Question 151
當 IT 經理找到您並請您協助修改公司的風險管理流程時,您剛完成了組織的預定資訊安全審核。
他正在嘗試更新當前的文檔,以使其他經理更容易理解,但是,從您的討論中可以清楚地看出,他混淆了幾個關鍵術語。
您要求他將每個描述與適當的風險術語相匹配。正確答案應該是什麼?
他正在嘗試更新當前的文檔,以使其他經理更容易理解,但是,從您的討論中可以清楚地看出,他混淆了幾個關鍵術語。
您要求他將每個描述與適當的風險術語相匹配。正確答案應該是什麼?
Question 152
審核員在確定 (2)-------- 時應考慮 (1)--------
Question 153
場景 8:苔絲
一個。 Malik 和 Michael 是一個由安全、合規以及業務規劃和策略領域的獨立且合格的專家組成的審計團隊。他們被指派到一家大型網頁設計公司Clastus進行認證審核。他們在進行審計時表現出了出色的職業道德,包括公正和客觀。這一次,Clastus 確信,如果獲得 ISO/IEC 27001 認證,他們將領先一步。
審計團隊負責人 Tessa 擁有審計專業知識,並且在 IT 相關問題、合規性和治理方面擁有非常成功的背景。馬利克擁有組織規劃和風險管理背景。他的專業知識依賴於對組織的安全控制及其風險承受能力的綜合和分析水平,以準確描述組織內部的風險水平 另一方面,Michael 是通過遵循嚴格的標準化程序進行控制評估的實際安全性的專家。
在執行所需的審計活動後,泰莎發起了一次審計團隊會議,他們分析了邁克爾的一項發現,以客觀、準確地就該問題做出決定。 Michael 遇到的問題是組織日常運作中的一個小問題,他認為這是由組織的一名 IT 技術人員造成的,因此,Tessa 會見了高層管理人員,並在他們詢問了責任人姓名後,告訴他們誰應該對這一問題負責,為了方便澄清和理解,Tessa 在審核的最後一天召開了結束會議。在這次會議上,她向 Clastus 管理層報告了發現的不符合情況。然而,Tessa 收到建議,避免在 Clastus 認證審核的審核報告中提供不必要的證據,確保報告保持簡潔並專注於關鍵發現。
根據審查的證據,審核小組起草了審核結論,並決定在授予認證之前必須對該組織的兩個領域進行審核。這些決定後來被提交給被審計方,但被審計方不接受調查結果並提議提供更多資訊。儘管受審計方提出了意見,但審計員已經決定接受認證建議,因此沒有接受補充資訊。被審計單位的高階主管堅持審計結論並不代表事實,但審計小組仍堅持他們的決定。
根據上述情景,回答以下問題:
建議 Tessa 避免在 Clastus 認證審核的審核報告中提供不必要的證據。推薦這個嗎?
一個。 Malik 和 Michael 是一個由安全、合規以及業務規劃和策略領域的獨立且合格的專家組成的審計團隊。他們被指派到一家大型網頁設計公司Clastus進行認證審核。他們在進行審計時表現出了出色的職業道德,包括公正和客觀。這一次,Clastus 確信,如果獲得 ISO/IEC 27001 認證,他們將領先一步。
審計團隊負責人 Tessa 擁有審計專業知識,並且在 IT 相關問題、合規性和治理方面擁有非常成功的背景。馬利克擁有組織規劃和風險管理背景。他的專業知識依賴於對組織的安全控制及其風險承受能力的綜合和分析水平,以準確描述組織內部的風險水平 另一方面,Michael 是通過遵循嚴格的標準化程序進行控制評估的實際安全性的專家。
在執行所需的審計活動後,泰莎發起了一次審計團隊會議,他們分析了邁克爾的一項發現,以客觀、準確地就該問題做出決定。 Michael 遇到的問題是組織日常運作中的一個小問題,他認為這是由組織的一名 IT 技術人員造成的,因此,Tessa 會見了高層管理人員,並在他們詢問了責任人姓名後,告訴他們誰應該對這一問題負責,為了方便澄清和理解,Tessa 在審核的最後一天召開了結束會議。在這次會議上,她向 Clastus 管理層報告了發現的不符合情況。然而,Tessa 收到建議,避免在 Clastus 認證審核的審核報告中提供不必要的證據,確保報告保持簡潔並專注於關鍵發現。
根據審查的證據,審核小組起草了審核結論,並決定在授予認證之前必須對該組織的兩個領域進行審核。這些決定後來被提交給被審計方,但被審計方不接受調查結果並提議提供更多資訊。儘管受審計方提出了意見,但審計員已經決定接受認證建議,因此沒有接受補充資訊。被審計單位的高階主管堅持審計結論並不代表事實,但審計小組仍堅持他們的決定。
根據上述情景,回答以下問題:
建議 Tessa 避免在 Clastus 認證審核的審核報告中提供不必要的證據。推薦這個嗎?
Question 154
您是負責管理審核計劃並決定特定審核的審核團隊的規模和組成的人。選擇應考慮的兩個因素。
Question 155
審核員使用抽樣來確保記錄資訊安全事件的事件日誌得到維護和定期審查。抽樣基於審計目標,而樣本選擇過程基於機率論。使用什麼類型的抽樣?