Question 96
您正在進行 ISMS 審核。審計計劃的下一步是驗證組織的資訊安全風險處理計劃是否已製定並正確實施。您決定採訪 IT 安全經理。
您:能否請您解釋一下組織是如何進行資訊安全風險評估和處理流程的?
IT 安全經理:我們遵循資訊安全風險管理程序,產生風險處理計劃。
旁白:您回顧了第 123 號風險處理計劃,該計劃涉及計劃安裝電子(隱形)圍欄,以提高療養院的物理安全。您發現風險處理計劃已獲得 IT 安全經理的批准。
您:誰要為實體安全風險負責?
IT 安全經理:設施經理負責實體安全風險。 IT部門幫助他們監控警報。授權設施經理批准123號風險處理計畫的預算。
您:123號風險處置預案實施後,還有哪些資訊安全風險殘留?
IT安全經理:據我了解,目前還沒有關於殘留資訊安全風險接受的資訊。
您準備您的審計結果。為場景中合理的發現選擇三個選項。
您:能否請您解釋一下組織是如何進行資訊安全風險評估和處理流程的?
IT 安全經理:我們遵循資訊安全風險管理程序,產生風險處理計劃。
旁白:您回顧了第 123 號風險處理計劃,該計劃涉及計劃安裝電子(隱形)圍欄,以提高療養院的物理安全。您發現風險處理計劃已獲得 IT 安全經理的批准。
您:誰要為實體安全風險負責?
IT 安全經理:設施經理負責實體安全風險。 IT部門幫助他們監控警報。授權設施經理批准123號風險處理計畫的預算。
您:123號風險處置預案實施後,還有哪些資訊安全風險殘留?
IT安全經理:據我了解,目前還沒有關於殘留資訊安全風險接受的資訊。
您準備您的審計結果。為場景中合理的發現選擇三個選項。
Question 97
場景 4:Branding 是一家行銷公司,與美國一些最著名的公司合作。降低內部成本。兩年多來,Branding 已將軟體開發和 IT 幫助台營運外包給 Techvology。技術學。配備必要的專業知識,管理品牌的軟體、網路和硬體需求。 Branding 已實施資訊安全管理系統 (ISMS) 並獲得了 ISO/IEC 27001 認證,表明其致力於維護高標準的資訊安全。它積極對技術進行審計,以確保其外包業務的安全性符合 ISO/IEC 27001 認證要求。
在上次審計期間。品牌的審計團隊定義了要審計的流程和審計計畫。他們採用了基於證據的方法,特別是考慮到 Techvology 在過去一年中報告的兩起資訊安全事件。所有方面。
此外,審計也對Techvology用於管理其外包業務和其他組織的治理流程進行了嚴格的評估。此步驟對於品牌推廣至關重要,可以驗證是否有適當的控制和監督機制來減輕與外包安排相關的潛在風險。
審計員對 Techvology 各級人員進行了採訪,並分析了事件解決記錄。此外,Techvology 還提供了記錄作為證據,證明他們為員工開展了事件管理意識會議。根據收集到的信息,他們預測這兩起資訊安全事件都是由人員不稱職造成的。因此,審計人員要求查看涉事員工的人事檔案,以審查其能力的證據,例如相關經驗、證書和參與培訓的記錄。
Branding 的審計員對所獲得的證據的有效性進行了嚴格評估,並對可能與收到的記錄資訊的可靠性相矛盾或質疑的證據保持警惕。在對 Techvology 進行審計期間,審計員堅持這種方法,嚴格評估事件解決記錄,並對不同級別和職能的員工進行徹底的訪談。他們不只把 Techvology 代表的話當作事實;相反,他們尋求具體的證據來支持代表們對事件管理流程的主張。
根據上述情景,回答以下問題:
根據 ISO/IEC 27001 的要求,是否需要透過品牌來持續控制 Techvology 提供的服務?
在上次審計期間。品牌的審計團隊定義了要審計的流程和審計計畫。他們採用了基於證據的方法,特別是考慮到 Techvology 在過去一年中報告的兩起資訊安全事件。所有方面。
此外,審計也對Techvology用於管理其外包業務和其他組織的治理流程進行了嚴格的評估。此步驟對於品牌推廣至關重要,可以驗證是否有適當的控制和監督機制來減輕與外包安排相關的潛在風險。
審計員對 Techvology 各級人員進行了採訪,並分析了事件解決記錄。此外,Techvology 還提供了記錄作為證據,證明他們為員工開展了事件管理意識會議。根據收集到的信息,他們預測這兩起資訊安全事件都是由人員不稱職造成的。因此,審計人員要求查看涉事員工的人事檔案,以審查其能力的證據,例如相關經驗、證書和參與培訓的記錄。
Branding 的審計員對所獲得的證據的有效性進行了嚴格評估,並對可能與收到的記錄資訊的可靠性相矛盾或質疑的證據保持警惕。在對 Techvology 進行審計期間,審計員堅持這種方法,嚴格評估事件解決記錄,並對不同級別和職能的員工進行徹底的訪談。他們不只把 Techvology 代表的話當作事實;相反,他們尋求具體的證據來支持代表們對事件管理流程的主張。
根據上述情景,回答以下問題:
根據 ISO/IEC 27001 的要求,是否需要透過品牌來持續控制 Techvology 提供的服務?
Question 98
審核過程中,審核組長透過邏輯推理和分析,及時得出結論。
審計組長表現出了哪些專業行為?
審計組長表現出了哪些專業行為?
Question 99
下列哪三個短語是與審計相關的目標?
Question 100
您正在一家名為 ABC 的提供醫療保健服務的住宅療養院進行 ISMS 審核。
審核計劃的下一步是驗證 ABC 醫療保健行動應用程式開發、支援和生命週期流程的資訊安全性。在審核過程中,您了解到該組織將行動應用程式開發外包給了一家具有 CMMI 5 級、ITSM(ISO
/IEC
20000-1)、BCMS (ISO 22301) 和 ISMS (ISO/IEC 27001) 認證。 IT經理介紹了軟體安全管理流程,並將流程總結如下:
行動應用程式開發至少應採用「設計安全」和「預設安全」原則。應具備以下個人資料保護安全功能:
存取控制。
個人資料加密,即高階加密標準(AES)演算法,金鑰長度:256位元;個人資料假名化。
已檢查漏洞,無安全後門
您可以獲得最新的行動應用測試報告樣本 - 詳細資訊如下:
您詢問 IT 經理,為什麼組織仍在使用行動應用程序,而個人資料加密和假名化測試卻失敗了。此外,服務經理是否有權批准測試。
IT經理解釋說,根據軟體安全管理程序,測試結果應由他批准。加密和假名功能失敗的原因是這些功能嚴重降低了系統和服務效能。額外的
需要 150% 的資源來實現這一點。服務經理同意存取控制足夠好並且可以接受。這就是服務經理簽署批准書的原因。
您對醫務人員的手機進行採樣,發現 ABC 的醫療保健行動應用程式版本
1.01 已安裝。你發現1.01版本沒有測試記錄。
IT經理解釋說,由於勒索軟體攻擊頻繁,外包行動應用開發公司對受測軟體進行了免費小幅更新,並對更新後的軟體進行了緊急發布,並口頭保證不會對安全造成任何影響。以他20年的資訊安全經驗來看,沒有必要重新測試。
您正在準備審核結果 請選擇兩個正確的選項。
審核計劃的下一步是驗證 ABC 醫療保健行動應用程式開發、支援和生命週期流程的資訊安全性。在審核過程中,您了解到該組織將行動應用程式開發外包給了一家具有 CMMI 5 級、ITSM(ISO
/IEC
20000-1)、BCMS (ISO 22301) 和 ISMS (ISO/IEC 27001) 認證。 IT經理介紹了軟體安全管理流程,並將流程總結如下:
行動應用程式開發至少應採用「設計安全」和「預設安全」原則。應具備以下個人資料保護安全功能:
存取控制。
個人資料加密,即高階加密標準(AES)演算法,金鑰長度:256位元;個人資料假名化。
已檢查漏洞,無安全後門
您可以獲得最新的行動應用測試報告樣本 - 詳細資訊如下:
您詢問 IT 經理,為什麼組織仍在使用行動應用程序,而個人資料加密和假名化測試卻失敗了。此外,服務經理是否有權批准測試。
IT經理解釋說,根據軟體安全管理程序,測試結果應由他批准。加密和假名功能失敗的原因是這些功能嚴重降低了系統和服務效能。額外的
需要 150% 的資源來實現這一點。服務經理同意存取控制足夠好並且可以接受。這就是服務經理簽署批准書的原因。
您對醫務人員的手機進行採樣,發現 ABC 的醫療保健行動應用程式版本
1.01 已安裝。你發現1.01版本沒有測試記錄。
IT經理解釋說,由於勒索軟體攻擊頻繁,外包行動應用開發公司對受測軟體進行了免費小幅更新,並對更新後的軟體進行了緊急發布,並口頭保證不會對安全造成任何影響。以他20年的資訊安全經驗來看,沒有必要重新測試。
您正在準備審核結果 請選擇兩個正確的選項。