Companynumber:【WTUT-WT88Y-W8BBGB-BWYTT-19998】
信息安全管理体系内审员考试试题
一、单项选择题(每题1分,共15分)从以下每题的几个答案中选择一个你认为最合适的,并将答案代号填入()中。
1.ISO/IEC27001从的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。a)客户安全要求b)组织整体业务风险c)信息安全法律法规d)以上都不对
2.组织声称符合ISO/IEC27001时,的要求可删减a)第4章b)第5章c)第7章d)附录A
3.审核准则是指
a)一组方针、程序或要求b)一组能够证实的记录、事实陈述或其他信息
c)一组约束审核行为的规范d)以上都不对
4.审核计划
a)应由受审核方确认,可适当调整b)一经确定,不能改动c)受审核方可随意改动d)以上都不对
()5.以下哪一种描述不适合信息安全管理体系
a)是指国家对各重要信息系统实施信息安全管理的行政管理结构
b)是整个管理体系的一部分,它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的
c)建立信息安全方针和目标,并实现这些目标的相互关联或相互作用的一组要素
()7.现场跟踪验证a)只适用于一般不符合项b)只适用于严重不符合项c)只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项d)以上都不对
()8.负责审核计划、协调审核活动并在审核活动中领导审核活动a)审核小组成员b)信息安全经理c)审核小组组长d)以上都不是()
()10.审核类型将由审核员和被审核组织的关系来确定,因此内部审核又称为a)第一方审核b)第二方审核c)第三方审核d)以上都不对
()11.组织通过信息安全管理体系认证则a)表明组织已不存在不符合项b)表明体系具备保护组织信息资产的能力c)表明组织已达到了其信息安全目标d)以上都不对
()12.对于ISMS审核组而言,以下哪一种要求不是必须的a)信息安全的理解b)从业务角度对风险评估和风险管理的理解
二、多项选择题(每题2分,共10分)从以下每题的答案中选择一个或多个你认为合适的,并将答案代号填入()中。
()1.ISMS第1阶段审核的目的是a)获取对组织信息安全管理体系的了解和认识b)了解客户组织的审核准备状态c)为计划2阶段审核提供重点d)确认组织的信息安全管理体系符合标准或规范性文件的所有要求
()2.按照审核的先后顺序划分,审核包括
a)第一阶段审核b)第二阶段审核c)监督审核d)再认证审核
()3.审核方案和审核计划的区别包括a)范围不同b)制定者不同c)实施者不同d)内容不同()4.以下属于审核组长的职责。a)确定审核的需要和目的b)组织编制现场审核有关的工作文件
日程安排三、判断题(每题1分,共10分)下列各题中,你认为正确的在()中划“√”,错误的划“×”。()1.纠正是指为消除已发现的不符合或其他不期望情况的原因所采取的措施。()2.因信息安全问题在任何组织中都可能存在,所以组织在实施ISMS时,不能删减标准中
任何安全控制措施的条款。()3.信息安全管理体系的范围必须包括组织的所有场所和业务,
这样才能保证安全。()4.记录可提供符合信息安全管理体系要求和有效运行的证据。()5.资产越重要,其安全风险值就越大。()6.信息安全管理体系审核组内必须有一名技术专家,提供信息安全的专门知识。()7.审核证据是指与审核有关的,并且能够证实的记录、事
实陈述或其他信息。()8.审核报告的内容必须与末次会议的内容基本一致。()9.现场审
核过程中,受审核方为审核组配备的向导可参与审核的全过程,但不能对受审核人员的回答做出澄清或提供帮助。()10.审核组长在末次会议中应该对受审核方是否通过认证给出结论。
四、简答题(每题5分,共15分)1.管理者在信息安全管理体系的建立和实施过程中起到关
键的作用,请指出ISO27001:2005中哪些条款体现了“管理者的作用”,至少举出2个条款并简
要说明。
五、阐述题(每题10分,共20分)1.如何依据ISO/IEC27001:2005审核,组织应确保
雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。
2.在某公司人事部,审核员向人力资源部负责人了解培训情况时得知,公司负责网络安全6的管理人员的培训是请专门的网络安全培训机构进行的。审核员想看看这些人员的培训成绩及证书,该负责人说,证书他们自己保存,我们替他们保存反而不方便。培训成绩在培训机构,你们
格,审核员表示满意,并结束了培训的审核。这样的审核是否符合要求为什么如果请您去审核,
您会怎么做
六、案例分析题(每题6分,共30分)请根据所述情况判断:如能判断有不符合项,请写出不符合ISO27001:2005标准的条款号、内容和严重程度,并写出不符合事实,如提供的证据
不能足以判断有不符合项时,请写出进一步审核的思路。判分标准:不符合和内容2分,不符
合事实描述2分,不符合的严重程度2分。1.审核员在某公司机房查阅Web服务器日志时发现,该服务器经常重启,管理人员说,这台服务器在刚买回来时,还没有问题,但最近几天经常