최신 ISO 27001 ISO-IEC-27001-Lead-Auditor-CN 무료샘플문제:

1. 您正在一家名為 ABC 的提供醫療保健服務的住宅療養院進行 ISMS 審核。
審核計劃的下一步是驗證 ABC 醫療保健行動應用程式開發、支援和生命週期流程的資訊安全性。在審核過程中，您了解到該組織將行動應用程式開發外包給了經過CMMI 5 級、ITSM (ISO/IEC 20000-1)、BCMS (ISO 22301) 和ISMS (ISO/IEC 27001) 認證的專業軟體開發組織。
IT經理介紹了軟體安全管理流程，並將流程總結如下：
行動應用程式開發至少應採用「設計安全」和「預設安全」原則。應具備以下個人資料保護安全功能：
存取控制。
個人資料加密，即高階加密標準（AES）演算法，金鑰長度：256位元；個人資料假名化。
已檢查漏洞，無安全後門
您採樣最新的行動應用測試報告 - 參考 ID：0098，詳細資訊如下：


您想進一步調查其他領域以收集更多審計證據。選擇三個不會出現在您的審核追蹤中的選項。

A) 收集更多有關開發人員如何培訓其產品支援人員的證據。 （與第7.2條相關）
B) 收集更多有關組織在選擇外部服務提供者時如何管理資訊安全的證據。 （與控制措施 A.5.19 相關）
C) 收集更多證據來驗證開發人員的 CMMI Level 5、ITSM (ISO/IEC 20000-1)、BCMS (ISO22301) 和 ISMS (ISO/IEC 27001) 認證。 （與控制措施 A.5.21 相關）
D) 收集更多有關組織業務連續性政策的證據。 （與控制措施 A.5.30 相關）
E) 收集更多證據以確定 ABC 醫療保健行動應用程式的使用者數量。 （與第4.2條相關）
F) 透過在手機上下載並測試行動應用程式來收集更多證據。 （與控制 A.8.1 相關）
G) 收集更多證據，了解居民家庭成員為安裝 ABC 的醫療保健行動應用程式支付的費用。 （與第4.2條相關）
H) 收集更多有關組織如何執行個人資料處理測試的證據。 （與控制措施 A.5.34 相關）

2. 場景 8：苔絲
一個。 Malik 和 Michael 是一個由安全、合規以及業務規劃和策略領域的獨立且合格的專家組成的審計團隊。他們被指派到一家大型網頁設計公司Clastus進行認證審核。他們在進行審計時表現出了出色的職業道德，包括公正和客觀。這一次，Clastus 確信，如果獲得 ISO/IEC 27001 認證，他們將領先一步。
審計團隊負責人 Tessa 擁有審計專業知識，並且在 IT 相關問題、合規性和治理方面擁有非常成功的背景。馬利克擁有組織規劃和風險管理背景。他的專業知識依賴於對組織的安全控制及其風險承受能力的綜合和分析水平，以準確描述組織內部的風險水平 另一方面，Michael 是通過遵循嚴格的標準化程序進行控制評估的實際安全性的專家。
在執行所需的審計活動後，泰莎發起了一次審計團隊會議，他們分析了邁克爾的一項發現，以客觀、準確地就該問題做出決定。 Michael 遇到的問題是組織日常運作中的一個小問題，他認為這是由組織的一名 IT 技術人員造成的，因此，Tessa 會見了高層管理人員，並在他們詢問了責任人姓名後，告訴他們誰應該對這一問題負責，為了方便澄清和理解，Tessa 在審核的最後一天召開了結束會議。在這次會議上，她向 Clastus 管理層報告了​​發現的不符合情況。然而，Tessa 收到建議，避免在 Clastus 認證審核的審核報告中提供不必要的證據，確保報告保持簡潔並專注於關鍵發現。
根據審查的證據，審核小組起草了審核結論，並決定在授予認證之前必須對該組織的兩個領域進行審核。這些決定後來被提交給被審計方，但被審計方不接受調查結果並提議提供更多資訊。儘管受審計方提出了意見，但審計員已經決定接受認證建議，因此沒有接受補充資訊。被審計單位的高階主管堅持審計結論並不代表事實，但審計小組仍堅持他們的決定。
根據上述情景，回答以下問題：
建議 Tessa 避免在 Clastus 認證審核的審核報告中提供不必要的證據。推薦這個嗎？

A) 否，為了確保考慮並處理所有相關證據
B) 是的，以避免包含可能危及審計機密性的信息
C) 是的，為了簡化報告以便於更好地理解

3. 下列哪兩個選項不參與第一方審核？

A) 來自認證機構的審核小組
B) 在組織中接受過訓練的審核員
C) 諮詢機構的審核員
D) 接受過 CQI 和 IRCA 計畫訓練的審核員
E) 經過CQI及IRCA認證的審核員
F) 認證機構審核員

4. ISMS (1)----------------幫助確定 (2)----------------,

A) (1) 持續改進，(2) 矯正措施的有效性
B) 問題 (1) 管理評審，(2) 持續改善的機會
C) (1) 內部審計，(2) ISMS 範圍

5. 場景 2：
Clinic 成立於 20 世紀 90 年代，是一家專門治療心臟相關疾病和複雜外科手術的醫療器材公司。該公司總部位於歐洲，為患者和醫療保健專業人士提供服務。診所收集患者數據以客製化治療方案、監測結果並改善設備功能。為了增強資料安全性和建立信任，Clinic 正在實施基於 ISO/IEC 27001 的資訊安全管理系統 (ISMS)。
診所僅透過考慮內部問題、介面、內部和外包活動之間的依賴關係以及相關方的期望來確定其 ISMS 的範圍。此範圍已仔細記錄並可供查閱。在定義其 ISMS 時，Clinic 選擇專注於關鍵部門內的關鍵流程，例如研發、病患資料管理和客戶支援。
儘管最初面臨挑戰，Clinic 仍然致力於實施 ISMS，並根據其獨特需求量身定制安全控制。專案團隊從 ISO/IEC 27001 中排除了某些附件 A 控制，同時加入了額外的特定產業控制以增強安全性。該團隊根據內部和外部因素評估了這些控制的適用性，最終制定了全面的適用性聲明 (SoA)，詳細說明了控制選擇和實施背後的理由。
隨著認證準備工作的進展，被任命為團隊負責人的 Brian 採用了自我導向的風險評估方法來識別和評估公司的策略問題和安全實踐。這種積極主動的方法確保診所的風險評估與其目標和使命保持一致。
基於場景2，診所初步確定了其資訊安全目標，然後進行了風險評估。這可以接受嗎？

A) 是的，因為可以稍後調整目標以適應風險評估結果
B) 不，必須根據 ISO/IEC 27001 的要求，建立資訊安全目標，並考慮風險評估結果
C) 不，因為風險評估應僅在目標完全實現後進行

질문과 대답: