ISO27001内审员考试

一、单项选择题（每题1 分，共15 分）

从以下每题的几个答案中选择一个你认为最合适的，并将答案代号填入（）中。

（）1．ISO/IEC 27001 从的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS 规定了要求。

a）客户安全要求

b）组织整体业务风险

c）信息安全法律法规

d）以上都不对

（）2．组织声称符合ISO/IEC 27001 时，的要求可删减。

a）第4 章

b）第5 章

c）第7 章

d）附录A

（）3．审核准则是指

a）一组方针、程序或要求

b）一组能够证实的记录、事实陈述或其他信息

c）一组约束审核行为的规范

d）以上都不对

（）4．审核计划

a）应由受审核方确认，可适当调整

b）一经确定，不能改动

c）受审核方可随意改动

d）以上都不对

（）5．以下哪一种描述不适合信息安全管理体系？

a）是指国家对各重要信息系统实施信息安全管理的行政管理结构

b）是整个管理体系的一部分，它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的

c）建立信息安全方针和目标，并实现这些目标的相互关联或相互作用的一组要素

d）包括信息安全管理机构、体系文件及相关资源等要素

（）6．信息安全管理体系要求ISO/IEC27001 属于标准？

a）词汇类标准

b）指南类标准

c）要求类标准

d）相关类标准

（）7．现场跟踪验证

a）只适用于一般不符合项

b）只适用于严重不符合项

c）只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项

d）以上都不对

（）8．负责审核计划、协调审核活动并在审核活动中领导审核活动？

a）审核小组成员

b）信息安全经理

c）审核小组组长

d）以上都不是

（）9．下面哪一个不是信息安全管理体系审核的依据？

a）ISO/IEC27001

b）ISMS 文件

c）信息安全专家建议

d）相关法律法规

（）10．审核类型将由审核员和被审核组织的关系来确定，因此内部审核又称为a）第一方审核

b）第二方审核

c）第三方审核

d）以上都不对

（）11．组织通过信息安全管理体系认证则

a）表明组织已不存在不符合项

b）表明体系具备保护组织信息资产的能力

c）表明组织已达到了其信息安全目标

d）以上都不对

（）12．对于ISMS 审核组而言，以下哪一种要求不是必须的？

a）信息安全的理解

b）从业务角度对风险评估和风险管理的理解

c）被审核活动的技术知识

d）以上都不对

（）13．信息安全管理体系认证

a）应审核ISMS 范围内的所有部门和所有人员

b）指导受审核方改进的过程

c）寻找不符合项的过程

d）可为受审核方提供控制措施的实施建议

（）14．下列哪个要素可以不作为ISMS 审核时间判断的依据？

a）ISMS 的复杂度

b）高层管理者对信息安全问题的重视程度

c）ISMS 范围内执行的业务的类型

d）适用于认证的标准和法规

（）15．在认证过程中，“根据审核报告，确定纠正措施”是的职责。

a）审核组长

b）审核组c）

受审核方

d）以上都不对

二、多项选择题（每题2 分，共10 分）

从以下每题的答案中选择一个或多个你认为合适的，并将答案代号填入（）中。

（）1．ISMS 第1 阶段审核的目的是

a）获取对组织信息安全管理体系的了解和认识

b）了解客户组织的审核准备状态

c）为计划2 阶段审核提供重点

d）确认组织的信息安全管理体系符合标准或规范性文件的所有要求

（）2．按照审核的先后顺序划分，审核包括

a）第一阶段审核

b）第二阶段审核

c）监督审核

d）再认证审核

（）3．审核方案和审核计划的区别包括

a）范围不同

b）制定者不同

c）实施者不同

d）内容不同

（）4．以下属于审核组长的职责。

a）确定审核的需要和目的

b）组织编制现场审核有关的工作文件

c）主持首末次会议和审核组会议

d）代表审核方与受审核方领导进行沟通

（）5．审核计划中应涵盖

a）本次及其后续审核的时间安排

b）审核准则

c）审核组成员及分工

d）审核的日程安排

三、判断题（每题1 分，共10 分）

下列各题中，你认为正确的在（）中划“√”，错误的划“×”。

（）1．纠正是指为消除已发现的不符合或其他不期望情况的原因所采取的措施。

（）2．因信息安全问题在任何组织中都可能存在，所以组织在实施ISMS 时，不能删减标准中任何安全控制措施的条款。

（）3．信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。（）4．记录可提供符合信息安全管理体系要求和有效运行的证据。

（）5．资产越重要，其安全风险值就越大。

（）6．信息安全管理体系审核组内必须有一名技术专家，提供信息安全的专门知识。（）7．审核证据是指与审核有关的，并且能够证实的记录、事实陈述或其他信息。（）8．审核报告的内容必须与末次会议的内容基本一致。

（）9．现场审核过程中，受审核方为审核组配备的向导可参与审核的全过程，但不能对受审核人员的回答做出澄清或提供帮助。

（）10．审核组长在末次会议中应该对受审核方是否通过认证给出结论。四、简答题（每题5 分，共15 分）1．管理者在信息安全管理体系的建立和实施过程中起到

关键的作用，请指出ISO27001：

2005 中哪些条款体现了“管理者的作用”，至少举出2 个条款并简要说明。

2．什么是审核？按审核委托方划分，审核可分为哪几种类型，各自的目的是什么？

3．什么是纠正措施？什么是预防措施？举例说明纠正措施与预防措施的区别。

五、阐述题（每题10 分，共20 分）

1．如何依据ISO/IEC 27001:2005 审核A.8.3，组织应确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。

2．在某公司人事部，审核员向人力资源部负责人了解培训情况时得知，公司负责网络安全

的管理人员的培训是请专门的网络安全培训机构进行的。审核员想看看这些人员的培训成

绩及证书，该负责人说，证书他们自己保存，我们替他们保存反而不方便。培训成绩在培

训机构，你们要看的话，我打电话联系，让他们发过来。审核员同意，并查阅了发过来的

成绩，由于成绩合格，审核员表示满意，并结束了培训的审核。这样的审核是否符合要求？

为什么？如果请您去审核，您会怎么做？

六、案例分析题（每题6 分，共30 分）

请根据所述情况判断：如能判断有不符合项，请写出不符合ISO27001：2005 标准的条

款号、内容和严重程度，并写出不符合事实，如提供的证据不能足以判断有不符合项时，

请写出进一步审核的思路。

判分标准：不符合和内容2 分，不符合事实描述2 分，不符合的严重程度2 分。

1．审核员在某公司机房查阅Web 服务器日志时发现，该服务器经常重启，管理人员说，这台服务器在刚买回来时，还没有问题，但最近几天经常死机，我们跟服务器提供商联系，但一直找不到对此负责的人。

2．某公司的体系文件中包含《信息安全事件管理程序》，审核员在询问某员工在信息安全

事件管理中的职责时，该员工说：“我们没有发生过信息安全事件，所以也没有人让我们去看这个程序，更不知道有什么职责了。”

3．审核员在某公司的体系文件中看到了对技术脆弱性的控制要求，询问信息安全管理部长该控制措施的实施情况时，部长回答，我们已经制定了实施策略，但由于资金一直没有到位，所以还没有购买系统审计软件。

4．某公司在内部审核时，针对不同部门，组成审核组。在对技术开发部进行审核时，由信

息安全部经理任审核组长，技术开发部副经理和运营部副经理任组员，因为他们两个对技

术部的工作流程、业务和人员等最为了解。

5．创新公司的网络接入服务由互联网专业提供商提供，为了防止网络安全问题，他们签订了服务提供协议，规定了必要的安全安排、服务水准等事宜。互联网专业提供商为提高服务级别，采用了新的技术，并通知了创新公司，创新公司认为既然是新技术，肯定比原来的要好，没有采取任何行动。但由于互联网专业提供商的技术兼容问题，出现了网络中断，导致了创

新公司的业务中断。