ISMS信息安全注册审核员案例分析题

ISMS信息安全注册审核员案例分析题 1、阐述GB/T 22080-2008标准中条款A10.6.2的审核思路? : 检查合同文档,包括服务提供商提供的SLA,以确定是否满足组织业务、法律法规和安全需求;(2分) 如果是内部提供服务,检查网络服务文档中网络服务的系统配置;(2分) 如果是内部服务,检查网络服务设计文档中的网络服务系统日志文件。(1分) 2、什么是信息安全事态?什么是信息安全事件?举例说明信息安全事态与信息安全事件的 关系。 答案:写出信息安全事态的定义; 写出信息安全事件的定义; 至少举一个案例描述两者之间的关系。 案例分析题(每题6分,共30分。) 请对以下场景进行分析,正确判断并写出不符合标准条款的编号及内容,写出不符合事实。 1.审核员查阅web服务器时,发现有许多次重启记录。管理员说:刚买来时,没什么问题, 不知最近什么原因总是死机,跟供应商联系,一直找不到负责人。 1)不符合标准条款:(A10.2.1) (2分) 2)不符合标准内容:应确保第三方实施、运行和保持包含在第三方服务交付协议中的安 全控制措施、服务定义和交付水准。(2分) 3)不符合标准事实:web服务器有许多次重启记录,原因总是死机。跟供应商联系,一 直找不到负责人。(2分) 2. 审核员现场查公司的主域服务器的时间为10:25分,北京时间是10:23分。 1)不符合标准条款:(A10.10.6)(2分) 2)不符合标准内容:一个组织或安全域内的所有相关信息处理设施的时钟应使用已设的 精确时间进行同步。(2分) 3)不符合标准事实:公司的主域服务器的时间为10:25分,北京时间是10:23分。(2分) 3. 计算机运行出现故障,原因栏记录有:计算机中病毒。管理员说:已建立了防病毒软件 管理规定及升级措施,可是措施效果不佳。 1)不符合标准条款:(8.2)(2分) 2)不符合标准内容:组织应采取措施,以消除与ISMS不符合的原因,以防止再发生。(2分) 3)不符合标准事实:计算机中病毒。已建立了防病毒软件管理规定及升级措施,可是措施效果不佳。(2分) 4. 审核员现场查人事企管部(网络管理)使用ERP系统,但未见“ERP”系统数据备份。企业回答说我们数据量不大,又有专人管理,就不用备份了。 1)不符合标准条款:(A10.5.1)(2分) 2)不符合标准内容:应按照已设的备份策略,定期备份和测试信息和软件。(2分) 3)不符合标准事实:人事企管部(网络管理)使用ERP系统,但未见“ERP”系统数据备份。(2分) 5. 审核员问管理员:对内部和外部网络服务的访问如何控制?管理员说:有授权规程确定 允许哪个人访问哪些网络和网络服务。审核员在查阅日志信息时,发现某业务员登录查看了人事档案信息,就问管理员:该业务员是否获得授权?管理员解释:那天刚好是周末,与人事经理联系不上,因事情紧急,我就开通了网络。不过第二天,业务员找人事经理补办了授权手续。 1)不符合标准条款:(A11.4.1)(2分) 2)不符合标准内容:用户应仅能访问已获专门授权使用的服务。(2分) 3)不符合标准事实:某业务员未经授权登录查看了人事档案信息。(2分)