ISMS信息安全注册审核员案例分析题
1、阐述GB/T 22080-2008标准中条款A10.6.2的审核思路?
:
检查合同文档,包括服务提供商提供的SLA,以确定是否满足组织业务、法律法规和安全需求;(2分)
如果是内部提供服务,检查网络服务
文档中网络服务的系统配置;(2分)
如果是内部服务,检查网络服务设计文档中的网络服务系统日志文件。(1分)
2、什么是信息安全事态?什么是信息安全事件?举例说明信息安全事态与信息安全事件的
关系。
答案:写出信息安全事态的定义;
写出信息安全事件的定义;
至少举一个案例描述两者之间的关系。
案例分析题(每题6分,共30分。)
请对以下场景进行分析,正确判断并写出不符合标准条款的编号及内容,写出不符合事实。
1.审核员查阅web服务器时,发现有许多次重启记录。管理员说:刚买来时,没什么问题,
不知最近什么原因总是死机,跟供应商联系,一直找不到负责人。
1)不符合标准条款:(A10.2.1) (2分)
2)不符合标准内容:应确保第三方实施、运行和保持包含在第三方服务交付协议中的安
全控制措施、服务定义和交付水准。(2分)
3)不符合标准事实:web服务器有许多次重启记录,原因总是死机。跟供应商联系,一
直找不到负责人。(2分)
2. 审核员现场查公司的主域服务器的时间为10:25分,北京时间是10:23分。
1)不符合标准条款:(A10.10.6)(2分)
2)不符合标准内容:一个组织或安全域内的所有相关信息处理设施的时钟应使用已设的
精确时间进行同步。(2分)
3)不符合标准事实:公司的主域服务器的时间为10:25分,北京时间是10:23分。(2分)
3. 计算机运行出现故障,原因栏记录有:计算机中病毒。管理员说:已建立了防病毒软件
管理规定及升级措施,可是措施效果不佳。
1)不符合标准条款:(8.2)(2分)
2)不符合标准内容:组织应采取措施,以消除与ISMS
不符合的原因,以防止再发生。(2分)
3)不符合标准事实:计算机中病毒。已建立了防病毒软件管理规定及升级措施,可是措施效果不佳。(2分)
4. 审核员现场查人事企管部(网络管理)使用ERP系统,但未见“ERP”系统数据备份。企业回答说我们数据量不大,又有专人管理,就不用备份了。
1)不符合标准条款:(A10.5.1)(2分)
2)不符合标准内容:应按照已设的备份策略,定期备份和测试信息和软件。(2分)
3)不符合标准事实:人事企管部(网络管理)使用ERP系统,但未见“ERP”系统数据备份。(2分)
5. 审核员问管理员:对内部和外部网络服务的访问如何控制?管理员说:有授权规程确定
允许哪个人访问哪些网络和网络服务。审核员在查阅日志信息时,发现某业务员登录查看了人事档案信息,就问管理员:该业务员是否获得授权?管理员解释:那天刚好是周末,与人事经理联系不上,因事情紧急,我就开通了网络。不过第二天,业务员找人事经理补办了授权手续。
1)不符合标准条款:(A11.4.1)(2分)
2)不符合标准内容:用户应仅能访问已获专门授权使用的服务。(2分)
3)不符合标准事实:某业务员未经授权登录查看了人事档案信息。(2分)