ISO27001内审员考试试题.docx

1、ISO27001内审员考试试题信息安全管理体系内审员考试试题姓名： 工作单位： 考试日期： 年 月 日类别单项选择题多项选择题判断题简答题阐述题案例分析总得分得分阅卷人签字复核人签字一、单项选择题（每题 1 分，共 15 分）从以下每题的几个答案中选择一个你认为最合适的，并将答案代号填入（ ）中。（ ）1ISO/IEC 27001 从 的角度，为建立、实施、运行、监视、评审、保 持和改进文件化的 ISMS 规定了要求。a） 客户安全要求b） 组织整体业务风险 c） 信息安全法律法规 d） 以上都不对（ ）2组织声称符合 ISO/IEC 27001 时， 的要求可删减。a） 第 4 章 b） 第

2、 5 章 c） 第 7 章 d） 附录 A（ ）3审核准则是指 a） 一组方针、程序或要求b） 一组能够证实的记录、事实陈述或其他信息c） 一组约束审核行为的规范d） 以上都不对（ ）4审核计划 a） 应由受审核方确认，可适当调整b） 一经确定，不能改动 c） 受审核方可随意改动 d） 以上都不对（ ）5以下哪一种描述不适合信息安全管理体系？a） 是指国家对各重要信息系统实施信息安全管理的行政管理结构b） 是整个管理体系的一部分，它是基于业务风险方法，来建立、实施、运行、 监视、评审、保持和改进信息安全的c） 建立信息安全方针和目标，并实现这些目标的相互关联或相互作用的一组要 素d） 包括信息

3、安全管理机构、体系文件及相关资源等要素（ ）6信息安全管理体系要求 ISO/IEC27001 属于 标准？a） 词汇类标准 b） 指南类标准 c） 要求类标准 d） 相关类标准（ ）7现场跟踪验证 a） 只适用于一般不符合项 b） 只适用于严重不符合项c） 只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项d） 以上都不对（ ）8 负责审核计划、协调审核活动并在审核活动中领导审核活动？a） 审核小组成员 b） 信息安全经理 c） 审核小组组长 d） 以上都不是（ ）9下面哪一个不是信息安全管理体系审核的依据？a） ISO/IEC27001b） ISMS 文件c） 信息安全专家建议d）

4、相关法律法规（ ）10审核类型将由审核员和被审核组织的关系来确定，因此内部审核又称为 a） 第一方审核 b） 第二方审核 c） 第三方审核 d） 以上都不对（ ）11组织通过信息安全管理体系认证则 a） 表明组织已不存在不符合项b） 表明体系具备保护组织信息资产的能力c） 表明组织已达到了其信息安全目标d） 以上都不对（ ）12对于 ISMS 审核组而言，以下哪一种要求不是必须的？a） 信息安全的理解b） 从业务角度对风险评估和风险管理的理解c） 被审核活动的技术知识d） 以上都不对（ ）13信息安全管理体系认证 a） 应审核 ISMS 范围内的所有部门和所有人员b） 指导受审核方改进的过程c

5、） 寻找不符合项的过程d） 可为受审核方提供控制措施的实施建议（ ）14下列哪个要素可以不作为 ISMS 审核时间判断的依据？a） ISMS 的复杂度b） 高层管理者对信息安全问题的重视程度c） ISMS 范围内执行的业务的类型d） 适用于认证的标准和法规（ ）15在认证过程中，“根据审核报告，确定纠正措施”是 的职责。a） 审核组长 b） 审核组 c） 受审核方d） 以上都不对二、多项选择题（每题 2 分，共 10 分）从以下每题的答案中选择一个或多个你认为合适的，并将答案代号填入（ ）中。（ ）1ISMS 第 1 阶段审核的目的是 a） 获取对组织信息安全管理体系的了解和认识b） 了解客户

6、组织的审核准备状态c） 为计划 2 阶段审核提供重点d） 确认组织的信息安全管理体系符合标准或规范性文件的所有要求（ ）2 按照审核的先后顺序划分，审核包括 a） 第一阶段审核 b） 第二阶段审核 c） 监督审核d） 再认证审核（ ）3审核方案和审核计划的区别包括 a） 范围不同 b） 制定者不同 c） 实施者不同 d） 内容不同（ ）4以下 属于审核组长的职责。a） 确定审核的需要和目的b） 组织编制现场审核有关的工作文件c） 主持首末次会议和审核组会议d） 代表审核方与受审核方领导进行沟通（ ）5审核计划中应涵盖 a） 本次及其后续审核的时间安排 b） 审核准则c） 审核组成员及分工d）

7、审核的日程安排三、判断题（每题 1 分，共 10 分）下列各题中，你认为正确的在（ ）中划“”，错误的划“”。（ ）1纠正是指为消除已发现的不符合或其他不期望情况的原因所采取的措施。（ ）2因信息安全问题在任何组织中都可能存在，所以组织在实施 ISMS 时，不能删 减标准中任何安全控制措施的条款。（ ）3信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。（ ）4记录可提供符合信息安全管理体系要求和有效运行的证据。（ ）5资产越重要，其安全风险值就越大。（ ）6信息安全管理体系审核组内必须有一名技术专家，提供信息安全的专门知识。（ ）7审核证据是指与审核有关的，并且能够证实的

8、记录、事实陈述或其他信息。（ ）8审核报告的内容必须与末次会议的内容基本一致。（ ）9现场审核过程中，受审核方为审核组配备的向导可参与审核的全过程，但不能 对受审核人员的回答做出澄清或提供帮助。（ ）10审核组长在末次会议中应该对受审核方是否通过认证给出结论。 四、简答题（每题 5 分，共 15 分） 1管理者在信息安全管理体系的建立和实施过程中起到关键的作用，请指出 ISO27001：2005 中哪些条款体现了“管理者的作用”，至少举出 2 个条款并简要说明。2什么是审核？按审核委托方划分，审核可分为哪几种类型，各自的目的是什么？3什么是纠正措施？什么是预防措施？举例说明纠正措施与预防措施的

9、区别。五、阐述题（每题 10 分，共 20 分）1如何依据 ISO/IEC 27001:2005 审核 A.8.3，组织应确保雇员、承包方人员和第三方人员 以一个规范的方式退出一个组织或改变其任用关系。2在某公司人事部，审核员向人力资源部负责人了解培训情况时得知，公司负责网络安全的管理人员的培训是请专门的网络安全培训机构进行的。审核员想看看这些人员的培训成 绩及证书，该负责人说，证书他们自己保存，我们替他们保存反而不方便。培训成绩在培 训机构，你们要看的话，我打电话联系，让他们发过来。审核员同意，并查阅了发过来的 成绩，由于成绩合格，审核员表示满意，并结束了培训的审核。这样的审核是否符合要求？

10、 为什么？如果请您去审核，您会怎么做？六、案例分析题（每题 6 分，共 30 分）请根据所述情况判断：如能判断有不符合项，请写出不符合 ISO27001：2005 标准的条 款号、内容和严重程度，并写出不符合事实，如提供的证据不能足以判断有不符合项时， 请写出进一步审核的思路。判分标准：不符合和内容 2 分，不符合事实描述 2 分，不符合的严重程度 2 分。1审核员在某公司机房查阅 Web 服务器日志时发现，该服务器经常重启，管理人员说， 这台服务器在刚买回来时，还没有问题，但最近几天经常死机，我们跟服务器提供商联系， 但一直找不到对此负责的人。2某公司的体系文件中包含信息安全事件管理程序，审

11、核员在询问某员工在信息安全事件管理中的职责时，该员工说：“我们没有发生过信息安全事件，所以也没有人让我们去 看这个程序，更不知道有什么职责了。”3审核员在某公司的体系文件中看到了对技术脆弱性的控制要求，询问信息安全管理部长 该控制措施的实施情况时，部长回答，我们已经制定了实施策略，但由于资金一直没有到 位，所以还没有购买系统审计软件。4某公司在内部审核时，针对不同部门，组成审核组。在对技术开发部进行审核时，由信息安全部经理任审核组长，技术开发部副经理和运营部副经理任组员，因为他们两个对技 术部的工作流程、业务和人员等最为了解。5创新公司的网络接入服务由互联网专业提供商提供，为了防止网络安全问题，他们签订 了服务提供协议，规定了必要的安全安排、服务水准等事宜。互联网专业提供商为提高服 务级别，采用了新的技术，并通知了创新公司，创新公司认为既然是新技术，肯定比原来 的要好，没有采取任何行动。但由于互联网专业提供商的技术兼容问题，出现了网络中断， 导致了创新公司的业务中断。