ISO-IEC-27001-Lead-Auditor-CN Premium Dumps
Latest ISO-IEC-27001-Lead-Auditor-CN Exam Premium Dumps provide by TrainingQuiz.com to help you Passing ISO-IEC-27001-Lead-Auditor-CN Exam! TrainingQuiz.com offers the updated ISO-IEC-27001-Lead-Auditor-CN exam dumps, the TrainingQuiz.com ISO-IEC-27001-Lead-Auditor-CN exam questions has been updated to correct Answer. Get the latest TrainingQuiz.com ISO-IEC-27001-Lead-Auditor-CN pdf dumps with Exam Engine here:
(418 Q&As Dumps, 40%OFF Special Discount: DumpsDB)
Question 111
在後續審核期間,您注意到在後續審核之前確定要完成的不合格項仍懸而未決。
您應該採取下列哪四項行動?
Question 112
情境 6:Sinvestment 是一家提供家庭保險、商業保險和人壽保險的保險公司。該公司成立於北卡羅來納州,但最近在其他地區進行了擴張,包括歐洲和非洲。
Sinvestment 致力於遵守適用於其行業的法律法規,並防止任何資訊安全事件。他們實施了基於 ISO/IEC 27001 的 ISMS 並申請了 ISO/IEC 27001 認證。
認證機構指派兩名審核員進行審核。與Sinvestment簽訂保密協議後。他們開始了審計活動。首先,他們審查了標準要求的文件,包括 ISMS 範圍聲明、資訊安全政策和內部稽核報告。審查過程並不容易,因為儘管 Sinvestment 表示他們已製定文件程序,但並非所有文件都具有相同的格式。
隨後,審計小組對Sinvestment的高階主管進行了多次訪談,以了解他們在ISMS實施中的作用。第一階段審計的所有活動都是遠端進行的,除了根據 Sinvestment 的要求在現場進行的文件資訊審查之外。
在此階段,審計人員發現沒有與資訊安全培訓和意識計劃相關的文件。被問及時,Sinvestment代表表示,公司已為所有員工提供資訊安全培訓課程。第一階段審計讓審計團隊對 Sinvestment 的營運和 ISMS 有了整體了解。
第二階段審核在第一階段審核三週後進行。審計小組觀察到,行銷部門(未包含在審計範圍內)沒有適當的程序來控制員工的存取權限。由於控制員工的存取權限是ISO/IEC 27001的要求之一,並且已包含在公司的資訊安全政策中,因此該問題包含在審計報告中。此外,在第二階段審計中,審計小組觀察到Sinvestment沒有記錄使用者活動日誌。
該公司的程序規定“記錄用戶活動的日誌應保留並定期審查”,但該公司沒有提供任何執行該程序的證據。
在所有審核活動中,審核員透過觀察、訪談、文件化資訊審查、分析和技術驗證來收集資訊和證據。對第一階段和第二階段的所有審核結果進行了分析,審核小組決定發布積極的認證建議。
在第一階段審核中,審核小組發現Sinvestment沒有資訊安全訓練和意識的記錄。在這種情況下,Sinvestment 會做什麼?請參閱場景 6。
Question 113
情境 4
SendPay是一家金融服務公司,專注於透過代理商和機構網路提供全球匯款服務。作為市場新秀,SendPay致力於提供優質服務,其去年推出的免手續費數位平台讓客戶可以隨時隨地透過智慧型手機和筆記型電腦收發款項。當時,SendPay將軟體營運外包給外部團隊,該團隊也負責管理公司的技術基礎設施。
最近,該公司在實施資訊安全管理系統 (ISMS) 近一年後,申請了 ISO/IEC 27001 認證。
在審計過程中,審計人員重點審查了 SendPay 的外包業務,特別是外包公司負責的軟體開發和技術基礎設施維護。
他們採取了一套結構化的方法,其中包括審查和評估SendPay用於監控外包業務品質的流程。這包括核實該公司是否履行了合約義務,確保其在聘用外包實體方面擁有適當的管理程序,以及評估SendPay在預期或意外終止外包協議的情況下所採取的應對措施。
然而,審計人員委婉地指出,SendPay的協議並未充分考慮到外包協議意外取消的情況。此外,SendPay委派的技術專家協助審計人員,提供了與受審計外包業務相關的專業知識和經驗。
審計團隊計算了員工接受資訊安全管理系統 (ISMS) 培訓的小時數,以確保其符合既定目標。他們也基於審計期間抽取的樣本,計算了資訊安全事件的平均解決時間,從而深入了解了 SendPay 的事件管理實務。此外,審計人員還評估了審計期間收集的證據的可靠性。他們考慮了影響審計證據可靠性的多個因素。例如,與照片相比,監視錄影提供的證據更為客觀。時間因素也對可靠性起著至關重要的作用,交易記錄等機制可以增強證據的可信度。
SendPay 使用雲端平台來提高營運效率和可擴展性。然而,由於資源限制,審計人員在審計過程中並未要求 SendPay 提供其雲端活動清單,而是依賴 SendPay 的陳述。
問題
在審計過程中,審計人員使用了哪些類型的證據來驗證SendPay資訊安全管理系統的各個面向?請參考情境4。
Question 114
在第三方認證審核的背景下,有效的溝通非常重要。選擇包含有關審核上下文中通訊的正確答案的選項。
Question 115
情境 8:EsBank 自 9 月起為愛沙尼亞銀行業提供銀行和金融解決方案
2010年,該公司在全國擁有30家分行和100多台ATM機。
EsBank 在高度監管的行業中運營,必須遵守許多有關資料安全和隱私的法律和法規。他們需要透過實施技術和非技術控制來管理整個營運的資訊安全。 EsBank 決定實施基於 ISO/IEC 的 ISMS
27001,因為它提供了更好的安全性、更多的風險控制以及符合法律法規的關鍵要求。
在成功實施 ISMS 九個月後,EsBank 決定由獨立認證機構根據 ISO/IEC 27001 對其 ISMS 進行認證。
第一階段和第二階段審核是共同進行的,發現了一些不符合項。第一個不合格之處與 EsBank 的資訊標籤有關。該公司有資訊分類方案,但沒有資訊標籤程序。因此,需要相同保護等級的文件將被貼上不同的標籤(有時為機密,有時為敏感)。
考慮到所有文件也以電子方式存儲,不合格情況也影響了媒體處理。審計小組透過抽樣得出結論,200 個可移動媒體中有 50 個儲存了被錯誤分類為機密的敏感資訊。根據資訊分類方案,允許將機密資訊儲存在可移動媒體中,而嚴格禁止儲存敏感資訊。這標誌著另一個不合格之處。
他們起草了不合格報告,並與 EsBank 代表討論了審計結論,代表同意在兩個月內針對發現的不合格問題提交行動計劃。
EsBank 接受了審計組組長提出的解決方案。他們根據實體和電子格式的分類方案起草了資訊標籤程序,解決了不合格問題。可移動媒體程式也基於此程式進行了更新。
審計完成兩週後,EsBank 提交了總體行動計畫。在那裡,他們解決了檢測到的不合格問題以及採取的糾正措施,但沒有包括有關受影響的系統、控製或操作的任何詳細資訊。審核小組評估了該行動計劃並得出結論,該計劃將解決不合格問題。然而,EsBank 收到了不利的認證建議。
根據上述場景,回答以下問題:
場景 8 所示的哪一種行為在外部審計中是不可接受的?