一、单选题
1、审核原则要求()是审核的公正性和审核结论客观性的基础。
A、(A)系统性
B、(B)严格性
C、(C)独立性
D、(D)可追踪性
2、1999年,我国发布的第一个信息安全等级保护的国家标准GB17859-1999,提出将信息系统的安全等级划分为()个等级,并提出每个级别的安全功能要求。
A、(A)7
B、(B)8
C、(C)6
D、(D)5
3、强制访问控制是针对()等级的信息系统的要求。
A、(A)二级(含)以上
B、(B)三级(含)以上
C、(C)四级(含)以上
D、(D)五级
4、关于GB/T22080-2016/ISO/IEC27001:2013标准,下列说法错误的是()。
A、(A)标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求
B、(B)标准中所表述要求的顺序反映了这些要求要予实现的顺序
C、(C)信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中
D、(D)信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性
5、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为()。
A、ISO/IEC 27002
B、ISO/IEC 27003
C、ISO/IEC 27004
D、ISO/IEC 27005
6、ISMS管理评审的输出应包括()。
A、(A)可能影响ISMS的任何变更
B、(B)以往风险评估没有充分强调的脆弱点或威胁
C、(C)风险评估和风险处理计划的更新
D、(D)改进的建议
7、在制定ISMS审核方案时,应考虑组织ISMS的规模,以下条款与ISMS规模有关的是()。
A、(A)体系覆盖的人数
B、(B)使用的信息系统的数量
C、(C)用户的数量
D、(D)其他选项都正确
8、对于“监控系统”的存取与使用,下列正确的是()。
A、监控系统所产生的记录可由用户任意存取
B、计算机系统时钟应予同步
C、只有当系统发生异常事件及其他安全相关事件时才需进行监控
D、监控系统投资额庞大,并会影响系统效能,因此可以予以暂时省略
9、关键信息基础设施的运营者采购网络产品和服务,应当按照规定与提供者签订()协议,明确安全和保密义务与责任。
A、(A)安全保密
B、(B)安全保护
C、(C)安全保障
D、(D)安全责任
10、关于第三方认证的监督审核,以下说法不正确的是()。
A、(A)可以与其他监督活动一起策划
B、(B)目的在于认证机构对获证客户信息安全管理体系在认证周期内持续满足要求保持信任
C、(C)每次监督审核应包括对内审、管理评审和持续的运作控制的审核
D、(D)不一定是对整个体系的审核,不一定是现场审核
11、开发、测试和()设施应分离,以减少未授权访问或改变运行系统的风险。
A、(A)配置
B、(B)系统
C、(C)终端
D、(D)运行
12、以下可认定为审核范围变更的事项是()。
A、(A)受审核组织增加一个制造场所
B、(B)受审核组织职能单元和人员规模增加
C、(C)受审核组织业务过程增加
D、(D)以上全部
13、关于信息安全风险评估,以下说法正确的是()。
A、(A)包括资产分析、风险识别、风险评估
B、(B)包括风险识别、风险分析、风险评价
C、(C)包括风险识别、风险分析、风险处置
D、(D)包括风险沟通、风险分析、风险评价
14、下列不属于GB/T220802016/ISO/IEC27001:2013附录A中A8资产管理规定的控制目标的是()。
A、(A)资产归还
B、(B)资产分发
C、(C)资产的处理
D、(D)资产清单
15、关于审核组的现场审核,以下说法错误的是()。
A、(A)审核组在审核期间现场可根据受审核方实际情况及时变更审核范围
B、(B)审核组在审核期间现场可调整車核路线和审核资源分配
C、(C)审核组遇到重大风险应报告委托方以决定后续措施
D、(D)审核组遇到重大风险应报告受审核方以决定后续措施
16、员工察觉“安全及失效事件”发生时,应立即采取何种行动?()
A、(A)分析事件发生的原因
B、(B)尽快将事件掩盖过去
C、(C)修正信息安全自标
D、(D)按适当的管理途径尽快报告
17、审核方案是指()。
A、(A)对一次审核活动和安排的描述
B、(B)针对特定时间段所策划,并具有特定目的的一组(一次或多次)审核
C、(C)对“查什么”和“怎么查”的策划
D、(D)以上都不对
18、现场审核时间应该包括()。
A、(A)文件评审时间
B、(B)首、末次会议的时间
C、(C)编写审核报告的时间
D、(D)午餐时间
19、某单位由于终端多,信息安全维护工作量大,但IT人员不足,应采用哪种风险控制策略?()
A、(A)降低
B、(B)规避
C、(C)接受
D、(D)转移
20、下列哪个不是审核计划必须的内容?()
A、(A)受审核方的联系人
B、(B)审核目的
C、(C)审核范围
D、(D)预计的现场审核持续时间
21、GB/T 22081-2016/ISO/IEC 27002:2013标准是由()提出并归口。
A、全国信息技术标准化技术委员会
B、全国信息安全标准化技术委员会
C、全国认证认可标准化技术委员会
D、全国公共安全基础标准化技术委员会
22、审核时发现A公司的机房货物出入口处,送设备的车辆在进行货物搬运,工人搬运货物的同时,公司人员在进行设备的包装拆解和设备往机房内的搬运,询问相关工作人员回答说本次设备比较多,空间有限时间紧,所以一边搬运货物,一边转移到机房内。这种情况不符合GB/T22080-2016标准的()要求。
A、(A)A11.1.5在安全区域工作
B、(B)A11.1.6交接区
C、(C)A11.2.7设备的安全处置和再利用
D、(D)A11.1.2物理入口控制
23、信息安全管理中,“远程访问”指()。
A、(A)访问者的物理位置与被访问客体不在一个城市
B、(B)访问者的物理位置与被访问客体的距离大于30米
C、(C)访问者的物理位置与被访问客体的距离大于15米
D、(D)访问者从并不永久连接到所访问网络的终端访问资源
24、以下说法正确的是()。
A、(A)审核组的每一次审核,均应向委托方提交审核报告
B、(B)认证审核的一阶段审核,可视情况决定是否需要提交审核报告
C、(C)监督审核不要求提交审核报告
D、(D)特殊审核可视情况决定是否需要提交审核报告
25、在每天下午5点使用计算机结束时断开终端的连接属于()。
A、(A)外部终端的物理安全
B、(B)通信线的物理安全
C、(C)窃听数据
D、(D)网络地址欺骗
26、信息安全管理措施不包括()。
A、(A)安全策略
B、(B)物理和环境安全
C、(C)访问控制
D、(D)安全范围
27、依据GB/Z20986,信息安全事件等级划分为()。
A、(A)重大(I级)、严重(II级)、一般(III级)
B、(B)特别重大(IV级)、重大(III级)、严重(II级)、一般(I级)
C、(C)特别重大(I级)、重大(II级)、较大(III级)、一般(IV级)
D、(D)特别严重(III级)、严重(II级)、一般(I级)
28、以下不符合“责任分割”原则的做法是()。
A、(A)不同职级人员工作区域隔离
B、(B)保持安全审核人员的独立性
C、(C)授权者、操作者和监视者三者责任分离
D、(D)事件报告人员与事件处理人员职责分离
29、依据GB/T22080-2016/ISO/IEC27001:2013,不属于供方服务监视和评审范畴的是()。
A、(A)监视和评审服务级别协议的符合性○
B、(B)监视和评审服务方人员聘用和考核的流程
C、(C)监视和评审服务交付遵从协议规定的安全要求的程度
D、(D)监视和评审服务方跟踪处理信息安全事件的能力
二、多选题
30、ISMS审核范围的确定应考虑()。
A、业务范围和边界
B、组织的范围和边界
C、物理范围和边界
D、资产范围和边界
31、()是ISMS关键成功因素。
A、(A)用于评价信息安全管理执行情况和改进反馈建议的测量系统
B、(B)信息安全方针、目标和与目标保持一致的活动
C、(C)有效的业务连续性管理方法
D、(D)有效的信息安全事件管理过程
32、关于“审核发现”,以下说法不正确的是()。
A、(A)审核发现即审核员观察到的事实
B、(B)审核发现可以表明正面的或负面的结果
C、(C)审核发现即审核组提出的不符合项报告
D、(D)审核发现即审核结论意见
33、某云服务商,对其物理架构资源的故障类型进行统计分析,依据分析结果制定和更新《设备生命周期管理计划》,规定关键资源的预防性维护要求。这符合GB/T22080-2016标准哪些条款的要求()。
A、(A)A16.1.6
B、(B)9.1
C、(C)6.1.3
D、(D)A17.2.1
34、认证审核时,对于审核组提出的不符合审核准则的审核发现,以下说法不正确的是()。
A、(A)受审核方负责采取纠正措施,纠正措施的实施是审核活动的部分
B、(B)审核组须验证纠正措施的有效性,纠正措施的实施不是审核活动的一部分
C、(C)审核组须就不符合项的原因分析提出建议,确定纠正措施是否正确
D、(D)采取纠正措施是受审核方的职责,审核组什么都不做
35、依据GB/Z20986,确定为重大社会影响的情况包括()。
A、(A)涉及到一个或多个地市的大部分地区
B、(B)威胁到国家安全
C、(C)扰乱社会秩序
D、(D)对经济建设有重大负面影响
36、以下对于“安全方针”的叙述,正确的是()。
A、(A)管理层应设定一个明确的政策方向,展现对信息安全的支持与承诺
B、(B)安全方针应以适当方式向所有员工公布与宜导
C、(C)安全方针应有人依据规定的审核过程对其进行维护与审核
D、(D)安全方针经确定仅有安全管理员可以修订
37、关于适用性声明,以下说法正确的是()。
A、(A)每个认证范围至少有一个适用性声明
B、(B)适用性声明是一份描述选择或不选择的控制措施的文件
C、(C)认证机构须承诺保密不得向外界披露适用性声明的版本
D、(D)适用性声明文件的版本应得到维护
38、为了实现在网络上自动标识设备,以下做法正确的是()。
A、(A)启用DHCP动态分配IP地址功能
B、(B)为网络设备分配固定IP地址
C、(C)将每一台计算机MAC与一个IP地址绑定
D、(D)采取有效措施禁止修改MAC
39、与认证机构抽取具有代表性场所相关的因素是()。
A、(A)总部及其他场所的内部审核的结果
B、(B)管理评审的结果
C、(C)场所规模的差异
D、(D)各场所业务目的的差异
三、填空题
40、审核员在A公司审核时发现,该公司的服务器由A公司提供,且包含维保服务。公司主管介绍对A公司的服务进行了跟踪和评价,并提供记录。如果你是审核员,你如何审核对供方的安全管理?
参考答案:作为审核员,除了了解服务进行了跟踪和评价,还应核查组织对供方的安全管理过程,至少包括以下几方面: 1)组织是否制定有相关的供方管理程度文件。 2)查组织是否形成了合格供方名单,名单中是否记录了供方类型,例如:IT服务,物流、金融服务IT基础设施组件等类别。 3)查供方对组织的信息访问都有哪些类型和内容,并到组织的该信息处理设施处进行核查其权限分配,且继续核查组织是否定期对供方商的访问权限进行评审。 4)查组织与供方的合同协议,内容中是否有信息安全相关的要求内容,内容应有数据保护、知识产权和版权,以及对如何确保满足这些要求的描述。是否在协议中明示了哪些信息处理设施和信息可以访问。抽取3-5份与供方的《供方维保合同》: 5)查供方在协助组织完成部分工作或产品之前是有相应的保密承诺,抽取3-5份与供方的《保密协议》: 6)在供方协助组织完成部分工作或产品过程中,组织是否对供方过程进行了相应的监视和定期评审,抽取3-5份评审表。 7)查供方在运行过程中是否发生过服务变更的情况,组织是如何对变更进行管理的:与组织相关负贵人了解运行过程中变更的控制情况,若有记录,进行抽取3-5份。 8)查供方在运维过程中,是否发生过信息安全事件及重大信息安全事件,对事件是如何处理的?查事件的后果及影响程度,组织是否对事件进行了处置。 9)若供方提供的服务发生变更后,是否对供方的访问权限等内容进行了重新评审。 10)若供方提供的服务发生变更后,是否实施了风险评估,查风险评估过程文档。 11)是否对A公司运维人员进行了信息安全方面的培训或告知,抽3-5份告知书或培训记录: 12)供方提供运维服务中是否明确了运维人员的姓名和电话及信息安全风险责任人,当发生信息安全事件时,谁承担其责任。
41、请阐述如何依据GB/T22080-2016/ISO/IEC27001:2013标准A16条款的要求进行审核?
参考答案:(1)询问相关责任人,查阅文件3-5份,了解如何规定对信息安全事件进行总结的机制?该机制中是否明确定义了信息安全事件的类型?该机制是否规定了量化和监视信息安全事件类型、数量和代价的方法和要求,并包括成功的和未遂事件? (2)查阅监视或记录3-15条,查阅总结报告文件3-5份,了解是否针对信息安全事件进行测量,是否就类型、数量和代价进行了量化的总结,并包括成功的和未遂事件。 (3)查阅文件和记录以及访问相关责任人,核实根据监视和量化总结的结果采取后续措施有效防止同类事件的再发生。
四、简答题
42、某保险公司A将其保险业务数据备份磁盘送专业数据存储服务公司B保存,后来B公司破产,服务合同终止。审核员询问A公司数据安全经理之前存在B公司的磁盘怎么处理?该经理回答:“那些磁盘存的都是旧的业务数据,公司还另有一份完整备份,存在我们自己的数据中心,所以不影响业务。B公司自己怎么处理那些磁盘我们不再介入”。
参考答案:不符合GB/T22080-2016中A8.3.2条款:应使用正式的规程安全地处置不再需要的介质。 不符合事实:保险公司A将其保险业务数据备份磁盘送专业数据存储服务公司B保存,B公司破产后,数据安全经理说:“那些磁盘存的都是旧的业务数据,不影响业务。B公司自己怎么处理那些磁盘我们不再介入”。
43、审核员在审核过程中发现组织某系统操作手册规定系统出现运行问题时可以请求开发商进行帮助,抽查相关记录时发现,企业在年中进行价格策略调整时,调整配置工作是由开发人员测试帐号完成的。
参考答案:不符合条款:GB/T22080-2016中A9.4.1信息访问限制应按照访问控制策略限制对信息和应用系统功能的访问。 不符合事实:该单位年中价格策略调整配置工作是由开发人员测试帐号完成的。
44、审核员抽查员工承担的工作职责时发现,过去P年有3名员工因工作需要调整了工作岗位,审核员访问了其中一位调岗后原有岗位还有什么安全责任,其是公司的产品设计师,该设计师回答:“有人告诉我还有什么责任,应该没有了,已经有人接替我的工作了”。
参考答案:不符合GB/T22080-2016中A7.3,1条款:应确定任用终止或变更后仍有效的信息安全责任及其职责,传达至员工或合同方并执行。 不符合事实:审核员抽查因工作需要调整了工作岗位的3名员工的安全责任,其中一位设计师回答:“没有人告诉我还有什么责任,应该没有了,已经有人接替我的工作了”。
45、A公司是某行业微电子应用产品的领军企业,该公司将其生产工艺数据的信息安全敏感性等级列为最后高级,仅许可对应项目的核心研发人员查阅。审核员在该公司审核时使用的工作房间是3-8405公共会议室,该会议室配备了一台公共电脑在会议供会议连接投影仪用。审核员通过该电脑查看网络共享情况时,发现标识为F3PIE003#的计算机上存有1~3季度“产品工艺统计分析报告”、“0.13μmlogic工艺说明”,打开可以看到文件中的具体数据,请来工艺部门负责人询问时,该负责人解释说:“是当时为了开会讨论方便,把这些资料放到F3PIE003#的计算机上共享的。”这个会议室企业外面的人反正也进不来,这些资料会后没有删除也不会有什么风险。
参考答案:不符合GB/T22080-2016中条款A11.1.6访问点(例如交接区和未授权人员可进入的其他点应加以控制,如果可能,应与信息处理设施隔离,以避免未授权访问。 不符合事实:F3-8405会议室公用计算机上可以访问到13季度“产品工艺统计分析报告”、“0.13μmlogic工艺说明”等高敏感性资料。
46、审核员审核时发现企业的驻外服务人员比较多,于是从人事部门获得了一份名单,然后从中抽取了3名员工,分别属于工程部(两位)和销售部,进一步通过电话方式访问了三位,询问他们的工作用笔记本是否得到授权,通常笔记本里有什么信息,工程部两位回答笔记本没有授权,里面存储的信息主要是客户服务的资料,如工作方案,报告等,销售部的员工回答:公司电脑不好用,我用的是XX品牌电脑,是我自己的,存储的信息主要是客户联络信息。
参考答案:不符合GB/T22080-2016中A11.2.6条款:应对组织场所外的资产采取安全措施,要考虑工作在组织场所外的不同风险。 不符合事实:审核时发现企业的驻外服务人员比较多,抽取3名员工询问他们的工作用笔记本是否得到授权,通常笔记本里有什么信息,工程部两位回答笔记本没有授权,里面存储的信息主要是客户服务的资料,如工作方案,报告等。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
