信息安全管理体系认证人员考试试卷
姓名: 分数: 一、填空题(每题4分,共计40分)
1、采用信息安全管理体系是组织的一项 性决策。
2、信息安全管理体系通过应用风险管理过程来保持信息的 性、 性和
性,以充分管理风险并给予相关方信心。
3、信息安全在 、 、 时就要考虑信息安全。 4、组织声称符合信息安全管理体系标准时,对于第4章到第10章的要求 删
减。
5、信息安全管理体系初次审核的第一阶段现场审核不宜少于 个审核人日。 6、当客户由于信息安全的原因在申请评审阶段不能提供给认证机构足够的信息
时,认证机构应通过 审核在客户的现场补充对上述信息的确认,并完成申请评审任务。这种情况下,认证机构应 第一阶段现场审核时间。 7、认证机构应确保客户符合工信部联协[2010]394号文 的要求,以及有关主管部门/监管部门对信息
安全管理体系认证的管理要求(如工信部2011年第21号公告《工业和信息化部加强部门信息技术外包服务安全管理》等)。
8、如果认证机构因为未获得客户的允许或无法满足适用的要求而不能接触相关
信息资产,那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施(例如终 等)。
9、审核组成员不宜在审核过程中以任何方式记录受审核客户
的 。审核组在离开受审核客户前,宜请受审核客户检查和确认审核组携带的文件、资料和设备中未夹带受审核客户的任何保密或敏感信息。 10、为了确保能够实施有效的审核并确保可靠和可比较的结果,对表B.1中审核
时间的减少,不应超过 。 二、简答题(每题10分,共计60分)
1、实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员需要具备哪些知识?
2、合同评审信息安全管理体系认证申请的主要内容有哪些?
3、申请信息安全管理体系申请者应提交哪些材料?
4、参与ISMS审核的审核员,应具有哪些业务管理实践的知识?
5、简述信息安全管理体系审核员的评价准则
6、简述适宜的信息安全管理专业工作经历有哪些?
信息安全管理体系认证人员考试试卷
姓名: 分数: 一、填空题(每题4分,共计40分)
1、采用信息安全管理体系是组织的一项战略性决策。
2、信息安全管理体系通过应用风险管理过程来保持信息的保密性、完整性和可
用性,以充分管理风险并给予相关方信心。
3、信息安全在设计过程、信息系统、控制措施时就要考虑信息安全。 4、组织声称符合信息安全管理体系标准时,对于第4章到第10章的要求不能删
减。
5、信息安全管理体系初次审核的第一阶段现场审核不宜少于1个审核人日。 6、当客户由于信息安全的原因在申请评审阶段不能提供给认证机构足够的信息
时,认证机构应通过第一阶段审核在客户的现场补充对上述信息的确认,并完成申请评审任务。这种情况下,认证机构应增加第一阶段现场审核时间。 7、认证机构应确保客户符合工信部联协[2010]394号文《关于加强信息安全管理
体系认证安全管理的通知》的要求,以及有关主管部门/监管部门对信息安全管理体系认证的管理要求(如工信部2011年第21号公告《工业和信息化部加强部门信息技术外包服务安全管理》等)。
8、如果认证机构因为未获得客户的允许或无法满足适用的要求而不能接触相关
信息资产,那么认证机构应对审核和认证所受到的影响进行评估并采取相应的措施(例如终止审核、缩小审核和认证的范围等)。 9、审核组成员不宜在审核过程中以任何方式记录受审核客户的保密或敏感信息。
审核组在离开受审核客户前,宜请受审核客户检查和确认审核组携带的文件、资料和设备中未夹带受审核客户的任何保密或敏感信息。 10、为了确保能够实施有效的审核并确保可靠和可比较的结果,对表B.1中审核
时间的减少,不应超过30%。
二、简答题(每题10分)
1、实施申请评审以确定所需的审核组能力、选择审核组成员并确定审核时间的人员需要具备哪些知识?
a. 认证过程中所用的相关ISMS标准和其他规范性文件。 b. 与客户业务领域相关的通用术语、过程、技术和风险。
c. 客户的产品、过程、组织类型、规模、治理、结构、职能和关系,包括外包的职能。
2、合同评审信息安全管理体系认证申请的主要内容有哪些?
a) 识别申请组织的行业类别和与之相应的信息安全管理的特性和服务要求; b) 掌握国家对相应行业的信息安全管理体系认证的管理要求; c) 申请组织及其管理体系的信息充分,可以进行审核;
d) 认证要求已有明确说明并形成文件,且已提供给申请组织; e) 解决了认证机构与申请组织之间任何已知的理解差异; f) 认证机构有能力并能够实施认证活动;
g) 考虑了申请的认证范围、申请组织的运作场所、完成审核需要的时间和任何其他影响认证活动的因素;
h) 保持了决定实施审核的理由的记录。
3、申请信息安全管理体系申请者应提交哪些材料? a) 认证申请书
b) 法人资格证明(工商营业执照、事业单位法人证书或社会团体法人登记证书); c) 取得相关法规规定的行政许可文件(适用时);
d) 从事的业务活动符合中华人民共和国相关法律、法规、信息安全标准和有关规范的要求;
e) 对信息安全管理体系认证范围涉及的业务活动的描述; f) 体系覆盖的人员数量。 g) 信息收集表,至少包含组织的资源管理、组织的过程管理、组织的风险管理。 h) 已按认证依据和相关要求建立和实施了文件化的信息安全管理体系; i) 体系有效运行3个月以上,并且已完成内部审核和管理评审。
4、参与ISMS审核的审核员,应具有哪些业务管理实践的知识? a) 行业的信息安全最佳实践和信息安全规程; b) 信息安全的策略和业务要求;
c) 通用业务管理的概念、实践,以及方针、目标和结果之间的关系; d) 管理过程和相关的术语。 注:这些过程也包括人力资源管理、内部沟通、外部沟通和其他的相关支持过程。
5、简述信息安全管理体系审核员的评价准则 a)具备等同于大学教育水平的专业教育或培训;
b)在信息技术方面具备至少4年的全职实际工作经历,其中至少2年的工作经历来自与信息安全有关的职责或职能;
c)成功地完成至少5天的培训,培训范围包括ISMS审核和审核管理;
d)在被赋予审核员责任之前,已获得整个信息安全评估过程的经验。宜通过参与最少4次、总天数至少20天(其中最多5天可来自于监督审核)的ISMS认证审核(包括再认证审核和监督审核)来获得这种经验。参与审核时,应包括评审文件与风险评估,评估实施情况和报告审核情况; e)具备相关的且合乎时宜的经验;
f)通过持续的专业发展,更新现有的、信息安全和审核方面的知识与技能。
6、简述适宜的信息安全管理专业工作经历有哪些? a) 信息安全管理工作经历;
b) 信息安全技术研究与开发及服务工作经历; c) 信息安全相关测评认证工作经历; d) 信息安全教学工作经历;
e) 信息安全管理相关标准制修订工作经历。