ISO27001内审员考试试题

信息安全管理体系内审员考试试题

姓名：

工作单位：

单项选 多项选 考试日期：

年 月

日

类别 择题 判断题 简答题 择题 阐述题 案例分析 总得分 得分 阅卷人签字

复核人签字

一、单项选择题（每题 1 分，共 15 分）

从以下每题的几个答案中选择一个你认为最合适的，并将答案代号填入（ ）中。

（ ）1．ISO/IEC 27001 从 的角度，为建立、实施、运行、监视、评审、保

持和改进文件化的 ISMS 规定了要求。 a） 客户安全要求 b） 组织整体业务风险 c） 信息安全法律法规 d） 以上都不对

（ ）2．组织声称符合 ISO/IEC 27001 时， 的要求可删减。

a） 第 4 章 b） 第 5 章 c） 第 7 章 d） 附录 A

（ ）3．审核准则是指

a） 一组方针、程序或要求 b） 一组能够证实的记录、事实陈述或其他信息 c） 一组约束审核行为的规范 d） 以上都不对

（ ）4．审核计划

a） 应由受审核方确认，可适当调整 b） 一经确定，不能改动 c） 受审核方可随意改动 d） 以上都不对

（ ）5．以下哪一种描述不适合信息安全管理体系？

a） 是指国家对各重要信息系统实施信息安全管理的行政管理结构

1

b） 是整个管理体系的一部分，它是基于业务风险方法，来建立、实施、运行、

监视、评审、保持和改进信息安全的 c） 建立信息安全方针和目标，并实现这些目标的相互关联或相互作用的一组要

素

d） 包括信息安全管理机构、体系文件及相关资源等要素 （

）6．信息安全管理体系要求 ISO/IEC27001 属于 标准？

a） 词汇类标准 b） 指南类标准 c） 要求类标准 d） 相关类标准 （

）7．现场跟踪验证

a） 只适用于一般不符合项 b） 只适用于严重不符合项 c） 只适用于短期内无法完成且又制订了纠正措施计划的一般不符合项 d） 以上都不对 （

）8． 负责审核计划、协调审核活动并在审核活动中领导审核活动？

a） 审核小组成员 b） 信息安全经理 c） 审核小组组长 d） 以上都不是

（

）9．下面哪一个不是信息安全管理体系审核的依据？

a） ISO/IEC27001 b） ISMS 文件 c） 信息安全专家建议 d） 相关法律法规

（ ）10．审核类型将由审核员和被审核组织的关系来确定，因此内部审核又称为

a） 第一方审核 b） 第二方审核 c） 第三方审核 d） 以上都不对

（

）11．组织通过信息安全管理体系认证则

a） 表明组织已不存在不符合项 b） 表明体系具备保护组织信息资产的能力 c） 表明组织已达到了其信息安全目标 d） 以上都不对 （

）12．对于 ISMS 审核组而言，以下哪一种要求不是必须的？

a） 信息安全的理解

b） 从业务角度对风险评估和风险管理的理解

2

c） 被审核活动的技术知识

d） 以上都不对

（ ）13．信息安全管理体系认证

a） 应审核 ISMS 范围内的所有部门和所有人员 b） 指导受审核方改进的过程 c） 寻找不符合项的过程 d） 可为受审核方提供控制措施的实施建议

（ ）14．下列哪个要素可以不作为 ISMS 审核时间判断的依据？

a） ISMS 的复杂度 b） 高层管理者对信息安全问题的重视程度 c） ISMS 范围内执行的业务的类型 d） 适用于认证的标准和法规

（ ）15．在认证过程中，“根据审核报告，确定纠正措施”是

的职责。a） 审核组长 b） 审核组 c） 受审核方 d） 以上都不对

二、多项选择题（每题 2 分，共 10 分）

从以下每题的答案中选择一个或多个你认为合适的，并将答案代号填入（ ）中。（ ）1．ISMS 第 1 阶段审核的目的是 a） 获取对组织信息安全管理体系的了解和认识 b） 了解客户组织的审核准备状态 c） 为计划 2 阶段审核提供重点 d） 确认组织的信息安全管理体系符合标准或规范性文件的所有要求

（ ）2． 按照审核的先后顺序划分，审核包括

a） 第一阶段审核 b） 第二阶段审核 c） 监督审核 d） 再认证审核

（ ）3．审核方案和审核计划的区别包括

a） 范围不同 b） 制定者不同 c） 实施者不同 d） 内容不同

（ ）4．以下 属于审核组长的职责。

a） 确定审核的需要和目的 b） 组织编制现场审核有关的工作文件

3

c） 主持首末次会议和审核组会议 d） 代表审核方与受审核方领导进行沟通

（ ）5．审核计划中应涵盖

a） 本次及其后续审核的时间安排 b） 审核准则 c） 审核组成员及分工 d） 审核的日程安排

三、判断题（每题 1 分，共 10 分）

下列各题中，你认为正确的在（ ）中划“√”，错误的划“×”。

（

（ （ （ （ （ （ （ （ （

）1．纠正是指为消除已发现的不符合或其他不期望情况的原因所采取的措施。

）2．因信息安全问题在任何组织中都可能存在，所以组织在实施 ISMS 时，不能删

减标准中任何安全控制措施的条款。 ）3．信息安全管理体系的范围必须包括组织的所有场所和业务，这样才能保证安全。 ）4．记录可提供符合信息安全管理体系要求和有效运行的证据。 ）5．资产越重要，其安全风险值就越大。

）6．信息安全管理体系审核组内必须有一名技术专家，提供信息安全的专门知识。 ）7．审核证据是指与审核有关的，并且能够证实的记录、事实陈述或其他信息。 ）8．审核报告的内容必须与末次会议的内容基本一致。

）9．现场审核过程中，受审核方为审核组配备的向导可参与审核的全过程，但不能

对受审核人员的回答做出澄清或提供帮助。 ）10．审核组长在末次会议中应该对受审核方是否通过认证给出结论。 四、简答

题（每题 5 分，共 15 分） 1．管理者在信息安全管理体系的建立和实施过程中起到

关键的作用，请指出 ISO27001：

2005 中哪些条款体现了“管理者的作用”，至少举出 2 个条款并简要说明。

2．什么是审核？按审核委托方划分，审核可分为哪几种类型，各自的目的是什么？

4

3．什么是纠正措施？什么是预防措施？举例说明纠正措施与预防措施的区别。

五、阐述题（每题 10 分，共 20 分）

1．如何依据 ISO/IEC 27001:2005 审核 A.8.3，组织应确保雇员、承包方人员和第三方人员 以一个规范的方式退出一个组织或改变其任用关系。

2．在某公司人事部，审核员向人力资源部负责人了解培训情况时得知，公司负责网络安全

5

的管理人员的培训是请专门的网络安全培训机构进行的。审核员想看看这些人员的培训成 绩及证书，该负责人说，证书他们自己保存，我们替他们保存反而不方便。培训成绩在培 训机构，你们要看的话，我打电话联系，让他们发过来。审核员同意，并查阅了发过来的 成绩，由于成绩合格，审核员表示满意，并结束了培训的审核。这样的审核是否符合要求？ 为什么？如果请您去审核，您会怎么做？

六、案例分析题（每题 6 分，共 30 分）

请根据所述情况判断：如能判断有不符合项，请写出不符合 ISO27001：2005 标准的条 款号、内容和严重程度，并写出不符合事实，如提供的证据不能足以判断有不符合项时， 请写出进一步审核的思路。

判分标准：不符合和内容 2 分，不符合事实描述 2 分，不符合的严重程度 2 分。

1．审核员在某公司机房查阅 Web 服务器日志时发现，该服务器经常重启，管理人员说， 这台服务器在刚买回来时，还没有问题，但最近几天经常死机，我们跟服务器提供商联系， 但一直找不到对此负责的人。

2．某公司的体系文件中包含《信息安全事件管理程序》，审核员在询问某员工在信息安全

6

事件管理中的职责时，该员工说：“我们没有发生过信息安全事件，所以也没有人让我们去 看这个程序，更不知道有什么职责了。”

3．审核员在某公司的体系文件中看到了对技术脆弱性的控制要求，询问信息安全管理部长 该控制措施的实施情况时，部长回答，我们已经制定了实施策略，但由于资金一直没有到 位，所以还没有购买系统审计软件。

4．某公司在内部审核时，针对不同部门，组成审核组。在对技术开发部进行审核时，由信

7

息安全部经理任审核组长，技术开发部副经理和运营部副经理任组员，因为他们两个对技 术部的工作流程、业务和人员等最为了解。

5．创新公司的网络接入服务由互联网专业提供商提供，为了防止网络安全问题，他们签订 了服务提供协议，规定了必要的安全安排、服务水准等事宜。互联网专业提供商为提高服 务级别，采用了新的技术，并通知了创新公司，创新公司认为既然是新技术，肯定比原来 的要好，没有采取任何行动。但由于互联网专业提供商的技术兼容问题，出现了网络中断， 导致了创新公司的业务中断。

8

本文来源：https://www.bwwdw.com/article/w1l7.html