内审员考试试题
名字: 分数:
一、单项选择题(每题3分)
1. 体系的过程文件未能满足标准的要求,属于下列哪种类型的不符合:
a) 管理不符合
b) 体系不符合
c) 实施不符合
d) 效果不符合
2. 获取客观证据的方式有:
a) 面谈
b) 观察
c) 审查文件
d) 以上都是
3. 下列描述中哪个不是成功实施ISMS 关键成功因素:
a) 管理层的支持与承诺
b) 安全政策反映企业商业目标
c) 遵守个人数据保护法
d) 提供适当的培训与教育
4. 组织任命一名管理者代表,其主要职责是
a) 就信息安全管理体系事宜与外部联系
b) 代表最高管理者解决信息安全管理体系建立和运行中的一切问题
c) 确保信息安全管理体系和过程得到建立、实施和保持
d) 确保提高组织员工满足客户服务的意识
5. 哪个不是管理评审的输入;
a) 审核和评审的结果
b) 相关方的反馈信息
c) 纠正和预防措施的实施情况
d) 资源需求
二、问答题(每题5分)
1. 管理者应通过领导并采取措施开发、实施并改进信息安全管理体系,结合ISO27001标准,请说明管理者通过什么途径实现其管理职责。
2. 作为审核员,当你对进行审核时,应查找哪些客观证据?
三、阐述题(每题10分)
1. 信息安全管理体系运行一段时间之后,《人力资源管理程序》已不适合现有情况,公司对其进行了
修改和发布。在审核时,针对此情况,请描述审核思路。
2. 请阐述附录A13的审核思路。
3. 当你审核某公司改进过程(标准第八章),请描述你的审核思路。
四、案例研究(请根据案例描述,判断是否存在不符合,如果存在,请编写不合格报告,如果存在多个不
符合,请分别编写;如果判断不存在不符合,请陈述理由)(每题15分)
1. 2008年2月1日,审核员到某公司进行ISMS 评审,发现公司总经理带领重要客户来公司参观,
进入重要区域时,并未按照公司重要区域管理规定进行登记。
2. 审核员在现场审核时观察发现财务部张三丰、李乐乐等人的电脑并没有加入域,而公司是有这方
面的要求的,系统管理员说个问题他们是知道的,因为财务部信息安全的需要,不能加入域。
3. 审核员从网络管理员那里了解到,防火墙在每个星期五早上都会定期失效,但查阅信息安全事件
记录中却没有发现这些信息安全事件的记录,网络管理员解释说他早就知道这个问题了,所以没有必要再记录了。
内审员考试试题
名字: 分数:
一、单项选择题(每题3分)
1. 体系的过程文件未能满足标准的要求,属于下列哪种类型的不符合:
a) 管理不符合
b) 体系不符合
c) 实施不符合
d) 效果不符合
2. 获取客观证据的方式有:
a) 面谈
b) 观察
c) 审查文件
d) 以上都是
3. 下列描述中哪个不是成功实施ISMS 关键成功因素:
a) 管理层的支持与承诺
b) 安全政策反映企业商业目标
c) 遵守个人数据保护法
d) 提供适当的培训与教育
4. 组织任命一名管理者代表,其主要职责是
a) 就信息安全管理体系事宜与外部联系
b) 代表最高管理者解决信息安全管理体系建立和运行中的一切问题
c) 确保信息安全管理体系和过程得到建立、实施和保持
d) 确保提高组织员工满足客户服务的意识
5. 哪个不是管理评审的输入;
a) 审核和评审的结果
b) 相关方的反馈信息
c) 纠正和预防措施的实施情况
d) 资源需求
二、问答题(每题5分)
1. 管理者应通过领导并采取措施开发、实施并改进信息安全管理体系,结合ISO27001标准,请说明管理者通过什么途径实现其管理职责。
2. 作为审核员,当你对进行审核时,应查找哪些客观证据?
三、阐述题(每题10分)
1. 信息安全管理体系运行一段时间之后,《人力资源管理程序》已不适合现有情况,公司对其进行了
修改和发布。在审核时,针对此情况,请描述审核思路。
2. 请阐述附录A13的审核思路。
3. 当你审核某公司改进过程(标准第八章),请描述你的审核思路。
四、案例研究(请根据案例描述,判断是否存在不符合,如果存在,请编写不合格报告,如果存在多个不
符合,请分别编写;如果判断不存在不符合,请陈述理由)(每题15分)
1. 2008年2月1日,审核员到某公司进行ISMS 评审,发现公司总经理带领重要客户来公司参观,
进入重要区域时,并未按照公司重要区域管理规定进行登记。
2. 审核员在现场审核时观察发现财务部张三丰、李乐乐等人的电脑并没有加入域,而公司是有这方
面的要求的,系统管理员说个问题他们是知道的,因为财务部信息安全的需要,不能加入域。
3. 审核员从网络管理员那里了解到,防火墙在每个星期五早上都会定期失效,但查阅信息安全事件
记录中却没有发现这些信息安全事件的记录,网络管理员解释说他早就知道这个问题了,所以没有必要再记录了。