有大神指教下，几题有疑问的判标题！！！

追风逐影

   第一题：在某软件开发企业，质保部负责对软件开发成功进行测试，该部门测试人员使用名为“bugfree”的系统记录测试发现的问题，审核员发现开发人员也可登录测试问题记录的页面，且能够修改测试记录的信息。
; o# R3 B: J9 z. r5 E7 d; _  h第二题：审核员在MOTECk公司生产部审核时发现，公司将其产品制造的《工艺说明书》确定为最高敏感性等级的信息资产，规定仅生产部工艺师张某一人可以访问，审核员询问张某是否可以展示《工艺说明书》的访问控制，张某说可以，水机走到自己的工位并开机后，职责屏幕上的SQ字样的应用图标说道：这是我们用专门用来访问服务器上存放《工艺说明》文件的应用系统。随即张某用鼠标打开系统，审核员看到站看的目录中去油该《工艺说明书》的各历史版本，并注意到SQ系统页面上端显示出服务器地址为：*。*。16.17.看到审核员很关注SQ系统，一直跟随收纳盒的IT部经理邵某解释说，这个sq系统是早年公司成立的时候自行开发的，系统很好用，也是公司每个员工记入公司时发的计算机上默认安装的应用软件之一，审核查看其它挤人的电脑，确认邵某陈述的实情
第三题：某银行在2008年一季度发生了10其开通网上转账客户的资金损失事故，最后银行承认密码系统设计太简单，并赔偿客户损失，但是在2008年4-5月又发生了7起类似事故，系统管理说，我们目前也没有办法，只能赔款了。

盛托

第一题：A.12.4.2 第二题：A.9.1.2  第三题：10.1

追风逐影

盛托 发表于 2018-12-20 11:04
( J: R0 P3 Z+ J5 G! p+ w' t/ R第一题：A.12.4.2 第二题：A.9.1.2  第三题：10.1

0 d  `2 I4 B* ]3 }第二题可否解析下，不好理解。有人判A8.2.3说是没有按信息分级方案访问。还有人判A9.4.1没有按访问控制策略进行访问。

suchunping9000

错别字也太多了吧，也没有说出什么标准

追风逐影

suchunping9000 发表于 2018-12-23 13:59
错别字也太多了吧，也没有说出什么标准

ISMS下面发的，是ISO27001

finesodick

第一题：审核员发现开发人员。。。。，且能够修改测试记录的信息。A.12.4.2 记录日志的设施和日志信息应加以保护,以防止篡改和未授权的访问
3 e) x) F' [% K  B8 C# o* _第二题：审核员。。。注意到SQ系统页面上端显示出服务器地址为：*。*。16.17， 这个sq系统。。。。也是公司每个员工记入公司时发的计算机上默认安装的应用软件之一，审核查看其它挤人的电脑，确认邵某陈述的实情。A.9.1.2 应仅向用户提供他们已获专门授权使用的网络和网络服务的访问
+ B$ K3 O5 u! L8 `& l第三题：但是在2008年4-5月又发生了7起类似事故，10.1 b 通过以下活动,评价采取消除不符合原因的措施的帘求,以防止不符合再发生,或在其他地方发生: