Online Access Free ISO-IEC-27001-Lead-Auditor-CN Practice Test

下列哪三個短語是與審計相關的目標？

• A.確定改進機會
• B.國際標準
• C.監理要求
• D.按時完成審核
• E.確認管理系統的範圍
• F.管理策略

您正在一家提供醫療保健服務的住宅療養院進行 ISMS 審核。審核計畫的下一步是驗證業務連續性管理流程的資訊安全性。在審計過程中，您了解到該組織啟動了其中一項業務連續性計劃 (BCP)，以確保護理服務在最近的大流行期間繼續進行。您要求服務經理解釋組織如何在業務連續性管理流程中管理資訊安全。
服務經理介紹了針對大流行的護理服務連續性計劃，並將流程總結如下：
停止接納任何新居民。
70%的行政人員和30%的醫護人員將在家工作。
定期對員工進行自我檢測，包括在來辦公室前 1 天提交陰性檢測報告。
安裝 ABC 的醫療保健行動應用程序，追蹤他們的足跡並出示綠色健康狀況二維碼以供現場檢查。
您詢問服務經理，當員工在家工作時，如何防止非相關家庭成員或利害關係人存取居民的個人資料。服務經理無法回答，並建議 IT 安全經理應提供協助。
您想進一步調查其他領域以收集更多審計證據。選擇三個不會出現在您的審核追蹤中的選項。

• A.收集更多證據，說明組織如何確保所有員工定期進行新冠病毒檢測呈陽性（與控制措施 A.7.2 相關）
• B.透過訪談其他員工來收集更多證據，以確保他們意識到有時需要在家工作（與第 7.3 條相關）
• C.收集更多有關組織如何進行業務風險評估的證據，以評估現有居民離開療養院的速度。 （與第6條相關）
• D.收集有關在中斷期間如何維護資訊安全協議的更多證據（與控制措施 A.5.29 相關）
• E.收集更多證據，證明員工在家工作時僅使用免受惡意軟體侵害的 IT 裝置（與控制措施 A.8.7 相關）
• F.收集更多有關組織如何管理行動裝置上和遠端辦公期間的資訊安全的證據（與控制措施 A.6.7 相關）
• G.收集更多有關如何以及何時測試業務連續性計劃的證據。 （與控制措施 A.5.29 相關）
• H.收集更多證據，了解組織提供哪些資源來支持在家工作的員工。 （與第7.1條相關）

選擇兩個描述使用清單的優點的選項。

• A.必要時不要改變清單
• B.限制訪談指定方
• C.確保遵循相關審核跟踪
• D.每次審核都使用相同的清單，無需審核
• E.減少審核時間
• F.確保審核計畫得到實施

場景3：NightCore是一家總部位於美國的跨國科技公司，專注於電子商務、雲端運算、數位串流媒體和人工智慧。在實施資訊安全管理系統 (ISMS) 8 個多月後，他們聘請了認證機構進行第三方審核，以獲得 ISO/IEC 27001 認證。
認證機構成立了一個由七名審核員組成的團隊。傑克是最有經驗的審核員，被任命為審核組組長。多年來，他獲得了許多知名認證，例如 ISO/IEC 27001 首席審核員、CISA、CISSP 和 CISM。
Jack 透過研究和評估 NightCore 實施的每項資訊安全要求和控制，對 ISMS 審查的每個階段進行了全面分析。在第二階段審核期間。傑克發現了一些不合格項。在將購買的軟體許可證發票數量與軟體庫存進行比較後，傑克發現該公司的許多電腦一直在使用非法版本的軟體。他決定要求高階主管對這項違規行為做出解釋，看看他們是否意識到這一點。他的下一步是審計 NightCore 的 IT 部門。高層指派 NightCore 的系統管理員 Tom 擔任指導，陪伴 Jack 和稽核團隊了解系統和數位資產基礎設施的內部運作。
在採訪財務部的一名成員時，審計人員發現該公司最近向其一名顧問進行了一些不尋常的大額交易。收集有關交易的所有必要詳細資訊後。傑克決定直接訪問高階主管。
在討論第一個不合格項時，高階主管告訴傑克，他們願意決定使用複製軟體而不是原始軟體，因為它更便宜。 Jack向NightCore的高層解釋說，使用非法版本的軟體違反了ISO/IEC 27001和國家法律法規的要求。然而，他們似乎對此感到滿意。
在審計幾個月後，Jack 將他在審計期間收集的一些 NightCore 資訊出售給了 NightCore 的競爭對手，以獲取巨額資金。
根據該場景，回答以下問題：
根據場景3，Jack在審計後出售NightCore的資訊時，損害了哪一項審計原則？

• A.保密性
• B.誠信
• C.獨立

場景 3：Rebuildy 是一家位於泰國曼谷的建築公司，專門從事住宅建築的設計、建造和維護。為了確保敏感專案資料和客戶資訊的安全，Rebuildy 決定實施基於 ISO/IEC 27001 的資訊安全管理系統 (ISMS)。
ISMS 實施成果如下
* 資訊安全是透過應用一系列安全控制和製定政策、流程和程序來實現的。
* 安全控制是根據風險評估實施的，旨在消除風險或將風險降低到可接受的水平。
* 所有流程均基於計劃-執行-檢查-行動 (PDCA) 模型確保 ISMS 的持續改進。
* 資訊安全政策是根據最佳安全實務起草的安全手冊的一部分，因此，它不是一份獨立的文件。
* 資訊安全角色和職責已在每位員工的職位說明中明確說明
* 資訊安全管理系統的管理評審是依照計畫的時間間隔進行的。
Rebuildy 在經歷了兩次中期管理評審和一次年度內部審計後申請了認證。該前員工向審計團隊成員 Electra 提交了書面證據，Rebuildy 的主要客戶 Electra 也提交了有關相同問題的證據，審計員決定保留這份證據，而不是前員工的證據。審計團隊成員一直與 Electra 保持聯繫，直至審計完成，討論審計期間發現的不符合。伊萊克特拉提供了額外的證據來支持這些發現。
在審核開始時，審核小組對公司高階主管進行了訪談，討論了高階主管對 ISMS 實施的承諾等事項。從這些討論中獲得的證據都記錄在書面確認書中，用於確定 Rebuildy 是否符合 ISO/IEC 27001 的幾個條款。其中，發現以下不符合：
* 在公司的財務報告系統中偵測到了不當的使用者存取控制設定實例。
* 尚未建立獨立的資訊安全政策。相反，該公司使用根據最佳安全實踐起草的安全手冊。
在收到審計團隊的這些文件後，團隊負責人會見了 Rebuildy 的高層管理層，介紹了審計結果。審計小組報告了與財務報告系統和缺乏獨立資訊安全政策有關的調查結果。高階主管對調查結果表示不滿，並認為審計組長的行為不專業，暗示他們可能會要求更換組長。迫於壓力，審計組長決定與高階主管合作，淡化所發現的不符合項的重要性。因此，審計團隊負責人調整了報告以呈現更有利的觀點，從而歪曲了 Rebuildy 合規問題的真實程度。
根據上述情景，回答以下問題：
根據情境 3 的最後一段，審計團隊負責人犯了什麼錯誤？

• A.詐欺
• B.一般疏忽
• C.嚴重疏忽