一、简答
1、 内审不符合项完成了30/35,审核员给开了不符合,是否正确?你怎么审核?
[参考]不正确。应作如下审核:
(1) 询问相关人员或查阅相关资料(不符合项整改计划或验证记录),了解内审不符合项的纠正措施实施情况,分析对不符合的原因确定是否充分,所实施的纠正措施是否有效;
(2) 所采取的纠正措施是否与相关影响相适宜,如对业务的风险影响,风险控制策略和时间点目标要求,与组织的资源能力相适应。
(3) 评估所采取的纠正措施带来的风险,如果该风险可接受,则采取纠正措施,反之可采取适当的控制措施即可。
综上,如果所有纠正措施符合风险要求,与相关影响相适宜,则纠正措施适宜。
2、 在人力资源部查看网管培训记录,负责人说证书在本人手里,培训是外包的,成绩从那里要,要来后一看都合格,就结束了审核,对吗?
[参考]不对。
应按照标准GB/T 22080-2008条款5.2.2 培训、意识和能力的要求进行如下审核:
(1) 询问相关人员,了解是否有网管岗位说明书或相关职责、角色的文件?
(2) 查阅网管职责相关文件,文件中如何规定网管的岗位要求,这些要求基于教育、培训、经验、技术和应用能力方面的评价要求,以及相关的培训规程及评价方法;
(3) 查阅网管培训记录,是否符合岗位能力要求和培训规程的规定要求?
(4) 了解相关部门和人员对网管培训后的工作能力确认和培训效果的评价,是否保持记录?
(5) 如果岗位能力经评价不能满足要求时,组织是否按规定要求采取适当的措施,以保证岗位人员的能力要求。
二、案例分析
1、查某公司设备资产,负责人说台式机放在办公室,办公室做了来自环境的威胁的预防;笔记本经常带入带出,有时在家工作,领导同意了,在家也没什么不安全的。
A 9.2.5 组织场所外的设备安全 应对组织场所的设备采取安全措施,要考虑工作在组织场所以外的不同风险
2、 某公司操作系统升级都直接设置为系统自动升级,没出过什么事,因为买的都是正版。
A 12.5.2 操作系统变更后应用的技术评审 当操作系统发生变更时,应对业务的关键应用进行评审和测试,以确保对组织的运行和安全没有负面影响。
3、 创新公司委托专业互联网运营商提供网络运营,供应商为了提升服务级别,采用了新技术,也通知了创新公司,但创新认为新技术肯定更好,就没采取任何措施,后来因为软件不兼容造成断网了。
A 10.2.3 第三方服务的变更管理 应管理服务提供的变更,包括保持和改进现有的信息安全策略、规程和控制措施,并考虑到业务系统和涉及过程的关键程度及风险的评估。
4、 查某公司信息安全事件处理时,有好几份处理报告的原因都是感染计算机病毒,负责人说我们严格的杀毒软件下载应用规程,不知道为什么没有效,估计其它方法更没用了。
8.2纠正措施
5、 查看 web服务器日志发现,最近几次经常重启,负责人说刚买来还好用,最近总死机,都联系不上供应商负责人了。
A 10.2.1 应确保第三方实施、运行和保持包含在第三方服务交付服务交付协议中的安全控制措施、服务定义和交付水准。
单选纠错(选择一个最佳可行的答案)
1、 一个组织或安全域内所有信息处理设施与已设精确时钟源同步是为了:便于探测未经授权的信息处理活动的发生。A.10.10
2、 网络路由控制应遵从:确保计算机连接和信息流不违反业务应用的访问控制策略。A.11.4.7
3、 针对信息系统的软件包,应尽量劝阻对软件包实施变更,以规避变更的风险。A.12.5.3
4、 国家信息安全等级保护采取:自主定级、自主保护的原则。
5、 对于用户访问信息系统使用的口令,如果使用生物识别技术,可替代口令。 A.11.3.1
6、 信息安全灾备管理中,“恢复点目标”指:灾难发生后,系统和数据必须恢复到的时间点要求。
7、 关于IT系统审核,以下说法正确的是:组织经评估认为IT系统审计风险不可接受时,可以删减。A.15.3
8、 依据GB/T 22080 ,组织与员工的保密性协议的内容应:反映组织信息保护需要的保密性或不泄露协议要求。A.6.1.5
9、 为了防止对应用系统中信息的未授权访问,正确的做法是:按照访问控制策略限制用户访问应用系统功能和隔离敏感系统。A.11.1.1 A.11.6.2
10、 对于所有拟定的纠正和预防措施,在实施前应先通过(风险分析)过程进行评审。
11、 不属于WEB服务器的安全措施是(保证注册帐户的时效性)。
12、 文件初审是评价受审核方ISMS文件的描述与审核准则的(符合性)。
13、 国家对于经营性互联网信息服务实施:许可制度。
14、 针对获证组织扩大范围的审核,以下说法正确的是:一种特殊审核,可以和监督审核一起进行。
15、 信息安全管理体系初次认证审核时,第一阶段审核应:对受审核方信息安全管理体系文件进行审核和符合性评价。
16、 文件在信息安全管理体系中是一个必须的要素,文件有助于:确保可追溯性。
17、 对一段时间内发生的信息安全事件类型、频次、处理成本的统计分析属于事件管理。
18、 哪一种安全技术是鉴别用户身份的最好方法:生物测量技术。
19、 最佳的提供本地服务器上的处理工资数据的访问控制是:使用软件来约束授权用户的访问。
20、 当计划对组织的远程办公系统进行加密时,应该首先回答下面哪一个问题:系统和数据具有什么样的敏感程度。
简述题
1、 审核员在某公司审核时,发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁。公司主管信息安全的负责人解释说,因保安负责公司的物理区域安全,他们夜里以及节假日要值班和巡查所有区域,所以只能给保安全权限门卡。审核员对此解释表示认同。如果你是审核员,你将如何做?
答:应根据标准GB/T 22080-2008条款A.11.1.1审核以下内容:
(1) 是否有形成文件的访问控制策略,并且包含针对公司每一部分物理区域的访问控制策略的内容?
(2) 访问控制策略是否基于业务和访问的安全要素进行过评审?
(3) 核实保安角色是否在访问控制策略中有明确规定?
(4) 核实访问控制策略的制定是否与各物理区域风险评价的结果一致?
(5) 核实发生过的信息安全事件,是否与物理区域非授权进入有关?
(6) 核实如何对保安进行背景调查,是否明确了其安全角色和职责?
2、 请阐述对GB/T 22080中A.13.2.2的审核思路。
答:(1)询问相关责任人,查阅文件3-5份,了解如何规定对信息安全事件进行总结的机制?该机制中是否明确定义了信息安全事件的类型?该机制是否规定了量化和监视信息安全事件类型、数量和代价的方法和要求,并包括成功的和未遂事件?
(2)查阅监视或记录3-15条,查阅总结报告文件3-5份,了解是否针对信息安全事件进行测量,是否就类型、数量和代价进行了量化的总结,并包括成功的和未遂事件。
(3)查阅文件和记录以及访问相关责任人,核实根据监视和量化总结的结果采取后续措施有效防止同类事件的再发生。
案例分析题
1、 不符合标准GB/T 22080-2008条款 A.11.4.6 网络连接控制“对于共享的网络,特别是越过组织边界的网络,用户的联网能力应按照访问控制策略和业务应用要求加以限制(见A.11.1)。”的要求。
不符合事实:某知名网站总部陈列室中5台演示用的电脑可以连接外网和内网。
2、 不符合标准GB/T 22080-2008条款 A9.1.2 物理入口控制“安全区域应由适合的入口控制所保护,以确保只有授权的人员才允许访问。”的要求。
不符合事实:现场发现未经授权的人员张X进出机器和网络操作机房,却没有任何登记记录,而程序文件(GX28)规定除授权工作人员可凭磁卡进出外,其余人员进出均须办理准入和登记手续。
1、 不符合标准GB/T 22080-2008条款4.2.1 d) 识别风险“3)识别可能被威胁利用的脆弱性;”的要求。
不符合事实:现场管理人员认为下载的软件都是从知名网站上下载的,不会有问题。
2、 不符合标准GB/T 22080-2008条款8.2 纠正措施“组织应采取措施,以消除与ISMS要求不符合的原因,以防止再发生。”的要求。
不符合事实:XX银行在2008年一季度发生了10起网银客户资金损失事故,4-5月又发生7起类似事故。
3、 不符合标准GB/T 22080-2008条款A.11.6.1信息访问控制“用户和支持人员对信息和应用系统功能的访问应依照已确定的访问控制策略加以限制”的要求。
不符合事实:开发人员可以修改测试问题记录。
4、 不符合标准GB/T 22080-2008条款A.7.1.3资产的可接受使用“与信息处理设施有关的信息和资产可接受使用规则应被确定、形成文件并加以实施”的要求。
不符合事实:非常敏感的系统设计文件,公司要求开发人员只可读,不可以修改,且不可以在公司其他部门传阅,但未对开发人员是否可以打印进行规定。
5、 不符合标准GB/T 22080-2008条款A.11.3.3清空桌面和屏幕策略“应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施屏幕的策略”的要求。
不符合事实:敏感票据印刷企业的制版工艺工艺师办公桌上散放着三份含水量有票据制版工艺要求的生产通知单。
进行注册审核员考试咨询
微信号:ccaa315
功能介绍:注册审核员 考试通知、培训信息;
认证机构挂靠、人员注册、复习题、模拟试题。
- 上一篇:ISO27001信息安全管理体系注册审核员模拟试题考题A
- 下一篇:没有了
