模擬練習題
信息安全管理體系審核員練習題-簡述題
2015-06-08      來源:國家注冊審核員網
【字體: 】              

簡述題

1、審核員在某公司審核時,發現該公司從保安公司聘用的保安的門卡可通行公司所有的門禁。公司主管信息安全的負責人解釋說,因保安負責公司的物理區域安全,他們夜里以及節假日要值班和巡查所有區域,所以只能給保安全權限門卡。審核員對此解釋表示認同。如果你是審核員,你將如何做?
答:應根據標準GB/T 22080-2008條款A.11.1.1審核以下內容:
(1)是否有形成文件的訪問控制策略,并且包含針對公司每一部分物理區域的訪問控制策略的內容?
(2)訪問控制策略是否基于業務和訪問的安全要素進行過評審?
(3)核實保安角色是否在訪問控制策略中有明確規定?
(4)核實訪問控制策略的制定是否與各物理區域風險評價的結果一致?
(5)核實發生過的信息安全事件,是否與物理區域非授權進入有關?
(6)核實如何對保安進行背景調查,是否明確了其安全角色和職責?
 
2、請闡述對GB/T 22080中A.13.2.2的審核思路。
答:(1)詢問相關責任人,查閱文件3-5份,了解如何規定對信息安全事件進行總結的機制?該機制中是否明確定義了信息安全事件的類型?該機制是否規定了量化和監視信息安全事件類型、數量和代價的方法和要求,并包括成功的和未遂事件?
(2)查閱監視或記錄3-15條,查閱總結報告文件3-5份,了解是否針對信息安全事件進行測量,是否就類型、數量和代價進行了量化的總結,并包括成功的和未遂事件。
(3)查閱文件和記錄以及訪問相關責任人,核實根據監視和量化總結的結果采取后續措施有效防止同類事件的再發生。
手機掃一掃
加入國家注冊審核員考試服務平臺

微信號:ccaaxue
功能介紹:國家注冊審核員 考試通知、培訓信息;
認證機構掛靠、人員注冊、考試真題、模擬試題。