Free PECB ISO-IEC-27001-Lead-Auditor 中文 Practice Test & Real Exam Questions
情境 8:EsBank 自 9 月起為愛沙尼亞銀行業提供銀行和金融解決方案
2010年,該公司在全國擁有30家分行和100多台ATM機。
EsBank 在高度監管的行業中運營,必須遵守許多有關資料安全和隱私的法律和法規。他們需要透過實施技術和非技術控制來管理整個營運的資訊安全。 EsBank 決定實施基於 ISO/IEC 的 ISMS
27001,因為它提供了更好的安全性、更多的風險控制以及符合法律法規的關鍵要求。
在成功實施 ISMS 九個月後,EsBank 決定由獨立認證機構根據 ISO/IEC 27001 對其 ISMS 進行認證。
第一階段和第二階段審核是共同進行的,發現了一些不符合項。第一個不合格之處與 EsBank 的資訊標籤有關。該公司有資訊分類方案,但沒有資訊標籤程序。因此,需要相同保護等級的文件將被貼上不同的標籤(有時為機密,有時為敏感)。
考慮到所有文件也以電子方式存儲,不合格情況也影響了媒體處理。審計小組透過抽樣得出結論,200 個可移動媒體中有 50 個儲存了被錯誤分類為機密的敏感資訊。根據資訊分類方案,允許將機密資訊儲存在可移動媒體中,而嚴格禁止儲存敏感資訊。這標誌著另一個不合格之處。
他們起草了不合格報告,並與 EsBank 代表討論了審計結論,代表同意在兩個月內針對發現的不合格問題提交行動計劃。
EsBank 接受了審計組組長提出的解決方案。他們根據實體和電子格式的分類方案起草了資訊標籤程序,解決了不合格問題。可移動媒體程式也基於此程式進行了更新。
審計完成兩週後,EsBank 提交了總體行動計畫。在那裡,他們解決了檢測到的不合格問題以及採取的糾正措施,但沒有包括有關受影響的系統、控製或操作的任何詳細資訊。審核小組評估了該行動計劃並得出結論,該計劃將解決不合格問題。然而,EsBank 收到了不利的認證建議。
根據上述場景,回答以下問題:
透過起草資訊標籤程序,EsBank 已:
2010年,該公司在全國擁有30家分行和100多台ATM機。
EsBank 在高度監管的行業中運營,必須遵守許多有關資料安全和隱私的法律和法規。他們需要透過實施技術和非技術控制來管理整個營運的資訊安全。 EsBank 決定實施基於 ISO/IEC 的 ISMS
27001,因為它提供了更好的安全性、更多的風險控制以及符合法律法規的關鍵要求。
在成功實施 ISMS 九個月後,EsBank 決定由獨立認證機構根據 ISO/IEC 27001 對其 ISMS 進行認證。
第一階段和第二階段審核是共同進行的,發現了一些不符合項。第一個不合格之處與 EsBank 的資訊標籤有關。該公司有資訊分類方案,但沒有資訊標籤程序。因此,需要相同保護等級的文件將被貼上不同的標籤(有時為機密,有時為敏感)。
考慮到所有文件也以電子方式存儲,不合格情況也影響了媒體處理。審計小組透過抽樣得出結論,200 個可移動媒體中有 50 個儲存了被錯誤分類為機密的敏感資訊。根據資訊分類方案,允許將機密資訊儲存在可移動媒體中,而嚴格禁止儲存敏感資訊。這標誌著另一個不合格之處。
他們起草了不合格報告,並與 EsBank 代表討論了審計結論,代表同意在兩個月內針對發現的不合格問題提交行動計劃。
EsBank 接受了審計組組長提出的解決方案。他們根據實體和電子格式的分類方案起草了資訊標籤程序,解決了不合格問題。可移動媒體程式也基於此程式進行了更新。
審計完成兩週後,EsBank 提交了總體行動計畫。在那裡,他們解決了檢測到的不合格問題以及採取的糾正措施,但沒有包括有關受影響的系統、控製或操作的任何詳細資訊。審核小組評估了該行動計劃並得出結論,該計劃將解決不合格問題。然而,EsBank 收到了不利的認證建議。
根據上述場景,回答以下問題:
透過起草資訊標籤程序,EsBank 已:
Correct Answer: C
Vote an answer
Explanation: Only visible for Pass4Leader members. You can sign-up / login (it's free).
情境5
CyberShielding Systems Inc. 提供涵蓋整個資訊技術基礎設施的安全服務。該公司提供網路安全軟體,包括終端安全、防火牆和防毒軟體。二十年來,CyberShielding Systems Inc. 透過先進的產品和服務,幫助眾多企業保障網路安全。憑藉在資訊和網路安全領域的卓越聲譽,CyberShielding Systems Inc. 決定實施基於 ISO/IEC 27001 的安全資訊管理系統 (ISMS) 並獲得認證,以更好地保護其內部和客戶資產,並獲得競爭優勢。
認證機構啟動了這個流程,首先選定了 CyberShielding Systems Inc. 的 ISO 審核團隊。
/IEC 27001認證。他們向該公司提供了每位審核員的姓名和背景資訊。然而,經審查,CyberShielding Systems Inc.發現其中一位審核員不具備其要求的安全許可。因此,該公司對該審核員的任命提出異議。經審查,認證機構應CyberShielding Systems Inc.的異議更換了該審核員。
作為審計流程的一部分,CyberShielding Systems Inc. 的風險與機會識別方法被單獨評估。這包括審查該公司識別和管理風險與機會的方法。審計團隊的核心目標包括確保 CyberShielding Systems Inc. 的風險與機會識別機制的有效性,並審查該公司應對已識別風險與機會的策略。在此過程中,審計團隊還發現防火牆配置審查流程存在監管不力的風險,即未經適當批准就實施了變更,這可能使公司面臨安全漏洞。這項發現凸顯了加強內部控制以防止此類問題發生的必要性。
審計團隊查閱了流程描述和組織結構圖,以了解主要業務流程和控制措施。由於第三方服務提供者的限制,他們對IT基礎設施和應用程式的存取權限有限,因此對IT風險和控制措施的分析也較為有限。然而,審計團隊指出,由於CyberShielding公司的大部分流程都已實現自動化,其資訊安全管理系統(ISMS)出現重大缺陷的風險較低。因此,他們透過詢問CyberShielding公司的代表有關IT職責、控制有效性和反惡意軟體措施等方面的問題,評估了該ISMS整體上是否符合標準要求。 CyberShielding公司的代表提供了充分且適當的證據來回答所有這些問題。
儘管在審計之前簽署了協議,其中概述了審計範圍、標準和目標,但審計主要集中在評估是否符合既定標準以及確保遵守法律法規要求。
問題
根據情境 5,CyberShielding Systems Inc. 在定義審計目標時還應該包括哪些內容?
CyberShielding Systems Inc. 提供涵蓋整個資訊技術基礎設施的安全服務。該公司提供網路安全軟體,包括終端安全、防火牆和防毒軟體。二十年來,CyberShielding Systems Inc. 透過先進的產品和服務,幫助眾多企業保障網路安全。憑藉在資訊和網路安全領域的卓越聲譽,CyberShielding Systems Inc. 決定實施基於 ISO/IEC 27001 的安全資訊管理系統 (ISMS) 並獲得認證,以更好地保護其內部和客戶資產,並獲得競爭優勢。
認證機構啟動了這個流程,首先選定了 CyberShielding Systems Inc. 的 ISO 審核團隊。
/IEC 27001認證。他們向該公司提供了每位審核員的姓名和背景資訊。然而,經審查,CyberShielding Systems Inc.發現其中一位審核員不具備其要求的安全許可。因此,該公司對該審核員的任命提出異議。經審查,認證機構應CyberShielding Systems Inc.的異議更換了該審核員。
作為審計流程的一部分,CyberShielding Systems Inc. 的風險與機會識別方法被單獨評估。這包括審查該公司識別和管理風險與機會的方法。審計團隊的核心目標包括確保 CyberShielding Systems Inc. 的風險與機會識別機制的有效性,並審查該公司應對已識別風險與機會的策略。在此過程中,審計團隊還發現防火牆配置審查流程存在監管不力的風險,即未經適當批准就實施了變更,這可能使公司面臨安全漏洞。這項發現凸顯了加強內部控制以防止此類問題發生的必要性。
審計團隊查閱了流程描述和組織結構圖,以了解主要業務流程和控制措施。由於第三方服務提供者的限制,他們對IT基礎設施和應用程式的存取權限有限,因此對IT風險和控制措施的分析也較為有限。然而,審計團隊指出,由於CyberShielding公司的大部分流程都已實現自動化,其資訊安全管理系統(ISMS)出現重大缺陷的風險較低。因此,他們透過詢問CyberShielding公司的代表有關IT職責、控制有效性和反惡意軟體措施等方面的問題,評估了該ISMS整體上是否符合標準要求。 CyberShielding公司的代表提供了充分且適當的證據來回答所有這些問題。
儘管在審計之前簽署了協議,其中概述了審計範圍、標準和目標,但審計主要集中在評估是否符合既定標準以及確保遵守法律法規要求。
問題
根據情境 5,CyberShielding Systems Inc. 在定義審計目標時還應該包括哪些內容?
Correct Answer: C
Vote an answer
Explanation: Only visible for Pass4Leader members. You can sign-up / login (it's free).
問題
下列哪一個選項最能描述大數據的速度?
下列哪一個選項最能描述大數據的速度?
Correct Answer: A
Vote an answer
Explanation: Only visible for Pass4Leader members. You can sign-up / login (it's free).
您是經驗豐富的 ISMS 審核團隊領導,指導審核員進行培訓。您的團隊剛剛完成了對行動電信供應商的第三方監督審核。培訓中的審核員會詢問您打算如何準備末次會議。下列哪四項是適當的回應?
Correct Answer: B,E,F,G
Vote an answer
Explanation: Only visible for Pass4Leader members. You can sign-up / login (it's free).
您正在一家名為 ABC 的提供醫療保健服務的住宅療養院進行 ISMS 審核。
審核計劃的下一步是驗證 ABC 醫療保健行動應用程式開發、支援和生命週期流程的資訊安全性。在審核過程中,您了解到該組織將行動應用程式開發外包給了經過CMMI 5 級、ITSM (ISO/IEC 20000-1)、BCMS (ISO 22301) 和ISMS (ISO/IEC 27001) 認證的專業軟體開發組織。
IT經理介紹了軟體安全管理流程,並將流程總結如下:
行動應用程式開發至少應採用「設計安全」和「預設安全」原則。應具備以下個人資料保護安全功能:
存取控制。
個人資料加密,即高階加密標準(AES)演算法,金鑰長度:256位元;個人資料假名化。
已檢查漏洞,無安全後門
您採樣最新的行動應用測試報告 - 參考 ID:0098,詳細資訊如下:


您想進一步調查其他領域以收集更多審計證據。選擇三個不會出現在您的審核追蹤中的選項。
審核計劃的下一步是驗證 ABC 醫療保健行動應用程式開發、支援和生命週期流程的資訊安全性。在審核過程中,您了解到該組織將行動應用程式開發外包給了經過CMMI 5 級、ITSM (ISO/IEC 20000-1)、BCMS (ISO 22301) 和ISMS (ISO/IEC 27001) 認證的專業軟體開發組織。
IT經理介紹了軟體安全管理流程,並將流程總結如下:
行動應用程式開發至少應採用「設計安全」和「預設安全」原則。應具備以下個人資料保護安全功能:
存取控制。
個人資料加密,即高階加密標準(AES)演算法,金鑰長度:256位元;個人資料假名化。
已檢查漏洞,無安全後門
您採樣最新的行動應用測試報告 - 參考 ID:0098,詳細資訊如下:


您想進一步調查其他領域以收集更多審計證據。選擇三個不會出現在您的審核追蹤中的選項。
Correct Answer: B,C,F
Vote an answer
Explanation: Only visible for Pass4Leader members. You can sign-up / login (it's free).
選出最能完成句子的單字:
「在管理系統中維護法規遵從性的目的是要用最好的單字完成句子,請點擊要完成的空白部分,使其以紅色突出顯示,然後點擊來自的適用文字或者,您可以將選項拖放到對應的空白部分。

「在管理系統中維護法規遵從性的目的是要用最好的單字完成句子,請點擊要完成的空白部分,使其以紅色突出顯示,然後點擊來自的適用文字或者,您可以將選項拖放到對應的空白部分。

Correct Answer:

Explanation:

According to ISO 27001:2013, clause 5.2, the top management of an organization must establish, implement and maintain an information security policy that is appropriate to the purpose of the organization and provides a framework for setting information security objectives. The information security policy must also include a commitment to comply with the applicable legal, regulatory and contractual requirements, as well as any other requirements that the organization subscribes to. Therefore, maintaining regulatory compliance is part of fulfilling the management system policy and ensuring its effectiveness and suitability. References:
* ISO/IEC 27001:2013, Information technology - Security techniques - Information security management systems - Requirements, clause 5.2
* PECB Candidate Handbook ISO 27001 Lead Auditor, page 10
* ISO 27001 Policy: How to write it according to ISO 27001
場景 7:Webvue 是一家總部位於日本的科技公司,專注於電腦軟體的開發、支援和維護。 Webvue 為各個技術領域和商業行業提供解決方案。其旗艦服務是 CloudWebvue,這是一個提供儲存、網路和虛擬運算服務的綜合雲端運算平台,專為企業和個人用戶設計。 CloudWebvue 以其靈活性、可擴展性和可靠性而聞名。
Webvue 決定僅將 CloudWebvue 納入其 ISO/IEC 27001 認證範圍。因此,第一階段和第二階段的審核同時進行。 Webvue 以其對資產保密性的嚴格控製而自豪。他們使用適當的加密控制措施來保護儲存在 CloudWebvue 中的資訊。任何級別的信息,無論是內部使用、受限還是機密,都會先使用唯一的哈希值進行加密,然後再儲存在雲端。審核團隊由五人組成:Keith、Sean、Layla、Sam 和 Tina。 Keith 是 IT 和資訊安全審核團隊中最有經驗的審核員,擔任審核團隊負責人。他的職責包括規劃審核和管理審核團隊。 Sean 和 Layla 在專案規劃、業務分析和 IT 系統(硬體和應用)方面經驗豐富。他們的任務包括根據 Webvue 的內部系統和流程製定審計計劃。另一方面,Sam 和 Tina 近期完成了學業,負責完成日常工作,同時提升他們的審計技能。在透過與相關人員訪談驗證是否符合 ISO/IEC 27001 附錄 A 中關於密碼學使用 8.24 控制項的要求時,稽核團隊發現,加密金鑰最初是基於隨機位元產生器 (RGB) 和其他加密金鑰產生最佳實務產生的。在查閱 Webvue 的加密策略後,他們得出結論,訪談中獲得的資訊屬實。然而,由於該策略沒有規定加密金鑰的使用和生命週期,這些加密金鑰仍在繼續使用。
根據Webvue與認證機構後來達成的協議,審核團隊選擇進行虛擬審核,重點驗證Webvue是否符合ISO/IEC 27001標準中的8.11項控制要求-資料脫敏,以符合認證範圍和審核目標。他們審查了CloudWebvue內部的資料保護流程,並專注於該公司如何遵守其政策和監管標準。作為審核流程的一部分,審核團隊負責人Keith截取了相關文件和加密金鑰管理程式的螢幕截圖,以記錄和分析Webvue實務的有效性。
Webvue 使用產生的測試資料進行測試。然而,根據與品質保證部門經理的訪談以及該部門的流程,有時也會使用即時系統資料。在這種情況下,雖然會產生大量數據,但也能獲得更準確的結果。測試資料受到保護和控制,這一點已透過 Webvue 人員在審計期間模擬加密過程得到驗證。在與品質保證部門經理訪談時,Keith 發現安全培訓部門的員工沒有遵循正確的流程,儘管該部門不在審計範圍內。儘管安全訓練部門不在稽核範圍內,但其不合規行為可能會對稽核範圍內的流程產生潛在影響,尤其會影響 CloudWebvue 的資料安全和加密實務。因此,Keith 將此發現納入審計報告,並已告知受審計方。
根據以上情景,回答以下問題:
問題:
在虛擬審計過程中,Keith 對 Webvue 的文件是否做出了正確的決定?
Webvue 決定僅將 CloudWebvue 納入其 ISO/IEC 27001 認證範圍。因此,第一階段和第二階段的審核同時進行。 Webvue 以其對資產保密性的嚴格控製而自豪。他們使用適當的加密控制措施來保護儲存在 CloudWebvue 中的資訊。任何級別的信息,無論是內部使用、受限還是機密,都會先使用唯一的哈希值進行加密,然後再儲存在雲端。審核團隊由五人組成:Keith、Sean、Layla、Sam 和 Tina。 Keith 是 IT 和資訊安全審核團隊中最有經驗的審核員,擔任審核團隊負責人。他的職責包括規劃審核和管理審核團隊。 Sean 和 Layla 在專案規劃、業務分析和 IT 系統(硬體和應用)方面經驗豐富。他們的任務包括根據 Webvue 的內部系統和流程製定審計計劃。另一方面,Sam 和 Tina 近期完成了學業,負責完成日常工作,同時提升他們的審計技能。在透過與相關人員訪談驗證是否符合 ISO/IEC 27001 附錄 A 中關於密碼學使用 8.24 控制項的要求時,稽核團隊發現,加密金鑰最初是基於隨機位元產生器 (RGB) 和其他加密金鑰產生最佳實務產生的。在查閱 Webvue 的加密策略後,他們得出結論,訪談中獲得的資訊屬實。然而,由於該策略沒有規定加密金鑰的使用和生命週期,這些加密金鑰仍在繼續使用。
根據Webvue與認證機構後來達成的協議,審核團隊選擇進行虛擬審核,重點驗證Webvue是否符合ISO/IEC 27001標準中的8.11項控制要求-資料脫敏,以符合認證範圍和審核目標。他們審查了CloudWebvue內部的資料保護流程,並專注於該公司如何遵守其政策和監管標準。作為審核流程的一部分,審核團隊負責人Keith截取了相關文件和加密金鑰管理程式的螢幕截圖,以記錄和分析Webvue實務的有效性。
Webvue 使用產生的測試資料進行測試。然而,根據與品質保證部門經理的訪談以及該部門的流程,有時也會使用即時系統資料。在這種情況下,雖然會產生大量數據,但也能獲得更準確的結果。測試資料受到保護和控制,這一點已透過 Webvue 人員在審計期間模擬加密過程得到驗證。在與品質保證部門經理訪談時,Keith 發現安全培訓部門的員工沒有遵循正確的流程,儘管該部門不在審計範圍內。儘管安全訓練部門不在稽核範圍內,但其不合規行為可能會對稽核範圍內的流程產生潛在影響,尤其會影響 CloudWebvue 的資料安全和加密實務。因此,Keith 將此發現納入審計報告,並已告知受審計方。
根據以上情景,回答以下問題:
問題:
在虛擬審計過程中,Keith 對 Webvue 的文件是否做出了正確的決定?
Correct Answer: A
Vote an answer
Explanation: Only visible for Pass4Leader members. You can sign-up / login (it's free).
下列哪兩個是「確實」涉及人際互動的審核方法的範例?
Correct Answer: B,D
Vote an answer
Explanation: Only visible for Pass4Leader members. You can sign-up / login (it's free).
身為資訊安全管理系統審核小組組長,您正在代表一家線上零售商對一家國際物流公司進行第二方審核。在審核期間,您的一名團隊成員報告了與 ISO/IEC 27001 附錄 A 的控制 5.18(存取權限)相關的不合格項:
2022 年。 她發現證據表明,刪除過去 3 個月內離開的 20 名人員的伺服器存取協定需要長達 1 週的時間,而政策要求在他們離開後 24 小時內刪除存取權限。
當被審核方被問及為何延遲刪除訪問權限時,他們回答說,“由於 COVID-19 的影響,IT 部門在此期間沒有人可用。”一旦 IT 官員出現,這些權利就被取消。
您注意到她打算針對存取權限控制 (5.18) 提出輕微不符合項。對此你該如何回應?
2022 年。 她發現證據表明,刪除過去 3 個月內離開的 20 名人員的伺服器存取協定需要長達 1 週的時間,而政策要求在他們離開後 24 小時內刪除存取權限。
當被審核方被問及為何延遲刪除訪問權限時,他們回答說,“由於 COVID-19 的影響,IT 部門在此期間沒有人可用。”一旦 IT 官員出現,這些權利就被取消。
您注意到她打算針對存取權限控制 (5.18) 提出輕微不符合項。對此你該如何回應?
Correct Answer: B
Vote an answer
場景9:UpNet是一家網路公司,已通過ISO/IEC 27001認證。
自從獲得 ISO/IEC 27001 認證以來,該公司的認可度大幅提高。此認證證實了 UpNefs 營運的成熟性及其符合廣泛認可和接受的標準。
但認證之後一切還沒結束。 UpNet 透過進行內部稽核不斷審查和增強其安全控制以及 ISMS 的整體有效性和效率。高階主管不願意聘請全職內部稽核團隊,因此決定將內部稽核職能外包。這種形式的內部稽核確保了獨立性、客觀性,並且在 ISMS 的持續改進方面發揮諮詢作用。
在初次認證審核後不久,該公司創建了一個專門從事數據和儲存產品的新部門。他們提供針對資料中心和基於軟體的網路設備(例如網路虛擬化和網路安全設備)進行最佳化的路由器和交換器。這導致 ISMS 認證範圍內已涵蓋的其他部門的營運發生變化。
所以。 UpNet 啟動了風險評估流程和內部稽核。根據內部審計結果,公司確認了現有和新流程和控制的有效性和效率。
由於新部門符合 ISO/IEC 27001 要求,最高管理層決定將其納入認證範圍。 UpNet宣布取得ISO/IEC 27001認證,認證範圍涵蓋全公司。
在初次認證審核一年後,認證機構對 UpNefs ISMS 進行了另一次審核。
此次審核旨在確定 UpNefs ISMS 是否符合指定的 ISO/IEC 27001 要求,並確保 ISMS 持續改善。審核小組確認,經過認證的 ISMS 繼續符合標準的要求。儘管如此,新部門對管理體系的治理產生了重大影響。此外,認證機構並未獲悉任何變更。因此,UpNefs認證被暫停。
根據上述場景,回答以下問題:
場景 9 最後一段說明了什麼類型的審計?
自從獲得 ISO/IEC 27001 認證以來,該公司的認可度大幅提高。此認證證實了 UpNefs 營運的成熟性及其符合廣泛認可和接受的標準。
但認證之後一切還沒結束。 UpNet 透過進行內部稽核不斷審查和增強其安全控制以及 ISMS 的整體有效性和效率。高階主管不願意聘請全職內部稽核團隊,因此決定將內部稽核職能外包。這種形式的內部稽核確保了獨立性、客觀性,並且在 ISMS 的持續改進方面發揮諮詢作用。
在初次認證審核後不久,該公司創建了一個專門從事數據和儲存產品的新部門。他們提供針對資料中心和基於軟體的網路設備(例如網路虛擬化和網路安全設備)進行最佳化的路由器和交換器。這導致 ISMS 認證範圍內已涵蓋的其他部門的營運發生變化。
所以。 UpNet 啟動了風險評估流程和內部稽核。根據內部審計結果,公司確認了現有和新流程和控制的有效性和效率。
由於新部門符合 ISO/IEC 27001 要求,最高管理層決定將其納入認證範圍。 UpNet宣布取得ISO/IEC 27001認證,認證範圍涵蓋全公司。
在初次認證審核一年後,認證機構對 UpNefs ISMS 進行了另一次審核。
此次審核旨在確定 UpNefs ISMS 是否符合指定的 ISO/IEC 27001 要求,並確保 ISMS 持續改善。審核小組確認,經過認證的 ISMS 繼續符合標準的要求。儘管如此,新部門對管理體系的治理產生了重大影響。此外,認證機構並未獲悉任何變更。因此,UpNefs認證被暫停。
根據上述場景,回答以下問題:
場景 9 最後一段說明了什麼類型的審計?
Correct Answer: C
Vote an answer
Explanation: Only visible for Pass4Leader members. You can sign-up / login (it's free).
情境 8
Trustingo自2010年起在愛沙尼亞提供銀行和金融服務。該公司在全國擁有30家分行和100多台ATM機。為滿足嚴格的資料安全和隱私法規要求,Trustingo實施了基於ISO/IEC 27001的資訊安全管理系統(ISMS),從而確保更高的安全性、更完善的風險管理以及對法律法規的合規性。
在成功實施資訊安全管理系統 (ISMS) 九個月後,Trustingo 決定委託獨立的認證機構,根據 ISO/IEC 27001 標準對其 ISMS 進行認證。此次認證審核涵蓋了 Trustingo 的系統、流程和技術。
審核組聯合進行了第一階段和第二階段審核,並發現了若干不符合項。
第一個不符合項與Trustingo的資訊標籤有關。該公司製定了資訊分類方案,但沒有資訊標籤程序。因此,需要相同保護等級的檔案卻被貼上了不同的標籤。
不符合項也影響了媒體處理。審核團隊採用抽樣方法,結論:50%
200個可移動儲存媒體儲存了敏感訊息,這些資訊被錯誤地歸類為機密資訊。根據資訊分類方案,機密資訊可以儲存在可移動儲存媒體中,而儲存敏感資訊則被嚴格禁止。
審核團隊起草了不符合項報告,並與 Trustingo 的代表討論了審核結論,Trustingo 的代表同意在兩個月內提交針對已發現不符合項的行動計劃。
由於認證建議的前提條件是提交糾正措施,Trustingo 必須提交糾正措施計劃,以說明其將如何解決這些不符合項。 Trustingo 接受了審核組長提出的解決方案,並透過制定資訊標籤程序和更新可移動媒體程序來解決這些不符合項。
審核結束後兩週,Trustingo提交了一份總體行動計畫。雖然該計劃涵蓋了已發現的不符合項以及已採取的糾正措施,但缺乏針對每項不符合項的詳細行動步驟,也沒有包含受影響的系統、控制措施或操作的具體資訊。審核小組對該行動計劃進行了評估。儘管如此,Trustingo仍收到了不利的認證建議。
問題
哪一種選項可以作為不予認證建議的理由?請參考情境 8。
Trustingo自2010年起在愛沙尼亞提供銀行和金融服務。該公司在全國擁有30家分行和100多台ATM機。為滿足嚴格的資料安全和隱私法規要求,Trustingo實施了基於ISO/IEC 27001的資訊安全管理系統(ISMS),從而確保更高的安全性、更完善的風險管理以及對法律法規的合規性。
在成功實施資訊安全管理系統 (ISMS) 九個月後,Trustingo 決定委託獨立的認證機構,根據 ISO/IEC 27001 標準對其 ISMS 進行認證。此次認證審核涵蓋了 Trustingo 的系統、流程和技術。
審核組聯合進行了第一階段和第二階段審核,並發現了若干不符合項。
第一個不符合項與Trustingo的資訊標籤有關。該公司製定了資訊分類方案,但沒有資訊標籤程序。因此,需要相同保護等級的檔案卻被貼上了不同的標籤。
不符合項也影響了媒體處理。審核團隊採用抽樣方法,結論:50%
200個可移動儲存媒體儲存了敏感訊息,這些資訊被錯誤地歸類為機密資訊。根據資訊分類方案,機密資訊可以儲存在可移動儲存媒體中,而儲存敏感資訊則被嚴格禁止。
審核團隊起草了不符合項報告,並與 Trustingo 的代表討論了審核結論,Trustingo 的代表同意在兩個月內提交針對已發現不符合項的行動計劃。
由於認證建議的前提條件是提交糾正措施,Trustingo 必須提交糾正措施計劃,以說明其將如何解決這些不符合項。 Trustingo 接受了審核組長提出的解決方案,並透過制定資訊標籤程序和更新可移動媒體程序來解決這些不符合項。
審核結束後兩週,Trustingo提交了一份總體行動計畫。雖然該計劃涵蓋了已發現的不符合項以及已採取的糾正措施,但缺乏針對每項不符合項的詳細行動步驟,也沒有包含受影響的系統、控制措施或操作的具體資訊。審核小組對該行動計劃進行了評估。儘管如此,Trustingo仍收到了不利的認證建議。
問題
哪一種選項可以作為不予認證建議的理由?請參考情境 8。
Correct Answer: C
Vote an answer
Explanation: Only visible for Pass4Leader members. You can sign-up / login (it's free).
