ISO-IEC-27001-Lead-Auditor-CN Exam Question 41
當審核團隊的另一位成員向您尋求澄清時,您正在進行第三方監督審核。他們被要求評估組織對控制 5.7 - 威脅情報的應用。他們知道這是 2022 年版 ISO/IEC 中引入的新控制措施之一
27001,他們希望確保正確審核控制。
他們準備了一份清單來協助他們進行審核,並希望您確認他們計劃的活動符合控制要求。
下列哪三個選項代表有效的審計追蹤?
27001,他們希望確保正確審核控制。
他們準備了一份清單來協助他們進行審核,並希望您確認他們計劃的活動符合控制要求。
下列哪三個選項代表有效的審計追蹤?
ISO-IEC-27001-Lead-Auditor-CN Exam Question 42
內部稽核和外部稽核有何關係?
ISO-IEC-27001-Lead-Auditor-CN Exam Question 43
場景 9:Techmanic 是一家比利時公司,成立於 1995 年,目前在布魯塞爾運作。該公司提供 IT 諮詢、軟體設計以及軟體硬體服務,包括部署和維護。其服務業涵蓋公共服務、金融、電信、能源、醫療保健和教育等領域。作為一家以客戶為中心的公司,Techmanic 重視與客戶建立牢固的關係,並致力於採用領先的安全實踐。
Techmanic 已獲得 ISO/IEC 27001 認證一年,並對此認證引以為傲。在認證審核期間,審核員發現其資訊安全管理系統 (ISMS) 的實施存在一些不一致之處。由於發現的問題並未影響其 ISMS 實現預期結果的能力,因此在審核員遠端跟進根本原因分析和糾正措施後,Techmanic 獲得了認證。同年,該公司在其服務清單中新增了主機託管服務,並申請擴大認證範圍以涵蓋該領域。負責審核的審核員批准了該申請,並通知 Techmanic 將在監督審核期間進行擴展審核。 Techmanic 接受了監督審核,以驗證其 ISMS 的持續有效性以及對 ISO/IEC 27001 的合規性。監督審核旨在確保 Techmanic 的安全實踐(包括最近新增的主機託管服務)與認證的嚴格要求無縫銜接。審核員在重新認證過程中策略性地利用了先前監督審核報告中的發現,旨在避免進行額外的重新認證審核,尤其是在 IT 諮詢領域。認識到持續改進的價值,並從過去的評估中吸取經驗教訓。
Techmanic實施了一項審查以往監督審計報告的慣例。這種積極主動的做法不僅有助於識別和解決潛在的不符合項,而且旨在簡化IT諮詢行業的重新認證流程。
在監督審核過程中,發現了一些不符合項。資訊安全管理系統(ISMS)持續符合ISO/IEC標準。
Techmanic公司雖然符合ISO/IEC 27001*標準的要求,但其內部稽核員報告稱,該公司未能解決與託管服務相關的不符合項。此外,內部稽核報告存在多處不一致之處,令人質疑內部稽核員在託管服務稽核過程中的獨立性。基於此,Techmanic公司未獲得擴展認證。因此,該公司申請轉至其他認證機構。同時,該公司向客戶發布聲明稱,ISO/IEC 27001認證涵蓋其IT服務以及託管服務。
根據以上情景,回答以下問題:
問題:
審核員在遠端跟進整改措施後,建議Techmanic公司取得認證。這是否可以接受?
Techmanic 已獲得 ISO/IEC 27001 認證一年,並對此認證引以為傲。在認證審核期間,審核員發現其資訊安全管理系統 (ISMS) 的實施存在一些不一致之處。由於發現的問題並未影響其 ISMS 實現預期結果的能力,因此在審核員遠端跟進根本原因分析和糾正措施後,Techmanic 獲得了認證。同年,該公司在其服務清單中新增了主機託管服務,並申請擴大認證範圍以涵蓋該領域。負責審核的審核員批准了該申請,並通知 Techmanic 將在監督審核期間進行擴展審核。 Techmanic 接受了監督審核,以驗證其 ISMS 的持續有效性以及對 ISO/IEC 27001 的合規性。監督審核旨在確保 Techmanic 的安全實踐(包括最近新增的主機託管服務)與認證的嚴格要求無縫銜接。審核員在重新認證過程中策略性地利用了先前監督審核報告中的發現,旨在避免進行額外的重新認證審核,尤其是在 IT 諮詢領域。認識到持續改進的價值,並從過去的評估中吸取經驗教訓。
Techmanic實施了一項審查以往監督審計報告的慣例。這種積極主動的做法不僅有助於識別和解決潛在的不符合項,而且旨在簡化IT諮詢行業的重新認證流程。
在監督審核過程中,發現了一些不符合項。資訊安全管理系統(ISMS)持續符合ISO/IEC標準。
Techmanic公司雖然符合ISO/IEC 27001*標準的要求,但其內部稽核員報告稱,該公司未能解決與託管服務相關的不符合項。此外,內部稽核報告存在多處不一致之處,令人質疑內部稽核員在託管服務稽核過程中的獨立性。基於此,Techmanic公司未獲得擴展認證。因此,該公司申請轉至其他認證機構。同時,該公司向客戶發布聲明稱,ISO/IEC 27001認證涵蓋其IT服務以及託管服務。
根據以上情景,回答以下問題:
問題:
審核員在遠端跟進整改措施後,建議Techmanic公司取得認證。這是否可以接受?
ISO-IEC-27001-Lead-Auditor-CN Exam Question 44
您正在對ABC醫療保健服務公司(一家養老院)進行ISO 27001資訊安全管理系統(ISMS)監督審核。 ABC使用供應商WeCare設計和維護的醫療保健行動應用程式來監測住戶的健康狀況。在審核過程中,您發現90%的住戶家屬每週都會收到WeCare透過電子郵件和簡訊發送的醫療器材廣告。 ABC與WeCare之間的服務協議禁止供應商使用住戶的個人資料。 ABC已收到許多住戶及其家屬的投訴。
服務經理表示,這些投訴已作為資訊安全事件進行調查,調查結果顯示投訴屬實。
已根據不符合項和糾正措施管理程序制定並實施了糾正措施。
您撰寫了一份不符合:「ABC公司未能遵守資訊安全控制A.5.34(隱私和個人識別資訊保護),該控制涉及居民及其家屬的個人資料。供應商WeCare利用居民的個人資訊向其家屬發送廣告。」請從列出的更正和糾正措施中選擇三項,作為您期望ABC公司針對此不符合項採取的措施。
* ABC 要求 ISMS 顧問測試 ABC Healthcare 行動應用程序,以防範網路犯罪。
服務經理表示,這些投訴已作為資訊安全事件進行調查,調查結果顯示投訴屬實。
已根據不符合項和糾正措施管理程序制定並實施了糾正措施。
您撰寫了一份不符合:「ABC公司未能遵守資訊安全控制A.5.34(隱私和個人識別資訊保護),該控制涉及居民及其家屬的個人資料。供應商WeCare利用居民的個人資訊向其家屬發送廣告。」請從列出的更正和糾正措施中選擇三項,作為您期望ABC公司針對此不符合項採取的措施。
* ABC 要求 ISMS 顧問測試 ABC Healthcare 行動應用程序,以防範網路犯罪。
ISO-IEC-27001-Lead-Auditor-CN Exam Question 45
為了驗證是否符合 ISO/IEC 27001 附錄 A 控制措施 8.15 記錄,審核小組驗證了伺服器日誌樣本,以確定它們是否可以編輯或刪除。使用了哪種審計程序?