ISO27001内审员考试试题
ISO27001内审员考试试题(供参考)
文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.信息安全管理体系内审员考试试题一、单项选择题(每题1 分,共15 分)从以下每题的几个答案中选择一个你认为最合适的,并将答案代号填入()中。
()1.ISO/IEC 27001 从的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS 规定了要求。
a)客户安全要求b)组织整体业务风险c)信息安全法律法规d)以上都不对()2.组织声称符合ISO/IEC 27001 时,的要求可删减。
a)第4 章b)第5 章c)第7 章d)附录A()3.审核准则是指a)一组方针、程序或要求b)一组能够证实的记录、事实陈述或其他信息c)一组约束审核行为的规范d)以上都不对()4.审核计划a)应由受审核方确认,可适当调整b)一经确定,不能改动c)受审核方可随意改动d)以上都不对()5.以下哪一种描述不适合信息安全管理体系?a)是指国家对各重要信息系统实施信息安全管理的行政管理结构文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.b)是整个管理体系的一部分,它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的c)建立信息安全方针和目标,并实现这些目标的相互关联或相互作用的一组要素d)包括信息安全管理机构、体系文件及相关资源等要素()6.信息安全管理体系要求ISO/IEC27001 属于标准?a)词汇类标准b)指南类标准c)要求类标准d)相关类标准()7.现场跟踪验证a)只适用于一般不符合项b)只适用于严重不符合项c)只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项d)以上都不对()8.负责审核计划、协调审核活动并在审核活动中领导审核活动?a)审核小组成员b)信息安全经理c)审核小组组长d)以上都不是()9.下面哪一个不是信息安全管理体系审核的依据?a)ISO/IEC27001b)ISMS 文件c)信息安全专家建议d)相关法律法规()10.审核类型将由审核员和被审核组织的关系来确定,因此内部审核又称为a)第一方审核b)第二方审核c)第三方审核d)以上都不对()11.组织通过信息安全管理体系认证则a)表明组织已不存在不符合项b)表明体系具备保护组织信息资产的能力c)表明组织已达到了其信息安全目标d)以上都不对()12.对于ISMS 审核组而言,以下哪一种要求不是必须的?a)信息安全的理解b)从业务角度对风险评估和风险管理的理解文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.c)被审核活动的技术知识d)以上都不对()13.信息安全管理体系认证a)应审核ISMS 范围内的所有部门和所有人员b)指导受审核方改进的过程c)寻找不符合项的过程d)可为受审核方提供控制措施的实施建议()14.下列哪个要素可以不作为ISMS 审核时间判断的依据?a)ISMS 的复杂度b)高层管理者对信息安全问题的重视程度c)ISMS 范围内执行的业务的类型d)适用于认证的标准和法规()15.在认证过程中,“根据审核报告,确定纠正措施”是的职责。
ISO27001内审员考试试题教学内容
信息安全管理体系内审员考试试题姓名:工作单位:考试日期:年月日一、单项选择题(每题1 分,共15 分)从以下每题的几个答案中选择一个你认为最合适的,并将答案代号填入()中。
()1.ISO/IEC 27001 从的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS 规定了要求。
a)客户安全要求b)组织整体业务风险c)信息安全法律法规d)以上都不对()2.组织声称符合ISO/IEC 27001 时,的要求可删减。
a)第4 章b)第5 章c)第7 章d)附录A()3.审核准则是指a)一组方针、程序或要求b)一组能够证实的记录、事实陈述或其他信息c)一组约束审核行为的规范d)以上都不对()4.审核计划a)应由受审核方确认,可适当调整b)一经确定,不能改动c)受审核方可随意改动d)以上都不对()5.以下哪一种描述不适合信息安全管理体系?a)是指国家对各重要信息系统实施信息安全管理的行政管理结构b)是整个管理体系的一部分,它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的c)建立信息安全方针和目标,并实现这些目标的相互关联或相互作用的一组要素d)包括信息安全管理机构、体系文件及相关资源等要素()6.信息安全管理体系要求ISO/IEC27001 属于标准?a)词汇类标准b)指南类标准c)要求类标准d)相关类标准()7.现场跟踪验证a)只适用于一般不符合项b)只适用于严重不符合项c)只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项d)以上都不对()8.负责审核计划、协调审核活动并在审核活动中领导审核活动?a)审核小组成员b)信息安全经理c)审核小组组长d)以上都不是()9.下面哪一个不是信息安全管理体系审核的依据?a)ISO/IEC27001b)ISMS 文件c)信息安全专家建议d)相关法律法规()10.审核类型将由审核员和被审核组织的关系来确定,因此内部审核又称为a)第一方审核b)第二方审核c)第三方审核d)以上都不对()11.组织通过信息安全管理体系认证则a)表明组织已不存在不符合项b)表明体系具备保护组织信息资产的能力c)表明组织已达到了其信息安全目标d)以上都不对()12.对于ISMS 审核组而言,以下哪一种要求不是必须的?a)信息安全的理解b)从业务角度对风险评估和风险管理的理解c)被审核活动的技术知识d)以上都不对()13.信息安全管理体系认证a)应审核ISMS 范围内的所有部门和所有人员b)指导受审核方改进的过程c)寻找不符合项的过程d)可为受审核方提供控制措施的实施建议()14.下列哪个要素可以不作为ISMS 审核时间判断的依据?a)ISMS 的复杂度b)高层管理者对信息安全问题的重视程度c)ISMS 范围内执行的业务的类型d)适用于认证的标准和法规()15.在认证过程中,“根据审核报告,确定纠正措施”是的职责。
内审员考试试卷v1.3_27001
内审员考试试题名字:分数:一、单项选择题(每题3分)1.体系的过程文件未能满足标准的要求,属于下列哪种类型的不符合:a)管理不符合b)体系不符合c)实施不符合d)效果不符合2.获取客观证据的方式有:a)面谈b)观察c)审查文件d)以上都是3.下列描述中哪个不是成功实施ISMS关键成功因素:a)管理层的支持与承诺b)安全政策反映企业商业目标c)遵守个人数据保护法d)提供适当的培训与教育4.组织任命一名管理者代表,其主要职责是a)就信息安全管理体系事宜与外部联系b)代表最高管理者解决信息安全管理体系建立和运行中的一切问题c)确保信息安全管理体系和过程得到建立、实施和保持d)确保提高组织员工满足客户服务的意识5.哪个不是管理评审的输入;a)审核和评审的结果b)相关方的反馈信息c)纠正和预防措施的实施情况d)资源需求二、问答题(每题5分)1.管理者应通过领导并采取措施开发、实施并改进信息安全管理体系,结合ISO27001标准,请说明管理者通过什么途径实现其管理职责。
2.作为审核员,当你对<5.2.2培训意识和能力>进行审核时,应查找哪些客观证据?三、阐述题(每题10分)1.信息安全管理体系运行一段时间之后,《人力资源管理程序》已不适合现有情况,公司对其进行了修改和发布。
在审核时,针对此情况,请描述审核思路。
2.请阐述附录A13的审核思路。
3.当你审核某公司改进过程(标准第八章),请描述你的审核思路。
四、案例研究(请根据案例描述,判断是否存在不符合,如果存在,请编写不合格报告,如果存在多个不符合,请分别编写;如果判断不存在不符合,请陈述理由)(每题15分)1.2008年2月1日,审核员到某公司进行ISMS评审,发现公司总经理带领重要客户来公司参观,进入重要区域时,并未按照公司重要区域管理规定进行登记。
2.审核员在现场审核时观察发现财务部张三丰、李乐乐等人的电脑并没有加入域,而公司是有这方面的要求的,系统管理员说个问题他们是知道的,因为财务部信息安全的需要,不能加入域。
ISO27001内审员考试题
. . . .信息安全管理体系内审员考试试题姓名:工作单位:考试日期:年月日一、单项选择题(每题1 分,共15 分)从以下每题的几个答案中选择一个你认为最合适的,并将答案代号填入()中。
()1.ISO/IEC 27001 从的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS 规定了要求。
a)客户安全要求b)组织整体业务风险c)信息安全法律法规d)以上都不对()2.组织声称符合ISO/IEC 27001 时,的要求可删减。
a)第4 章b)第5 章c)第7 章d)附录A()3.审核准则是指a)一组方针、程序或要求b)一组能够证实的记录、事实陈述或其他信息c)一组约束审核行为的规范d)以上都不对()4.审核计划a)应由受审核方确认,可适当调整b)一经确定,不能改动c)受审核方可随意改动d)以上都不对()5.以下哪一种描述不适合信息安全管理体系?a)是指国家对各重要信息系统实施信息安全管理的行政管理结构. . . .b)是整个管理体系的一部分,它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的c)建立信息安全方针和目标,并实现这些目标的相互关联或相互作用的一组要素d)包括信息安全管理机构、体系文件及相关资源等要素()6.信息安全管理体系要求ISO/IEC27001 属于标准?a)词汇类标准b)指南类标准c)要求类标准d)相关类标准()7.现场跟踪验证a)只适用于一般不符合项b)只适用于严重不符合项c)只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项d)以上都不对()8.负责审核计划、协调审核活动并在审核活动中领导审核活动?a)审核小组成员b)信息安全经理c)审核小组组长d)以上都不是()9.下面哪一个不是信息安全管理体系审核的依据?a)ISO/IEC27001b)ISMS 文件c)信息安全专家建议d)相关法律法规()10.审核类型将由审核员和被审核组织的关系来确定,因此内部审核又称为a)第一方审核b)第二方审核c)第三方审核d)以上都不对()11.组织通过信息安全管理体系认证则a)表明组织已不存在不符合项b)表明体系具备保护组织信息资产的能力c)表明组织已达到了其信息安全目标d)以上都不对()12.对于ISMS 审核组而言,以下哪一种要求不是必须的?a)信息安全的理解b)从业务角度对风险评估和风险管理的理解. . . .c)被审核活动的技术知识d)以上都不对()13.信息安全管理体系认证a)应审核ISMS 范围内的所有部门和所有人员b)指导受审核方改进的过程c)寻找不符合项的过程d)可为受审核方提供控制措施的实施建议()14.下列哪个要素可以不作为ISMS 审核时间判断的依据?a)ISMS 的复杂度b)高层管理者对信息安全问题的重视程度c)ISMS 范围内执行的业务的类型d)适用于认证的标准和法规()15.在认证过程中,“根据审核报告,确定纠正措施”是的职责。
27001内部审核员考试题
ISO27001内审员试题1、产品要求可由 D 。
A)顾客提出规定; B)组织预测顾客的要求;C)法律法规; D)A+B+C;2、质量手册中可不包括 A 。
A)质量方针、目标; B)程序或引用;C)过程顺序和相互关系; D)删减的细节和正当的理由;3、质量体系的评价方法是 C 。
A)产品审核; B)过程审核; C)体系审核;D)服务评价; E)A+B+C+D;4、管理评审是为了确保质量管理体系的 E 。
A)适宜性; B)充分性; C)有效性;D)A+C; E)A+B+C;5、过程的确认方法有 D 。
A)建模; B)模拟;C)顾客参与评价; D)A+B+C;6、2008版的核心标准不包括 D 。
A)9001; B)9004; C)19001; D)10013;7、2008版最高管理者是 D 。
A)董事长; B)总经理; C)最高管理层;D)B+C;8、2008版的特点是 D 。
A)满足相关方利益; B)满足顾客利益;C)持续改进; D)A+B+C;9、持续改进是指 D 。
A)日常的改进活动; B)长远的重大改进项目;C)持续时间很长的技改项目; D)A+B;10、业绩的评价测量是 D 。
A)监视顾客的感受; B)确定目标实现程度;C)测量相关方的满意程度; D)A+B+C;二、判断题(每题1分共10分)1、(√)ISO9004不是9001实施指南。
2、(×)必须在最高管理层指定一名管理者代表。
3、(×)过程方法是将输入转化为输出的活动系统。
4、(×)质量目标必须是定量的。
5、(√)产品要求是对质量管理体系要求的补充。
6、(×)质量管理体系认证范围就是该体系覆盖产品的范围。
7、(√)审核组中必须配备熟悉受审核方专业的人员。
8、(√)审核计划应提前交给受审核方。
9、(×)质量管理体系的审核准则就是GB/T19001-2008标准。
10、(×)应根据不合格项的多少来评价受审核方的质量管理体系。
ISO27001文件-ISMS内审员培训测试题
ISMS内审员培训考试部门:姓名:分数:1.实施ISMS内审时,确定ISMS的控制目标、控制措施、过程和程序是否符合以下哪些要求?(多选,8分)(ABC)A)约定的标准及相关法律的要求B)已识别的安全需求C)控制措施有效实施和维护D)ISO13335风险评估方法2.审核的层次包括?(多选,8分)(AB)A)符合性审核B)有效性审核C)正确性审核D)文件审核3.以下对审核发现描述正式的是(单选,8分)(C)A)用作依据的一组方针、程序或要求B)与审核准则有关的并且能够证实的记录、事实陈述或其他信息C)将收集到的审核证据依照审核准则进行评价的结果,可以是合格/符合项,也可以是不合格/不符合项D)对审核对象的物理位置、组织结构、活动和过程以及时限的描述4.ISMS审核常用的审核方法包括?(多选,8分)(BCDF)A)纠正预防B)文件审核C)现场审核D)检查列表E)渗透测试F)人员访谈5.审核员(非审核组长)的责任包括?(多选,8分)(ABCDE)A)熟悉必要的文件和程序;B)根据要求编制检查列表;C)配合支持审核组长的工作,有效完成审核任务;D)跟踪验证纠正措施的有效性;E)对审核结论承担最大责任6.审核时检查表可以包括的内容有?(多选,8分)(ABC)A)审核依据B)审核证据记录C)审核发现D)数据收集方法和工具7.ISMS审核时,首次会议的目的有哪些?(多选,8分)(ABC)A)明确审核目的、审核准则和审核范围B)明确审核员的分工C)明确接受审核方责任,为配合审核提供必要资源和授权D)明确审核进度和审核方法,且在整个审核过程中不可调整。
8.ISMS审核时,对审核发现严重不符合项的描述正确的是?(多选,8分)(ABC)A)关键的控制程序没有得到贯彻,缺乏标准规定的要求可构成严重不符合项B)组织的ISMS与约定的体系标准或文件要求严重不符C)风险评估方法没有按照ISO27005(信息安全风险管理)标准进行D)孤立的、偶发性的且对信息安全管理体系无直接影响的问题;E)审核员识别的可能改进项9.以下关于ISMS内部审核报告的描述正确的有?(多选,8分)ABCA)内审报告是作为内审小组提交给管理者代表或最高管理者的工作成果B)内审报告中必须包含对不符合性项的改进建议C)内审报告在提交给管理者代表或者最高管理者之前应该受审方管理者沟通协商,核实报告内容。
ISO27001内审员考试试题(供参考)
ISO27001内审员考试试题(供参考)文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.信息安全管理体系内审员考试试题一、单项选择题(每题1 分,共15 分)从以下每题的几个答案中选择一个你认为最合适的,并将答案代号填入()中。
()1.ISO/IEC 27001 从的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS 规定了要求。
a)客户安全要求b)组织整体业务风险c)信息安全法律法规d)以上都不对()2.组织声称符合ISO/IEC 27001 时,的要求可删减。
a)第4 章b)第5 章c)第7 章d)附录A()3.审核准则是指a)一组方针、程序或要求b)一组能够证实的记录、事实陈述或其他信息c)一组约束审核行为的规范d)以上都不对()4.审核计划a)应由受审核方确认,可适当调整b)一经确定,不能改动c)受审核方可随意改动d)以上都不对()5.以下哪一种描述不适合信息安全管理体系?a)是指国家对各重要信息系统实施信息安全管理的行政管理结构1文档来源为:从网络收集整理.word版本可编辑.文档来源为:从网络收集整理.word版本可编辑.欢迎下载支持.b)是整个管理体系的一部分,它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的c)建立信息安全方针和目标,并实现这些目标的相互关联或相互作用的一组要素d)包括信息安全管理机构、体系文件及相关资源等要素()6.信息安全管理体系要求ISO/IEC27001 属于标准?a)词汇类标准b)指南类标准c)要求类标准d)相关类标准()7.现场跟踪验证a)只适用于一般不符合项b)只适用于严重不符合项c)只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项d)以上都不对()8.负责审核计划、协调审核活动并在审核活动中领导审核活动?a)审核小组成员b)信息安全经理c)审核小组组长d)以上都不是()9.下面哪一个不是信息安全管理体系审核的依据?a)ISO/IEC27001b)ISMS 文件c)信息安全专家建议d)相关法律法规()10.审核类型将由审核员和被审核组织的关系来确定,因此内部审核又称为a)第一方审核b)第二方审核c)第三方审核d)以上都不对()11.组织通过信息安全管理体系认证则a)表明组织已不存在不符合项b)表明体系具备保护组织信息资产的能力c)表明组织已达到了其信息安全目标d)以上都不对()12.对于ISMS 审核组而言,以下哪一种要求不是必须的?a)信息安全的理解b)从业务角度对风险评估和风险管理的理解2文档来源为:从网络收集整理.word版本可编辑.。
内审员考试试卷v1.3_27001
内审员考试试卷v1.3_27001内审员考试试题名字:分数:一、单项选择题(每题3分)1.体系的过程文件未能满足标准的要求,属于下列哪种类型的不符合:a)管理不符合b)体系不符合c)实施不符合d)效果不符合2.获取客观证据的方式有:a)面谈b)观察c)审查文件d)以上都是3.下列描述中哪个不是成功实施ISMS关键成功因素:a)管理层的支持与承诺b)安全政策反映企业商业目标c)遵守个人数据保护法d)提供适当的培训与教育4.组织任命一名管理者代表,其主要职责是a)就信息安全管理体系事宜与外部联系b)代表最高管理者解决信息安全管理体系建立和运行中的一切问题c)确保信息安全管理体系和过程得到建立、实施和保持d)确保提高组织员工满足客户服务的意识5.哪个不是管理评审的输入;a)审核和评审的结果b)相关方的反馈信息c)纠正和预防措施的实施情况d)资源需求二、问答题(每题5分)1.管理者应通过领导并采取措施开发、实施并改进信息安全管理体系,结合ISO27001标准,请说明管理者通过什么途径实现其管理职责。
2.作为审核员,当你对<5.2.2培训意识和能力>进行审核时,应查找哪些客观证据?三、阐述题(每题10分)1.信息安全管理体系运行一段时间之后,《人力资源管理程序》已不适合现有情况,公司对其进行了修改和发布。
在审核时,针对此情况,请描述审核思路。
2.请阐述附录A13的审核思路。
3.当你审核某公司改进过程(标准第八章),请描述你的审核思路。
四、案例研究(请根据案例描述,判断是否存在不符合,如果存在,请编写不合格报告,如果存在多个不符合,请分别编写;如果判断不存在不符合,请陈述理由)(每题15分)1.2008年2月1日,审核员到某公司进行ISMS评审,发现公司总经理带领重要客户来公司参观,进入重要区域时,并未按照公司重要区域管理规定进行登记。
2.审核员在现场审核时观察发现财务部张三丰、李乐乐等人的电脑并没有加入域,而公司是有这方面的要求的,系统管理员说个问题他们是知道的,因为财务部信息安全的需要,不能加入域。
[实用参考]ISO27001内审员考试试题
优质参考文档信息安全管理体系内审员考试试题姓名:工作单位:考试日期:年月日一、单项选择题(每题1分,共15分)从以下每题的几个答案中选择一个你认为最合适的,并将答案代号填入()中。
()1.ISO/IEC27001从的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。
a)客户安全要求b)组织整体业务风险c)信息安全法律法规d)以上都不对()2.组织声称符合ISO/IEC27001时,的要求可删减。
a)第4章b)第5章c)第7章d)附录A()3.审核准则是指a)一组方针、程序或要求b)一组能够证实的记录、事实陈述或其他信息c)一组约束审核行为的规范d)以上都不对()4.审核计划a)应由受审核方确认,可适当调整b)一经确定,不能改动c)受审核方可随意改动d)以上都不对()5.以下哪一种描述不适合信息安全管理体系?a)是指国家对各重要信息系统实施信息安全管理的行政管理结构优质参考文档b)是整个管理体系的一部分,它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的c)建立信息安全方针和目标,并实现这些目标的相互关联或相互作用的一组要素d)包括信息安全管理机构、体系文件及相关资源等要素()6.信息安全管理体系要求ISO/IEC27001属于标准?a)词汇类标准b)指南类标准c)要求类标准d)相关类标准()7.现场跟踪验证a)只适用于一般不符合项b)只适用于严重不符合项c)只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项d)以上都不对()8.负责审核计划、协调审核活动并在审核活动中领导审核活动?a)审核小组成员b)信息安全经理c)审核小组组长d)以上都不是()9.下面哪一个不是信息安全管理体系审核的依据?a)ISO/IEC27001b)ISMS文件c)信息安全专家建议d)相关法律法规()10.审核类型将由审核员和被审核组织的关系来确定,因此内部审核又称为a)第一方审核b)第二方审核c)第三方审核d)以上都不对()11.组织通过信息安全管理体系认证则a)表明组织已不存在不符合项b)表明体系具备保护组织信息资产的能力c)表明组织已达到了其信息安全目标d)以上都不对()12.对于ISMS审核组而言,以下哪一种要求不是必须的?a)信息安全的理解b)从业务角度对风险评估和风险管理的理解优质参考文档c)被审核活动的技术知识d)以上都不对()13.信息安全管理体系认证a)应审核ISMS范围内的所有部门和所有人员b)指导受审核方改进的过程c)寻找不符合项的过程d)可为受审核方提供控制措施的实施建议()14.下列哪个要素可以不作为ISMS审核时间判断的依据?a)ISMS的复杂度b)高层管理者对信息安全问题的重视程度c)ISMS范围内执行的业务的类型d)适用于认证的标准和法规()15.在认证过程中,“根据审核报告,确定纠正措施”是的职责。
ISO27001内审员考试题
. . . .信息安全管理体系内审员考试试题姓名:工作单位:考试日期:年月日一、单项选择题(每题1 分,共15 分)从以下每题的几个答案中选择一个你认为最合适的,并将答案代号填入()中。
()1.ISO/IEC 27001 从的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS 规定了要求。
a)客户安全要求b)组织整体业务风险c)信息安全法律法规d)以上都不对()2.组织声称符合ISO/IEC 27001 时,的要求可删减。
a)第4 章b)第5 章c)第7 章d)附录A()3.审核准则是指a)一组方针、程序或要求b)一组能够证实的记录、事实陈述或其他信息c)一组约束审核行为的规范d)以上都不对()4.审核计划a)应由受审核方确认,可适当调整b)一经确定,不能改动c)受审核方可随意改动d)以上都不对()5.以下哪一种描述不适合信息安全管理体系?a)是指国家对各重要信息系统实施信息安全管理的行政管理结构. . . .b)是整个管理体系的一部分,它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的c)建立信息安全方针和目标,并实现这些目标的相互关联或相互作用的一组要素d)包括信息安全管理机构、体系文件及相关资源等要素()6.信息安全管理体系要求ISO/IEC27001 属于标准?a)词汇类标准b)指南类标准c)要求类标准d)相关类标准()7.现场跟踪验证a)只适用于一般不符合项b)只适用于严重不符合项c)只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项d)以上都不对()8.负责审核计划、协调审核活动并在审核活动中领导审核活动?a)审核小组成员b)信息安全经理c)审核小组组长d)以上都不是()9.下面哪一个不是信息安全管理体系审核的依据?a)ISO/IEC27001b)ISMS 文件c)信息安全专家建议d)相关法律法规()10.审核类型将由审核员和被审核组织的关系来确定,因此内部审核又称为a)第一方审核b)第二方审核c)第三方审核d)以上都不对()11.组织通过信息安全管理体系认证则a)表明组织已不存在不符合项b)表明体系具备保护组织信息资产的能力c)表明组织已达到了其信息安全目标d)以上都不对()12.对于ISMS 审核组而言,以下哪一种要求不是必须的?a)信息安全的理解b)从业务角度对风险评估和风险管理的理解. . . .c)被审核活动的技术知识d)以上都不对()13.信息安全管理体系认证a)应审核ISMS 范围内的所有部门和所有人员b)指导受审核方改进的过程c)寻找不符合项的过程d)可为受审核方提供控制措施的实施建议()14.下列哪个要素可以不作为ISMS 审核时间判断的依据?a)ISMS 的复杂度b)高层管理者对信息安全问题的重视程度c)ISMS 范围内执行的业务的类型d)适用于认证的标准和法规()15.在认证过程中,“根据审核报告,确定纠正措施”是的职责。
ISO27001内审员考试试题
信息安全管理体系内审员考试试题姓名: 工作单位:考试日期: 年月日一、单项选择题(每题1 分,共15 分)从以下每题的几个答案中选择一个你认为最合适的,并将答案代号填入( )中。
()1.ISO/IEC 27001 从的角度,为建立、实施、运行、监视、评审、保持和改进文件化的 ISMS 规定了要求。
a)客户安全要求b) 组织整体业务风险 c) 信息安全法律法规d)以上都不对( )2.组织声称符合 ISO/IEC 27001 时,的要求可删减。
a)第 4章b)第 5章c)第7章d)附录A()3.审核准则是指a)一组方针、程序或要求b)一组能够证实的记录、事实陈述或其他信息c)一组约束审核行为的规范d) 以上都不对()4.审核计划a)应由受审核方确认,可适当调整b)一经确定,不能改动 c)受审核方可随意改动 d)以上都不对( )5.以下哪一种描述不适合信息安全管理体系?a)是指国家对各重要信息系统实施信息安全管理的行政管理结构b)是整个管理体系的一部分,它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的c) 建立信息安全方针和目标,并实现这些目标的相互关联或相互作用的一组要素d)包括信息安全管理机构、体系文件及相关资源等要素()6.信息安全管理体系要求 ISO/IEC27001 属于标准?a) 词汇类标准b)指南类标准c) 要求类标准d) 相关类标准( )7.现场跟踪验证 a)只适用于一般不符合项 b)只适用于严重不符合项c) 只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项d) 以上都不对( )8.负责审核计划、协调审核活动并在审核活动中领导审核活动?a)审核小组成员b)信息安全经理 c)审核小组组长d)以上都不是()9.下面哪一个不是信息安全管理体系审核的依据?a)ISO/IEC27001b)ISMS文件c) 信息安全专家建议d)相关法律法规()10.审核类型将由审核员和被审核组织的关系来确定,因此内部审核又称为a) 第一方审核b)第二方审核 c)第三方审核d)以上都不对()11.组织通过信息安全管理体系认证则a)表明组织已不存在不符合项b) 表明体系具备保护组织信息资产的能力c) 表明组织已达到了其信息安全目标d)以上都不对()12.对于 ISMS 审核组而言,以下哪一种要求不是必须的?a) 信息安全的理解b)从业务角度对风险评估和风险管理的理解c) 被审核活动的技术知识d) 以上都不对()13.信息安全管理体系认证a) 应审核 ISMS 范围内的所有部门和所有人员b)指导受审核方改进的过程c)寻找不符合项的过程d)可为受审核方提供控制措施的实施建议()14.下列哪个要素可以不作为 ISMS 审核时间判断的依据?a) ISMS 的复杂度b)高层管理者对信息安全问题的重视程度c) ISMS 范围内执行的业务的类型d)适用于认证的标准和法规( )15.在认证过程中,“根据审核报告,确定纠正措施”是的职责。
ISO27001信息安全管理体系内审员培训试
ISO27001信息安全管理体系内审员培训试ISO/IEC27001:2013信息安全管理体系内审员培训试卷姓名:一、选择题(在下列各题中选择一个你认为最适合的答案,填在括号中。
每题2分,共30分)1、信息安全中的可用性是指()a信息不能被未授权的个人,实体或者过程利用或知悉的特性b保护资产的准确和完整的特性c根据授权实体的要求可访问和利用的特性d以上都不对2、审核发现是指()。
a审核中观察到的事实。
b审核中的事实与审核准则相比较的评价结果;c审核过程中发现的新的线索;d审核中的观察项。
3、风险处理的可选措施包括:a采用适当的控制措施; b接受风险 c避免风险;d风险转移 e a+b+c+d4、以下属于计算机病毒感染事件的纠正措施的是( )a 对计算机病毒事件进行响应和处理b将感染病毒的计算机从网络中隔离c 对相关责任人进行处罚 d以上都不是5、组织应定期( )已建立和实施的信息安全连续性控制措施,以确保在不利情况下是有效的和生效的a培训 b测试c验证 d增加6、ISO/IEC27001:2013标准可与其他管理标准,如质量管理标准()。
a相容; b包容;c互不相容; d既包含也相容。
7、组织的信息安全要求来源包括()a法律法规与合同要求 b风险评估的结果c组织已有的原则、目标与要求 d a+b+c8、编制内部审核实施计划时,应考虑( ), 才能合理的安排时间和审核员,以保证审核有计划的顺利进行。
a上次审核的结果 b某个部门在体系中的重要程度c主要过程、风险因素的分布 d a+b+c9、外部审核时陪同人员的作用是a负责联络 b审核路线引导c审核证据的证实 d a+b+c10、审核方案是b针对特定时间段所策划、并具有特定目的的一组(一次或多次)审核c一项审核的广度和界限d对一项审核的活动及安排的说明11受审核方代表在不合格报告上签字确认的目的是a对不合格报告中各栏内容的正确性进行复核 b对不合格事实进行确认c对不合格性质(严重程度)进行确认 d a+b+c12第三方信息安全管理体系审核的目的是a发现尽可能多的不符合项b建立互利的供方关系c证实组织的信息安全管理体系符合已确定准则的要求d改进组织信息安全管理13信息安全管理体系文件详略程序取决于a组织规模 b活动类型c安全要求和被管理系统的范围和复杂程度 d a+b+c14审核证据是指()a将收集到的审核证据对照审核准则进行评价的结果b与审核有关的记录c与审核准则有关的并且能够证实的记录、事实陈述或其他信息15、管理评审应()。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全管理体系内审员考试试题
姓名:工作单位:考试日期:年月日
一、单项选择题(每题1 分,共15 分)
从以下每题的几个答案中选择一个你认为最合适的,并将答案代号填入()中。
()1.ISO/IEC 27001 从的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS 规定了要求。
a)客户安全要求
b)组织整体业务风险
c)信息安全法律法规
d)以上都不对
()2.组织声称符合ISO/IEC 27001 时,的要求可删减。
a)第4 章
b)第5 章
c)第7 章
d)附录A
()3.审核准则是指
a)一组方针、程序或要求
b)一组能够证实的记录、事实陈述或其他信息
c)一组约束审核行为的规范
d)以上都不对
()4.审核计划
a)应由受审核方确认,可适当调整
b)一经确定,不能改动
c)受审核方可随意改动
d)以上都不对
()5.以下哪一种描述不适合信息安全管理体系?
a)是指国家对各重要信息系统实施信息安全管理的行政管理结构
b)是整个管理体系的一部分,它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的
c)建立信息安全方针和目标,并实现这些目标的相互关联或相互作用的一组要素
d)包括信息安全管理机构、体系文件及相关资源等要素
()6.信息安全管理体系要求ISO/IEC27001 属于标准?
a)词汇类标准
b)指南类标准
c)要求类标准
d)相关类标准
()7.现场跟踪验证
a)只适用于一般不符合项
b)只适用于严重不符合项
c)只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项
d)以上都不对
()8.负责审核计划、协调审核活动并在审核活动中领导审核活动?
a)审核小组成员
b)信息安全经理
c)审核小组组长
d)以上都不是
()9.下面哪一个不是信息安全管理体系审核的依据?
a)ISO/IEC27001
b)ISMS 文件
c)信息安全专家建议
d)相关法律法规
()10.审核类型将由审核员和被审核组织的关系来确定,因此内部审核又称为a)第一方审核
b)第二方审核
c)第三方审核
d)以上都不对
()11.组织通过信息安全管理体系认证则
a)表明组织已不存在不符合项
b)表明体系具备保护组织信息资产的能力
c)表明组织已达到了其信息安全目标
d)以上都不对
()12.对于ISMS 审核组而言,以下哪一种要求不是必须的?
a)信息安全的理解
b)从业务角度对风险评估和风险管理的理解
c)被审核活动的技术知识
d)以上都不对
()13.信息安全管理体系认证
a)应审核ISMS 范围内的所有部门和所有人员
b)指导受审核方改进的过程
c)寻找不符合项的过程
d)可为受审核方提供控制措施的实施建议
()14.下列哪个要素可以不作为ISMS 审核时间判断的依据?
a)ISMS 的复杂度
b)高层管理者对信息安全问题的重视程度
c)ISMS 范围内执行的业务的类型
d)适用于认证的标准和法规
()15.在认证过程中,“根据审核报告,确定纠正措施”是的职责。
a)审核组长
b)审核组c)
受审核方
d)以上都不对
二、多项选择题(每题2 分,共10 分)
从以下每题的答案中选择一个或多个你认为合适的,并将答案代号填入()中。
()1.ISMS 第1 阶段审核的目的是
a)获取对组织信息安全管理体系的了解和认识
b)了解客户组织的审核准备状态
c)为计划2 阶段审核提供重点
d)确认组织的信息安全管理体系符合标准或规范性文件的所有要求
()2.按照审核的先后顺序划分,审核包括
a)第一阶段审核
b)第二阶段审核
c)监督审核
d)再认证审核
()3.审核方案和审核计划的区别包括
a)范围不同
b)制定者不同
c)实施者不同
d)内容不同
()4.以下属于审核组长的职责。
a)确定审核的需要和目的
b)组织编制现场审核有关的工作文件
c)主持首末次会议和审核组会议
d)代表审核方与受审核方领导进行沟通
()5.审核计划中应涵盖
a)本次及其后续审核的时间安排
b)审核准则
c)审核组成员及分工
d)审核的日程安排
三、判断题(每题1 分,共10 分)
下列各题中,你认为正确的在()中划“√”,错误的划“×”。
()1.纠正是指为消除已发现的不符合或其他不期望情况的原因所采取的措施。
()2.因信息安全问题在任何组织中都可能存在,所以组织在实施ISMS 时,不能删减标准中任何安全控制措施的条款。
()3.信息安全管理体系的范围必须包括组织的所有场所和业务,这样才能保证安全。
()4.记录可提供符合信息安全管理体系要求和有效运行的证据。
()5.资产越重要,其安全风险值就越大。
()6.信息安全管理体系审核组内必须有一名技术专家,提供信息安全的专门知识。
()7.审核证据是指与审核有关的,并且能够证实的记录、事实陈述或其他信息。
()8.审核报告的内容必须与末次会议的内容基本一致。
()9.现场审核过程中,受审核方为审核组配备的向导可参与审核的全过程,但不能对受审核人员的回答做出澄清或提供帮助。
()10.审核组长在末次会议中应该对受审核方是否通过认证给出结论。
四、简答题(每题5 分,共15 分)1.管理者在信息安全管理体系的建立和实施过程中起到
关键的作用,请指出ISO27001:
2005 中哪些条款体现了“管理者的作用”,至少举出2 个条款并简要说明。
2.什么是审核?按审核委托方划分,审核可分为哪几种类型,各自的目的是什么?
3.什么是纠正措施?什么是预防措施?举例说明纠正措施与预防措施的区别。
五、阐述题(每题10 分,共20 分)
1.如何依据ISO/IEC 27001:2005 审核A.8.3,组织应确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。
2.在某公司人事部,审核员向人力资源部负责人了解培训情况时得知,公司负责网络安全
的管理人员的培训是请专门的网络安全培训机构进行的。
审核员想看看这些人员的培训成
绩及证书,该负责人说,证书他们自己保存,我们替他们保存反而不方便。
培训成绩在培
训机构,你们要看的话,我打电话联系,让他们发过来。
审核员同意,并查阅了发过来的
成绩,由于成绩合格,审核员表示满意,并结束了培训的审核。
这样的审核是否符合要求?
为什么?如果请您去审核,您会怎么做?
六、案例分析题(每题6 分,共30 分)
请根据所述情况判断:如能判断有不符合项,请写出不符合ISO27001:2005 标准的条
款号、内容和严重程度,并写出不符合事实,如提供的证据不能足以判断有不符合项时,
请写出进一步审核的思路。
判分标准:不符合和内容2 分,不符合事实描述2 分,不符合的严重程度2 分。
1.审核员在某公司机房查阅Web 服务器日志时发现,该服务器经常重启,管理人员说,这台服务器在刚买回来时,还没有问题,但最近几天经常死机,我们跟服务器提供商联系,但一直找不到对此负责的人。
2.某公司的体系文件中包含《信息安全事件管理程序》,审核员在询问某员工在信息安全
事件管理中的职责时,该员工说:“我们没有发生过信息安全事件,所以也没有人让我们去看这个程序,更不知道有什么职责了。
”
3.审核员在某公司的体系文件中看到了对技术脆弱性的控制要求,询问信息安全管理部长该控制措施的实施情况时,部长回答,我们已经制定了实施策略,但由于资金一直没有到位,所以还没有购买系统审计软件。
4.某公司在内部审核时,针对不同部门,组成审核组。
在对技术开发部进行审核时,由信
息安全部经理任审核组长,技术开发部副经理和运营部副经理任组员,因为他们两个对技
术部的工作流程、业务和人员等最为了解。
5.创新公司的网络接入服务由互联网专业提供商提供,为了防止网络安全问题,他们签订了服务提供协议,规定了必要的安全安排、服务水准等事宜。
互联网专业提供商为提高服务级别,采用了新的技术,并通知了创新公司,创新公司认为既然是新技术,肯定比原来的要好,没有采取任何行动。
但由于互联网专业提供商的技术兼容问题,出现了网络中断,导致了创
新公司的业务中断。