ISO-IEC-27001-Lead-Auditor-CN Exam Question 121
場景 7:Lawsy 是一家領先的律師事務所,在新澤西州和紐約市設有辦公室。它擁有 50 多名律師,為商業法、智慧財產權、銀行和金融服務領域的客戶提供完善的法律服務。他們相信,由於他們致力於實施資訊安全最佳實踐並跟上技術發展的步伐,他們在市場上佔據了有利的地位。
Lawsy 已經嚴格實施、評估和進行 ISMS 內部審核兩年了。
現在,他們已向知名且值得信賴的認證機構ISMA申請ISO/IEC 27001認證。
在第一階段審核期間,審核小組審查了實施過程中所建立的所有 ISMS 文件。
他們還審查和評估了管理審查和內部審計的記錄。
Lawsy 提交了證據記錄,表明在必要時對不合格項採取了糾正措施,因此審核組約談了內部審核員。訪談透過提供對內部稽核計畫和程序的詳細了解,驗證了內部稽核的充分性和頻率。
審計小組繼續驗證戰略文件,包括資訊安全政策和風險評估標準。在資訊安全政策審查期間,團隊注意到描述治理框架(即資訊安全政策)的記錄資訊與程序之間存在不一致。
儘管允許員工將筆記型電腦帶到工作場所之外,但 Lawsy 並沒有製定有關在這種情況下使用筆記型電腦的程序。此政策僅提供有關筆記型電腦使用的一般資訊。該公司依靠員工的常識來保護筆記型電腦中儲存的資訊的機密性和完整性。該問題已記錄在第一階段審計報告中。
完成第一階段審核後,審核組長準備了審核計劃,其中規定了審核目標、範圍、標準和程序。
在第二階段審核期間,審核小組約談了資安經理,資安經理起草了資訊安全政策。他透過指出 Lawsy 每三個月舉辦一次強制性資訊安全培訓和意識課程來證明第一階段中確定的問題的合理性。
面談後,審核小組檢查了 15 份員工培訓記錄(共 50 份),得出的結論是 Lawsy 符合 ISO/IEC 27001 有關培訓和意識的要求。為了支持這個結論,他們影印了檢查過的員工訓練記錄。
根據上述場景,回答以下問題:
審計小組複印了所檢查的員工培訓記錄以支持他們的結論。審計團隊在採取此行動之前是否應該獲得 Lawsy 的批准?請參閱場景 7。
Lawsy 已經嚴格實施、評估和進行 ISMS 內部審核兩年了。
現在,他們已向知名且值得信賴的認證機構ISMA申請ISO/IEC 27001認證。
在第一階段審核期間,審核小組審查了實施過程中所建立的所有 ISMS 文件。
他們還審查和評估了管理審查和內部審計的記錄。
Lawsy 提交了證據記錄,表明在必要時對不合格項採取了糾正措施,因此審核組約談了內部審核員。訪談透過提供對內部稽核計畫和程序的詳細了解,驗證了內部稽核的充分性和頻率。
審計小組繼續驗證戰略文件,包括資訊安全政策和風險評估標準。在資訊安全政策審查期間,團隊注意到描述治理框架(即資訊安全政策)的記錄資訊與程序之間存在不一致。
儘管允許員工將筆記型電腦帶到工作場所之外,但 Lawsy 並沒有製定有關在這種情況下使用筆記型電腦的程序。此政策僅提供有關筆記型電腦使用的一般資訊。該公司依靠員工的常識來保護筆記型電腦中儲存的資訊的機密性和完整性。該問題已記錄在第一階段審計報告中。
完成第一階段審核後,審核組長準備了審核計劃,其中規定了審核目標、範圍、標準和程序。
在第二階段審核期間,審核小組約談了資安經理,資安經理起草了資訊安全政策。他透過指出 Lawsy 每三個月舉辦一次強制性資訊安全培訓和意識課程來證明第一階段中確定的問題的合理性。
面談後,審核小組檢查了 15 份員工培訓記錄(共 50 份),得出的結論是 Lawsy 符合 ISO/IEC 27001 有關培訓和意識的要求。為了支持這個結論,他們影印了檢查過的員工訓練記錄。
根據上述場景,回答以下問題:
審計小組複印了所檢查的員工培訓記錄以支持他們的結論。審計團隊在採取此行動之前是否應該獲得 Lawsy 的批准?請參閱場景 7。
ISO-IEC-27001-Lead-Auditor-CN Exam Question 122
下列哪兩個選項是使用抽樣計畫進行審核的優點?
ISO-IEC-27001-Lead-Auditor-CN Exam Question 123
管理體系審核的目的是?選擇1
ISO-IEC-27001-Lead-Auditor-CN Exam Question 124
您是一位經驗豐富的 ISMS 審核團隊領導者。在進行第三方監督審核期間,您決定測試受審核方對 ISO/IEC 27001 風險管理要求的了解。
你問她一系列問題,答案要么是“那是真的”,要么是“那是假的”。她應該回答以下哪四項「這是真的」?
你問她一系列問題,答案要么是“那是真的”,要么是“那是假的”。她應該回答以下哪四項「這是真的」?
ISO-IEC-27001-Lead-Auditor-CN Exam Question 125
您正在一家提供醫療保健服務的住宅療養院進行 ISMS 審核。審核計畫的下一步是驗證適用性聲明 (SoA) 是否包含必要的控制措施。
您查看最新的 SoA(版本 5)文檔,對原始程式碼 (A.8.4) 的存取控制進行採樣,並想了解組織如何保護從外包軟體開發人員收到的 ABC 醫療保健行動應用程式原始程式碼。
IT 安全經理解釋說,收到的原始程式碼將被檢查到 SCM 系統中,以確保其完整性和安全性。只有授權使用者才能查看軟體並進行更新。
系統會自動記錄入住和退房活動。版本控制由系統自動管理。
您在 SCM 上總共發現了 10 個使用者帳戶。他們全部來自IT部門。您進一步與人力資源經理核實,並確認其中一位用戶 Scott 已於 9 個月前辭職。 SCM 系統管理員確認 Scott 最後一次檢出原始碼是在 1 個月前。他正在安全區域使用本機網路的授權桌面之一。
您檢查了使用者登出程序,其中規定「管理人員必須確保在辭職批准後立即從相關ICT系統和/或設備註銷使用者帳戶和授權」。用戶Scott沒有註銷記錄。
IT 安全經理解釋說,Scott 是一位非常優秀的軟體工程師、前同事和朋友。
辭職後,他仍然每月回到辦公室提供原始碼維護支援。這就是為什麼他在 SCM 上的帳戶仍然存在。 「我們很了解 Scott,他在加入我們時通過了我們所有的背景調查。因此,我們認為沒有必要僅僅因為他現在是外部提供者而與他同意任何進一步的資訊安全要求」。
您準備審計結果。選出三個正確選項。
您查看最新的 SoA(版本 5)文檔,對原始程式碼 (A.8.4) 的存取控制進行採樣,並想了解組織如何保護從外包軟體開發人員收到的 ABC 醫療保健行動應用程式原始程式碼。
IT 安全經理解釋說,收到的原始程式碼將被檢查到 SCM 系統中,以確保其完整性和安全性。只有授權使用者才能查看軟體並進行更新。
系統會自動記錄入住和退房活動。版本控制由系統自動管理。
您在 SCM 上總共發現了 10 個使用者帳戶。他們全部來自IT部門。您進一步與人力資源經理核實,並確認其中一位用戶 Scott 已於 9 個月前辭職。 SCM 系統管理員確認 Scott 最後一次檢出原始碼是在 1 個月前。他正在安全區域使用本機網路的授權桌面之一。
您檢查了使用者登出程序,其中規定「管理人員必須確保在辭職批准後立即從相關ICT系統和/或設備註銷使用者帳戶和授權」。用戶Scott沒有註銷記錄。
IT 安全經理解釋說,Scott 是一位非常優秀的軟體工程師、前同事和朋友。
辭職後,他仍然每月回到辦公室提供原始碼維護支援。這就是為什麼他在 SCM 上的帳戶仍然存在。 「我們很了解 Scott,他在加入我們時通過了我們所有的背景調查。因此,我們認為沒有必要僅僅因為他現在是外部提供者而與他同意任何進一步的資訊安全要求」。
您準備審計結果。選出三個正確選項。