ISO-IEC-27001-Lead-Auditor Deutsch試験無料問題集「PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor Deutsch Version) 認定」
Sie führen ein ISMS-Audit in einem Pflegeheim durch, in dem die Bewohner stets ein elektronisches Armband tragen, um ihren Standort, Herzschlag und Blutdruck zu überwachen. Das Armband lädt diese Daten automatisch auf einen Cloud-Server hoch, damit das Personal das Gesundheitswesen überwachen und analysieren kann.
Sie möchten nun überprüfen, ob die Richtlinien und Ziele zur Informationssicherheit vom Top-Management festgelegt wurden. Sie probieren die Richtlinie für mobile Geräte aus und stellen fest, dass ein Sicherheitsziel dieser Richtlinie darin besteht, „die Sicherheit der Telearbeit und der Nutzung mobiler Geräte zu gewährleisten“. In der Richtlinie heißt es, dass die folgenden Kontrollen angewendet werden, um dieses Ziel zu erreichen.
Persönlichen Mobilgeräten ist es untersagt, sich mit dem Heimnetzwerk zu verbinden und die Daten der Bewohner zu verarbeiten und zu speichern.
Die mobilen Geräte des Unternehmens innerhalb des ISMS-Geltungsbereichs müssen im Vermögensregister registriert werden.
Die Mobilgeräte des Unternehmens müssen einen physischen Schutz implementieren oder ermöglichen, z. B. PIN-Code-geschützte Bildschirmsperre/-entsperrung, Gesichtserkennung oder Fingerabdruck zum Entsperren des Geräts.
Die mobilen Geräte des Unternehmens müssen regelmäßig gesichert werden.
Um zu überprüfen, ob die Richtlinien und Ziele für Mobilgeräte umgesetzt und wirksam sind, wählen Sie drei Optionen für Ihren Prüfpfad aus.
Sie möchten nun überprüfen, ob die Richtlinien und Ziele zur Informationssicherheit vom Top-Management festgelegt wurden. Sie probieren die Richtlinie für mobile Geräte aus und stellen fest, dass ein Sicherheitsziel dieser Richtlinie darin besteht, „die Sicherheit der Telearbeit und der Nutzung mobiler Geräte zu gewährleisten“. In der Richtlinie heißt es, dass die folgenden Kontrollen angewendet werden, um dieses Ziel zu erreichen.
Persönlichen Mobilgeräten ist es untersagt, sich mit dem Heimnetzwerk zu verbinden und die Daten der Bewohner zu verarbeiten und zu speichern.
Die mobilen Geräte des Unternehmens innerhalb des ISMS-Geltungsbereichs müssen im Vermögensregister registriert werden.
Die Mobilgeräte des Unternehmens müssen einen physischen Schutz implementieren oder ermöglichen, z. B. PIN-Code-geschützte Bildschirmsperre/-entsperrung, Gesichtserkennung oder Fingerabdruck zum Entsperren des Geräts.
Die mobilen Geräte des Unternehmens müssen regelmäßig gesichert werden.
Um zu überprüfen, ob die Richtlinien und Ziele für Mobilgeräte umgesetzt und wirksam sind, wählen Sie drei Optionen für Ihren Prüfpfad aus.
正解:B,C,D
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Um die Konformität mit der Kontrolle 8.15 Protokollierung von ISO/IEC 27001 Anhang A zu überprüfen, überprüfte das Auditteam eine Stichprobe von Serverprotokollen, um festzustellen, ob sie bearbeitet oder gelöscht werden können. Welches Prüfverfahren wurde angewendet?
正解:A
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Als Audit-Teamleiter führen Sie Ihr erstes ISMS-Überwachungsaudit durch Dritte durch. Sie befinden sich derzeit mit einem anderen Mitglied Ihres Prüfungsteams im Rechenzentrum des geprüften Unternehmens.
Ihr Kollege scheint sich nicht sicher zu sein, was den Unterschied zwischen einem Informationssicherheitsereignis und einem Informationssicherheitsvorfall ausmacht. Sie versuchen, den Unterschied anhand von Beispielen zu erklären.
Welche drei der folgenden Szenarien können als Informationssicherheitsvorfälle definiert werden?
Ihr Kollege scheint sich nicht sicher zu sein, was den Unterschied zwischen einem Informationssicherheitsereignis und einem Informationssicherheitsvorfall ausmacht. Sie versuchen, den Unterschied anhand von Beispielen zu erklären.
Welche drei der folgenden Szenarien können als Informationssicherheitsvorfälle definiert werden?
正解:A,B,D
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Szenario 7: Webvue. Das in Japan ansässige Technologieunternehmen ist auf die Entwicklung, Unterstützung und Wartung von Computersoftware spezialisiert. Webvue bietet Lösungen für verschiedene Technologiefelder und Geschäftsbereiche. Sein Flaggschiff-Dienst ist CloudWebvue, eine umfassende Cloud-Computing-Plattform, die Speicher-, Netzwerk- und virtuelle Computing-Dienste anbietet. Sie ist sowohl für Unternehmen als auch für Einzelbenutzer konzipiert. CloudWebvue ist für seine Flexibilität, Skalierbarkeit und Zuverlässigkeit bekannt.
Webvue hat beschlossen, in seinen ISO/IEC 27001-Zertifizierungsumfang nur CloudWebvue aufzunehmen. Aus diesem Grund wurden die Audits der Stufen 1 und 2 gleichzeitig durchgeführt. Webvue ist stolz auf seine Strenge in Bezug auf die Vertraulichkeit von Vermögenswerten. Das Unternehmen schützt die in CloudWebvue gespeicherten Informationen durch entsprechende kryptografische Kontrollen. Alle Informationen jeder Klassifizierungsstufe, ob für den internen Gebrauch, eingeschränkt oder vertraulich, werden zuerst mit einem entsprechenden einzigartigen Hash verschlüsselt und dann in der Cloud gespeichert. Das Auditteam bestand aus fünf Personen: Keith, Sean, Layla, Sam und Tin A. Keith, der erfahrenste Auditor im IT- und Informationssicherheits-Auditteam, war der Leiter des Auditteams. Zu seinen Aufgaben gehörten die Planung des Audits und die Leitung des Auditteams. Sean und Layla hatten Erfahrung in Projektplanung, Geschäftsanalyse und IT-Systemen (Hardware und Anwendung). Ihre Aufgaben umfassten die Auditplanung entsprechend den internen Systemen und Prozessen von Webvue. Sam und Tina hingegen, die ihre Ausbildung erst kürzlich abgeschlossen hatten, waren für die Erledigung der alltäglichen Aufgaben verantwortlich und entwickelten gleichzeitig ihre Auditkompetenzen. Beim Überprüfen der Konformität mit Kontrolle 8.24 Verwendung von Kryptografie von ISO/IEC 27001 Anhang A durch Interviews mit den entsprechenden Mitarbeitern fand das Auditteam heraus, dass die kryptografischen Schlüssel ursprünglich basierend auf einem Zufallsbitgenerator (RBG) und anderen bewährten Methoden zur Generierung kryptografischer Schlüssel generiert worden waren. Nach Überprüfung der Kryptografierichtlinie von Webvue kamen sie zu dem Schluss, dass die durch die Interviews erhaltenen Informationen der Wahrheit entsprachen. Die kryptografischen Schlüssel werden jedoch immer noch verwendet, da die Richtlinie nicht auf die Verwendung und Lebensdauer kryptografischer Schlüssel eingeht.
Wie später zwischen Webvue und der Zertifizierungsstelle vereinbart, entschied sich das Auditteam für die Durchführung eines virtuellen Audits, das sich speziell auf die Überprüfung der Konformität mit 8.11 Datenmaskierung von ISO/IEC 27001 innerhalb von Webvue konzentrierte und mit dem Umfang der Zertifizierung und den Auditzielen übereinstimmte. Sie untersuchten die Prozesse zum Schutz von Daten innerhalb von CloudWebvue und konzentrierten sich dabei darauf, wie das Unternehmen seine Richtlinien und gesetzlichen Standards einhielt. Als Teil dieses Prozesses fertigte Keith, der Leiter des Auditteams, Screenshots von relevanten Dokumenten und Verfahren zur kryptografischen Schlüsselverwaltung an, um die Wirksamkeit der Praktiken von Webvue zu dokumentieren und zu analysieren.
Webvue verwendet generierte Testdaten zu Testzwecken. Wie jedoch sowohl das Interview mit dem Leiter der Qualitätssicherungsabteilung als auch die von dieser Abteilung verwendeten Verfahren ergaben, werden manchmal Live-Systemdaten verwendet. In solchen Szenarien werden große Datenmengen generiert und gleichzeitig genauere Ergebnisse erzielt. Die Testdaten sind geschützt und kontrolliert, wie die Simulation des Verschlüsselungsprozesses bestätigte, die von Webvue-Mitarbeitern während des Audits durchgeführt wurde. Während des Interviews mit dem Leiter der Qualitätssicherungsabteilung bemerkte Keith, dass die Mitarbeiter der Abteilung für Sicherheitsschulungen die richtigen Verfahren nicht befolgten, obwohl diese Abteilung nicht in den Umfang des Audits fiel. Trotz des Ausschlusses aus dem Umfang des Audits hat die Nichtkonformität in der Abteilung für Sicherheitsschulungen potenzielle Auswirkungen auf die Prozesse innerhalb des Umfangs des Audits und wirkt sich insbesondere auf die Datensicherheit und die kryptografischen Praktiken in CloudWebvue aus. Daher nahm Keith diesen Befund in den Auditbericht auf und informierte den Auditierten entsprechend.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Hat Keith während des virtuellen Audits die richtige Entscheidung bezüglich der Dokumente von Webvue getroffen?
Webvue hat beschlossen, in seinen ISO/IEC 27001-Zertifizierungsumfang nur CloudWebvue aufzunehmen. Aus diesem Grund wurden die Audits der Stufen 1 und 2 gleichzeitig durchgeführt. Webvue ist stolz auf seine Strenge in Bezug auf die Vertraulichkeit von Vermögenswerten. Das Unternehmen schützt die in CloudWebvue gespeicherten Informationen durch entsprechende kryptografische Kontrollen. Alle Informationen jeder Klassifizierungsstufe, ob für den internen Gebrauch, eingeschränkt oder vertraulich, werden zuerst mit einem entsprechenden einzigartigen Hash verschlüsselt und dann in der Cloud gespeichert. Das Auditteam bestand aus fünf Personen: Keith, Sean, Layla, Sam und Tin A. Keith, der erfahrenste Auditor im IT- und Informationssicherheits-Auditteam, war der Leiter des Auditteams. Zu seinen Aufgaben gehörten die Planung des Audits und die Leitung des Auditteams. Sean und Layla hatten Erfahrung in Projektplanung, Geschäftsanalyse und IT-Systemen (Hardware und Anwendung). Ihre Aufgaben umfassten die Auditplanung entsprechend den internen Systemen und Prozessen von Webvue. Sam und Tina hingegen, die ihre Ausbildung erst kürzlich abgeschlossen hatten, waren für die Erledigung der alltäglichen Aufgaben verantwortlich und entwickelten gleichzeitig ihre Auditkompetenzen. Beim Überprüfen der Konformität mit Kontrolle 8.24 Verwendung von Kryptografie von ISO/IEC 27001 Anhang A durch Interviews mit den entsprechenden Mitarbeitern fand das Auditteam heraus, dass die kryptografischen Schlüssel ursprünglich basierend auf einem Zufallsbitgenerator (RBG) und anderen bewährten Methoden zur Generierung kryptografischer Schlüssel generiert worden waren. Nach Überprüfung der Kryptografierichtlinie von Webvue kamen sie zu dem Schluss, dass die durch die Interviews erhaltenen Informationen der Wahrheit entsprachen. Die kryptografischen Schlüssel werden jedoch immer noch verwendet, da die Richtlinie nicht auf die Verwendung und Lebensdauer kryptografischer Schlüssel eingeht.
Wie später zwischen Webvue und der Zertifizierungsstelle vereinbart, entschied sich das Auditteam für die Durchführung eines virtuellen Audits, das sich speziell auf die Überprüfung der Konformität mit 8.11 Datenmaskierung von ISO/IEC 27001 innerhalb von Webvue konzentrierte und mit dem Umfang der Zertifizierung und den Auditzielen übereinstimmte. Sie untersuchten die Prozesse zum Schutz von Daten innerhalb von CloudWebvue und konzentrierten sich dabei darauf, wie das Unternehmen seine Richtlinien und gesetzlichen Standards einhielt. Als Teil dieses Prozesses fertigte Keith, der Leiter des Auditteams, Screenshots von relevanten Dokumenten und Verfahren zur kryptografischen Schlüsselverwaltung an, um die Wirksamkeit der Praktiken von Webvue zu dokumentieren und zu analysieren.
Webvue verwendet generierte Testdaten zu Testzwecken. Wie jedoch sowohl das Interview mit dem Leiter der Qualitätssicherungsabteilung als auch die von dieser Abteilung verwendeten Verfahren ergaben, werden manchmal Live-Systemdaten verwendet. In solchen Szenarien werden große Datenmengen generiert und gleichzeitig genauere Ergebnisse erzielt. Die Testdaten sind geschützt und kontrolliert, wie die Simulation des Verschlüsselungsprozesses bestätigte, die von Webvue-Mitarbeitern während des Audits durchgeführt wurde. Während des Interviews mit dem Leiter der Qualitätssicherungsabteilung bemerkte Keith, dass die Mitarbeiter der Abteilung für Sicherheitsschulungen die richtigen Verfahren nicht befolgten, obwohl diese Abteilung nicht in den Umfang des Audits fiel. Trotz des Ausschlusses aus dem Umfang des Audits hat die Nichtkonformität in der Abteilung für Sicherheitsschulungen potenzielle Auswirkungen auf die Prozesse innerhalb des Umfangs des Audits und wirkt sich insbesondere auf die Datensicherheit und die kryptografischen Praktiken in CloudWebvue aus. Daher nahm Keith diesen Befund in den Auditbericht auf und informierte den Auditierten entsprechend.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Hat Keith während des virtuellen Audits die richtige Entscheidung bezüglich der Dokumente von Webvue getroffen?
正解:B
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Bei Gesprächen mit den Personen, die das Auditprogramm einer Zertifizierungsstelle verwalten, fragt der Managementsystembeauftragte der Kundenorganisation nach einem bestimmten Auditor für das Zertifizierungsaudit. Wählen Sie zwei der folgenden Optionen aus, wie die Person(en), die das Auditprogramm verwalten, reagieren sollen.
正解:B,C
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Sie führen ein Überwachungsaudit durch Dritte durch, als ein anderes Mitglied des Auditteams mit der Bitte um Klärung auf Sie zukommt. Sie wurden gebeten, die Anwendung der Kontrolle 5.7 – Threat Intelligence durch die Organisation zu bewerten. Sie sind sich bewusst, dass dies eine der neuen Kontrollen ist, die in der ISO/IEC-Ausgabe 2022 eingeführt werden
27001, und sie möchten sicherstellen, dass sie die Kontrolle korrekt prüfen.
Sie haben eine Checkliste erstellt, die sie bei ihrer Prüfung unterstützt, und möchten, dass Sie bestätigen, dass ihre geplanten Aktivitäten mit den Anforderungen der Kontrolle übereinstimmen.
Welche drei der folgenden Optionen stellen gültige Prüfpfade dar?
27001, und sie möchten sicherstellen, dass sie die Kontrolle korrekt prüfen.
Sie haben eine Checkliste erstellt, die sie bei ihrer Prüfung unterstützt, und möchten, dass Sie bestätigen, dass ihre geplanten Aktivitäten mit den Anforderungen der Kontrolle übereinstimmen.
Welche drei der folgenden Optionen stellen gültige Prüfpfade dar?
正解:A,D,G
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
Szenario 5: Cobt, eine Versicherungsgesellschaft in London, bietet verschiedene gewerbliche, industrielle und Lebensversicherungslösungen an. In den letzten Jahren ist die Zahl der Kunden von Cobt enorm gestiegen. Da das Unternehmen eine riesige Menge an Daten verarbeiten muss, entschied es, dass eine Zertifizierung nach ISO/IEC 27001 viele Vorteile für die Informationssicherheit mit sich bringen und sein Engagement für kontinuierliche Verbesserung unter Beweis stellen würde. Obwohl das Unternehmen mit der Durchführung regelmäßiger Risikobewertungen gut vertraut war, brachte die Implementierung eines ISMS große Veränderungen in seinen täglichen Abläufen mit sich. Während des Risikobewertungsprozesses wurde ein Risiko identifiziert, bei dem erhebliche Mängel auftraten, die von den internen Kontrollmechanismen des Unternehmens nicht erkannt oder verhindert wurden.
Das Unternehmen folgte einer Methodik zur Implementierung des ISMS und hatte bereits nach wenigen Monaten ein betriebsbereites ISMS im Einsatz. Nach der erfolgreichen Implementierung des ISMS beantragte Cobt die ISO/IEC 27001-Zertifizierung. Mit der Prüfung wurde Sarah, eine erfahrene Auditorin, betraut. Nach eingehender Analyse des Auditangebots übernahm Sarah ihre Verantwortung als Leiterin des Auditteams und begann sofort, allgemeine Informationen über Cobt einzuholen. Sie legte die Auditkriterien und -ziele fest, plante das Audit und teilte den Mitgliedern des Auditteams die Verantwortlichkeiten zu.
Sarah räumte ein, dass Cobt zwar durch das Angebot diverser Handels- und Versicherungslösungen erheblich expandiert ist, aber immer noch auf einige manuelle Prozesse angewiesen ist. Daher konzentrierte sie sich zunächst darauf, Informationen darüber zu sammeln, wie das Unternehmen seine Informationssicherheitsrisiken handhabt. Sarah nahm Kontakt zu den Vertretern von Cobt auf, um Zugang zu Informationen im Zusammenhang mit dem Risikomanagement für die Offsite-Prüfung zu beantragen, wie ursprünglich für einen Teil der Prüfung vereinbart. Cobt lehnte dies jedoch später mit der Begründung ab, dass diese Informationen zu sensibel seien, um außerhalb des Unternehmens darauf zuzugreifen. Diese Ablehnung weckte Bedenken hinsichtlich der Durchführbarkeit der Prüfung, insbesondere hinsichtlich der Verfügbarkeit und Kooperation des Auditierten und des Zugangs zu Beweismitteln. Darüber hinaus äußerte Cobt Bedenken hinsichtlich des Prüfungsplans und gab an, dass dieser die jüngsten Änderungen des Unternehmens nicht richtig widerspiegele. Sie wies darauf hin, dass die während der Prüfung durchzuführenden Maßnahmen nur für den anfänglichen Umfang gelten und nicht die jüngsten Änderungen des Prüfungsumfangs umfassen. Sarah bewertete auch die Wesentlichkeit der Situation und berücksichtigte die Bedeutung der verweigerten Informationen für die Prüfungsziele. In diesem Fall warf die Ablehnung durch Cobt Fragen hinsichtlich der Vollständigkeit der Prüfung und ihrer Fähigkeit auf, eine angemessene Sicherheit zu bieten. Aufgrund dieser Umstände beschloss Sarah, vor der Unterzeichnung einer Zertifizierungsvereinbarung von der Prüfung zurückzutreten und teilte Cobt und der Zertifizierungsstelle ihre Entscheidung mit. Diese Entscheidung wurde getroffen, um die Einhaltung der Prüfungsgrundsätze sicherzustellen und Transparenz zu wahren, und unterstreicht ihr Engagement, diese Grundsätze konsequent einzuhalten.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Basierend auf den in Szenario 5 bereitgestellten Informationen weigerte sich Cobt, den Prüfern Informationen zum Risikomanagement bereitzustellen. Wie würden Sie als Prüfer eine solche Situation lösen?
Das Unternehmen folgte einer Methodik zur Implementierung des ISMS und hatte bereits nach wenigen Monaten ein betriebsbereites ISMS im Einsatz. Nach der erfolgreichen Implementierung des ISMS beantragte Cobt die ISO/IEC 27001-Zertifizierung. Mit der Prüfung wurde Sarah, eine erfahrene Auditorin, betraut. Nach eingehender Analyse des Auditangebots übernahm Sarah ihre Verantwortung als Leiterin des Auditteams und begann sofort, allgemeine Informationen über Cobt einzuholen. Sie legte die Auditkriterien und -ziele fest, plante das Audit und teilte den Mitgliedern des Auditteams die Verantwortlichkeiten zu.
Sarah räumte ein, dass Cobt zwar durch das Angebot diverser Handels- und Versicherungslösungen erheblich expandiert ist, aber immer noch auf einige manuelle Prozesse angewiesen ist. Daher konzentrierte sie sich zunächst darauf, Informationen darüber zu sammeln, wie das Unternehmen seine Informationssicherheitsrisiken handhabt. Sarah nahm Kontakt zu den Vertretern von Cobt auf, um Zugang zu Informationen im Zusammenhang mit dem Risikomanagement für die Offsite-Prüfung zu beantragen, wie ursprünglich für einen Teil der Prüfung vereinbart. Cobt lehnte dies jedoch später mit der Begründung ab, dass diese Informationen zu sensibel seien, um außerhalb des Unternehmens darauf zuzugreifen. Diese Ablehnung weckte Bedenken hinsichtlich der Durchführbarkeit der Prüfung, insbesondere hinsichtlich der Verfügbarkeit und Kooperation des Auditierten und des Zugangs zu Beweismitteln. Darüber hinaus äußerte Cobt Bedenken hinsichtlich des Prüfungsplans und gab an, dass dieser die jüngsten Änderungen des Unternehmens nicht richtig widerspiegele. Sie wies darauf hin, dass die während der Prüfung durchzuführenden Maßnahmen nur für den anfänglichen Umfang gelten und nicht die jüngsten Änderungen des Prüfungsumfangs umfassen. Sarah bewertete auch die Wesentlichkeit der Situation und berücksichtigte die Bedeutung der verweigerten Informationen für die Prüfungsziele. In diesem Fall warf die Ablehnung durch Cobt Fragen hinsichtlich der Vollständigkeit der Prüfung und ihrer Fähigkeit auf, eine angemessene Sicherheit zu bieten. Aufgrund dieser Umstände beschloss Sarah, vor der Unterzeichnung einer Zertifizierungsvereinbarung von der Prüfung zurückzutreten und teilte Cobt und der Zertifizierungsstelle ihre Entscheidung mit. Diese Entscheidung wurde getroffen, um die Einhaltung der Prüfungsgrundsätze sicherzustellen und Transparenz zu wahren, und unterstreicht ihr Engagement, diese Grundsätze konsequent einzuhalten.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Basierend auf den in Szenario 5 bereitgestellten Informationen weigerte sich Cobt, den Prüfern Informationen zum Risikomanagement bereitzustellen. Wie würden Sie als Prüfer eine solche Situation lösen?
正解:C
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)