ISO-IEC-27001-Lead-Auditor Deutsch 無料問題集「PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor Deutsch Version)」
Sie sind der Leiter des Prüfungsteams und führen eine Prüfung eines Online-Versicherungsunternehmens durch Dritte durch. In Phase 1 haben Sie festgestellt, dass die Organisation einen sehr vorsichtigen Risikoansatz verfolgte und alle Informationssicherheitskontrollen aus ISO/IEC 27001:2022 Anhang A in ihre Anwendbarkeitserklärung aufgenommen hat.
Während des Audits der Stufe 2 stellte Ihr Auditteam fest, dass es keine Hinweise auf einen Risikobehandlungsplan für die Implementierung der drei Kontrollen gab (5.3 Aufgabentrennung, 6.1 Überprüfung, 7.12 Verkabelungssicherheit). Sie melden eine Nichtkonformität gegen Abschnitt 6.1.3.e von ISO 27001:2022.
Bei der Abschlussbesprechung stellt der Technische Direktor einen Auszug aus einer geänderten Anwendbarkeitserklärung (wie gezeigt) aus und fordert die Rücknahme der Nichtkonformität.
Wählen Sie drei Optionen für die richtigen Antworten eines Audit-Teamleiters auf die Anfrage des technischen Direktors aus.
Während des Audits der Stufe 2 stellte Ihr Auditteam fest, dass es keine Hinweise auf einen Risikobehandlungsplan für die Implementierung der drei Kontrollen gab (5.3 Aufgabentrennung, 6.1 Überprüfung, 7.12 Verkabelungssicherheit). Sie melden eine Nichtkonformität gegen Abschnitt 6.1.3.e von ISO 27001:2022.
Bei der Abschlussbesprechung stellt der Technische Direktor einen Auszug aus einer geänderten Anwendbarkeitserklärung (wie gezeigt) aus und fordert die Rücknahme der Nichtkonformität.
Wählen Sie drei Optionen für die richtigen Antworten eines Audit-Teamleiters auf die Anfrage des technischen Direktors aus.
正解:D、F、G
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
Szenario 5: Data Grid Inc. ist ein bekanntes Unternehmen, das Sicherheitsdienste für die gesamte Informationstechnologie-Infrastruktur bereitstellt. Es bietet Cybersicherheitssoftware, einschließlich Endpunktsicherheit, Firewalls und Antivirensoftware. Seit zwei Jahrzehnten unterstützt Data Grid Inc. verschiedene Unternehmen bei der Sicherung ihrer Netzwerke durch fortschrittliche Produkte und Dienstleistungen. Nachdem sich Data Grid Inc. im Bereich der Informations- und Netzwerksicherheit einen guten Ruf erworben hat, hat sich das Unternehmen für die ISO/IEC 27001-Zertifizierung entschieden, um seine internen Vermögenswerte und Kundenressourcen besser zu schützen und sich einen Wettbewerbsvorteil zu verschaffen.
Data Grid Inc. ernannte das Prüfungsteam, das sich auf die Bedingungen des Prüfungsmandats einigte. Darüber hinaus definierte Data Grid Inc. den Prüfungsumfang, spezifizierte die Prüfungskriterien und schlug vor, die Prüfung innerhalb von fünf Tagen abzuschließen. Das Auditteam lehnte den Vorschlag von Data Grid Inc. ab, das Audit innerhalb von fünf Tagen durchzuführen, da das Unternehmen über eine große Anzahl von Mitarbeitern und komplexe Prozesse verfügt. Data Grid Inc. bestand darauf, dass das Audit innerhalb von fünf Tagen abgeschlossen werden solle, sodass beide Parteien sich darauf einigten, das Audit innerhalb der festgelegten Dauer durchzuführen. Das Prüfungsteam verfolgte einen risikobasierten Prüfungsansatz.
Um einen Überblick über die wesentlichen Geschäftsprozesse und -kontrollen zu erhalten, griff das Audit-Team auf Prozessbeschreibungen und Organigramme zu. Eine tiefergehende Analyse der IT-Risiken und -Kontrollen war ihnen nicht möglich, da ihr Zugriff auf die IT-Infrastruktur und Anwendungen eingeschränkt war. Das Auditteam stellte jedoch fest, dass das Risiko, dass ein erheblicher Fehler im ISMS von Data Grid Inc. auftreten könnte, gering sei, da die meisten Prozesse des Unternehmens automatisiert seien. Daher bewerteten sie, ob das ISMS insgesamt den Standardanforderungen entspricht, indem sie den Vertretern von Data Grid Inc. die folgenden Fragen stellten:
*Wie werden Verantwortlichkeiten für die IT und IT-Kontrollen definiert und zugewiesen?
*Wie beurteilt Data Grid Inc., ob die Kontrollen die gewünschten Ergebnisse erzielt haben?
*Welche Kontrollen verfügt Data Grid Inc., um die Betriebsumgebung und Daten vor bösartiger Software zu schützen?
*Sind Firewall-bezogene Kontrollen implementiert?
Die Vertreter von Data Grid Inc. lieferten ausreichende und geeignete Beweise, um alle diese Fragen zu beantworten.
Der Leiter des Prüfungsteams entwarf die Prüfungsschlussfolgerungen und berichtete sie an das Top-Management von Data Grid Inc.
Obwohl Data Grid Inc. von den Auditoren zur Zertifizierung empfohlen wurde, kam es zu Missverständnissen zwischen Data Grid Inc. und der Zertifizierungsstelle hinsichtlich der Auditziele. Data Grid Inc. gab an, dass das Auditteam diese Informationen nicht bereitgestellt habe, obwohl die Auditziele die Identifizierung von Bereichen mit potenziellen Verbesserungen beinhalteten.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Basierend auf Szenario 5 war das Auditteam mit der von Data Grid Inc. vorgeschlagenen Auditdauer für das ISMS-Audit nicht einverstanden. Wie beschreiben Sie eine solche Situation?
Data Grid Inc. ernannte das Prüfungsteam, das sich auf die Bedingungen des Prüfungsmandats einigte. Darüber hinaus definierte Data Grid Inc. den Prüfungsumfang, spezifizierte die Prüfungskriterien und schlug vor, die Prüfung innerhalb von fünf Tagen abzuschließen. Das Auditteam lehnte den Vorschlag von Data Grid Inc. ab, das Audit innerhalb von fünf Tagen durchzuführen, da das Unternehmen über eine große Anzahl von Mitarbeitern und komplexe Prozesse verfügt. Data Grid Inc. bestand darauf, dass das Audit innerhalb von fünf Tagen abgeschlossen werden solle, sodass beide Parteien sich darauf einigten, das Audit innerhalb der festgelegten Dauer durchzuführen. Das Prüfungsteam verfolgte einen risikobasierten Prüfungsansatz.
Um einen Überblick über die wesentlichen Geschäftsprozesse und -kontrollen zu erhalten, griff das Audit-Team auf Prozessbeschreibungen und Organigramme zu. Eine tiefergehende Analyse der IT-Risiken und -Kontrollen war ihnen nicht möglich, da ihr Zugriff auf die IT-Infrastruktur und Anwendungen eingeschränkt war. Das Auditteam stellte jedoch fest, dass das Risiko, dass ein erheblicher Fehler im ISMS von Data Grid Inc. auftreten könnte, gering sei, da die meisten Prozesse des Unternehmens automatisiert seien. Daher bewerteten sie, ob das ISMS insgesamt den Standardanforderungen entspricht, indem sie den Vertretern von Data Grid Inc. die folgenden Fragen stellten:
*Wie werden Verantwortlichkeiten für die IT und IT-Kontrollen definiert und zugewiesen?
*Wie beurteilt Data Grid Inc., ob die Kontrollen die gewünschten Ergebnisse erzielt haben?
*Welche Kontrollen verfügt Data Grid Inc., um die Betriebsumgebung und Daten vor bösartiger Software zu schützen?
*Sind Firewall-bezogene Kontrollen implementiert?
Die Vertreter von Data Grid Inc. lieferten ausreichende und geeignete Beweise, um alle diese Fragen zu beantworten.
Der Leiter des Prüfungsteams entwarf die Prüfungsschlussfolgerungen und berichtete sie an das Top-Management von Data Grid Inc.
Obwohl Data Grid Inc. von den Auditoren zur Zertifizierung empfohlen wurde, kam es zu Missverständnissen zwischen Data Grid Inc. und der Zertifizierungsstelle hinsichtlich der Auditziele. Data Grid Inc. gab an, dass das Auditteam diese Informationen nicht bereitgestellt habe, obwohl die Auditziele die Identifizierung von Bereichen mit potenziellen Verbesserungen beinhalteten.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Basierend auf Szenario 5 war das Auditteam mit der von Data Grid Inc. vorgeschlagenen Auditdauer für das ISMS-Audit nicht einverstanden. Wie beschreiben Sie eine solche Situation?
正解:A
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
Sie sind ein erfahrener Leiter eines ISMS-Prüfungsteams und unterstützen einen Prüfer bei der Schulung zum Verfassen seines ersten Prüfungsberichts.
Sie möchten das Verständnis des Auditors für die Terminologie im Zusammenhang mit den Inhalten eines Auditberichts überprüfen und haben sich dazu durch die Präsentation der folgenden Beispiele entschieden.
Für jedes Beispiel fragen Sie den Auditor in der Schulung nach dem korrekten Begriff, der die Aktivität beschreibt. Passen Sie die Aktivität an die Beschreibung an.
Sie möchten das Verständnis des Auditors für die Terminologie im Zusammenhang mit den Inhalten eines Auditberichts überprüfen und haben sich dazu durch die Präsentation der folgenden Beispiele entschieden.
Für jedes Beispiel fragen Sie den Auditor in der Schulung nach dem korrekten Begriff, der die Aktivität beschreibt. Passen Sie die Aktivität an die Beschreibung an.
正解:
Explanation:
1. An auditor using a copy of ISO/IEC 27001:2022 to check that its requirements are met:
Termed: Reviewing audit criteria.
Justification: The auditor is comparing the auditee's information security management system (ISMS) against the established criteria outlined in the ISO/IEC 27001:2022 standard. This activity falls under the use of audit criteria to determine conformity or nonconformity.
2. An auditor's note that the auditee is not adhering to its clear desk policy:
Termed: Identifying an audit finding.
Justification: The auditor has observed a deviation from the auditee's established policy on clear desks. This observation is documented as a potential nonconformity, which requires further investigation and evaluation.
3. An auditor making a decision regarding the auditee's conformity or otherwise to criteria:
Termed: Determining an audit conclusion.
Justification: Based on the collected audit evidence and evaluation against the established criteria, the auditor forms an opinion about the overall compliance of the auditee's ISMS. This opinion is the audit conclusion and is a key element of the audit report.
4. An auditor examining verifiable records relevant to the audit process:
Termed: Collecting audit evidence.
Justification: The auditor is gathering objective and verifiable information to support their findings and conclusions. This information comes from various sources, including documents, records, interviews, and observations.
Sie sind ein erfahrener Leiter eines ISMS-Prüfungsteams und geben einem Prüfer in der Ausbildung Anweisungen. Ihr Verständnis von Risikoprozessen ist unklar und Sie werden gebeten, ihnen ein Beispiel für jeden der unten aufgeführten Prozesse zur Verfügung zu stellen.
Ordnen Sie jede der bereitgestellten Beschreibungen einem der folgenden Risikomanagementprozesse zu.
Um die Tabelle zu vervollständigen, klicken Sie auf den leeren Abschnitt, den Sie vervollständigen möchten, sodass er rot hervorgehoben wird, und klicken Sie dann auf den entsprechenden Text in den folgenden Optionen. Alternativ können Sie jede Option auch per Drag-and-Drop in den entsprechenden leeren Abschnitt ziehen.
Ordnen Sie jede der bereitgestellten Beschreibungen einem der folgenden Risikomanagementprozesse zu.
Um die Tabelle zu vervollständigen, klicken Sie auf den leeren Abschnitt, den Sie vervollständigen möchten, sodass er rot hervorgehoben wird, und klicken Sie dann auf den entsprechenden Text in den folgenden Optionen. Alternativ können Sie jede Option auch per Drag-and-Drop in den entsprechenden leeren Abschnitt ziehen.
正解:
Explanation:
* Risk analysis is the process by which the nature of the risk is determined along with its probability and impact. Risk analysis involves estimating the likelihood and consequences of potential events or situations that could affect the organization's information security objectives or requirements12. Risk analysis could use qualitative or quantitative methods, or a combination of both12.
* Risk management is the process by which a risk is controlled at all stages of its life cycle by means of the application of organisational policies, procedures and practices. Risk management involves establishing the context, identifying, analyzing, evaluating, treating, monitoring, and reviewing the risks that could affect the organization's information security performance or compliance12. Risk management aims to ensure that risks are identified and treated in a timely and effective manner, and that opportunities for improvement are exploited12.
* Risk identification is the process by which a risk is recognised and described. Risk identification involves identifying and documenting the sources, causes, events, scenarios, and potential impacts of risks that could affect the organization's information security objectives or requirements12. Risk identification could use various techniques, such as brainstorming, interviews, checklists, surveys, or historical data12.
* Risk evaluation is the process by which the impact and/or probability of a risk is compared against risk criteria to determine if it is tolerable. Risk evaluation involves comparing the results of risk analysis with predefined criteria that reflect the organization's risk appetite, tolerance, or acceptance12. Risk evaluation could use various methods, such as ranking, scoring, or matrix12. Risk evaluation helps to prioritize and decide on the appropriate risk treatment options12.
* Risk mitigation is the process by which the impact and/or probability of a risk is reduced by means of the application of controls. Risk mitigation involves selecting and implementing measures that are designed to prevent, reduce, transfer, or accept risks that could affect the organization's information security objectives or requirements12. Risk mitigation could include various types of controls, such as technical, organizational, legal, or physical12. Risk mitigation should be based on a cost-benefit analysis and a residual risk assessment12.
* Risk transfer is the process by which a risk is passed to a third party, for example through obtaining appropriate insurance. Risk transfer involves sharing or shifting some or all of the responsibility or liability for a risk to another party that has more capacity or capability to manage it12. Risk transfer could include various methods, such as contracts, agreements, partnerships, outsourcing, or insurance12. Risk transfer should not be used as a substitute for effective risk management within the organization12.
References :=
* ISO/IEC 27001:2022 Information technology - Security techniques - Information security management systems - Requirements
* ISO/IEC 27005:2022 Information technology - Security techniques - Information security risk management
Sie führen ein ISMS-Audit in der Versandabteilung eines internationalen Logistikunternehmens durch, das Versanddienstleistungen für große Organisationen, darunter örtliche Krankenhäuser und Regierungsbehörden, erbringt. Pakete enthalten typischerweise pharmazeutische Produkte, biologische Proben und Dokumente wie Reisepässe und Führerscheine. Sie stellen fest, dass in den Unternehmensunterlagen eine sehr große Anzahl zurückgegebener Artikel verzeichnet ist, deren Ursache unter anderem falsch adressierte Etiketten und in 15 % der Unternehmensfälle zwei oder mehr Etiketten für unterschiedliche Adressen für ein Paket sind. Sie führen ein Vorstellungsgespräch mit dem Shipping Manager (SM).
Sie: Werden Artikel vor dem Versand überprüft?
SH: Offensichtlich beschädigte Gegenstände werden vom diensthabenden Personal vor dem Versand entfernt, aber die geringe Gewinnspanne macht es unwirtschaftlich, einen formellen Prüfprozess einzuführen.
Sie: Welche Maßnahmen werden ergriffen, wenn Artikel zurückgegeben werden?
SM: Die meisten dieser Verträge haben einen relativ geringen Wert, daher wurde beschlossen, dass es einfacher und bequemer ist, einfach das Etikett erneut auszudrucken und einzelne Pakete erneut zu versenden, als eine Untersuchung durchzuführen.
Sie melden eine Nichtkonformität. Welche sechs der folgenden Kontrollen in Anhang A würden Sie in Bezug auf das Szenario von der geprüften Stelle bei der Durchführung des Folgeaudits implementieren?
Sie: Werden Artikel vor dem Versand überprüft?
SH: Offensichtlich beschädigte Gegenstände werden vom diensthabenden Personal vor dem Versand entfernt, aber die geringe Gewinnspanne macht es unwirtschaftlich, einen formellen Prüfprozess einzuführen.
Sie: Welche Maßnahmen werden ergriffen, wenn Artikel zurückgegeben werden?
SM: Die meisten dieser Verträge haben einen relativ geringen Wert, daher wurde beschlossen, dass es einfacher und bequemer ist, einfach das Etikett erneut auszudrucken und einzelne Pakete erneut zu versenden, als eine Untersuchung durchzuführen.
Sie melden eine Nichtkonformität. Welche sechs der folgenden Kontrollen in Anhang A würden Sie in Bezug auf das Szenario von der geprüften Stelle bei der Durchführung des Folgeaudits implementieren?
正解:B、E、G、H、I、K
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
Sie sind der Leiter des Prüfungsteams und führen eine Prüfung einer Online-Versicherungsorganisation durch Dritte durch. Während der Bühne
1 haben Sie festgestellt, dass die Organisation einen sehr vorsichtigen Risikoansatz verfolgte und alle Informationssicherheitskontrollen in ISO/IEC 27001:2022 Anhang A in ihre Anwendbarkeitserklärung aufgenommen hat.
Während des Audits der Stufe 2 stellte Ihr Auditteam fest, dass es keine Beweise für die Umsetzung der drei Kontrollen (5.3 Aufgabentrennung, 6.1 Überprüfung, 7.12 Verkabelungssicherheit) gab, die im Auszug aus der Anwendbarkeitserklärung aufgeführt sind. Es wurde kein Risikobehandlungsplan gefunden.
Wählen Sie drei Optionen für die Maßnahmen aus, die das geprüfte Unternehmen Ihrer Meinung nach als Reaktion auf eine Nichtkonformität mit Abschnitt 6.1.3.e von ISO/IEC 27001:2022 ergreifen würde.
1 haben Sie festgestellt, dass die Organisation einen sehr vorsichtigen Risikoansatz verfolgte und alle Informationssicherheitskontrollen in ISO/IEC 27001:2022 Anhang A in ihre Anwendbarkeitserklärung aufgenommen hat.
Während des Audits der Stufe 2 stellte Ihr Auditteam fest, dass es keine Beweise für die Umsetzung der drei Kontrollen (5.3 Aufgabentrennung, 6.1 Überprüfung, 7.12 Verkabelungssicherheit) gab, die im Auszug aus der Anwendbarkeitserklärung aufgeführt sind. Es wurde kein Risikobehandlungsplan gefunden.
Wählen Sie drei Optionen für die Maßnahmen aus, die das geprüfte Unternehmen Ihrer Meinung nach als Reaktion auf eine Nichtkonformität mit Abschnitt 6.1.3.e von ISO/IEC 27001:2022 ergreifen würde.
正解:A、D、E
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
Szenario 4: SendPay ist ein Finanzunternehmen, das seine Dienstleistungen über ein Netzwerk von Agenten und Finanzinstituten anbietet. Eine ihrer Hauptdienstleistungen ist der weltweite Geldtransfer. SendPay ist als neues Unternehmen bestrebt, seinen Kunden erstklassige Dienstleistungen anzubieten. Da das Unternehmen internationale Transaktionen anbietet, verlangt es von seinen Kunden die Angabe personenbezogener Daten, wie z. B. ihre Identität, den Grund der Transaktionen und andere Details, die für den Abschluss der Transaktion erforderlich sein könnten. Daher hat SendPay Sicherheitsmaßnahmen zum Schutz der Informationen seiner Kunden implementiert, einschließlich der Erkennung, Untersuchung und Reaktion auf eventuell auftretende Bedrohungen der Informationssicherheit. Ihr Engagement, sichere Dienste anzubieten, spiegelte sich auch bei der ISMS-Implementierung wider, in die das Unternehmen viel Zeit und Ressourcen investierte.
Letztes Jahr stellte SendPay seine digitale Plattform vor, die Geldtransaktionen über elektronische Geräte wie Smartphones oder Laptops ermöglicht, ohne dass eine zusätzliche Gebühr anfällt. Über diese Plattform können die Kunden von SendPay von überall und zu jeder Zeit Geld senden und empfangen. Die digitale Plattform half SendPay, die Abläufe des Unternehmens zu vereinfachen und sein Geschäft weiter auszubauen. Zu diesem Zeitpunkt lagerte SendPay seinen Softwarebetrieb aus, daher wurde das Projekt vom Softwareentwicklungsteam des ausgelagerten Unternehmens abgeschlossen.
Dasselbe Team war auch für die Wartung der Technologieinfrastruktur von SendPay verantwortlich.
Vor kurzem beantragte das Unternehmen die ISO/IEC 27001-Zertifizierung, nachdem es fast ein Jahr lang über ein ISMS verfügte. Sie beauftragten eine Zertifizierungsstelle, die ihren Kriterien entsprach. Kurz darauf ernannte die Zertifizierungsstelle ein Team aus vier Prüfern, um das ISMS von SendPay zu prüfen.
Bei der Prüfung wurden unter anderem folgende Situationen beobachtet:
1. Das ausgelagerte Softwareunternehmen hatte den Vertrag mit SendPay fristlos gekündigt. Infolgedessen war SendPay nicht in der Lage, die Dienste sofort wieder intern anzubieten, und der Betrieb war fünf Tage lang unterbrochen. Die Prüfer forderten von den Vertretern von SendPay den Nachweis, dass sie einen Plan haben, den sie im Falle einer Vertragskündigung befolgen sollen. Die Vertreter legten keine dokumentarischen Beweise vor, teilten den Prüfern jedoch während eines Interviews mit, dass das Top-Management von SendPay zwei weitere Softwareentwicklungsunternehmen identifiziert habe, die sofort Dienstleistungen erbringen könnten, wenn ähnliche Situationen erneut auftreten.
2. Es lagen keine Beweise für die Überwachung der an das Softwareentwicklungsunternehmen ausgelagerten Tätigkeiten vor. Die Vertreter von SendPay teilten den Prüfern erneut mit, dass sie regelmäßig mit dem Softwareentwicklungsunternehmen kommunizieren und über mögliche Änderungen angemessen informiert sind.
3. Beim Firewall-Test wurde keine Nichtkonformität festgestellt. Die Prüfer testeten die Firewall-Konfiguration, um das Sicherheitsniveau dieser Dienste zu ermitteln. Zum Testen der Firewall-Richtlinien verwendeten sie einen Paketanalysator, der es ihnen ermöglichte, die gesendeten oder empfangenen Pakete in Echtzeit zu überprüfen.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Warum konnte SendPay seine Dienste nach der Vertragsbeendigung nicht wieder intern wiederherstellen? Siehe Szenario 4.
Letztes Jahr stellte SendPay seine digitale Plattform vor, die Geldtransaktionen über elektronische Geräte wie Smartphones oder Laptops ermöglicht, ohne dass eine zusätzliche Gebühr anfällt. Über diese Plattform können die Kunden von SendPay von überall und zu jeder Zeit Geld senden und empfangen. Die digitale Plattform half SendPay, die Abläufe des Unternehmens zu vereinfachen und sein Geschäft weiter auszubauen. Zu diesem Zeitpunkt lagerte SendPay seinen Softwarebetrieb aus, daher wurde das Projekt vom Softwareentwicklungsteam des ausgelagerten Unternehmens abgeschlossen.
Dasselbe Team war auch für die Wartung der Technologieinfrastruktur von SendPay verantwortlich.
Vor kurzem beantragte das Unternehmen die ISO/IEC 27001-Zertifizierung, nachdem es fast ein Jahr lang über ein ISMS verfügte. Sie beauftragten eine Zertifizierungsstelle, die ihren Kriterien entsprach. Kurz darauf ernannte die Zertifizierungsstelle ein Team aus vier Prüfern, um das ISMS von SendPay zu prüfen.
Bei der Prüfung wurden unter anderem folgende Situationen beobachtet:
1. Das ausgelagerte Softwareunternehmen hatte den Vertrag mit SendPay fristlos gekündigt. Infolgedessen war SendPay nicht in der Lage, die Dienste sofort wieder intern anzubieten, und der Betrieb war fünf Tage lang unterbrochen. Die Prüfer forderten von den Vertretern von SendPay den Nachweis, dass sie einen Plan haben, den sie im Falle einer Vertragskündigung befolgen sollen. Die Vertreter legten keine dokumentarischen Beweise vor, teilten den Prüfern jedoch während eines Interviews mit, dass das Top-Management von SendPay zwei weitere Softwareentwicklungsunternehmen identifiziert habe, die sofort Dienstleistungen erbringen könnten, wenn ähnliche Situationen erneut auftreten.
2. Es lagen keine Beweise für die Überwachung der an das Softwareentwicklungsunternehmen ausgelagerten Tätigkeiten vor. Die Vertreter von SendPay teilten den Prüfern erneut mit, dass sie regelmäßig mit dem Softwareentwicklungsunternehmen kommunizieren und über mögliche Änderungen angemessen informiert sind.
3. Beim Firewall-Test wurde keine Nichtkonformität festgestellt. Die Prüfer testeten die Firewall-Konfiguration, um das Sicherheitsniveau dieser Dienste zu ermitteln. Zum Testen der Firewall-Richtlinien verwendeten sie einen Paketanalysator, der es ihnen ermöglichte, die gesendeten oder empfangenen Pakete in Echtzeit zu überprüfen.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Warum konnte SendPay seine Dienste nach der Vertragsbeendigung nicht wieder intern wiederherstellen? Siehe Szenario 4.
正解:C
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
Sie sind Leiter eines Prüfungsteams und haben gerade ein externes Audit eines Mobilfunkanbieters abgeschlossen. Sie bereiten Ihren Prüfbericht vor und sind gerade dabei, einen Abschnitt mit der Überschrift „Vertraulichkeit“ auszufüllen.
Ein in der Ausbildung befindlicher Auditor Ihres Teams fragt Sie, ob es Umstände gibt, unter denen der vertrauliche Bericht an Dritte weitergegeben werden kann.
Welche vier der folgenden Antworten sind falsch?
Ein in der Ausbildung befindlicher Auditor Ihres Teams fragt Sie, ob es Umstände gibt, unter denen der vertrauliche Bericht an Dritte weitergegeben werden kann.
Welche vier der folgenden Antworten sind falsch?
正解:C、D、E、F
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
Wählen Sie die Wörter aus, die den Satz am besten vervollständigen:
正解:
Explanation:
A third-party audit is an independent assessment of an organisation's management system by an external auditor, who is not affiliated with the organisation or its customers. The auditor verifies that the management system meets the requirements of a specific standard, such as ISO 27001, and evaluates its effectiveness and performance. The auditor also identifies any strengths, weaknesses, opportunities, or risks of the management system, and provides recommendations for improvement. The purpose of a third-party audit is to provide an objective and impartial evaluation of the organisation's management system, and to inform a certification decision by a certification body. A certification body is an organisation that grants a certificate of conformity to the organisation, after reviewing the audit report and evidence, and confirming that the management system meets the certification criteria. A certification decision is the outcome of the certification process, which can be positive (granting, maintaining, renewing, or expanding the scope of certification) or negative (suspending, withdrawing, or reducing the scope of certification). References:
* PECB Candidate Handbook ISO 27001 Lead Auditor, pages 19-25
* ISO 19011:2018 - Guidelines for auditing management systems
* The ISO 27001 audit process | ISMS.online
