ISO-IEC-27001-Lead-Auditor-CN 무료 덤프문제 온라인 액세스

情境 8：EsBank 自 9 月起為愛沙尼亞銀行業提供銀行和金融解決方案
2010年，該公司在全國擁有30家分行和100多台ATM機。
EsBank 在高度監管的行業中運營，必須遵守許多有關資料安全和隱私的法律和法規。他們需要透過實施技術和非技術控制來管理整個營運的資訊安全。 EsBank 決定實施基於 ISO/IEC 的 ISMS
27001，因為它提供了更好的安全性、更多的風險控制以及符合法律法規的關鍵要求。
在成功實施 ISMS 九個月後，EsBank 決定由獨立認證機構根據 ISO/IEC 27001 對其 ISMS 進行認證。
第一階段和第二階段審核是共同進行的，發現了一些不符合項。第一個不合格之處與 EsBank 的資訊標籤有關。該公司有資訊分類方案，但沒有資訊標籤程序。因此，需要相同保護等級的文件將被貼上不同的標籤（有時為機密，有時為敏感）。
考慮到所有文件也以電子方式存儲，不合格情況也影響了媒體處理。審計小組透過抽樣得出結論，200 個可移動媒體中有 50 個儲存了被錯誤分類為機密的敏感資訊。根據資訊分類方案，允許將機密資訊儲存在可移動媒體中，而嚴格禁止儲存敏感資訊。這標誌著另一個不合格之處。
他們起草了不合格報告，並與 EsBank 代表討論了審計結論，代表同意在兩個月內針對發現的不合格問題提交行動計劃。
EsBank 接受了審計組組長提出的解決方案。他們根據實體和電子格式的分類方案起草了資訊標籤程序，解決了不合格問題。可移動媒體程式也基於此程式進行了更新。
審計完成兩週後，EsBank 提交了總體行動計畫。在那裡，他們解決了檢測到的不合格問題以及採取的糾正措施，但沒有包括有關受影響的系統、控製或操作的任何詳細資訊。審核小組評估了該行動計劃並得出結論，該計劃將解決不合格問題。然而，EsBank 收到了不利的認證建議。
根據上述場景，回答以下問題：
場景 8 所示的哪一種行為在外部審計中是不可接受的？

• A.第一階段審核與第二階段審核同時進行
• B.缺乏資訊標籤程序標示為輕微不合格
• C.審核組長提出了解決不符合項的具體解決方案

情境 5：Data Grid Inc. 是一家知名公司，為整個資訊科技基礎設施提供安全服務。它提供網路安全軟體，包括端點安全、防火牆和防毒軟體。二十年來，Data Grid Inc. 透過先進的產品和服務幫助多家公司保護其網路安全。 Data Grid Inc. 在資訊和網路安全領域享有盛譽，決定獲得 ISO/IEC 27001 認證，以更好地保護其內部和客戶資產並獲得競爭優勢。
Data Grid Inc. 任命了審計團隊，該團隊同意審計任務的條款。此外，Data Grid Inc.明確了審核範圍，明確了審核標準，並建議在五天內結束審核。由於Data Grid Inc.員工人數眾多，流程複雜，審計小組拒絕了Data Grid Inc.在五天內進行審計的提議。 Data Grid Inc.堅稱他們計劃在五天內完成審核，因此雙方同意在規定的時間內進行審核。審計小組遵循基於風險的審計方法。
為了獲得主要業務流程和控制的概述，審計團隊存取了流程描述和組織圖表。他們無法對 IT 風險和控制進行更深入的分析，因為他們對 IT 基礎架構和應用程式的存取受到限制。然而，審計小組表示，Data Grid Inc. 的 ISMS 出現重大缺陷的風險很低，因為該公司的大部分流程都是自動化的。因此，他們透過詢問 Data Grid Inc. 的代表以下問題來評估 ISMS 整體上符合標準要求：
*如何定義和指派 IT 和 IT 控制的職責？
*Data Grid Inc. 如何評估控制措施是否達到了預期效果？
*Data Grid Inc. 採取了哪些控制措施來保護操作環境和資料免受惡意軟體的侵害？
*是否實施了與防火牆相關的控制？
Data Grid Inc. 的代表提供了充分且適當的證據來解決所有這些問題。
審計組長起草審計結論並向Data Grid Inc. 的最高管理階層報告。
儘管審核員推薦Data Grid Inc.進行認證，但Data Grid Inc.與認證機構之間在審核目標方面產生了誤解。 Data Grid Inc. 表示，儘管審計目標包括確定潛在改進的領域，但審計團隊並未提供此類資訊。
根據該場景，回答以下問題：
如何避免認證機構和 Data Grid Inc. 之間產生誤解？
請參閱場景 5。

• A.驗證審核報價
• B.定義審核計劃
• C.簽署認證協議

您正在對一家提供醫療保健服務的養老院進行資訊安全管理系統 (ISMS) 審核。
審計計劃的下一步是驗證資訊安全事件管理流程。
IT 安全經理介紹資訊安全事件管理程序(文件參考 ID：ISMS_L2_16，版本 4)。
您在審閱文件時注意到一則聲明：「任何資訊安全漏洞、事件和事故都應在發現後 1 小時內報告給聯絡人 (PoC)」。在與員工面談時，您發現他們對「漏洞、事件和事故」這一短語的含義理解存在差異。
IT安全經理解釋說，6個月前舉辦了一次線上「資訊安全處理」培訓研討會。所有受訪者都參加了研討會，並通過了報告撰寫練習和課程評估。
您希望進一步調查其他領域，以收集更多審計證據。請選擇三個不屬於有效審計追蹤範圍的選項。

• A.收集更多證據，以確定資訊安全策略中是否包含相關術語和定義。 (與控制項 5.32 相關)
• B.收集更多關於該組織如何進行資訊安全事件訓練以及如何評估其有效性的證據。 (與第 7.2 條相關)
• C.收集更多關於如何透過適當管道報告資訊安全事件的證據(與控制 A.6.8 相關)
• D.收集更多關於如何隔離發生資訊安全事件的區域以在中斷期間維護資訊安全的證據(與控制 A.5.29 相關)
• E.收集更多關於組織如何測試業務連續性計畫的證據。 (與控制 A.5.30 相關)
• F.收集更多證據以確定是否將 ISO 27035(資訊安全事件管理)用作內部稽核標準。 (與第 8.13 條相關)
• G.收集更多證據，說明組織如何從資訊安全事件中學習並進行改進。 (與控制 A.5.27 相關)
• H.收集更多關於該組織如何管理負責監控漏洞的聯絡點 (PoC) 的證據。 (與第 8.1 條相關)

您正在對位於歐洲的住宅進行 ISMS 審核
名為 ABC 的療養院提供醫療保健服務。您會發現所有療養院居民都戴著電子腕帶，用於監控他們的位置、心跳和血壓。您了解到，電子腕帶會自動將所有資料上傳到人工智慧（AI）雲端伺服器，供醫護人員進行健康監測和分析。
審核計畫的下一步是驗證高階管理人員是否已製定資訊安全策略和目標。
在審計過程中，你們發現以下審計證據。
將審核證據與 ISO/IEC 27001:2022 中的相應要求進行配對。

정답:

Explanation:

組織 A 的審核員對供應商 B 進行審核。

• A.與 A 的供應商評估團隊分享調查結果
• B.與 B 的其他客戶分享調查結果
• C.與 B 中的其他相關經理分享調查結果
• D.與 B 的資安經理分享調查結果
• E.與 B 的認證機構分享調查結果
• F.與 A 中的其他相關經理分享調查結果