ISO-IEC-27001-Lead-Auditor-CN Exam Question 51
問題:
身為審計員,您注意到ABC公司製定了一套管理可移動儲存媒體的程序。該程序基於ABC公司採用的分類方案。因此,如果儲存的資訊被分類為“機密”,則該程式適用。但是,公共資訊沒有保密要求,因此僅適用完整性和可用性控制。這屬於哪種類型的審計發現?
身為審計員,您注意到ABC公司製定了一套管理可移動儲存媒體的程序。該程序基於ABC公司採用的分類方案。因此,如果儲存的資訊被分類為“機密”,則該程式適用。但是,公共資訊沒有保密要求,因此僅適用完整性和可用性控制。這屬於哪種類型的審計發現?
ISO-IEC-27001-Lead-Auditor-CN Exam Question 52
在第一階段審核開始會議上,管理系統代表 (MSR) 要求擴大審核範圍,將他們在認證申請提交後擴展到的一個海外新地點納入其中。
請選擇兩種審計員應如何應對的方案。
*告知MSR,範圍擴大可能納入考慮,但必須遵循既定程序。
請選擇兩種審計員應如何應對的方案。
*告知MSR,範圍擴大可能納入考慮,但必須遵循既定程序。
ISO-IEC-27001-Lead-Auditor-CN Exam Question 53
您是審計團隊負責人,對一家線上保險機構進行第三方審計。舞台期間
1,您發現組織採取了非常謹慎的風險方法,並將 ISO/IEC 27001:2022 附錄 A 中的所有資訊安全控制措施納入其適用性聲明中。
在第二階段審核期間,您的審核團隊發現沒有證據顯示實施了適用性聲明摘錄中顯示的三項控制措施(5.3 職責分離、6.1 篩選、7.12 佈線安全)。未找到風險處理方案。
選擇三個選項,說明您希望受審核方針對 ISO/IEC 27001:2022 第 6.1.3.e 條的不符合項所採取的措施。
1,您發現組織採取了非常謹慎的風險方法,並將 ISO/IEC 27001:2022 附錄 A 中的所有資訊安全控制措施納入其適用性聲明中。
在第二階段審核期間,您的審核團隊發現沒有證據顯示實施了適用性聲明摘錄中顯示的三項控制措施(5.3 職責分離、6.1 篩選、7.12 佈線安全)。未找到風險處理方案。
選擇三個選項,說明您希望受審核方針對 ISO/IEC 27001:2022 第 6.1.3.e 條的不符合項所採取的措施。
ISO-IEC-27001-Lead-Auditor-CN Exam Question 54
場景 1:Fintive 是一家傑出的線上支付和保護解決方案安全提供者。 Fintive 於 1999 年由 Thomas Fin 在加州聖荷西創立,為線上營運、希望提高資訊安全、防止詐欺並保護 PII 等用戶資訊的公司提供服務。 Fintive的決策和營運流程以以往的案例為中心。他們收集客戶數據,根據情況進行分類並進行分析。該公司需要大量員工才能進行如此複雜的分析。然而,幾年後,協助進行此類分析的技術也取得了進展。現在,Fintive 正計劃使用現代工具聊天機器人來實現模式分析,以即時防止詐騙。該工具也將用於幫助改善客戶服務。
這個最初的想法已傳達給軟體開發團隊,他們支持該想法並被分配從事該專案。他們開始將聊天機器人整合到現有系統中。此外,團隊也為聊天機器人設定了一個目標,即回答 85% 的聊天查詢。
聊天機器人成功整合後,該公司立即將其發布給客戶使用。
然而,聊天機器人似乎存在一些問題。
由於測試不足,並且在訓練階段缺乏向聊天機器人提供的樣本(在訓練階段,聊天機器人本應「學習」查詢模式),因此聊天機器人無法解決用戶查詢並提供正確的答案。此外,當聊天機器人收到無效輸入(例如奇怪的點圖案和特殊字元)時,它會向使用者發送隨機檔案。因此,聊天機器人無法正確回答客戶的查詢,而傳統的客戶支援因聊天查詢而不堪重負,因此無法幫助客戶解決他們的請求。
因此,Fintive 制定了軟體開發政策。該政策規定,無論軟體是內部開發還是外包,在作業系統上實施之前都將經過黑盒測試。
根據場景 1,聊天機器人在收到無效輸入時會向使用者發送隨機檔案。這可能會導致什麼影響?
這個最初的想法已傳達給軟體開發團隊,他們支持該想法並被分配從事該專案。他們開始將聊天機器人整合到現有系統中。此外,團隊也為聊天機器人設定了一個目標,即回答 85% 的聊天查詢。
聊天機器人成功整合後,該公司立即將其發布給客戶使用。
然而,聊天機器人似乎存在一些問題。
由於測試不足,並且在訓練階段缺乏向聊天機器人提供的樣本(在訓練階段,聊天機器人本應「學習」查詢模式),因此聊天機器人無法解決用戶查詢並提供正確的答案。此外,當聊天機器人收到無效輸入(例如奇怪的點圖案和特殊字元)時,它會向使用者發送隨機檔案。因此,聊天機器人無法正確回答客戶的查詢,而傳統的客戶支援因聊天查詢而不堪重負,因此無法幫助客戶解決他們的請求。
因此,Fintive 制定了軟體開發政策。該政策規定,無論軟體是內部開發還是外包,在作業系統上實施之前都將經過黑盒測試。
根據場景 1,聊天機器人在收到無效輸入時會向使用者發送隨機檔案。這可能會導致什麼影響?
ISO-IEC-27001-Lead-Auditor-CN Exam Question 55
在第二階段審計的開幕會議上,客戶組織的總經理邀請審計團隊觀看 45 分鐘的新組織影片。
審計團隊負責人應該做出下列哪兩項回應?
審計團隊負責人應該做出下列哪兩項回應?