2018年3月-信息安全管理体系（ISMS）下午审核知识试卷-参考答案

一、单项选择题（从下面各题选项中选出一个最恰当的答案，并将相应字母填在下表相应位置中。每题 1 分，共 30 分，不在指定位置答题不得分）

     

题号	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16	17	18	19	20
答案	B	D	A	B	B	A	D	C	C	A	B	D	D	D	B	D	A	A	B	A
题号	21	22	23	24	25	26	27	28	29	30	31	32	33	34	35	36	37	38	39	40
答案	A	D	C	D	A	C	B	A	B	C

 

二、多项选择题（从下面各题选项中选出两个或两个以上最恰当的答案，并将答案填在下表相应位置中。每题 2 分，共 20 分，少选、多选、错选均不得分，不在指定位置答题不得分）

题号	31	32	33	34	35	36	37	38	39	40
答案	ABCD	ABD	AC	ABD	ABD	AB	BD	BCD	ABCD	ABC

三、阐述题（每题 10 分，共 2 题，共 20 分）

【ISMS 1803】试题41

1. 阐述实施审核时针对标准取证应包含哪些基本内容，并举例说明。

【尚大-参考答案】
答：在对 ISO27001 进行审核取证时，基于 PDCA 思维，应注意特有的保密性，基于风险的原则。
例如对适用性声明（SOA）的审核时，应关注以下方面：
4.1理解组织及其环境，组织的内外部环境是什么，SOA 与其是否有冲突，不当删减控制措施的方面。
4.2理解相关方的需求和期望，相关方对组织有什么期望，查相关法律法规要求在 SOA 的体现。
4.3确定信息安全管理体系范围，查 SOA 是否满足范围文件的定义。
5.2 方针，查信息方针文件，SOA 的控制是否满足。
6.1.2风险评估中 SOA 是否能满足接受准则，识别分析评价，查相关文件信息。
6.1.3信息安全风险处置，查 6.1.3b)中确定的所有控制与 SOA 比较，验证没有忽略必要的控制。
8.2 是否按 6.1.2 计划的时间间隔，或当重大变更提出或发生时，风险评估如涉及 SOA 控制措施是否做了相应修改，查风险评估报告。
在相应的监视和测量、分析和评价过程中，如内审、管评、是否有控制措施修改，是否在 SOA 中体现，查相关评审记录。

【ISMS 1803】试题42

1. AOXI  公司面向签约客户提供“数据中心机房基础设施运营服务”，对于客户方设备，运维工程师进入机房的授权流程为：

1）客户方提供书面签章文件，列明为申请授权指定的联络人，联络的邮箱地址。
2）AOXI 公司建立邮件人及地址白名单。
3）白名单中的联络人使用指定邮箱为每次需进入的机房的工程师申请进入授权。
4）AOXI 公司按邮件核实工程师本人信息，予以授权。
客户方的联络邮件人和邮箱地址一旦进入公司白名单即永久有效，请针对该场景依据GB/T22080-2016 标准阐述你的审核思路。
【尚大-参考答案】
答：
针对以上情景，审核思路为根据 GB/T22080-2016 标准，是否在 6.1.2信息安全风险评估中充分识别了风险，采取了对应的控制措施 6.1.3信息安全风险处置，8.1运行规划和控制中控制实施控制，根据 9.1 监视、测量、分析和评价控制是否有效。
具体为：
6.1.2 及 6.1.3 识别及处置
1.授权流程中是否有控制手段确认申请邮件是由客户方发出的，且真实有效， 例如用客户方私钥加密授权。
2.用邮箱白名单中的联络人使用指定邮箱为每次需进入机房的工程师申请进入授权过程时，是否有相应控制措施避免误发、转发或冒用。
A.11.1.2 物理入口控制
在得到授权后，如何下发相关获准进入 AOXI 公司的工程师信息，在物理入口现场处加以验证。
12.1.2 变更管理
识别对客户方的邮件联络人和邮箱地址一旦进入 AOXI 公司白名单即永久有效这一过程的风险，对发生客户联络人离职、变更职责后，但联络人和邮箱地址永久有效这一措施是否进行过风险评估，与客户解除合同后，仍保留相关信息在白名单等风险是否能够接受， 能够满足 AOXI 公司的业务和信息安全需求？如不能接受，是否有相应的风险处置措施。同时检查评估报告和处置计划。
9.1 监视、测量、分析和评价控制是否有效。
检查历史上的安全事件，是否有关于信息安全事件是否与客户方进入 AOXI 公司相关的事件，包括已成功和未成功的。是否用风险接受准则加以评估，评估结果是否启动处置计划。如有，该事件是否作为内审和管理评审的输入加以评审，查评审记录。
 

四、案例分析题（每题 6 分，共 5 题，共 30 分）

 
请对以下场景进行分析，写出不符合标准条款的编号（写到最小的阿拉伯数字）及内容， 并写出不符合事实。

【ISMS 1803】试题43

1. 审核员检查机房时对门禁权限进行随机抽查时发现，陈某已经离职，但系统中的门禁权限未发生变更。

 
【尚大-参考答案】
答：
不符合条款:GB/T 22080-2016 A.9.2.6 访问权的移除或调整 所有员工和外部用户对信息和信息处理设施的访问权在任用、合同或协议终止时，应予以移除，或在变更时予以调整。
不符合事实：审核员审核门禁权限时，发现已离职的陈某在系统中的门禁权限未变更。

【ISMS 1803】试题44

1. 审核员在公司的资产登记表中发现，公司于年初将一批之前购置的电脑特价处理给员工，这些电脑原用于核心业务系统。当询问系统管理员是否在出售前进行了格式化处理， 该系统管理员说：“由于当时新进了许多新的电脑设备，需要安装调试，没空处理老的电脑，再说这些都是卖给自己员工的，他们本身就接触到这些信息。”

 
【尚大-参考答案】
答：
不符合 GB/T22080-2016 中 A 11.2.7 设备的安全处置或再利用 包含有存储介质的设备的所有项目应予以验证以确保任何敏感数据和有许可权的软件已被移除或安全改写。
不符合事实：受审核单位将原有用于核心业务系统的一批之前购置的电脑处理给内部员工，出售前未将敏感信息安全删除。
 

【ISMS 1803】试题45

45、审核员在 MOTECK 公司生产部审核时发现，公司将其产品制造的《工艺说明书》确定为最高敏感性等级的信息资产，规定仅生产部工艺师张某一人可以访问，审核员询问张某是否可以展示《工艺说明书》的访问控制，张某说可以，随即走到自己的工位并开机后， 指着屏幕上“SQ”字样的应用图标说道：“这就是我们用专门用来访问服务器上存放《工艺说明书》文件的应用系统。”随即张某用鼠标打开该系统，审核员看到展开的目录中确实存有该《工艺说明书》的各历史版本，并注意到 SQ 系统页面上端显示出服务器地址为：*.*.16.17。看到审核员很关注 SQ系统，一直跟随审核的IT部经理邵某解释说，这个SQ 系统是早年公司成立的时候 IT 部自行开发的，系统很好用，也是公司每个员工进入公司时发的计算机上默认安装的应用软件之一。审核员查看了其他几个人的电脑，确认邵某陈述的是实情。
 
【尚大-参考答案】
答：
1、不符合条款:GB/T 22080-2016 A.11.2.9 清理桌面和屏幕策略 应针对纸质和可移动存储介质，采取清理桌面策略，应针对信息处理设施，采用清理屏幕策略。
不符合事实：审核员审核 MOTECK 公司发现最高敏感性等级的《工艺说明书》在生产部工艺师张某的电脑上开机即可从桌面访问，没有其他控制措施。
2、不符合条款:GB/T 22080-2016 A.9.1.1 访问控制策略应基于业务和信息安全要求，建立访问控制策略，形成文件或进行评审。
不符合事实：审核员审核 MOTECK 公司发现最高敏感性等级的《工艺说明书》从每个员工入职时电脑默认安装的 SQ 系统应用软件均可以访问。
 

【ISMS 1803】试题46

1. 审核某公司的体系文件中看到了需要报告所有发生的信息安全事件和发现的技术脆弱性的要求。审核员在询问信息安全管理部长相关记录时，部长回答说，这些我们都在每个管理员手中，各人发现的问题各人负责解决，不需要向我报告。

 
【尚大-参考答案】
答：
不符合条款:GB/T  22080-2016  A16.1.3 报告信息安全弱点 应要求使用组织信息系统和服务的员工和合同方注意并报告任何观察到的或可疑的系统或服务中的信息安全弱点。
不符合事实：审核中发现公司要求报告信息安全和脆弱性，而信息管理部长回答由每个管理员个人发现个人解决，不需要报告。
 

【ISMS 1803】试题47

1. 审核员在审核时，通过观察工作人员使用销售管理信息系统时发现，有人员可以使用相同的权限使用销售管理信息系统。审核员进一步了解，系统管理员解释说，该系统仍在开发中，但公司业务需要，所以就一边用一边开发，等待完成后再考虑按角色需要授权访问。

 
【尚大-参考答案】
答：
不符合条款:GB/T 22080-2016 A.9.4.1 信息访问限制 应按照访问控制策略限制对信息和应用系统功能的访问。
不符合事实：审核员审核观察发现，所有人员可以使用相同的权限使用销售管理信息系统。