2018年3月-信息安全管理体系（ISMS）下午审核知识试卷-【41-42题】

三、阐述题（每题 10 分，共 2 题，共 20 分）

【ISMS 1803】试题41

41、阐述实施审核时针对标准取证应包含哪些基本内容，并举例说明。
【尚大-参考答案】
答：在对 ISO27001 进行审核取证时，基于 PDCA 思维，应注意特有的保密性，基于风险的原则。
例如对适用性声明（SOA）的审核时，应关注以下方面：
4.1理解组织及其环境，组织的内外部环境是什么，SOA 与其是否有冲突，不当删减控制措施的方面。
4.2理解相关方的需求和期望，相关方对组织有什么期望，查相关法律法规要求在 SOA 的体现。
4.3确定信息安全管理体系范围，查 SOA 是否满足范围文件的定义。
5.2 方针，查信息方针文件，SOA 的控制是否满足。
6.1.2风险评估中 SOA 是否能满足接受准则，识别分析评价，查相关文件信息。
6.1.3信息安全风险处置，查 6.1.3b)中确定的所有控制与 SOA 比较，验证没有忽略必要的控制。
8.2 是否按 6.1.2 计划的时间间隔，或当重大变更提出或发生时，风险评估如涉及 SOA 控制措施是否做了相应修改，查风险评估报告。
在相应的监视和测量、分析和评价过程中，如内审、管评、是否有控制措施修改，是否在 SOA 中体现，查相关评审记录。

【ISMS 1803】试题42

42、AOXI  公司面向签约客户提供“数据中心机房基础设施运营服务”，对于客户方设备，
运维工程师进入机房的授权流程为：
1）客户方提供书面签章文件，列明为申请授权指定的联络人，联络的邮箱地址。
2）AOXI 公司建立邮件人及地址白名单。
3）白名单中的联络人使用指定邮箱为每次需进入的机房的工程师申请进入授权。
4）AOXI 公司按邮件核实工程师本人信息，予以授权。
客户方的联络邮件人和邮箱地址一旦进入公司白名单即永久有效，请针对该场景依据GB/T22080-2016 标准阐述你的审核思路。
【尚大-参考答案】
答：
针对以上情景，审核思路为根据 GB/T22080-2016 标准，是否在 6.1.2信息安全风险评估中充分识别了风险，采取了对应的控制措施 6.1.3信息安全风险处置，8.1运行规划和控制中控制实施控制，根据 9.1 监视、测量、分析和评价控制是否有效。
具体为：
6.1.2 及 6.1.3 识别及处置
1.授权流程中是否有控制手段确认申请邮件是由客户方发出的，且真实有效， 例如用客户方私钥加密授权。
2.用邮箱白名单中的联络人使用指定邮箱为每次需进入机房的工程师申请进入授权过程时，是否有相应控制措施避免误发、转发或冒用。
A.11.1.2 物理入口控制
在得到授权后，如何下发相关获准进入 AOXI 公司的工程师信息，在物理入口现场处加以验证。
12.1.2 变更管理
识别对客户方的邮件联络人和邮箱地址一旦进入 AOXI 公司白名单即永久有效这一过程的风险，对发生客户联络人离职、变更职责后，但联络人和邮箱地址永久有效这一措施是否进行过风险评估，与客户解除合同后，仍保留相关信息在白名单等风险是否能够接受， 能够满足 AOXI 公司的业务和信息安全需求？如不能接受，是否有相应的风险处置措施。同时检查评估报告和处置计划。
9.1 监视、测量、分析和评价控制是否有效。
检查历史上的安全事件，是否有关于信息安全事件是否与客户方进入 AOXI 公司相关的事件，包括已成功和未成功的。是否用风险接受准则加以评估，评估结果是否启动处置计划。如有，该事件是否作为内审和管理评审的输入加以评审，查评审记录。