模擬練習題
信息安全管理體系審核員練習題-簡單題和案例分析題
2015-06-08      來源:國家注冊審核員網
【字體: 】              
一、簡答
 
1.內審不符合項完成了30/35,審核員給開了不符合,是否正確?你怎么審核?
[參考]不正確。應作如下審核:
(1)詢問相關人員或查閱相關資料(不符合項整改計劃或驗證記錄),了解內審不符合項的糾正措施實施情況,分析對不符合的原因確定是否充分,所實施的糾正措施是否有效;
(2)所采取的糾正措施是否與相關影響相適宜,如對業務的風險影響,風險控制策略和時間點目標要求,與組織的資源能力相適應。
(3)評估所采取的糾正措施帶來的風險,如果該風險可接受,則采取糾正措施,反之可采取適當的控制措施即可。
綜上,如果所有糾正措施符合風險要求,與相關影響相適宜,則糾正措施適宜。
 
2、在人力資源部查看網管培訓記錄,負責人說證書在本人手里,培訓是外包的,成績從那里要,要來后一看都合格,就結束了審核,對嗎?
[參考]不對。
應按照標準GB/T 22080-2008條款5.2.2 培訓、意識和能力的要求進行如下審核:
(1)詢問相關人員,了解是否有網管崗位說明書或相關職責、角色的文件?
(2)查閱網管職責相關文件,文件中如何規定網管的崗位要求,這些要求基于教育、培訓、經驗、技術和應用能力方面的評價要求,以及相關的培訓規程及評價方法;
(3)查閱網管培訓記錄,是否符合崗位能力要求和培訓規程的規定要求?
(4)了解相關部門和人員對網管培訓后的工作能力確認和培訓效果的評價,是否保持記錄?
(5)如果崗位能力經評價不能滿足要求時,組織是否按規定要求采取適當的措施,以保證崗位人員的能力要求。
 
二、案例分析
1、查某公司設備資產,負責人說臺式機放在辦公室,辦公室做了來自環境的威脅的預防;筆記本經常帶入帶出,有時在家工作,領導同意了,在家也沒什么不安全的。
A 9.2.5  組織場所外的設備安全  應對組織場所的設備采取安全措施,要考慮工作在組織場所以外的不同風險
 
2、某公司操作系統升級都直接設置為系統自動升級,沒出過什么事,因為買的都是正版。
A 12.5.2 操作系統變更后應用的技術評審  當操作系統發生變更時,應對業務的關鍵應用進行評審和測試,以確保對組織的運行和安全沒有負面影響。
 
3、創新公司委托專業互聯網運營商提供網絡運營,供應商為了提升服務級別,采用了新技術,也通知了創新公司,但創新認為新技術肯定更好,就沒采取任何措施,后來因為軟件不兼容造成斷網了。
A 10.2.3 第三方服務的變更管理 應管理服務提供的變更,包括保持和改進現有的信息安全策略、規程和控制措施,并考慮到業務系統和涉及過程的關鍵程度及風險的評估。
 
4、查某公司信息安全事件處理時,有好幾份處理報告的原因都是感染計算機病毒,負責人說我們嚴格的殺毒軟件下載應用規程,不知道為什么沒有效,估計其它方法更沒用了。
8.2糾正措施
 
5、查看 web服務器日志發現,最近幾次經常重啟,負責人說剛買來還好用,最近總死機,都聯系不上供應商負責人了。
A 10.2.1 應確保第三方實施、運行和保持包含在第三方服務交付服務交付協議中的安全控制措施、服務定義和交付水準。
手機掃一掃
加入國家注冊審核員考試服務平臺

微信號:ccaaxue
功能介紹:國家注冊審核員 考試通知、培訓信息;
認證機構掛靠、人員注冊、考試真題、模擬試題。