ISO-IEC-27001-Lead-Auditor Deutsch試験無料問題集「PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor Deutsch Version) 認定」
Wählen Sie im Hinblick auf die Generierung eines Prüfungsergebnisses die Wörter aus, die den folgenden Satz am besten vervollständigen.
Um den Satz mit den besten Wörtern zu vervollständigen, klicken Sie auf den leeren Abschnitt, den Sie vervollständigen möchten, sodass er rot hervorgehoben wird, und klicken Sie dann auf den entsprechenden Text in den folgenden Optionen. Alternativ können Sie die Option per Drag-and-Drop in den entsprechenden leeren Abschnitt ziehen.
Um den Satz mit den besten Wörtern zu vervollständigen, klicken Sie auf den leeren Abschnitt, den Sie vervollständigen möchten, sodass er rot hervorgehoben wird, und klicken Sie dann auf den entsprechenden Text in den folgenden Optionen. Alternativ können Sie die Option per Drag-and-Drop in den entsprechenden leeren Abschnitt ziehen.
正解:
Reference:
ISO 19011:2022 Guidelines for auditing management systems
ISO/IEC 27001:2022 Information technology - Security techniques - Information security management systems - Requirements Components of Audit Findings - The Institute of Internal Auditors
Szenario 6: Cyber ACrypt ist ein Cybersicherheitsunternehmen, das Endgeräteschutz durch Anti-Malware- und Gerätesicherheit, Asset-Lebenszyklusmanagement und Geräteverschlüsselung bietet. Um sein ISMS nach ISO/IEC 27001 zu validieren und sein Engagement für exzellente Cybersicherheit zu demonstrieren, unterzog sich das Unternehmen einem sorgfältigen Auditprozess unter der Leitung von John, dem ernannten Leiter des Auditteams.
Nach Annahme des Prüfungsauftrags organisierte John umgehend ein Meeting, um den Prüfungsplan und die Teamrollen zu skizzieren. Diese Phase war entscheidend, um das Team auf die Ziele und den Umfang der Prüfung einzustimmen. Die erste Präsentation vor den Mitarbeitern von Cyber ACrypt offenbarte jedoch eine erhebliche Lücke im Verständnis des Umfangs und der Ziele der Prüfung, was auf potenzielle Herausforderungen im Hinblick auf die Vorbereitung innerhalb des Unternehmens hindeutete. Als die Prüfung der Phase 1 begann, bereitete sich das Team auf die Aktivitäten vor Ort vor. Sie überprüften die dokumentierten Informationen von Cyber ACrypt, einschließlich der Informationssicherheitsrichtlinie und der Betriebsverfahren, und stellten sicher, dass jedes Stück dem Format entsprach und mit Autorenidentifikation, Produktionsdatum, Versionsnummer und Genehmigungsdatum standardisiert war. Darüber hinaus stellte das Prüfteam sicher, dass jedes Dokument die von der jeweiligen Klausel des Standards geforderten Informationen enthielt. Diese Phase ergab, dass eine detaillierte Prüfung der Dokumentation, die die Aufgabenausführung beschreibt, unnötig war, wodurch der Prozess rationalisiert und die Bemühungen des Teams auf kritische Bereiche konzentriert wurden. Während der Phase der Durchführung der Aktivitäten vor Ort bewertete das Team die Managementverantwortung für die Richtlinien von Cyber Acrypt. Diese gründliche Prüfung zielte darauf ab, eine kontinuierliche Verbesserung und Einhaltung der ISMS-Anforderungen sicherzustellen. Anschließend dokumentierte das Prüfteam in der Phase der Prüfungsergebnisse der Stufe 1 seine Ergebnisse sorgfältig und unterstrich seine Schlussfolgerungen bezüglich der Erfüllung der Ziele der Stufe 1. Diese Dokumentation war für das Prüfteam und Cyber ACrypt von entscheidender Bedeutung, um die vorläufigen Prüfungsergebnisse und die Bereiche zu verstehen, die Aufmerksamkeit erforderten.
Das Auditteam beschloss außerdem, Interviews mit wichtigen Interessengruppen zu führen. Diese Entscheidung wurde durch das Ziel motiviert, solide Auditnachweise zu sammeln, um die Konformität des Managementsystems mit den Anforderungen von ISO/IEC 27001 zu bestätigen. Die Zusammenarbeit mit Interessengruppen auf verschiedenen Ebenen von Cyber ACrypt lieferte dem Auditteam wertvolle Perspektiven und ein Verständnis für die Implementierung und Wirksamkeit des ISMS.
Der Auditbericht der Phase 1 deckte kritische Problembereiche auf. Die Erklärung zur Anwendbarkeit (SoA) und die ISMS-Richtlinie wiesen in mehreren Punkten Mängel auf, darunter unzureichende Risikobewertung, unzureichende Zugriffskontrollen und fehlende regelmäßige Richtlinienüberprüfungen. Dies veranlasste Cyber ACrypt, sofort Maßnahmen zu ergreifen, um diese Mängel zu beheben. Ihre prompte Reaktion und die Änderungen an den strategischen Dokumenten zeugten von einem starken Engagement zur Einhaltung der Vorschriften.
Das technische Fachwissen, das eingesetzt wurde, um die Wissenslücke des Prüfteams in Sachen Cybersicherheit zu schließen, spielte eine entscheidende Rolle bei der Identifizierung von Mängeln in der Risikobewertungsmethodik und der Überprüfung der Netzwerkarchitektur. Dazu gehörte die Bewertung von Firewalls, Systemen zur Erkennung und Verhinderung von Angriffen und anderen Netzwerksicherheitsmaßnahmen sowie die Bewertung, wie Cyber ACrypt externe und interne Bedrohungen erkennt, darauf reagiert und sich davon erholt. Unter Johns Aufsicht teilte der technische Experte den Vertretern von Cyber ACrypt die Ergebnisse des Audits mit. Das Prüfteam stellte jedoch fest, dass die Objektivität des Experten möglicherweise durch den Erhalt von Beratungshonoraren vom Prüfling beeinträchtigt worden war. Angesichts des Verhaltens des technischen Experten während des Audits beschloss der Leiter des Prüfteams, dieses Problem mit der Zertifizierungsstelle zu besprechen.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Welche Aktivität wurde vom Auditteam während des Audits der Phase 1 NICHT korrekt durchgeführt?
Nach Annahme des Prüfungsauftrags organisierte John umgehend ein Meeting, um den Prüfungsplan und die Teamrollen zu skizzieren. Diese Phase war entscheidend, um das Team auf die Ziele und den Umfang der Prüfung einzustimmen. Die erste Präsentation vor den Mitarbeitern von Cyber ACrypt offenbarte jedoch eine erhebliche Lücke im Verständnis des Umfangs und der Ziele der Prüfung, was auf potenzielle Herausforderungen im Hinblick auf die Vorbereitung innerhalb des Unternehmens hindeutete. Als die Prüfung der Phase 1 begann, bereitete sich das Team auf die Aktivitäten vor Ort vor. Sie überprüften die dokumentierten Informationen von Cyber ACrypt, einschließlich der Informationssicherheitsrichtlinie und der Betriebsverfahren, und stellten sicher, dass jedes Stück dem Format entsprach und mit Autorenidentifikation, Produktionsdatum, Versionsnummer und Genehmigungsdatum standardisiert war. Darüber hinaus stellte das Prüfteam sicher, dass jedes Dokument die von der jeweiligen Klausel des Standards geforderten Informationen enthielt. Diese Phase ergab, dass eine detaillierte Prüfung der Dokumentation, die die Aufgabenausführung beschreibt, unnötig war, wodurch der Prozess rationalisiert und die Bemühungen des Teams auf kritische Bereiche konzentriert wurden. Während der Phase der Durchführung der Aktivitäten vor Ort bewertete das Team die Managementverantwortung für die Richtlinien von Cyber Acrypt. Diese gründliche Prüfung zielte darauf ab, eine kontinuierliche Verbesserung und Einhaltung der ISMS-Anforderungen sicherzustellen. Anschließend dokumentierte das Prüfteam in der Phase der Prüfungsergebnisse der Stufe 1 seine Ergebnisse sorgfältig und unterstrich seine Schlussfolgerungen bezüglich der Erfüllung der Ziele der Stufe 1. Diese Dokumentation war für das Prüfteam und Cyber ACrypt von entscheidender Bedeutung, um die vorläufigen Prüfungsergebnisse und die Bereiche zu verstehen, die Aufmerksamkeit erforderten.
Das Auditteam beschloss außerdem, Interviews mit wichtigen Interessengruppen zu führen. Diese Entscheidung wurde durch das Ziel motiviert, solide Auditnachweise zu sammeln, um die Konformität des Managementsystems mit den Anforderungen von ISO/IEC 27001 zu bestätigen. Die Zusammenarbeit mit Interessengruppen auf verschiedenen Ebenen von Cyber ACrypt lieferte dem Auditteam wertvolle Perspektiven und ein Verständnis für die Implementierung und Wirksamkeit des ISMS.
Der Auditbericht der Phase 1 deckte kritische Problembereiche auf. Die Erklärung zur Anwendbarkeit (SoA) und die ISMS-Richtlinie wiesen in mehreren Punkten Mängel auf, darunter unzureichende Risikobewertung, unzureichende Zugriffskontrollen und fehlende regelmäßige Richtlinienüberprüfungen. Dies veranlasste Cyber ACrypt, sofort Maßnahmen zu ergreifen, um diese Mängel zu beheben. Ihre prompte Reaktion und die Änderungen an den strategischen Dokumenten zeugten von einem starken Engagement zur Einhaltung der Vorschriften.
Das technische Fachwissen, das eingesetzt wurde, um die Wissenslücke des Prüfteams in Sachen Cybersicherheit zu schließen, spielte eine entscheidende Rolle bei der Identifizierung von Mängeln in der Risikobewertungsmethodik und der Überprüfung der Netzwerkarchitektur. Dazu gehörte die Bewertung von Firewalls, Systemen zur Erkennung und Verhinderung von Angriffen und anderen Netzwerksicherheitsmaßnahmen sowie die Bewertung, wie Cyber ACrypt externe und interne Bedrohungen erkennt, darauf reagiert und sich davon erholt. Unter Johns Aufsicht teilte der technische Experte den Vertretern von Cyber ACrypt die Ergebnisse des Audits mit. Das Prüfteam stellte jedoch fest, dass die Objektivität des Experten möglicherweise durch den Erhalt von Beratungshonoraren vom Prüfling beeinträchtigt worden war. Angesichts des Verhaltens des technischen Experten während des Audits beschloss der Leiter des Prüfteams, dieses Problem mit der Zertifizierungsstelle zu besprechen.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Welche Aktivität wurde vom Auditteam während des Audits der Phase 1 NICHT korrekt durchgeführt?
正解:C
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Sie führen ein ISMS-Audit in einem Pflegeheim namens ABC durch, das Gesundheitsdienstleistungen anbietet.
Der nächste Schritt in Ihrem Auditplan besteht darin, die Wirksamkeit des kontinuierlichen Verbesserungsprozesses zu überprüfen. Während der Prüfung haben Sie erfahren, dass die meisten Familienangehörigen der Bewohner (90 %) einmal pro Woche über die mobile Gesundheits-App von ABC per E-Mail und SMS Werbeanzeigen für medizinische Geräte von WeCare erhalten. Sie alle stimmen der Verwendung der gesammelten personenbezogenen Daten (oder Marketing- oder anderen Zwecken als der Krankenpflege und medizinischen Versorgung) im Rahmen des mit ABC unterzeichneten Dienstleistungsvertrags nicht zu. Sie haben sehr starke Gründe zu der Annahme, dass ABC die Daten von Bewohnern und Familienangehörigen preisgibt ' persönliche Daten an einen nicht relevanten Dritten weitergegeben und Beschwerden eingereicht haben.
Der Servicemanager sagt, dass alle diese Beschwerden als Nichtkonformitäten behandelt wurden und die Korrekturmaßnahmen gemäß dem Nichtkonformitäts- und Korrekturmanagementverfahren geplant und umgesetzt wurden. Die Korrekturmaßnahme bestand darin, die Zusammenarbeit mit WeCare, dem Hersteller medizinischer Geräte, sofort einzustellen und ihn aufzufordern, alle erhaltenen personenbezogenen Daten zu löschen sowie eine Entschuldigungs-E-Mail an alle Bewohner und ihre Familienangehörigen zu senden.
Sie bereiten die Prüfungsergebnisse vor. Wählen Sie eine Option mit dem richtigen Befund aus.
Der nächste Schritt in Ihrem Auditplan besteht darin, die Wirksamkeit des kontinuierlichen Verbesserungsprozesses zu überprüfen. Während der Prüfung haben Sie erfahren, dass die meisten Familienangehörigen der Bewohner (90 %) einmal pro Woche über die mobile Gesundheits-App von ABC per E-Mail und SMS Werbeanzeigen für medizinische Geräte von WeCare erhalten. Sie alle stimmen der Verwendung der gesammelten personenbezogenen Daten (oder Marketing- oder anderen Zwecken als der Krankenpflege und medizinischen Versorgung) im Rahmen des mit ABC unterzeichneten Dienstleistungsvertrags nicht zu. Sie haben sehr starke Gründe zu der Annahme, dass ABC die Daten von Bewohnern und Familienangehörigen preisgibt ' persönliche Daten an einen nicht relevanten Dritten weitergegeben und Beschwerden eingereicht haben.
Der Servicemanager sagt, dass alle diese Beschwerden als Nichtkonformitäten behandelt wurden und die Korrekturmaßnahmen gemäß dem Nichtkonformitäts- und Korrekturmanagementverfahren geplant und umgesetzt wurden. Die Korrekturmaßnahme bestand darin, die Zusammenarbeit mit WeCare, dem Hersteller medizinischer Geräte, sofort einzustellen und ihn aufzufordern, alle erhaltenen personenbezogenen Daten zu löschen sowie eine Entschuldigungs-E-Mail an alle Bewohner und ihre Familienangehörigen zu senden.
Sie bereiten die Prüfungsergebnisse vor. Wählen Sie eine Option mit dem richtigen Befund aus.
正解:B
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Szenario 7: Lawsy ist eine führende Anwaltskanzlei mit Niederlassungen in New Jersey und New York City. Über 50 Anwälte bieten ihren Mandanten anspruchsvolle Rechtsdienstleistungen in den Bereichen Wirtschafts- und Handelsrecht, geistiges Eigentum, Bank- und Finanzdienstleistungen an. Sie glauben, dass sie dank ihres Engagements, Best Practices für die Informationssicherheit umzusetzen und über die technologischen Entwicklungen auf dem Laufenden zu bleiben, eine komfortable Marktposition einnehmen.
Lawsy implementiert, bewertet und führt seit zwei Jahren konsequent interne Audits für ein ISMS durch.
Jetzt haben sie die ISO/IEC 27001-Zertifizierung bei ISMA, einer bekannten und vertrauenswürdigen Zertifizierungsstelle, beantragt.
Während des Audits der Stufe 1 überprüfte das Auditteam alle während der Implementierung erstellten ISMS-Dokumente.
Sie überprüften und bewerteten auch die Aufzeichnungen aus Managementbewertungen und internen Audits.
Lawsy legte Nachweise darüber vor, dass bei Bedarf Korrekturmaßnahmen bei Nichtkonformitäten durchgeführt wurden, sodass das Auditteam den internen Prüfer befragte. Das Interview bestätigte die Angemessenheit und Häufigkeit der internen Audits, indem es detaillierte Einblicke in den internen Auditplan und die internen Auditverfahren gab.
Das Auditteam setzte die Überprüfung strategischer Dokumente fort, einschließlich der Informationssicherheitsrichtlinie und der Risikobewertungskriterien. Während der Überprüfung der Informationssicherheitsrichtlinien stellte das Team Inkonsistenzen zwischen den dokumentierten Informationen zur Beschreibung des Governance-Rahmens (dh der Informationssicherheitsrichtlinie) und den Verfahren fest.
Obwohl es den Mitarbeitern erlaubt war, die Laptops außerhalb des Arbeitsplatzes mitzunehmen, verfügte Lawsy nicht über Verfahren für die Verwendung von Laptops in solchen Fällen. Die Richtlinie enthielt lediglich allgemeine Informationen zur Nutzung von Laptops. Das Unternehmen verließ sich auf das Allgemeinwissen der Mitarbeiter, um die Vertraulichkeit und Integrität der auf den Laptops gespeicherten Informationen zu schützen. Dieses Problem wurde im Auditbericht der Stufe 1 dokumentiert.
Nach Abschluss der Prüfung der Stufe 1 erstellte der Leiter des Prüfungsteams den Prüfungsplan, der die Prüfungsziele, den Umfang, die Kriterien und die Verfahren berücksichtigte.
Während der Prüfung der Stufe 2 befragte das Prüfungsteam den Informationssicherheitsmanager, der die Informationssicherheitsrichtlinie entworfen hatte. Er begründete das in Stufe 1 festgestellte Problem damit, dass Lawsy alle drei Monate obligatorische Informationssicherheitsschulungen und Sensibilisierungssitzungen durchführt.
Im Anschluss an das Interview untersuchte das Auditteam 15 Mitarbeiterschulungsaufzeichnungen (von 50) und kam zu dem Schluss, dass Lawsy die Anforderungen von ISO/IEC 27001 in Bezug auf Schulung und Sensibilisierung erfüllt. Um diese Schlussfolgerung zu untermauern, fotokopierten sie die untersuchten Schulungsunterlagen der Mitarbeiter.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Lawsy verfügt nicht über ein Verfahren zur Nutzung von Laptops außerhalb des Arbeitsplatzes und verlässt sich auf das allgemeine Wissen der Mitarbeiter, um die Vertraulichkeit der auf den Laptops gespeicherten Informationen zu schützen. Das präsentiert:
Lawsy implementiert, bewertet und führt seit zwei Jahren konsequent interne Audits für ein ISMS durch.
Jetzt haben sie die ISO/IEC 27001-Zertifizierung bei ISMA, einer bekannten und vertrauenswürdigen Zertifizierungsstelle, beantragt.
Während des Audits der Stufe 1 überprüfte das Auditteam alle während der Implementierung erstellten ISMS-Dokumente.
Sie überprüften und bewerteten auch die Aufzeichnungen aus Managementbewertungen und internen Audits.
Lawsy legte Nachweise darüber vor, dass bei Bedarf Korrekturmaßnahmen bei Nichtkonformitäten durchgeführt wurden, sodass das Auditteam den internen Prüfer befragte. Das Interview bestätigte die Angemessenheit und Häufigkeit der internen Audits, indem es detaillierte Einblicke in den internen Auditplan und die internen Auditverfahren gab.
Das Auditteam setzte die Überprüfung strategischer Dokumente fort, einschließlich der Informationssicherheitsrichtlinie und der Risikobewertungskriterien. Während der Überprüfung der Informationssicherheitsrichtlinien stellte das Team Inkonsistenzen zwischen den dokumentierten Informationen zur Beschreibung des Governance-Rahmens (dh der Informationssicherheitsrichtlinie) und den Verfahren fest.
Obwohl es den Mitarbeitern erlaubt war, die Laptops außerhalb des Arbeitsplatzes mitzunehmen, verfügte Lawsy nicht über Verfahren für die Verwendung von Laptops in solchen Fällen. Die Richtlinie enthielt lediglich allgemeine Informationen zur Nutzung von Laptops. Das Unternehmen verließ sich auf das Allgemeinwissen der Mitarbeiter, um die Vertraulichkeit und Integrität der auf den Laptops gespeicherten Informationen zu schützen. Dieses Problem wurde im Auditbericht der Stufe 1 dokumentiert.
Nach Abschluss der Prüfung der Stufe 1 erstellte der Leiter des Prüfungsteams den Prüfungsplan, der die Prüfungsziele, den Umfang, die Kriterien und die Verfahren berücksichtigte.
Während der Prüfung der Stufe 2 befragte das Prüfungsteam den Informationssicherheitsmanager, der die Informationssicherheitsrichtlinie entworfen hatte. Er begründete das in Stufe 1 festgestellte Problem damit, dass Lawsy alle drei Monate obligatorische Informationssicherheitsschulungen und Sensibilisierungssitzungen durchführt.
Im Anschluss an das Interview untersuchte das Auditteam 15 Mitarbeiterschulungsaufzeichnungen (von 50) und kam zu dem Schluss, dass Lawsy die Anforderungen von ISO/IEC 27001 in Bezug auf Schulung und Sensibilisierung erfüllt. Um diese Schlussfolgerung zu untermauern, fotokopierten sie die untersuchten Schulungsunterlagen der Mitarbeiter.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Lawsy verfügt nicht über ein Verfahren zur Nutzung von Laptops außerhalb des Arbeitsplatzes und verlässt sich auf das allgemeine Wissen der Mitarbeiter, um die Vertraulichkeit der auf den Laptops gespeicherten Informationen zu schützen. Das präsentiert:
正解:B
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Sie sind der Leiter des Prüfungsteams und führen eine Prüfung einer Online-Versicherungsorganisation durch Dritte durch. Während der Bühne
1 haben Sie festgestellt, dass die Organisation einen sehr vorsichtigen Risikoansatz verfolgte und alle Informationssicherheitskontrollen in ISO/IEC 27001:2022 Anhang A in ihre Anwendbarkeitserklärung aufgenommen hat.
Während des Audits der Stufe 2 stellte Ihr Auditteam fest, dass es keine Beweise für die Umsetzung der drei Kontrollen (5.3 Aufgabentrennung, 6.1 Überprüfung, 7.12 Verkabelungssicherheit) gab, die im Auszug aus der Anwendbarkeitserklärung aufgeführt sind. Es wurde kein Risikobehandlungsplan gefunden.
Wählen Sie drei Optionen für die Maßnahmen aus, die das geprüfte Unternehmen Ihrer Meinung nach als Reaktion auf eine Nichtkonformität mit Abschnitt 6.1.3.e von ISO/IEC 27001:2022 ergreifen würde.
1 haben Sie festgestellt, dass die Organisation einen sehr vorsichtigen Risikoansatz verfolgte und alle Informationssicherheitskontrollen in ISO/IEC 27001:2022 Anhang A in ihre Anwendbarkeitserklärung aufgenommen hat.
Während des Audits der Stufe 2 stellte Ihr Auditteam fest, dass es keine Beweise für die Umsetzung der drei Kontrollen (5.3 Aufgabentrennung, 6.1 Überprüfung, 7.12 Verkabelungssicherheit) gab, die im Auszug aus der Anwendbarkeitserklärung aufgeführt sind. Es wurde kein Risikobehandlungsplan gefunden.
Wählen Sie drei Optionen für die Maßnahmen aus, die das geprüfte Unternehmen Ihrer Meinung nach als Reaktion auf eine Nichtkonformität mit Abschnitt 6.1.3.e von ISO/IEC 27001:2022 ergreifen würde.
正解:B,E,F
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Sie führen ein ISO 27001 ISMS-Überwachungsaudit in einem Pflegeheim, ABC Healthcare Services, durch. ABC nutzt eine mobile Gesundheits-App, die von einem Anbieter, WeCare, entwickelt und verwaltet wird, um das Wohlbefinden der Bewohner zu überwachen. Bei der Prüfung erfahren Sie, dass 90 % der Familienangehörigen der Bewohner regelmäßig einmal pro Woche Werbung für Medizinprodukte von WeCare per E-Mail und SMS erhalten. Der Servicevertrag zwischen ABC und WeCare verbietet dem Anbieter die Nutzung personenbezogener Daten der Bewohner. ABC hat viele Beschwerden von Bewohnern und ihren Familienangehörigen erhalten.
Der Servicemanager sagt, dass die Beschwerden als Informationssicherheitsvorfall untersucht wurden und sich als berechtigt erwiesen hat. Korrekturmaßnahmen wurden gemäß dem Nichtkonformitäts- und Korrekturmaßnahmenmanagementverfahren geplant und umgesetzt.
Sie schreiben eine Nichtkonformität: „ABC hat die Informationssicherheitskontrolle A.5.34 (Datenschutz und Schutz personenbezogener Daten) in Bezug auf die personenbezogenen Daten von Bewohnern und deren Familienangehörigen nicht eingehalten. Ein Anbieter, WeCare, hat die personenbezogenen Daten von Bewohnern verwendet, um Werbung an diese zu senden.“ Familienmitglieder“ Wählen Sie drei Optionen der aufgeführten Korrekturen und Korrekturmaßnahmen aus, die ABC Ihrer Meinung nach als Reaktion auf die Nichtkonformität durchführen würde
Der Servicemanager sagt, dass die Beschwerden als Informationssicherheitsvorfall untersucht wurden und sich als berechtigt erwiesen hat. Korrekturmaßnahmen wurden gemäß dem Nichtkonformitäts- und Korrekturmaßnahmenmanagementverfahren geplant und umgesetzt.
Sie schreiben eine Nichtkonformität: „ABC hat die Informationssicherheitskontrolle A.5.34 (Datenschutz und Schutz personenbezogener Daten) in Bezug auf die personenbezogenen Daten von Bewohnern und deren Familienangehörigen nicht eingehalten. Ein Anbieter, WeCare, hat die personenbezogenen Daten von Bewohnern verwendet, um Werbung an diese zu senden.“ Familienmitglieder“ Wählen Sie drei Optionen der aufgeführten Korrekturen und Korrekturmaßnahmen aus, die ABC Ihrer Meinung nach als Reaktion auf die Nichtkonformität durchführen würde
正解:C,F,H
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Szenario 2: Knight ist ein Elektronikunternehmen aus Nordkalifornien, USA, das Videospielkonsolen entwickelt. Knight beschäftigt weltweit mehr als 300 Mitarbeiter. Zum fünften Jahrestag ihrer Gründung haben sie beschlossen, die G-Console auf den Markt zu bringen, eine Videospielkonsole der neuen Generation für weltweite Märkte. Die G-Konsole gilt als die ultimative Medienmaschine des Jahres 2021, die den Spielern das beste Spielerlebnis bietet.
Das Konsolenpaket enthält ein Paar VR-Headsets, zwei
Spiele und andere Geschenke.
Im Laufe der Jahre hat sich das Unternehmen einen guten Ruf erarbeitet, indem es seinen Kunden gegenüber Integrität, Ehrlichkeit und Respekt zeigt. Dieser gute Ruf ist einer der Gründe, warum die meisten leidenschaftlichen Gamer die G-Konsole von Knight anstreben, sobald sie auf den Markt kommt.
Abgesehen davon, dass Knight ein sehr kundenorientiertes Unternehmen ist
Aufgrund der Entwicklungsqualität erlangte es auch in der Spielebranche große Anerkennung. Ihre Preise sind etwas höher, als es die vernünftigen Standards erlauben.
Für die meisten treuen Kunden von Knight stellt dies jedoch kein Problem dar, da die Qualität erstklassig ist.
Als einer der weltweit führenden Entwickler von Videospielkonsolen steht Knight auch häufig im Mittelpunkt böswilliger Aktivitäten. Das Unternehmen verfügt seit über einem Jahr über ein betriebsfähiges ISMS. Der ISMS-Geltungsbereich umfasst alle Abteilungen von Knight mit Ausnahme der Finanz- und Personalabteilungen.
Kürzlich wurden mehrere Dateien von Knight, die geschützte Informationen enthielten, von Hackern durchgesickert. Das Incident Response Team (IRT) von Knight begann sofort mit der Analyse jedes Teils des Systems und der Details des Vorfalls.
Der erste Verdacht des IRT bestand darin, dass die Mitarbeiter von Knight schwache Passwörter verwendeten und daher leicht von Hackern geknackt werden konnten, die sich unbefugten Zugriff auf ihre Konten verschafften. Nach sorgfältiger Untersuchung des Vorfalls stellte das IRT jedoch fest, dass Hacker auf Konten zugegriffen hatten, indem sie den FTP-Verkehr (File Transfer Protocol) erfassten.
FTP ist ein Netzwerkprotokoll zum Übertragen von Dateien zwischen Konten. Zur Authentifizierung werden Klartextkennwörter verwendet.
Aufgrund der Auswirkungen dieses Informationssicherheitsvorfalls und auf Vorschlag des IRT beschloss Knight, das FTP-Protokoll durch das Secure Shell-Protokoll (SSH) zu ersetzen, sodass jeder, der den Datenverkehr erfasst, nur verschlüsselte Daten sehen kann.
Im Anschluss an diese Änderungen führte Knight eine Risikobewertung durch, um sicherzustellen, dass die Implementierung von Kontrollen das Risiko ähnlicher Vorfälle minimiert hatte. Die Ergebnisse des Prozesses wurden vom ISMS-Projektmanager genehmigt, der behauptete, dass das Risikoniveau nach der Implementierung neuer Kontrollen mit den Risikoakzeptanzniveaus des Unternehmens übereinstimmte.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Basierend auf Szenario 2 entschied sich Knight, das FTP-Protokoll durch das Secure Shell-Protokoll (SSH) zu ersetzen. Sollte in diesem Fall die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) aktualisiert werden?
Das Konsolenpaket enthält ein Paar VR-Headsets, zwei
Spiele und andere Geschenke.
Im Laufe der Jahre hat sich das Unternehmen einen guten Ruf erarbeitet, indem es seinen Kunden gegenüber Integrität, Ehrlichkeit und Respekt zeigt. Dieser gute Ruf ist einer der Gründe, warum die meisten leidenschaftlichen Gamer die G-Konsole von Knight anstreben, sobald sie auf den Markt kommt.
Abgesehen davon, dass Knight ein sehr kundenorientiertes Unternehmen ist
Aufgrund der Entwicklungsqualität erlangte es auch in der Spielebranche große Anerkennung. Ihre Preise sind etwas höher, als es die vernünftigen Standards erlauben.
Für die meisten treuen Kunden von Knight stellt dies jedoch kein Problem dar, da die Qualität erstklassig ist.
Als einer der weltweit führenden Entwickler von Videospielkonsolen steht Knight auch häufig im Mittelpunkt böswilliger Aktivitäten. Das Unternehmen verfügt seit über einem Jahr über ein betriebsfähiges ISMS. Der ISMS-Geltungsbereich umfasst alle Abteilungen von Knight mit Ausnahme der Finanz- und Personalabteilungen.
Kürzlich wurden mehrere Dateien von Knight, die geschützte Informationen enthielten, von Hackern durchgesickert. Das Incident Response Team (IRT) von Knight begann sofort mit der Analyse jedes Teils des Systems und der Details des Vorfalls.
Der erste Verdacht des IRT bestand darin, dass die Mitarbeiter von Knight schwache Passwörter verwendeten und daher leicht von Hackern geknackt werden konnten, die sich unbefugten Zugriff auf ihre Konten verschafften. Nach sorgfältiger Untersuchung des Vorfalls stellte das IRT jedoch fest, dass Hacker auf Konten zugegriffen hatten, indem sie den FTP-Verkehr (File Transfer Protocol) erfassten.
FTP ist ein Netzwerkprotokoll zum Übertragen von Dateien zwischen Konten. Zur Authentifizierung werden Klartextkennwörter verwendet.
Aufgrund der Auswirkungen dieses Informationssicherheitsvorfalls und auf Vorschlag des IRT beschloss Knight, das FTP-Protokoll durch das Secure Shell-Protokoll (SSH) zu ersetzen, sodass jeder, der den Datenverkehr erfasst, nur verschlüsselte Daten sehen kann.
Im Anschluss an diese Änderungen führte Knight eine Risikobewertung durch, um sicherzustellen, dass die Implementierung von Kontrollen das Risiko ähnlicher Vorfälle minimiert hatte. Die Ergebnisse des Prozesses wurden vom ISMS-Projektmanager genehmigt, der behauptete, dass das Risikoniveau nach der Implementierung neuer Kontrollen mit den Risikoakzeptanzniveaus des Unternehmens übereinstimmte.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Basierend auf Szenario 2 entschied sich Knight, das FTP-Protokoll durch das Secure Shell-Protokoll (SSH) zu ersetzen. Sollte in diesem Fall die Erklärung zur Anwendbarkeit (Statement of Applicability, SoA) aktualisiert werden?
正解:A
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Sie führen ein ISMS-Audit in einem Pflegeheim namens ABC durch, das Gesundheitsdienstleistungen anbietet.
Sie finden, dass alle Pflegeheimbewohner ständig ein elektronisches Armband tragen, um ihren Standort, ihren Herzschlag und ihren Blutdruck zu überwachen. Sie haben erfahren, dass das elektronische Armband alle Daten automatisch auf den Cloud-Server mit künstlicher Intelligenz (KI) hochlädt, um das Gesundheitswesen zu überwachen und durch das Gesundheitspersonal zu analysieren.
Um den Umfang des ISMS zu überprüfen, befragen Sie den Managementsystembeauftragten (MSR), der erklärt, dass der Umfang des ISMS ein ausgelagertes Rechenzentrum abdeckt.
Wählen Sie drei Optionen für die Prüfnachweise aus, die Sie finden müssen, um den Umfang des ISMS zu überprüfen.
Sie finden, dass alle Pflegeheimbewohner ständig ein elektronisches Armband tragen, um ihren Standort, ihren Herzschlag und ihren Blutdruck zu überwachen. Sie haben erfahren, dass das elektronische Armband alle Daten automatisch auf den Cloud-Server mit künstlicher Intelligenz (KI) hochlädt, um das Gesundheitswesen zu überwachen und durch das Gesundheitspersonal zu analysieren.
Um den Umfang des ISMS zu überprüfen, befragen Sie den Managementsystembeauftragten (MSR), der erklärt, dass der Umfang des ISMS ein ausgelagertes Rechenzentrum abdeckt.
Wählen Sie drei Optionen für die Prüfnachweise aus, die Sie finden müssen, um den Umfang des ISMS zu überprüfen.
正解:A,E,G
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Bitte identifizieren Sie im Rahmen eines Managementsystem-Audits den Ablauf eines typischen Prozesses zur Sammlung und Überprüfung von Informationen. Der erste wurde für Sie erledigt.
正解:
Als Prüfer haben Sie festgestellt, dass ABC Inc. ein Verfahren zur Verwaltung der Wechselspeichermedien eingeführt hat. Das Verfahren basiert auf dem von ABC Inc. übernommenen Klassifizierungsschema. Wenn also die gespeicherten Informationen als „vertraulich“ eingestuft sind, kommt das Verfahren zur Anwendung. Für Informationen, die als „öffentlich“ eingestuft sind, gelten hingegen keine Vertraulichkeitsanforderungen: Es gilt also lediglich ein Verfahren zur Gewährleistung ihrer Integrität und Verfügbarkeit. Um welche Art von Prüfungsfeststellung handelt es sich?
正解:B
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Sie sind ein erfahrener ISMS-Audit-Teamleiter und führen derzeit ein Erstzertifizierungsaudit eines neuen Kunden durch Dritte durch, wobei Sie ISO/IEC 27001:2022 als Kriterien verwenden.
Es ist der Nachmittag des zweiten Tages eines zweitägigen Audits und Sie sind gerade dabei, Ihren Auditbericht zu schreiben. Bisher wurden keine Abweichungen festgestellt und Sie und Ihr Team sind sowohl vom Standort als auch vom ISMS der Organisation beeindruckt.
An diesem Punkt kommt ein Mitglied Ihres Teams auf Sie zu und teilt Ihnen mit, dass es seine Beurteilung der Führung und des Engagements nicht abschließen konnte, da es zu viel Zeit mit der Überprüfung der Änderungsplanung verbracht hat.
Welche der folgenden Maßnahmen werden Sie als Reaktion auf diese Informationen ergreifen?
Es ist der Nachmittag des zweiten Tages eines zweitägigen Audits und Sie sind gerade dabei, Ihren Auditbericht zu schreiben. Bisher wurden keine Abweichungen festgestellt und Sie und Ihr Team sind sowohl vom Standort als auch vom ISMS der Organisation beeindruckt.
An diesem Punkt kommt ein Mitglied Ihres Teams auf Sie zu und teilt Ihnen mit, dass es seine Beurteilung der Führung und des Engagements nicht abschließen konnte, da es zu viel Zeit mit der Überprüfung der Änderungsplanung verbracht hat.
Welche der folgenden Maßnahmen werden Sie als Reaktion auf diese Informationen ergreifen?
正解:C
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Sie führen ein ISMS-Audit in der Versandabteilung eines internationalen Logistikunternehmens durch, das Versanddienstleistungen für große Organisationen, darunter örtliche Krankenhäuser und Regierungsbehörden, erbringt. Pakete enthalten typischerweise pharmazeutische Produkte, biologische Proben und Dokumente wie Reisepässe und Führerscheine. Sie stellen fest, dass in den Unternehmensunterlagen eine sehr große Anzahl zurückgegebener Artikel verzeichnet ist, deren Ursache unter anderem falsch adressierte Etiketten und in 15 % der Fälle zwei oder mehr Etiketten für unterschiedliche Adressen für ein Paket sind. Sie interviewen den Shipping Manager (SM).
Sie: Werden Artikel vor dem Versand überprüft?
SM: Offensichtlich beschädigte Gegenstände werden vom diensthabenden Personal vor dem Versand entfernt, aber die geringe Gewinnspanne macht es unwirtschaftlich, einen formellen Prüfprozess einzuführen.
Sie: Welche Maßnahmen werden ergriffen, wenn Artikel zurückgegeben werden?
SM: Die meisten dieser Verträge haben einen relativ geringen Wert, daher wurde beschlossen, dass es einfacher und bequemer ist, einfach das Etikett erneut auszudrucken und einzelne Pakete erneut zu versenden, als eine Untersuchung durchzuführen.
Sie melden eine Nichtkonformität gegenüber ISO 27001:2022 aufgrund der mangelnden Kontrolle des Kennzeichnungsprozesses.
In der Abschlussbesprechung entschuldigt sich der Versandleiter bei Ihnen, dass seine Kommentare möglicherweise missverstanden wurden. Er sagt, dass ihm nicht bewusst war, dass es im Hintergrund einen IT-Prozess gibt, der automatisch prüft, ob das richtige Etikett auf dem richtigen Paket landet, andernfalls wird das Paket beim Etikettieren ausgeworfen. Er bittet Sie, Ihre Nichtkonformität zurückzuziehen.
Wählen Sie drei Optionen für die richtigen Antworten aus, die Sie als Audit-Teamleiter auf die Anfrage des Versandmanagers geben würden.
Sie: Werden Artikel vor dem Versand überprüft?
SM: Offensichtlich beschädigte Gegenstände werden vom diensthabenden Personal vor dem Versand entfernt, aber die geringe Gewinnspanne macht es unwirtschaftlich, einen formellen Prüfprozess einzuführen.
Sie: Welche Maßnahmen werden ergriffen, wenn Artikel zurückgegeben werden?
SM: Die meisten dieser Verträge haben einen relativ geringen Wert, daher wurde beschlossen, dass es einfacher und bequemer ist, einfach das Etikett erneut auszudrucken und einzelne Pakete erneut zu versenden, als eine Untersuchung durchzuführen.
Sie melden eine Nichtkonformität gegenüber ISO 27001:2022 aufgrund der mangelnden Kontrolle des Kennzeichnungsprozesses.
In der Abschlussbesprechung entschuldigt sich der Versandleiter bei Ihnen, dass seine Kommentare möglicherweise missverstanden wurden. Er sagt, dass ihm nicht bewusst war, dass es im Hintergrund einen IT-Prozess gibt, der automatisch prüft, ob das richtige Etikett auf dem richtigen Paket landet, andernfalls wird das Paket beim Etikettieren ausgeworfen. Er bittet Sie, Ihre Nichtkonformität zurückzuziehen.
Wählen Sie drei Optionen für die richtigen Antworten aus, die Sie als Audit-Teamleiter auf die Anfrage des Versandmanagers geben würden.
正解:A,F,G
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Ein wichtiger Prüfungsprozess ist die Art und Weise, wie Prüfer Informationen sammeln und die Merkmale der Ergebnisse bestimmen. Bringen Sie die aufgeführten Aktionen in die richtige Reihenfolge, um diesen Vorgang abzuschließen. Der letzte Schritt wurde für Sie erledigt.
正解:
Sie führen ein ISMS-Audit in einem Pflegeheim namens ABC durch, das Gesundheitsdienstleistungen anbietet.
Der nächste Schritt in Ihrem Prüfplan besteht darin, die Informationssicherheit der Entwicklung, des Supports und des Lebenszyklusprozesses der mobilen Apps für das Gesundheitswesen von ABC zu überprüfen. Während des Audits haben Sie erfahren, dass das Unternehmen die Entwicklung mobiler Apps an ein professionelles Softwareentwicklungsunternehmen mit Zertifizierungen nach CMMI Level 5, ITSM (ISO/IEC 20000-1), BCMS (ISO 22301) und ISMS (ISO/IEC 27001) ausgelagert hat.
Der IT-Manager stellt das Software-Sicherheitsmanagementverfahren vor und fasst den Prozess wie folgt zusammen:
Bei der Entwicklung mobiler Apps müssen mindestens die Grundsätze „Security by Design“ und „Security by Default“ berücksichtigt werden. Folgende Sicherheitsfunktionen zum Schutz personenbezogener Daten stehen zur Verfügung:
Zugangskontrolle.
Verschlüsselung personenbezogener Daten, d. h. Advanced Encryption Standard (AES)-Algorithmus, Schlüssellängen: 256 Bit; und Pseudonymisierung personenbezogener Daten.
Auf Schwachstelle geprüft und keine Sicherheits-Hintertür vorhanden
Sie probieren den neuesten Testbericht für mobile Apps aus – Referenz-ID: 0098, Details wie folgt:
Sie möchten andere Bereiche weiter untersuchen, um mehr Prüfungsnachweise zu sammeln. Wählen Sie drei Optionen aus, die nicht in Ihrem Audit-Trail enthalten sein werden.
Der nächste Schritt in Ihrem Prüfplan besteht darin, die Informationssicherheit der Entwicklung, des Supports und des Lebenszyklusprozesses der mobilen Apps für das Gesundheitswesen von ABC zu überprüfen. Während des Audits haben Sie erfahren, dass das Unternehmen die Entwicklung mobiler Apps an ein professionelles Softwareentwicklungsunternehmen mit Zertifizierungen nach CMMI Level 5, ITSM (ISO/IEC 20000-1), BCMS (ISO 22301) und ISMS (ISO/IEC 27001) ausgelagert hat.
Der IT-Manager stellt das Software-Sicherheitsmanagementverfahren vor und fasst den Prozess wie folgt zusammen:
Bei der Entwicklung mobiler Apps müssen mindestens die Grundsätze „Security by Design“ und „Security by Default“ berücksichtigt werden. Folgende Sicherheitsfunktionen zum Schutz personenbezogener Daten stehen zur Verfügung:
Zugangskontrolle.
Verschlüsselung personenbezogener Daten, d. h. Advanced Encryption Standard (AES)-Algorithmus, Schlüssellängen: 256 Bit; und Pseudonymisierung personenbezogener Daten.
Auf Schwachstelle geprüft und keine Sicherheits-Hintertür vorhanden
Sie probieren den neuesten Testbericht für mobile Apps aus – Referenz-ID: 0098, Details wie folgt:
Sie möchten andere Bereiche weiter untersuchen, um mehr Prüfungsnachweise zu sammeln. Wählen Sie drei Optionen aus, die nicht in Ihrem Audit-Trail enthalten sein werden.
正解:A,B,C
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Szenario 5: Data Grid Inc. ist ein bekanntes Unternehmen, das Sicherheitsdienste für die gesamte Informationstechnologie-Infrastruktur bereitstellt. Es bietet Cybersicherheitssoftware, einschließlich Endpunktsicherheit, Firewalls und Antivirensoftware. Seit zwei Jahrzehnten unterstützt Data Grid Inc. verschiedene Unternehmen bei der Sicherung ihrer Netzwerke durch fortschrittliche Produkte und Dienstleistungen. Nachdem sich Data Grid Inc. im Bereich der Informations- und Netzwerksicherheit einen guten Ruf erworben hat, hat sich das Unternehmen für die ISO/IEC 27001-Zertifizierung entschieden, um seine internen Vermögenswerte und Kundenressourcen besser zu schützen und sich einen Wettbewerbsvorteil zu verschaffen.
Data Grid Inc. ernannte das Prüfungsteam, das sich auf die Bedingungen des Prüfungsmandats einigte. Darüber hinaus definierte Data Grid Inc. den Prüfungsumfang, spezifizierte die Prüfungskriterien und schlug vor, die Prüfung innerhalb von fünf Tagen abzuschließen. Das Auditteam lehnte den Vorschlag von Data Grid Inc. ab, das Audit innerhalb von fünf Tagen durchzuführen, da das Unternehmen über eine große Anzahl von Mitarbeitern und komplexe Prozesse verfügt. Data Grid Inc. bestand darauf, dass das Audit innerhalb von fünf Tagen abgeschlossen werden solle, sodass beide Parteien sich darauf einigten, das Audit innerhalb der festgelegten Dauer durchzuführen. Das Prüfungsteam verfolgte einen risikobasierten Prüfungsansatz.
Um einen Überblick über die wesentlichen Geschäftsprozesse und -kontrollen zu erhalten, griff das Audit-Team auf Prozessbeschreibungen und Organigramme zu. Eine tiefergehende Analyse der IT-Risiken und -Kontrollen war ihnen nicht möglich, da ihr Zugriff auf die IT-Infrastruktur und Anwendungen eingeschränkt war. Das Auditteam stellte jedoch fest, dass das Risiko, dass ein erheblicher Fehler im ISMS von Data Grid Inc. auftreten könnte, gering sei, da die meisten Prozesse des Unternehmens automatisiert seien. Daher bewerteten sie, ob das ISMS insgesamt den Standardanforderungen entspricht, indem sie den Vertretern von Data Grid Inc. die folgenden Fragen stellten:
*Wie werden Verantwortlichkeiten für die IT und IT-Kontrollen definiert und zugewiesen?
*Wie beurteilt Data Grid Inc., ob die Kontrollen die gewünschten Ergebnisse erzielt haben?
*Welche Kontrollen verfügt Data Grid Inc., um die Betriebsumgebung und Daten vor bösartiger Software zu schützen?
*Sind Firewall-bezogene Kontrollen implementiert?
Die Vertreter von Data Grid Inc. lieferten ausreichende und geeignete Beweise, um alle diese Fragen zu beantworten.
Der Leiter des Prüfungsteams entwarf die Prüfungsschlussfolgerungen und berichtete sie an das Top-Management von Data Grid Inc.
Obwohl Data Grid Inc. von den Auditoren zur Zertifizierung empfohlen wurde, kam es zu Missverständnissen zwischen Data Grid Inc. und der Zertifizierungsstelle hinsichtlich der Auditziele. Data Grid Inc. gab an, dass das Auditteam diese Informationen nicht bereitgestellt habe, obwohl die Auditziele die Identifizierung von Bereichen mit potenziellen Verbesserungen beinhalteten.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Welche Art von Prüfungsrisiko wurde vom Prüfungsteam als „gering*“ definiert? Siehe Szenario 5.
Data Grid Inc. ernannte das Prüfungsteam, das sich auf die Bedingungen des Prüfungsmandats einigte. Darüber hinaus definierte Data Grid Inc. den Prüfungsumfang, spezifizierte die Prüfungskriterien und schlug vor, die Prüfung innerhalb von fünf Tagen abzuschließen. Das Auditteam lehnte den Vorschlag von Data Grid Inc. ab, das Audit innerhalb von fünf Tagen durchzuführen, da das Unternehmen über eine große Anzahl von Mitarbeitern und komplexe Prozesse verfügt. Data Grid Inc. bestand darauf, dass das Audit innerhalb von fünf Tagen abgeschlossen werden solle, sodass beide Parteien sich darauf einigten, das Audit innerhalb der festgelegten Dauer durchzuführen. Das Prüfungsteam verfolgte einen risikobasierten Prüfungsansatz.
Um einen Überblick über die wesentlichen Geschäftsprozesse und -kontrollen zu erhalten, griff das Audit-Team auf Prozessbeschreibungen und Organigramme zu. Eine tiefergehende Analyse der IT-Risiken und -Kontrollen war ihnen nicht möglich, da ihr Zugriff auf die IT-Infrastruktur und Anwendungen eingeschränkt war. Das Auditteam stellte jedoch fest, dass das Risiko, dass ein erheblicher Fehler im ISMS von Data Grid Inc. auftreten könnte, gering sei, da die meisten Prozesse des Unternehmens automatisiert seien. Daher bewerteten sie, ob das ISMS insgesamt den Standardanforderungen entspricht, indem sie den Vertretern von Data Grid Inc. die folgenden Fragen stellten:
*Wie werden Verantwortlichkeiten für die IT und IT-Kontrollen definiert und zugewiesen?
*Wie beurteilt Data Grid Inc., ob die Kontrollen die gewünschten Ergebnisse erzielt haben?
*Welche Kontrollen verfügt Data Grid Inc., um die Betriebsumgebung und Daten vor bösartiger Software zu schützen?
*Sind Firewall-bezogene Kontrollen implementiert?
Die Vertreter von Data Grid Inc. lieferten ausreichende und geeignete Beweise, um alle diese Fragen zu beantworten.
Der Leiter des Prüfungsteams entwarf die Prüfungsschlussfolgerungen und berichtete sie an das Top-Management von Data Grid Inc.
Obwohl Data Grid Inc. von den Auditoren zur Zertifizierung empfohlen wurde, kam es zu Missverständnissen zwischen Data Grid Inc. und der Zertifizierungsstelle hinsichtlich der Auditziele. Data Grid Inc. gab an, dass das Auditteam diese Informationen nicht bereitgestellt habe, obwohl die Auditziele die Identifizierung von Bereichen mit potenziellen Verbesserungen beinhalteten.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Welche Art von Prüfungsrisiko wurde vom Prüfungsteam als „gering*“ definiert? Siehe Szenario 5.
正解:B
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)