Question 116
在第三方認證審核的背景下,哪兩個選項規定了審核組長在管理審核和審核小組的管理職責?
Question 117
情境 3
NightCore是一家總部位於美國的跨國科技企業,專注於電子商務、雲端運算、數位串流媒體和人工智慧(AI)。在實施資訊安全管理系統(ISMS)一年多後,NightCore委託一家認證機構進行ISO/IEC 27001認證審核。
認證機構組建了一支由五名審核員組成的團隊,傑克擔任團隊負責人。傑克在風險管理、資訊安全控制和事件管理方面擁有豐富的審核經驗,並因此而聞名。
他的技能與審計原則和流程的要求高度契合,使他能夠有效理解審計範圍並有效運用相關標準。傑克也展現出對NightCore的組織結構、宗旨和管理實踐,以及適用於其業務活動的法律法規要求的深刻理解。
審計團隊遵循合理的審計方法,系統性地得出可靠且可重複的結論。審計團隊認識到,只有能夠在一定程度上核實的資訊才能被視為有效證據。在審計過程中,極少數情況下,如果某些資訊的核實存在困難且其可核實程度較低,審計人員會運用專業判斷來評估此類證據的可靠性,並確定其可信度。
在審計過程中,審計人員記錄了他們對NightCore資訊安全管理系統(ISMS)運作規劃和控制的觀察結果和檢查筆記。他們也記錄了對NightCore資訊清單及相關資產的觀察結果。此外,審計人員也審查了為保護網路服務連線而實施的防火牆配置。
隨著審核進入最後階段,NightCore對維護最高資訊安全標準的承諾日益凸顯。憑藉著觸手可及的ISO/IEC 27001認證,NightCore已做好充分準備,有望獲得該認證,從而提升其在科技行業的聲譽。
問題
傑克是否具備審計員所需的知識與技能?請參考情境3。
Question 118
下列哪兩個選項不參與第一方審核?
Question 119
場景 2:
Clinic 成立於 20 世紀 90 年代,是一家專門治療心臟相關疾病和複雜外科手術的醫療器材公司。該公司總部位於歐洲,為患者和醫療保健專業人士提供服務。診所收集患者數據以客製化治療方案、監測結果並改善設備功能。為了增強資料安全性和建立信任,Clinic 正在實施基於 ISO/IEC 27001 的資訊安全管理系統 (ISMS)。
診所僅透過考慮內部問題、介面、內部和外包活動之間的依賴關係以及相關方的期望來確定其 ISMS 的範圍。此範圍已仔細記錄並可供查閱。在定義其 ISMS 時,Clinic 選擇專注於關鍵部門內的關鍵流程,例如研發、病患資料管理和客戶支援。
儘管最初面臨挑戰,Clinic 仍然致力於實施 ISMS,並根據其獨特需求量身定制安全控制。專案團隊從 ISO/IEC 27001 中排除了某些附件 A 控制,同時加入了額外的特定產業控制以增強安全性。該團隊根據內部和外部因素評估了這些控制的適用性,最終制定了全面的適用性聲明 (SoA),詳細說明了控制選擇和實施背後的理由。
隨著認證準備工作的進展,被任命為團隊負責人的 Brian 採用了自我導向的風險評估方法來識別和評估公司的策略問題和安全實踐。這種積極主動的方法確保診所的風險評估與其目標和使命保持一致。
基於場景2,診所初步確定了其資訊安全目標,然後進行了風險評估。這可以接受嗎?
Question 120
問題:
為什麼在初次接觸時就要考慮實質問題?