登录   |   注册
    准考证打印   论文投票   报考指南   论文辅导   软考培训   郑重申明  
您现在的位置:  首页 > 审核员考试学苑 > 信息安全管理体系审核员 > 历年考题 >> 正文
正文
2018年9月-信息安全管理体系(ISMS)下午审核知识试卷--【43-47题】
来源:尚大教育-CCAA审核员 作者:尚大教育 时间;2019-08-19 点击数: 尚大CCAA流群:296661694
四、案例分析题(每题 6 分,共 5 题,共 30 分)
请对以下场景进行分析,写出不符合标准条款的编号(写到最小的阿拉伯数字)及内容, 并写出不符合事实。【ISMS 1809】试题4343、某公司使用SANFOR系统管理公司网络,审核员发现该系统只有两个用户:“ADMIN” 和“SANFOR”,其中 ADMIN 用户同时拥有制定上网策略、配置实施上网策略、日志中心 审
<尚大教育,教育至上,人才为大:sdedu.cc>

案例分析题(每题 6 分,共 5 题,共 30 分)

 
请对以下场景进行分析,写出不符合标准条款的编号(写到最小的阿拉伯数字)及内容, 并写出不符合事实。

ISMS 1809】试题43

43、某公司使用SANFOR系统管理公司网络,审核员发现该系统只有两个用户:“ADMIN” 和“SANFOR”,其中 ADMIN 用户同时拥有制定上网策略、配置实施上网策略、日志中心 审计等权限,SANFOR用户只有查看策略的权限。系统管理员(即ADMIN用户)解释说:“公司人手少,就只设置了我一个人做网管,SANFOR用户是我的领导,平时不过问我的工作。”
 
【尚大-参考答案】
答:
不符合条款:GB/T 22080-2016 A6.1.2信息安全的角色和责任,所有的信息安全责任应予以定义和分配。
不符合事实:审核员审核观察发现,SANFOR 系统中负有信息安全责任的领导并未负起相应的责任和行使权利,而是由下属负责承担。

ISMS 1809】试题44

44、公司信息化系统平台比较多,专门设立了信息化部负责公司的网络服务,询问信息化主管领导:公司是否与IT部门之间签订了网络服务协议,主管领导认为:“这都是公司内部的事情,不涉及到外部供应商,所以公司没有必要与信息化部之间签订网络服务协议”。
 
【尚大-参考答案】
答:
不符合条款:GB/T 22080-2016 A 13.1.2网络服务的安全  所有网络服务的安全机制、服务级别和管理要求应予以确定,并包括在网络服务协议中,无论这些服务是由内部提供的还是外包的。
不符合事实:审核中发现,公司没有与负责公司网络服务的信息化部之间签订网络服务协议。
 

ISMS 1809】试题45

45、某制造企业采用全自动化生产线生产产品。审核员在部件成型车间审核时发现,一份纸质 NOTEBOOK 封面上写着“CMAX01 卷料机异常交接本”,其中用不同笔迹记载着上一 年度8月份以来CMAX-01号设备发生过的异常情况、软件更改、运行参数更改、硬件维护 更换等,当审核员问道这些调整和更改的具体内容、授权情况,以及谁执行的,该车间自动化设备负责人说:都是技术人员自己把握,公司对这些没有具体要求。
【尚大-参考答案】
答:
不符合条款A12.1.2 变更管理
不符合事实:对在部件成型车间“CMAX41卷料机异常交接本”中用不同笔迹记载着上一年度8月份以来CMAX-01型设备发生的异常情况、软件更改、运行参数更改、硬件维护 更换等信息,对于这些调整和更改的信息的具体内容、授权情况,以及谁执行的,公司没有具体要求。

ISMS 1809】试题46

46、“尚大”公司是某行业微电子应用产品的领军企业,该公司将其生产工艺数据的信息安全敏感性等级列为最高级,仅允许对应项目的核心研发人员查阅。审核员在该公司审核时使用的工作房间是F3-8405 公共会议室,该会议室配备了一台公用电脑供会议连接投影使用。 审核员在通过该电脑查看网络共享情况时,发现标识为F3PIE003#计算机上存有1-3季度“产品工艺缺陷统计分析报告” 、“0.13umlogic 工艺说明”,打开可以看到文件中的具体数据,请来工艺部门负责人询问时,该负责人解释说:这是当时为了开会讨论方便,把这些资料放到 F3PIE003#计算机上共享的,这个会议室企业外部的人反正也进不来,这些资料会后没有删除也不会有什么风险。 
【尚大-参考答案】
答:
不符合条款:GB/T 22080-2016 A 11.1.6交接区访问点(例如交接区)和未授权人员可进入的地点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问。
不符合事实:审核中发现,公共会议室的电脑可远程共享访问到公司最高级别保护的生产工艺数据。
 

ISMS 1809】试题47

47、审核员在SD公司审核时发现,公司在上年度更新的《SMEE 网络系统设置标准V5.0》中规定了安全配置基线,审核员问这些基线最近一次的配置时间,网络部负责人回答 说:“这些基线是5年前公司刚搬到现在地址时配置的,因为这些基线太重要了,我们平时不允许随便访问。”审核员问到这些基线是否与《SMEE 网络系统标准 V5.0》规定一致?网络负责人回答说:“当时的网络管理员三年前已经离职了,他离职前应该是查过的,不会有问题,我们其他人没有再次查过。” 
【尚大-参考答案】
答:
不符合条款:GB/T 22080-2016 A 17.1.3 验证、评审和评价信息安全连续性  组织应定期验 证已建立和实现的信息安全连续性控制,以确保这些连续性控制在不利情况下是正当和有效的。
不符合事实:审核中发现,组织的安全配置基线自从三年前网络管理员离职之后就未审查过。
 
<尚大教育,教育至上,人才为大:sdedu.cc>
来顶一下
返回首页
返回首页
上一篇:2018年9月-信息安全管理体系(ISMS)下午审核知识试卷--【41-42题】
下一篇:2018年9月-信息安全管理体系(ISMS)下午审核知识试卷-参考答案
 相关文章
 
 
跟贴共
笔 名 :   验证码:
网友评论仅供其表达个人看法,并不表明尚大教育同意其观点或证实其描述
距离2021年5月22-23日审核员考试还有
尚大CCAA交流群:296661694