Question 21
場景七:Webvue。總部位於日本,是一家專門從事電腦軟體開發、支援和維護的技術公司。 Webvue 提供跨各個技術領域和業務領域的解決方案。其旗艦服務是 CloudWebvue,一個提供儲存、網路和虛擬運算服務的綜合雲端運算平台。專為企業和個人用戶設計。 CloudWebvue 以其靈活性、可擴展性和可靠性而聞名。
Webvue 決定僅將 CloudWebvue 納入其 ISO/IEC 27001 認證範圍。因此,第 1 階段和第 2 階段審計同時進行 Webvue 以其對資產保密的嚴格性而自豪,他們使用適當的加密控制來保護儲存在 CloudWebvue 中的資訊。任何機密級別的每條信息,無論是否供內部使用。受限的或機密的資訊首先用唯一的對應哈希值加密,然後儲存在雲端。肖恩。萊拉,山姆。和 Tin a。 Keith 是 IT 和資訊安全審計團隊中最有經驗的審計員,也是審計團隊的負責人。他的職責包括規劃審計和管理審計團隊。尚實踐生成的。在檢查了 Webvue 的加密政策後,他們得出結論,採訪中獲得的資訊是真實的。然而,由於該策略沒有解決加密金鑰的使用和壽命問題,因此加密金鑰仍在使用中。
依照 Webvue 和認證機構後來達成的協議,審計團隊選擇進行虛擬審計,專門專注於驗證 Webvue 是否符合 ISO/IEC 27001 的控制 8.11 資料屏蔽,以符合認證範圍和審計目標。他們檢查了 CloudWebvue 中保護資料所涉及的流程。重點關注公司如何遵守其政策和監管標準。作為此過程的一部分。審計團隊負責人 Keith 對相關文件和加密金鑰管理程序進行了截圖,以記錄和分析 Webvue 實踐的有效性。
Webvue 使用產生的測試資料用於測試目的。然而,根據與 QA 部門經理的訪談以及該部門使用的程序確定,有時會使用即時系統資料。在這樣的場景中,會產生大量數據,同時產生更準確的結果。測試資料受到保護和控制,這透過 Webvue 人員在審計期間執行的加密過程模擬得到驗證。儘管不在審計範圍之內,但安全培訓部門的不合規情況可能會對審計範圍內的流程產生影響,具體會影響 CloudWebvue 中的資料安全和加密實踐。因此,Keith將此發現納入審計報告中,並告知被審計方。
根據上述情景,回答以下問題:
根據場景 7,哪一種稽核程序用來驗證測試資料的使用是否符合要求?
Webvue 決定僅將 CloudWebvue 納入其 ISO/IEC 27001 認證範圍。因此,第 1 階段和第 2 階段審計同時進行 Webvue 以其對資產保密的嚴格性而自豪,他們使用適當的加密控制來保護儲存在 CloudWebvue 中的資訊。任何機密級別的每條信息,無論是否供內部使用。受限的或機密的資訊首先用唯一的對應哈希值加密,然後儲存在雲端。肖恩。萊拉,山姆。和 Tin a。 Keith 是 IT 和資訊安全審計團隊中最有經驗的審計員,也是審計團隊的負責人。他的職責包括規劃審計和管理審計團隊。尚實踐生成的。在檢查了 Webvue 的加密政策後,他們得出結論,採訪中獲得的資訊是真實的。然而,由於該策略沒有解決加密金鑰的使用和壽命問題,因此加密金鑰仍在使用中。
依照 Webvue 和認證機構後來達成的協議,審計團隊選擇進行虛擬審計,專門專注於驗證 Webvue 是否符合 ISO/IEC 27001 的控制 8.11 資料屏蔽,以符合認證範圍和審計目標。他們檢查了 CloudWebvue 中保護資料所涉及的流程。重點關注公司如何遵守其政策和監管標準。作為此過程的一部分。審計團隊負責人 Keith 對相關文件和加密金鑰管理程序進行了截圖,以記錄和分析 Webvue 實踐的有效性。
Webvue 使用產生的測試資料用於測試目的。然而,根據與 QA 部門經理的訪談以及該部門使用的程序確定,有時會使用即時系統資料。在這樣的場景中,會產生大量數據,同時產生更準確的結果。測試資料受到保護和控制,這透過 Webvue 人員在審計期間執行的加密過程模擬得到驗證。儘管不在審計範圍之內,但安全培訓部門的不合規情況可能會對審計範圍內的流程產生影響,具體會影響 CloudWebvue 中的資料安全和加密實踐。因此,Keith將此發現納入審計報告中,並告知被審計方。
根據上述情景,回答以下問題:
根據場景 7,哪一種稽核程序用來驗證測試資料的使用是否符合要求?
Question 22
根據 ISO/IEC 27001 第 5.1 條(領導與承諾),下列何者不是高階管理人員的責任?
Question 23
當組織需要確定內部稽核計畫所需的資源時,下列哪一個問題不會影響其預期結果的實現?
Question 24
您是一位經驗豐富的 ISMS 審核團隊領導,為審核員提供培訓指導。他們對風險流程的理解不清楚,並要求您向他們提供下面詳細介紹的每個流程的範例。
將提供的每項描述與下列風險管理流程之一相符。
要填寫表格,請按一下要填寫的空白部分,使其以紅色突出顯示,然後從下面的選項中按一下適用的文字。或者,您可以將每個選項拖曳到適當的空白部分。
將提供的每項描述與下列風險管理流程之一相符。
要填寫表格,請按一下要填寫的空白部分,使其以紅色突出顯示,然後從下面的選項中按一下適用的文字。或者,您可以將每個選項拖曳到適當的空白部分。
Question 25
您正在準備審計結果。選擇兩個正確的選項。