2018年9月信息安全管理体系(ISMS)审核知识 试卷

中国认证认可协会（CCAA）全国统一考试信息安全管理体系（ISMS）审核知识试卷2018年9月一、单选题题号1234567891111111111201234567890答案答案CCDBDCBBDADCAADDCDDD题号2222222223333333333412345678901234567890答案答案ADADCBABDB1、依据GB/Z20986，信息安全事件的分级为（）（A） 重大（I级）严重（II级）一般（山级）（B） 特别重大（IV级）重大（山级）严重（II级）一般（I级）（C） 特别重大（I级）重大（II级）较大（山级）一般（IV级）（D） 特别严重（山级）严重（II级）一般（I级）2以下属于信息安全管理体系审核发现的是：（）。（A） 审核员看到的物理入口控制方式。（B） 审核员看到的信息系统资源阈值。（C） 审核员看到的移动介质的使用与安全策略的符合性。（D）审核员看到的项目质量保证活动与CMMI规程的符合性。3、ISMS文件的多少和详细程度取决于()组织的规模和活动的类型过程及其相互作用的复杂程度人员的能力以上都对4、 以下关于VPN说法正确的是()。VPN指的是用户自己租用线路，和公共网络物理上完全隔离的、安全的线路VPN指的是用户通过公用网络建立的临时的、安全的连接VPN不能做到信息认证和身份认证VPN只能提供身份认证，不能提供加密数据的功能5、 1999年，我国发布的第一个信息安全等级保护的国家标准GB17859-1999，提出将信息系统的安全等级划分为()个等级，并提出每个级别的安全功能要求。7 (B)8 (C)6 (D)56、 关于“纠正措施”，以下说法正确的是：()针对不符合的原因分析必须采用“因果分析法”。审核组对于不符合项原因分析的准确性影响纠正措施的有效性的因素之一。受审核方对于不符合项原因分析的准确性是影响纠正措施有效性的因素之一。审核组与受审核方应对不符合的原因进行共同分析，以取保纠正措施的有效性。7、某银行将其物理区域按敏感性划分了安全等级，其中金库为最高等级，审核员进入金库审核需得到分行行长批准，针对该场景，以下说法正确的是()。金库敏感性太高，应排除在认证审核范围之外。这符合GB/T22080-2016/ISO/IEC27001:2013标准A9.1.1的要求。这符合GB/T22080-2016/ISO/IEC27001:2013标准A11.1.2的要求。这符合GB/T22080-2016/ISO/IEC27001:2013标准A6.1.2的要求。8、 设立信息安全管理体系认证机构，须得到以下哪个机构的批准，方可在中国境内从事认证活动。中国合格评审国家认可委员会。中国国家认证认可监督管理委员会。中国认证认可协会。工商注册管理部门。9、 以下不属于认证机构应考虑对组织的信息安全管理体系实施特殊审核的情形是()。组织获证范围内的业务活动场所、地址变更组织的适用性声明中对控制措施的选择相关内容发生变更组织获证范围内业务应用系统发生重大变更，如系统架构变更组织的信息安全管理体系年度内部审核计划变更10、()是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全方针的违反或控制措施的失效，或是和安全相关的一个先前未知的状态。信息安全事态信息安全事件信息安全事故信息安全故障11、已获得认证的组织，第二年拟在认证范围上新增加一个场所，针对此情况，以下说法正确的是()。新增场所需实施现场审核，在监督审核人天数基础上加一个人天新增场所需实施现场审核，新增场所按初审计算人天数若组织内审已覆盖该新增场所，监督审核时对组织内审报告进行评审，不必去该新场所现场审核新增场所需实施现场审核，按监督审核计算人天数12、管理体系认证审核的范围是：()。组织的全部经营管理范围。组织的全部信息系统机房所在的范围。组织承诺建立、实施和保持管理体系相关的组织位置、过程和活动以及时期的范围。(D)组织机构中所有业务职能涉及的活动范围。13、针对获证组织扩大范围的审核，以下说法正确的是()。一种特殊审核，可以和监督审核一起进行是监督审核的形式之一审核时抽样的样本范围和监督审核相同以上都对14、下列哪个不是审核计划必须的内容？()受审核方的联系人审核目的审核范围预计的现场审核持续时间15、系统备份与普通数据备份的不同在于，它不仅备份系统中的数据，还备份系统中安装的应用程序，数据库系统、用户设置、系统参数等信息，以便迅速()。恢复全部程序恢复网络设置恢复所有数据恢复整个系统16、信息安全管理中，“远程访问”指：()。访问者的物理位置与被访问客体不在一个城市。访问者的物理位置与被访问客体的距离大于30米。访问者的物理位置与被访问客体的距离大于15米。访问者从并不永久连接到所访问网络的终端访问资源。17、将计算机信息系统中的自主和强制访问控制扩展到所有主体和客体，这是()。二级及以上的要求。三级及以上的要求。四级及以上的要求。五级的要求。18、某认证机构A获得批准实施QMS认证，但未获得批准实施ISMS认证；认证机构B获得批准实施ISMS认证，但未获得批准实施QMS认证，某审核员同时具备QMS审核员资格以及ISMS审核员资格，以下说法正确的是()该审核员可在机构A专职从事QMS认证审核，同时加入机构B作为兼职审核员从事ISMS认证审核该审核员可在机构B专职从事ISMS认证审核，同时加入机构A从事QMS认证审核该审核员若在机构A从事QMS认证审核，同时在机构B从事ISMS认证审核，则在两个机构都只能当兼职审核员，不得担当专职审核员该审核员只可在机构A从事QMS认证审核，或在机构B从事ISMS认证审核，无论担当专职还是兼职审核员19、认证审核期间，当审核证据表明审核目的不能实现时，审核组应()。一起讨论，决定后续措施。审核组长权衡，决定后续措施。由受审核方决定后续措施。报告审核委托方并说明理由，确定后续措施。20、关于第三方认证的监督审核，以下说法不正确的是()。可以与其他监督活动一起策划目的在于认证机构对获证客户信息安全管理体系在认证周期内持续满足要求保持信任每次监督审核应包括对内审、管理评审和持续的运作控制的审核不一定是对整个体系的审核，不一定是现场审核21、审核过程中发现的不符合项的描述和分级由下列哪个角色负责？()发现该不符合项的审核员审核组长受审核方负责人该不符合涉及的受审核方责任人22、 不属于计算机病毒防治的策略是()确认您手头常备一张真正“干净”的引导盘及时、可靠升级反病毒产品新购置的计算机软件也要进行病毒检测整理磁盘23、 审核组中的技术专家是()。为审核组提供文化、法律、技术等方面知识咨询的人员。（B） 特别负责对受审核方的专业技术过程进行审核的人员。（C） 审核期间为受审核方提供技术咨询的人员。（D） 从专业的角度对审核员的审核进行观察评价的人员。24、当访问单位服务器时，响应速度明显减慢时，最有可能受到了哪种攻击？（）（A）特洛伊木马 （B）地址欺骗 （C）缓冲区溢出（D）拒绝服务25、残余风险是（）。（A） 低于可接受风险水平的风险（B） 高于可接受风险水平的风险（C） 经过风险处置后剩余的风险（D） 未经处置的风险26、 与审核准则有关的并且能够证实的记录、事实陈述或其他信息称为（）（A）信息安全信息 （B）审核证据 （C）检验记录 （D）信息源27、 在以下人为的恶意攻击行为中，属于主动攻击的是（）。（A）数据篡改及破坏 （B）数据窃听 （C）数据流分析（D）非法访问28、 对于针对信息系统的软件包，以下说法正确的是（）。A） 组织应具有有能力的人员，以便随时对软件包进行适用性修改。B） 应尽量劝阻对软件包实施变更，以规避变更的风险。软件包不必作为配置项进行管理。软件包的安装必须由其开发商实施安装。29、为了确保布缆安全，以下正确的做法是：()。使用同一电缆管道铺设电源电缆和通信电缆。网络电缆采用明线架设。配线盘应尽量放置在公共可访问区域，以便于应急管理。使用配线标记和设备标记，编制配线列表。30、下列哪项不属于《认证机构管理办法》中规定的设立认证机构应具备的条件？()具有固定的办公场所和必备设施注册资本不得少于人民币600万元具有10名以上相应领域的专职认证人员具有符合认证认可要求的管理制度多选题题号31323334353637383940答案ABDACBCDACDABDBCDABDABBCDABD31、能够表明审核方案得到执行的证据包括()。(D)认证证书审核计划 (B)审核报告 (C)(D)认证证书32、信息安全管理体系认证是：()。与信息安全管理体系有关的规定要求得到满足的证实活动对信息系统是否满足有关的规定要求的评价信息安全管理体系认证是合格评定活动的一种是信息安全风险管理的实施活动33、 一种关于()、应急响应和灾后恢复的计划不能被称为应急预案。(A)备份 (B)灭火 (C)培训 (D)评审34、 组织应有正式的传输()，以保护通过使用各类型通信设施进行的信息传输。(A)策略 (B)计划 (C)规程 (D)控制35、 在设计和应用安全区域工作规程时，以下做法正确的是()。基于“须知”原则，员工宜仅知晓安全区域的存在或其中的活动为了安全原因和减少恶意活动的机会，均宜避免在安全区域内进行不受监督的工作使用的安全区域宜上锁并定期评审访问权限未经授权，不宜允许携带摄影、视频、音频或其他记录设备，例如移动设备中的照相机36、 以下符合“责任分割”原则的做法是：()。不同职级人员工作区域隔离保持安全审核人员的独立性授权者、操作者和监视者三者责任分离事件报告人员与事件处理人员职责分离37、在规划如何达到信息安全目标时，组织应确定()(A)要做什么，需要什么资源由谁负责，什么时候完成完成的目标是什么如何评价结果38、 识别和评价风险处置的可选措施，可能的措施不是()。采用适当的控制措施、在明显满足组织方针策略和接受风险的准则的条件下，不接受风险淡化风险、将相关业务风险转移到其他地方，如保险，供应商等采用适当的控制措施、淡化风险采用适当的控制措施、将相关业务风险转移到其他地方，如保险，供应商等39、 为了实现在网络上自动标识设备，以下做法正确的是()启用DHCP动态分配IP地址功能为网络设备分配固定IP地址将每一台计算机MAC与一个IP地址绑定釆取有效措施禁止修改MAC40、某公司对其核心业务系统中的数据采用每天磁盘备份，每月光盘备份，并在两个城市部署了数据中心，这两个数据中心可以做到实时数据备份，这符合标准GB/T22080-2016/ISO/IEC27001:2013标准中的哪些条款的要求？()(A)A.8.3.1(B)A.12.3.1(C)A.14.3.1(D)A.17.2.1三、阐述题(每题10分，共2题，共20分)41、A公司的安全策略规定，通过A公司办公楼层的电梯，须凭授权门禁卡刷卡乘电梯。办公楼电梯门禁卡的发放由物业公司B负责。A公司完成申请审批流程的人员凭本人身份证及审批单到B公司办理领取相应楼层电梯门禁卡。A公司将物理区域的日常安保管理外包给C公司。中秋节时，A公司举办为期一天的大型活动，邀请200人参加，为了参加者便利，委托C公司统一收集受邀者身份证，统一办理申请审批，统一到B公司办理领取200张电梯门禁卡，然后分发给活动受邀者使用，并于活动结束当天由C公司回收这些电梯门禁卡。11月审核员到A公司审核时发现，C公司并未将该200张卡退还B公司进行销权，而是自行保存，有其他申请者需要时发放使用，省去了每次跑B公司办理的麻烦，审核员抽查了几张卡发现，申请者与持有并使用者非同一人，并调阅B公司发卡登记的身份证信息既非现持有并使用者，亦非申请者，发卡登记的身份证信息拥有者目前既不是A、B、C公司员工，也不是任何项目合作者，请依据GB/T22080-2016/ISO/IEC27001:2013标准，阐述你对上述场景的审核思路。答：1、查A公司对于在办公楼举办200人活动是否根据(6.1.2)进行了风险评估，得到风险责任人的批准，查相关批准记录。2、查A8.1.1，A公司是否将门禁卡列为公司的资产进行管理，并在使用完毕后进行归还(A8.1.4),查相关规定和实施方案以及具体经办的责任人。3、 查A11.1.6,A公司在举办活动前除必要场地，是否对其余场地中有效的信息设施进行了必要的隔离，控制和保护措施(A11.1.3),查相关措施或会议纪要等内容。4、 查A15.1.1，查与B公司的合同或协议中，安全策略是否对门卡发放及回收销毁有相关的规定，是否符合公司的安全策略，合同中是否规定了门卡的发放、权限中止或门卡的销毁过程及责任人，查相关合同及发放回收销毁记录。5、 查A15.1.2，查与B和C公司的合同或协议中，是否有对公司的信息安全要求规定及各方责任规定。查C公司的安保协议中是否有对临时情况需要加强安保力量的规定，查当天C公司对活动现场的人员派驻及物理入口(A.11.1.2)例如电梯口是否一人一卡进行控制的记录。6、 查自从活动开始至今，是否有相应的信息安全事件报告(A16.1.2),是否得到响应，事态是否与违规未收回门卡有关。7、 查A15.2.1，是否对B公司及C公司的服务进行了监控、定期评审。查既往事件是否与这两家公司的服务水平有关。8、 查公司是否对以上违规使用门禁卡的风险进行了识别，评估，并有处置措施及应急预案。42、在某公司人事部，审核员向人力资源部负责人了解培训情况时得知，公司负责网络安全的管理人员的培训是请专门的网络安全培训机构进行的。审核员想看看这些人员的培训成绩和证书，该负责人说，证书他们自己保存，我们替他们保存反而不方便。培训成绩在培训机构，你们要看的话，我可以打电话联系让他们发过来，审核员同意并查阅了发过来的成绩，由于成绩合格，审核员表示满意，并结束了培训的审核。这样的审核是否符合要求？为什么？如果请你去审核的话，你会怎么做？答：不符合，因为按照GB/T22080-2016中7.2能力b）确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作，d）保留适当的文件化信息作为能力的证据要求，所以不符合要求。如果我去审核，先请人力资源部门提供已实施的网络安全培训计划，审查培训内容是否满足公司的信息安全方针（5.2），因为网络安全培训可能涉及公司的机密信息，故由外聘的网络安全培训机构进行网络安全培训前，公司是否进行了风险评估（6.1.2），并得到了风险责任人的批准。查公司组织机构架构以及岗位设置，对网络安全的相关培训是否覆盖了所有相关的部门及人员，检查培训签到表，是否存在遗漏。询问公司对培训效果如何评估，检查培训记录，是否有效果确认人签字。同时查阅信息安全事件记录，是否有与网络安全意识薄弱的相关事件，公司是否对此加以分析和采取改进措施，适当时作为后续培训的材料。与相关部门员工就网络安全内容进行约谈，过程中观察员工是否具有相关的网络安全意识，满足方针中信息安全目标，以此判断是否达到了培训设计的目标（7.3）查看人事部其他相关信息安全培训的记录是否齐全（7.2d）,满足文件化信息的要求（7.5）四、案例分析题（每题6分，共5题，共30分）请针对以下场景进行分析，写出不符合标准条款的编号（写到最小的阿拉伯数字）以及内容，并写出不符合事实。43、某公司使用SANFOR系统管理公司网络，审核员发现该系统只有两个用户：“ADMIN”和“SANFOR”，其中ADMIN用户同时拥有制定上网策略、配置实施上网策略、日志中心审计等权限，SANFOR用户只有查看策略的权限。系统管理员（即ADMIN用户）解释说：“公司人手少，就只设置了我一个人做网管，SANFOR用户是我的领导，平时不过问我的工作。不符合条款：GB/T22080-2016A6.1.2信息安全的角色和责任，所有的信息安全责任应予以定义和分配。不符合事实：审核员审核观察发现，SANFOR系统中负有信息安全责任的领导并未负起相应的责任和行使权利，而是由下属负责承担。44、 公司信息化系统平台比较多，专门设立了信息化部负责公司的网络服务，询问信息化主管领导：公司是否与IT部门之间签订了网络服务协议，主管领导认为：“这都是公司内部的事情，不涉及到外部供应商，所以公司没有必要与信息化部之间签订网络服务协议”。不符合条款：GB/T22080-2016A13.1.2网络服务的安全所有网络服务的安全机制、服务级别和管理要求应予以确定，并包括在网络服务协议中，无论这些服务是由内部提供的还是外包的。不符合事实：审核中发现，公司没有与负责公司网络服务的信息化部之间签订网络服务协议。45、 某制造企业采用全自动化生产线生产产品。审核员在部件成型车间审核时发现，一份纸质NOTEBOOK封面上写着“CMAX01卷料机异常交接本”，其中用不同笔迹记载着上一年度8月份以来CMAX-01号设备发生过的异常情况、软件更改、运行参数更改、硬件维护更换等，当审核员问道这些调整和更改的具体内容、授权情况，以及谁执行的，该车间自动化设备负责人说：都是技术人员自己把握，公司对这些没有具体要求。答：不符合条款A12.1.2变更管理不符合事实：对在部件成型车间“CMAX41卷料机异常交接本”中用不同笔迹记载着上一年度8月份以来CMAX-01型设备发生的异常情况、软件更改、运行参数更改、硬件维护更换等信息，对于这些调整和更改的信息的具体内容、授权情况，以及谁执行的，公司没有具体要求