的目的包括:( )
(A)避免无意识的变更 (B)以减少潜在的计算机程序的破坏 (C)以防引入非授权功能 (D)维护所有软件更新的版本控制
33、应用系统的设计与实施宜确保导致完整性损坏的处理故障的风险减至最小,要考虑的特定范围包括:()
(A)确认系统生成的输入数据
(B)使用添加、修改和删除功能,以实现数据变更 (C)使用适当的规程恢复故障,以确保数据的正确处理 (D)防范利用缓冲区超出/益处进行的攻击
34、与信息处理或通信系统的问题有关的用户或系统程序所报告的故障进行处置,处置规则包括:()
(A)评审纠正措施,以及所采取措施给予了充分的授权 (B)评审故障日志,以确保故障已得到令人满意的解决
(C)如果具有出错记录的系统功能,宜确保该功能处于开启状态 (D)评审纠正措施,以确保没有损害控制措施
24
练习题三判断题
判断下列各题,正确的写T,错误的写F,填在下表相应位置中。 1、国家指定用途的特种钢的样材应按照“包含有信息的介质”处置。 2、“责任分割”适用于信息系统管理员和操作员的活动。 3、审核组要求受审方在不合格报告上签字是确认该审核发现。 4、认证结论的最终正式发布由审核组长决定。
5、审核员必须到现场跟踪验证受审核方纠正措施的有效性。 6、组织使用的开源软件不须考虑其技术脆弱性。
7、对于安全违规人员的正式纪律处理过程包括违规对业务造成的影响的评价。 8、只有在员工离职时,才需要撤销其访问权。
9、审核组在现场审核期间可保持灵活、变通,根据受审核方实际情况及时变更审核范围。 10、应用系统应在设计时考虑对输入数据、内部处理和输出数据进行确认的措施。 11、审核组的每一次审核,均应向委托方提交审核报告。 12、审核须采用基于证据的方法。
13、审核发现即审核组提出的不符合项报告。
14、监视和评审ISMS是为了统计和评估已造成不良后果的安全违规和事件。 15、受审核组织对于不符合项原因分析的准确性是影响纠正措施有效性的因素之一。 16、信息安全管理即信息系统设施的维护。
17、信息安全管理的持续改进就是信息系统技术的不断升级。 18、信息安全管理体系内部审核就是信息系统审计。
19、风险处置计划应包含计划的目标、职责分配、财务预算及时间表。 20、内审、管
25
理评审是信息
安全管理体系监视和测量的方法。
21、记录作为信息安全管理体系运行的证据,应具有可追溯性。 22、\适用性声明”应描述选择的控制措施,以及选择的理由。
23、文件控制指的是文件编制、评审、批准、发放、修订、作废等过程的控制。 24、ISMS范围内的资产负责人只能是网络管理员。
25、内审的目的是确定ISMS体系是否符合策划的安排并得到有效实施与保持。 26、数字签名可以有效对付的电子信总安全的风险是盗窃。 27、数据加密不能防止数据泄露。
28、TCP/IP协议族包含的面向连接的协议处于传输层。
29、建设网络中的一个设备发生故障,星型局域网更容易面临前全面的瘫痪 30、加密技术可以提高可用性。
26
练习题四案例分析题
请对以下场景进行分析,写出不符合标准条款的编号及内容,并写出不符合事实。 1、审査某知名网站的总部时,审核员来到公司陈列室发现任何客户可以随意进入,并且该陈列室中有5 台演示用的台式电脑可以连接外网和内网,现场有参观人员正在上网查询该公司网站的资料。
2、市核员在审核公司设备和网络操作机房时发现,作为公司资料和数据的中心,中心有程序文件(GX28) 规定必须对进出机房人员进行控制,除授权工作人员可凭磁卡进出外,其余人员进出均须办理准入和登记手续。现场发现未经授权的人员张XX进出机器和网络操作机房,却没有任何登记记录,工作人员解释说是供应商正在调试网络设备。
3、审核员扫描XX公司的网络,发现在用软件只有很少的计算机打了补丁程序,并且运行的操作系统上的多数软件是网络下载,多数是免费版本,现场管理人员认为下载的软件都是从知名网站上下载的,不会有问题。
4、xx银行在2008年一季度发生了10起开通网上转帐客户的资金损失事故,最后银行承认密码系统设计太简单,并赔偿客户损失。但在2008年4~5月又发生7起类似事故,系统管理说:“我
27
们目前也没有
办法, 只能赔款了”。
5、审核员在现场审核吋发现公司存有一份软件淸单,当询问淸单上所列的软件足否都是通过正规途径购买的软件,管理员回答有的是到正规商店,有的是通过网络购买的。
6、审核员来到某软件开发公司进行审核时,来到计算机机房时发现,公司的服务器、数据库均在内,中心内部设置有前、后两个门,前门有门禁系统,只有授权人员凭门卡能进入,而后门则锁住了,当询问谁有钥匙,机房主管回答:前门口保安有。当来到前门门岗时,发现钥匙挂在保安办公室的钥匙箱内,而该钥匙箱没有锁,保安主管说:有需要的时候任何人可以打开取钥匙且不用办理登记手续。
7、审核员在公司的资产登记表中发现,公司于年初将一批2003年购置的电脑特价处理给员工,这些电脑原用于核心业务系统。当询问系统管理员是否在出售前进行了格式化处理,该系统管理员说:“由于当时新进了许多新的电脑设备,需要安装调试,没空处理老的电脑,再说这些都是卖给自己员工的,他们本身就接触到这些信息。”
28