《ISO27001内审员考试试题12608.pdf》由会员分享,可在线阅读,更多相关《ISO27001内审员考试试题12608.pdf(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、1 信息安全管理体系内审员考试试题 姓名:工作单位:考试日期:年 月 日 类别 单项选 择题 多项选 择题 判断题 简答题 阐述题 案例分析 总得分 得分 阅卷人签字 复核人签字 一、单项选择题(每题 1 分,共 15 分)从以下每题的几个答案中选择一个你认为最合适的,并将答案代号填入()中.()1ISO/IEC 27001 从 的角度,为建立、实施、运行、监视、评审、保 持和改进文件化的 ISMS 规定了要求。a)客户安全要求 b)组织整体业务风险 c)信息安全法律法规 d)以上都不对()2组织声称符合 ISO/IEC 27001 时,的要求可删减。a)第 4 章 b)第 5 章 c)第 7
2、 章 d)附录 A()3审核准则是指 a)一组方针、程序或要求 b)一组能够证实的记录、事实陈述或其他信息 c)一组约束审核行为的规范 d)以上都不对()4审核计划 a)应由受审核方确认,可适当调整 b)一经确定,不能改动 c)受审核方可随意改动 d)以上都不对()5以下哪一种描述不适合信息安全管理体系?a)是指国家对各重要信息系统实施信息安全管理的行政管理结构 2 b)是整个管理体系的一部分,它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的 c)建立信息安全方针和目标,并实现这些目标的相互关联或相互作用的一组要 素 d)包括信息安全管理机构、体系文件及相关资源等要素
3、()6信息安全管理体系要求 ISO/IEC27001 属于 标准?a)词汇类标准 b)指南类标准 c)要求类标准 d)相关类标准()7现场跟踪验证 a)只适用于一般不符合项 b)只适用于严重不符合项 c)只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项 d)以上都不对()8 负责审核计划、协调审核活动并在审核活动中领导审核活动?a)审核小组成员 b)信息安全经理 c)审核小组组长 d)以上都不是()9下面哪一个不是信息安全管理体系审核的依据?a)ISO/IEC27001 b)ISMS 文件 c)信息安全专家建议 d)相关法律法规()10审核类型将由审核员和被审核组织的关系来确定,因此
4、内部审核又称为 a)第一方审核 b)第二方审核 c)第三方审核 d)以上都不对()11组织通过信息安全管理体系认证则 a)表明组织已不存在不符合项 b)表明体系具备保护组织信息资产的能力 c)表明组织已达到了其信息安全目标 d)以上都不对()12对于 ISMS 审核组而言,以下哪一种要求不是必须的?a)信息安全的理解 b)从业务角度对风险评估和风险管理的理解 3 c)被审核活动的技术知识 d)以上都不对()13信息安全管理体系认证 a)应审核 ISMS 范围内的所有部门和所有人员 b)指导受审核方改进的过程 c)寻找不符合项的过程 d)可为受审核方提供控制措施的实施建议()14下列哪个要素可以
5、不作为 ISMS 审核时间判断的依据?a)ISMS 的复杂度 b)高层管理者对信息安全问题的重视程度 c)ISMS 范围内执行的业务的类型 d)适用于认证的标准和法规()15在认证过程中,“根据审核报告,确定纠正措施是 的职责。a)审核组长 b)审核组 c)受审核方 d)以上都不对 二、多项选择题(每题 2 分,共 10 分)从以下每题的答案中选择一个或多个你认为合适的,并将答案代号填入()中。()1ISMS 第 1 阶段审核的目的是 a)获取对组织信息安全管理体系的了解和认识 b)了解客户组织的审核准备状态 c)为计划 2 阶段审核提供重点 d)确认组织的信息安全管理体系符合标准或规范性文件
6、的所有要求()2 按照审核的先后顺序划分,审核包括 a)第一阶段审核 b)第二阶段审核 c)监督审核 d)再认证审核()3审核方案和审核计划的区别包括 a)范围不同 b)制定者不同 c)实施者不同 d)内容不同()4以下 属于审核组长的职责。a)确定审核的需要和目的 b)组织编制现场审核有关的工作文件 4 c)主持首末次会议和审核组会议 d)代表审核方与受审核方领导进行沟通()5审核计划中应涵盖 a)本次及其后续审核的时间安排 b)审核准则 c)审核组成员及分工 d)审核的日程安排 三、判断题(每题 1 分,共 10 分)下列各题中,你认为正确的在()中划“”,错误的划“”。()1纠正是指为消
7、除已发现的不符合或其他不期望情况的原因所采取的措施。()2因信息安全问题在任何组织中都可能存在,所以组织在实施 ISMS 时,不能删 减标准中任何安全控制措施的条款.()3信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能保证安全。()4记录可提供符合信息安全管理体系要求和有效运行的证据。()5资产越重要,其安全风险值就越大。()6信息安全管理体系审核组内必须有一名技术专家,提供信息安全的专门知识。()7审核证据是指与审核有关的,并且能够证实的记录、事实陈述或其他信息。()8审核报告的内容必须与末次会议的内容基本一致。()9现场审核过程中,受审核方为审核组配备的向导可参与审核的全过程
8、,但不能 对受审核人员的回答做出澄清或提供帮助.()10审核组长在末次会议中应该对受审核方是否通过认证给出结论.四、简答题(每题 5 分,共 15 分)1管理者在信息安全管理体系的建立和实施过程中起到关键的作用,请指出 ISO27001:2005 中哪些条款体现了“管理者的作用,至少举出 2 个条款并简要说明。2什么是审核?按审核委托方划分,审核可分为哪几种类型,各自的目的是什么?5 3什么是纠正措施?什么是预防措施?举例说明纠正措施与预防措施的区别。五、阐述题(每题 10 分,共 20 分)1如何依据 ISO/IEC 27001:2005 审核 A.8.3,组织应确保雇员、承包方人员和第三方
9、人员 以一个规范的方式退出一个组织或改变其任用关系.2在某公司人事部,审核员向人力资源部负责人了解培训情况时得知,公司负责网络安全 6 的管理人员的培训是请专门的网络安全培训机构进行的。审核员想看看这些人员的培训成 绩及证书,该负责人说,证书他们自己保存,我们替他们保存反而不方便。培训成绩在培 训机构,你们要看的话,我打电话联系,让他们发过来。审核员同意,并查阅了发过来的 成绩,由于成绩合格,审核员表示满意,并结束了培训的审核。这样的审核是否符合要求?为什么?如果请您去审核,您会怎么做?六、案例分析题(每题 6 分,共 30 分)请根据所述情况判断:如能判断有不符合项,请写出不符合 ISO27
10、001:2005 标准的条 款号、内容和严重程度,并写出不符合事实,如提供的证据不能足以判断有不符合项时,请写出进一步审核的思路.判分标准:不符合和内容 2 分,不符合事实描述 2 分,不符合的严重程度 2 分.1审核员在某公司机房查阅 Web 服务器日志时发现,该服务器经常重启,管理人员说,这台服务器在刚买回来时,还没有问题,但最近几天经常死机,我们跟服务器提供商联系,但一直找不到对此负责的人。2某公司的体系文件中包含信息安全事件管理程序,审核员在询问某员工在信息安全 7 事件管理中的职责时,该员工说:“我们没有发生过信息安全事件,所以也没有人让我们去 看这个程序,更不知道有什么职责了.”3
11、 审核员在某公司的体系文件中看到了对技术脆弱性的控制要求,询问信息安全管理部长 该控制措施的实施情况时,部长回答,我们已经制定了实施策略,但由于资金一直没有到 位,所以还没有购买系统审计软件.4某公司在内部审核时,针对不同部门,组成审核组。在对技术开发部进行审核时,由信 8 息安全部经理任审核组长,技术开发部副经理和运营部副经理任组员,因为他们两个对技 术部的工作流程、业务和人员等最为了解。5创新公司的网络接入服务由互联网专业提供商提供,为了防止网络安全问题,他们签订 了服务提供协议,规定了必要的安全安排、服务水准等事宜。互联网专业提供商为提高服 务级别,采用了新的技术,并通知了创新公司,创新公司认为既然是新技术,肯定比原来 的要好,没有采取任何行动。但由于互联网专业提供商的技术兼容问题,出现了网络中断,导致了创新公司的业务中断。