姓名:
一、选择题(在下列各题中选择一个你认为最适合的答案,填在括号中。每题2分,共30分)
1、信息安全中的可用性是指( )
a信息不能被未授权的个人,实体或者过程利用或知悉的特性
b保护资产的准确和完整的特性
c根据授权实体的要求可访问和利用的特性
d以上都不对
2、审核发现是指( )。
a审核中观察到的事实。
b审核中的事实与审核准则相比较的评价结果;
c审核过程中发现的新的线索;
d审核中的观察项。
3、风险处理的可选措施包括:
a采用适当的控制措施; b接受风险 c避免风险; d风险转移 e a+b+c+d
4、以下属于计算机病毒感染事件的纠正措施的是( )
a 对计算机病毒事件进行响应和处理 b将感染病毒的计算机从网络中隔离
c 对相关责任人进行处罚 d以上都不是
5、组织应定期( )已建立和实施的信息安全连续性控制措施,以确保在不利情况下是有效的和生效的
a培训 b测试
c验证 d增加
6、ISO/IEC27001:2013标准可与其他管理标准, 如质量管理标准( )。
a相容; b包容;
c互不相容; d既包含也相容。
7、组织的信息安全要求来源包括( )
a法律法规与合同要求 b风险评估的结果
c组织已有的原则、目标与要求 d a+b+c
8、编制内部审核实施计划时,应考虑( ), 才能合理的安排时间和审核员,以保证审核有计划的顺利进行。
a上次审核的结果 b某个部门在体系中的重要程度
c主要过程、风险因素的分布 d a+b+c
9、外部审核时陪同人员的作用是
a负责联络 b审核路线引导
c审核证据的证实 d a+b+c
10、审核方案是
a一组方针、程序和要求
b针对特定时间段所策划、并具有特定目的的一组(一次或多次)审核
c一项审核的广度和界限
d对一项审核的活动及安排的说明
11受审核方代表在不合格报告上签字确认的目的是
a对不合格报告中各栏内容的正确性进行复核 b对不合格事实进行确认
c对不合格性质(严重程度)进行确认 d a+b+c
12第三方信息安全管理体系审核的目的是
a发现尽可能多的不符合项
b建立互利的供方关系
c证实组织的信息安全管理体系符合已确定准则的要求
d改进组织信息安全管理
13信息安全管理体系文件详略程序取决于
a组织规模 b活动类型
c安全要求和被管理系统的范围和复杂程度 d a+b+c
14审核证据是指( )
a将收集到的审核证据对照审核准则进行评价的结果
b与审核有关的记录
c与审核准则有关的并且能够证实的记录、事实陈述或其他信息
15、管理评审应( )。
a 按策划的时间间隔进行,一年不少于1次 b按规定的时间间隔进行
c由最高管理者随机确定
二、是非题(正确的在括号中打“√”,错误的打“×”。每题2分,共20分)
( )1、组织的安全要求全部来源于风险评估。
( )2、机密性、完整性和可用性是评价信息资产的三个安全属性。
( )3、末次会议意味着一次现场审核的结束。
( )4、管理评审的目的是确保信息安全管理体系的适宜性、充分性、有效性。
( )5、为了满足风险接受准则所必须进行的任何控制措施的删减,必须证明是合理的,且需要提供证据证明相关风险已被负责人员接受。
( )6、建议的残余风险必须获得管理者的批准
( )7、审核计划经受审核方事先确认后,不能更改。
( )8、审核的原则包括审核的独立性和客观性。
( )9、资产的责任人是指对资产拥有所有权的人员
( )10、信息安全事件的发生必然造成事故和损失。
三、简答题(每题5分,共25分)
1、简述信息安全管理体系内部审核的审核准则。
2、简述审核抽样的基本原则
3、简述内部审核的一般流程
4、简述内部审核与管理评审的区别
5、简述客观证据的收集方式
四、判断题(每题5分,共10分)
对下列各题中的不符合内容,请写出不符合ISO/IEC27001:2013标准哪一条款(尽可能细化到分条款),并描述不符合。
1、设计师张先生是某公司的骨干,他嫌公司提供的设计软件版本太旧,自己安装了盗版的新版本设计程序。
2、李某是一家复印机维修公司工作人员。在试复印机时,随手从废纸箱中拿出一张纸,上面有6月份的部分财务数据。
五、审核案例题(每题15分,共15分)
A公司是M国内一家大型电信运营商,公司有明确保护客户隐私信息的承诺。为尊重客户,其前台服务的计算机由原来的单显示器更改为双显示器,客户可以很方便地看到操作员的操作情况。但该服务系统有设计缺陷,在某个特定查询模块,能够同时显示同一号码的前后几位使用者的姓名、家庭住址和联系电话等信息,由此带来顾客的投诉。如果你是审核员,将如何进行审核?请根据以上场景,编写检查表或者写出审核思路与审核要点。
【体系管理】专注于质量、环境、职业健康安全等管理体系知识的分享!
【分享内容】企业内外部培训教材PPT,管理体系制度文件,表单模板案例,内部审核技巧,外部审核准备迎审技巧,管理体系建设实战案例,注册审核员考试资料,内部审核员培养教程,质量/安全/精益生产,制造行业书籍电子书,GB/GBT/HB/DB/QB/GJB,法律法规分享及解读,ISO9001,ISO14001,ISO45001,IATF16949,ISO13485,ISO27001,ISO17025,ISO22000,VDA系列,CQI系列等等标准体系管理知识及培训教材分享!!!
联系客服