信息安全管理体系注册审核员标准试题之一[1]

信息安全管理体系国家注册审核员标准试题之一 姓名： 培训机构： 考试日期： 年 月 日 类别 得分 选择题 判断题 填空题 简述题 阐述题 案例分析题 总得分 阅卷人签字 复核人签字 一、选择题（每题2分，共20分）

从以下每题的几个答案中选择一个你认为最合适的，并将答案代号填入（ ）中。 （ ）1．信息安全管理体系的设计应考虑 ( )

a）组织的战略

b）组织的目标和需求 c）组织的业务过程性质 d）以上全部

（ ）2．当组织声称符合GB/T22080-2008标准时，可以删减的要求是

a) 第4章

b) 第7章可以，其它章节不可以 c) 第8章可以，其它章节不可以 d) 以上都不是

（ ）3．网页防篡改技术的目的是保护网页发布信息的：

a) 保密性 b) 完整性 c) 可用性 d) 以上全部

（ ）4．确定ISMS方针，应考虑： a）业务和位置的特性 b）组织的特性 c）资产和技术的特性 d）以上都是

（ ）5. 指导和控制一个组织相关风险的协调活动是： a）风险处理 b）风险评估 c）风险管理 d）风险评价

（ ）6. 管理评审输入应包括： a）ISMS审核和评审的结果

CNAT-R260-3 第 1 页 共 4页

b）相关方的反馈 c）预防和纠正措施的状况

d）以上都是

（ ）7．管理者通过清晰的方向、可见的承诺、详细的分工、信息安全职责的沟通，去积极支持安全的控制措施是：

a) A7.1.2 b) A6.1.1 c) A9.2.1 d) A10.6.2

（ ）8.计算机病毒的基本特点是（ ）

a) 隐蔽性 b) 传染性 c) 破坏性； d) 以上都是。 （ ）9 ．文件控制应确定所需的控制措施有：

a) 确保有效运行的证据； b) 按照计划的时间间隔评审文件； c) 编制和维持所有资产的清单； d) 确保文件的分发得到控制。

（ ）10．标准GB/T22080-2008中“物理安全周边”指的是：

a) 组织的建筑物边界 b) 计算机房出入口 c) 组织的前台接待处

d) 含有信息和信息处理设施的区域周边

二、判断题（每题1分，共10分）

下列各题中，你认为正确的在（ ）中划“√”，错误的划“×”

（ ）1．组织应确保对信息安全记录的控制满足GB/T22080-2008标准中4.3.3的要求。 （ ）2．办公室出入应方便，因此不用保护。

（ ）3. 应防止重要的记录遗失、毁坏和伪造，以满足用户的要求。 （ ）4．对标准要求的删减只要是符合法规要求就可以接受。 （ ）5．人员调动属于企业的正常行为，访问权不用调整。

（ ）6．如果企业的信息资产没有保密性要求，信息资产的信息安全可以不用考虑。 （ ）7．选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。 （ ）8．不再需要的介质，应及时处置。

（ ）9．应采取清空桌面上文件的策略，确保不活动会话应在一个设定的休止期后关闭。 （ ）10．设备应予以正确地维护，以确保其持续的保密性和完整性。

CNAT-R260-3 第 2 页 共 4页

三、填空题 （每题2分，共10分） 指出ISO27001：2005标准中适用于下述情景的某项条款，请将条款号填在横线上。

1．“管理者应通过以下活动，对建立、实施、运行、监视、评审、保持和改进ISMS的承诺提供证据”。

适用于这一情景的条款是__________ 2．“执行监视和评审程序和其它控制措施。”

适用与这一情景的条款是________ 3．“确定组织的风险评估方法。”

适用于这一情景的条款是：________

4．“实施风险处理计划以达到已识别的控制目标。”

适用于这一情景的条款是：________

5．“访客登记簿、审核报告和已完成的访问授权单的管理。”

适用于这一情景的条款是：________

四、问答题

（一）简述题（每题5分，共10分）；

1． 举例说明“设备安全”在ISO 27001：2005附录A中的控制措施（至少写出二个条款）？

2．管理评审会议输出应包括那些内容？

(二)阐述题(每题10分，共20分)

1.依据GB/T22080-2008idtISO/IEC27001：2005标准，如何实施“内部审核”？

２．针对操作系统访问控制，有那些控制措施简要描述（至少写出三条内容）

CNAT-R260-3 第 3 页 共 4页

五、案例分析题（每题10分，共30分）：请根据所述情况判断并写出不符合报告。

1. 审核员在现场审核时，发现有一份《员工离职控制程序》，其中缺少人员变化时的管理规定。审核员问：是否还有其它描述人员变化时如何处置的管理规定？现场人员回答：没有了，我们公司人员的岗位一般不变化，所以程序中没有描述人员变化的情况，没发现有影响。

2.审核员审核《适用性声明》时发现没有描述“选择的理由”，文件管理人员解释：适用性声明中已经描述了控制目标和控制措施，“选择的理由”描述与否没有太大关系。

3． 审核员现场发现有员工使用U盘拷贝文件，问：U盘如何管理？管理员答：U盘有专人管理，登记造册，U盘归还时要求清空敏感信息。问：有无管理规定？管理员答：没有U盘管理规定，员工知道U盘如何使用。审核员抽查了一个归还的U盘，发现保存了很多公司文件。管理员解释：这是昨天刚刚归还的U盘，工作忙忘了删除了。一会儿我就删除，不过多亏了没有外人看到。

CNAT-R260-3 第 4 页 共 4页