8、审核员发现某软件开发公司在暑假期间聘请了三位大学生来做软件测试,但在人事部门未找到相关的保密协议,也未见有关要求的培训记录,人事经理解释说:“他们在测试期间没有接触到软件的核心机密信息,所以不需要签保密协议,也不需要进行ISMS的培训。“
9、审核员在审核过程中发现,公司的系统用户账户中有多个账号的用户名的主人是一些己经离开公司的人员,且此类账户拥有较高级别的访问权限,系统管理员介绍说:“由于公司耍求所有的员工必须按耍求登录自己的账户,这样对一些分公司来出差的人员很不方便,因此用这些老账户让他们使用,便于他们登录使用公司的网络资源,反正都是公司的员工,不会出问题的。”
10、审查技术部门在完成软件开发源代码任务并递交客户后,按公司要求应定时销毁在具体开发人员PC 机内的该项目源代码,以防止源代码的泄露,但是该部门却提供不出该源代码被销毁的证据。
11、在某软件
29
开发企业,质
景保证部负责对软件开发成果物进行测试,该部门测试人员使用名为“Bugfree”的系统记录测试发现的问题,然后由开发人员针对测试人员提出的问题,确定软件修改方案,修改后重新提交测试,通过后由测试人员给出“最终测试通过”的结论。软件开发人员的修改方案以及修改后重新测试的信息也分别在该\”系统中予以记录。审核员请开发人员演示上述过程时发现,开发人员也可以登录测试问题记录的页面,且能够修改测试记录信息。当审核员问为什么会这样,该开发人员回答说,有时候开发人员与测试人员就软件问题的判定有争议,因此允许开发人员修改测试问题记录,否则会影响开发 人员的绩效考核。
12、审核员在某公司审核时,按计划到公司的计算机机房现场查看。审核员看到系统管理员王某正忙着安装、调试邮件服务器。丨T部主任解释说,公司在现写字楼的租赁已到期,已决定迁至另一街区的某写字楼。王某因下班路上路过新地址,于是在前一天下班时就将邮件服务器拆除,顺便带到新写字楼,并将电源接通。但今天发现,公司各业务部门搬家的时间表不一致,有几个业务部门仍在现写字楼办公,但因邮件服务器已搬走,无法与境外客户联络,对此这几个部门今天有不少抱怨。为弥补这一情况,系统管理员只好又将邮件服务器拆除装回原机房。
13、某公司主
30
营业务为工业
设备代理销售。审核员在审核销售部时发现,公司的全部销售业务以及与顾客的关系管理数据的维护均依赖网络及信息系统完成,当问及这些系统的维护和管理时,公司管理者代表解释说,公司维护IT系统的工作全由沈某一人担任,称沈某人非常正直可靠,所有的IT系统维护和监控项目均由其1人完成,从未出过信息安全事故。审核员请来沈某询问,沈某确认其工作职责包括对各业务线小组人员的权限设置、系统运行监视、系统维护和升级、以及系统安全策略符合性审核等所有的内容。
14、某公司是定向为顾客开发软件的企业。审核组在公司平台业务开发部审核时,抽查到公司正在为顾客开发的“数据管理平台”项目,该项目的系统设计文件由公司高级系统架构师完成,平台开发部主任说:这份系统设计文件因涉及到顾客\数据管理平台”的结构设计,非常敏感,公司要求开发人员只可读、不可修改,且不可以在公司其他部门传阅。开发人员向审核员演示其对该设计文件的访问权限为只读、可打印, 但审核员在平台业务部工作区未看到有打印机。开发人员解释说,平台业务开发部和处于该楼层的其他几个部门共用一台网络打印机,并带审核员去查看。审核员发现,为了方便各部门使用,这台打印机放置在该楼层的“公共休息区”内。
15、某公司为国家相关部门指定的敏感票据印刷企业。审核员在现场巡查时发现,公司制版车间的一张
31
办公桌上散放
着工作号为111字9、10、11号的三份《票据生产通知单》,通知单中分别详细列出了三种票据的制版工艺要求。审核员问道这是谁的办公桌时,车间主任回答说,这是制版工艺师的办公桌,他今天请假了,没来上班。审核员观察到,制版车间与其他车间共处一个较大的生产厂房内,在上班时间各车间是互通的。
32
ISMS测验一
一、单项选择题(从下面各题选项中选出一个最怡当的答案,并将相应字母填在下表相应位置中。每 题1分,共30分。)
1、信息安全管理体系中提到的\资产责任人\是指:( ) (A)对资产拥有财产权的人。 (B)使用资产的人。
(C)有权限变更资产安全属性的人。 (D)资产所在部门负责人。
2、组织应给予信息以适当级别的保护,是指:( ) (A )应实施尽可能先进的保护措施以确保其保密性。 (B )应按信息对于组织业务的关键性给予充分和必要的保护。 (C )应确保信息对于组织内的所有员工可用。 (D)以上都对。
3、考虑设备安全是为了:( )
(A)防止设备丟失、损坏带来的财产损失。 (B)有序保障设雛修时的备件供应。 (C )及时对设备进研级和更新换代。
(D)控制资产的丟失、损坏、失窃、危及资产安全以及组织活动中断的风险。 4、信息处理设施的变更管理不包括:( ) (A)信息处理设施用途的变更。 (B)信息处理设施故障部件的更换。 (C)信息处理
33
臟软件的升