.1d)識(shí)別風(fēng)險(xiǎn)“3〕識(shí)別可能被威逼利用不符合事實(shí)：現(xiàn)場(chǎng)治理人員認(rèn)為下載的軟件都是從知名網(wǎng)站上下載的，不會(huì)有問(wèn)題。4、不符合標(biāo)準(zhǔn)GB/T22080-2022條款8.2訂正措施“組織應(yīng)實(shí)行措施，以消退與ISMS不符合事實(shí)：XX銀行在2022年一季度發(fā)生了10起網(wǎng)銀客戶資金損失事故，4-57起類似事故。5、“用戶和支持人員對(duì)信息和應(yīng)用系統(tǒng)功能的訪問(wèn)應(yīng)依照已確定的訪問(wèn)掌握策略加以限制”的要求。不符合事實(shí)：開(kāi)發(fā)人員可以修改測(cè)試問(wèn)題記錄。6、不符合標(biāo)準(zhǔn)GB/T22080-2022條款“與信息處理設(shè)施有關(guān)的信息和資產(chǎn)可