信息安全管理体系审核员真题.docx

《信息安全管理体系审核员真题.docx》由会员分享，可在线阅读，更多相关《信息安全管理体系审核员真题.docx（7页珍藏版）》请在金锄头文库上搜索。

1、ISMS 202209/11一、简答1、内审不符合项完成了 30/35，审核员给开了不符合，是否正确？你怎么审核？参考不正确。应作如下 （1） 询问相关人员或查阅相关资料不符合项整改打算或验证记录，了解内 审不符合项的订正措施实施状况，分析对不符合的缘由确定是否充分， 所实施的订正措施是否有效；（2） 所实行的订正措施是否与相关影响相适宜，如对业务的风险影响，风险 掌握策略和时间点目标要求，与组织的资源力量相适应。（3） 评估所实行的订正措施带来的风险，假设该风险可承受，则实行订正措 施，反之可实行适当的掌握措施即可。综上，假设全部订正措施符合风险要求，与相关影响相适宜，则订正措 施适宜。2、

2、在人力资源部查看网管培训记录，负责人说证书在本人手里，培训是外包的， 成绩从那里要，要来后一看都合格，就完毕了审核，对吗？参考不对。应依据标准 GB/T 22080-2022 条款 5.2.2 培训、意识和力量的要求进展如下 （1） 询问相关人员，了解是否有网管岗位说明书或相关职责、角色的文件？（2） 查阅网管职责相关文件，文件中如何规定网管的岗位要求，这些要求基 于教育、培训、阅历、技术和应用力量方面的评价要求，以及相关的培 训规程及评价方法；（3） 查阅网管培训记录，是否符合岗位力量要求和培训规程的规定要求？（4） 了解相关部门和人员对网管培训后的工作力量确认和培训效果的评价， 是否保持记

3、录？（5） 假设岗位力量经评价不能满足要求时，组织是否按规定要求实行适当的 措施，以保证岗位人员的力量要求。二、案例分析1、查某公司设备资产，负责人说台式机放在办公室，办公室做了来自环境的威逼 的预防；笔记本常常带入带出，有时在家工作，领导同意了，在家也没什么担忧全的。A 9.2.5组织场所外的设备安全应对组织场所的设备实行安全措施，要考虑工作在组织场所以外的不同风险2、某公司操作系统升级都直接设置为系统自动升级，没出过什么事，由于买的都 是正版。A 12.5.2 操作系统变更后应用的技术评审当操作系统发生变更时，应对业务的关键应用进展评审和测试，以确保对组织的运行和安全没有负面影响。3、创公

4、司托付专业互联网运营商供给网络运营，供给商为了提升效劳级别，采 用了技术，也通知了创公司，但创认为技术确定更好，就没实行任何措施，后来由于软件不兼容造成断网了。A 10.2.3 第三方效劳的变更治理 应治理效劳供给的变更，包括保持和改进现有的信息安全策略、规程和掌握措施，并考虑到业务系统和涉及过程的关键程度及风 险的评估。4、查某公司信息安全大事处理时，有好几份处理报告的缘由都是感染计算机病毒，负责人说我们严格的杀毒软件下载应用规程，不知道为什么没有效，估量其 它方法更没用了。8.2 订正措施5、查看 web 效劳器日志觉察，最近几次常常重启，负责人说刚买来还好用，最近总死机，都联系不上供给商

5、负责人了。A 10.2.1 应确保第三方实施、运行和保持包含在第三方效劳交付效劳交付协议中的安全掌握措施、效劳定义和交付水准。单项选择纠错选择一个最正确可行的答案1、一个组织或安全域内全部信息处理设施与已设准确时钟源同步是为了：便于探 测未经授权的信息处理活动的发生2、网络路由掌握应遵从：确保计算机连接和信息流不违反业务应用的访问掌握策 略3、针对信息系统的软件包，应尽量劝阻对软件包实施变更，以躲避变更的风险4、国家信息安全等级保护实行：自主定级、自主保护的原则。5、对于用户访问信息系统使用的口令，假设使用生物识别技术，可替代口令6、信息安全灾备治理中，“恢复点目标”指： 灾难发生后，系统和数

6、据必需恢复到的时间点要求。7、关于IT 系统审核，以下说法正确的选项是：组织经评估认为 IT 系统审计风险不行承受时，可以删减。A.15.38、依据GB/T 22080 ，组织与员工的保密性协议的内容应：反映组织信息保护需要的保密性或不泄露协议要求9、为了防止对应用系统中信息的未授权访问，正确的做法是：依据访问掌握策略限制用户访问应用系统功能和隔离敏感系统10、对于全部拟定的订正和预防措施，在实施前应先通过 风险分析过程进展评审。11、12、13、14、不属于 WEB 效劳器的安全措施是保证注册帐户的时效性。文件初审是评价受审核方 ISMS 文件的描述与审核准则的符合性。国家对于经营性互联网信

7、息效劳实施：许可制度。针对获证组织扩大范围的审核，以下说法正确的选项是： 一种特别审核，可以和监视审核一起进展。15、信息安全治理体系初次认证审核时，第一阶段审核应： 对受审核方信息安全治理体系文件进展审核和符合性评价。16、文件在信息安全治理体系中是一个必需的要素，文件有助于： 确保可追溯性。17、对一段时间内发生的信息安全大事类型、频次、处理本钱的统计分析属于 大事治理。18、19、哪一种安全技术是鉴别用户身份的最好方法：生物测量技术。最正确的供给本地效劳器上的处理工资数据的访问掌握是： 使用软件来约束授权用户的访问。20、当打算对组织的远程办公系统进展加密时，应当首先答复下面哪一个问题：

8、系统和数据具有什么样的敏感程度。简述题1、审核员在某公司审核时，觉察该公司从保安公司聘用的保安的门卡可通行 公司全部的门禁。公司主管信息安全的负责人解释说，因保安负责公司的物理区域安全，他们夜里以及节假日要值班和巡查全部区域，所以只能给保安 全权限门卡。审核员对此解释表示认同。假设你是审核员，你将如何做？答：（1） 是否有形成文件的访问掌握策略，并且包含针对公司每一局部物理区域 的访问掌握策略的内容？（2） 访问掌握策略是否基于业务和访问的安全要素进展过评审？（3） 核实保安角色是否在访问掌握策略中有明确规定？（4） 核实访问掌握策略的制定是否与各物理区域风险评价的结果全都？（5） 核实发生过

9、的信息安全大事，是否与物理区域非授权进入有关？（6） 核实如何对保安进展背景调查，是否明确了其安全角色和职责？答：1询问相关责任人，查阅文件 3-5 份，了解如何规定对信息安全大事进行总结的机制？该机制中是否明确定义了信息安全大事的类型？该机制是否规定了量化和监视信息安全大事类型、数量和代价的方法和要求，并包括成功 的和未遂大事？（2） 查阅监视或记录 3-15 条，查阅总结报告文件 3-5 份，了解是否针对信息安全大事进展测量，是否就类型、数量和代价进展了量化的总结，并包括成功 的和未遂大事。（3） 查阅文件和记录以及访问相关责任人，核实依据监视和量化总结的结果 实行后续措施有效防止同类大事

10、的再发生。案例分析题1、不符合标准 GB/T 2“”的要求。不符合事实：某知名网站总部陈设室中 5 台演示用的电脑可以连接外网和内网。2、 不符合标准 GB/T 22080-2022 条款 A9.1.2 物理入口掌握“安全区域应由适合的入口掌握所保护，以确保只有授权的人员才允许访问。”的要求。不符合事实：现场觉察未经授权的人员张 X 进出机器和网络操作机房，却没有任何登记记录，而程序文件GX28规定除授权工作人员可凭磁卡进出外， 其余人员进出均须办理准入和登记手续。3、 不符合标准 GB/T 22080-2022 条款 4.2.1 d) 识别风险“3识别可能被威逼利用的脆弱性；”的要求。不符合

11、事实：现场治理人员认为下载的软件都是从知名网站上下载的，不会有 问题。4、 不符合标准 GB/T 22080-2022 条款 8.2 订正措施“组织应实行措施，以消退与ISMS 要求不符合的缘由，以防止再发生。”的要求。不符合事实：XX 银行在 2022 年一季度发生了 10 起网银客户资金损失事故，4-5 月又发生 7 起类似事故。5、“用户和支持人员对信息和应用系统功能的访问应依照已确定的访问掌握策 略加以限制”的要求。不符合事实：开发人员可以修改测试问题记录。6、 不符合标准 GB/T 22080-2022 条款“与信息处理设施有关的信息和资产可承受使用规章应被确定、形成文件并加以实施”的要求。不符合事实：格外敏感的系统设计文件，公司要求开发人员只可读，不行以修 改，且不行以在公司其他部门传阅，但未对开发人员是否可以打印进展规定。7、“应实行清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略”的要求。不符合事实：敏感票据印刷企业的制版工艺工艺师办公桌上散放着三份含水量 有票据制版工艺要求的生产通知单。