信息安全管理體系審核員真題_第1頁
信息安全管理體系審核員真題_第2頁
信息安全管理體系審核員真題_第3頁
信息安全管理體系審核員真題_第4頁
全文預(yù)覽已結(jié)束

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、ISMS 201409/11、簡答1、 內(nèi)審不符合項(xiàng)完成了 30/35 ,審核員給開了不符合,是否正確?你怎么審核? 參考 不正確。應(yīng)作如下審核:( 1) 詢問相關(guān)人員或查閱相關(guān)資料(不符合項(xiàng)整改計(jì)劃或驗(yàn)證記錄) ,了解內(nèi)審不符合項(xiàng)的糾正措施實(shí)施情況,分析對不符合的原因確定是否充分,所實(shí)施的糾正措施是否有效;( 2) 所采取的糾正措施是否與相關(guān)影響相適宜,如對業(yè)務(wù)的風(fēng)險(xiǎn)影響,風(fēng)險(xiǎn)控制策略和時(shí)間點(diǎn) 目標(biāo)要求,與組織的資源能力相適應(yīng)。( 3) 評估所采取的糾正措施帶來的風(fēng)險(xiǎn),如果該風(fēng)險(xiǎn)可接受,則采取糾正措施,反之可采取適 當(dāng)?shù)目刂拼胧┘纯伞?綜上,如果所有糾正措施符合風(fēng)險(xiǎn)要求,與相關(guān)影響相適宜,則

2、糾正措施適宜。2、 在人力資源部查看網(wǎng)管培訓(xùn)記錄,負(fù)責(zé)人說證書在本人手里,培訓(xùn)是外包的,成績從那里要,要 來后一看都合格,就結(jié)束了審核,對嗎?參考 不對。應(yīng)按照標(biāo)準(zhǔn) GB/T 22080-2008 條款 5.2.2 培訓(xùn)、意識和能力的要求進(jìn)行如下審核:( 1) 詢問相關(guān)人員,了解是否有網(wǎng)管崗位說明書或相關(guān)職責(zé)、角色的文件?( 2) 查閱網(wǎng)管職責(zé)相關(guān)文件,文件中如何規(guī)定網(wǎng)管的崗位要求,這些要求基于教育、培訓(xùn)、經(jīng) 驗(yàn)、技術(shù)和應(yīng)用能力方面的評價(jià)要求,以及相關(guān)的培訓(xùn)規(guī)程及評價(jià)方法;( 3) 查閱網(wǎng)管培訓(xùn)記錄,是否符合崗位能力要求和培訓(xùn)規(guī)程的規(guī)定要求?( 4) 了解相關(guān)部門和人員對網(wǎng)管培訓(xùn)后的工作能力確

3、認(rèn)和培訓(xùn)效果的評價(jià),是否保持記錄?( 5) 如果崗位能力經(jīng)評價(jià)不能滿足要求時(shí), 組織是否按規(guī)定要求采取適當(dāng)?shù)拇胧?以保證崗位 人員的能力要求。二、案例分析1、查某公司設(shè)備資產(chǎn), 負(fù)責(zé)人說臺(tái)式機(jī)放在辦公室, 辦公室做了來自環(huán)境的威脅的預(yù)防; 筆記本經(jīng)常帶入帶出, 有時(shí)在家工作,領(lǐng)導(dǎo)同意了,在家也沒什么不安全的。A 9.2.5 組織場所外的設(shè)備安全 應(yīng)對組織場所的設(shè)備采取安全措施,要考慮工作在組織場所以外的不同風(fēng)險(xiǎn)2、 某公司操作系統(tǒng)升級都直接設(shè)置為系統(tǒng)自動(dòng)升級,沒出過什么事,因?yàn)橘I的都是正版。A 12.5.2 操作系統(tǒng)變更后應(yīng)用的技術(shù)評審 當(dāng)操作系統(tǒng)發(fā)生變更時(shí),應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評審和測試

4、,以 確保對組織的運(yùn)行和安全沒有負(fù)面影響。3、創(chuàng)新公司委托專業(yè)互聯(lián)網(wǎng)運(yùn)營商提供網(wǎng)絡(luò)運(yùn)營,供應(yīng)商為了提升服務(wù)級別,采用了新技術(shù),也通知了創(chuàng)新 公司,但創(chuàng)新認(rèn)為新技術(shù)肯定更好,就沒采取任何措施,后來因?yàn)檐浖患嫒菰斐蓴嗑W(wǎng)了。A 10.2.3 第三方服務(wù)的變更管理 應(yīng)管理服務(wù)提供的變更,包括保持和改進(jìn)現(xiàn)有的信息安全策略、規(guī)程和控制措 施,并考慮到業(yè)務(wù)系統(tǒng)和涉及過程的關(guān)鍵程度及風(fēng)險(xiǎn)的評估。4、查某公司信息安全事件處理時(shí),有好幾份處理報(bào)告的原因都是感染計(jì)算機(jī)病毒,負(fù)責(zé)人說我們嚴(yán)格的殺毒 軟件下載應(yīng)用規(guī)程,不知道為什么沒有效,估計(jì)其它方法更沒用了。8.2糾正措施5、查看 web 服務(wù)器日志發(fā)現(xiàn),最近幾次經(jīng)

5、常重啟,負(fù)責(zé)人說剛買來還好用,最近總死機(jī),都聯(lián)系不上供應(yīng)商 負(fù)責(zé)人了。A 10.2.1 應(yīng)確保第三方實(shí)施、運(yùn)行和保持包含在第三方服務(wù)交付服務(wù)交付協(xié)議中的安全控制措施、服務(wù)定義和 交付水準(zhǔn)。單選糾錯(cuò)( 選擇一個(gè)最佳可行的答案 )1、一個(gè)組織或安全域內(nèi)所有信息處理設(shè)施與已設(shè)精確時(shí)鐘源同步是為了:便于探測未經(jīng)授權(quán)的信息處理活動(dòng)的發(fā)生2、網(wǎng)絡(luò)路由控制應(yīng)遵從: 確保計(jì)算機(jī)連接和信息流不違反業(yè)務(wù)應(yīng)用的訪問控制策略3、針對信息系統(tǒng)的軟件包, 應(yīng)盡量勸阻對軟件包實(shí)施變更,以規(guī)避變更的風(fēng)險(xiǎn)4、國家信息安全等級保護(hù)采?。?自主定級、自主保護(hù)的原則 。5、對于用戶訪問信息系統(tǒng)使用的口令,如果使用生物識別技術(shù),可替代

6、口令6、信息安全災(zāi)備管理中,“恢復(fù)點(diǎn)目標(biāo)”指:災(zāi)難發(fā)生后,系統(tǒng)和數(shù)據(jù)必須恢復(fù)到的時(shí)間點(diǎn)要求 。7、關(guān)于 IT 系統(tǒng)審核,以下說法正確的是: 組織經(jīng)評估認(rèn)為 IT 系統(tǒng)審計(jì)風(fēng)險(xiǎn)不可接受時(shí),可以刪減。 A.15.38、依據(jù) GB/T 22080 ,組織與員工的保密性協(xié)議的內(nèi)容應(yīng): 反映組織信息保護(hù)需要的保密性或不泄露協(xié)議要求9、為了防止對應(yīng)用系統(tǒng)中信息的未授權(quán)訪問,正確的做法是: 按照訪問控制策略限制用戶訪問應(yīng)用系統(tǒng)功能 和隔離敏感系統(tǒng)10、對于所有擬定的糾正和預(yù)防措施,在實(shí)施前應(yīng)先通過(風(fēng)險(xiǎn)分析 )過程進(jìn)行評審。11、不屬于 WEB 服務(wù)器的安全措施是( 保證注冊帳戶的時(shí)效性 )。12、文件初審

7、是評價(jià)受審核方 ISMS 文件的描述與審核準(zhǔn)則的( 符合性 )。13、國家對于經(jīng)營性互聯(lián)網(wǎng)信息服務(wù)實(shí)施:許可制度 。14、針對獲證組織擴(kuò)大范圍的審核,以下說法正確的是:一種特殊審核,可以和監(jiān)督審核一起進(jìn)行 。15、信息安全管理體系初次認(rèn)證審核時(shí),第一階段審核應(yīng):對受審核方信息安全管理體系文件進(jìn)行審核和符合性評價(jià) 。16、文件在信息安全管理體系中是一個(gè)必須的要素,文件有助于:確??勺匪菪?。17、對一段時(shí)間內(nèi)發(fā)生的信息安全事件類型、頻次、處理成本的統(tǒng)計(jì)分析屬于事件管理 。18、哪一種安全技術(shù)是鑒別用戶身份的最好方法:生物測量技術(shù) 。19、最佳的提供本地服務(wù)器上的處理工資數(shù)據(jù)的訪問控制是:使用軟件

8、來約束授權(quán)用戶的訪問 。20、當(dāng)計(jì)劃對組織的遠(yuǎn)程辦公系統(tǒng)進(jìn)行加密時(shí),應(yīng)該首先回答下面哪一個(gè)問題:系統(tǒng)和數(shù)據(jù)具有什么樣的敏感程度 。簡述題1、 審核員在某公司審核時(shí), 發(fā)現(xiàn)該公司從保安公司聘用的保安的門卡可通行公司所有的門禁。 公司主管信息 安全的負(fù)責(zé)人解釋說,因保安負(fù)責(zé)公司的物理區(qū)域安全,他們夜里以及節(jié)假日要值班和巡查所有區(qū)域,所 以只能給保安全權(quán)限門卡。審核員對此解釋表示認(rèn)同。如果你是審核員,你將如何做?答:( 1) 是否有形成文件的訪問控制策略,并且包含針對公司每一部分物理區(qū)域的訪問控制策略的內(nèi)容? ( 2) 訪問控制策略是否基于業(yè)務(wù)和訪問的安全要素進(jìn)行過評審?( 3) 核實(shí)保安角色是否在

9、訪問控制策略中有明確規(guī)定?( 4) 核實(shí)訪問控制策略的制定是否與各物理區(qū)域風(fēng)險(xiǎn)評價(jià)的結(jié)果一致?( 5) 核實(shí)發(fā)生過的信息安全事件,是否與物理區(qū)域非授權(quán)進(jìn)入有關(guān)?( 6) 核實(shí)如何對保安進(jìn)行背景調(diào)查,是否明確了其安全角色和職責(zé)? 答: (1)詢問相關(guān)責(zé)任人,查閱文件3-5 份,了解如何規(guī)定對信息安全事件進(jìn)行總結(jié)的機(jī)制?該機(jī)制中是否明確定義了信息安全事件的類型?該機(jī)制是否規(guī)定了量化和監(jiān)視信息安全事件類型、數(shù)量和代價(jià)的方法 和要求,并包括成功的和未遂事件?( 2)查閱監(jiān)視或記錄 3-15 條,查閱總結(jié)報(bào)告文件 3-5 份,了解是否針對信息安全事件進(jìn)行測量,是否就 類型、數(shù)量和代價(jià)進(jìn)行了量化的總結(jié),并

10、包括成功的和未遂事件。( 3)查閱文件和記錄以及訪問相關(guān)責(zé)任人,核實(shí)根據(jù)監(jiān)視和量化總結(jié)的結(jié)果采取后續(xù)措施有效防止同類事件的再發(fā)生。案例分析題1、 “”的要求。 不符合事實(shí):某知名網(wǎng)站總部陳列室中 5 臺(tái)演示用的電腦可以連接外網(wǎng)和內(nèi)網(wǎng)。2、不符合標(biāo)準(zhǔn) GB/T 22080-2008 條款 A9.1.2 物理入口控制“安全區(qū)域應(yīng)由適合的入口控制所保護(hù),以確保只 有授權(quán)的人員才允許訪問?!钡囊?。不符合事實(shí):現(xiàn)場發(fā)現(xiàn)未經(jīng)授權(quán)的人員張 X 進(jìn)出機(jī)器和網(wǎng)絡(luò)操作機(jī)房,卻沒有任何登記記錄,而程序文件 (GX28 )規(guī)定除授權(quán)工作人員可憑磁卡進(jìn)出外,其余人員進(jìn)出均須辦理準(zhǔn)入和登記手續(xù)。3、不符合標(biāo)準(zhǔn) GB/T

11、 22080-2008 條款 4.2.1 d) 識別風(fēng)險(xiǎn)“ 3)識別可能被威脅利用的脆弱性;”的要求。 不符合事實(shí):現(xiàn)場管理人員認(rèn)為下載的軟件都是從知名網(wǎng)站上下載的,不會(huì)有問題。4、不符合標(biāo)準(zhǔn) GB/T 22080-2008 條款 8.2 糾正措施“組織應(yīng)采取措施,以消除與 ISMS 要求不符合的原因,以 防止再發(fā)生?!钡囊?。不符合事實(shí): XX 銀行在 2008年一季度發(fā)生了 10起網(wǎng)銀客戶資金損失事故, 4-5 月又發(fā)生 7起類似事故。5、“用戶和支持人員對信息和應(yīng)用系統(tǒng)功能的訪問應(yīng)依照已確定的訪問控制策略加以限制”的要求。 不符合事實(shí):開發(fā)人員可以修改測試問題記錄。6、不符合標(biāo)準(zhǔn) GB/T 22080-2008 條款“與信息處理設(shè)施有關(guān)的信息和資產(chǎn)可接受使用規(guī)則應(yīng)被確定、形成文

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論