場景 2：Knight 是一家來自美國北加州的電子公司，開發電玩遊戲機。 Knight 在全球擁有 300 多名員工。在成立五週年之際，他們決定推出 G-Console，這是一款面向全球市場的新一代電玩遊戲機。 G-Console被認為是2021年的終極媒體機，將為玩家帶來最佳的遊戲體驗。
主機包將包括一副 VR 耳機、兩個
遊戲和其他禮物。
多年來，公司透過誠信、誠實和尊重客戶而建立了良好的聲譽。這種良好的聲譽是大多數熱衷遊戲玩家在Knight的G-console一上市就想擁有它的原因之一。
Knight 除了是一家非常以客戶為導向的公司之外，
也因其開發品質獲得了遊戲產業的廣泛認可。他們的價格比合理標準允許的要高一些。
儘管如此，對於 Knight 的大多數忠實客戶來說，這並不是一個問題，因為它們的品質是一流的。
作為世界頂級視訊遊戲機開發商之一，Knight 也經常成為惡意活動的焦點。該公司的 ISMS 已投入運作一年多了。 ISMS 範圍包括 Knight 的所有部門（財務和人力資源部門除外）。
最近，奈特的一些包含專有資訊的文件被駭客洩露。 Knight 的事件回應團隊 (IRT) 立即開始分析系統的每個部分以及事件的詳細資訊。
IRT 的第一個懷疑是 Knight 的員工使用了弱密碼，因此很容易被未經授權存取其帳戶的駭客破解。然而，在仔細調查該事件後，IRT 確定駭客透過擷取檔案傳輸協定 (FTP) 流量來存取帳戶。
FTP 是一種用於在帳戶之間傳輸檔案的網路協定。它使用明文密碼進行身份驗證。
受此資訊安全事件的影響，在IRT的建議下，Knight決定用Secure Shell (SSH)協定取代FTP，這樣任何捕獲流量的人都只能看到加密的資料。
在這些變化之後，奈特進行了風險評估，以驗證控制措施的實施是否已將類似事件的風險降至最低。該過程的結果得到了 ISMS 專案經理的批准，他聲稱實施新控制措施後的風險等級符合公司的風險接受程度。
根據該場景，回答以下問題：
基於場景 2，Knight 決定用 Secure Shell (SSH) 協定取代 FTP。在這種情況下是否應該更新適用性聲明 (SoA)？

• A.不，使用 SSH 協定不是 ISO/IEC 27001 要求；且；因此，不需要包含在 SoA 中
• B.否，因為只有在新增控制項時才應更新 SoA，而不是在取消舊控制項時更新 SoA
• C.是的，新控制的實施應該合理並包含在 SoA 中

Comment: *

Name: *

Email: *

Verification: *

CEO發送一封電子郵件，表達他對公司現狀和公司未來策略的看法以及CEO的願景和員工在其中的角色。郵件應分類為

• A.內部郵件
• B.公共郵件
• C.機密郵件
• D.受限郵件

Comment: *

Name: *

Email: *

Verification: *

場景 3：Rebuildy 是一家位於泰國曼谷的建築公司，專門從事住宅建築的設計、建造和維護。為了確保敏感專案資料和客戶資訊的安全，Rebuildy 決定實施基於 ISO/IEC 27001 的資訊安全管理系統 (ISMS)。
ISMS 實施成果如下
* 資訊安全是透過應用一系列安全控制和製定政策、流程和程序來實現的。
* 安全控制是根據風險評估實施的，旨在消除風險或將風險降低到可接受的水平。
* 所有流程均基於計劃-執行-檢查-行動 (PDCA) 模型確保 ISMS 的持續改進。
* 資訊安全政策是根據最佳安全實務起草的安全手冊的一部分，因此，它不是一份獨立的文件。
* 資訊安全角色和職責已在每位員工的職位說明中明確說明
* 資訊安全管理系統的管理評審是依照計畫的時間間隔進行的。
Rebuildy 在經歷了兩次中期管理評審和一次年度內部審計後申請了認證。該前員工向審計團隊成員 Electra 提交了書面證據，Rebuildy 的主要客戶 Electra 也提交了有關相同問題的證據，審計員決定保留這份證據，而不是前員工的證據。審計團隊成員一直與 Electra 保持聯繫，直至審計完成，討論審計期間發現的不符合。伊萊克特拉提供了額外的證據來支持這些發現。
在審核開始時，審核小組對公司高階主管進行了訪談，討論了高階主管對 ISMS 實施的承諾等事項。從這些討論中獲得的證據都記錄在書面確認書中，用於確定 Rebuildy 是否符合 ISO/IEC 27001 的幾個條款。其中，發現以下不符合：
* 在公司的財務報告系統中偵測到了不當的使用者存取控制設定實例。
* 尚未建立獨立的資訊安全政策。相反，該公司使用根據最佳安全實踐起草的安全手冊。
在收到審計團隊的這些文件後，團隊負責人會見了 Rebuildy 的高層管理層，介紹了審計結果。審計小組報告了與財務報告系統和缺乏獨立資訊安全政策有關的調查結果。高階主管對調查結果表示不滿，並認為審計組長的行為不專業，暗示他們可能會要求更換組長。迫於壓力，審計組長決定與高階主管合作，淡化所發現的不符合項的重要性。因此，審計團隊負責人調整了報告以呈現更有利的觀點，從而歪曲了 Rebuildy 合規問題的真實程度。
根據上述情景，回答以下問題：
根據情境 3，稽核團隊使用從高階主管訪談中獲得的資訊來確定 Rebuildy 是否符合 ISO/IEC 27001 的幾項條款。這可以接受嗎？

• A.不，審計團隊應該只使用政策和程序等書面證據來確定是否符合要求
• B.是的，審計小組透過最高管理層的書面確認獲得了口頭證據，可用於確定是否符合標準
• C.是的，與高階主管的訪談是最可靠的審計證據形式，可用於確定是否符合標準，而無需進一步驗證

Comment: *

Name: *

Email: *

Verification: *

為 ISMS 中的資訊安全風險評估流程選擇正確的順序。
要完成序列，請按一下要完成的空白部分，使其以紅色突出顯示，然後從下面的選項中按一下適用的文字。或者，您可以將選項拖曳到適當的空白處

Correct Answer:

Explanation:

According to ISO 27001:2022, the standard for information security management systems (ISMS), the correct sequence for the information security risk assessment process is as follows:
* Establish information security criteria
* Identify the information security risks
* Analyse the information security risks
* Evaluate the information security risks
The first step is to establish the information security criteria, which include the risk assessment methodology, the risk acceptance criteria, and the risk evaluation criteria. These criteria define how the organization will perform the risk assessment, what level of risk is acceptable, and how the risks will be compared and prioritized.
The second step is to identify the information security risks, which involve identifying the assets, threats, vulnerabilities, and existing controls that are relevant to the ISMS. The organization should also identify the potential consequences and likelihood of each risk scenario.
The third step is to analyse the information security risks, which involve estimating the level of risk for each risk scenario based on the criteria established in the first step. The organization should also consider the sources of uncertainty and the confidence level of the risk estimation.
The fourth step is to evaluate the information security risks, which involve comparing the estimated risk levels with the risk acceptance criteria and determining whether the risks are acceptable or need treatment.
The organization should also prioritize the risks based on the risk evaluation criteria and the objectives of the ISMS.
References: ISO 27001:2022 Clause 6.1.2 Information security risk assessment, ISO 27001 Risk Assessment
& Risk Treatment: The Complete Guide - Advisera, ISO 27001 Risk Assessment: 7 Step Guide - IT Governance UK Blog

Comment: *

Name: *

Email: *

Verification: *

場景3：NightCore是一家總部位於美國的跨國科技公司，專注於電子商務、雲端運算、數位串流媒體和人工智慧。在實施資訊安全管理系統 (ISMS) 8 個多月後，他們聘請了認證機構進行第三方審核，以獲得 ISO/IEC 27001 認證。
認證機構成立了一個由七名審核員組成的團隊。傑克是最有經驗的審核員，被任命為審核組組長。多年來，他獲得了許多知名認證，例如 ISO/IEC 27001 首席審核員、CISA、CISSP 和 CISM。
Jack 透過研究和評估 NightCore 實施的每項資訊安全要求和控制，對 ISMS 審查的每個階段進行了全面分析。在第二階段審核期間。傑克發現了一些不合格項。在將購買的軟體許可證發票數量與軟體庫存進行比較後，傑克發現該公司的許多電腦一直在使用非法版本的軟體。他決定要求高階主管對這項違規行為做出解釋，看看他們是否意識到這一點。他的下一步是審計 NightCore 的 IT 部門。高層指派 NightCore 的系統管理員 Tom 擔任指導，陪伴 Jack 和稽核團隊了解系統和數位資產基礎設施的內部運作。
在採訪財務部的一名成員時，審計人員發現該公司最近向其一名顧問進行了一些不尋常的大額交易。收集有關交易的所有必要詳細資訊後。傑克決定直接訪問高階主管。
在討論第一個不合格項時，高階主管告訴傑克，他們願意決定使用複製軟體而不是原始軟體，因為它更便宜。 Jack向NightCore的高層解釋說，使用非法版本的軟體違反了ISO/IEC 27001和國家法律法規的要求。然而，他們似乎對此感到滿意。
在審計幾個月後，Jack 將他在審計期間收集的一些 NightCore 資訊出售給了 NightCore 的競爭對手，以獲取巨額資金。
根據該場景，回答以下問題：
根據情境 3。

• A.附件 A 5.1 資訊安全政策
• B.附件 A 5.10 資訊及其他相關資產的可接受使用
• C.附件 A 5.32 智慧財產權

Comment: *

Name: *

Email: *

Verification: *