三、阐述题（每题 10 分，共 2 题，共 20 分）【ISMS 1809】试题4141、A公司的安全策略规定，通过A公司办公楼层的电梯，须凭授权门禁卡刷卡乘电梯。 办公楼电梯门禁卡的发放由物业公司 B负责。A公司完成申请审批流程的人员凭本人身份证及审批单到B公司办理领取相应楼层电梯门禁卡。A公司将物理区域的日常安保管理外包给C公司。中秋节时，A公司举办为期一天的大

三、阐述题（每题 10 分，共 2 题，共 20 分）

【ISMS 1809】试题41

41、A公司的安全策略规定，通过A公司办公楼层的电梯，须凭授权门禁卡刷卡乘电梯。 办公楼电梯门禁卡的发放由物业公司 B负责。A公司完成申请审批流程的人员凭本人身份证及审批单到B公司办理领取相应楼层电梯门禁卡。A公司将物理区域的日常安保管理外包给C公司。中秋节时，A公司举办为期一天的大型活动，邀请200人参加，为了参加者便利，委托C公司统一收集受邀者身份证，统一办理申请审批，统一到B公司办理领取200张电梯门禁卡，然后分发给活动受邀者使用，并于活动结束当天由C公司回收这些电梯门禁卡。11月审核员到A公司审核时发现，C 公司并未将该200张卡退还 B 公司进行销权， 而是自行保存，有其他申请者需要时发放使用，省去了每次跑 B公司办理的麻烦，审核员抽查了几张卡发现，申请者与持有并使用者非同一人，并调阅B公司发卡登记的身份证信息既非现持有并使用者，亦非申请者，发卡登记的身份证信息拥有者目前既不是 A、B、C 公司员工，也不是任何项目合作者，请依据GB/T 22080-2016/ISO/IEC 27001:2013标准，阐述你对上述场景的审核思路。【尚大-参考答案】
答：
1、查A公司对于在办公楼举办200人活动是否根据（6.1.2）进行了风险评估，得到风险责任人的批准，查相关批准记录。
2、查 A 8.1.1， A公司是否将门禁卡列为公司的资产进行管理，并在使用完毕后进行归还 （A8.1.4），查相关规定和实施方案以及具体经办的责任人。
3、查A 11.1.6， A公司在举办活动前除必要场地，是否对其余场地中有效的信息设施进行了必要的隔离，控制和保护措施（A 11.1.3），查相关措施或会议纪要等内容。
4、查 A 15.1.1，查与 B 公司的合同或协议中，安全策略是否对门卡发放及回收销毁有相关的规定，是否符合公司的安全策略，合同中是否规定了门卡的发放、权限中止或门卡的销毁过程及责任人，查相关合同及发放回收销毁记录。
5、查 A 15.1.2，查与B和 C公司的合同或协议中，是否有对公司的信息安全要求规定及各方责任规定。查C公司的安保协议中是否有对临时情况需要加强安保力量的规定，查当天C公司对活动现场的人员派驻及物理入口（A.11.1.2）例如电梯口是否一人一卡进行控制的记录。
6、查自从活动开始至今，是否有相应的信息安全事件报告（A 16.1.2），是否得到响应，事态是否与违规未收回门卡有关。
7、查 A 15.2.1，是否对 B 公司及 C 公司的服务进行了监控、定期评审。查既往事件是否与 这两家公司的服务水平有关。
8、查公司是否对以上违规使用门禁卡的风险进行了识别，评估，并有处置措施及应急预案。

【ISMS 1809】试题42

42、在某公司人事部，审核员向人力资源部负责人了解培训情况时得知，公司负责网络安全的管理人员的培训是请专门的网络安全培训机构进行的。审核员想看看这些人员的培训成绩和证书，该负责人说，证书他们自己保存，我们替他们保存反而不方便。培训成绩在培训机构，你们要看的话，我可以打电话联系让他们发过来，审核员同意并查阅了发过来的成绩， 由于成绩合格，审核员表示满意，并结束了培训的审核。这样的审核是否符合要求？为什么？ 如果请你去审核的话，你会怎么做？
【尚大-参考答案】
答：不符合，因为按照GB/T 22080-2016中7.2 能力 b）确保上述人员在适当的教育、培训或经验的基础上能够胜任其工作，d）保留适当的文件化信息作为能力的证据要求，所以不符合要求。     
如果我去审核，先请人力资源部门提供已实施的网络安全培训计划，审查培训内容是否满足公司的信息安全方针（5.2），因为网络安全培训可能涉及公司的机密信息，故由外聘的网络安全培训机构进行网络安全培训前，公司是否进行了风险评估（6.1.2），并得到了风险责任人的批准。 查公司组织机构架构以及岗位设置，对网络安全的相关培训是否覆盖了所有相关的部门及人员，检查培训签到表，是否存在遗漏。询问公司对培训效果如何评估，检查培训记录，是否有效果确认人签字。同时查阅信息安全事件记录，是否有与网络安全意识薄弱的相关事件，公司是否对此加以分析和采取改进措施，适当时作为后续培训的材料。与相关部门员工就网络安全内容进行约谈，过程中观察员工是否具有相关的网络安全意识，满足方针中信息安全目标，以此判断是否达到了培训设计的目标（7.3） 查看人事部其他相关信息安全培训的记录是否齐全（7.2 d），满足文件化信息的要求 （7.5）。