ISO-IEC-27001-Lead-Auditor-CN Exam Question 21
場景 2:Knight 是一家來自美國北加州的電子公司,開發電玩遊戲機。 Knight 在全球擁有 300 多名員工。在成立五週年之際,他們決定推出 G-Console,這是一款面向全球市場的新一代電玩遊戲機。 G-Console被認為是2021年的終極媒體機,將為玩家帶來最佳的遊戲體驗。
主機包將包括一副 VR 耳機、兩個
遊戲和其他禮物。
多年來,公司透過誠信、誠實和尊重客戶而建立了良好的聲譽。這種良好的聲譽是大多數熱衷遊戲玩家在Knight的G-console一上市就想擁有它的原因之一。
Knight 除了是一家非常以客戶為導向的公司之外,
也因其開發品質獲得了遊戲產業的廣泛認可。他們的價格比合理標準允許的要高一些。
儘管如此,對於 Knight 的大多數忠實客戶來說,這並不是一個問題,因為它們的品質是一流的。
作為世界頂級視訊遊戲機開發商之一,Knight 也經常成為惡意活動的焦點。該公司的 ISMS 已投入運作一年多了。 ISMS 範圍包括 Knight 的所有部門(財務和人力資源部門除外)。
最近,奈特的一些包含專有資訊的文件被駭客洩露。 Knight 的事件回應團隊 (IRT) 立即開始分析系統的每個部分以及事件的詳細資訊。
IRT 的第一個懷疑是 Knight 的員工使用了弱密碼,因此很容易被未經授權存取其帳戶的駭客破解。然而,在仔細調查該事件後,IRT 確定駭客透過擷取檔案傳輸協定 (FTP) 流量來存取帳戶。
FTP 是一種用於在帳戶之間傳輸檔案的網路協定。它使用明文密碼進行身份驗證。
受此資訊安全事件的影響,在IRT的建議下,Knight決定用Secure Shell (SSH)協定取代FTP,這樣任何捕獲流量的人都只能看到加密的資料。
在這些變化之後,奈特進行了風險評估,以驗證控制措施的實施是否已將類似事件的風險降至最低。該過程的結果得到了 ISMS 專案經理的批准,他聲稱實施新控制措施後的風險等級符合公司的風險接受程度。
根據該場景,回答以下問題:
Knight 在以 SSH 取代 FTP 時使用了哪種風險處理選項?請參閱場景 2。
主機包將包括一副 VR 耳機、兩個
遊戲和其他禮物。
多年來,公司透過誠信、誠實和尊重客戶而建立了良好的聲譽。這種良好的聲譽是大多數熱衷遊戲玩家在Knight的G-console一上市就想擁有它的原因之一。
Knight 除了是一家非常以客戶為導向的公司之外,
也因其開發品質獲得了遊戲產業的廣泛認可。他們的價格比合理標準允許的要高一些。
儘管如此,對於 Knight 的大多數忠實客戶來說,這並不是一個問題,因為它們的品質是一流的。
作為世界頂級視訊遊戲機開發商之一,Knight 也經常成為惡意活動的焦點。該公司的 ISMS 已投入運作一年多了。 ISMS 範圍包括 Knight 的所有部門(財務和人力資源部門除外)。
最近,奈特的一些包含專有資訊的文件被駭客洩露。 Knight 的事件回應團隊 (IRT) 立即開始分析系統的每個部分以及事件的詳細資訊。
IRT 的第一個懷疑是 Knight 的員工使用了弱密碼,因此很容易被未經授權存取其帳戶的駭客破解。然而,在仔細調查該事件後,IRT 確定駭客透過擷取檔案傳輸協定 (FTP) 流量來存取帳戶。
FTP 是一種用於在帳戶之間傳輸檔案的網路協定。它使用明文密碼進行身份驗證。
受此資訊安全事件的影響,在IRT的建議下,Knight決定用Secure Shell (SSH)協定取代FTP,這樣任何捕獲流量的人都只能看到加密的資料。
在這些變化之後,奈特進行了風險評估,以驗證控制措施的實施是否已將類似事件的風險降至最低。該過程的結果得到了 ISMS 專案經理的批准,他聲稱實施新控制措施後的風險等級符合公司的風險接受程度。
根據該場景,回答以下問題:
Knight 在以 SSH 取代 FTP 時使用了哪種風險處理選項?請參閱場景 2。
ISO-IEC-27001-Lead-Auditor-CN Exam Question 22
場景 7:Lawsy 是一家領先的律師事務所,在新澤西州和紐約市設有辦公室。它擁有 50 多名律師,為商業法、智慧財產權、銀行和金融服務領域的客戶提供完善的法律服務。他們相信,由於他們致力於實施資訊安全最佳實踐並跟上技術發展的步伐,他們在市場上佔據了有利的地位。
Lawsy 已經嚴格實施、評估和進行 ISMS 內部審核兩年了。
現在,他們已向知名且值得信賴的認證機構ISMA申請ISO/IEC 27001認證。
在第一階段審核期間,審核小組審查了實施過程中所建立的所有 ISMS 文件。
他們還審查和評估了管理審查和內部審計的記錄。
Lawsy 提交了證據記錄,表明在必要時對不合格項採取了糾正措施,因此審核組約談了內部審核員。訪談透過提供對內部稽核計畫和程序的詳細了解,驗證了內部稽核的充分性和頻率。
審計小組繼續驗證戰略文件,包括資訊安全政策和風險評估標準。在資訊安全政策審查期間,團隊注意到描述治理框架(即資訊安全政策)的記錄資訊與程序之間存在不一致。
儘管允許員工將筆記型電腦帶到工作場所之外,但 Lawsy 並沒有製定有關在這種情況下使用筆記型電腦的程序。此政策僅提供有關筆記型電腦使用的一般資訊。該公司依靠員工的常識來保護筆記型電腦中儲存的資訊的機密性和完整性。該問題已記錄在第一階段審計報告中。
完成第一階段審核後,審核組長準備了審核計劃,其中闡述了審核目標、範圍、標準和程序。
在第二階段審核期間,審核小組約談了資安經理,資安經理起草了資訊安全政策。他透過指出 Lawsy 每三個月舉辦一次強制性資訊安全培訓和意識課程來證明第一階段中確定的問題的合理性。
面談後,審核小組檢查了 15 份員工培訓記錄(共 50 份),得出的結論是 Lawsy 符合 ISO/IEC 27001 有關培訓和意識的要求。為了支持這個結論,他們影印了檢查過的員工訓練記錄。
根據上述場景,回答以下問題:
根據情境 7,Lawsy 在開始第二階段審核之前該做什麼?
Lawsy 已經嚴格實施、評估和進行 ISMS 內部審核兩年了。
現在,他們已向知名且值得信賴的認證機構ISMA申請ISO/IEC 27001認證。
在第一階段審核期間,審核小組審查了實施過程中所建立的所有 ISMS 文件。
他們還審查和評估了管理審查和內部審計的記錄。
Lawsy 提交了證據記錄,表明在必要時對不合格項採取了糾正措施,因此審核組約談了內部審核員。訪談透過提供對內部稽核計畫和程序的詳細了解,驗證了內部稽核的充分性和頻率。
審計小組繼續驗證戰略文件,包括資訊安全政策和風險評估標準。在資訊安全政策審查期間,團隊注意到描述治理框架(即資訊安全政策)的記錄資訊與程序之間存在不一致。
儘管允許員工將筆記型電腦帶到工作場所之外,但 Lawsy 並沒有製定有關在這種情況下使用筆記型電腦的程序。此政策僅提供有關筆記型電腦使用的一般資訊。該公司依靠員工的常識來保護筆記型電腦中儲存的資訊的機密性和完整性。該問題已記錄在第一階段審計報告中。
完成第一階段審核後,審核組長準備了審核計劃,其中闡述了審核目標、範圍、標準和程序。
在第二階段審核期間,審核小組約談了資安經理,資安經理起草了資訊安全政策。他透過指出 Lawsy 每三個月舉辦一次強制性資訊安全培訓和意識課程來證明第一階段中確定的問題的合理性。
面談後,審核小組檢查了 15 份員工培訓記錄(共 50 份),得出的結論是 Lawsy 符合 ISO/IEC 27001 有關培訓和意識的要求。為了支持這個結論,他們影印了檢查過的員工訓練記錄。
根據上述場景,回答以下問題:
根據情境 7,Lawsy 在開始第二階段審核之前該做什麼?
ISO-IEC-27001-Lead-Auditor-CN Exam Question 23
下列哪一項是利害關係方的定義?
ISO-IEC-27001-Lead-Auditor-CN Exam Question 24
您正在一家名為 ABC 的提供醫療保健服務的住宅療養院進行 ISMS 審核。您會發現所有療養院居民都戴著電子腕帶,用於監控他們的位置、心跳和血壓。您了解到,電子腕帶會自動將所有資料上傳到人工智慧(AI)雲端伺服器,供醫護人員進行健康監測和分析。
為了驗證 ISMS 的範圍,您採訪了管理系統代表 (MSR),他解釋說 ISMS 範圍涵蓋外包資料中心。
選擇定義 ISMS 範圍內容的正確敘述之一。
為了驗證 ISMS 的範圍,您採訪了管理系統代表 (MSR),他解釋說 ISMS 範圍涵蓋外包資料中心。
選擇定義 ISMS 範圍內容的正確敘述之一。
ISO-IEC-27001-Lead-Auditor-CN Exam Question 25
您是經驗豐富的 ISMS 審核團隊負責人,負責進行第三方監督訪問。
您注意到,儘管受審核方聲稱符合 ISO/IEC 27001:2022,但他們仍將改進稱為第 10.2 條(與 2013 年版一樣),而現在是 2022 年版中的第 10.1 條。您已確認它們符合標準中規定的所有 2022 年要求。
選擇您應該採取的操作之一。
您注意到,儘管受審核方聲稱符合 ISO/IEC 27001:2022,但他們仍將改進稱為第 10.2 條(與 2013 年版一樣),而現在是 2022 年版中的第 10.1 條。您已確認它們符合標準中規定的所有 2022 年要求。
選擇您應該採取的操作之一。