ISO27001内审员考试试题

1信息安全管理体系内审员考试试题姓名：工作单位：考试日期：年月日类别单项选择题多项选择题判断题简答题阐述题案例分析总得分得分阅卷人签字复核人签字一、单项选择题（每题1分，共15分）从以下每题的几个答案中选择一个你认为最合适的，并将答案代号填入（）中。（）1．ISO/IEC27001从的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。a）客户安全要求b）组织整体业务风险c）信息安全法律法规d）以上都不对（）2．组织声称符合ISO/IEC27001时，的要求可删减。a）第4章b）第5章c）第7章d）附录A（）3．审核准则是指a）一组方针、程序或要求b）一组能够证实的记录、事实陈述或其他信息c）一组约束审核行为的规范d）以上都不对（）4．审核计划a）应由受审核方确认，可适当调整b）一经确定，不能改动c）受审核方可随意改动d）以上都不对（）5．以下哪一种描述不适合信息安全管理体系？a）是指国家对各重要信息系统实施信息安全管理的行政管理结构2b）是整个管理体系的一部分，它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的c）建立信息安全方针和目标，并实现这些目标的相互关联或相互作用的一组要素d）包括信息安全管理机构、体系文件及相关资源等要素（）6．信息安全管理体系要求ISO/IEC27001属于标准？a）词汇类标准b）指南类标准c）要求类标准d）相关类标准（）7．现场跟踪验证a）只适用于一般不符合项b）只适用于严重不符合项c）只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项d）以上都不对（）8．负责审核计划、协调审核活动并在审核活动中领导审核活动？a）审核小组成员b）信息安全经理c）审核小组组长d）以上都不是（）9．下面哪一个不是信息安全管理体系审核的依据？a）ISO/IEC27001b）ISMS文件c）信息安全专家建议d）相关法律法规（）10．审核类型将由审核员和被审核组织的关系来确定，因此内部审核又称为a）第一方审核b）第二方审核c）第三方审核d）以上都不对（）11．组织通过信息安全管理体系认证则a）表明组织已不存在不符合项b）表明体系具备保护组织信息资产的能力c）表明组织已达到了其信息安全目标d）以上都不对（）12．对于ISMS审核组而言，以下哪一种要求不是必须的？a）信息安全的理解b）从业务角度对风险评估和风险管理的理解3c）被审核活动的技术知识d）以上都不对（）13．信息安全管理体系认证a）应审核ISMS范围内的所有部门和所有人员b）指导受审核方改进的过程c）寻找不符合项的过程d）可为受审核方提供控制措施的实施建议（）14．下列哪个要素可以不作为ISMS审核时间判断的依据？a）ISMS的复杂度b）高层管理者对信息安全问题的重视程度c）ISMS范围内执行的业务的类型d）适用于认证的标准和法规（）15．在认证过程中，“根据审核报告，确定纠正措施”是的职责。a）审核组长b）审核组c）受审核方d）以上都不对二、多项选择题（每题2分，共10分）从以下每题的答案中选择一个或多个你认为合适的，并将答案代号填入（）中。（）1．ISMS第1阶段审核的目的是a）获取对组织信息安全管理体系的了解和认识b）了解客户组织的审核准备状态c）为计划2阶段审核提供重点d）确认组织的信息安全管理体系符合标准或规范性文件的所有要求（）2．按照审核的先后顺序划分，审核包括a）第一阶段审核b）第二阶段审核c）监督审核d）再认证审核（）3．审核方案和审核计划的区别包括a）范围不同b）制定者不同c）实施者不同d）内容不同（）4．以下属于审核组长的职责。a）确定审核的需要和目的b）组织编制现场审核有关的工作文件4c）主持首末次会议和审核组会议d）代表审核方与受审核方领导进行沟通（）5．审核计划中应涵盖a）本次及其后续审核的时间安排b）审核准则c）审核组成员及分工d）审核的日程安排三、判断题（每题1分，共10分）下列各题中，你认为正确的在（）中划“√”，错误的划“×”。（）1．纠正是指为消除已发现的不符合或其他不期望情况的原因所采取的措施。（）2．因信息安全问题在任何组织中都可能存在，所以组织在实施ISMS时，不能删减标准中任何安全控制措施的条款。（）3．信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。（）4．记录可提供符合信息安全管理体系要求和有效运行的证据。（）5．资产越重要，其安全风险值就越大。（）6．信息安全管理体系审核组内必须有一名技术专家，提供信息安全的专门知识。（）7．审核证据是指与审核有关的，并且能够证实的记录、事实陈述或其他信息。（）8．审核报告的内容必须与末次会议的内容基本一致。（）9．现场审核过程中，受审核方为审核组配备的向导可参与审核的全过程，但不能对受审核人员的回答做出澄清或提供帮助。（）10．审核组长在末次会议中应该对受审核方是否通过认证给出结论。四、简答题（每题5分，共15分）1．管理者在信息安全管理体系的建立和实施过程中起到关键的作用，请指出ISO27001：2005中哪些条款体现了“管理者的作用”，至少举出2个条款并简要说明。2．什么是审核？按审核委托方划分，审核可分为哪几种类型，各自的目的是什么？53．什么是纠正措施？什么是预防措施？举例说明纠正措施与预防措施的区别。五、阐述题（每题10分，共20分）1．如何依据ISO/IEC27001:2005审核A.8.3，组织应确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。2．在某公司人事部，审核员向人力资源部负责人了解培训情况时得知，公司负责网络安全6的管理人员的培训是请专门的网络安全培训机构进行的。审核员想看看这些人员的培训成绩及证书，该负责人说，证书他们自己保存，我们替他们保存反而不方便。培训成绩在培训机构，你们要看的话，我打电话联系，让他们发过来。审核员同意，并查阅了发过来的成绩，由于成绩合格，审核员表示满意，并结束了培训的审核。这样的审核是否符合要求？为什么？如果请您去审核，您会怎么做？六、案例分析题（每题6分，共30分）请根据所述情况判断：如能判断有不符合项，请写出不符合ISO27001：2005标准的条款号、内容和严重程度，并写出不符合事实，如提供的证据不能足以判断有不符合项时，请写出进一步审核的思路。判分标准：不符合和内容2分，不符合事实描述2分，不符合的严重程度2分。1．审核员在某公司机房查阅Web服务器日志时发现，该服务器经常重启，管理人员说，这台服务器在刚买回来时，还没有问题，但最近几天经常死机，我们跟服务器提供商联系，但一直找不到对此负责的人。2．某公司的体系文件中包含《信息安全事件管理程序》，审核员在询问某员工在信息安全7事件管理中的职责时，该员工说：“我们没有发生过信息安全事件，所以也没有人让我们去看这个程序，更不知道有什么职责了。”3．审核员在某公司的体系文件中看到了对技术脆弱性的控制要求，询问信息安全管理部长该控制措施的实施情况时，部长回答，我们已经制定了实施策略，但由于资金一直没有到位，所以还没有购买系统审计软件。4．某公司在内部审核时，针对不同部门，组成审核组。在对技术开发部进行审核时，由信8息安全部经理任审核组长，技术开发部副经理和运营部副经理任组员，因为他们两个对技术部的工作流程、业务和人员等最为了解。5．创新公司的网络接入服务由互联网专业提供商提供，为了防止网络安全问题，他们签订了服务提供协议，规定了必要的安全安排、服务水准等事宜。互联网专业提供商为提高服务级别，采用了新的技术，并通知了创新公司，创新公司认为既然是新技术，肯定比原来的要好，没有采取任何行动。但由于互联网专业提供商的技术兼容问题，出现了网络中断，导致了创新公司的业务中断。