下列哪兩個短語是與第一方審核相關的「目標」？

• A.應用國際標準
• B.為認證機構準備審核報告
• C.確認管理系統的範圍準確
• D.按時完成審核
• E.應用監理要求
• F.更新管理策略

Comment: *

Name: *

Email: *

Verification: *

選出最能完成句子的單字：

Correct Answer:

Explanation:

The word that best completes the sentence is "demonstrate". According to ISO/IEC 27001:2022, Clause 7.5, the organization shall retain documented information as evidence of the performance of the processes and the conformity of the products and services with the requirements1. The purpose of retaining documented information is to demonstrate conformity with the requirements of the management system standard, not to maintain, audit, or certify it. References: 1: ISO/IEC 27001:2022, Information technology - Security techniques - Information security management systems - Requirements, Clause 7.5

Comment: *

Name: *

Email: *

Verification: *

下列哪兩個短語適用於「審計目標」？

• A.審核持續時間
• B.確定一致性
• C.檢查法律合規性
• D.審核員能力
• E.修改管理政策
• F.如果需要，確定改進的機會

Comment: *

Name: *

Email: *

Verification: *

情境二
Knight 是一家總部位於美國北加州的電子公司，主要開發電視遊戲機。
Knight在全球擁有超過300名員工，值此五週年之際，公司推出了面向國際市場的新一代遊戲主機G-Console。 G-Console被譽為2021年的終極多媒體設備，將為玩家帶來最佳遊戲體驗。主機組包含一副VR頭戴裝置、兩款遊戲以及其他贈品。
多年來，該公司憑藉誠信、正直和尊重客戶的良好聲譽而備受讚譽。除了是一家以客戶為中心的公司外，Knight 還因其卓越的產品品質在遊戲產業中贏得了廣泛的認可。
身為全球領先的遊戲主機開發者之一，Knight 經常成為惡意攻擊的目標。因此，該公司實施了基於 ISO/IEC 27001 的資訊安全管理系統 (ISMS)，並透過每週例會向員工傳達了該系統的適用範圍。
然而，最近 Knight 公司遭遇了一次安全漏洞，駭客洩漏了專有資訊。作為應對，事件回應小組 (IRT) 立即對系統和事件細節展開了徹底調查。最初，IRT 懷疑員工可能使用了弱密碼，導致駭客輕易存取了他們的帳戶。進一步調查發現，駭客截獲了檔案傳輸協定 (FTP) 的流量，該協定使用明文密碼進行身份驗證來傳輸資料。
鑑於此安全事件，並根據 IRT 的建議，Knight 決定以安全外殼協定 (SSH) 取代 FTP。此變更確保所有擷取的流量都經過加密，從而顯著提升安全性。
在實施這些變更後，奈特公司進行了風險評估，以驗證控制措施的實施是否已將類似事件的風險降至最低。根據風險評估結果，他們選擇了一種風險處理方案來應對風險。
問題
根據方案二，ISMS 的範圍已在每週例會上傳達給 Knight 的員工。這種做法是否可以接受？

• A.是的，在每週例會上溝通 ISMS 範圍是可以接受的，前提是會議記錄已記錄在案。
• B.不，範圍應該作為文件資訊提供，以確保可訪問性。
• C.不，ISMS 的範圍只能透過正式的訓練課程進行溝通，而不能在每週的會議上進行溝通。

Comment: *

Name: *

Email: *

Verification: *

場景 7：Webvue 是一家總部位於日本的科技公司，專注於電腦軟體的開發、支援和維護。 Webvue 為各個技術領域和商業行業提供解決方案。其旗艦服務是 CloudWebvue，這是一個提供儲存、網路和虛擬運算服務的綜合雲端運算平台，專為企業和個人用戶設計。 CloudWebvue 以其靈活性、可擴展性和可靠性而聞名。
Webvue 決定僅將 CloudWebvue 納入其 ISO/IEC 27001 認證範圍。因此，第一階段和第二階段的審核同時進行。 Webvue 以其對資產保密性的嚴格控製而自豪。他們使用適當的加密控制措施來保護儲存在 CloudWebvue 中的資訊。任何級別的信息，無論是內部使用、受限還是機密，都會先使用唯一的哈希值進行加密，然後再儲存在雲端。審核團隊由五人組成：Keith、Sean、Layla、Sam 和 Tina。 Keith 是 IT 和資訊安全審核團隊中最有經驗的審核員，擔任審核團隊負責人。他的職責包括規劃審核和管理審核團隊。 Sean 和 Layla 在專案規劃、業務分析和 IT 系統(硬體和應用)方面經驗豐富。他們的任務包括根據 Webvue 的內部系統和流程製定審計計劃。另一方面，Sam 和 Tina 近期完成了學業，負責完成日常工作，同時提升他們的審計技能。在透過與相關人員訪談驗證是否符合 ISO/IEC 27001 附錄 A 中關於密碼學使用 8.24 控制項的要求時，稽核團隊發現，加密金鑰最初是基於隨機位元產生器 (RGB) 和其他加密金鑰產生最佳實務產生的。在查閱 Webvue 的加密策略後，他們得出結論，訪談中獲得的資訊屬實。然而，由於該策略沒有規定加密金鑰的使用和生命週期，這些加密金鑰仍在繼續使用。
根據Webvue與認證機構後來達成的協議，審核團隊選擇進行虛擬審核，重點驗證Webvue是否符合ISO/IEC 27001標準中的8.11項控制要求－資料脫敏，以符合認證範圍和審核目標。他們審查了CloudWebvue內部的資料保護流程，並專注於該公司如何遵守其政策和監管標準。作為審核流程的一部分，審核團隊負責人Keith截取了相關文件和加密金鑰管理程式的螢幕截圖，以記錄和分析Webvue實務的有效性。
Webvue 使用產生的測試資料進行測試。然而，根據與品質保證部門經理的訪談以及該部門的流程，有時也會使用即時系統資料。在這種情況下，雖然會產生大量數據，但也能獲得更準確的結果。測試資料受到保護和控制，這一點已透過 Webvue 人員在審計期間模擬加密過程得到驗證。在與品質保證部門經理訪談時，Keith 發現安全培訓部門的員工沒有遵循正確的流程，儘管該部門不在審計範圍內。儘管安全訓練部門不在稽核範圍內，但其不合規行為可能會對稽核範圍內的流程產生潛在影響，尤其會影響 CloudWebvue 的資料安全和加密實務。因此，Keith 將此發現納入審計報告，並已告知受審計方。
根據以上情景，回答以下問題：
問題：
根據情境 7，審計團隊檢視了 Webvue 的加密策略，以合理保證訪談中獲得的資訊的可靠性。使用了哪種類型的審計程序？

• A.觀察
• B.佐證
• C.評估

Comment: *

Name: *

Email: *

Verification: *