简答题

公司的安全策略规定，通向A公司办公楼层的电梯须凭授权门禁卡刷卡乘梯。办公楼电梯门禁卡的发放由物业公司B负责。A公司完成申请批准流程的人员凭本人身份证及审批单到B公司办理领取相应楼层电佛门禁卡。A公司将物理区域的日常安保管理外包给C公司。中秋节时，A公司举办为期1天的大型活动，邀请200人参加，为参加者便利，委托C公司统一收集受邀者身份证、统一办理申请批准、统一到B公司办理领取200张电梯门禁卡，然后分发给活动受邀者使用，并于活动结束当天由C公司收回这些电梯门禁卡。11月审核员到A公司审核时发现，C公司并未将该200张卡退还B公司进行销权，而是自行保存，有其他申请者需要时发放使用，省去了每次跑B公司办理的麻烦。审核员抽查了几张卡，申请者与持有并使用者非同一人，并调阅B公司发卡登记的身份证信息既非现持有并使用者，亦非申请者，发卡登记的身份证信息拥有者目前既不是A、B、C公司员工，亦不是任何项目合作者。请依据GB/T22080-2016/ISO/IEC27001:2013标准，阐述你对上述场景的审核思路。

使用微信搜索喵呜刷题，轻松应对考试！

答案：

1、查A公司是否对提供安保服务的C公司有安全要求及相关规定，查相关的服务协议或服务合同。 2、查A公司是否对C公司的安保服务定期进行了评审，抽3-5份评审记录。 3、A公司在本次审核前是否发现本信息安全事件，是否采取了相应的措施予以追踪，是否对C公司进行了审核。 4、查本事件发生之前是否发生过由于C公司提供服务的原因，导致的信息安全事件，处理过程如何？ 5、A公司是否督促C公司马上停止滥发门禁卡的行为，并马上采取纠正及提出纠正措施实施方案。 6、A公司对本次信息安全事件管理过程后是否再次进行风险评估。 7、本事件发生后A公司是否收集了事件的相关证据并进行了事件分析，抽查分析记录。 8、A公司内部是否划定了安全区、交接区。既不是ABC公司员工，也不是项目合作者，进到A公司后，A公司在安全区域及交接区是如何识别控制的，抽查来访人员登记记录。

解析：

【喵呜刷题小喵解析】：此题要求根据GB/T22080-2016/ISO/IEC27001:2013标准，阐述对特定场景的审核思路。该标准是关于信息安全管理体系的国际标准，旨在帮助组织建立、实施、监控、评审和改进信息安全管理体系。首先，审核员需要了解A公司是否对提供安保服务的C公司有明确的安全要求和服务规定，并查阅相关的服务协议或服务合同。这是确保C公司按照A公司的安全策略和要求提供服务的基础。其次，审核员需要查阅A公司是否定期对C公司的安保服务进行评审，并抽查评审记录。这有助于确保C公司的服务质量符合A公司的期望，并及时发现和纠正潜在的安全问题。然后，审核员需要询问A公司是否在本次审核前发现过类似的信息安全事件，并了解是否采取了相应的追踪和审核措施。这有助于评估A公司对于信息安全事件的响应和处理能力。接下来，审核员需要查阅是否有过由于C公司服务原因导致的信息安全事件，并了解处理过程。这有助于分析C公司服务过程中可能存在的安全漏洞和问题。审核员还需要督促A公司立即停止C公司滥发门禁卡的行为，并要求其提出纠正措施和实施方案。这是确保A公司的安全策略得到有效执行，防止未经授权的人员进入敏感区域。此外，审核员需要审核A公司是否对本次信息安全事件进行了风险评估。这有助于了解事件对A公司的影响程度，并为采取适当的纠正措施提供依据。最后，审核员需要查阅A公司是否收集了相关证据并进行了事件分析，抽查分析记录。这有助于了解事件的原因、影响和改进措施，并确保A公司从事件中吸取教训，加强信息安全管理。同时，审核员还需要查阅A公司内部是否划定了安全区和交接区，并了解如何识别和控制非ABC公司员工和项目合作者进入这些区域，抽查来访人员登记记录。这有助于确保A公司的物理安全得到有效保障，防止未经授权的人员进入敏感区域。

创作类型：

原创

本文链接：公司的安全策略规定，通向A公司办公楼层的电梯须凭授权门禁卡刷卡乘梯。办公楼电梯门禁卡的发放由物业公司

让学习像火箭一样快速，微信扫码，获取考试解析、体验刷题服务，开启你的学习加速器！