2024年信息安全管理体系审核员考试题目

ISMS202309/11

一、简答

1、内审不符合项完毕了30/35,审核员给开了不符合，与否对的?你怎么审核？

［参照］不对H勺。应作如下

(1)问询有关人员或查阅有关资料(不符合项整改计划或验证记录)，理解内审不符

合项的纠正措施实行状况，分析对不符合的原因确定与否充足，所实行口勺纠正

措施与否有效；

(2)所采用的纠正措施与否与有关影响相合适，如对业务的风险影响，风险控制方略

和时间点目的规定，与组织的资源能力相适应。

(3)评估所采用H勺纠正措施带来的风险，假如该风险可接受，则采用纠正措施，反之

可采用合适的控制措施即可。

综上，假如所有纠正措施符合风险规定，与有关影响相合适，则纠正措施合适。

2、在人力资源部查看网管培训记录,负责人说证书在本人手里，培训是外包日勺，成绩从那里

要，要来后一看都合格，就结束了审核，对吗？

［参照］不对。

应按照原则GB/T22080-2023条款5.2.2培训、意识和能力的规定进行如下

(1)问询有关人员，理解与否有网管岗位阐明书或有关职责、角色H勺文献？

(2)查阅网管职责有关文献，文献中怎样规定网管的岗位规定，这些规定基于教育、培

训、经验、技术和应用能力方面H勺评价规定，以及有关H勺培训规程及评价措施；

(3)查阅网管培训记录,与否符合岗位能力规定和培训规程的规定规定？

(4)理解有关部门和人员对网管培训后的工作能力确认和培训效果的评价，与否保

持记录？

(5)假如岗位能力经评价不能满足规定期，组织与否按规定规定采用合适的措施，

以保证岗位人员H勺能力规定。

二、案例分析

1、查某企业设备资产，负责人说台式机放在办公室，办公室做了来自环境日勺威胁的防止；

笔记本常常带入带出，有时在家工作,领导同意了,在家也没什么不安全日勺。

A9.2.5组织场所外的设备安全应对组织场所的设备采用安全措施，要考虑工作在组

织场因此外的不同样风险

2、某企业操作系统升级都直接设置为系统自动升级，没出过什么事,由于买的都是正版。

A12.5.2操作系统变更后应用的技术评审当操作系统发生变更时，应对业务的关键

应用进行评审和测试,以保证对组织的运行和安全没有负面影响。

3、创新企业委托专业互联网运行商提供网络运行,供应商为了提高服务级别，采用了新技

术，也告知了创新企业，但创新认为新技术肯定更好，就没采用任何措施，后来由于软件不

兼容导致断网了。

A10.2.3第三方服务的变更管理应管理服务提供的变更，包括保持和改善既有的信息安

全方略、规程和控制措施，并考虑到业务系统和波及过程的关键程度及风险£1勺评估。

4、查某企业信息安全事件处理时，有好几份处理汇报的原因都是感染计算机病毒,负责人

说我们严格的杀毒软件下载应用规程,不懂得为何没有效，估计其他措施更没用了。

8.2纠正措施

5、查看web服务器日志发现，近来几次常常重启，负责人说刚买来还好用，近来总死机,

都联络不上供应商负责人了。

A应保证第三方实行、运行和保持包括在第三方服务交付服务交付协议中的安全控制措施、

服务定义和交付水准。

单项选择纠错（选择一种最佳可行的答案）

1、一种组织或安全域内所有信息处理设施与已设精确时钟源同步是为了:便于探测未经授

权的信息处理活动的发生

2、网络路由控制应遵从:保证计算机连接和信息流不违反业务应用的访问控制方略

3、针对信息系统的软件包，应尽量劝阻对软件包实行变更，以规避变更日勺风险

4、国家信息安全等级保护采用：自主定级、自主保护的原则。

5、对于顾客访问信息系统使用的口令，假如使用生物识别技术,可替代口令

6、信息安全灾备管理中，“恢复点目的"指:劫难发生后,系统和数据必须恢复到的时间点规

定。

7、有关IT系统审核，如下说法对的的是:组织经评估认为IT系统审计风险不可接受时，可

以删减

8、根据GB/T22080,组织与员工的保密性协议的内容应：反应组织信息保护需要的

保密性或不泄露协议规定

9、为了防止对应用系统中信息的未授权访问，对的的做法是：按照访问控制方略限制顾客访

问应用系统功能和隔离敏感系统

10、对于所有确定的纠正和防止措施，在实行前应先通过（风险分析）过程进行评审。

11、不属于WEB服务器的安全措施是（保证注册帐户的时效性）。

12、文献初审是评价受审核方ISMS文献8勺描述与审核准则口勺（符合性）。

13、国家对于经营性互联网信息服务实行:许可制度。

14、针对获证组织扩大范围的审核，如下说法对H勺H勺是:一种特殊审核，可以和监督审核一起

进行。

15、信息安全管理体系初次认证审核时，第一阶段审核应：对受审核方信息安全管理体系文

献进行审核和符合性评价。

16、文献在信息安全管理体系中是一种必须的要素，文献有助于:保证可追溯性。

17、对一段时间内发生的信息安全事件类型、频次、处理成本的记录分析属于事件管理。

18、哪一种安全技术是鉴别顾客身份的最佳措施:生物测量技术。

19、最佳H勺提供当地服务器上日勺处理工资数据口勺访问控制是:使用软件来约束授权顾客的访

问。

20、当计划对组织H勺远程办公系统进行加密时，应当首先回答下面哪一种问题:系统和数据具

有什么样的敏感程度。

简述题.

1、审核员在某企业审核时,发现该企业从保安企业聘任的保安H勺门卡可通行企业所有的

门禁。企业主管信息安全的负责人解释说，因保安负责企业的物理区域安全，他们夜里

以及节假日要值班和巡查所有区域，因此只能给保安全权限门卡。审核员对此解释体现

认同。假如你是审核员，你将怎样做？

答:应根据原则GB/T22080-2023条款A.11.1.1审核如下内容：

(1)与否有形成文献的访问控制方略，并且包括针对企业每一部分物理区域的I访问

控制方略日勺内容？

(2)访问控制方略与否基于业务和访问的)安全要素进行过评审？

(3)核算保安角色与否在访问控制方略中有明确规定？

(4)核算访问控制方略的制定与否与各物理区域风险评价的成果一致？

(5)核算发生过的信息安全事件,与否与物理区域非授权进入有关？

(6)核算怎样对保安进行背景调查,与否明确了其安全角色和职责？

2、请论述对GB/T22080中A.13.2.2的审核思绪。

答：(1)问询有关负责人，查阅文献3-5份，理解怎样规定对信息安全事件进行总结的机

制？该机制中与否明确定义了信息安全事件日勺类型？该机制与否规定了量化和监视信

息安全事件类型、数量和代价的措施和规定,并包括成功的和未遂事件？

(2)查阅监视或记录3-15条，查阅总结汇报文献3-5份，理解与否针对信息安全事件

进行测量,与否就类型、数量和代价进行了量化的总结,并包括成功日勺和未遂事件。

(3)查阅文献和记录以及访问有关负责人,核算根据监视和量化总结的成果采用后续措

施有效防止同类事件的再发生。

案例分析题

1、不符合原则GB/T22080-2023条款A.11.4.6网络连接控制“对于共享的网络,

尤其是越过组织边界H勺网络，顾客的联网能力应按照访问控制方略和业务应用规定加以

限制(见A.11.1)。”的规定。

不符合事实：某著名网站总部陈列室中5台演示用的电脑可以连接外网和内网。

2、不符合原则GB/T22080—2023条款A9.1.2物理人口控制“安全区域应由适合

的入口控制所保护，以保证只有授权的人员才容许访问。”的规定。

不符合事实：现场发现未经授权的人员张X进出机器和网络操作机房，却没有任何登记

记录，而程序文献(GX28)规定除授权工作人员可凭磁卡进出夕卜,其他人员进出均须办

理准入和登记手续。

3、不符合原则GB/T22080-2023条款4.2.1d)识别风险"3)识别也许被威胁运用H勺脆弱

性；”的规定。

不符合事实:现场管理人员认为下载的软件都是从著名网站上下载的，不会有问题。

4、不符合原则GB/T22080-2023条款8.2纠正措施”组织应采用措施，以消除与I

SMS规定不符合H勺原因，以防止再发生。”的规定。

不符合事实:XX银行在2023年一季度发生了10起网银客户资金损失事故，4-5月又发生

7起类似事故。

5、不符合原则GB/T22080-2023条款A.11.6.1信息访问控制"顾客和支持人员对信息

和应用系统功能的访问应根据已确定的访问控制方略加以限制”的规定。

不符合事实：开发人员可以修改测试问题记录。

6、不符合原则GB/T22080-2023条款A.7.1.3资产的可接受使用”与信息处理设施有关

H勺信息和资产可接受使用规则应被确定、形成文献并加以实行”的规定。

不符合事