Question 146
在與管理認證機構審核計畫的個人進行討論時,客戶組織的管理系統代表會要求指定特定審核員來進行認證審核。選擇以下選項中的兩個來了解管理審核計劃的個人應如何應對。
Question 147
您正在一家提供醫療保健服務的住宅療養院進行 ISMS 初始認證審核。審計計劃的下一步是召開末次會議。在最終審核小組會議上,身為審核組組長,您同意報告 2 項輕微不符合項和 1 項改進機會,如下:
選擇您將在最後一次會議上向受審核方提供建議的審核專案經理的建議選項。
Question 148
情境二:
Clinic成立於1990年代,是一家專注於心臟疾病治療和複雜外科手術的醫療器材公司。公司總部位於歐洲,服務對象包括病患和醫療專業人員。 Clinic收集患者數據,用於制定個人化治療方案、監測治療效果並改善設備功能。為了增強資料安全性並建立信任,Clinic正在實施基於ISO/IEC 27001的資訊安全管理系統(ISMS)。此舉體現了Clinic致力於安全管理敏感患者資訊和專有技術的承諾。
診所僅考慮內部問題、介面、內部活動與外包活動之間的依賴關係以及相關方的期望,來確定其資訊安全管理系統 (ISMS) 的範圍。該範圍已詳細記錄並公開。在定義其 ISMS 時,診所選擇專注於研發、病患資料管理和客戶支援等關鍵部門的關鍵流程。
儘管初期面臨挑戰,診所仍堅持推進資訊安全管理系統(ISMS)的實施,並根據自身獨特需求量身訂做安全控制措施。專案團隊在排除ISO/IEC 27001標準附件A中的某些控制措施的同時,納入了其他產業特定的控制措施以增強安全性。團隊評估了這些控制措施在內部和外部因素下的適用性,最終制定了一份全面的適用性聲明(SoA),詳細闡述了控制措施選擇和實施背後的理由。
隨著認證準備工作的推進,被任命為團隊負責人的布萊恩採用了一種自主風險評估方法,以識別和評估公司的策略問題和安全措施。這種積極主動的方法確保了診所的風險評估與其目標和使命保持一致。
問題:
根據情境 2,Brian 選擇哪一種方法進行風險評估?
Question 149
問題
一個組織依賴單一伺服器來管理所有傳入流量,這便造成了潛在的單點故障。如果伺服器發生故障或當機,可能會導致服務中斷。
這種情況呈現出什麼特徵?資訊安全的哪個面向主要受到影響?
Question 150
問題
在定義下列哪一項時,會評估與不合格相關的成本或因未遵守法律和合約義務而產生的罰款等因素?