一、单选题
1、信息安全管理体系中提到的“风险责任人”是指()。
A、发现风险的人或实体
B、风险处置人员或实体
C、对风险管理有责任和权利的人或实体
D、对风险发生后进行负责的人或实体
解析:【喵呜刷题小喵解析】:在信息安全管理体系中,“风险责任人”通常指的是对风险管理有责任和权利的人或实体。这意味着他们负责识别、评估、控制和监视信息安全风险,确保组织的信息资产得到妥善保护。因此,选项C“对风险管理有责任和权利的人或实体”是正确的。其他选项如A、B、D都与风险责任人的定义不符。A选项“发现风险的人或实体”只是风险识别的一部分,B选项“风险处置人员或实体”只是风险处理的一部分,D选项“对风险发生后进行负责的人或实体”则过于狭隘,没有涵盖风险管理的全过程。
2、信息安全管理体系中提到的“资产责任人”是指()。
A、对资产拥有财产权的人
B、使用资产的人
C、有权限变更资产安全属性的人
D、资产所在部门负责人
解析:【喵呜刷题小喵解析】:在信息安全管理体系中,“资产责任人”通常指的是有权限变更资产安全属性的人。这意味着他们负责确保资产的安全性和完整性,并根据需要采取适当的措施来保护资产。因此,选项C“有权限变更资产安全属性的人”是正确的答案。其他选项如A、B和D虽然与资产有关,但不符合“资产责任人”的定义。
3、组织应给予信息以适当级别保护,是指()。
A、应实施尽可能先进的保护情施以确保其保密性
B、应按信息对于组织业务的关键性给予充分和必要的保护
C、应确保信息对于组织内的所有员工可用
D、以上都对
解析:【喵呜刷题小喵解析】组织应给予信息以适当级别保护,意味着应根据信息对于组织业务的关键性给予充分和必要的保护。这是信息安全的基本原则之一,确保敏感信息得到适当的保护,以防止未经授权的访问、泄露或损坏。因此,选项B“应按信息对于组织业务的关键性给予充分和必要的保护”是正确的。其他选项A、C、D与这一原则不符。
4、考虑设备安全是为了()。
A、防止设备丢失、损坏带来的财产损失
B、有序保障设备维修时的备件供应
C、及时对设备进行升级和更新换代
D、控制资产的丢失、损坏、失窃、危及资产安全以及组织活动中断的风险
解析:【喵呜刷题小喵解析】考虑设备安全的主要目的是控制资产的丢失、损坏、失窃、危及资产安全以及组织活动中断的风险。选项A虽然提到了防止设备丢失和损坏,但只是设备安全的一个方面,不是主要目的。选项B关于备件供应和选项C关于设备升级和更新换代,虽然与设备有关,但不是设备安全的核心目的。因此,正确答案是D,即控制资产的丢失、损坏、失窃、危及资产安全以及组织活动中断的风险。
5、一个组织或安全域内所有信息处理设施与己设精确时钟源同步是为了()。
A、便于针对使用信息处理设施的人员计算工时
B、便于探测未经授权的信息处理活动的发生
C、确保信息处理的及时性得到控制
D、人员异地工作时统一作息时间
解析:【喵呜刷题小喵解析】:一个组织或安全域内所有信息处理设施与己设精确时钟源同步,是为了便于探测未经授权的信息处理活动的发生。这是因为,如果所有信息处理设施都使用相同的时钟源,那么任何未经授权的信息处理活动都会留下时间戳,从而容易被检测出来。而针对使用信息处理设施的人员计算工时、确保信息处理的及时性得到控制、人员异地工作时统一作息时间等需求,虽然重要,但不是该措施的直接目的。因此,选项B是正确答案。
6、定期备份和测试信息是指()。
A、每次备份完成时对备份结果进行检查,以确保备份效果
B、对系统测试记录进行定期备份
C、定期备份,定期对备份数据的完整性和可用性进行测试
D、定期检査备份存储介质的容量
解析:【喵呜刷题小喵解析】:定期备份和测试信息是指定期备份,定期对备份数据的完整性和可用性进行测试。这是因为备份的目的是为了保障数据的安全性,而测试则是为了确保备份数据的完整性和可用性,从而确保在需要时能够恢复数据。因此,选项C“定期备份,定期对备份数据的完整性和可用性进行测试”是符合题目要求的。其他选项如A、B、D虽然与备份和测试有关,但都没有涵盖到测试备份数据完整性和可用性的内容,因此不是正确答案。
7、信息处理设施的变更管理不包括()。
A、信息处理设施用途的变更
B、信息处理设施故障部件的更换
C、信息处理设施软件的升级
D、以上都不对
解析:【喵呜刷题小喵解析】:根据题目描述,我们需要找出信息处理设施的变更管理不包括的选项。信息处理设施的变更管理通常包括设施用途的变更、设施故障部件的更换以及设施软件的升级等。因此,选项A、B、C都是信息处理设施变更管理的一部分。而选项D表示“以上都不对”,实际上是一个不正确的表述,因为前面已经列举了变更管理的内容。因此,正确答案是D。
8、为防止对网络服务的未授权访问,组织应()。
A、制定安全策略,确保用户应仅能访问已获专门授权使用的服务
B、禁止内部人员访问互联网
C、禁止外部人员访问组织局域网
D、以上都对
解析:【喵呜刷题小喵解析】:为了防止对网络服务的未授权访问,组织应该制定安全策略,确保用户仅能访问已获专门授权使用的服务。这是最直接和有效的措施,能够确保只有经过授权的用户才能访问网络服务,从而防止未授权访问。选项B“禁止内部人员访问互联网”和选项C“禁止外部人员访问组织局域网”虽然可能有助于限制访问,但它们过于绝对,可能会影响到组织的正常运营和合作。选项D“以上都对”显然是不正确的,因为不是所有选项都是必要的或充分的。因此,正确答案是A。
9、组织应进行安全需求分析,规定对安全控制的要求,当()。
A、组织需建立新的信息系统时
B、组织的原有信息系统扩容或升级时
C、组织向顾客交付软件系统时
D、A+B
解析:【喵呜刷题小喵解析】:根据题目描述,组织应进行安全需求分析,规定对安全控制的要求,当组织需建立新的信息系统时或组织的原有信息系统扩容或升级时,都需要进行安全需求分析,因此选项D“A+B”是正确的。选项A和B分别描述了组织建立新的信息系统和原有信息系统扩容或升级的情况,这两种情况都需要进行安全需求分析,所以选项D是正确的。选项C“组织向顾客交付软件系统时”并没有提到需要进行安全需求分析,因此是错误的。
10、对保密文件复印件张数核对是确保保常文件的()。
A、保密性
B、完整性
C、用性
D、以上全部
解析:【喵呜刷题小喵解析】:对保密文件复印件张数核对是确保保密文件的完整性。保密文件的完整性指的是文件内容的完整、无误,没有缺失或改动。核对复印件的张数可以确保复印件与原件内容一致,从而确保文件的完整性。保密性主要指的是文件内容不被未经授权的人员获取或泄露,核对复印件的张数并不能直接保证文件的保密性。可用性指的是文件可以被正常、有效地使用,核对复印件的张数也不能直接保证文件的可用性。因此,选项B“完整性”是正确答案。
11、国家对经营性互联网信息服务实施()。
A、备案制度
B、许可度
C、行政监管制度
D、备案与行政监管相结合的管理制度
解析:【喵呜刷题小喵解析】:根据《互联网信息服务管理办法》的规定,国家对经营性互联网信息服务实行许可制度,对非经营性互联网信息服务实行备案制度。因此,国家对经营性互联网信息服务实施的是许可制度,而非备案制度、行政监管制度或备案与行政监管相结合的管理制度。因此,正确答案为B。
12、确定资产的可用性要求须依据()。
A、授权实体的需求
B、信息系统的实际性能水平
C、组织可支付的经济成本
D、最高管理者的决定
解析:【喵呜刷题小喵解析】:确定资产的可用性要求通常是根据授权实体的需求来确定的。资产的可用性要求反映了资产必须满足的业务功能或服务,而这些功能或服务通常是基于组织的业务需求和战略目标。因此,授权实体的需求是确定资产可用性要求的主要依据。其他选项如信息系统的实际性能水平、组织可支付的经济成本和最高管理者的决定,虽然可能对资产的可用性产生影响,但它们不是确定可用性要求的核心依据。因此,正确答案是A,即授权实体的需求。
13、为了确保布缆安全,以下正确的做法是()。
A、使用同一电缆管道铺设电源电缆和通信电缆
B、网络电缆采用明线架设
C、配线盘应尽量放置在公共可访问区域,以便于应急管理
D、使用配线标记和设各标记,编制配线列表
解析:【喵呜刷题小喵解析】为了确保布缆安全,应该采取一些专业的做法。对于A选项,将电源电缆和通信电缆铺设在同一电缆管道中是不安全的,因为电源电缆会产生电磁场,干扰通信电缆的正常工作,所以A选项错误。对于B选项,网络电缆采用明线架设,这样容易受到物理损坏,同时也不美观,所以B选项错误。对于C选项,配线盘应尽量放置在公共可访问区域,以便于应急管理,但是这样的做法可能会导致线缆暴露在外,容易受到物理损坏,所以C选项错误。对于D选项,使用配线标记和设备标记,编制配线列表,这样可以确保线缆的清晰标识和管理,有利于后期的维护和故障排查,所以D选项正确。因此,为了确保布缆安全,应该采取D选项的做法。
14、以下不属于信息安全事态或事件的是()。
A、服务、设备或设施的丢失
B、系统故障或超负载
C、物理安全要求的违规
D、安全策略变更的临时通知
解析:【喵呜刷题小喵解析】:信息安全事态或事件通常指的是可能对信息系统安全产生负面影响的情况。A选项“服务、设备或设施的丢失”可能导致信息泄露或系统不可用,属于信息安全事态。B选项“系统故障或超负载”可能导致系统性能下降或数据丢失,也是信息安全事件。C选项“物理安全要求的违规”可能导致物理设备被非法访问或损坏,同样属于信息安全事件。而D选项“安全策略变更的临时通知”通常是为了维护系统安全而进行的正常操作,不属于信息安全事态或事件。因此,正确答案是D。
15、对于针对信息系统的软件包,以下说法正确的是()。
A、组织应具有有能力的人员,以便随时对软件包进行适用性修改
B、应尽量劝阻对软件包实施变更,以规避变更的风险
C、软件包不必作为配置项进行管理
D、软件包的安装必须由其开发商实施安装
解析:【喵呜刷题小喵解析】针对信息系统的软件包,我们需要考虑其管理、维护以及变更控制。A选项提到“组织应具有有能力的人员,以便随时对软件包进行适用性修改”。虽然这听起来像是合理的建议,但它并没有直接关联到题目中的“应尽量劝阻对软件包实施变更,以规避变更的风险”。B选项“应尽量劝阻对软件包实施变更,以规避变更的风险”与题目中的描述相符。变更通常伴随着风险,特别是当软件包已经过严格测试并部署在生产环境中时。随意变更可能导致未预期的问题,甚至影响系统的稳定性和安全性。C选项“软件包不必作为配置项进行管理”与实际情况不符。软件包作为信息系统的重要组成部分,其配置、版本和变更历史都应该被详细记录和管理,以确保系统的可维护性和可追溯性。D选项“软件包的安装必须由其开发商实施安装”也不是一个普遍适用的建议。虽然开发商通常对软件包有深入的了解,但在很多情况下,组织可能希望或需要自行安装和管理软件包。因此,考虑到题目的描述和选项的内容,B选项“应尽量劝阻对软件包实施变更,以规避变更的风险”是最符合题目要求的。
16、依据GB/T22080,组织监视外包软件开发应考虑()。
A、监督外包方及时交付软件的能力
B、监督外包方的开发成果物质量
C、确保外包方的开发满足组织安全需求
D、验证外包方的开发过程符合CMMI要求
解析:【喵呜刷题小喵解析】:根据GB/T22080标准,组织监视外包软件开发应确保外包方的开发满足组织的安全需求。这是为了保障组织的信息安全,避免外包软件开发过程中可能出现的安全漏洞或风险。因此,选项C“确保外包方的开发满足组织安全需求”是正确答案。选项A、B、D虽然也是外包软件开发中需要考虑的因素,但与标准中明确的监视重点不符。
17、国家信息安全等级保护采取()。
A、自主定级、自主保护的原则
B、国家保密部门定级、自主保持的原则
C、公安部门定级、自主保护的原则
D、国家保密部门定级、公安部门监督保护的原则
解析:【喵呜刷题小喵解析】:根据《信息安全等级保护管理办法》的规定,国家信息安全等级保护采取自主定级、自主保护的原则。因此,选项A“自主定级、自主保护的原则”是正确的。其他选项,如国家保密部门定级、自主保持的原则,公安部门定级、自主保护的原则,以及国家保密部门定级、公安部门监督保护的原则,均不符合该管理办法的规定。
18、信息安全管理中,关于脆弱性,以下说法正确的是()。
A、组织使用的开源软件不须考虑其技术脆弱性
B、软件开发人员为方便维护留的后门是脆弱性的一种
C、识别资产脆弱性时应考虑资产的固有特性,不包括当前安全控制措施
D、使信息系统与网络物理隔离可杜绝其脆弱性被威胁和利用的机会
解析:【喵呜刷题小喵解析】:A选项错误,组织使用的开源软件同样需要考虑其技术脆弱性。开源软件虽然公开源代码,但并不意味着没有安全漏洞或脆弱性。B选项正确,软件开发人员为方便维护留的后门是脆弱性的一种。后门是未经授权访问系统或数据的途径,增加了系统被攻击和滥用的风险。C选项错误,识别资产脆弱性时应考虑资产的固有特性,包括当前安全控制措施。安全控制措施是组织为减少或消除脆弱性而采取的措施,评估脆弱性时需要考虑这些控制措施的效果。D选项错误,使信息系统与网络物理隔离可减少其脆弱性被威胁和利用的机会,但并不能杜绝。物理隔离只能减少一部分风险,其他如内部人员滥用权限、物理设备被攻击等风险仍然存在。因此,物理隔离并不是万能的,还需要其他安全措施来综合保护信息系统。
19、信息安全管理中,关于撤销访问权,不包括以下哪种情况()。
A、员工离职时
B、组织内项目人员调换到不同的项目组时
C、顾客或第三方人员结束访问时
D、以上都不对。
解析:【喵呜刷题小喵解析】:在信息安全管理中,撤销访问权通常发生在某些特定情况下,以确保未经授权的人员无法访问敏感信息或系统。根据给出的选项,员工离职时、组织内项目人员调换到不同的项目组时以及顾客或第三方人员结束访问时,都是可能需要撤销访问权的情况。因此,选项D“以上都不对”是不正确的。所以,正确答案是D。
20、依据GB/T22080,业务连续性管理活动不包括()。
A、针对业务中断进行风险评估
B、定义恢复的优先顺序
C、定义恢复时间指标
D、按事件管理流程进行处置
解析:【喵呜刷题小喵解析】:依据GB/T22080,业务连续性管理活动主要包括针对业务中断进行风险评估、定义恢复的优先顺序以及定义恢复时间指标。这些活动都是为了确保在业务中断时,企业能够迅速、有效地恢复运营。而按事件管理流程进行处置并不是业务连续性管理活动的范畴,而是更偏向于应急管理或危机管理的范畴。因此,选项D“按事件管理流程进行处置”是不包括在业务连续性管理活动中的。
21、以下不属于“责任分割”原则范畴的做法是()。
A、不同职级人员斗作区域隔离
B、保持安金审核人员的独立性
C、授权者、操作者和监视者三者责任分离
D、事件报告人员与事件处理人员职责分离
解析:【喵呜刷题小喵解析】责任分割原则指的是将完成某项任务或职责的责任,按照特定的规则分配给不同的个体或组织,以确保任务的完成和职责的履行。在题干中,我们列出了四个选项,它们分别代表了不同的责任分割方式。A选项“不同职级人员斗作区域隔离”这个表述似乎有些问题,因为它没有明确表达出责任分割的原则。它更像是描述了一个物理上的隔离,而不是职责上的分割。因此,这个选项不符合责任分割原则的定义。B选项“保持安金审核人员的独立性”体现了责任分割原则,即确保审核人员独立于其他可能影响审核结果的人员,以保证审核的公正性和准确性。C选项“授权者、操作者和监视者三者责任分离”也是责任分割原则的体现,它确保了任务的不同环节由不同的人负责,以避免权力滥用和错误的发生。D选项“事件报告人员与事件处理人员职责分离”同样体现了责任分割原则,即确保事件报告和处理职责由不同的人承担,以避免报告人员因为个人原因而隐瞒或歪曲事实。综上所述,A选项“不同职级人员斗作区域隔离”不属于责任分割原则范畴的做法,因此答案是A。
22、对于用户访问信息系统使用的口令,以下说法正确的是()。
A、口令必须定期更换
B、同一工作组的成员可以共享口令
C、如果使用生物识别技术,可替代口令
D、以上全部
解析:【喵呜刷题小喵解析】:对于用户访问信息系统使用的口令,正确的说法是如果使用生物识别技术,可替代口令。这是因为生物识别技术是一种基于人体生物特征的身份验证方式,如指纹、虹膜等,具有更高的安全性和可靠性,可以替代传统的口令验证方式。而定期更换口令虽然可以提高安全性,但过于频繁更换口令会给用户带来不便,且如果口令管理不当,也容易导致口令泄露的风险。同一工作组的成员共享口令则更容易导致口令被猜测或破解,从而增加信息系统被攻击的风险。因此,选项C是正确的。
23、关于商用密码技术和产品,以下说法不正确的是()。
A、任何组织不得随意进口密码产品,但可以出口商用密码产品
B、商用密码技术属于国家秘密
C、商用密码是对不涉及国家秘密的内容进行加密保护的产品
D、商用密码产品的用户不得转让其使用的商用密码产品
解析:【喵呜刷题小喵解析】:商用密码技术和产品涉及国家安全,因此任何组织都不得随意进口或出口商用密码产品,所以A选项不正确。B选项正确,商用密码技术属于国家秘密,受到保护。C选项正确,商用密码是用于保护不涉及国家秘密的信息的产品。D选项正确,商用密码产品的用户不得转让其使用的商用密码产品,以维护国家安全。因此,答案为A。
24、信息安全灾备管理中,“恢复点目标”指()。
A、灾难发生后,信息系统或业务功能从停顿到必须恢复的时间
B、灾难发生后,信息系统或业务功能项恢复的范围
C、灾难发生后,系统和必须恢复到的时间点要求
D、灾难发生后,关键数据能被复原的范围
解析:【喵呜刷题小喵解析】:在信息安全灾备管理中,“恢复点目标”(Recovery Point Objective,简称RPO)指的是灾难发生后,系统和必须恢复到的时间点要求。这意味着在发生灾难后,系统或业务功能需要恢复到某个特定的时间点,以确保数据的完整性和业务的连续性。因此,选项C“灾难发生后,系统和必须恢复到的时间点要求”是正确的。其他选项A、B和D都与恢复点目标的定义不符。
25、信息安全管理中,“防止滥用信息处理设施”是为了防止()。
A、工作场所出现“公私不分”的情况
B、组织信息保密性受损
C、组织资产可用性受损
D、B+C
解析:【喵呜刷题小喵解析】在信息安全管理中,“防止滥用信息处理设施”是为了防止组织信息保密性受损和组织资产可用性受损。这是因为滥用信息处理设施可能导致敏感信息的泄露,损害组织的保密性,同时也可能导致设施被错误使用或破坏,影响组织的正常运营和资产可用性。因此,选项D“组织信息保密性受损和组织资产可用性受损”是正确的答案。选项A“工作场所出现‘公私不分’的情况”虽然可能是一个滥用信息处理设施的结果,但并不是其主要目的。选项B“组织信息保密性受损”和选项C“组织资产可用性受损”虽然都涉及到了滥用信息处理设施可能带来的问题,但单独来看并不全面,因此不是最佳答案。
26、在现场审核时,审核组有权自行决定变更的事项是()。
A、审核准则
B、审核人日数
C、审核路线
D、应受审核的业务过程
解析:【喵呜刷题小喵解析】:在现场审核时,审核组有权自行决定变更的事项是审核路线。审核准则、审核人日数以及应受审核的业务过程都是事先确定的,审核组无权自行变更。因此,正确答案是C,即审核路线。
27、第三方认证审核时确定审核范围的程序是()。
A、组织提出、与审核组协商、认证机构确认、认证合同规定
B、组织申请、认证机构评审、认证合同规定、审核组确认
C、组织提出、与咨询机构协商、认证机构确认
D、认证机构提出、与组织协商、审核组确认、认证合同规定
解析:【喵呜刷题小喵解析】:在第三方认证审核中,确定审核范围的程序通常涉及多个步骤。首先,组织需要向认证机构提出认证申请,认证机构会对申请进行评审,以确定是否满足认证条件。评审通过后,认证机构会与组织签订认证合同,其中规定了审核的范围和其他相关条款。最后,审核组会依据认证合同确认具体的审核范围,并开始进行审核工作。因此,选项B“组织申请、认证机构评审、认证合同规定、审核组确认”是确定审核范围的正确程序。选项A中的“审核组协商”和选项C中的“与咨询机构协商”在常规流程中并不涉及,而选项D中的“认证机构提出”也不符合通常的做法,因为审核范围的确定通常是基于组织的申请和认证机构的评审结果。
28、信息安全管理体系认证过程包含()。
A、现场审核首次会议开始到末次会议结束的所有活动
B、从审核准备到审核报告提交期间的所有活动
C、一次初审以及至少2次监督审核的所有活动
D、从受理认证到证书到期期间所有的审核以及认证服务和管理活动
解析:【喵呜刷题小喵解析】信息安全管理体系认证过程涉及从受理认证到证书到期期间所有的审核以及认证服务和管理活动。这包括审核准备、现场审核(包括首次会议和末次会议)以及审核报告的提交等各个环节。选项A只涵盖了现场审核的部分活动,选项B只涵盖了从审核准备到审核报告提交的部分活动,选项C则只涉及了一次初审和至少2次监督审核,均不如选项D全面。因此,正确答案是D。
29、第三方认证时的监督审核不定是对整个体系的审核,以下说法正确的是()。
A、组织获得认证范围内的职能区域可以抽查,但标准条款不可以抽查
B、组织获得认证范围内的亚务过程可以抽查,但职能区域不可以抽查
C、组织获得认证范围内的业务过程和职能区域都不可以抽查,仅标准条款可以抽查
D、标准条款可以射查,但针对内审和管理评审以及持续改进方面的审核不可缺少
解析:【喵呜刷题小喵解析】第三方认证时的监督审核通常是对整个体系的审核,而不是只针对部分区域或过程。对于组织获得认证范围内的业务过程和职能区域,监督审核可能会进行抽查,但标准条款通常不可以抽查,因为标准条款是整个体系的基础和框架,必须得到全面的审核和评估。因此,D选项“标准条款可以抽查,但针对内审和管理评审以及持续改进方面的审核不可缺少”是正确的。A、B、C选项都存在问题,因为监督审核通常需要对整个体系进行审核,不能仅抽查部分区域或过程。
30、认证审核时审核组织抽查的样本应()。
A、由受审核方熟悉的人员事先选取,做好准备
B、由审核组明确总体并在受控状态下独立抽样
C、由受审核组和受审核方人员协商抽样
D、有受审核方安排的向导实施抽样
解析:【喵呜刷题小喵解析】审核组织抽查的样本应由审核组明确总体并在受控状态下独立抽样。这是因为审核的目的是为了验证受审核方的管理体系是否符合相关标准和要求,而审核组作为独立的第三方,应该保持客观、公正的态度,确保抽样的公正性和代表性。如果由受审核方熟悉的人员事先选取样本,可能会存在主观偏见,影响审核结果的客观性和准确性。因此,选项B“由审核组明确总体并在受控状态下独立抽样”是正确答案。
31、关于审核结论,以下说法正确的是()。
A、审核组综合了所有审核证据进行合理推断的结果
B、审核组综合了所有审核证据与受审核方充分协商的结果
C、审核组权衡了不符合的审核发现的数量及严重程度后得岀的结果
D、审核组考虑了审核目的和所有审核发现后得出的审核结果
解析:【喵呜刷题小喵解析】根据审核的定义,审核是为了获得审核证据并对其进行客观的评价,以确定满足审核准则的程度所进行的系统的独立的并形成文件的过程。审核结论是基于审核目的和所有审核发现,经过分析和评价后得出的。选项A中的“合理推断”并不是审核结论的基础;选项B中的“充分协商”也不是审核结论的必要条件;选项C中的“不符合的审核发现的数量及严重程度”只是审核发现的一部分,不足以构成审核结论。因此,选项D“审核组考虑了审核目的和所有审核发现后得出的审核结果”是最符合审核结论定义的。
32、审核组中的技术专家是()。
A、为审核组提供文化、法律、技术等方面知识咨询的人员
B、特别负责对受审核方的专业技术过程进行审核的人员
C、审核期间为受审核方提供技术咨询的人员
D、从专业的角度对审核员的审核进行观察评价的人员
解析:【喵呜刷题小喵解析】根据题目描述,审核组中的技术专家应该是为审核组提供文化、法律、技术等方面知识咨询的人员。这个选项对应的是A,特别负责对受审核方的专业技术过程进行审核的人员是审核员或审核组长的职责,为受审核方提供技术咨询的人员是审核咨询专家,从专业的角度对审核员的审核进行观察评价的人员是观察员或审核跟踪员的职责。因此,正确答案是A。
33、对于第三方服务提供方,以下描述正确的是()。
A、为了监视和评审第三方提供的服务,第三方人员提供服务时应有人员全程陪同
B、应定期度量和评价第三方遵从商定的安全策略和服务水平的程度
C、第三方服务提供方应有符合ITIL的流程
D、第三方服务的变更须向组织呈报以备案
解析:【喵呜刷题小喵解析】:对于第三方服务提供方的描述,我们需要根据给出的选项进行分析。A选项提到“第三方人员提供服务时应有人员全程陪同”,这并非是对第三方服务提供方的描述,而是对服务提供过程中的一种要求或方式,因此A选项不正确。B选项提到“应定期度量和评价第三方遵从商定的安全策略和服务水平的程度”,这是对第三方服务提供方的一种合理描述,定期度量和评价第三方服务的质量是确保服务符合商定标准的重要步骤。C选项提到“第三方服务提供方应有符合ITIL的流程”,虽然ITIL(信息技术基础架构库)是一种广泛使用的IT服务管理框架,但题目中并未明确指出第三方服务提供方必须遵循ITIL流程,因此C选项的描述过于绝对,不正确。D选项提到“第三方服务的变更须向组织呈报以备案”,这更像是对组织内部对第三方服务变更的一种管理要求,而不是对第三方服务提供方的描述,因此D选项不正确。综上所述,B选项“应定期度量和评价第三方遵从商定的安全策略和服务水平的程度”是对第三方服务提供方的正确描述。
34、信息安全管理中,“远程访问”指()。
A、访问者的物理位置与被访问客体不在一个城市
B、访问者的物理位置与被访问客体的距离大于30米
C、访问者的物理位置与被访问客体的距离大于15米
D、访问者从并不永久连接到所访问网络的终端访问资源
解析:【喵呜刷题小喵解析】在信息安全管理中,“远程访问”通常指的是访问者从并不永久连接到所访问网络的终端访问资源。这意味着访问者可能位于任何物理位置,只要他们不是直接、永久地连接到所访问的网络或系统,而是通过某种远程方式(如VPN、远程桌面等)进行访问。因此,选项D“访问者从并不永久连接到所访问网络的终端访问资源”是正确答案。选项A、B、C中的描述都与“远程访问”的常规含义不符。
35、依据GB/T22080,以下不是“适用性声明”文件必须包含的内容是()。
A、实施信息安全控制措施的角色、职责和权限
B、组织选择的控制目标和控制措施,以及选择的理由
C、当前实施
D、对附录A中可控制目标和控制措施的删减,头及删减的合理性说明
解析:【喵呜刷题小喵解析】根据GB/T22080标准,适用性声明文件应包含组织选择的控制目标和控制措施,以及选择的理由,以及对附录A中可控制目标和控制措施的删减,及删减的合理性说明。而实施信息安全控制措施的角色、职责和权限,并不是适用性声明文件必须包含的内容。因此,选项A“实施信息安全控制措施的角色、职责和权限”不是“适用性声明”文件必须包含的内容。
36、信息安全管理体系审核时,为了获取律核证据,应考虑的信息源为()。
A、受审核方的办公自动化系统管理与维护相关的过程和活动
B、受审核方场所内已确定为涉及国家秘密的相关过程和活动
C、受审核方的核心财务系统的管理与维护相关的过程和活动
D、受审核方申请认证范围内的业务过程和活动
解析:【喵呜刷题小喵解析】在信息安全管理体系审核时,为了获取审核证据,应考虑的信息源应该是受审核方申请认证范围内的业务过程和活动。这是因为审核的目的是验证受审核方是否按照信息安全管理体系的要求实施管理,而认证范围内的业务过程和活动是最直接、最相关的证据来源。其他选项如办公自动化系统管理与维护相关的过程和活动、场所内已确定为涉及国家秘密的相关过程和活动、核心财务系统的管理与维护相关的过程和活动等,虽然可能与信息安全管理体系有关,但不是最直接、最相关的证据来源。因此,正确答案为D,即受审核方申请认证范围内的业务过程和活动。
37、信息安全灾备管理中,关于灾难恢复能力,以下说法正确的是()。
A、恢复能力等级越高,恢复时间目标越短,恢复点目标越近
B、恢复能力等级越高,恢复时间目标越长,恢复点目标越长
C、恢复能万等级越高,恢复时间目标越短,恢复点目标越长
D、恢复能力等级越高,恢复时间目标越短,恢复点目标越长。
解析:【喵呜刷题小喵解析】:在信息安全灾备管理中,灾难恢复能力通常与恢复时间目标(RTO)和恢复点目标(RPO)有关。恢复时间目标(RTO)指的是在灾难发生后,系统或服务恢复正常运行所需的最长时间。恢复点目标(RPO)指的是在灾难发生前可以接受的最新数据丢失量。一般来说,恢复能力等级越高,意味着系统或服务在灾难发生后能够更快地恢复正常运行,即恢复时间目标越短。同时,恢复能力等级越高,也意味着系统或服务在灾难发生前能够保持更近的恢复点,即恢复点目标越近。因此,选项A“恢复能力等级越高,恢复时间目标越短,恢复点目标越近”是正确的说法。
38、软件企业自行开发了用于管理其软件产品的配置管理工具,以下说法错误的是()。
A、该企业用于向顾客交付的软件产品的测试数据应认真加以选择、保护和控制
B、该企业的配置管理工具的测试数据应认真加以选择、保护和控制
C、该企业配置管理工具不是向顾客交付的成果,因此其测试数据不是需要保护的对象
D、该企业配置管理库中的配置项应识别为信息安全相关资产
解析:【喵呜刷题小喵解析】:根据题目描述,软件企业自行开发的配置管理工具是用于管理其软件产品的。因此,该工具本身并不是向顾客交付的成果,但它是软件产品开发和维护过程中不可或缺的一部分。虽然其测试数据不是直接交付给顾客的,但同样需要认真加以选择、保护和控制,以确保软件产品的质量和稳定性。因此,选项C的说法是错误的。选项A提到该企业用于向顾客交付的软件产品的测试数据应认真加以选择、保护和控制,这是正确的,因为测试数据是评估软件产品质量的重要依据。选项B提到该企业的配置管理工具的测试数据应认真加以选择、保护和控制,这也是正确的,因为配置管理工具的稳定性和可靠性对于软件产品的开发和维护至关重要。选项D提到该企业配置管理库中的配置项应识别为信息安全相关资产,这也是正确的,因为配置管理库中的配置项可能包含敏感信息,需要得到适当的保护。
39、依据GB/T22080,信息的标记应表明()。
A、相关供应商信息、日期、资产序列号。
B、其敏感性和关键性的类别和等级。
C、所属部门和批准人
D、信息的性质,如软件、文档。
解析:【喵呜刷题小喵解析】依据GB/T22080,信息的标记应表明其敏感性和关键性的类别和等级。这是为了对信息进行分类和管理,确保信息安全。选项A中的“相关供应商信息、日期、资产序列号”以及选项C中的“所属部门和批准人”都与信息的敏感性和关键性类别无直接关联;选项D中的“信息的性质,如软件、文档”虽然描述了信息的性质,但并未明确其敏感性和关键性。因此,正确答案为B。
40、信息安全管理中,对于安全违规人员的正式纪律处理过程中必不可少的活动是()。
A、警告与罚款
B、就违规的详情向所有人员通报
C、评估违规对业务造成的影响
D、责成违规人员修复造成的损害
解析:【喵呜刷题小喵解析】:在信息安全管理中,对于安全违规人员的正式纪律处理过程中,评估违规对业务造成的影响是必不可少的活动。这是因为评估违规对业务造成的影响是确定违规行为的严重程度、确定适当的处罚措施以及确保组织从违规中恢复的关键步骤。其他选项如警告与罚款、就违规的详情向所有人员通报和责成违规人员修复造成的损害虽然也是处理违规的一部分,但不是必不可少的活动。因此,正确答案是C。
二、多选题
41、为了实现在网络上自动标识设备,以下做法正确的是()。
A、启用DHCP动态分配IP地址功能
B、为网络设备分配固定IP地址
C、将每一台计算机MAC与一个IP地址绑定
D、采取有效措施禁止修改MAC版权
解析:【喵呜刷题小喵解析】:在网络环境中,标识设备通常涉及到IP地址和MAC地址的管理。A选项提到“启用DHCP动态分配IP地址功能”。DHCP(动态主机配置协议)是一种网络协议,它允许服务器动态地为网络上的计算机分配IP地址和其他相关配置参数。通过启用DHCP,可以自动为设备分配IP地址,从而简化网络配置。B选项提到“为网络设备分配固定IP地址”。在某些情况下,为了管理和维护的方便,可能会为网络设备分配固定的IP地址。这样,设备在网络中的位置是确定的,方便进行故障排查和管理。C选项提到“将每一台计算机MAC与一个IP地址绑定”。MAC地址是网络设备的物理地址,用于在网络中唯一标识设备。通过将MAC地址与IP地址绑定,可以确保设备在网络中的唯一性,防止IP地址冲突和未经授权的设备接入。D选项提到“采取有效措施禁止修改MAC版权”。这一选项可能存在表述上的不准确。MAC地址是网络设备的一部分,用于标识设备,而不是版权信息。然而,为了防止网络中的设备被篡改或仿冒,可以采取措施来防止修改MAC地址。综上所述,为了实现在网络上自动标识设备,应该采取的做法包括:启用DHCP动态分配IP地址功能、为网络设备分配固定IP地址、将每一台计算机MAC与一个IP地址绑定,以及采取有效措施防止修改MAC地址。因此,正确答案为B、C、D。
42、信息安全管理体系审核的范围即()。
A、组织的全部经营管理
B、组织的全部信息安全管理范围
C、组织根据其业务、组织、位置、资产和技术等药面的特性确定的信息安全管理体系范围
D、组织承诺按照GB/T20880标准要求建立、实施和保持信息安全管理体系的范围
解析:【喵呜刷题小喵解析】:根据题目中的选项,信息安全管理体系审核的范围需要考虑到组织的多个方面,包括业务、组织、位置、资产和技术等。这些方面都是确定信息安全管理体系范围时需要考虑的重要因素。同时,组织还需要承诺按照GB/T20880标准要求建立、实施和保持信息安全管理体系,这也是审核范围的一部分。因此,选项C和D都符合题目要求,是正确答案。选项A和B都没有涵盖到信息安全管理体系审核的全部范围,因此是错误的。
43、为防止业务中断,保持关键业务过程兔受信息系统失误或灾难的影响,应()。
A、定义恢复的优先顺序
B、定义恢复时间指标指标
C、按事件管理流程进行处置
D、心针闲亚务中断进行风险评估。
解析:【喵呜刷题小喵解析】:为了保障关键业务过程在信息系统失误或灾难发生时能够持续运行,我们需要采取一系列措施。首先,我们需要明确恢复的优先顺序,即确定在发生问题时,哪些业务过程需要优先恢复,以确保最重要的业务功能能够尽快恢复正常。其次,我们需要定义恢复时间指标,即设定每个业务过程在发生问题时需要在多长时间内恢复,以确保业务的中断时间最小化。最后,针对业务中断进行风险评估也是非常重要的,通过评估可能的风险和影响,我们可以提前制定应对措施,减少业务中断带来的损失。因此,选项A、B和D都是必要的措施,而选项C“按事件管理流程进行处置”虽然在实际操作中可能也是必要的,但在题目所给的选项中,它并不是为了防止业务中断和保持关键业务过程免受信息系统失误或灾难的影响所必须采取的措施。所以,正确答案是A、B和D。
44、访问信息系统的用户注册的管理是()。
A、对用户访问信息系统和极务的授权的管理
B、对用户予以注册时须同时考虑与访问控制策略的一致性
C、当ID资源充实时可允许用户使用多个ID
D、用户在组织内变换工作岗位时不必重新评审其所用ID的访问权
解析:【喵呜刷题小喵解析】:在访问信息系统的用户注册管理中,我们首先要确保对用户访问信息系统和服务的授权进行管理,即选项A。此外,对用户予以注册时,我们还需要考虑与访问控制策略的一致性,即选项B。选项C:“当ID资源充实时可允许用户使用多个ID”并不符合用户注册管理的原则,因为多个ID的使用可能会带来安全风险和管理混乱。选项D:“用户在组织内变换工作岗位时不必重新评审其所用ID的访问权”也不符合用户注册管理的原则,因为工作岗位的变化可能意味着访问权限的变化,因此需要进行重新评审。
45、关于IT系统审计,以下说法不正确的是()。
A、IT系统审计是发现系统脆弱性的有效手段,不可删减
B、组织经评估认为IT系统审计的风险不可接受时,可以删减
C、组织认为IT系统审计成本太高时,可以删减
D、组织自己不具备实施IT系统审计的能力时,可以删减
解析:【喵呜刷题小喵解析】:IT系统审计是评估系统安全性的重要手段,旨在发现系统的脆弱性并进行改进。但并不意味着它是不可删减的。根据给出的选项:A选项表示“IT系统审计是发现系统脆弱性的有效手段,不可删减”。这是不正确的,因为组织可以根据自身情况、风险评估和成本效益分析来决定是否进行IT系统审计。B选项表示“组织经评估认为IT系统审计的风险不可接受时,可以删减”。这是正确的,因为组织有权根据风险评估结果来决定是否进行IT系统审计。C选项表示“组织认为IT系统审计成本太高时,可以删减”。这也是正确的,因为成本效益分析是决定是否进行IT系统审计的一个重要因素。D选项表示“组织自己不具备实施IT系统审计的能力时,可以删减”。这也是正确的,如果组织自身没有能力进行IT系统审计,那么可以选择外包或寻找专业的第三方来进行审计。综上所述,A、C、D选项的说法都是不正确的。
三、填空题
46、审核员在A公司审核时,发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁。公司主管信息安全的负责人解释说,因保安负责公司的物理区域安全,他们夜里以及节假日要值班和巡查所有区域,所以只能给保安全权限门卡。审核员对此解释表示认同。如果你是审核员,你将如何做?
参考答案:应根据标准条款A11.1.2物理入口控制条款审核以下内容: (1)是否有形成文件的物理入口进出控制策略。并且包含针对公司每一部分物理区域的访问控制策略的内容? (2)访问控制策略是否基于业务和访问的安全要素进行过评审? (3)核实保安角色是否在访问控制策略中有明确规定? (4)保安的进出是否都在进入和离开时进行了日期记录。 (5)对进出登记是否有保护机制,确保未发生过丢失、损毁情况。 (6)应现场询问保安负、对外来人员或相关人员关注事项,是否有配带适宜的标识,宜伴有本公司人员。 (7)应现场询问保安员,对安全区域或保密信息处理设施如何巡查、控制。在不必要的时候,任何外来人员不得进入或访间。 (8)应现场询问保安员,是否发生过信息安全事件,是否与物理区域非授权进入有关?如有关,继续追踪处置过程,是否与事件管理流程相一致。 (9)核实如何对保安进行背景调查,是否明确了其安全角色和职责?
解析:【喵呜刷题小喵解析】在审核员发现A公司从保安公司聘用的保安的门卡可通行公司所有的门禁时,审核员应首先根据标准条款A11.1.2物理入口控制条款进行审核。审核员需要核实公司是否制定了形成文件的物理入口进出控制策略,并且该策略是否包含对公司所有物理区域的访问控制内容。此外,审核员还需要核实公司的访问控制策略是否基于业务和访问的安全要素进行过评审,以及保安角色是否在访问控制策略中有明确规定。在审核过程中,审核员还需要关注保安的进出记录,包括他们进入和离开的时间,以及这些记录是否得到了妥善保护,未发生过丢失、损毁情况。此外,审核员还需要现场询问保安员,了解他们是否对安全区域或保密信息处理设施进行了巡查和控制,以及他们是否对外来人员或相关人员进行了关注,并要求他们佩戴适宜的标识。审核员还需要关注公司是否对保安进行了背景调查,并明确了他们的安全角色和职责。这是确保保安能够胜任其工作的重要步骤,也是保护公司信息安全的关键环节。最后,审核员需要现场询问保安员,了解他们是否遇到过信息安全事件,这些事件是否与物理区域非授权进入有关。如果有关,审核员需要继续追踪处置过程,确保其与事件管理流程相一致。这是确保公司信息安全的重要环节,也是审核员需要关注的重要问题。
47、审核员在质量保证部查看了去年信息安全管理体系中开出的不符合项共35项其中有30项已经采取了纠正措施,并且有纠正措施的验证记录,但有5项没有采取纠正措施,审核员据此开了不符合项,并结束了此项审核。这样的审核是否符合要求?为什么?如果请你去审核,你会怎么做?
参考答案:不符合要求。审核不够充分,没有继续跟踪审核整个内审过程的有效性,应作如下审核: (1)查组织内审程序,组织如何规定对未整改的不符合项的处理步骤。现场询问相关人员5项不符合未整改的原因。 (2)询问相关人员或查阅相关资料(不符合项整改计划或验证记录),了解已整改的30项的纠正措施实施情况,分析对不符合的原因确定是否充分,所实施的纠正错施是否有效: (3)所采取的纠正措施是否与相关影响相适宜,如对业务的风险影响,风险控制策略和时间点目标要求,与组织的资源能力相适应。 (4)组织是否评估所采取的纠正措施带来的风险,如果该风险可接受,则采取纠正措施,反之可采取适当的风险控制措施后再次评估残余风险,再整改。 综上,如果所有纠正措施符合风险要求。与相关影响相适宜,则纠正措施适宜。
解析:【喵呜刷题小喵解析】该题目要求判断审核员在信息安全管理体系审核中的操作是否符合要求,并给出如果不符合的话应该如何进行审核。首先,审核员在质量保证部查看了去年信息安全管理体系中开出的不符合项,并发现有30项已经采取了纠正措施且有验证记录,但有5项没有采取纠正措施。因此,审核员开了不符合项并结束了审核。然而,这种审核方式是不符合要求的。审核员没有继续跟踪审核整个内审过程的有效性,只是简单地检查了不符合项的处理情况,而没有深入分析整个内审过程的有效性和充分性。因此,如果我去审核,我会按照以下步骤进行:(1)查组织内审程序,了解组织如何规定对未整改的不符合项的处理步骤。同时,现场询问相关人员5项不符合未整改的原因,以了解具体情况。(2)询问相关人员或查阅相关资料(不符合项整改计划或验证记录),了解已整改的30项的纠正措施实施情况。分析对不符合的原因是否充分,所实施的纠正措施是否有效。(3)分析所采取的纠正措施是否与相关影响相适宜,如对业务的风险影响,风险控制策略和时间点目标要求,与组织的资源能力是否相适应。(4)评估所采取的纠正措施带来的风险,如果该风险可接受,则采取纠正措施;反之,可采取适当的风险控制措施后再次评估残余风险,再整改。最后,如果所有纠正措施符合风险要求,与相关影响相适宜,则纠正措施适宜。这样可以确保内审过程的有效性和充分性,从而确保信息安全管理体系的有效性和可靠性。
四、简答题
48、在某软件开发企业,质保证部负责对软件开发成果物进行测试,该部门测试人员使用名为“Bug free”的系统记录测试发现的问题,然后由开发人员针对测试人员提出的问题,确定软件修改方案,修改后重新提交测试,通过后由测试人员给出“最终测试通过”的结论。软件开发人员的修改方案以及修改后重新测试的信息也分别在该“Bug free”系统中予以记录。审核员请开发人员演示上述过程时发现,开发人员也可以登录测试问题记录的页面,且能够修改测试记录信息。当审核员问为什么会这样,该开发人员回答说,有时候开发人员与测试人员就软件问题的判定有争议,因此允许开发人员修改测试问题记录,否则会影响开发人员的绩效考核。
参考答案:不符合条款:不符合GB/T22080-2016中A9.4.1:应按照访问控制策略限制对信息和应用系统功能的访问。 不符合事实:查质保部对软件开发成果物测试,开发人员可以登录测试问题记录的页面,且能够修改测试记录信息。
解析:【喵呜刷题小喵解析】:在软件开发过程中,测试人员负责测试软件成果物,并记录下测试过程中发现的问题。这些测试记录应该是客观的、不可修改的,以确保测试结果的准确性和公正性。然而,在这个案例中,开发人员能够登录到测试问题记录的页面,并且还能够修改这些记录,这就违反了访问控制策略。GB/T22080-2016中A9.4.1条款明确指出,应该按照访问控制策略限制对信息和应用系统功能的访问,以确保信息和应用系统的安全性和完整性。因此,这种情况是不符合标准的。
49、创新公司委托专业互联网运营商提供网络运营,供应商为了提升服务级别,采用了新技术,也通知了创新公司,但创新认为新技术肯定更好,就没采取任何措施,后来因为软件不兼容造成断网了。
参考答案:不符合条款:GB/T22080-2016中A15.2.2:供应商服务的变更管理:应管理供应商所提供服务的变更,包括维护和改进现有的信息安全策略、规程和控制,管理应考虑变更涉及到的业务信息、系统和过程的关键程度及风险的再评估。 不符合事实:创新公司的供应商采用了新技术,但创新公司没有采取任何行动,后因该技术兼容问题,导致了业务中断。
解析:【喵呜刷题小喵解析】:此题主要考察的是对GB/T22080-2016中A15.2.2条款的理解和应用。该条款明确指出,供应商服务的变更管理应包括维护和改进现有的信息安全策略、规程和控制,同时应考虑变更涉及到的业务信息、系统和过程的关键程度及风险的再评估。在题目中,创新公司的供应商采用了新技术,但创新公司没有采取任何行动,导致后来因为软件不兼容造成了业务中断。这明显不符合GB/T22080-2016中A15.2.2条款的要求。供应商在采用新技术时,应当通知并征得创新公司的同意,同时评估新技术可能带来的风险,包括软件兼容性等问题。如果创新公司认为新技术可能带来风险,应当及时采取措施,以避免业务中断。因此,根据GB/T22080-2016中A15.2.2条款,创新公司的行为不符合条款要求,同时也不符合事实。
50、A公司主营业务为工业设备代理销售。审核员在审核销售部时发现,公司的全部销售业务以及与顾客的关系管理数据的维护均依赖网络及信息系统完成,当问及这些系统的维护和管理时,公司管理者代表解释说公司维护IT系统的工作全由沈某一人担任,称沈某人非常正直可靠,所有的IT系统维护和监控项目均由其1人完成,从未出过信息安全事故。审核员请来沈某询问,沈某确认其工作职责包括对各业务线小组人员的权限设置、系统运行监视、系统维护和升级、以及系统安全策略符合性审核等所有的内容。
参考答案:不符合条款:GB/T22080-2016中A6.1.2:应分离冲突的职责及其责任范围,以减少来授权或无意的修改或者不当使用组织资产的机会。 不符合事实:查销售部销售信息系统维护,全由沈某一人完成,经沈某确认其工作职贵包括对各业务线小组人员的权限设置、系统运行监视、系统维护和升级、以及系统安全策略符合性演核等所有的内容。
解析:【喵呜刷题小喵解析】:题目中提到的公司全部销售业务以及与顾客的关系管理数据的维护均依赖网络及信息系统完成,这表示公司的业务高度依赖于IT系统。然而,公司却将所有与IT系统相关的职责全部交由沈某一人完成,包括权限设置、系统运行监视、系统维护和升级、以及系统安全策略符合性审核等所有内容。这种做法不符合GB/T22080-2016标准中A6.1.2条款的规定,该条款要求应分离冲突的职责及其责任范围,以减少未授权或无意的修改或者不当使用组织资产的机会。由于沈某一人承担了所有与IT系统相关的职责,这增加了未授权或无意的修改或不当使用组织资产的风险,因此不符合标准的要求。
51、审核员在A公司的体系文件中看到了需要报告所发生的信息安全和脆弱性,询问信息管理部长,回答每个管理员中,各人发现个人解决,不需要向我报告。
参考答案:不符合条款:GB/T22080-2016中A16.1.3:报告信息安全弱点:应要求使用组织信息系统和服务的员工和合同方注意并报告任何观察到的或可疑的系统或服务中的信慧安全弱点。 不符合事实:审核员在A公司的体系文件看见需要报告所发生的信息安全的脆弱性,但信息部长回答不需要报告。
解析:【喵呜刷题小喵解析】:这个题目考查的是对信息安全管理体系标准GB/T22080-2016的理解和应用。在GB/T22080-2016中,A16.1.3条款明确规定了报告信息安全弱点的要求,即要求使用组织信息系统和服务的员工和合同方注意并报告任何观察到的或可疑的系统或服务中的信息安全弱点。然而,在题目中,审核员在A公司的体系文件中看到了需要报告所发生的信息安全和脆弱性,但信息部长回答不需要报告。这与A16.1.3条款的要求相违背,因此可以判断该公司存在不符合事实的情况。
52、A公司为国家相关部门指定的敏感票据印刷企业。审核员在现场巡查时发现,公司制版车间的一张办公桌上散放着工作号为111字9、10、11号的三份《票据生产通知单》,通知单中分别详细列出了三种票据的制版工艺要求。审核员问道这是谁的办公桌时,车间主任回答说,这是制版工艺师的办公桌,他今天请假了,没来上班。审核员观察到,制版车间与其他车间共处一个较大的生产厂房内,在上班时间各车间是互通的。
参考答案:不符合GB/T22080-2016中A1429的要求不符合标准:GB/T22080-206中A11.2.9:应针对纸质和可移动存储介质,采取清理桌面策略;应针对信息处理设施,采用清理屏幕策略。 不符合事实:查公司制版车间,见办公桌上散放着工作号为111字9、10、11号的三份《票据生产通知单》,通知单中分别详细列田了三种票据的制版工艺要求,制版工艺师请假,制版车间与其他车间共处一个较大的生产厂房内,在上班时间各车间是互通的。
解析:【喵呜刷题小喵解析】:根据题目描述,审核员在巡查时发现公司制版车间的一张办公桌上散放着工作号为111字9、10、11号的三份《票据生产通知单》,通知单中详细列出了三种票据的制版工艺要求。而车间主任表示这是制版工艺师的办公桌,他今天请假了,没来上班。由于制版车间与其他车间共处一个较大的生产厂房内,在上班时间各车间是互通的,因此存在敏感信息被其他车间员工获取的风险。根据GB/T22080-2016标准中的A1429要求,组织应针对纸质和可移动存储介质,采取清理桌面策略。同时,根据A11.2.9要求,组织应针对信息处理设施,采用清理屏幕策略。由于公司未采取这些措施,导致敏感信息在上班时间暴露在可能获取它的员工面前,因此不符合标准要求。
喵呜刷题:让学习像火箭一样快速,快来微信扫码,体验免费刷题服务,开启你的学习加速器!
