Question 126
您是一位經驗豐富的審核團隊負責人,負責為其客戶設計網站的組織進行第三方監督審核。您目前正在審查該組織的適用性聲明。
根據 ISO/IEC 27001 的要求,下列關於適用性聲明的觀察哪兩項是錯誤的?
Question 127
通過 ISO/IEC 27001 認證的組織範圍規定,他們提供編輯和網站託管服務。然而,由於組織的一些變化,與網站託管服務相關的技術支援已外包。在這種情況下是否應該啟動範圍變更?
Question 128
場景 9:Techmanic 是一家比利時公司,成立於 1995 年,目前在布魯塞爾運作。它提供 IT 諮詢、軟體設計和硬體/軟體服務,包括部署和維護。該公司服務於公共服務、金融、電信、能源、醫療保健和教育等行業。作為一家以客戶為中心的公司,它優先考慮建立牢固的客戶關係並引領安全實踐。
Techmanic 已獲得 ISO/IEC 27001 認證一年,並對此認證感到自豪。在認證審核期間,審核員發現其 ISMS 實施上存在一些不一致之處。由於觀察到的情況並不影響其 ISMS 實現預期結果的能力,因此在審計師遠端跟進根本原因分析和糾正措施後,Techmanic 獲得了認證。的遵守情況。認識持續改進的價值並從過去的評估中學習。 Techmanic 實施了審查先前的監督審計報告的做法。這種積極主動的方法不僅有助於識別和解決潛在的不合格情況,而且還旨在簡化 IT 諮詢領域的重新認證流程。
監督審核期間,發現了多處不符合項。 ISMS 繼續滿足 ISO/IEC 27001*s 的要求,但根據內部稽核員的報告,Techmanic 未能解決與託管服務相關的不符合問題。此外,內部稽核報告存在多處不一致之處,這使人們對內部稽核師在託管服務審計過程中的獨立性產生了質疑。基於此,延期認證未獲核准。因此。 Techmanic 請求轉移到另一個認證機構。同時,該公司向客戶發布聲明稱,ISO/IEC 27001 認證涵蓋 IT 服務以及託管服務。
根據上述情景,回答以下問題:
根據 ISO/IEC 17021-1,監督審核的目的為何?
Question 129
您正在一家名為 ABC 的提供醫療保健服務的住宅療養院進行 ISMS 審核。您會發現所有療養院居民都戴著電子腕帶,用於監控他們的位置、心跳和血壓。您了解到,電子腕帶會自動將所有資料上傳到人工智慧(AI)雲端伺服器,供醫護人員進行健康監測和分析。
為了驗證 ISMS 的範圍,您採訪了管理系統代表 (MSR),他解釋說 ISMS 範圍涵蓋外包資料中心。
選擇定義 ISMS 範圍內容的正確敘述之一。
Question 130
場景 5:Cobt。位於倫敦的保險公司,提供各種商業、工業和人壽保險解決方案。近年來,Cobt 的客戶數量大幅增加。由於需要處理大量數據,該公司認為通過 ISO/IEC 27001 認證將為資訊安全帶來許多好處,並表明其對持續改進的承諾。儘管該公司擅長進行定期風險評估,但實施 ISMS 會為其日常營運帶來重大變化。在風險評估過程中,發現了一種風險,即組織的內部控制機制未能發現或預防重大缺陷。
公司遵循一套方法論來實施 ISMS,並在僅僅幾個月後就建立了可運行的 ISMS。分配了審核團隊成員的職責。
Sarah 承認,儘管 Cobt 通過提供多樣化的商業和保險解決方案實現了顯著擴張,但它仍然依賴於一些手動流程。 ,特別是關於被審計方的可用性和合作以及獲取證據的管道。在本案中,Cobt的拒絕引發了人們對審計的完整性及其提供合理保證的能力的質疑。針對這些情況,Sarah決定在簽署認證協議之前退出審核,並將她的決定告知了Cobt和認證機構。做出這項決定是為了確保遵守審計原則並保持透明度,突顯了她始終如一地堅持這些原則的承諾。
根據上述情景,回答以下問題:
根據情境 5,Cobt 表示審計計畫沒有正確反映他們最近對審計範圍所做的變更。在這種情況下莎拉該怎麼辦?