Question 106
誰可以存取高度機密的文件?
Question 107
情境 6
Sinvestment是一家提供多種保險方案的保險公司,包括房屋保險、商業保險和人壽保險。該公司最初成立於北加州,現已將業務拓展至歐洲和非洲等其他地區。除了業務成長之外,Sinvestment還致力於遵守其所在行業的相關法律法規,並防止任何資訊安全事件的發生。他們已實施基於ISO標準的資訊安全管理系統(ISMS)。
/IEC 27001,並已申請認證。
認證機構指派了一支審核團隊進行審核。審核團隊與Sinvestment簽署保密協議後,便開始了審核工作。第一階段審核的所有活動均在現場進行,但應Sinvestment的要求,對已存檔資訊的審查工作將以遠端方式進行。
審計團隊首先進行了第一階段審計,審查了所需文件,包括資訊安全管理系統(ISMS)範圍聲明、資訊安全策略和內部審計報告。已記錄資訊的評估主要基於其內容和管理流程。
此外,審計人員還發現,與資訊安全培訓和意識提升專案相關的文件不完整,缺乏關鍵細節。當被問及此事時,Sinvestment 的高階管理人員表示,該公司已為所有員工提供了資訊安全培訓課程。
第二階段審計在第一階段審計三週後進行。審計小組發現,行銷部(未包含在審計範圍內)沒有控制員工存取權限的程序。
由於控制員工存取權限是 ISO/IEC 27001 的要求之一,並且已納入公司的資訊安全政策,因此該問題被納入了審計報告。
問題
根據情境 6,審計團隊是否應該將市場部門存取權限控製程序中發現的缺陷納入審計報告?
Question 108
選出最能完整描述審計結果的句子的單字。
Question 109
以下是資訊的定義,但以下情況除外:
Question 110
設想:
Northstorm 是一家線上零售商店,提供獨特的復古和現代配件。它最初進入了一個小型市場,但隨著整個電子商務格局的發展而逐漸發展壯大。 Northstorm 專門在線上工作,確保高效的付款處理、庫存管理、行銷工具和出貨訂單。它採用優先排序來接收、補貨和運送其最受歡迎的產品。
Northstorm 傳統上透過託管其網站並完全控制其基礎架構(包括硬體、軟體和資料管理)來管理其 IT 營運。然而,由於缺乏響應的基礎設施,這種方法阻礙了其發展。為了增強其電子商務和支付系統,Northstorm 選擇擴展其內部資料中心,並在三個月內分兩個階段完成擴建。最初,該公司升級了其核心伺服器、銷售點、訂購、計費、資料庫和備份系統。第二階段涉及改善郵件、付款和網路功能。此外,在此階段,Northstorm 採用了針對個人識別資訊 (PII) 控制者和 PII 處理者的國際標準,以確保其資料處理實務安全並符合全球法規。
儘管進行了擴張,但 Northstorm 升級後的資料中心仍未能滿足其不斷變化的業務需求。這種不足導致了一些新的挑戰,包括訂單優先事項問題。客戶報告未收到優先訂單,且公司難以迅速回應。這主要是因為主伺服器無法處理來自 YouDecide 的訂單,YouDecide 是一款旨在優先處理訂單和模擬客戶互動的應用程式。該應用程式依賴先進的演算法,與升級期間安裝的新作業系統(OS)不相容。
面對緊急的兼容性問題,Northstorm 在沒有經過適當驗證的情況下迅速修補了應用程序,導致安裝了受損版本。這次安全漏洞導致主伺服器受到影響,該公司的網站離線一週。認識到需要更可靠的解決方案,該公司決定將其網站託管外包給電子商務提供者。該公司簽署了有關產品所有權的保密協議,並在過渡之前對使用者存取權限進行了徹底審查,以增強安全性。
根據場景 1,Northstorm 審查了使用者的存取權限。這種安全控制的類型和功能是什麼?