ISO-IEC-27001-Lead-Auditor-CN Exam Question 66
您是一位經驗豐富的 ISMS 審核員,在一家提供 ICT 回收服務的組織中進行第三方監督審核。公司不再需要的ICT設備由組織處理。它要么被重新調試並重複使用,要么被安全地銷毀。
您注意到房間角落的長凳上有兩台伺服器。兩者的項目上都貼有伺服器名稱、IP 位址和管理員密碼的貼圖。您向 ICT 經理詢問這些物品,他告訴您這些物品是昨天從一位老客戶那裡收到的一批貨物的一部分。
您應該採取哪一項行動?
您注意到房間角落的長凳上有兩台伺服器。兩者的項目上都貼有伺服器名稱、IP 位址和管理員密碼的貼圖。您向 ICT 經理詢問這些物品,他告訴您這些物品是昨天從一位老客戶那裡收到的一批貨物的一部分。
您應該採取哪一項行動?
ISO-IEC-27001-Lead-Auditor-CN Exam Question 67
您正在一家受 ABC 監管、提供醫療保健服務的住宅療養院進行 ISMS 審核。
審核計畫的下一步是驗證持續改善流程的有效性。在審計過程中,您了解到大多數居民家庭成員(90%)每週都會透過ABC的醫療保健行動應用程式透過電子郵件和簡訊收到一次WeCare醫療器材促銷廣告。他們均不同意將所收集的個人資料用於與ABC 簽署的服務協議上(或行銷或除護理和醫療之外的任何其他目的)。的資訊」個人資訊給不相關的第三方,他們已提出投訴。
服務經理表示,所有這些投訴均已被視為不合格,並且已根據不合格和糾正管理程序規劃和實施糾正措施。糾正措施包括立即停止與醫療設備製造商 WeCare 的合作,要求他們刪除收到的所有個人數據,並向所有居民及其家人發送道歉電子郵件。
您正在準備審計結果。選擇一項正確的發現選項。
審核計畫的下一步是驗證持續改善流程的有效性。在審計過程中,您了解到大多數居民家庭成員(90%)每週都會透過ABC的醫療保健行動應用程式透過電子郵件和簡訊收到一次WeCare醫療器材促銷廣告。他們均不同意將所收集的個人資料用於與ABC 簽署的服務協議上(或行銷或除護理和醫療之外的任何其他目的)。的資訊」個人資訊給不相關的第三方,他們已提出投訴。
服務經理表示,所有這些投訴均已被視為不合格,並且已根據不合格和糾正管理程序規劃和實施糾正措施。糾正措施包括立即停止與醫療設備製造商 WeCare 的合作,要求他們刪除收到的所有個人數據,並向所有居民及其家人發送道歉電子郵件。
您正在準備審計結果。選擇一項正確的發現選項。
ISO-IEC-27001-Lead-Auditor-CN Exam Question 68
資料完整性意味著
ISO-IEC-27001-Lead-Auditor-CN Exam Question 69
情境 5:Data Grid Inc. 是一家知名公司,為整個資訊科技基礎設施提供安全服務。它提供網路安全軟體,包括端點安全、防火牆和防毒軟體。二十年來,Data Grid Inc. 透過先進的產品和服務幫助多家公司保護其網路安全。 Data Grid Inc. 在資訊和網路安全領域享有盛譽,決定獲得 ISO/IEC 27001 認證,以更好地保護其內部和客戶資產並獲得競爭優勢。
Data Grid Inc. 任命了審計團隊,該團隊同意審計任務的條款。此外,Data Grid Inc.明確了審核範圍,明確了審核標準,並建議在五天內結束審核。由於Data Grid Inc.員工人數眾多,流程複雜,審計小組拒絕了Data Grid Inc.在五天內進行審計的提議。 Data Grid Inc.堅稱他們計劃在五天內完成審核,因此雙方同意在規定的時間內進行審核。審計小組遵循基於風險的審計方法。
為了獲得主要業務流程和控制的概述,審計團隊存取了流程描述和組織圖表。他們無法對 IT 風險和控制進行更深入的分析,因為他們對 IT 基礎架構和應用程式的存取受到限制。然而,審計小組表示,Data Grid Inc. 的 ISMS 出現重大缺陷的風險很低,因為該公司的大部分流程都是自動化的。因此,他們透過詢問 Data Grid Inc. 的代表以下問題來評估 ISMS 整體上符合標準要求:
*如何定義和指派 IT 和 IT 控制的職責?
*Data Grid Inc. 如何評估控制措施是否達到了預期效果?
*Data Grid Inc. 採取了哪些控制措施來保護操作環境和資料免受惡意軟體的侵害?
*是否實施了與防火牆相關的控制?
Data Grid Inc. 的代表提供了充分且適當的證據來解決所有這些問題。
審計組長起草審計結論並向Data Grid Inc. 的最高管理階層報告。
儘管審核員推薦Data Grid Inc.進行認證,但Data Grid Inc.與認證機構之間在審核目標方面產生了誤解。 Data Grid Inc. 表示,儘管審計目標包括確定潛在改進的領域,但審計團隊並未提供此類資訊。
根據該場景,回答以下問題:
基於情境5,審核小組對ISMS進行整體評估,而不是評估每個流程的有效性和符合性。這是可以接受的嗎?
Data Grid Inc. 任命了審計團隊,該團隊同意審計任務的條款。此外,Data Grid Inc.明確了審核範圍,明確了審核標準,並建議在五天內結束審核。由於Data Grid Inc.員工人數眾多,流程複雜,審計小組拒絕了Data Grid Inc.在五天內進行審計的提議。 Data Grid Inc.堅稱他們計劃在五天內完成審核,因此雙方同意在規定的時間內進行審核。審計小組遵循基於風險的審計方法。
為了獲得主要業務流程和控制的概述,審計團隊存取了流程描述和組織圖表。他們無法對 IT 風險和控制進行更深入的分析,因為他們對 IT 基礎架構和應用程式的存取受到限制。然而,審計小組表示,Data Grid Inc. 的 ISMS 出現重大缺陷的風險很低,因為該公司的大部分流程都是自動化的。因此,他們透過詢問 Data Grid Inc. 的代表以下問題來評估 ISMS 整體上符合標準要求:
*如何定義和指派 IT 和 IT 控制的職責?
*Data Grid Inc. 如何評估控制措施是否達到了預期效果?
*Data Grid Inc. 採取了哪些控制措施來保護操作環境和資料免受惡意軟體的侵害?
*是否實施了與防火牆相關的控制?
Data Grid Inc. 的代表提供了充分且適當的證據來解決所有這些問題。
審計組長起草審計結論並向Data Grid Inc. 的最高管理階層報告。
儘管審核員推薦Data Grid Inc.進行認證,但Data Grid Inc.與認證機構之間在審核目標方面產生了誤解。 Data Grid Inc. 表示,儘管審計目標包括確定潛在改進的領域,但審計團隊並未提供此類資訊。
根據該場景,回答以下問題:
基於情境5,審核小組對ISMS進行整體評估,而不是評估每個流程的有效性和符合性。這是可以接受的嗎?
ISO-IEC-27001-Lead-Auditor-CN Exam Question 70
從以下選項中選擇一個最能完成句子的單字:
要用單字完成句子,請點擊要完成的空白部分,使其以紅色突出顯示,然後從下面的選項中點擊應用程式文字。或者,您可以將該選項拖曳到適當的空白部分。
要用單字完成句子,請點擊要完成的空白部分,使其以紅色突出顯示,然後從下面的選項中點擊應用程式文字。或者,您可以將該選項拖曳到適當的空白部分。
