信息安全管理体系审核员真题

1、ISMS202109/11一、简答1、内审不符合项完成了30/35,审核员给开了不符合,是否正确你怎么审核参考不正确.应作如下(1)询问相关人员或查阅相关资料(不符合项整改方案或验证记录),了解内审不符合项的纠正举措实施情况,分析对不符合的原因确定是否充分,所实施的纠正举措是否有效；(2)所采取的纠正举措是否与相关影响相适宜,如对业务的风险影响,风险限制策略和时间点目标要求,与组织的资源水平相适应.(3)评估所采取的纠正举措带来的风险,如果该风险可接受,那么采取纠正措施,反之可采取适当的限制举措即可.综上,如果所有纠正举措符合风险要求,与相关影响相适宜,那么纠正措施适宜.2、在人力资源部查看网

2、管培训记录,负责人说证书在本人手里,培训是外包的,成绩从那里要,要来后一看都合格,就结束了审核,对吗参考不对.应根据标准GB/T22080-2021条款培训、意识和水平的要求进行如下(1)询问相关人员,了解是否有网管岗位说明书或相关责任、角色的文件(2)查阅网管责任相关文件,文件中如何规定网管的岗位要求,这些要求基于教育、培训、经验、技术和应用水平方面的评价要求,以及相关的培训规程及评价方法；(3)查阅网管培训记录,是否符合岗位水平要求和培训规程的规定要求(4)了解相关部门和人员对网管培训后的工作水平确认和培训效果的评价,是否保持记录(5)如果岗位水平经评价不能满足要求时,组织是否按规定要求采

3、取适当的举措,以保证岗位人员的水平要求.二、案例分析1、查某公司设备资产,负责人说台式机放在办公室,办公室做了来自环境的威胁的预防；笔记本经常带入带出,有时在家工作,领导同意了,在家也没什么不安全的.A组织场所外的设备平安应对组织场所的设备采取平安举措,要考虑工作在组织场所以外的不同风险2、某公司操作系统升级都直接设置为系统自动升级,没出过什么事,由于买的都是正版.A操作系统变更后应用的技术评审当操作系统发生变更时,应对业务的关键应用进行评审和测试,以保证对组织的运行和平安没有负面影响.3、创新公司委托专业互联网运营商提供网络运营,供给商为了提升效劳级别,采用了新技术,也通知了创新公司,但创新

4、认为新技术肯定更好,就没采取任何措施,后来由于软件不兼容造成断网了.A第三方效劳的变更治理应治理效劳提供的变更,包括保持和改良现有的信息平安策略、规程和限制举措,并考虑到业务系统和涉及过程的关键程度及风险的评估.4、查某公司信息平安事件处理时,有好几份处理报告的原因都是感染计算机病毒,负责人说我们严格的杀毒软件下载应用规程,不知道为什么没有效,估计其它方法更没用了纠正举措5、查看web效劳器日志发现,最近几次经常重启,负责人说刚买来还好用,最近总死机,都联系不上供给商负责人了.A应保证第三方实施、运行和保持包含在第三方效劳交付效劳交付协议中的平安限制举措、效劳定义和交付水准.单项选择纠错选择一

5、个最正确可行的答案1、一个组织或平安域内所有信息处理设施与已设精确时钟源同步是为了：便于探测未经授权的信息处理活动的发生2、网络路由限制应遵从：保证计算机连接和信息流不违反业务应用的访问限制策略3、针对信息系统的软件包,应尽量劝阻对软件包实施变更,以躲避变更的风险4、国家信息平安等级保护采取：自主定级、自主保护的原那么.5、对于用户访问信息系统使用的口令,如果使用生物识别技术,可替代口令6、信息平安灾备治理中,“恢复点目标指：灾难发生后,系统和数据必须恢复到的时间点要求.7、关于IT系统审核,以下说法正确的选项是：组织经评估认为IT系统审计风险不可接受时,可以删减.依据GB/T22080,组织

6、与员工的保密性协议的内容应：反映组织信息保护需要的保密性或不泄露协议要求8、为了预防对应用系统中信息的未授权访问,正确的做法是：根据访问限制策略限制用户访问应用系统功能和隔离敏感系统9、对于所有拟定的纠正和预防举措,在实施前应先通过风险分析过程进行评10、 不属于WEB效劳器的平安举措是保证注册帐户的时效性.11、 文件初审是评价受审核方ISMS文件的描述与审核准那么的符合性.12、 国家对于经营性互联网信息效劳实施：许可制度.13、 针对获证组织扩大范围的审核,以下说法正确的选项是：一种特殊审核,可以和监督审核一起进行.14、 信息平安治理体系初次认证审核时,第一阶段审核应：对受审核方信息安

7、全治理体系文件进行审核和符合性评价.15、 文件在信息平安治理体系中是一个必须的要素,文件有助于：保证可追溯性016、 对一段时间内发生的信息平安事件类型、频次、处理本钱的统计分析属于事件治理.17、 哪一种平安技术是鉴别用户身份的最好方法：生物测量技术.18、 最正确的提供本地效劳器上的处理工资数据的访问限制是：使用软件来约束授权用户的访问.19、 当方案对组织的远程办公系统进行加密时,应该首先答复下面哪一个问题：系统和数据具有什么样的敏感程度.简述题1、 审核员在某公司审核时,发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁.公司主管信息平安的负责人解释说,因保安负责公司的物理区域

8、平安,他们夜里以及节假日要值班和巡查所有区域,所以只能给保安全权限门卡.审核员对此解释表示认同.如果你是审核员,你将如何做答:(1)是否有形成文件的访问限制策略,并且包含针对公司每一局部物理区域的访问限制策略的内容(2)访问限制策略是否基于业务和访问的平安要素进行过评审(3)核实保安角色是否在访问限制策略中有明确规定(4)核实访问限制策略的制定是否与各物理区域风险评价的结果一致(5)核实发生过的信息平安事件,是否与物理区域非授权进入有关(6)核实如何对保安进行背景调查,是否明确了其平安角色和责任答：(1)询问相关责任人,查阅文件3-5份,了解如何规定对信息平安事件进行总结的机制该机制中是否明确

9、定义了信息平安事件的类型该机制是否规定了量化和监视信息平安事件类型、数量和代价的方法和要求,并包括成功的和未遂事件(2)查阅监视或记录3-15条,查阅总结报告文件3-5份,了解是否针对信息平安事件进行测量,是否就类型、数量和代价进行了量化的总结,并包括成功的和未遂事件.(3)查阅文件和记录以及访问相关责任人,核实根据监视和量化总结的结果采取后续举措有效预防同类事件的再发生.案例分析题1、不符合标准GB/T2"的要求.不符合事实：某知名网站总部陈列室中5台演示用的电脑可以连接外网和内网.2、不符合标准GB/T22080-2021条款物理入口限制“平安区域应由适合的入口限制所保护,以保证

10、只有授权的人员才允许访问.的要求.不符合事实：现场发现未经授权的人员张X进出机器和网络操作机房,却没有任何登记记录,而程序文件GX28规定除授权工作人员可凭磁卡进出外,其余人员进出均须办理准入和登记手续.3、不符合标准GB/T22080-2021条款d识别风险"3识别可能被威胁利用的脆弱性；的要求.不符合事实：现场治理人员认为下载的软件都是从知名网站上下载的,不会有问题.4、不符合标准GB/T22080-2021条款纠正举措“组织应采取举措,以消除与ISMS要求不符合的原因,以预防再发生.的要求.不符合事实：XX银行在2021年一季度发生了10起网银客户资金损失事故,4-5月又发生7起类似事故.5、“用户和支持人员对信息和应用系统功能的访问应依照已确定的访问限制策略加以限制的要求.不符合事实：开发人员可以修改测试问题记录.6、不符合标准GB/T22080-2021条款“与信息处理设施有关的信息和资产可接受使用规那么应被确定、形成文件并加以实