ISO27001内审员考试题

. . . .

信息安全管理体系内审员考试试题

姓名：工作单位：考试日期：年月日

一、单项选择题（每题1 分，共15 分）

从以下每题的几个答案中选择一个你认为最合适的，并将答案代号填入（）中。

（）1．ISO/IEC 27001 从的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS 规定了要求。

a）客户安全要求

b）组织整体业务风险

c）信息安全法律法规

d）以上都不对

（）2．组织声称符合ISO/IEC 27001 时，的要求可删减。

a）第4 章

b）第5 章

c）第7 章

d）附录A

（）3．审核准则是指

a）一组方针、程序或要求

b）一组能够证实的记录、事实陈述或其他信息

c）一组约束审核行为的规范

d）以上都不对

（）4．审核计划

a）应由受审核方确认，可适当调整

b）一经确定，不能改动

c）受审核方可随意改动

d）以上都不对

（）5．以下哪一种描述不适合信息安全管理体系？

a）是指国家对各重要信息系统实施信息安全管理的行政管理结构

. . . .

b）是整个管理体系的一部分，它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的

c）建立信息安全方针和目标，并实现这些目标的相互关联或相互作用的一组要素

d）包括信息安全管理机构、体系文件及相关资源等要素

（）6．信息安全管理体系要求ISO/IEC27001 属于标准？

a）词汇类标准

b）指南类标准

c）要求类标准

d）相关类标准

（）7．现场跟踪验证

a）只适用于一般不符合项

b）只适用于严重不符合项

c）只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项

d）以上都不对

（）8．负责审核计划、协调审核活动并在审核活动中领导审核活动？

a）审核小组成员

b）信息安全经理

c）审核小组组长

d）以上都不是

（）9．下面哪一个不是信息安全管理体系审核的依据？

a）ISO/IEC27001

b）ISMS 文件

c）信息安全专家建议

d）相关法律法规

（）10．审核类型将由审核员和被审核组织的关系来确定，因此内部审核又称为a）第一方审核

b）第二方审核

c）第三方审核

d）以上都不对

（）11．组织通过信息安全管理体系认证则

a）表明组织已不存在不符合项

b）表明体系具备保护组织信息资产的能力

c）表明组织已达到了其信息安全目标

d）以上都不对

（）12．对于ISMS 审核组而言，以下哪一种要求不是必须的？

a）信息安全的理解

b）从业务角度对风险评估和风险管理的理解

. . . .

c）被审核活动的技术知识

d）以上都不对

（）13．信息安全管理体系认证

a）应审核ISMS 范围内的所有部门和所有人员

b）指导受审核方改进的过程

c）寻找不符合项的过程

d）可为受审核方提供控制措施的实施建议

（）14．下列哪个要素可以不作为ISMS 审核时间判断的依据？

a）ISMS 的复杂度

b）高层管理者对信息安全问题的重视程度

c）ISMS 范围内执行的业务的类型

d）适用于认证的标准和法规

（）15．在认证过程中，“根据审核报告，确定纠正措施”是的职责。

a）审核组长

b）审核组c）

受审核方

d）以上都不对

二、多项选择题（每题2 分，共10 分）

从以下每题的答案中选择一个或多个你认为合适的，并将答案代号填入（）中。

（）1．ISMS 第1 阶段审核的目的是

a）获取对组织信息安全管理体系的了解和认识

b）了解客户组织的审核准备状态

c）为计划2 阶段审核提供重点

d）确认组织的信息安全管理体系符合标准或规范性文件的所有要求

（）2．按照审核的先后顺序划分，审核包括

a）第一阶段审核

b）第二阶段审核

c）监督审核

d）再认证审核

（）3．审核方案和审核计划的区别包括

a）范围不同

b）制定者不同

c）实施者不同

d）内容不同

（）4．以下属于审核组长的职责。

a）确定审核的需要和目的

b）组织编制现场审核有关的工作文件

. . . .

c）主持首末次会议和审核组会议

d）代表审核方与受审核方领导进行沟通

（）5．审核计划中应涵盖

a）本次及其后续审核的时间安排

b）审核准则

c）审核组成员及分工

d）审核的日程安排

三、判断题（每题1 分，共10 分）

下列各题中，你认为正确的在（）中划“√”，错误的划“×”。

（）1．纠正是指为消除已发现的不符合或其他不期望情况的原因所采取的措施。

（）2．因信息安全问题在任何组织中都可能存在，所以组织在实施ISMS 时，不能删减标准中任何安全控制措施的条款。

（）3．信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。（）4．记录可提供符合信息安全管理体系要求和有效运行的证据。

（）5．资产越重要，其安全风险值就越大。

（）6．信息安全管理体系审核组内必须有一名技术专家，提供信息安全的专门知识。（）7．审核证据是指与审核有关的，并且能够证实的记录、事实陈述或其他信息。（）8．审核报告的内容必须与末次会议的内容基本一致。

（）9．现场审核过程中，受审核方为审核组配备的向导可参与审核的全过程，但不能对受审核人员的回答做出澄清或提供帮助。

（）10．审核组长在末次会议中应该对受审核方是否通过认证给出结论。四、简答题（每题5 分，共15 分）1．管理者在信息安全管理体系的建立和实施过程中起到

关键的作用，请指出ISO27001：

2005 中哪些条款体现了“管理者的作用”，至少举出2 个条款并简要说明。

2．什么是审核？按审核委托方划分，审核可分为哪几种类型，各自的目的是什么？