ISMS-COP12用户访问控制程序
2021年第二期CCAA注册审核员考试题目—ISMS信息安全管理体系含解析
![2021年第二期CCAA注册审核员考试题目—ISMS信息安全管理体系含解析](https://img.taocdn.com/s3/m/699e20a04128915f804d2b160b4e767f5bcf8056.png)
2021年第二期CCAA注册审核员考试题目—ISMS信息安全管理体系一、单项选择题1、关于信息安全管理体系认证,以下说法正确的是()A、认证决定人员不宜推翻审核组的正面结论B、认证决定人员不宜推翻审核组的负面结论C、认证机构应对客户组织的ISMS至少进行一次完整的内部审核D、认证机构必须遵从客户组织规定的内部审核和管理评审的周期2、信息系统的变更管理包括()A、系统更新的版本控制B、对变更申请的审核过程C、变更实施前的正式批准D、以上全部3、系统备份与普通数据备份的不同在于,它不仅备份系统屮的数据,还备份系统中安装的应用程序、数据库系统、用户设置、系统参数等信息,以便迅速()。
A、恢复全部程序B、恢复网络设置C、恢复所有数据D、恢复整个系统4、组织应()A、定义和使用安全来保护敏感或关键信息和信息处理设施的区域B、识别和使用安全来保护敏感或关键信息和信息处理设施的区域C、识别和控制安全来保护敏感或关键信息和信息处理设施的区域D、定义和控控安全来保护敏感或关键信息和信息处理设施的区域5、口令管理系统应该是(),并确保优质的口令A、唯一式B、交互式C、专人管理式D、A+B+C6、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评A、半年B、1年C、1,5年D、2年7、《信息安全管理体系认证机构要求》中规定,第二阶段审核()进行A、在客户组织的场所B、在认证机构以网络访问的形式C、以远程视频的形式D、以上都对8、在每天下午5点使计算机结束时断开终端的连接属于()A、外部终端的物理安全B、通信线的物理安全C、窃听数据D、网络地址欺骗9、关于GB/T22081-2016/ISO/IEC27002:2013,以下说法错误的是()A、该标准是指南类标准B、该标准中给出了IS0/IEC27001附录A中所有控制措施的应用指南C、该标准给出了ISMS的实施指南D、该标准的名称是《信息技术安全技术信息安全管理实用规则》10、—家投资顾问商定期向客户发送有关财经新闻的电子邮件,如何保证客户收到资料没有被修改()A、电子邮件发送前,用投资顾问商的私钥加密邮件的HASH值B、电子邮件发送前,用投资顾问商的公钥加密邮件的HASH值C、电子邮件发送前,用投资顾问商的私钥数字签名邮件D、电子邮件发送前,用投资顾问商的私钥加密邮件11、第三方认证审核时,对于审核提出的不符合项,审核组应:()A、与受审核方共同评审不符合项以确认不符合的条款B、与受审核方共同评审不符合项以确认不符合事实的准确性C、与受审核方共同评审不符合以确认不符合的性质D、以上都对12、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查对秘密级、机密级信息系统每()至少进行一次保密检查或系统测评。
2023年10月CCAA注册审核员模拟试题—ISMS信息安全管理体系含解析
![2023年10月CCAA注册审核员模拟试题—ISMS信息安全管理体系含解析](https://img.taocdn.com/s3/m/e368bd55f011f18583d049649b6648d7c0c70865.png)
2023年10月CCAA注册审核员模拟试题—ISMS信息安全管理体系一、单项选择题1、被黑客控制的计算机常被称为()A、蠕虫B、肉鸡C、灰鸽子D、木马2、对于所有拟定的纠正和预防措施,在实施前应通过()过程进行评审。
A、薄弱环节识别B、风险分析C、管理方案D、A+CE、A+B3、下列措施中,()是风险管理的内容。
A、识别风险B、风险优先级评价C、风险处置D、以上都是4、《信息技术安全技术信息安全管理体系实施指南》对应的国际标准号为()A、ISO/IEC27002B、ISO/IEC27003C、ISO/IEC27004D、ISO/IEC270055、关于《中华人民共和国保密法》,以下说法正确的是()A、该法的目的是为了保守国家秘密而定B、该法的执行可替代以ISO/IEC27001为依据的信息安全管理体系C、该法适用于所有组织对其敏感信息的保护D、国家秘密分为秘密、机密、绝密三级,由组织自主定级、自主保护6、关于信息安全产品的使用,以下说法正确的是:()A、对于所有的信息系統,信息安全产品的核心技术、关鍵部件须具有我国自主知识产权B、对于三级以上信息系統,己列入信息安全产品认征目录的,应取得国家信息安全产品人证机构颁发的认证证书C、对于四级以上信息系銃、信息安全广品研制的主要技术人员须无犯罪记录D、对于四级以上信息系統,信息安全声品研制单位须声明没有故意留有或设置漏洞7、信息安全管理体系是用来确定()A、组织的管理效率B、产品和服务符合有关法律法规程度C、信息安全管理体系满足审核准则的程度D、信息安全手册与标准的符合程度8、创建和更新文件化信息时,组织应确保适当的()A、对适宜性和有效性的评审和批准B、对充分性和有效性的测量和批准C、对适宜性和充分性的测量和批准D、对适宜性和充分性的评审和批准9、下列措施中不能用于防止非授权访问的是()A、采取密码技术B、采用最小授权C、采用权限复查D、采用日志记录10、对于外部方提供的软件包,以下说法正确的是:()A、组织的人员可随时对其进行适用性调整B、应严格限制对软件包的调整以保护软件包的保密性C、应严格限制对软件包的调整以保护软件包的完整性和可用性D、以上都不对11、残余风险是指:()A、风险评估前,以往活动遗留的风险B、风险评估后,对以往活动遗留的风险的估值C、风险处置后剩余的风险,比可接受风险低D、风险处置后剩余的风险,不一定比可接受风险低12、依据《中华人民共和国网络安全法》,以下正确的是()。
ISMS-C-12 安全区域控制程序
![ISMS-C-12 安全区域控制程序](https://img.taocdn.com/s3/m/42a76135102de2bd9705886e.png)
1. 目的为了加强公司的物理和环境安全管理,以确保满足公司内部及客户对对信息安全的要求,特制定本程序。
2. 范围本程序适用于公司物理区域的安全管理。
3. 职责与权限3.1人事行政部人事行政部是公司办公环境管理、治安、保卫、消防等工作的职能管理部门,负责公司上述工作的监督管理。
3.2技术部技术部是公司机房的职能管理部门,负责公司机房相关的人员出入控制、机房设备管理等日常工作。
3.3全体员工公司全体员工应严格遵守本程序的各项要求。
4. 相关文件a)《信息安全奖惩管理规定》5. 术语定义安全区域:有明确的安全周界,包含重要的或敏感的信息或信息处理设施的区域。
6. 控制程序6.1 安全区域的范围及总体要求6.1.1 安全区域分为一般安全区域和重要安全区域。
重要安全区域包括公司技术部及财务部、人事行政部,重要安全区域以外的安全区域为一般安全区域。
6.1.2 安全区域应建立牢固的物理安全周界,应有妥当的出入控制保护,以防未经授权的进入。
6.1.3安全区域应采取适当的防火、防水等消防措施,防范由火灾或水灾等引起的风险。
6.2 安全区域周界的要求6.2.1 公司所在区域应有明确的安全周界,并设有门禁控制或锁具。
6.2.3对重要安全区域,未经授权不允许外来人员直接入内,接待人员应在接待处,或在会议室接待来访人员,防止未经授权的访问。
6.2.4 安全周界的实物关卡应从地板延伸到天花板,以防未经授权的人进入及由诸如火灾、水灾等引起的环境污染。
6.3 安全区域内的控制要求6.3.1外部人员访问控制a)公司前台人员要确保未经批准的访客拒绝进入公司办公区域。
b)外部人员来访时,前台人员应与外部人员的接待部门人员电话确认是否预约,确认后应填写《出入登记表》,并在前台等待接待部门人员。
c)访客随身携带的手提电脑等信息存储设备不允许随意连接公司的网络及拷贝公司资料。
6.3.2员工访问控制a)公司将工作环境划分成不同的控制区域(主要按照部门划分),不同员工有不同的访问许可;未经允许员工不得进入非授权区域。
ISMS-COP04管理评审控制程序
![ISMS-COP04管理评审控制程序](https://img.taocdn.com/s3/m/e783afa2f121dd36a32d82c1.png)
审核
批准
A/0
初始版本
管理评审控制程序
1
本程序对信息安全管理体系中要求进行的管理评审的实施程序作规定。
2
为确保公司信息安全管理体系持续的适宜性、充分性和有效性,评估公司信息安全管理体系改进和变更的需要,包括信息安全方针、目标,特制定本程序。
3
《信息安全手册》
4
4.1
管理评审每年至少进行一次。
4.2
g)可能影响ISMS的任何更改;
h)改进的建议。
4.3.2最高管理者接收了上述报告后,根据需要确认详细内容,对信息安全体系的有效性和运用状况进行评价,对以下管理评审输出作指示。
管理评审输出:
a) ISMS有效性的改进;
b)修改影响信息安全的程序文件,必要时,对可能影响ISMS的内外事件(events)发生的变更进行对应;这些变更包括:
4.3
4.3.1管理者代表和各部门长准备以下资料,在管理评审中向最高管理者说明。
管理输入包括:
a) ISMS审核和评审的结果、方针和目标;
b)相关方的反馈;
c)可以用于改进ISMS业绩及有效性的技术、产品或程序;
d)纠正和预防措施的实施情况;
e)在以前风险评估没有充分提出的薄弱点或威胁;
f)以往管理评审的跟踪措施;
4.4.3最高管理者针对上述报告,作适当的指示。
4.5
管理评审的输入、输出、会议记录以及纠正和预防措施的记录由管理者代表保管三年以上。
4.2.1由总经理指示信息安全管理体系的管理者代表(以下简称管理者代表)召开管理评审会议。
4.2.2参加管理评审会议者包括最高管理者、管理者代表及相关的部门长(或高级主管)。受召集的部门长因不得已的理由而无法出席时,可让其他管理者代其出席。
ISMS信息安全体系访问控制
![ISMS信息安全体系访问控制](https://img.taocdn.com/s3/m/330570f4bed5b9f3f80f1c16.png)
ISMS信息安全体系访问控制1.1 访问控制的商业要求1. 访问控制方针(1) 方针和商务需求访问控制的商务需求应进行定义和文档化。
每一个用户或用户组访问控制规则和权力都应在访问方针报告书中明确声明。
应给用户和服务提供商应提供由访问控制决定的商务需求的明确声明。
访问控制方针应考虑下述问题:a)不同的商务应用的安全需求b)所有和商务应用相关的信息的辨认c)信息传播和授权方针,如了解原则、信息的安全级别和分类的需求d)不同系统和网络的访问控制和信息分类方针之间的一致性e)关于保护对数据和服务的有关法规和合同义务(见12款)f)对普通范畴工作的标准用户访问文件g)对于公认一切类型的可用连接的分布式和网络化的环境的访问权限的管理(2) 访问控制规则为详细说明访问控制规则,应注意考虑以下各项:a)区分必须执行的规则与可选的或有条件则应执行的规则;b)所建立的规则应以“未经明确允许的都是禁止的”为前提,而不是以较弱的原则“未经明确禁止的都是允许的”为前提;c)信息标记的变化(见5.2),包括由信息处理设备自动引起的的或是有用户决定引起的;d)由信息系统和管理人员引起的用户许可的变化;e)规则在颁布之前需要管理人员的批准或其他形式的许可,而一些则不需要;1.2 用户访问管理1. 用户注册应有正式的用户注册和注销流程来授权对多用户信息系统和服务的访问。
应通过指示的用户注册流程控制对多用户信息服务的访问,这一流程应包括:a)使用唯一的用户身份识别符,这样可将用户和其行为联系起来,并使用户为其行为负责。
只有工作执行需要时,才允许使用群识别符;b)检查用户是否获得了系统所有人对信息系统和服务的授权访问。
管理人员的个别授权也是适当的;c)检查所授予的访问级别对于商务目的是否合适,并且是否和组织安全方针相一致,访问级别不可危害职责的划分;d)向用户颁发其访问权限的书面声明;e)要求用户签订申明书,表明其了解自己的访问条件;f)确保只有在授权流程完成之后,服务提供商才可以提供服务;g)保留一份记录所有注册使用该服务的用户的正式名单;h)对于改变工作或离开组织的用户,应立即取消其访问权;i)定期的检查和取消冗余的用户身份识别符和账户;j)确保冗余的用户身份识别符不分配给其他用户;若员工或服务代理商试图进行越权访问,应有条款对此详加说明,并考虑将其包含在员工合同和服务合同中(见6.1.4和6.3.5)。
访问控制安全管理策略
![访问控制安全管理策略](https://img.taocdn.com/s3/m/c097b49cb04e852458fb770bf78a6529647d35dc.png)
文件制修订记录访问控制管理是为了防止信息及信息(资产)系统未经授权的访问,信息系统包括各种应用系统、操作平台、数据库、中间件、网络设备、安全系统和设备等。
01.访问控制业务需求访问授权与控制是对访问信息资源的用户赋予使用权限并在对资源访问时按授予的权限进行控制。
关于访问授权与控制的方针定义如下:•最小授权:应仅对用户授予他们开展业务活动所必需的访问权限,对除明确规定允许之外的所有权限必须禁止。
•需要时获取:所有用户由于开展业务活动涉及到资源使用时,应遵循需要时获取的原则,即不获取和自己工作无关的任何资源。
在信息系统维护管理过程中,应建立和不断完善主机、网络设备和安全设备等的访问控制策略,访问控制策略应至少考虑下列内容:•信息系统所运行业务的重要性。
•各个信息系统的安全要求。
•各个信息系统所面临的风险状况。
•访问控制策略强度与其信息资产价值之间的一致性。
用户在使用网络服务时,应只能访问已获授权使用的网络和网络服务服务,并遵守以下策略要求:•使用内部网络服务和外部网络服务时,均应遵守国家的法律、法规,不得从事非法活动。
•使用内部网络服务和外部网络服务时,还应遵守内部相关规章制度的要求。
02.用户访问管理所有系统用户的注册过程应进行必要的管理,在用户注册的过程中应遵循以下策略:•所有用户账号的开通应通过正式的账号申请审批过程。
•申请过程核实用户申请和用户资料。
•使用唯一的用户ID号码,保证可由此号码追溯用户。
•保存所有用户注册的审批记录,无论是电子还是纸质的。
系统用户权限变更、取消过程应进行必要的管理,在用户权限变更、取消的过程中应遵循以下策略:•当用户的账号、权限需要变更时应通过正式的变更审批过程。
•核实用户账号权限变更、取消的申请。
•在工作人员工作范围发生变化或人员转岗后,应及时变更用户账号。
•在工作人员离职后,应立即删除或禁用用户账号,取消该用户访问权。
•保存所有用户变更和取消访问权限的审批记录,无论是电子还是纸质的。
2024年3月CCAA国家注册审核员考试题目—ISMS信息安全管理体系知识含解析
![2024年3月CCAA国家注册审核员考试题目—ISMS信息安全管理体系知识含解析](https://img.taocdn.com/s3/m/01ec916ebb1aa8114431b90d6c85ec3a87c28bcd.png)
2024年3月CCAA国家注册审核员考试题目—ISMS信息安全管理体系知识一、单项选择题1、ISMS关键成功因素之一是用于评价信息安全管理执行情况和改进反馈建议的()系统A、报告B、传递C、评价D、测量2、下面哪一种属于网络上的被动攻击()A、消息篡改B、伪装C、拒绝服务D、流量分析3、信息分类方案的目的是()A、划分信息载体的不同介质以便于储存和处理,如纸张、光盘、磁盘B、划分信息载体所属的职能以便于明确管理责任C、划分信息对于组织业务的关键性和敏感性分类,按此分类确定信息存储、处理、处置的原则D、划分信息的数据类型,如供销数据、生产数据、开发测试数据,以便于应用大数据技术对其分析4、残余风险是指:()A、风险评估前,以往活动遗留的风险B、风险评估后,对以往活动遗留的风险的估值C、风险处置后剩余的风险,比可接受风险低D、风险处置后剩余的风险,不一定比可接受风险低5、审核证据是指()A、与审核准则有关的,能够证实的记录、事实陈述或其他信息B、在审核过程中收集到的所有记录、事实陈述或其他信息C、一组方针、程序或要求D、以上都不对6、关于访问控制策略,以下不正确的是:()A、须考虑被访问客体的敏感性分类、访问主体的授权方式、时限和访问类型B、对于多任务访问,一次性赋予全任务权限C、物理区域的管理规定须遵从物理区域的访问控制策D、物理区域访问控制策略应与其中的资产敏感性一致7、风险评价是指()A、系统地使用信息来识别风险来源和评估风险B、将估算的风险与给定的风险准则加以比较以确定风险严重性的过程C、指导和控制一个组织相关风险的协调活动D、以上都对8、组织应()与其意图相关的,且影响其实现信息安全管理体系预期结果能力的外部和内部事项。
A、确定B、制定C、落实D、确保9、以下说法不正确的是()A、应考虑组织架构与业务目标的变化的风险评估进行再评审B、应考虑以往未充分识别的威胁对风险评估结果进行再评估C、制造部增加的生产场所对信息安全风险无影响D、安全计划应适时更新10、容量管理的对象包括()A、信息系统内存B、办公室空间和基础设施C、人力资源D、以上全部11、关于内部审核下面说法不正确的是()。
ISMS-COP14密级控制程序
![ISMS-COP14密级控制程序](https://img.taocdn.com/s3/m/ad7915f3aeaad1f346933fc2.png)
《ISO/IEC 27002:2005信息技术-安全技术-信息安全管理实施细则》
3
ISO/IEC 27001:2005《信息技术-安全技术-信息安全管理体系要求》和ISO/IEC 27002:2005《信息技术-安全技术-信息安全管理实施细则》规定的术语适用于本标准。
7.
7.1
1)涉密、受控事项因对外公开发表而成为众所周知的信息时,涉密、受控的指令将自动解除。
2)随着时间的推移,某些涉密、受控事项的内容已过时的情况下。
7.2
1)解除或变更涉密、受控指定时,由原编写部门的指定者书面通知原接收者。
2)编写部门及收发部门,在涉密、受控文件保管登记台帐上用红色笔划掉该行内容,并记录解除或变更日期。在原涉密、受控文件上划去秘密印章并加盖解除/变更印章(记入日期)。
国家、企业秘密、内部(受控)管理的最高责任者为公司总经理,各部门的管理责任者为本部门负责人,办公室负责密级划分与确定和公开文件的审查、审核。全体员工都负有遵守保密承诺、保守企业秘密的义务。
6.2
6.2.1“秘密”按《中华人民共和国保守国家秘密法》的有关规定执行。企业秘密事项由经营管理机构指定,企业秘密及敏感信息事项由产生该事项的部门负责人指定秘密事项(参见附录1),并充分考虑该事项的性质及重要程度等因素。
6.7
6.7.1涉密、受控文件应保存在铁质密码柜中,部门负责人指定专人保管并设立保管台帐登记。台帐内容为:收发年月日、份数、标题、收发部门、解除/变更年月日、回收/废弃年月日等。该管理台帐与同级文件一样保管。
6.7.2保存在计算机系统内的秘密、受控事项应采取适当的防护和备份措施,防止被无关人员查看、误操作等。
信息安全管理体系(ISMS)基础考试真题含参考答案
![信息安全管理体系(ISMS)基础考试真题含参考答案](https://img.taocdn.com/s3/m/e6c7c510102de2bd970588ea.png)
2021年5月ISMS信息安全管理体系基础考试真题参考答案一、单项选择题1、信息安全风险评估的基本要素包括(B)。
(A)资产、可能性、影响(B)资产、脆弱性、威胁(C)可能性、资产、脆弱性(D)脆弱性、威胁、后果2、在ISO组织框架中,负责ISO/IEC27000系列标准编制工作的技术委员会是(A)。
(A)ISO/IECJTC1SC27(B)ISO/IECJTC1SC40(C)ISO/IECTC27(D)ISO/IECTC403、当操作系统发生变更时,应对业务的关键应用进行(B),以确保对组织的运行和安全没有负面影响。
(A)隔离和迁移(B)评审和测试(C)评审和隔离(D)验证和确认4、下列关于DMZ区的说法错误的是(C)。
(A)DMZ可以访问内部网络(B)通常DMZ包含允许来自互联网的通信可进行的设备,如WEB服务器、FTP服务器、SMTP服务器和DNS服务器(C)内部网络可以无限制地访问外部网络以及DMZ(D)有两个DMZ的防火墙环境的典型策略是主防火墙采用NAT方式工作5、信息安全管理中,关于脆弱性,以下说法正确的是:(B)。
(A)组织使用的开源软件不须考虑其技术脆弱性(B)软件开发人员为方便维护留的后门是脆弱性的一种(C)识别资产脆弱性时应考虑资产的固有特性,不包括当前安全控制措施(D)使信息系统与网络物理隔离可杜绝其脆弱性被威胁利用的机会6、公司A在内审时发现部分员工计算机开机密码少于六位,公司文件规定员工计算机密码必须六位及以上,那么下列选项中哪一项不是针对该问题的纠正措施?(A)(A)要求员工立刻改正(B)对员工进行优质口令设置方法的培训(C)通过域控进行强制管理(D)对所有员工进行意识教育7、下列哪个不是《中华人民共和国密码法》中密码的分类?(C)(A)核心密码(B)普通密码(C)国家密码(D)商用密码8、《信息安全等级保护管理办法》规定,应加强涉密信息系统运行中的保密监督检查。
对秘密级、机密级信息系统每(D)至少进行一次保密检查或者系统测评。
ISMS用户访问管理程序
![ISMS用户访问管理程序](https://img.taocdn.com/s3/m/8c2436892dc58bd63186bceb19e8b8f67c1cefc8.png)
深圳市ABC有限公司用户访问管理程序编号:SMS-B-29版本号:V1.0编制:AAA 日期:2023-11-01 审核:BBB 日期:2023-11-01 批准:CCC 日期:2023-11-01受控状态1 目的为对本组织各种应用系统的用户访问权限(包括特权用户及相关方用户)实施有效控制,杜绝非法访问,确保系统和信息的安全,特制定本程序。
2 范围本程序适用于本组织的各种应用系统涉及到的逻辑访问的管理。
3 职责3.1 管理者代表负责访问权限的申请、审批。
3.2综合管理部负责向各部门通知人事变动情况。
负责外来人员物理访问控制。
综合管理部网络管理员负责访问控制的技术管理以及访问权限控制和实施。
4 相关文件《信息安全管理手册》《口令控制策略》5 程序5.1 访问控制策略组织内的信息根据敏感等级,分别向不同职位的员工公开。
a)组织的宣传文件、制度、培训材料、参考文献可向全体员工公开;b)人事信息只向综合管理部公开;c)财务信息只向财务部公开;d)业务信息只在相关业务人员间公开。
IT人员根据不同类别的信息,设置其访问权限。
用户不得访问或尝试访问未经授权的网络、系统、文件和服务。
各系统信息安全管理小组应编制《系统访问权限说明书》,明确规定访问规则。
5.2 用户访问管理5.2.1 权限申请所有用户,包括相关方人员均需要履行访问授权手续。
申请部门根据业务、管理工作的需要,确定需要访问的系统和访问权限,经过本部门经理同意后,向信息安全管理小组提交《用户访问授权申请表》,信息安全管理小组在《用户访问授权登记表》上登记。
《用户访问授权申请表》应对以下内容予以明确:a)权限申请人员;b)访问权限的级别和范围;c)申请理由;d)有效期。
经信息安全管理小组审核批准后,将《用户访问授权申请表》交综合管理部,综合管理部网络管理员实施授权。
相关方和第三方服务人员的访问申请由负责接待的部门按照上述要求予以办理。
但相关方和第三方服务人员一般不允许成为特权用户。
ISMS-COP08内部审核管理程序
![ISMS-COP08内部审核管理程序](https://img.taocdn.com/s3/m/3ea992302af90242a895e5c0.png)
内部审核管理程序
文件编号:ISMS-COP08
状态:受控
编写:信息安全管理委员会
2018年05月10日
审核:
2018年05月10日
批准:陈世胜
2018年05月12日
发布版次:A/0版
2018年05月12日
生效日期:
2018年05月18日
分发:各部门
接受部门:各部门
变更记录
变更日期
版本
变更说明
(2)对策部门:调查不符合的原因,并记录在原因分析栏中。另外,为了彻底消除导致不符合的因素,必须指定纠正措施的对策、完成期限以及指定对策实施部门。
对策部门主管:对原因分析及纠正措施对策的内容进行批准。
对策实施部门完成以上事项后,把《纠正、预防措施申请书》还给内审员。
(3)纠正措施完成的场合,内审员对对策部门进行实施完成的确认后,送交办公室。
4.1.3被审核部门的准备事项
1)通知本部门的各相关人员;
2)选定内审时的对应回答者。
4.2.
审核时、根据以下内容实施:
1)首次会议
由内审组长介绍本次审核的内审员、说明本次审核的范围、目的和时间安排等。
2)现场审核
内审员:以内部审核检查表以及办公室提供的checklist为参考、各种关联的文件为基础进行审核。
2)审核实施时的联络
办公室全面负责内审活动的联络,在同各有关部门协调后,以电子媒体的形式来发送实施通知,并用电话确认。
3)各种审核文件的发行、管理
办公室对各种审核文件取号并进行台帐管理,发行、送配也由办公室实施。
4)内审员的登录、管理
由办公室编写内审员的登录清单,并进行维护管理。
5)内审结果的总结
ISMS信息安全管理体系文件(全面)
![ISMS信息安全管理体系文件(全面)](https://img.taocdn.com/s3/m/dd68d55131b765ce050814a4.png)
ISMS-01-01ISMS信息安全管理体系文件目录一、信息安全方针1.1总体方针满足用户要求,实施风险管理,确保信息安全,实现持续改进。
1.2信息安全管理机制和目标公司为用户提供智能登陆及加密会员信息管理的服务,信息资产的安全性对公司及用户非常重要。
为了保证各种信息资产的保密性、完整性、可用性,给客户提供更加安心的服务,公司依据ISO/IEC 27001:2013标准,建立信息安全管理体系,全面保护公司及用户的信息安全。
1.2.1目标量化:保密性目标:确保本公司业务系统在存储、处理和传输过程中的数据不向非授权用户暴露。
1)顾客保密性抱怨/投诉的次数不xeg 超过1起/年。
2)受控信息泄露的事态发生不超过3起/年。
3)秘密信息泄露的事态不得发生。
完整性目标:确保本公司业务系统在存储、处理和传输过程中不会以非授权方式更改数据;1)非授权方式更改数据导致业务系统出现故障而影响正常工作的事态不超过2起/年。
可用性目标:确保本公司业务系统能有效率地运转并使所有授权用户得到所需信息服务。
1)得到授权的用户执行数据操作,出现服务拒绝或者数据拒绝的次数不得高于10起/年;2)得到授权的用户超越其自身权限,越权使用系统、使用数据的次数不超过10起/年。
1.3信息安全小组负责信息安全管理体系的建立、实施和日常运行,起草信息安全政策,确定信息安全管理标准,督促各信息安全执行单位对于信息安全政策、措施的实施;负责定期召开信息安全管理工作会议,定期总结运行情况以及安全事件记录,并向信息安全管理委员会汇报;对员工进行信息安全意识教育和安全技能培训;协助人力资源部对外部组织有关的信息安全工作,负责建立各部门定期沟通机制;负责对ISMS体系进行审核,以验证体系的健全性和有效性,并对发现的问题提出内部审核建议;负责对ISMS体系的具体实施、各部门的信息安全运行状况进行定期审计或专项审计;负责汇报审计结果,并督促审计整改工作的进行,落实纠正措施(包括内部审核整改意见)和预防措施;负责制定违反安全政策行为的标准,并对违反安全政策的人员和事件进行确认;负责管理体系文件的控制;负责保存内部审核和管理评审的有关记录;识别适用于公司的所有法律、法规,行业主管部门颁布的规章制度,审核ISMS体系文档的合规性。
ISMS-管理评审控制程序
![ISMS-管理评审控制程序](https://img.taocdn.com/s3/m/60fc1efc64ce0508763231126edb6f1aff007181.png)
管理评审控制程序1目的通过最高管理者对信息安全与服务管理体系持续的充分性、有效性、适宜性的评审,不断改善体系及其运行效果,以确保信息安全与服务管理体系持续有效地满足标准的要求,确保本公司信息安全方针和目标适应公司自身发展的需要,以不断完善信息安全与服务管理体系,需求持续改进的机会,特制定本程序。
2范围本程序适用于对本公司信息安全与服务管理体系的评审。
3职责3.1总经理总经理负责主持管理评审活动,对信息安全与服务管理体系的现状和适应性进行正式评价。
3.2管理者代表审核《管理评审报告》。
负责评审后的跟踪检查及协调落实改进措施中的问题。
3.3运营管理部3.3.1协助总经理、管理者代表做好有关管理评审的各项工作。
3.3.2收集并准备管理评审所需的资料,控制好评审的输入和其它准备工作。
3.3.3整理并编写《管理评审报告》3.4相关部门3.4.1负责准备并提供评审所需的与管辖范围有关的资料。
3.4.2根据评审通知,出席会议并事先对全公司信息安全与服务管理体系运行及改进重点准备好意见和建议。
3.4.3负责实施管理评审提出的涉及本部门的质量和环境改进措施。
3.4.4参照本公司管理评审的精神,评价本部门信息安全与服务管理活动开展情况并提出相应的改进措施。
4、措施和方法4.1总则4.1.1管理评审每年至少进行一次,二次间隔时间不得超过十二个月。
4.1.2管理评审在内部信息安全与服务管理体系审核的基础上进行,但在出现下列情况时,也应适时组织管理评审:1)当本公司的组织机构、产品范围、资源配置发生重大变化时;2)当发生重大信息安全问题或顾客关于信息安全有严重投诉或投诉连续发生时;3)当市场需求发生重大变化时;4)当总经理认为有必要进行时;5)当法律法规\标准及其他要求有变化时;6)即将进行第二\三方审核或法律\法规规定的审核时;7)当信息安全审核中发现严重不合格时。
4.1.3管理评审应针对信息安全与服务管理体系的适宜性、充分性和有效性进行评价。
ISMS-COP10业务持续性管理程序
![ISMS-COP10业务持续性管理程序](https://img.taocdn.com/s3/m/9d99202f3968011ca30091c0.png)
c)采用技术手段对系统运行及中断恢复的相关参数进行测量;
d)由供应商提供测试服务,确保所提供的外部服务和产品符合合同要求。
测试完成后填写《业务持续性管理计划测试报告》。
4.6.2根据相关部门的测试报告,办公室组织有关的部门对计划的适用性和有效性进行评审,形成公司《业务持续性管理计划评审报告》。
a)对系统中断原因的调查分析;
b)系统中断造成损失的统计;
c)采取的纠正措施;
d)应吸取经验教训及预防措施等。
4.6业务持续性计划的测试与评审
4.6.1每年下半年由管理委员会组织有关部门对《业务持续性管理实施方案》进行测试,以判断计划的可行性和有效性。测试可采用以下方法进行:
a)对已发生过的业务中断及恢复措施实例进行讨论;
3.4印刷厂负责生产过程中设备及软件系统的故障处理及与之相关的作业中断的恢复。
3.5办公室负责电话/网络通讯与办公系统、后勤系统设备及网络系统的故障处理及与之相关的作业中断的恢复。
3.6办公室负责本部门档案管理系统,重大工程项目及与之相关的作业中断的恢复。
3.7公司各部门在发生重大信息安全事件或灾难时,负责保护本部门使用的信息系统及业务数据,及时恢复中断的业务活动。
4.6.3根据《业务持续性管理计划评审报告》的要求,决定是否对公司《业务持续性管理战略计划》和部门《业务持续性管理实施方案》进行修改。
5
记录名称
保存部门
保存期限
《业务持续性管理实施方案》
办公室
3年
《业务持续性管理计划测试报告》
办公室
3年
《业务持续性管理计划评审报告》
办公室
3年
4.4.2《业务持续性管理实施பைடு நூலகம்案》的编写范围:
ISMS-02-04 文件控制程序
![ISMS-02-04 文件控制程序](https://img.taocdn.com/s3/m/0691bfcb6394dd88d0d233d4b14e852458fb3933.png)
文件控制程序修改记录目录1.目的 (4)2.适用范围 (4)3.职责 (4)3.1 总经理 (4)3.2 各部门 (4)3.3 人力行政部 (4)4.工作流程 (5)4.1 定义及内容 (5)4.2 内部文件的编码规定 (5)4.3 文件的受控 (5)4.4 内部文件的控制 (5)4.4.1 文件的编制、审核和批准 (5)4.4.2 文件的颁布 (6)4.4.3 文件的更改 (6)4.4.4 文件的作废 (6)4.5 外来文件的控制 (6)4.6 文件的发放 (7)4.7 文件的用章管理 (7)4.8 文件的借阅 (7)4.9 文件的换发及补发 (8)4.10 文件的销毁 (8)4.11 文件的保管 (8)5. 相关支持性文件 (8)6. 相关记录 (9)1.目的为保证公司工作过程中使用的各种文件(包括信息技术服务管理体系文件、信息安全管理体系文件、行政规章制度、技术管理文档等)的充分性、适宜性和有效性,特制定本程序。
2.适用范围本程序适用于与公司业务工作质量相关的所有形式的文件,以及与信息技术服务、信息安全相关的各种文档。
包括公司质量管理体系文件、信息安全管理体系文件、技术文件、行政文件以及外来文件等。
3.职责3.1 总经理批准信息安全管理手册;批准以公司名义产生的技术文件和行政文件。
批准程序文件。
3.2 各部门审核本部门职责范围内的程序文件;批准部门业务范围内的作业指导书和表格格式。
3.3 人力行政部负责外来技术文件与行政文件的收发、登记与保管;负责作废文件的销毁。
4.工作流程4.1 定义及内容文件:信息及其承载媒体。
公司常见的文件包括信息安全管理手册、质量管理程序文件、信息安全管理程序文件、各类作业指导书、表格、管理规定、工作规范等内部文件,以及各种法律法规、国际标准、国家标准、行业标准及客户提供的图样、标准、规范、要求等外来文件。
4.2 内部文件的编码规定按照《信息资产管理控制程序》中文件资产的编码方式进行编码。
2023年3月CCAA国家注册ISMS信息安全管理体系审核员知识复习题含解析
![2023年3月CCAA国家注册ISMS信息安全管理体系审核员知识复习题含解析](https://img.taocdn.com/s3/m/255068a588eb172ded630b1c59eef8c75fbf958c.png)
2023年3月CCAA国家注册ISMS信息安全管理体系审核员知识复习题一、单项选择题1、跨国公司的I.S经理打算把现有的虚拟专用网(VPN.,virtualpriavtenetwork)升级,采用通道技术使其支持语音I.P电话(VOI.P,voice-overI.P)服务,那么,需要首要关注的是()。
A、服务的可靠性和质量(Qos,qualityofservice)B、身份的验证方式C、语音传输的保密D、数据传输的保密2、关于GB/T22080-2016/ISO/IEC27001:2013标准,下列说法错误的是()A、标准可被内部和外部各方用于评估组织的能力是否满足自身的信息安全要求B、标准中所表述要求的顺序反映了这些要求要实现的顺序C、信息安全管理体系是组织的过程和整体管理结构的一部分并集成在其中D、信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可用性3、在我国信息系统安全等级保护的基本要求中针对每一级的基本要求分为()A、设备要求和网络要求B、硬件要求和软件要求C、物理要求和应用要求D、技术要求和管理要求4、组织确定的信息安全管理体系范围应()A、形成文件化信息并可用B、形成记录并可用C、形成文件和记录并可用D、形成程字化信息并可用5、依据《中华人民共和国网络安全法》,以下说法不正确的是()A、网络安全应采取必要措施防范对网络的攻击和侵入B、网络安全措施包括防范对网络的破坏C、网络安全即采取措施保护信息在网络中传输期间的安全D、网络安全包括对信息收集、存储、传输、交换、处理系统的保护6、对于信息安全方针,()是ISO/IEC27001所要求的A、信息安全方针应形成文件B、信息安全方针文件为公司内部重要信息,不得向外部泄露C、信息安全方针文件应包括对信息安全管理的一般和特定职责的定义D、信息安全方针是建立信息安全工作的总方向和原则,不可变更7、当发现不符合项时,组织应对不符合做出反应,适用时()。
ISMS-COP16信息处理设备管理程序
![ISMS-COP16信息处理设备管理程序](https://img.taocdn.com/s3/m/42cf44ce240c844769eaeecd.png)
3.3办公室负责行政系统设备及网络系统、电话/网络通讯与办公系统的管理与维护。
4
4.1
各部门必须采购的信息处理设施,得到本部门经理的批准后,向办公室提交申请。办公室以设备投资计划,技术开发计划为依据,结合对新技术的调查,做出是否引进的评价结果并向提出部门返回该信息。
2.2业务管理系统、财务管理系统,包括位于机房的服务器和位于使用区域的终端设备。
2.3办公用计算机设备,包括所有办公室、会议室内的计算机、打印机,域控制服务器,DNS服务器、Email服务器等。
2.4网络设备,包括交换机、路由器、防火墙等。
2.5其它办公设备,包括电话设备、复印机、传真机等。
3
3.1办公室主要负责全公司与IT相关各类信息处理设施及其服务的引进。包括制作技术规格书、进行技术选型、安装和验收等。办公室负责全公司研发软件系统、业务管理系统、财务管理系统日常管理与维护。
东莞市有限公司
信息处理设备管理程序
文件编号:ISMS-COP16
状态:受控
编写:信息安全管理委员会
2018年05月10日
审核:
2018年05月10日
批准:陈世胜
2018年05月12日
发布版次:A/0版
2018年05月12日
生效日期:
2018年05月18日
分发:各部门
接受部门:各部门
变更记录
变更日期
版本
4.5
a)开箱检查
设备到货后,办公室及使用部门负责开箱检查,依照购买规格书和装箱单核对数量及物品,确认有无损坏并记录。
b)安装、调试
引进的设施到位后,根据合同要求,由相关人员进行安装、调试。在实施调试过程中出现的问题,要如实记录在《调试时故障履历》中。必要时可通知相关部门共同进行。
ISMS-COP15恶意软件控制程序
![ISMS-COP15恶意软件控制程序](https://img.taocdn.com/s3/m/cc5099ad69dc5022aaea00c2.png)
保护不受恶意软件攻击的基础是安全意识,适当的系统权限。所有IT用户应养成良好的防范恶意软件意识并遵守以下规定:
a)按照本程序规定的要求使用防病毒软件;
b)禁止使用来历不明的软件;
c)禁止微机在未安装有效防病毒软件的情况下从互联网上下载软件;
d)删除来历不明的电子邮件;
e)使用软盘前应进行病毒检查。
4.1.3办公室负责设置防病毒服务器,每日自动进行病毒库的更新升级。办公室负责各类系统的补丁升级。
4.1.4各部门联网微机接受本公司防病毒服务器的管理,在每次开机时自动从防病毒服务器上下载最新病毒库。
4.1.5特殊情况,如某种新恶性病毒大规模爆发,办公室系统管理员应立即升级病毒库,并紧急通知全公司各部门立即进行病毒库更新升级,同时立即进行病毒扫描,并对病毒情况汇报办公室负责人。
4.1.8各部门在使用电子邮件或下载软件时应启动病毒实时监测系统的实时防护,以便对电子邮件进行病毒检查。
4.1.9办公室需加强对特洛伊木马的探测与防治。通过以下措施予以控制:
a)安装反病毒软件;
b)使用正版软件;
c)对软件更改进行控制;
d)对软件开发过程进行控制;
e)其他必要措施。
4.2办公室组织各部门进行有关防病毒及其他后门程序等恶意软件预防工作的培训,使各部门明确病毒及其他恶意软件的管理程序及责任,具体执行相关的《教育培训规程》。
编写
审核
批准
A/0
初始版本
恶意软件控制程序
1
适用于本公司各部门对恶意软件(包括软件的隐蔽通道)的控制管理工作。
2
为防止各类恶意软件(包括软件的隐蔽通道)造成破坏,确保公司的软件和信息的保密性、完整性与可用性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
第三方人员一般不允许成为特权用户。
必要时,第三方人员需与访问接待部门签订《第三方保密协议》。(见《外包方控制办法》)
4.2.1.2《用户授权申请表》应对以下内容予以明确:
a)权限申请人员
b)访问权限的级别和范围
c)申请理由
d)有效期
4.2.2权限变更
东莞市有限公司
用户访问控制程序
文件编号:ISMS-COP12
状态:受控
编写:信息安全管理委员会
2018年05月10日
审核:
2018年05月10日
批准:陈世胜
2018年05月12日
发布版次:A/0版
2018年05月12日
生效日期:
2018年05月18日
分发:各部门
接受部门:各部门
变更记录
变更日期
版本
变更说明
4.3.2.4一般用户口令至少一年变更一次,特权用户口令每半年变更一次;对于用户口令的变更会影响应用程序运行的情况,该用户的口令可以在适当的时机予以变更。
4.3.2.5在第一次登录时,需要更换临时口令。
4.3.2.6口令应妥善保存,不要共享个人用户口令。
4.4
需要保留系统访问的记录,包括系统日志和访问日志等。
4.2.4连接的控制
4.2.4.1本公司不存在无线网络、专线和回拨调制解调器等与外部网络的连接。本公司目前暂不使用VPN、远程登录工作、WEB服务器、邮件服务器。
4.2.4.2本公司网络管理员为了限制网络连接的不同身份与权限,通过设置网关来加以控制。
4.2.5会话与联机时间的控制
4.2.5.1各系统管理员在其管理的服务器处于不活动时,应利用锁屏(LOCK SCREEN)清除屏幕,以防止非授权的访问,但不关闭应用或网络话路。终端用户应在暂停操作控制时,及时启用带有口令保护的自动屏保功能。
3.3办公室负责向各部门通知人事变动情况。
4
4.1
4.1.1公司内部可公开的信息不作特别限定,允许所有用户访问。
4.1.2公司内部部分不公开信息,经访问授权管理部门认可,访问授权实施部门实施后用户方可访问。
4.1.3本公司限制使用无线网络,对连接到互联网和局域网的设备采用粘贴标签的方法清晰的标明设备的连接属性(根据敏感程度,可查表获得权限,如IP列表)
5
记录名称
保存部门
保存期限
《用户授权申请表》
各部门
保存至员工离职
4.2.2.3综合办应将人事变动情况及时通知各部门,访问授权实施部门管理员进行权限设置更改。
4.2.2.4特权用户因故暂时不能履行特权职责时,根据需要可以经授权部门经理批准后,将特权临时转交可靠人员;特权用户返回工作岗位时,收回临时特权人员的特权。
4.2.3用户访问权的维护和评审
4.2.3.1对于任何权限的改变(包括权限的创建、变更以及注销),访问授权实施部门应进行记录,填写《用户授权申请表》包括:
4.1.4用户不得访问或尝试访问未经授权的网络、系统、文件和服务。
4.1.5各系统访问授权管理部门应编制《物理逻辑访问权限说明书》,明确规定访问规则。
4.2
4.2.1权限申请
4.2.1.1授权流程
部门申请——授权管理部门审批——访问授权部门实施
所有用户,包括第三方人员均需要履行访问授权手续。
申请部门根据日常管理工作的需要,确定需要访问的系统和访问权限,经过本部门负责人同意后,向访问授权管理部门提交《用户授权申请表》,经访问授权管理部门审核批准后,将《用户授权申请表》交访问授权实施部门实施。
4.2.5.2本公司将连机时间限于正常的办公时间;对数据服务器、备份服务器的连接时间设定为2小时/次。
4.3
4.3.1各系统访问授权实施部门管理员应按以下过程对被授权访问该系统的用户口令予以分配:分配给用户一个安全临时口令,并通过安全渠道传递给用户,并要求用户在第一次登录时更改临时口令;当用户忘记口令时,系统管理员在获得用户的确认后可以为其重新分配口令。
4.3.2口令的选择与使用要求
所有计算机用户在使用口令时应遵循以下原则:
4.3.2.1保守口令的机密性,避免保留口令的字面记录,明文存储或明文网络传递。
4.3.2.2任何时候有迹象表明系统或口令可能受到损害,就要更换口令。
4.3.2.3口令最小长度8位,不要采用姓名、电话号码、生日等别人容易猜测或得到的口令,不要用连续的数字或字母群。
a)权限开放/变更/注销时间;
b)变化后权限内容;
c)开放权限的管理员
4.2.3.2授权管理部门每半年应对访问权限进行检查,发现不恰当的权限设置,应通知访问授权实施部门予以调整。
4.2.3.3特权授权管理部门每季度应对特权用户访问权限进行检查,发现过期的权限设置,应通知访问授权实施部门予以注销。
4.2.3.4授权管理部门应对访问权限的检查结果予以记录。
ቤተ መጻሕፍቲ ባይዱ编写
审核
批准
A/0
初始版本
用户访问控制程序
1
适用于本公司的各种应用系统涉及到的逻辑访问的控制。
2
为对本公司各种应用系统的用户访问权限(包括特权用户及第三方用户)实施有效控制,杜绝非法访问,确保系统和信息的安全,特制定本程序。
3
3.1各系统的访问授权管理部门负责访问权限的分配、审批。
3.2各系统的访问授权实施部门负责访问控制的技术管理以及访问权限控制和实施。
4.2.2.1对发生以下情况对其访问权应从系统中予以注销:
a)内部用户雇佣合同终止时;
b)内部用户因岗位调整不再需要此项访问服务时;
c)第三方访问合同终止时;
d)其它情况必须注销时。
4.2.2.2由于用户变换岗位等原因造成访问权限变更时,用户应重新填写《用户授权申请表》,按照本程序4.2.1的要求履行授权手续。