Question 161
您正在作為審核組組長進行您的第一次第三方 ISMS 監督審核。您目前與審核團隊的另一位成員一起在被審核方的資料中心。
您的同事似乎不確定資訊安全事件和資訊安全事件之間的差異。您嘗試透過提供範例來解釋差異。
下列哪三種場景可以定義為資訊安全事件?
Question 162
您是一位審核小組組長,剛完成了對行動電信供應商的第三方審核。您正在準備審計報告,並即將完成標題為「保密」的部分。
您團隊中受訓的審核員會詢問您是否在任何情況下可以將機密報告發佈給第三方。
以下哪四個答案是錯的?
Question 163
問題
在審計結論最終確定之前,認證機構指定的另一位審計員會審核審計組長的工作文件。根據良好的審計實踐,下列哪一項敘述是正確的?
Question 164
在啟動審計活動之前,審計員會考慮被審計方的背景、關鍵流程和期望。運用了哪一項審計原則?
Question 165
情境 6:Sinvestment 是一家提供家庭保險、商業保險和人壽保險的保險公司。該公司成立於北卡羅來納州,但最近在其他地區進行了擴張,包括歐洲和非洲。
Sinvestment 致力於遵守適用於其行業的法律法規,並防止任何資訊安全事件。他們實施了基於 ISO/IEC 27001 的 ISMS 並申請了 ISO/IEC 27001 認證。
認證機構指派兩名審核員進行審核。與Sinvestment簽訂保密協議後。他們開始了審計活動。首先,他們審查了標準要求的文件,包括 ISMS 範圍聲明、資訊安全政策和內部稽核報告。審查過程並不容易,因為儘管 Sinvestment 表示他們已製定文件程序,但並非所有文件都具有相同的格式。
隨後,審計小組對Sinvestment的高階主管進行了多次訪談,以了解他們在ISMS實施中的作用。第一階段審計的所有活動都是遠端進行的,除了根據 Sinvestment 的要求在現場進行的文件資訊審查之外。
在此階段,審計人員發現沒有與資訊安全培訓和意識計劃相關的文件。被問及時,Sinvestment代表表示,公司已為所有員工提供資訊安全培訓課程。第一階段審計讓審計團隊對 Sinvestment 的營運和 ISMS 有了整體了解。
第二階段審核在第一階段審核三週後進行。審計小組觀察到,行銷部門(未包含在審計範圍內)沒有適當的程序來控制員工的存取權限。由於控制員工的存取權限是ISO/IEC 27001的要求之一,並且已包含在公司的資訊安全政策中,因此該問題包含在審計報告中。此外,在第二階段審計中,審計小組觀察到Sinvestment沒有記錄使用者活動日誌。
該公司的程序規定“記錄用戶活動的日誌應保留並定期審查”,但該公司沒有提供任何執行該程序的證據。
在所有審核活動中,審核員透過觀察、訪談、文件化資訊審查、分析和技術驗證來收集資訊和證據。對第一階段和第二階段的所有審核結果進行了分析,審核小組決定發布積極的認證建議。
根據情境 6,在第一階段審核期間,審核員發現一些有關 ISMS 的文件具有不同的格式。在這種情況下,審計師該做什麼?