ISO-IEC-27001-Lead-Auditor-CN試験無料問題集「PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor中文版) 認定」
您正在一家提供醫療保健服務的住宅療養院進行 ISMS 審核。審核計畫的下一步是驗證適用性聲明 (SoA) 是否包含必要的控制措施。
您查看最新的 SoA(版本 5)文檔,對原始程式碼 (A.8.4) 的存取控制進行採樣,並想了解組織如何保護從外包軟體開發人員收到的 ABC 醫療保健行動應用程式原始程式碼。
IT 安全經理解釋說,收到的原始程式碼將被檢查到 SCM 系統中,以確保其完整性和安全性。只有授權使用者才能查看軟體並進行更新。
系統會自動記錄入住和退房活動。版本控制由系統自動管理。
您在 SCM 上總共發現了 10 個使用者帳戶。他們全部來自IT部門。您進一步與人力資源經理核實,並確認其中一位用戶 Scott 已於 9 個月前辭職。 SCM 系統管理員確認 Scott 最後一次檢出原始碼是在 1 個月前。他正在安全區域使用本機網路的授權桌面之一。
您檢查了使用者登出程序,其中規定「管理人員必須確保在辭職批准後立即從相關ICT系統和/或設備註銷使用者帳戶和授權」。用戶Scott沒有註銷記錄。
IT 安全經理解釋說,Scott 是一位非常優秀的軟體工程師、前同事和朋友。
辭職後,他仍然每月回到辦公室提供原始碼維護支援。這就是為什麼他在 SCM 上的帳戶仍然存在。 「我們很了解 Scott,他在加入我們時通過了我們所有的背景調查。因此,我們認為沒有必要僅僅因為他現在是外部提供者而與他同意任何進一步的資訊安全要求」。
您準備審計結果。選出三個正確選項。
您查看最新的 SoA(版本 5)文檔,對原始程式碼 (A.8.4) 的存取控制進行採樣,並想了解組織如何保護從外包軟體開發人員收到的 ABC 醫療保健行動應用程式原始程式碼。
IT 安全經理解釋說,收到的原始程式碼將被檢查到 SCM 系統中,以確保其完整性和安全性。只有授權使用者才能查看軟體並進行更新。
系統會自動記錄入住和退房活動。版本控制由系統自動管理。
您在 SCM 上總共發現了 10 個使用者帳戶。他們全部來自IT部門。您進一步與人力資源經理核實,並確認其中一位用戶 Scott 已於 9 個月前辭職。 SCM 系統管理員確認 Scott 最後一次檢出原始碼是在 1 個月前。他正在安全區域使用本機網路的授權桌面之一。
您檢查了使用者登出程序,其中規定「管理人員必須確保在辭職批准後立即從相關ICT系統和/或設備註銷使用者帳戶和授權」。用戶Scott沒有註銷記錄。
IT 安全經理解釋說,Scott 是一位非常優秀的軟體工程師、前同事和朋友。
辭職後,他仍然每月回到辦公室提供原始碼維護支援。這就是為什麼他在 SCM 上的帳戶仍然存在。 「我們很了解 Scott,他在加入我們時通過了我們所有的背景調查。因此,我們認為沒有必要僅僅因為他現在是外部提供者而與他同意任何進一步的資訊安全要求」。
您準備審計結果。選出三個正確選項。
正解:B,D,H
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
場景3:NightCore是一家總部位於美國的跨國科技公司,專注於電子商務、雲端運算、數位串流媒體和人工智慧。在實施資訊安全管理系統 (ISMS) 8 個多月後,他們聘請了認證機構進行第三方審核,以獲得 ISO/IEC 27001 認證。
認證機構成立了一個由七名審核員組成的團隊。傑克是最有經驗的審核員,被任命為審核組組長。多年來,他獲得了許多知名認證,例如 ISO/IEC 27001 首席審核員、CISA、CISSP 和 CISM。
Jack 透過研究和評估 NightCore 實施的每項資訊安全要求和控制,對 ISMS 審查的每個階段進行了全面分析。在第二階段審核期間。傑克發現了一些不合格項。在將購買的軟體許可證發票數量與軟體庫存進行比較後,傑克發現該公司的許多電腦一直在使用非法版本的軟體。他決定要求高階主管對這項違規行為做出解釋,看看他們是否意識到這一點。他的下一步是審計 NightCore 的 IT 部門。高層指派 NightCore 的系統管理員 Tom 擔任指導,陪伴 Jack 和稽核團隊了解系統和數位資產基礎設施的內部運作。
在採訪財務部的一名成員時,審計人員發現該公司最近向其一名顧問進行了一些不尋常的大額交易。收集有關交易的所有必要詳細資訊後。傑克決定直接訪問高階主管。
在討論第一個不合格項時,高階主管告訴傑克,他們願意決定使用複製軟體而不是原始軟體,因為它更便宜。 Jack向NightCore的高層解釋說,使用非法版本的軟體違反了ISO/IEC 27001和國家法律法規的要求。然而,他們似乎對此感到滿意。
在審計幾個月後,Jack 將他在審計期間收集的一些 NightCore 資訊出售給了 NightCore 的競爭對手,以獲取巨額資金。
根據該場景,回答以下問題:
根據情境 3。
認證機構成立了一個由七名審核員組成的團隊。傑克是最有經驗的審核員,被任命為審核組組長。多年來,他獲得了許多知名認證,例如 ISO/IEC 27001 首席審核員、CISA、CISSP 和 CISM。
Jack 透過研究和評估 NightCore 實施的每項資訊安全要求和控制,對 ISMS 審查的每個階段進行了全面分析。在第二階段審核期間。傑克發現了一些不合格項。在將購買的軟體許可證發票數量與軟體庫存進行比較後,傑克發現該公司的許多電腦一直在使用非法版本的軟體。他決定要求高階主管對這項違規行為做出解釋,看看他們是否意識到這一點。他的下一步是審計 NightCore 的 IT 部門。高層指派 NightCore 的系統管理員 Tom 擔任指導,陪伴 Jack 和稽核團隊了解系統和數位資產基礎設施的內部運作。
在採訪財務部的一名成員時,審計人員發現該公司最近向其一名顧問進行了一些不尋常的大額交易。收集有關交易的所有必要詳細資訊後。傑克決定直接訪問高階主管。
在討論第一個不合格項時,高階主管告訴傑克,他們願意決定使用複製軟體而不是原始軟體,因為它更便宜。 Jack向NightCore的高層解釋說,使用非法版本的軟體違反了ISO/IEC 27001和國家法律法規的要求。然而,他們似乎對此感到滿意。
在審計幾個月後,Jack 將他在審計期間收集的一些 NightCore 資訊出售給了 NightCore 的競爭對手,以獲取巨額資金。
根據該場景,回答以下問題:
根據情境 3。
正解:C
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
情境 5:Data Grid Inc. 是一家知名公司,為整個資訊科技基礎設施提供安全服務。它提供網路安全軟體,包括端點安全、防火牆和防毒軟體。二十年來,Data Grid Inc. 透過先進的產品和服務幫助多家公司保護其網路安全。 Data Grid Inc. 在資訊和網路安全領域享有盛譽,決定獲得 ISO/IEC 27001 認證,以更好地保護其內部和客戶資產並獲得競爭優勢。
Data Grid Inc. 任命了審計團隊,該團隊同意審計任務的條款。此外,Data Grid Inc.明確了審核範圍,明確了審核標準,並建議在五天內結束審核。由於Data Grid Inc.員工人數眾多,流程複雜,審計小組拒絕了Data Grid Inc.在五天內進行審計的提議。 Data Grid Inc.堅稱他們計劃在五天內完成審核,因此雙方同意在規定的時間內進行審核。審計小組遵循基於風險的審計方法。
為了獲得主要業務流程和控制的概述,審計團隊存取了流程描述和組織圖表。他們無法對 IT 風險和控制進行更深入的分析,因為他們對 IT 基礎架構和應用程式的存取受到限制。然而,審計小組表示,Data Grid Inc. 的 ISMS 出現重大缺陷的風險很低,因為該公司的大部分流程都是自動化的。因此,他們透過詢問 Data Grid Inc. 的代表以下問題來評估 ISMS 整體上符合標準要求:
*如何定義和指派 IT 和 IT 控制的職責?
*Data Grid Inc. 如何評估控制措施是否達到了預期效果?
*Data Grid Inc. 採取了哪些控制措施來保護操作環境和資料免受惡意軟體的侵害?
*是否實施了與防火牆相關的控制?
Data Grid Inc. 的代表提供了充分且適當的證據來解決所有這些問題。
審計組長起草審計結論並向Data Grid Inc. 的最高管理階層報告。
儘管審核員推薦Data Grid Inc.進行認證,但Data Grid Inc.與認證機構之間在審核目標方面產生了誤解。 Data Grid Inc. 表示,儘管審計目標包括確定潛在改進的領域,但審計團隊並未提供此類資訊。
根據該場景,回答以下問題:
如何避免認證機構和 Data Grid Inc. 之間產生誤解?
請參閱場景 5。
Data Grid Inc. 任命了審計團隊,該團隊同意審計任務的條款。此外,Data Grid Inc.明確了審核範圍,明確了審核標準,並建議在五天內結束審核。由於Data Grid Inc.員工人數眾多,流程複雜,審計小組拒絕了Data Grid Inc.在五天內進行審計的提議。 Data Grid Inc.堅稱他們計劃在五天內完成審核,因此雙方同意在規定的時間內進行審核。審計小組遵循基於風險的審計方法。
為了獲得主要業務流程和控制的概述,審計團隊存取了流程描述和組織圖表。他們無法對 IT 風險和控制進行更深入的分析,因為他們對 IT 基礎架構和應用程式的存取受到限制。然而,審計小組表示,Data Grid Inc. 的 ISMS 出現重大缺陷的風險很低,因為該公司的大部分流程都是自動化的。因此,他們透過詢問 Data Grid Inc. 的代表以下問題來評估 ISMS 整體上符合標準要求:
*如何定義和指派 IT 和 IT 控制的職責?
*Data Grid Inc. 如何評估控制措施是否達到了預期效果?
*Data Grid Inc. 採取了哪些控制措施來保護操作環境和資料免受惡意軟體的侵害?
*是否實施了與防火牆相關的控制?
Data Grid Inc. 的代表提供了充分且適當的證據來解決所有這些問題。
審計組長起草審計結論並向Data Grid Inc. 的最高管理階層報告。
儘管審核員推薦Data Grid Inc.進行認證,但Data Grid Inc.與認證機構之間在審核目標方面產生了誤解。 Data Grid Inc. 表示,儘管審計目標包括確定潛在改進的領域,但審計團隊並未提供此類資訊。
根據該場景,回答以下問題:
如何避免認證機構和 Data Grid Inc. 之間產生誤解?
請參閱場景 5。
正解:A
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
場景七:Webvue。總部位於日本,是一家專門從事電腦軟體開發、支援和維護的技術公司。 Webvue 提供跨各個技術領域和業務領域的解決方案。其旗艦服務是 CloudWebvue,一個提供儲存、網路和虛擬運算服務的綜合雲端運算平台。專為企業和個人用戶設計。 CloudWebvue 以其靈活性、可擴展性和可靠性而聞名。
Webvue 決定僅將 CloudWebvue 納入其 ISO/IEC 27001 認證範圍。因此,第 1 階段和第 2 階段審計同時進行 Webvue 以其對資產保密的嚴格性而自豪,他們使用適當的加密控制來保護儲存在 CloudWebvue 中的資訊。任何機密級別的每條信息,無論是否供內部使用。受限的或機密的資訊首先用唯一的對應哈希值加密,然後儲存在雲端。肖恩。萊拉,山姆。和 Tin a。 Keith 是 IT 和資訊安全審計團隊中最有經驗的審計員,也是審計團隊的負責人。他的職責包括規劃審計和管理審計團隊。尚實踐生成的。在檢查了 Webvue 的加密政策後,他們得出結論,採訪中獲得的資訊是真實的。然而,由於該策略沒有解決加密金鑰的使用和壽命問題,因此加密金鑰仍在使用中。
依照 Webvue 和認證機構後來達成的協議,審計團隊選擇進行虛擬審計,專門專注於驗證 Webvue 是否符合 ISO/IEC 27001 的控制 8.11 資料屏蔽,以符合認證範圍和審計目標。他們檢查了 CloudWebvue 中保護資料所涉及的流程。重點關注公司如何遵守其政策和監管標準。作為此過程的一部分。審計團隊負責人 Keith 對相關文件和加密金鑰管理程序進行了截圖,以記錄和分析 Webvue 實踐的有效性。
Webvue 使用產生的測試資料用於測試目的。然而,根據與 QA 部門經理的訪談以及該部門使用的程序確定,有時會使用即時系統資料。在這樣的場景中,會產生大量數據,同時產生更準確的結果。測試資料受到保護和控制,這透過 Webvue 人員在審計期間執行的加密過程模擬得到驗證。儘管不在審計範圍之內,但安全培訓部門的不合規情況可能會對審計範圍內的流程產生影響,具體會影響 CloudWebvue 中的資料安全和加密實踐。因此,Keith將此發現納入審計報告中,並告知被審計方。
根據上述情景,回答以下問題:
在虛擬審計期間,Keith 是否對 Webvue 的文件做出了適當的決定?
Webvue 決定僅將 CloudWebvue 納入其 ISO/IEC 27001 認證範圍。因此,第 1 階段和第 2 階段審計同時進行 Webvue 以其對資產保密的嚴格性而自豪,他們使用適當的加密控制來保護儲存在 CloudWebvue 中的資訊。任何機密級別的每條信息,無論是否供內部使用。受限的或機密的資訊首先用唯一的對應哈希值加密,然後儲存在雲端。肖恩。萊拉,山姆。和 Tin a。 Keith 是 IT 和資訊安全審計團隊中最有經驗的審計員,也是審計團隊的負責人。他的職責包括規劃審計和管理審計團隊。尚實踐生成的。在檢查了 Webvue 的加密政策後,他們得出結論,採訪中獲得的資訊是真實的。然而,由於該策略沒有解決加密金鑰的使用和壽命問題,因此加密金鑰仍在使用中。
依照 Webvue 和認證機構後來達成的協議,審計團隊選擇進行虛擬審計,專門專注於驗證 Webvue 是否符合 ISO/IEC 27001 的控制 8.11 資料屏蔽,以符合認證範圍和審計目標。他們檢查了 CloudWebvue 中保護資料所涉及的流程。重點關注公司如何遵守其政策和監管標準。作為此過程的一部分。審計團隊負責人 Keith 對相關文件和加密金鑰管理程序進行了截圖,以記錄和分析 Webvue 實踐的有效性。
Webvue 使用產生的測試資料用於測試目的。然而,根據與 QA 部門經理的訪談以及該部門使用的程序確定,有時會使用即時系統資料。在這樣的場景中,會產生大量數據,同時產生更準確的結果。測試資料受到保護和控制,這透過 Webvue 人員在審計期間執行的加密過程模擬得到驗證。儘管不在審計範圍之內,但安全培訓部門的不合規情況可能會對審計範圍內的流程產生影響,具體會影響 CloudWebvue 中的資料安全和加密實踐。因此,Keith將此發現納入審計報告中,並告知被審計方。
根據上述情景,回答以下問題:
在虛擬審計期間,Keith 是否對 Webvue 的文件做出了適當的決定?
正解:C
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
場景9:UpNet是一家網路公司,已通過ISO/IEC 27001認證。
自從獲得 ISO/IEC 27001 認證以來,該公司的認可度大幅提高。此認證證實了 UpNefs 營運的成熟性及其符合廣泛認可和接受的標準。
但認證之後一切還沒結束。 UpNet 透過進行內部稽核不斷審查和增強其安全控制以及 ISMS 的整體有效性和效率。高階主管不願意聘請全職內部稽核團隊,因此決定將內部稽核職能外包。這種形式的內部稽核確保了獨立性、客觀性,並且在 ISMS 的持續改進方面發揮諮詢作用。
在初次認證審核後不久,該公司創建了一個專門從事數據和儲存產品的新部門。他們提供針對資料中心和基於軟體的網路設備(例如網路虛擬化和網路安全設備)進行最佳化的路由器和交換器。這導致 ISMS 認證範圍內已涵蓋的其他部門的營運發生變化。
所以。 UpNet 啟動了風險評估流程和內部稽核。根據內部審計結果,公司確認了現有和新流程和控制的有效性和效率。
由於新部門符合 ISO/IEC 27001 要求,最高管理層決定將其納入認證範圍。 UpNet宣布取得ISO/IEC 27001認證,認證範圍涵蓋全公司。
在初次認證審核一年後,認證機構對 UpNefs ISMS 進行了另一次審核。
此次審核旨在確定 UpNefs ISMS 是否符合指定的 ISO/IEC 27001 要求,並確保 ISMS 持續改善。審核小組確認,經過認證的 ISMS 繼續符合標準的要求。儘管如此,新部門對管理體系的治理產生了重大影響。此外,認證機構並未獲悉任何變更。因此,UpNefs認證被暫停。
根據上述場景,回答以下問題:
UpNet 將內部稽核職能外包,如場景 9 所示。
自從獲得 ISO/IEC 27001 認證以來,該公司的認可度大幅提高。此認證證實了 UpNefs 營運的成熟性及其符合廣泛認可和接受的標準。
但認證之後一切還沒結束。 UpNet 透過進行內部稽核不斷審查和增強其安全控制以及 ISMS 的整體有效性和效率。高階主管不願意聘請全職內部稽核團隊,因此決定將內部稽核職能外包。這種形式的內部稽核確保了獨立性、客觀性,並且在 ISMS 的持續改進方面發揮諮詢作用。
在初次認證審核後不久,該公司創建了一個專門從事數據和儲存產品的新部門。他們提供針對資料中心和基於軟體的網路設備(例如網路虛擬化和網路安全設備)進行最佳化的路由器和交換器。這導致 ISMS 認證範圍內已涵蓋的其他部門的營運發生變化。
所以。 UpNet 啟動了風險評估流程和內部稽核。根據內部審計結果,公司確認了現有和新流程和控制的有效性和效率。
由於新部門符合 ISO/IEC 27001 要求,最高管理層決定將其納入認證範圍。 UpNet宣布取得ISO/IEC 27001認證,認證範圍涵蓋全公司。
在初次認證審核一年後,認證機構對 UpNefs ISMS 進行了另一次審核。
此次審核旨在確定 UpNefs ISMS 是否符合指定的 ISO/IEC 27001 要求,並確保 ISMS 持續改善。審核小組確認,經過認證的 ISMS 繼續符合標準的要求。儘管如此,新部門對管理體系的治理產生了重大影響。此外,認證機構並未獲悉任何變更。因此,UpNefs認證被暫停。
根據上述場景,回答以下問題:
UpNet 將內部稽核職能外包,如場景 9 所示。
正解:C
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)