• 尚大品牌
    • 尚大网校|尚大咨询|在线考试|证书查询|成绩查询|历年真题
    登录   |   注册
    审核员专题
     
     
        准考证打印   论文投票   报考指南   论文辅导   软考培训   郑重申明  
    您现在的位置:  首页 > 审核员考试学苑 > 信息安全管理体系审核员 > 历年考题 >> 正文
    正文
    2018年3月-信息安全管理体系(ISMS)下午审核知识试卷-【43-47题】
    来源:尚大教育-CCAA审核员 作者:尚大教育 时间;2019-08-15 点击数: 尚大CCAA流群:296661694
    四、案例分析题(每题 6 分,共 5 题,共 30 分)
    请对以下场景进行分析,写出不符合标准条款的编号(写到最小的阿拉伯数字)及内容, 并写出不符合事实。【ISMS 1803】试题43 审核员检查机房时对门禁权限进行随机抽查时发现,陈某已经离职,但系统中的门禁权限未发生变更。
    【尚大-参考答案】
    答:
    不符合条款:GB/T 22080-2016 A.9.2.6 访问权的移除或调整 所有员工
    <尚大教育,教育至上,人才为大:sdedu.cc>

    案例分析题(每题 6 分,共 5 题,共 30 分)

     
    请对以下场景进行分析,写出不符合标准条款的编号(写到最小的阿拉伯数字)及内容, 并写出不符合事实。

    ISMS 1803】试题43

    43、审核员检查机房时对门禁权限进行随机抽查时发现,陈某已经离职,但系统中的门禁权限未发生变更。  
    【尚大-参考答案】
    答:
    不符合条款:GB/T 22080-2016 A.9.2.6 访问权的移除或调整 所有员工和外部用户对信息和信息处理设施的访问权在任用、合同或协议终止时,应予以移除,或在变更时予以调整。
    不符合事实:审核员审核门禁权限时,发现已离职的陈某在系统中的门禁权限未变更。

    ISMS 1803】试题44

    44、审核员在公司的资产登记表中发现,公司于年初将一批之前购置的电脑特价处理给员工,这些电脑原用于核心业务系统。当询问系统管理员是否在出售前进行了格式化处理, 该系统管理员说:“由于当时新进了许多新的电脑设备,需要安装调试,没空处理老的电脑,再说这些都是卖给自己员工的,他们本身就接触到这些信息。”  
    【尚大-参考答案】
    答:
    不符合 GB/T22080-2016 中 A 11.2.7 设备的安全处置或再利用 包含有存储介质的设备的所有项目应予以验证以确保任何敏感数据和有许可权的软件已被移除或安全改写。
    不符合事实:受审核单位将原有用于核心业务系统的一批之前购置的电脑处理给内部员工,出售前未将敏感信息安全删除。
     

    ISMS 1803】试题45

    45、审核员在 MOTECK 公司生产部审核时发现,公司将其产品制造的《工艺说明书》确定为最高敏感性等级的信息资产,规定仅生产部工艺师张某一人可以访问,审核员询问张某是否可以展示《工艺说明书》的访问控制,张某说可以,随即走到自己的工位并开机后, 指着屏幕上“SQ”字样的应用图标说道:“这就是我们用专门用来访问服务器上存放《工艺说明书》文件的应用系统。”随即张某用鼠标打开该系统,审核员看到展开的目录中确实存有该《工艺说明书》的各历史版本,并注意到 SQ 系统页面上端显示出服务器地址为:*.*.16.17。看到审核员很关注 SQ系统,一直跟随审核的IT部经理邵某解释说,这个SQ 系统是早年公司成立的时候 IT 部自行开发的,系统很好用,也是公司每个员工进入公司时发的计算机上默认安装的应用软件之一。审核员查看了其他几个人的电脑,确认邵某陈述的是实情。
     
    【尚大-参考答案】
    答:
    1、不符合条款:GB/T 22080-2016 A.11.2.9 清理桌面和屏幕策略 应针对纸质和可移动存储介质,采取清理桌面策略,应针对信息处理设施,采用清理屏幕策略。
    不符合事实:审核员审核 MOTECK 公司发现最高敏感性等级的《工艺说明书》在生产部工艺师张某的电脑上开机即可从桌面访问,没有其他控制措施。
    2、不符合条款:GB/T 22080-2016 A.9.1.1 访问控制策略应基于业务和信息安全要求,建立访问控制策略,形成文件或进行评审。
    不符合事实:审核员审核 MOTECK 公司发现最高敏感性等级的《工艺说明书》从每个员工入职时电脑默认安装的 SQ 系统应用软件均可以访问。
     

    ISMS 1803】试题46

    46、审核某公司的体系文件中看到了需要报告所有发生的信息安全事件和发现的技术脆弱性的要求。审核员在询问信息安全管理部长相关记录时,部长回答说,这些我们都在每个管理员手中,各人发现的问题各人负责解决,不需要向我报告。  
    【尚大-参考答案】
    答:
    不符合条款:GB/T  22080-2016  A16.1.3 报告信息安全弱点 应要求使用组织信息系统和服务的员工和合同方注意并报告任何观察到的或可疑的系统或服务中的信息安全弱点。
    不符合事实:审核中发现公司要求报告信息安全和脆弱性,而信息管理部长回答由每个管理员个人发现个人解决,不需要报告。
     

    ISMS 1803】试题47

    47、审核员在审核时,通过观察工作人员使用销售管理信息系统时发现,有人员可以使用相同的权限使用销售管理信息系统。审核员进一步了解,系统管理员解释说,该系统仍在开发中,但公司业务需要,所以就一边用一边开发,等待完成后再考虑按角色需要授权访问。  
    【尚大-参考答案】
    答:
    不符合条款:GB/T 22080-2016 A.9.4.1 信息访问限制 应按照访问控制策略限制对信息和应用系统功能的访问。
    不符合事实:审核员审核观察发现,所有人员可以使用相同的权限使用销售管理信息系统。
     
    <尚大教育,教育至上,人才为大:sdedu.cc>
    来顶一下
    返回首页
    返回首页
    上一篇:2018年3月-信息安全管理体系(ISMS)下午审核知识试卷-【41-42题】
    下一篇:2018年3月-信息安全管理体系(ISMS)下午审核知识试卷-参考答案
     相关文章
     
     
    跟贴共
    查看完整评论
    笔 名 :   验证码:
    网友评论仅供其表达个人看法,并不表明尚大教育同意其观点或证实其描述
    距离2021年5月22-23日审核员考试还有
    尚大CCAA交流群:296661694
    CCAA推荐
    更多>>
    京ICP备12019404号 京公网安备11010702001172号   Copyright © 2008-2019 官网唯一指定域名:https://www.sdedu.cc(其他为仿冒山寨网站 请慎重点击) 公司地址:北京市石景山区京原路19号院4号楼十层1011房