ISO27001內(nèi)審員考試試題

1、信息安全管理體系內(nèi)審員考試試題姓名：工作單位：考試日期：年月日類別單項選擇題多項選擇題判斷題簡答題闡述題案例分析總得分得分閱卷人簽字復核人簽字、單項選擇題（每題 1 分，共 15 分）從以下每題的幾個答案中選擇一個你認為最合適的，并將答案代號填入（）中。（）1.ISO/IEC27001 從的角度，為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的 ISMS 規(guī)定了要求。a）客戶安全要求b）組織整體業(yè)務(wù)風險c）信息安全法律法規(guī)d）以上都不對（）2.組織聲稱符合 ISO/IEC27001 時，的要求可刪減。a）第 4 章b）第 5 章c）第 7 章d）附錄 A（）3.審核準則是指a） 一組方針、程

2、序或要求b） 一組能夠證實的記錄、事實陳述或其他信息c） 一組約束審核行為的規(guī)范d）以上都不對（）4.審核計劃a）應由受審核方確認，可適當調(diào)整b） 一經(jīng)確定，不能改動c）受審核方可隨意改動d）以上都不對（）5.以下哪一種描述不適合信息安全管理體系？a）是指國家對各重要信息系統(tǒng)實施信息安全管理的行政管理結(jié)構(gòu)b）是整個管理體系的一部分，它是基于業(yè)務(wù)風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的c）建立信息安全方針和目標，并實現(xiàn)這些目標的相互關(guān)聯(lián)或相互作用的一組要素d）包括信息安全管理機構(gòu)、體系文件及相關(guān)資源等要素（）6.信息安全管理體系要求 ISO/IEC27001 屬于標準？a）

3、詞匯類標準b）指南類標準c）要求類標準d）相關(guān)類標準（）7.現(xiàn)場跟蹤驗證a）只適用于一般不符合項b）只適用于嚴重不符合項c）只適用于短期內(nèi)無法完成且又制訂了糾正措施計劃的一般不符合項d）以上都不對（）8.負責審核計劃、協(xié)調(diào)審核活動并在審核活動中領(lǐng)導審核活動？a）審核小組成員b）信息安全經(jīng)理c）審核小組組長d）以上都不是（）9.下面哪一個不是信息安全管理體系審核的依據(jù)？a） ISO/IEC27001b） ISMS 文件c）信息安全專家建議d）相關(guān)法律法規(guī)（）10.審核類型將由審核員和被審核組織的關(guān)系來確定，因此內(nèi)部審核又稱為a）第一方審核b）第二方審核c） 第三方審核d）以上都不對（）11.組織

4、通過信息安全管理體系認證則a）表明組織已不存在不符合項b）表明體系具備保護組織信息資產(chǎn)的能力c）表明組織已達到了其信息安全目標d）以上都不對（）12.對于 ISMS 審核組而言，以下哪一種要求不是必須的？a）信息安全的理解b）從業(yè)務(wù)角度對風險評估和風險管理的理解c）被審核活動的技術(shù)知識d）以上都不對（）13.信息安全管理體系認證a）應審核 ISMS 范圍內(nèi)的所有部門和所有人員b）指導受審核方改進的過程c）尋找不符合項的過程d）可為受審核方提供控制措施的實施建議（）14.下列哪個要素可以不作為 ISMS 審核時間判斷的依據(jù)？a）ISMS 的復雜度b）高層管理者對信息安全問題的重視程度c） ISM

5、S 范圍內(nèi)執(zhí)行的業(yè)務(wù)的類型d）適用于認證的標準和法規(guī)（）15.在認證過程中，“根據(jù)審核報告，確定糾正措施”是的職責。a）審核組長b）審核組 c）受審核方d）以上都不對二、多項選擇題（每題 2 分，共 10 分）從以下每題的答案中選擇一個或多個你認為合適的，并將答案代號填入（）中。（）1.ISMS 第 1 階段審核的目的是a）獲取對組織信息安全管理體系的了解和認識b）了解客戶組織的審核準備狀態(tài)c）為計劃 2 階段審核提供重點d）確認組織的信息安全管理體系符合標準或規(guī)范性文件的所有要求（）2.按照審核的先后順序劃分，審核包括a）第一階段審核b）第二階段審核c）監(jiān)督審核d）再認證審核（）3.審核方案

6、和審核計劃的區(qū)別包括a）范圍不同b）制定者不同c）實施者不同d）內(nèi)容不同（）4.以下屬于審核組長的職責。a）確定審核的需要和目的b）組織編制現(xiàn)場審核有關(guān)的工作文件c)主持首末次會議和審核組會議d)代表審核方與受審核方領(lǐng)導進行溝通()5.審核計劃中應涵蓋a)本次及其后續(xù)審核的時間安排b)審核準則c)審核組成員及分工d)審核的日程安排三、判斷題(每題 1 分，共 10 分)卜列各題中，你認為正確的在()中劃，錯誤的劃“x()1.糾正是指為消除已發(fā)現(xiàn)的不符合或其他不期望情況的原因所采取的措施。()2.因信息安全問題在任何組織中都可能存在，所以組織在實施 ISMS 時，不能刪減標準中任何安全控制措施的

7、條款。()3.信息安全管理體系的范圍必須包括組織的所有場所和業(yè)務(wù)，這樣才能保證安全。()4.記錄可提供符合信息安全管理體系要求和有效運行的證據(jù)。()5.資產(chǎn)越重要，其安全風險值就越大。()6.信息安全管理體系審核組內(nèi)必須有一名技術(shù)專家，提供信息安全的專門知識。()7.審核證據(jù)是指與審核有關(guān)的，并且能夠證實的記錄、事實陳述或其他信息。()8.審核報告的內(nèi)容必須與末次會議的內(nèi)容基本一致。()9.現(xiàn)場審核過程中，受審核方為審核組配備的向?qū)Э蓞⑴c審核的全過程，但不能對受審核人員的回答做出澄清或提供幫助。()10.審核組長在末次會議中應該對受審核方是否通過認證給出結(jié)論。四、簡答題(每題 5 分，共 15

8、 分)1.管理者在信息安全管理體系的建立和實施過程中起到關(guān)鍵的作用，請指出 ISO27001:2005 中哪些條款體現(xiàn)了“管理者的作用”，至少舉出 2 個條款并簡要說明。2 .什么是審核？按審核委托方劃分，審核可分為哪幾種類型，各自的目的是什么?3 .什么是糾正措施？什么是預防措施？舉例說明糾正措施與預防措施的區(qū)別。五、闡述題（每題 10 分，共 20 分）1 .如何依據(jù) ISO/IEC27001:2005 審核 A.8.3,組織應確保雇員、承包方人員和第三方人員以一個規(guī)范的方式退出一個組織或改變其任用關(guān)系。2 .在某公司人事部，審核員向人力資源部負責人了解培訓情況時得知，公司負責網(wǎng)絡(luò)安全的管

9、理人員的培訓是請專門的網(wǎng)絡(luò)安全培訓機構(gòu)進行的。審核員想看看這些人員的培訓成績及證書，該負責人說，證書他們自己保存， 我們替他們保存反而不方便。 培訓成績在培訓機構(gòu)， 你們要看的話， 我打電話聯(lián)系，讓他們發(fā)過來。審核員同意，并查閱了發(fā)過來的成績，由于成績合格，審核員表示滿意，并結(jié)束了培訓的審核。這樣的審核是否符合要求?為什么？如果請您去審核，您會怎么做？六、案例分析題（每題 6 分，共 30 分）請根據(jù)所述情況判斷：如能判斷有不符合項，請寫出不符合 ISO27001:2005 標準的條款號、內(nèi)容和嚴重程度，并寫出不符合事實，如提供的證據(jù)不能足以判斷有不符合項時，請寫出進一步審核的思路。判分標準：

10、不符合和內(nèi)容 2 分，不符合事實描述 2 分，不符合的嚴重程度 2 分。1 .審核員在某公司機房查閱 Web 服務(wù)器日志時發(fā)現(xiàn)，該服務(wù)器經(jīng)常重啟，管理人員說，這臺服務(wù)器在剛買回來時，還沒有問題，但最近幾天經(jīng)常死機，我們跟服務(wù)器提供商聯(lián)系，但一直找不到對此負責的人。2 .某公司的體系文件中包含信息安全事件管理程序事件管理中的職責時，該員工說：“我們沒有發(fā)生過信息安全事件，所以也沒有人讓我們?nèi)?審核員在詢問某員工在信息安全看這個程序，更不知道有什么職責了?！? .審核員在某公司的體系文件中看到了對技術(shù)脆弱性的控制要求，詢問信息安全管理部長該控制措施的實施情況時，部長回答，我們已經(jīng)制定了實施策略，但由于資金一直沒有到位，所以還沒有購買系統(tǒng)審計軟件。4 .某公司在內(nèi)部審核時，針對不同部門，組成審核組。在對技術(shù)開發(fā)部進行審核時，由信息安全部經(jīng)理任審核組長，技術(shù)開發(fā)部副經(jīng)理和運營部副經(jīng)理任組員，因為他們兩個對技術(shù)部的工作流程、業(yè)務(wù)和人員等最為了解。5 .創(chuàng)新公司的