【正文】 用系統(tǒng)功能和隔離敏感系統(tǒng)。 對于所有擬定的糾正和預防措施，在實施前應先通過（風險分析）過程進行評審。1不屬于WEB服務器的安全措施是（保證注冊帳戶的時效性）。1文件初審是評價受審核方ISMS文件的描述與審核準則的（符合性）。1國家對于經(jīng)營性互聯(lián)網(wǎng)信息服務實施：許可制度。1針對獲證組織擴大范圍的審核，以下說法正確的是：一種特殊審核，可以和監(jiān)督審核一起進行。1信息安全管理體系初次認證審核時，第一階段審核應：對受審核方信息安全管理體系文件進行審核和符合性評價。1文件在信息安全管理體系中是一個必須的要素，文件有助于：確保可追溯性。1對一段時間內(nèi)發(fā)生的信息安全事件類型、頻次、處理成本的統(tǒng)計分析屬于事件管理。1哪一種安全技術是鑒別用戶身份的最好方法：生物測量技術。1最佳的提供本地服務器上的處理工資數(shù)據(jù)的訪問控制是：使用軟件來約束授權用戶的訪問。當計劃對組織的遠程辦公系統(tǒng)進行加密時，應該首先回答下面哪一個問題：系統(tǒng)和數(shù)據(jù)具有什么樣的敏感程度。簡述題審核員在某公司審核時，發(fā)現(xiàn)該公司從保安公司聘用的保安的門卡可通行公司所有的門禁。公司主管信息安全的負責人解釋說，因保安負責公司的物理區(qū)域安全，他們夜里以及節(jié)假日要值班和巡查所有區(qū)域，所以只能給保安全權限門卡。審核員對此解釋表示認同。如果你是審核員，你將如何做？答：應根據(jù)標準GB/T ：（1）是否有形成文件的訪問控制策略，并且包含針對公司每一部分物理區(qū)域的訪問控制策略的內(nèi)容？（2）訪問控制策略是否基于業(yè)務和訪問的安全要素進行過評審？（3）核實保安角色是否在訪問控制策略中有明確規(guī)定？（4）核實訪問控制策略的制定是否與各物理區(qū)域風險評價的結(jié)果一致？（5）核實發(fā)生過的信息安全事件，是否與物理區(qū)域非授權進入有關？（6）核實如何對保安進行背景調(diào)查，是否明確了其安全角色和職責？請闡述對GB/T 。答：（1）詢問相關責任人，查閱文件35份，了解如何規(guī)定對信息安全事件進行總結(jié)的機制？該機制中是否明確定義了信息安全事件的類型？該機制是否規(guī)定了量化和監(jiān)視信息安全事件類型、數(shù)量和代價的方法和要求，并包括成功的和未遂事件？（2）查閱監(jiān)視或記錄315條，查閱總結(jié)報告文件35份，了解是否針對信息安全事件進行測量，是否就類型、數(shù)量和代價進行了量化的總結(jié)，并包括成功的和未遂事件。（3）查閱文件和記錄以及訪問相關責任人，核實根據(jù)監(jiān)視和量化總結(jié)的結(jié)果采取后續(xù)措施有效防止同類事件的再發(fā)生。案例分析題不符合標準GB/T 220802008條款 網(wǎng)絡連接控制“對于共享的網(wǎng)絡，特別是越過組織邊界的網(wǎng)絡，用戶的聯(lián)網(wǎng)能力應按照訪問控制策略和業(yè)務應用要求加以限制（）?！钡囊蟆２环鲜聦崳耗持W(wǎng)站總部陳列室中5臺演示用的電腦可以連接外網(wǎng)和內(nèi)網(wǎng)。不符合標準GB/T 220802008條款 物理入口控制“安全區(qū)域應由適合的入口控制所保護，以確保只有授權的人員才允許訪問?！钡囊蟆２环鲜聦崳含F(xiàn)場發(fā)現(xiàn)未經(jīng)授權的人員張X進出機器和網(wǎng)絡操作機房，卻沒有任何登記記錄，而程序文件（GX28）規(guī)定除授權工作人員可憑磁卡進出外，其余人員進出均須辦理準入和登記手續(xù)。不符合標準GB/T d)識別風險“3）識別可能被威脅利用的脆弱性；”的要求。不符合事實：現(xiàn)場管理人員認為下載的軟件都是從知名網(wǎng)站上下載的，不會有問題。不符合標準GB/T 糾正措施“組織應采取措施，以消除與ISMS要求不符合的原因，以防止再發(fā)生。”的要求。不符合事實：XX銀行在2008年一季度發(fā)生了10起網(wǎng)銀客戶資金損失事故，45月又發(fā)生7起類似事故。不符合標準GB/T “用戶和支持人員對信息和應用系統(tǒng)功能的訪問應依照已確定的訪問控制策略加以限制”的要求。不符合事實：開發(fā)人員可以修改測試問題記錄。不符合標準GB/T “與信息處理設施有關的信息和資產(chǎn)可接受使用規(guī)則應被確定、形成文件并加以實施”的要求。不符合事實：非常敏感的系統(tǒng)設計文件，公司要求開發(fā)人員只可讀，不可以修改，且不可以在公司其他部門傳閱，但未對開發(fā)人員是否可以打印進行規(guī)定。不符合標準GB/T “應采取清空桌面上文件、可移動存儲介質(zhì)的策略和清空信息處理設施屏幕的策略”的要求。不符合事實：敏感票據(jù)印刷企業(yè)的制版工藝工藝師辦公桌上散放著三份含水量有票據(jù)制版工藝要求的生產(chǎn)通知單。第五篇：iso質(zhì)量管理體系學習心得體系學習心得通過近段時間的體系學習、討論，對質(zhì)量管理體系又有如下的認識：一、公司建立質(zhì)量管理體系，我認為目的應該是通過它的運行，致力于“使與公司質(zhì)量目標有關的結(jié)果”適當?shù)貪M足顧客及其他相關方的需求、期望和要求，最終使企業(yè)獲得更好的經(jīng)濟效益。這里所說的“與公司質(zhì)量目標有關的結(jié)果”體現(xiàn)在公司的產(chǎn)品質(zhì)量、產(chǎn)品服務等方面。二、只要我們企業(yè)在質(zhì)量管理方面做到了真正滿足或達到ISO9001質(zhì)量管理體系的要求，就能夠向外界證實，我們公司有能力可以穩(wěn)定地提供滿足顧客和法律法規(guī)要求的產(chǎn)品。三、在體系的建立和運行的整個環(huán)節(jié)中，過程的概念一直貫穿其中。所以理解、識別、管理過程，對我們有效運行體系和持續(xù)改進體系有很大益處。例如體系的建立本身就是一個過程：輸入為：公司質(zhì)量方針、質(zhì)量目標、相關資源，輸出為：質(zhì)量手冊、程序文件、第三層次文件，而這其中的活動有：管帶牽頭負責的策劃、編寫文件工作及體系運行中各部門的測量（驗證）、分析（建議）和改進活動。對單個過程的管理，基本思路是采用PDCA的方法 1)過程的策劃。包括方針和目標的確定一級活動計劃的制定。在這個階段主要是找出存在的問題，通過分析，制定改進的目標，確定達到這些目標的措施和方法。其具體步驟為：分析現(xiàn)狀，找出存在的問題；分析產(chǎn)生問題的原因；找出影響質(zhì)量的主要原因，制定措施和計劃。2)過程的實施。實施就是具體運作，按照策劃要求組織實施，使過程正常運轉(zhuǎn)起來。在實施中，應當對過程進行控制，及時發(fā)現(xiàn)問題或異常情況，及時采取措施，使問題得到解決。3)過程的檢查。對過程的結(jié)果應采取適當?shù)姆椒ㄟM行驗證，并根據(jù)驗證結(jié)果對過程進行確認。所謂驗證，就是對過程輸出進行某種方式的測量，然后對照輸入的要求，看其是否符合。如果符合要求，說明過程是成功的，如果存在問題，就應該采取糾正措施。4)過程的改進。過程經(jīng)過檢查，發(fā)現(xiàn)有問題，就要及時進行改進。也就是對過程的結(jié)構、輸出、輸入、活動、人員及其它資源進行改變，甚至可能導致對過程的重新策劃。