Question 1
您是一位經驗豐富的 ISMS 審核員,在一家提供 ICT 回收服務的組織中進行第三方監督審核。公司不再需要的ICT設備由組織處理。它要么被重新調試並重複使用,要么被安全銷毀。
您注意到房間角落的長凳上有兩台伺服器。兩者都貼有伺服器名稱、IP 位址和管理員密碼的貼圖。您向 ICT 經理詢問這些物品,他告訴您這些物品是昨天從一位老客戶那裡收到的一批貨物的一部分。
您應該採取哪一項行動?
您注意到房間角落的長凳上有兩台伺服器。兩者都貼有伺服器名稱、IP 位址和管理員密碼的貼圖。您向 ICT 經理詢問這些物品,他告訴您這些物品是昨天從一位老客戶那裡收到的一批貨物的一部分。
您應該採取哪一項行動?
Question 2
根據 ISO/IEC 27001,資訊安全管理系統旨在保護下列哪兩項?
Question 3
您正在 ABC Healthcare Services 的療養院執行 ISO 27001 ISMS 監督審核。 ABC 使用由供應商 WeCare 設計和維護的醫療保健行動應用程式來監控居民的健康狀況。在審核過程中,您了解到90%的居民家庭成員每週都會透過電子郵件和簡訊定期收到WeCare的醫療器材廣告。 ABC 與 WeCare 之間的服務協議禁止供應商使用居民的個人資料。美國廣播公司已收到許多居民及其家人的投訴。
服務經理表示,這些投訴作為資訊安全事件進行了調查,發現這些投訴是合理的。
已根據不合格和糾正措施管理程序規劃並實施糾正措施。
您寫了一份不合格項“ABC 未能遵守與居民及其家庭成員的個人資料相關的資訊安全控制 A.5.34(隱私和 PII 保護)。供應商 WeCare 使用居民的個人資訊向家庭成員。”從列出的糾正和糾正措施中選擇您希望 ABC 針對不合格項採取的三個選項。
服務經理表示,這些投訴作為資訊安全事件進行了調查,發現這些投訴是合理的。
已根據不合格和糾正措施管理程序規劃並實施糾正措施。
您寫了一份不合格項“ABC 未能遵守與居民及其家庭成員的個人資料相關的資訊安全控制 A.5.34(隱私和 PII 保護)。供應商 WeCare 使用居民的個人資訊向家庭成員。”從列出的糾正和糾正措施中選擇您希望 ABC 針對不合格項採取的三個選項。
Question 4
您是審計團隊負責人,正在對一家線上保險公司進行第三方審計。在第 1 階段,您發現組織採取了非常謹慎的風險方法,並在其適用性聲明中包含了 ISO/IEC 27001:2022 附錄 A 中的所有資訊安全控制。
在第 2 階段審核期間,您的審核團隊發現沒有證據顯示制定了針對三項控制措施(5.3 職責分離、6.1 篩檢、7.12 佈線安全)的風險處理計劃。您對 ISO 27001:2022 第 6.1.3.e 條提出不符合項。
在閉幕會議上,技術總監發布了修訂後的適用性聲明的摘錄(如圖所示),並要求撤銷不符合項。
選擇三個選項,說明審計組長對技術總監的要求做出正確的回應。
在第 2 階段審核期間,您的審核團隊發現沒有證據顯示制定了針對三項控制措施(5.3 職責分離、6.1 篩檢、7.12 佈線安全)的風險處理計劃。您對 ISO 27001:2022 第 6.1.3.e 條提出不符合項。
在閉幕會議上,技術總監發布了修訂後的適用性聲明的摘錄(如圖所示),並要求撤銷不符合項。
選擇三個選項,說明審計組長對技術總監的要求做出正確的回應。
Question 5
在管理系統審核的背景下,請確定收集和驗證資訊的典型流程的順序。第一個已經為你完成了。
