【正文】 用系統(tǒng)功能和隔離敏感系統(tǒng)。 對(duì)于所有擬定的糾正和預(yù)防措施，在實(shí)施前應(yīng)先通過(guò)（風(fēng)險(xiǎn)分析）過(guò)程進(jìn)行評(píng)審。1不屬于WEB服務(wù)器的安全措施是（保證注冊(cè)帳戶的時(shí)效性）。1文件初審是評(píng)價(jià)受審核方ISMS文件的描述與審核準(zhǔn)則的（符合性）。1國(guó)家對(duì)于經(jīng)營(yíng)性互聯(lián)網(wǎng)信息服務(wù)實(shí)施：許可制度。1針對(duì)獲證組織擴(kuò)大范圍的審核，以下說(shuō)法正確的是：一種特殊審核，可以和監(jiān)督審核一起進(jìn)行。1信息安全管理體系初次認(rèn)證審核時(shí)，第一階段審核應(yīng)：對(duì)受審核方信息安全管理體系文件進(jìn)行審核和符合性評(píng)價(jià)。1文件在信息安全管理體系中是一個(gè)必須的要素，文件有助于：確?？勺匪菪?。1對(duì)一段時(shí)間內(nèi)發(fā)生的信息安全事件類型、頻次、處理成本的統(tǒng)計(jì)分析屬于事件管理。1哪一種安全技術(shù)是鑒別用戶身份的最好方法：生物測(cè)量技術(shù)。1最佳的提供本地服務(wù)器上的處理工資數(shù)據(jù)的訪問控制是：使用軟件來(lái)約束授權(quán)用戶的訪問。當(dāng)計(jì)劃對(duì)組織的遠(yuǎn)程辦公系統(tǒng)進(jìn)行加密時(shí)，應(yīng)該首先回答下面哪一個(gè)問題：系統(tǒng)和數(shù)據(jù)具有什么樣的敏感程度。簡(jiǎn)述題審核員在某公司審核時(shí)，發(fā)現(xiàn)該公司從保安公司聘用的保安的門卡可通行公司所有的門禁。公司主管信息安全的負(fù)責(zé)人解釋說(shuō)，因保安負(fù)責(zé)公司的物理區(qū)域安全，他們夜里以及節(jié)假日要值班和巡查所有區(qū)域，所以只能給保安全權(quán)限門卡。審核員對(duì)此解釋表示認(rèn)同。如果你是審核員，你將如何做？答：應(yīng)根據(jù)標(biāo)準(zhǔn)GB/T ：（1）是否有形成文件的訪問控制策略，并且包含針對(duì)公司每一部分物理區(qū)域的訪問控制策略的內(nèi)容？（2）訪問控制策略是否基于業(yè)務(wù)和訪問的安全要素進(jìn)行過(guò)評(píng)審？（3）核實(shí)保安角色是否在訪問控制策略中有明確規(guī)定？（4）核實(shí)訪問控制策略的制定是否與各物理區(qū)域風(fēng)險(xiǎn)評(píng)價(jià)的結(jié)果一致？（5）核實(shí)發(fā)生過(guò)的信息安全事件，是否與物理區(qū)域非授權(quán)進(jìn)入有關(guān)？（6）核實(shí)如何對(duì)保安進(jìn)行背景調(diào)查，是否明確了其安全角色和職責(zé)？請(qǐng)闡述對(duì)GB/T 。答：（1）詢問相關(guān)責(zé)任人，查閱文件35份，了解如何規(guī)定對(duì)信息安全事件進(jìn)行總結(jié)的機(jī)制？該機(jī)制中是否明確定義了信息安全事件的類型？該機(jī)制是否規(guī)定了量化和監(jiān)視信息安全事件類型、數(shù)量和代價(jià)的方法和要求，并包括成功的和未遂事件？（2）查閱監(jiān)視或記錄315條，查閱總結(jié)報(bào)告文件35份，了解是否針對(duì)信息安全事件進(jìn)行測(cè)量，是否就類型、數(shù)量和代價(jià)進(jìn)行了量化的總結(jié)，并包括成功的和未遂事件。（3）查閱文件和記錄以及訪問相關(guān)責(zé)任人，核實(shí)根據(jù)監(jiān)視和量化總結(jié)的結(jié)果采取后續(xù)措施有效防止同類事件的再發(fā)生。案例分析題不符合標(biāo)準(zhǔn)GB/T 220802008條款 網(wǎng)絡(luò)連接控制“對(duì)于共享的網(wǎng)絡(luò)，特別是越過(guò)組織邊界的網(wǎng)絡(luò)，用戶的聯(lián)網(wǎng)能力應(yīng)按照訪問控制策略和業(yè)務(wù)應(yīng)用要求加以限制（）?！钡囊?。不符合事實(shí)：某知名網(wǎng)站總部陳列室中5臺(tái)演示用的電腦可以連接外網(wǎng)和內(nèi)網(wǎng)。不符合標(biāo)準(zhǔn)GB/T 220802008條款 物理入口控制“安全區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許訪問?！钡囊?。不符合事實(shí)：現(xiàn)場(chǎng)發(fā)現(xiàn)未經(jīng)授權(quán)的人員張X進(jìn)出機(jī)器和網(wǎng)絡(luò)操作機(jī)房，卻沒有任何登記記錄，而程序文件（GX28）規(guī)定除授權(quán)工作人員可憑磁卡進(jìn)出外，其余人員進(jìn)出均須辦理準(zhǔn)入和登記手續(xù)。不符合標(biāo)準(zhǔn)GB/T d)識(shí)別風(fēng)險(xiǎn)“3）識(shí)別可能被威脅利用的脆弱性；”的要求。不符合事實(shí)：現(xiàn)場(chǎng)管理人員認(rèn)為下載的軟件都是從知名網(wǎng)站上下載的，不會(huì)有問題。不符合標(biāo)準(zhǔn)GB/T 糾正措施“組織應(yīng)采取措施，以消除與ISMS要求不符合的原因，以防止再發(fā)生?！钡囊?。不符合事實(shí)：XX銀行在2008年一季度發(fā)生了10起網(wǎng)銀客戶資金損失事故，45月又發(fā)生7起類似事故。不符合標(biāo)準(zhǔn)GB/T “用戶和支持人員對(duì)信息和應(yīng)用系統(tǒng)功能的訪問應(yīng)依照已確定的訪問控制策略加以限制”的要求。不符合事實(shí)：開發(fā)人員可以修改測(cè)試問題記錄。不符合標(biāo)準(zhǔn)GB/T “與信息處理設(shè)施有關(guān)的信息和資產(chǎn)可接受使用規(guī)則應(yīng)被確定、形成文件并加以實(shí)施”的要求。不符合事實(shí)：非常敏感的系統(tǒng)設(shè)計(jì)文件，公司要求開發(fā)人員只可讀，不可以修改，且不可以在公司其他部門傳閱，但未對(duì)開發(fā)人員是否可以打印進(jìn)行規(guī)定。不符合標(biāo)準(zhǔn)GB/T “應(yīng)采取清空桌面上文件、可移動(dòng)存儲(chǔ)介質(zhì)的策略和清空信息處理設(shè)施屏幕的策略”的要求。不符合事實(shí)：敏感票據(jù)印刷企業(yè)的制版工藝工藝師辦公桌上散放著三份含水量有票據(jù)制版工藝要求的生產(chǎn)通知單。第五篇：iso質(zhì)量管理體系學(xué)習(xí)心得體系學(xué)習(xí)心得通過(guò)近段時(shí)間的體系學(xué)習(xí)、討論，對(duì)質(zhì)量管理體系又有如下的認(rèn)識(shí)：一、公司建立質(zhì)量管理體系，我認(rèn)為目的應(yīng)該是通過(guò)它的運(yùn)行，致力于“使與公司質(zhì)量目標(biāo)有關(guān)的結(jié)果”適當(dāng)?shù)貪M足顧客及其他相關(guān)方的需求、期望和要求，最終使企業(yè)獲得更好的經(jīng)濟(jì)效益。這里所說(shuō)的“與公司質(zhì)量目標(biāo)有關(guān)的結(jié)果”體現(xiàn)在公司的產(chǎn)品質(zhì)量、產(chǎn)品服務(wù)等方面。二、只要我們企業(yè)在質(zhì)量管理方面做到了真正滿足或達(dá)到ISO9001質(zhì)量管理體系的要求，就能夠向外界證實(shí)，我們公司有能力可以穩(wěn)定地提供滿足顧客和法律法規(guī)要求的產(chǎn)品。三、在體系的建立和運(yùn)行的整個(gè)環(huán)節(jié)中，過(guò)程的概念一直貫穿其中。所以理解、識(shí)別、管理過(guò)程，對(duì)我們有效運(yùn)行體系和持續(xù)改進(jìn)體系有很大益處。例如體系的建立本身就是一個(gè)過(guò)程：輸入為：公司質(zhì)量方針、質(zhì)量目標(biāo)、相關(guān)資源，輸出為：質(zhì)量手冊(cè)、程序文件、第三層次文件，而這其中的活動(dòng)有：管帶牽頭負(fù)責(zé)的策劃、編寫文件工作及體系運(yùn)行中各部門的測(cè)量（驗(yàn)證）、分析（建議）和改進(jìn)活動(dòng)。對(duì)單個(gè)過(guò)程的管理，基本思路是采用PDCA的方法 1)過(guò)程的策劃。包括方針和目標(biāo)的確定一級(jí)活動(dòng)計(jì)劃的制定。在這個(gè)階段主要是找出存在的問題，通過(guò)分析，制定改進(jìn)的目標(biāo)，確定達(dá)到這些目標(biāo)的措施和方法。其具體步驟為：分析現(xiàn)狀，找出存在的問題；分析產(chǎn)生問題的原因；找出影響質(zhì)量的主要原因，制定措施和計(jì)劃。2)過(guò)程的實(shí)施。實(shí)施就是具體運(yùn)作，按照策劃要求組織實(shí)施，使過(guò)程正常運(yùn)轉(zhuǎn)起來(lái)。在實(shí)施中，應(yīng)當(dāng)對(duì)過(guò)程進(jìn)行控制，及時(shí)發(fā)現(xiàn)問題或異常情況，及時(shí)采取措施，使問題得到解決。3)過(guò)程的檢查。對(duì)過(guò)程的結(jié)果應(yīng)采取適當(dāng)?shù)姆椒ㄟM(jìn)行驗(yàn)證，并根據(jù)驗(yàn)證結(jié)果對(duì)過(guò)程進(jìn)行確認(rèn)。所謂驗(yàn)證，就是對(duì)過(guò)程輸出進(jìn)行某種方式的測(cè)量，然后對(duì)照輸入的要求，看其是否符合。如果符合要求，說(shuō)明過(guò)程是成功的，如果存在問題，就應(yīng)該采取糾正措施。4)過(guò)程的改進(jìn)。過(guò)程經(jīng)過(guò)檢查，發(fā)現(xiàn)有問題，就要及時(shí)進(jìn)行改進(jìn)。也就是對(duì)過(guò)程的結(jié)構(gòu)、輸出、輸入、活動(dòng)、人員及其它資源進(jìn)行改變，甚至可能導(dǎo)致對(duì)過(guò)程的重新策劃。