ISO-IEC-27001-Lead-Auditor-CN Exam Question 71
問題
在認證審核過程中,受審核方透過書面資料向審核員證明其已進行風險評估並選擇了若干控制措施以確保資訊安全。在這種情況下,審核員應該核實哪些內容?
在認證審核過程中,受審核方透過書面資料向審核員證明其已進行風險評估並選擇了若干控制措施以確保資訊安全。在這種情況下,審核員應該核實哪些內容?
ISO-IEC-27001-Lead-Auditor-CN Exam Question 72
您正在一家名為 ABC 的提供醫療保健服務的住宅療養院進行 ISMS 審核。
審核計劃的下一步是驗證 ABC 醫療保健行動應用程式開發、支援和生命週期流程的資訊安全性。在審核過程中,您了解到該組織將行動應用程式開發外包給了一家具有 CMMI 5 級、ITSM(ISO
/IEC
20000-1)、BCMS (ISO 22301) 和 ISMS (ISO/IEC 27001) 認證。 IT經理介紹了軟體安全管理流程,並將流程總結如下:
行動應用程式開發至少應採用「設計安全」和「預設安全」原則。應具備以下個人資料保護安全功能:
存取控制。
個人資料加密,即高階加密標準(AES)演算法,金鑰長度:256位元;個人資料假名化。
已檢查漏洞,無安全後門
您可以獲得最新的行動應用測試報告樣本 - 詳細資訊如下:
您詢問 IT 經理,為什麼組織仍在使用行動應用程序,而個人資料加密和假名化測試卻失敗了。此外,服務經理是否有權批准測試。
IT經理解釋說,根據軟體安全管理程序,測試結果應由他批准。加密和假名功能失敗的原因是這些功能嚴重降低了系統和服務效能。額外的
需要 150% 的資源來實現這一點。服務經理同意存取控制足夠好並且可以接受。這就是服務經理簽署批准書的原因。
您對醫務人員的手機進行採樣,發現 ABC 的醫療保健行動應用程式版本
1.01 已安裝。你發現1.01版本沒有測試記錄。
IT經理解釋說,由於勒索軟體攻擊頻繁,外包行動應用開發公司對受測軟體進行了免費小幅更新,並對更新後的軟體進行了緊急發布,並口頭保證不會對安全造成任何影響。以他20年的資訊安全經驗來看,沒有必要重新測試。
您正在準備審核結果 請選擇兩個正確的選項。
審核計劃的下一步是驗證 ABC 醫療保健行動應用程式開發、支援和生命週期流程的資訊安全性。在審核過程中,您了解到該組織將行動應用程式開發外包給了一家具有 CMMI 5 級、ITSM(ISO
/IEC
20000-1)、BCMS (ISO 22301) 和 ISMS (ISO/IEC 27001) 認證。 IT經理介紹了軟體安全管理流程,並將流程總結如下:
行動應用程式開發至少應採用「設計安全」和「預設安全」原則。應具備以下個人資料保護安全功能:
存取控制。
個人資料加密,即高階加密標準(AES)演算法,金鑰長度:256位元;個人資料假名化。
已檢查漏洞,無安全後門
您可以獲得最新的行動應用測試報告樣本 - 詳細資訊如下:
您詢問 IT 經理,為什麼組織仍在使用行動應用程序,而個人資料加密和假名化測試卻失敗了。此外,服務經理是否有權批准測試。
IT經理解釋說,根據軟體安全管理程序,測試結果應由他批准。加密和假名功能失敗的原因是這些功能嚴重降低了系統和服務效能。額外的
需要 150% 的資源來實現這一點。服務經理同意存取控制足夠好並且可以接受。這就是服務經理簽署批准書的原因。
您對醫務人員的手機進行採樣,發現 ABC 的醫療保健行動應用程式版本
1.01 已安裝。你發現1.01版本沒有測試記錄。
IT經理解釋說,由於勒索軟體攻擊頻繁,外包行動應用開發公司對受測軟體進行了免費小幅更新,並對更新後的軟體進行了緊急發布,並口頭保證不會對安全造成任何影響。以他20年的資訊安全經驗來看,沒有必要重新測試。
您正在準備審核結果 請選擇兩個正確的選項。
ISO-IEC-27001-Lead-Auditor-CN Exam Question 73
從以下選項中,選擇完全由第三方審計團隊負責人負責的選項。
ISO-IEC-27001-Lead-Auditor-CN Exam Question 74
身為資訊安全管理系統審核小組組長,您正在代表一家線上零售商對一家國際物流公司進行第二方審核。在審核期間,您的一名團隊成員報告了與 ISO/IEC 27001 附錄 A 的控制 5.18(存取權限)相關的不合格項:
2022 年。 她發現證據表明,刪除過去 3 個月內離開的 20 名人員的伺服器存取協定需要長達 1 週的時間,而政策要求在他們離開後 24 小時內刪除存取權限。
當被審核方被問及為何延遲刪除訪問權限時,他們回答說,“由於 COVID-19 的影響,IT 部門在此期間沒有人可用。”一旦 IT 官員出現,這些權利就被取消。
您注意到她打算針對存取權限控制 (5.18) 提出輕微不符合項。對此你該如何回應?
2022 年。 她發現證據表明,刪除過去 3 個月內離開的 20 名人員的伺服器存取協定需要長達 1 週的時間,而政策要求在他們離開後 24 小時內刪除存取權限。
當被審核方被問及為何延遲刪除訪問權限時,他們回答說,“由於 COVID-19 的影響,IT 部門在此期間沒有人可用。”一旦 IT 官員出現,這些權利就被取消。
您注意到她打算針對存取權限控制 (5.18) 提出輕微不符合項。對此你該如何回應?
ISO-IEC-27001-Lead-Auditor-CN Exam Question 75
您是 ISMS 審核員,正在對電信供應商進行第三方監督審核。您位於設備暫存室,網路交換器在傳送給客戶之前已預先編程。您注意到,最近未通過初始設定測試並被退回重新編程的交換器數量顯著增加。
你問首席測試員為什麼,她說,「這是最近 ISMS 升級的結果」。在升級之前,每個技術人員都有自己的硬拷貝工作說明。現在,我團隊的八名成員必須共用兩台筆記型電腦才能在線上存取客戶的設定說明。這些延誤給技術人員帶來了壓力,導致更多錯誤。
僅根據上述信息,針對 ISO 的哪一項條款提出不合格項'選擇一項。
你問首席測試員為什麼,她說,「這是最近 ISMS 升級的結果」。在升級之前,每個技術人員都有自己的硬拷貝工作說明。現在,我團隊的八名成員必須共用兩台筆記型電腦才能在線上存取客戶的設定說明。這些延誤給技術人員帶來了壓力,導致更多錯誤。
僅根據上述信息,針對 ISO 的哪一項條款提出不合格項'選擇一項。