ISO-IEC-27001-Lead-Auditor-CN試験無料問題集「PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor中文版) 認定」
場景 3:Rebuildy 是一家位於泰國曼谷的建築公司,專門從事住宅建築的設計、建造和維護。為了確保敏感專案資料和客戶資訊的安全,Rebuildy 決定實施基於 ISO/IEC 27001 的資訊安全管理系統 (ISMS)。
ISMS 實施成果如下
* 資訊安全是透過應用一系列安全控制和製定政策、流程和程序來實現的。
* 安全控制是根據風險評估實施的,旨在消除風險或將風險降低到可接受的水平。
* 所有流程均基於計劃-執行-檢查-行動 (PDCA) 模型確保 ISMS 的持續改進。
* 資訊安全政策是根據最佳安全實務起草的安全手冊的一部分,因此,它不是一份獨立的文件。
* 資訊安全角色和職責已在每位員工的職位說明中明確說明
* 資訊安全管理系統的管理評審是依照計畫的時間間隔進行的。
Rebuildy 在經歷了兩次中期管理評審和一次年度內部審計後申請了認證。該前員工向審計團隊成員 Electra 提交了書面證據,Rebuildy 的主要客戶 Electra 也提交了有關相同問題的證據,審計員決定保留這份證據,而不是前員工的證據。審計團隊成員一直與 Electra 保持聯繫,直至審計完成,討論審計期間發現的不符合。伊萊克特拉提供了額外的證據來支持這些發現。
在審核開始時,審核小組對公司高階主管進行了訪談,討論了高階主管對 ISMS 實施的承諾等事項。從這些討論中獲得的證據都記錄在書面確認書中,用於確定 Rebuildy 是否符合 ISO/IEC 27001 的幾個條款。其中,發現以下不符合:
* 在公司的財務報告系統中偵測到了不當的使用者存取控制設定實例。
* 尚未建立獨立的資訊安全政策。相反,該公司使用根據最佳安全實踐起草的安全手冊。
在收到審計團隊的這些文件後,團隊負責人會見了 Rebuildy 的高層管理層,介紹了審計結果。審計小組報告了與財務報告系統和缺乏獨立資訊安全政策有關的調查結果。高階主管對調查結果表示不滿,並認為審計組長的行為不專業,暗示他們可能會要求更換組長。迫於壓力,審計組長決定與高階主管合作,淡化所發現的不符合項的重要性。因此,審計團隊負責人調整了報告以呈現更有利的觀點,從而歪曲了 Rebuildy 合規問題的真實程度。
根據上述情景,回答以下問題:
根據情境 3,稽核團隊使用從高階主管訪談中獲得的資訊來確定 Rebuildy 是否符合 ISO/IEC 27001 的幾項條款。這可以接受嗎?
ISMS 實施成果如下
* 資訊安全是透過應用一系列安全控制和製定政策、流程和程序來實現的。
* 安全控制是根據風險評估實施的,旨在消除風險或將風險降低到可接受的水平。
* 所有流程均基於計劃-執行-檢查-行動 (PDCA) 模型確保 ISMS 的持續改進。
* 資訊安全政策是根據最佳安全實務起草的安全手冊的一部分,因此,它不是一份獨立的文件。
* 資訊安全角色和職責已在每位員工的職位說明中明確說明
* 資訊安全管理系統的管理評審是依照計畫的時間間隔進行的。
Rebuildy 在經歷了兩次中期管理評審和一次年度內部審計後申請了認證。該前員工向審計團隊成員 Electra 提交了書面證據,Rebuildy 的主要客戶 Electra 也提交了有關相同問題的證據,審計員決定保留這份證據,而不是前員工的證據。審計團隊成員一直與 Electra 保持聯繫,直至審計完成,討論審計期間發現的不符合。伊萊克特拉提供了額外的證據來支持這些發現。
在審核開始時,審核小組對公司高階主管進行了訪談,討論了高階主管對 ISMS 實施的承諾等事項。從這些討論中獲得的證據都記錄在書面確認書中,用於確定 Rebuildy 是否符合 ISO/IEC 27001 的幾個條款。其中,發現以下不符合:
* 在公司的財務報告系統中偵測到了不當的使用者存取控制設定實例。
* 尚未建立獨立的資訊安全政策。相反,該公司使用根據最佳安全實踐起草的安全手冊。
在收到審計團隊的這些文件後,團隊負責人會見了 Rebuildy 的高層管理層,介紹了審計結果。審計小組報告了與財務報告系統和缺乏獨立資訊安全政策有關的調查結果。高階主管對調查結果表示不滿,並認為審計組長的行為不專業,暗示他們可能會要求更換組長。迫於壓力,審計組長決定與高階主管合作,淡化所發現的不符合項的重要性。因此,審計團隊負責人調整了報告以呈現更有利的觀點,從而歪曲了 Rebuildy 合規問題的真實程度。
根據上述情景,回答以下問題:
根據情境 3,稽核團隊使用從高階主管訪談中獲得的資訊來確定 Rebuildy 是否符合 ISO/IEC 27001 的幾項條款。這可以接受嗎?
正解:C
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
場景 2:Knight 是一家來自美國北加州的電子公司,開發電玩遊戲機。 Knight 在全球擁有 300 多名員工。在成立五週年之際,他們決定推出 G-Console,這是一款面向全球市場的新一代電玩遊戲機。 G-Console被認為是2021年的終極媒體機,將為玩家帶來最佳的遊戲體驗。
主機包將包括一副 VR 耳機、兩個
遊戲和其他禮物。
多年來,公司透過誠信、誠實和尊重客戶而建立了良好的聲譽。這種良好的聲譽是大多數熱衷遊戲玩家在Knight的G-console一上市就想擁有它的原因之一。
Knight 除了是一家非常以客戶為導向的公司之外,
也因其開發品質獲得了遊戲產業的廣泛認可。他們的價格比合理標準允許的要高一些。
儘管如此,對於 Knight 的大多數忠實客戶來說,這並不是一個問題,因為它們的品質是一流的。
作為世界頂級視訊遊戲機開發商之一,Knight 也經常成為惡意活動的焦點。該公司的 ISMS 已投入運作一年多了。 ISMS 範圍包括 Knight 的所有部門(財務和人力資源部門除外)。
最近,奈特的一些包含專有資訊的文件被駭客洩露。 Knight 的事件回應團隊 (IRT) 立即開始分析系統的每個部分以及事件的詳細資訊。
IRT 的第一個懷疑是 Knight 的員工使用了弱密碼,因此很容易被未經授權存取其帳戶的駭客破解。然而,在仔細調查該事件後,IRT 確定駭客透過擷取檔案傳輸協定 (FTP) 流量來存取帳戶。
FTP 是一種用於在帳戶之間傳輸檔案的網路協定。它使用明文密碼進行身份驗證。
受此資訊安全事件的影響,在IRT的建議下,Knight決定用Secure Shell (SSH)協定取代FTP,這樣任何捕獲流量的人都只能看到加密的資料。
在這些變化之後,奈特進行了風險評估,以驗證控制措施的實施是否已將類似事件的風險降至最低。該過程的結果得到了 ISMS 專案經理的批准,他聲稱實施新控制措施後的風險等級符合公司的風險接受程度。
根據該場景,回答以下問題:
FTP 使用明文密碼進行驗證。這是一個 FTP:
主機包將包括一副 VR 耳機、兩個
遊戲和其他禮物。
多年來,公司透過誠信、誠實和尊重客戶而建立了良好的聲譽。這種良好的聲譽是大多數熱衷遊戲玩家在Knight的G-console一上市就想擁有它的原因之一。
Knight 除了是一家非常以客戶為導向的公司之外,
也因其開發品質獲得了遊戲產業的廣泛認可。他們的價格比合理標準允許的要高一些。
儘管如此,對於 Knight 的大多數忠實客戶來說,這並不是一個問題,因為它們的品質是一流的。
作為世界頂級視訊遊戲機開發商之一,Knight 也經常成為惡意活動的焦點。該公司的 ISMS 已投入運作一年多了。 ISMS 範圍包括 Knight 的所有部門(財務和人力資源部門除外)。
最近,奈特的一些包含專有資訊的文件被駭客洩露。 Knight 的事件回應團隊 (IRT) 立即開始分析系統的每個部分以及事件的詳細資訊。
IRT 的第一個懷疑是 Knight 的員工使用了弱密碼,因此很容易被未經授權存取其帳戶的駭客破解。然而,在仔細調查該事件後,IRT 確定駭客透過擷取檔案傳輸協定 (FTP) 流量來存取帳戶。
FTP 是一種用於在帳戶之間傳輸檔案的網路協定。它使用明文密碼進行身份驗證。
受此資訊安全事件的影響,在IRT的建議下,Knight決定用Secure Shell (SSH)協定取代FTP,這樣任何捕獲流量的人都只能看到加密的資料。
在這些變化之後,奈特進行了風險評估,以驗證控制措施的實施是否已將類似事件的風險降至最低。該過程的結果得到了 ISMS 專案經理的批准,他聲稱實施新控制措施後的風險等級符合公司的風險接受程度。
根據該場景,回答以下問題:
FTP 使用明文密碼進行驗證。這是一個 FTP:
正解:B
解答を投票する
您正在國際物流組織的出貨部門進行 ISMS 審核,該組織為當地醫院和政府辦公室等大型組織提供運輸服務。包裹通常包含藥品、生物樣本以及護照和駕駛執照等文件。您注意到,公司記錄顯示大量退貨,原因包括標籤地址錯誤,以及在 15% 的公司案例中,一個包裹的不同地址有兩個或多個標籤。您正在面試運輸經理 (SM)。
您:出貨前檢查過嗎?
SH:任何明顯損壞的物品都會在出貨前由值班人員移除,但利潤微薄,因此實施正式檢查流程並不經濟。
您:退貨後會採取什麼措施?
SM:這些合約大多價值相對較低,因此我們認為,簡單地重新列印標籤並重新發送單一包裹比實施調查更容易、更方便。
您提出不符合項。參考該場景,您希望受審核方在進行後續審核時實施下列哪六項附錄 A 控制措施?
您:出貨前檢查過嗎?
SH:任何明顯損壞的物品都會在出貨前由值班人員移除,但利潤微薄,因此實施正式檢查流程並不經濟。
您:退貨後會採取什麼措施?
SM:這些合約大多價值相對較低,因此我們認為,簡單地重新列印標籤並重新發送單一包裹比實施調查更容易、更方便。
您提出不符合項。參考該場景,您希望受審核方在進行後續審核時實施下列哪六項附錄 A 控制措施?
正解:C,E,F,G,H,K
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
您正在一家提供醫療保健服務的住宅療養院進行 ISMS 審核。審核計畫的下一步是驗證資訊安全事件管理流程。 IT 安全經理介紹了資訊安全事件管理程序,並解釋該流程基於 ISO/IEC 27035-1:2016。
您查看該文件並注意到一條聲明「任何資訊安全弱點、事件和事故應在識別後 1 小時內報告給聯絡人 (PoC)」。在訪問員工時,您發現大家對「弱點、事件、事件」意義的理解有差異。
您從事件追蹤系統中抽取過去 6 個月的事件報告記錄樣本,總結結果如下表所示。
您想進一步調查其他領域以收集更多審計證據。選擇兩個不會出現在您的審核追蹤中的選項。
您查看該文件並注意到一條聲明「任何資訊安全弱點、事件和事故應在識別後 1 小時內報告給聯絡人 (PoC)」。在訪問員工時,您發現大家對「弱點、事件、事件」意義的理解有差異。
您從事件追蹤系統中抽取過去 6 個月的事件報告記錄樣本,總結結果如下表所示。
您想進一步調查其他領域以收集更多審計證據。選擇兩個不會出現在您的審核追蹤中的選項。
正解:C,E
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)