Question 141
您是一位經驗豐富的 ISMS 審核團隊負責人,正在與分配給您的審核團隊的正在接受培訓的審核員進行交談。您希望確保他們了解計劃-執行-檢查-行動週期的檢查階段對於資訊安全管理系統的運作的重要性。
您可以透過要求他選擇最能描述檢查活動目的的答案來做到這一點
'管理審查。
管理評審的目的是: 選擇 1
您可以透過要求他選擇最能描述檢查活動目的的答案來做到這一點
'管理審查。
管理評審的目的是: 選擇 1
Question 142
從以下選項中選擇一個最能完成句子的單字:
要用單字完成句子,請點擊要完成的空白部分,使其以紅色突出顯示,然後從下面的選項中點擊應用程式文字。或者,您可以將該選項拖曳到適當的空白部分。
要用單字完成句子,請點擊要完成的空白部分,使其以紅色突出顯示,然後從下面的選項中點擊應用程式文字。或者,您可以將該選項拖曳到適當的空白部分。
Question 143
您正在一家提供醫療保健服務的住宅療養院執行 ISMS 審核,並審查軟體程式碼管理 (SCM) 系統。您在 SCM 上總共發現了 10 個使用者帳戶。
您確認其中一位用戶 Scott 已辭職 9 個月
前。 SCM 系統管理員確認 Scott 最後一次檢出原始碼是在 1 個月前。他正在安全區域使用本機網路的授權桌面之一。
您檢查用戶註銷程序,其中規定“經理必須確保在辭職批准後立即從相關ICT系統和/或設備註銷用戶帳戶和授權。”用戶Scott沒有註銷記錄。
IT 安全經理解釋說,Scott 辭職後每個月仍然會回到辦公室,提供原始碼維護的支援。這就是為什麼他在 SCM 上的帳戶仍然存在。
您想進一步調查其他領域以收集更多審計證據。選擇三個不是有效審計追蹤的選項。
您確認其中一位用戶 Scott 已辭職 9 個月
前。 SCM 系統管理員確認 Scott 最後一次檢出原始碼是在 1 個月前。他正在安全區域使用本機網路的授權桌面之一。
您檢查用戶註銷程序,其中規定“經理必須確保在辭職批准後立即從相關ICT系統和/或設備註銷用戶帳戶和授權。”用戶Scott沒有註銷記錄。
IT 安全經理解釋說,Scott 辭職後每個月仍然會回到辦公室,提供原始碼維護的支援。這就是為什麼他在 SCM 上的帳戶仍然存在。
您想進一步調查其他領域以收集更多審計證據。選擇三個不是有效審計追蹤的選項。
Question 144
下列哪一項敘述最精確地描述了資訊安全面之間的關係?
Question 145
場景 4:Branding 是一家行銷公司,與美國一些最著名的公司合作。降低內部成本。兩年多來,Branding 已將軟體開發和 IT 幫助台營運外包給 Techvology。技術學。配備必要的專業知識,管理品牌的軟體、網路和硬體需求。 Branding 已實施資訊安全管理系統 (ISMS) 並獲得了 ISO/IEC 27001 認證,表明其致力於維護高標準的資訊安全。它積極對技術進行審計,以確保其外包業務的安全性符合 ISO/IEC 27001 認證要求。
在上次審計期間。品牌的審計團隊定義了要審計的流程和審計計畫。他們採用了基於證據的方法,特別是考慮到 Techvology 在過去一年中報告的兩起資訊安全事件。所有方面。
此外,審計也對Techvology用於管理其外包業務和其他組織的治理流程進行了嚴格的評估。此步驟對於品牌推廣至關重要,可以驗證是否有適當的控制和監督機制來減輕與外包安排相關的潛在風險。
審計員對 Techvology 各級人員進行了採訪,並分析了事件解決記錄。此外,Techvology 還提供了記錄作為證據,證明他們為員工開展了事件管理意識會議。根據收集到的信息,他們預測這兩起資訊安全事件都是由人員不稱職造成的。因此,審計人員要求查看涉事員工的人事檔案,以審查其能力的證據,例如相關經驗、證書和參與培訓的記錄。
Branding 的審計員對所獲得的證據的有效性進行了嚴格評估,並對可能與收到的記錄資訊的可靠性相矛盾或質疑的證據保持警惕。在對 Techvology 進行審計期間,審計員堅持這種方法,嚴格評估事件解決記錄,並對不同級別和職能的員工進行徹底的訪談。他們不只把 Techvology 代表的話當作事實;相反,他們尋求具體的證據來支持代表們對事件管理流程的主張。
根據上述情景,回答以下問題:
審計人員是否認真遵守外包業務的審計流程?
在上次審計期間。品牌的審計團隊定義了要審計的流程和審計計畫。他們採用了基於證據的方法,特別是考慮到 Techvology 在過去一年中報告的兩起資訊安全事件。所有方面。
此外,審計也對Techvology用於管理其外包業務和其他組織的治理流程進行了嚴格的評估。此步驟對於品牌推廣至關重要,可以驗證是否有適當的控制和監督機制來減輕與外包安排相關的潛在風險。
審計員對 Techvology 各級人員進行了採訪,並分析了事件解決記錄。此外,Techvology 還提供了記錄作為證據,證明他們為員工開展了事件管理意識會議。根據收集到的信息,他們預測這兩起資訊安全事件都是由人員不稱職造成的。因此,審計人員要求查看涉事員工的人事檔案,以審查其能力的證據,例如相關經驗、證書和參與培訓的記錄。
Branding 的審計員對所獲得的證據的有效性進行了嚴格評估,並對可能與收到的記錄資訊的可靠性相矛盾或質疑的證據保持警惕。在對 Techvology 進行審計期間,審計員堅持這種方法,嚴格評估事件解決記錄,並對不同級別和職能的員工進行徹底的訪談。他們不只把 Techvology 代表的話當作事實;相反,他們尋求具體的證據來支持代表們對事件管理流程的主張。
根據上述情景,回答以下問題:
審計人員是否認真遵守外包業務的審計流程?