Question 121
您將收到來自 IT 支援團隊的以下郵件: 尊敬的用戶,從下週開始,我們將刪除所有不活動的電子郵件帳戶,以便創建空間共享以下詳細信息,以便繼續使用您的帳戶。如果沒有回复,姓名:
電子郵件地址:
密碼:
出生日期:
請聯絡網路郵件團隊以獲得進一步的支援。感謝您的關注。
下列哪一項是最好的回應?
電子郵件地址:
密碼:
出生日期:
請聯絡網路郵件團隊以獲得進一步的支援。感謝您的關注。
下列哪一項是最好的回應?
Question 122
情境 6:Sinvestment 是一家提供家庭保險、商業保險和人壽保險的保險公司。該公司成立於北卡羅來納州,但最近在其他地區進行了擴張,包括歐洲和非洲。
Sinvestment 致力於遵守適用於其行業的法律法規,並防止任何資訊安全事件。他們實施了基於 ISO/IEC 27001 的 ISMS 並申請了 ISO/IEC 27001 認證。
認證機構指派兩名審核員進行審核。與Sinvestment簽訂保密協議後。他們開始了審計活動。首先,他們審查了標準要求的文件,包括 ISMS 範圍聲明、資訊安全政策和內部稽核報告。審查過程並不容易,因為儘管 Sinvestment 表示他們已製定文件程序,但並非所有文件都具有相同的格式。
隨後,審計小組對Sinvestment的高階主管進行了多次訪談,以了解他們在ISMS實施中的作用。第一階段審計的所有活動都是遠端進行的,除了根據 Sinvestment 的要求在現場進行的文件資訊審查之外。
在此階段,審計人員發現沒有與資訊安全培訓和意識計劃相關的文件。被問及時,Sinvestment代表表示,公司已為所有員工提供資訊安全培訓課程。第一階段審計讓審計團隊對 Sinvestment 的營運和 ISMS 有了整體了解。
第二階段審核在第一階段審核三週後進行。審計小組觀察到,行銷部門(未包含在審計範圍內)沒有適當的程序來控制員工的存取權限。由於控制員工的存取權限是ISO/IEC 27001的要求之一,並且已包含在公司的資訊安全政策中,因此該問題包含在審計報告中。此外,在第二階段審計中,審計小組觀察到Sinvestment沒有記錄使用者活動日誌。
該公司的程序規定“記錄用戶活動的日誌應保留並定期審查”,但該公司沒有提供任何執行該程序的證據。
在所有審核活動中,審核員透過觀察、訪談、文件化資訊審查、分析和技術驗證來收集資訊和證據。對第一階段和第二階段的所有審核結果進行了分析,審核小組決定發布積極的認證建議。
在第一階段審核中,審核小組發現Sinvestment沒有資訊安全訓練和意識的記錄。在這種情況下,Sinvestment 會做什麼?請參閱場景 6。
Sinvestment 致力於遵守適用於其行業的法律法規,並防止任何資訊安全事件。他們實施了基於 ISO/IEC 27001 的 ISMS 並申請了 ISO/IEC 27001 認證。
認證機構指派兩名審核員進行審核。與Sinvestment簽訂保密協議後。他們開始了審計活動。首先,他們審查了標準要求的文件,包括 ISMS 範圍聲明、資訊安全政策和內部稽核報告。審查過程並不容易,因為儘管 Sinvestment 表示他們已製定文件程序,但並非所有文件都具有相同的格式。
隨後,審計小組對Sinvestment的高階主管進行了多次訪談,以了解他們在ISMS實施中的作用。第一階段審計的所有活動都是遠端進行的,除了根據 Sinvestment 的要求在現場進行的文件資訊審查之外。
在此階段,審計人員發現沒有與資訊安全培訓和意識計劃相關的文件。被問及時,Sinvestment代表表示,公司已為所有員工提供資訊安全培訓課程。第一階段審計讓審計團隊對 Sinvestment 的營運和 ISMS 有了整體了解。
第二階段審核在第一階段審核三週後進行。審計小組觀察到,行銷部門(未包含在審計範圍內)沒有適當的程序來控制員工的存取權限。由於控制員工的存取權限是ISO/IEC 27001的要求之一,並且已包含在公司的資訊安全政策中,因此該問題包含在審計報告中。此外,在第二階段審計中,審計小組觀察到Sinvestment沒有記錄使用者活動日誌。
該公司的程序規定“記錄用戶活動的日誌應保留並定期審查”,但該公司沒有提供任何執行該程序的證據。
在所有審核活動中,審核員透過觀察、訪談、文件化資訊審查、分析和技術驗證來收集資訊和證據。對第一階段和第二階段的所有審核結果進行了分析,審核小組決定發布積極的認證建議。
在第一階段審核中,審核小組發現Sinvestment沒有資訊安全訓練和意識的記錄。在這種情況下,Sinvestment 會做什麼?請參閱場景 6。
Question 123
當應用於 ISO 19011 中所述的內部稽核計畫管理流程時,哪兩項活動與計畫-執行-檢查-行動循環的「檢查」階段一致?
Question 124
審計測試計劃在審計過程中的目的是什麼?
Question 125
場景 2:
Clinic 成立於 20 世紀 90 年代,是一家專門治療心臟相關疾病和複雜外科手術的醫療器材公司。該公司總部位於歐洲,為患者和醫療保健專業人士提供服務。診所收集患者數據以客製化治療方案、監測結果並改善設備功能。為了增強資料安全性和建立信任,Clinic 正在實施基於 ISO/IEC 27001 的資訊安全管理系統 (ISMS)。
診所僅透過考慮內部問題、介面、內部和外包活動之間的依賴關係以及相關方的期望來確定其 ISMS 的範圍。此範圍已仔細記錄並可供查閱。在定義其 ISMS 時,Clinic 選擇專注於關鍵部門內的關鍵流程,例如研發、病患資料管理和客戶支援。
儘管最初面臨挑戰,Clinic 仍然致力於實施 ISMS,並根據其獨特需求量身定制安全控制。專案團隊從 ISO/IEC 27001 中排除了某些附件 A 控制,同時加入了額外的特定產業控制以增強安全性。該團隊根據內部和外部因素評估了這些控制的適用性,最終制定了全面的適用性聲明 (SoA),詳細說明了控制選擇和實施背後的理由。
隨著認證準備工作的進展,被任命為團隊負責人的 Brian 採用了自我導向的風險評估方法來識別和評估公司的策略問題和安全實踐。這種積極主動的方法確保診所的風險評估與其目標和使命保持一致。
根據場景 2,診所 ISMS 的範圍是否確定正確?
Clinic 成立於 20 世紀 90 年代,是一家專門治療心臟相關疾病和複雜外科手術的醫療器材公司。該公司總部位於歐洲,為患者和醫療保健專業人士提供服務。診所收集患者數據以客製化治療方案、監測結果並改善設備功能。為了增強資料安全性和建立信任,Clinic 正在實施基於 ISO/IEC 27001 的資訊安全管理系統 (ISMS)。
診所僅透過考慮內部問題、介面、內部和外包活動之間的依賴關係以及相關方的期望來確定其 ISMS 的範圍。此範圍已仔細記錄並可供查閱。在定義其 ISMS 時,Clinic 選擇專注於關鍵部門內的關鍵流程,例如研發、病患資料管理和客戶支援。
儘管最初面臨挑戰,Clinic 仍然致力於實施 ISMS,並根據其獨特需求量身定制安全控制。專案團隊從 ISO/IEC 27001 中排除了某些附件 A 控制,同時加入了額外的特定產業控制以增強安全性。該團隊根據內部和外部因素評估了這些控制的適用性,最終制定了全面的適用性聲明 (SoA),詳細說明了控制選擇和實施背後的理由。
隨著認證準備工作的進展,被任命為團隊負責人的 Brian 採用了自我導向的風險評估方法來識別和評估公司的策略問題和安全實踐。這種積極主動的方法確保診所的風險評估與其目標和使命保持一致。
根據場景 2,診所 ISMS 的範圍是否確定正確?