登录   |   注册
    准考证打印   论文投票   报考指南   论文辅导   软考培训   郑重申明  
您现在的位置:  首页 > 审核员考试学苑 > 信息安全管理体系审核员 > 历年考题 >> 正文
正文
2018年9月-信息安全管理体系(ISMS)下午审核知识试卷-参考答案
来源:尚大教育-CCAA审核员 作者:尚大教育 时间;2019-08-19 点击数: 尚大CCAA流群:296661694
中国认证认可协会(CCAA)全国统一考试信息安全管理体系(ISMS)审核知识 试卷
2018 年 9 月
题号 一 二 三 四 总分 核分人 得分 注意事项:1、 本试卷满分为 100 分,考试时间 120 分钟,考试形式为:笔试闭卷;2、 考生务必将自己的姓名、身份证号、准考证号填写在试卷密封线内,答案写在试卷指定位置;3、 考
<尚大教育,教育至上,人才为大:sdedu.cc>
中国认证认可协会(CCAA)全国统一考试信息安全管理体系(ISMS)审核知识 试卷
2018 年 9 月
 
题号 总分 核分人
得分            
 

注意事项:

1、 本试卷满分为 100 分,考试时间 120 分钟,考试形式为:笔试闭卷;

2、 考生务必将自己的姓名、身份证号、准考证号填写在试卷密封线内,答案写在试卷指定位置;

3、 考试完毕,试卷上交,不得带出考场。

一、单项选择题(从下面各题选项中选出一个最恰当的答案,并将相应字母填在下表相应位置中。每题 1 分,共 30 分,不在指定位置答题不得分)

     
题号 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20
答案 C C D B D C B B D A D C A A D D C D D D
题号 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40
答案 A D A D C B A B D B                    
 
 

二、多项选择题(从下面各题选项中选出两个或两个以上最恰当的答案,并将答案填在下表相应位置中。每题 2 分,共 20 分,少选、多选、错选均不得分,不在指定位置答题不得分)

题号 31 32 33 34 35 36 37 38 39 40
答案 ABD AC BCD ACD ABD BCD ABD AB BCD ABD


 

三、阐述题(每题 10 分,共 2 题,共 20 分)

ISMS 1809】试题41

  1. A公司的安全策略规定,通过A公司办公楼层的电梯,须凭授权门禁卡刷卡乘电梯。 办公楼电梯门禁卡的发放由物业公司 B负责。A公司完成申请审批流程的人员凭本人身份证及审批单到B公司办理领取相应楼层电梯门禁卡。A公司将物理区域的日常安保管理外包给C公司。中秋节时,A公司举办为期一天的大型活动,邀请200人参加,为了参加者便利,委托C公司统一收集受邀者身份证,统一办理申请审批,统一到B公司办理领取200张电梯门禁卡,然后分发给活动受邀者使用,并于活动结束当天由C公司回收这些电梯门禁卡。11月审核员到A公司审核时发现,C 公司并未将该200张卡退还 B 公司进行销权, 而是自行保存,有其他申请者需要时发放使用,省去了每次跑 B公司办理的麻烦,审核员抽查了几张卡发现,申请者与持有并使用者非同一人,并调阅B公司发卡登记的身份证信息既非现持有并使用者,亦非申请者,发卡登记的身份证信息拥有者目前既不是 A、B、C 公司员工,也不是任何项目合作者,请依据GB/T 22080-2016/ISO/IEC 27001:2013标准,阐述你对上述场景的审核思路。
【尚大-参考答案】
答:
1、查A公司对于在办公楼举办200人活动是否根据(6.1.2)进行了风险评估,得到风险责任人的批准,查相关批准记录。
2、查 A 8.1.1, A公司是否将门禁卡列为公司的资产进行管理,并在使用完毕后进行归还 (A8.1.4),查相关规定和实施方案以及具体经办的责任人。
3、查A 11.1.6, A公司在举办活动前除必要场地,是否对其余场地中有效的信息设施进行了必要的隔离,控制和保护措施(A 11.1.3),查相关措施或会议纪要等内容。
4、查 A 15.1.1,查与 B 公司的合同或协议中,安全策略是否对门卡发放及回收销毁有相关的规定,是否符合公司的安全策略,合同中是否规定了门卡的发放、权限中止或门卡的销毁过程及责任人,查相关合同及发放回收销毁记录。
5、查 A 15.1.2,查与B和 C公司的合同或协议中,是否有对公司的信息安全要求规定及各方责任规定。查C公司的安保协议中是否有对临时情况需要加强安保力量的规定,查当天C公司对活动现场的人员派驻及物理入口(A.11.1.2)例如电梯口是否一人一卡进行控制的记录。
6、查自从活动开始至今,是否有相应的信息安全事件报告(A 16.1.2),是否得到响应,事态是否与违规未收回门卡有关。
7、查 A 15.2.1,是否对 B 公司及 C 公司的服务进行了监控、定期评审。查既往事件是否与 这两家公司的服务水平有关。
8、查公司是否对以上违规使用门禁卡的风险进行了识别,评估,并有处置措施及应急预案。

ISMS 1809】试题42

42、在某公司人事部,审核员向人力资源部负责人了解培训情况时得知,公司负责网络安全的管理人员的培训是请专门的网络安全培训机构进行的。审核员想看看这些人员的培训成绩和证书,该负责人说,证书他们自己保存,我们替他们保存反而不方便。培训成绩在培训机构,你们要看的话,我可以打电话联系让他们发过来,审核员同意并查阅了发过来的成绩, 由于成绩合格,审核员表示满意,并结束了培训的审核。这样的审核是否符合要求?为什么? 如果请你去审核的话,你会怎么做?
【尚大-参考答案】
答:不符合,因为按照GB/T 22080-2016中7.2 能力 b)确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作,d)保留适当的文件化信息作为能力的证据要求,所以不符合要求。     
如果我去审核,先请人力资源部门提供已实施的网络安全培训计划,审查培训内容是否满足公司的信息安全方针(5.2),因为网络安全培训可能涉及公司的机密信息,故由外聘的网络安全培训机构进行网络安全培训前,公司是否进行了风险评估(6.1.2),并得到了风险责任人的批准。 查公司组织机构架构以及岗位设置,对网络安全的相关培训是否覆盖了所有相关的部门及人员,检查培训签到表,是否存在遗漏。询问公司对培训效果如何评估,检查培训记录,是否有效果确认人签字。同时查阅信息安全事件记录,是否有与网络安全意识薄弱的相关事件,公司是否对此加以分析和采取改进措施,适当时作为后续培训的材料。与相关部门员工就网络安全内容进行约谈,过程中观察员工是否具有相关的网络安全意识,满足方针中信息安全目标,以此判断是否达到了培训设计的目标(7.3) 查看人事部其他相关信息安全培训的记录是否齐全(7.2 d),满足文件化信息的要求 (7.5)。
 

案例分析题(每题 6 分,共 5 题,共 30 分)

 
请对以下场景进行分析,写出不符合标准条款的编号(写到最小的阿拉伯数字)及内容, 并写出不符合事实。

ISMS 1809】试题43

43、某公司使用SANFOR系统管理公司网络,审核员发现该系统只有两个用户:“ADMIN” 和“SANFOR”,其中 ADMIN 用户同时拥有制定上网策略、配置实施上网策略、日志中心 审计等权限,SANFOR用户只有查看策略的权限。系统管理员(即ADMIN用户)解释说:“公司人手少,就只设置了我一个人做网管,SANFOR用户是我的领导,平时不过问我的工作。”
 
【尚大-参考答案】
答:
不符合条款:GB/T 22080-2016 A6.1.2信息安全的角色和责任,所有的信息安全责任应予以定义和分配。
不符合事实:审核员审核观察发现,SANFOR 系统中负有信息安全责任的领导并未负起相应的责任和行使权利,而是由下属负责承担。

ISMS 1809】试题44

44、公司信息化系统平台比较多,专门设立了信息化部负责公司的网络服务,询问信息化主管领导:公司是否与IT部门之间签订了网络服务协议,主管领导认为:“这都是公司内部的事情,不涉及到外部供应商,所以公司没有必要与信息化部之间签订网络服务协议”。
 
【尚大-参考答案】
答:
不符合条款:GB/T 22080-2016 A 13.1.2网络服务的安全  所有网络服务的安全机制、服务级别和管理要求应予以确定,并包括在网络服务协议中,无论这些服务是由内部提供的还是外包的。
不符合事实:审核中发现,公司没有与负责公司网络服务的信息化部之间签订网络服务协议。
 

ISMS 1809】试题45

45、某制造企业采用全自动化生产线生产产品。审核员在部件成型车间审核时发现,一份纸质 NOTEBOOK 封面上写着“CMAX01 卷料机异常交接本”,其中用不同笔迹记载着上一 年度8月份以来CMAX-01号设备发生过的异常情况、软件更改、运行参数更改、硬件维护 更换等,当审核员问道这些调整和更改的具体内容、授权情况,以及谁执行的,该车间自动化设备负责人说:都是技术人员自己把握,公司对这些没有具体要求。
【尚大-参考答案】
答:
不符合条款A12.1.2 变更管理
不符合事实:对在部件成型车间“CMAX41卷料机异常交接本”中用不同笔迹记载着上一年度8月份以来CMAX-01型设备发生的异常情况、软件更改、运行参数更改、硬件维护 更换等信息,对于这些调整和更改的信息的具体内容、授权情况,以及谁执行的,公司没有具体要求。

ISMS 1809】试题46

  1. “尚大”公司是某行业微电子应用产品的领军企业,该公司将其生产工艺数据的信息安全敏感性等级列为最高级,仅允许对应项目的核心研发人员查阅。审核员在该公司审核时使用的工作房间是F3-8405 公共会议室,该会议室配备了一台公用电脑供会议连接投影使用。 审核员在通过该电脑查看网络共享情况时,发现标识为F3PIE003#计算机上存有1-3季度“产品工艺缺陷统计分析报告” 、“0.13umlogic 工艺说明”,打开可以看到文件中的具体数据,请来工艺部门负责人询问时,该负责人解释说:这是当时为了开会讨论方便,把这些资料放到 F3PIE003#计算机上共享的,这个会议室企业外部的人反正也进不来,这些资料会后没有删除也不会有什么风险。
 
【尚大-参考答案】
答:
不符合条款:GB/T 22080-2016 A 11.1.6交接区访问点(例如交接区)和未授权人员可进入的地点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问。
不符合事实:审核中发现,公共会议室的电脑可远程共享访问到公司最高级别保护的生产工艺数据。
 

ISMS 1809】试题47

  1. 审核员在SD公司审核时发现,公司在上年度更新的《SMEE 网络系统设置标准V5.0》中规定了安全配置基线,审核员问这些基线最近一次的配置时间,网络部负责人回答 说:“这些基线是5年前公司刚搬到现在地址时配置的,因为这些基线太重要了,我们平时不允许随便访问。”审核员问到这些基线是否与《SMEE 网络系统标准 V5.0》规定一致?网络负责人回答说:“当时的网络管理员三年前已经离职了,他离职前应该是查过的,不会有问题,我们其他人没有再次查过。”
 
【尚大-参考答案】
答:
不符合条款:GB/T 22080-2016 A 17.1.3 验证、评审和评价信息安全连续性  组织应定期验 证已建立和实现的信息安全连续性控制,以确保这些连续性控制在不利情况下是正当和有效的。
不符合事实:审核中发现,组织的安全配置基线自从三年前网络管理员离职之后就未审查过。
 
 


 
<尚大教育,教育至上,人才为大:sdedu.cc>
来顶一下
返回首页
返回首页
上一篇:2018年9月-信息安全管理体系(ISMS)下午审核知识试卷--【43-47题】
下一篇:2018年9月-信息安全管理体系(ISMS)上午基础知识试卷--【1-10题】
 相关文章
 
 
跟贴共
笔 名 :   验证码:
网友评论仅供其表达个人看法,并不表明尚大教育同意其观点或证实其描述
距离2021年5月22-23日审核员考试还有
尚大CCAA交流群:296661694