• 网络账号能否继承?专家:可继承具有价值部分 2019-10-18
  • 【征集】那些曾经红极一时、现在逐渐没落甚至销声匿迹的品牌,你都用过哪些? 2019-10-18
  • 抚州发现“一代布王”李璟禧故居 2019-10-11
  • 陕甘宁边区发行的光华劵:为找零需要,增发6种辅币 2019-10-11
  • 为世界杯顺利开幕,俄罗斯在阿里找到中国女工解决了“大”难题} 2019-10-11
  • 王哲林:经历太多男篮耻辱时刻 亚运全力拼不留遗憾 2019-10-11
  • 紫光阁中共中央国家机关工作委员会 2019-10-08
  • 屈原作为一个浪漫诗人的确才华横溢,值得称道,但是他反对统一就得批评。是吧小作? 2019-10-08
  • 800万尾鱼苗放流天津蓟州于桥水库 2019-10-04
  • 回复@大雨582:建议你学学需求层次理论…… 2019-10-02
  • 《超人总动员2》刷新动画片北美首周末票房纪录 2019-10-02
  • 端午三件套了解一下!这些小知识让你端午更健康 2019-10-02
  • 梦娃--天津频道--人民网 2019-10-01
  • 网约车陷阱多 谨防四类风险 2019-10-01
  • 蠢货!计划不是自下而上制订的。首先是国家战略计划,简称国家计划,其中与经济有关的,叫国民经济计划。5年计划,和一年一次的计划会议制订的计划,都是由国家计委主持制 2019-09-23
  • 模拟练习题
    信息安全管理体系审核员练习题-简述题
    2015-06-08      来源:国家注册审核员网
    【字体: 】              

    生生不息.com一尾中特 www.idfok.tw 简述题

    1、审核员在某公司审核时,发现该公司从保安公司聘用的保安的门卡可通行公司所有的门禁。公司主管信息安全的负责人解释说,因保安负责公司的物理区域安全,他们夜里以及节假日要值班和巡查所有区域,所以只能给保安全权限门卡。审核员对此解释表示认同。如果你是审核员,你将如何做?
    答:应根据标准GB/T 22080-2008条款A.11.1.1审核以下内容:
    (1)是否有形成文件的访问控制策略,并且包含针对公司每一部分物理区域的访问控制策略的内容?
    (2)访问控制策略是否基于业务和访问的安全要素进行过评审?
    (3)核实保安角色是否在访问控制策略中有明确规定?
    (4)核实访问控制策略的制定是否与各物理区域风险评价的结果一致?
    (5)核实发生过的信息安全事件,是否与物理区域非授权进入有关?
    (6)核实如何对保安进行背景调查,是否明确了其安全角色和职责?
     
    2、请阐述对GB/T 22080中A.13.2.2的审核思路。
    答:(1)询问相关责任人,查阅文件3-5份,了解如何规定对信息安全事件进行总结的机制?该机制中是否明确定义了信息安全事件的类型?该机制是否规定了量化和监视信息安全事件类型、数量和代价的方法和要求,并包括成功的和未遂事件?
    (2)查阅监视或记录3-15条,查阅总结报告文件3-5份,了解是否针对信息安全事件进行测量,是否就类型、数量和代价进行了量化的总结,并包括成功的和未遂事件。
    (3)查阅文件和记录以及访问相关责任人,核实根据监视和量化总结的结果采取后续措施有效防止同类事件的再发生。
    手机扫一扫
    加入国家注册审核员考试服务平台

    微信号:ccaaxue
    功能介绍:国家注册审核员 考试通知、培训信息;
    认证机构挂靠、人员注册、考试真题、模拟试题。