ISO-IEC-27001-Lead-Auditor-CN Exam Question 36
您正在進行 ISMS 審核。審計計劃的下一步是驗證組織的資訊安全風險處理計劃是否已製定並正確實施。您決定採訪 IT 安全經理。
您:能否請您解釋一下組織是如何進行資訊安全風險評估和處理流程的?
IT 安全經理:我們遵循資訊安全風險管理程序,產生風險處理計劃。
旁白:您回顧了第 123 號風險處理計劃,該計劃涉及計劃安裝電子(隱形)圍欄,以提高療養院的物理安全。您發現風險處理計劃已獲得 IT 安全經理的批准。
您:誰要為實體安全風險負責?
IT 安全經理:設施經理負責實體安全風險。 IT部門幫助他們監控警報。授權設施經理批准123號風險處理計畫的預算。
您:123號風險處置預案實施後,還有哪些資訊安全風險殘留?
IT安全經理:據我了解,目前還沒有關於殘留資訊安全風險接受的資訊。
您準備您的審計結果。為場景中合理的發現選擇三個選項。
您:能否請您解釋一下組織是如何進行資訊安全風險評估和處理流程的?
IT 安全經理:我們遵循資訊安全風險管理程序,產生風險處理計劃。
旁白:您回顧了第 123 號風險處理計劃,該計劃涉及計劃安裝電子(隱形)圍欄,以提高療養院的物理安全。您發現風險處理計劃已獲得 IT 安全經理的批准。
您:誰要為實體安全風險負責?
IT 安全經理:設施經理負責實體安全風險。 IT部門幫助他們監控警報。授權設施經理批准123號風險處理計畫的預算。
您:123號風險處置預案實施後,還有哪些資訊安全風險殘留?
IT安全經理:據我了解,目前還沒有關於殘留資訊安全風險接受的資訊。
您準備您的審計結果。為場景中合理的發現選擇三個選項。
ISO-IEC-27001-Lead-Auditor-CN Exam Question 37
您是 ISMS 審計團隊負責人,負責在客戶的資料中心進行後續審計。
現場兩天后,您得出結論,在促使進行後續審核的最初 12 項輕微不符合項和 1 項重大不符合項中,只有 1 項輕微不符合項仍未解決。
選擇您可以採取的動作的四個選項。
現場兩天后,您得出結論,在促使進行後續審核的最初 12 項輕微不符合項和 1 項重大不符合項中,只有 1 項輕微不符合項仍未解決。
選擇您可以採取的動作的四個選項。
ISO-IEC-27001-Lead-Auditor-CN Exam Question 38
您詢問IT經理,既然個人資料加密和匿名化測試失敗,為什麼公司仍然繼續使用該行動應用程式。此外,您也詢問服務經理是否有權批准測試。
IT經理解釋說,根據軟體安全管理流程,測試結果需要他批准。加密和匿名化功能失敗的原因是這些功能嚴重降低了系統和服務效能,需要額外150%的資源來彌補。服務經理認為存取控制已經足夠完善,可以接受,因此簽署了批准文件。
您正在準備審計結果。請選擇正確選項。
* 存在不符合項(NC)。組織和開發人員均未執行驗收測試。
(與第 8.1 條相關,控制 A.8.29)
IT經理解釋說,根據軟體安全管理流程,測試結果需要他批准。加密和匿名化功能失敗的原因是這些功能嚴重降低了系統和服務效能,需要額外150%的資源來彌補。服務經理認為存取控制已經足夠完善,可以接受,因此簽署了批准文件。
您正在準備審計結果。請選擇正確選項。
* 存在不符合項(NC)。組織和開發人員均未執行驗收測試。
(與第 8.1 條相關,控制 A.8.29)
ISO-IEC-27001-Lead-Auditor-CN Exam Question 39
下列哪一個選項描述了第一階段審核的主要目的?
* 確定是否已準備好進入第二階段
* 確定是否已準備好進入第二階段
ISO-IEC-27001-Lead-Auditor-CN Exam Question 40
問題
一家認證機構決定對其一名審核員進行現場評估,當時該審核員正在執行ISO認證。
/為客戶進行IEC 27001認證審核。
這樣做可以嗎?
一家認證機構決定對其一名審核員進行現場評估,當時該審核員正在執行ISO認證。
/為客戶進行IEC 27001認證審核。
這樣做可以嗎?