ISO-IEC-27001-Lead-Auditor Deutsch 無料問題集「PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor Deutsch Version)」
Wählen Sie das Wort aus, das den Satz am besten vervollständigt:
正解:
Explanation:
The word that best completes the sentence is "demonstrate". According to ISO/IEC 27001:2022, Clause 7.5, the organization shall retain documented information as evidence of the performance of the processes and the conformity of the products and services with the requirements1. The purpose of retaining documented information is to demonstrate conformity with the requirements of the management system standard, not to maintain, audit, or certify it. References: 1: ISO/IEC 27001:2022, Information technology - Security techniques - Information security management systems - Requirements, Clause 7.5
Sie führen ein Überwachungsaudit des ISMS eines Kunden durch einen Dritten durch. Sie befinden sich derzeit im sicheren Lagerbereich des Rechenzentrums, wo die Kunden der Organisation die Möglichkeit haben, vorübergehend Geräte aufzubewahren, die den Standort betreten oder verlassen. Die Ausrüstung ist in verschlossenen Schränken untergebracht und jeder Schrank ist einem einzelnen, spezifischen Kunden zugeordnet.
Aus dem Augenwinkel erkennen Sie eine Bewegung in der Nähe der Außentür des Lagerbereichs. Es folgt ein lautes Geräusch. Sie fragen den Guide, was los ist. Sie erzählen Ihnen, dass die jüngsten starken Regenfälle den Pegel der örtlichen Flüsse erhöht und einen Rattenbefall verursacht haben. Der Lärm war darauf zurückzuführen, dass ein spezielles Betäubungsgerät zur Schädlingsbekämpfung ausgelöst wurde. Sie überprüfen das Gerät in der Ecke und stellen fest, dass sich darin eine große, unbewegliche Ratte befindet.
Welche drei Maßnahmen wären als nächstes angemessen?
Aus dem Augenwinkel erkennen Sie eine Bewegung in der Nähe der Außentür des Lagerbereichs. Es folgt ein lautes Geräusch. Sie fragen den Guide, was los ist. Sie erzählen Ihnen, dass die jüngsten starken Regenfälle den Pegel der örtlichen Flüsse erhöht und einen Rattenbefall verursacht haben. Der Lärm war darauf zurückzuführen, dass ein spezielles Betäubungsgerät zur Schädlingsbekämpfung ausgelöst wurde. Sie überprüfen das Gerät in der Ecke und stellen fest, dass sich darin eine große, unbewegliche Ratte befindet.
Welche drei Maßnahmen wären als nächstes angemessen?
正解:B、F、G
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
Szenario 1: Fintive ist ein angesehener Sicherheitsanbieter für Online-Zahlungen und Schutzlösungen. Fintive wurde 1999 von Thomas Fin in San Jose, Kalifornien, gegründet und bietet Dienstleistungen für Unternehmen an, die online tätig sind und ihre Informationssicherheit verbessern, Betrug verhindern und Benutzerinformationen wie personenbezogene Daten schützen möchten. Fintive konzentriert seine Entscheidungs- und Betriebsprozesse auf der Grundlage früherer Fälle. Sie sammeln Kundendaten, klassifizieren sie je nach Fall und analysieren sie. Um solch komplexe Analysen durchführen zu können, benötigte das Unternehmen eine große Anzahl an Mitarbeitern. Nach einigen Jahren hat sich jedoch auch die Technologie weiterentwickelt, die bei der Durchführung solcher Analysen hilft. Nun plant Fintive den Einsatz eines modernen Tools, eines Chatbots, um Musteranalysen zur Betrugsprävention in Echtzeit durchzuführen. Dieses Tool würde auch dazu beitragen, den Kundenservice zu verbessern.
Diese ursprüngliche Idee wurde dem Softwareentwicklungsteam mitgeteilt, das sie unterstützte und mit der Arbeit an diesem Projekt beauftragt wurde. Sie begannen mit der Integration des Chatbots in ihr bestehendes System. Darüber hinaus setzte sich das Team für den Chatbot das Ziel, 85 % aller Chat-Anfragen zu beantworten.
Nach der erfolgreichen Integration des Chatbots gab das Unternehmen diesen umgehend seinen Kunden zur Nutzung frei.
Der Chatbot schien jedoch einige Probleme zu haben.
Aufgrund unzureichender Tests und fehlender Beispiele, die dem Chatbot während der Trainingsphase, in der er das Abfragemuster „lernen“ sollte, zur Verfügung gestellt wurden, konnte der Chatbot Benutzeranfragen nicht beantworten und die richtigen Antworten liefern. Darüber hinaus schickte der Chatbot zufällige Dateien an Benutzer, wenn er ungültige Eingaben wie seltsame Punktmuster und Sonderzeichen erhielt. Daher war der Chatbot nicht in der Lage, Kundenanfragen richtig zu beantworten und der herkömmliche Kundensupport war mit Chatanfragen überlastet und konnte den Kunden daher nicht bei ihren Anliegen helfen.
Daher hat Fintive eine Softwareentwicklungsrichtlinie festgelegt. In dieser Richtlinie wurde festgelegt, dass die Software unabhängig davon, ob sie intern entwickelt oder ausgelagert wird, vor ihrer Implementierung auf Betriebssystemen einem Black-Box-Test unterzogen wird.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Der Chatbot sollte das Abfragemuster „lernen“, um Benutzeranfragen zu beantworten und die richtigen Antworten zu geben.
Welche Art von Technologie ermöglicht
Das?
Diese ursprüngliche Idee wurde dem Softwareentwicklungsteam mitgeteilt, das sie unterstützte und mit der Arbeit an diesem Projekt beauftragt wurde. Sie begannen mit der Integration des Chatbots in ihr bestehendes System. Darüber hinaus setzte sich das Team für den Chatbot das Ziel, 85 % aller Chat-Anfragen zu beantworten.
Nach der erfolgreichen Integration des Chatbots gab das Unternehmen diesen umgehend seinen Kunden zur Nutzung frei.
Der Chatbot schien jedoch einige Probleme zu haben.
Aufgrund unzureichender Tests und fehlender Beispiele, die dem Chatbot während der Trainingsphase, in der er das Abfragemuster „lernen“ sollte, zur Verfügung gestellt wurden, konnte der Chatbot Benutzeranfragen nicht beantworten und die richtigen Antworten liefern. Darüber hinaus schickte der Chatbot zufällige Dateien an Benutzer, wenn er ungültige Eingaben wie seltsame Punktmuster und Sonderzeichen erhielt. Daher war der Chatbot nicht in der Lage, Kundenanfragen richtig zu beantworten und der herkömmliche Kundensupport war mit Chatanfragen überlastet und konnte den Kunden daher nicht bei ihren Anliegen helfen.
Daher hat Fintive eine Softwareentwicklungsrichtlinie festgelegt. In dieser Richtlinie wurde festgelegt, dass die Software unabhängig davon, ob sie intern entwickelt oder ausgelagert wird, vor ihrer Implementierung auf Betriebssystemen einem Black-Box-Test unterzogen wird.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Der Chatbot sollte das Abfragemuster „lernen“, um Benutzeranfragen zu beantworten und die richtigen Antworten zu geben.
Welche Art von Technologie ermöglicht
Das?
正解:C
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
Szenario 4: SendPay ist ein Finanzunternehmen, das seine Dienstleistungen über ein Netzwerk von Agenten und Finanzinstituten anbietet. Eine ihrer Hauptdienstleistungen ist der weltweite Geldtransfer. SendPay ist als neues Unternehmen bestrebt, seinen Kunden erstklassige Dienstleistungen anzubieten. Da das Unternehmen internationale Transaktionen anbietet, verlangt es von seinen Kunden die Angabe personenbezogener Daten, wie z. B. ihre Identität, den Grund der Transaktionen und andere Details, die für den Abschluss der Transaktion erforderlich sein könnten. Daher hat SendPay Sicherheitsmaßnahmen zum Schutz der Informationen seiner Kunden implementiert, einschließlich der Erkennung, Untersuchung und Reaktion auf eventuell auftretende Bedrohungen der Informationssicherheit. Ihr Engagement, sichere Dienste anzubieten, spiegelte sich auch bei der ISMS-Implementierung wider, in die das Unternehmen viel Zeit und Ressourcen investierte.
Letztes Jahr stellte SendPay seine digitale Plattform vor, die Geldtransaktionen über elektronische Geräte wie Smartphones oder Laptops ermöglicht, ohne dass eine zusätzliche Gebühr anfällt. Über diese Plattform können die Kunden von SendPay von überall und zu jeder Zeit Geld senden und empfangen. Die digitale Plattform half SendPay, die Abläufe des Unternehmens zu vereinfachen und sein Geschäft weiter auszubauen. Zu diesem Zeitpunkt lagerte SendPay seinen Softwarebetrieb aus, daher wurde das Projekt vom Softwareentwicklungsteam des ausgelagerten Unternehmens abgeschlossen.
Dasselbe Team war auch für die Wartung der Technologieinfrastruktur von SendPay verantwortlich.
Vor kurzem beantragte das Unternehmen die ISO/IEC 27001-Zertifizierung, nachdem es fast ein Jahr lang über ein ISMS verfügte. Sie beauftragten eine Zertifizierungsstelle, die ihren Kriterien entsprach. Kurz darauf ernannte die Zertifizierungsstelle ein Team aus vier Prüfern, um das ISMS von SendPay zu prüfen.
Bei der Prüfung wurden unter anderem folgende Situationen beobachtet:
1. Das ausgelagerte Softwareunternehmen hatte den Vertrag mit SendPay fristlos gekündigt. Infolgedessen war SendPay nicht in der Lage, die Dienste sofort wieder intern anzubieten, und der Betrieb war fünf Tage lang unterbrochen. Die Prüfer forderten von den Vertretern von SendPay den Nachweis, dass sie einen Plan haben, den sie im Falle einer Vertragskündigung befolgen sollen. Die Vertreter legten keine dokumentarischen Beweise vor, teilten den Prüfern jedoch während eines Interviews mit, dass das Top-Management von SendPay zwei weitere Softwareentwicklungsunternehmen identifiziert habe, die sofort Dienstleistungen erbringen könnten, wenn ähnliche Situationen erneut auftreten.
2. Es lagen keine Beweise für die Überwachung der an das Softwareentwicklungsunternehmen ausgelagerten Tätigkeiten vor. Die Vertreter von SendPay teilten den Prüfern erneut mit, dass sie regelmäßig mit dem Softwareentwicklungsunternehmen kommunizieren und über mögliche Änderungen angemessen informiert sind.
3. Beim Firewall-Test wurde keine Nichtkonformität festgestellt. Die Prüfer testeten die Firewall-Konfiguration, um das Sicherheitsniveau dieser Dienste zu ermitteln. Zum Testen der Firewall-Richtlinien verwendeten sie einen Paketanalysator, der es ihnen ermöglichte, die gesendeten oder empfangenen Pakete in Echtzeit zu überprüfen.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Warum konnte SendPay seine Dienste nach der Vertragsbeendigung nicht wieder intern wiederherstellen? Siehe Szenario 4.
Letztes Jahr stellte SendPay seine digitale Plattform vor, die Geldtransaktionen über elektronische Geräte wie Smartphones oder Laptops ermöglicht, ohne dass eine zusätzliche Gebühr anfällt. Über diese Plattform können die Kunden von SendPay von überall und zu jeder Zeit Geld senden und empfangen. Die digitale Plattform half SendPay, die Abläufe des Unternehmens zu vereinfachen und sein Geschäft weiter auszubauen. Zu diesem Zeitpunkt lagerte SendPay seinen Softwarebetrieb aus, daher wurde das Projekt vom Softwareentwicklungsteam des ausgelagerten Unternehmens abgeschlossen.
Dasselbe Team war auch für die Wartung der Technologieinfrastruktur von SendPay verantwortlich.
Vor kurzem beantragte das Unternehmen die ISO/IEC 27001-Zertifizierung, nachdem es fast ein Jahr lang über ein ISMS verfügte. Sie beauftragten eine Zertifizierungsstelle, die ihren Kriterien entsprach. Kurz darauf ernannte die Zertifizierungsstelle ein Team aus vier Prüfern, um das ISMS von SendPay zu prüfen.
Bei der Prüfung wurden unter anderem folgende Situationen beobachtet:
1. Das ausgelagerte Softwareunternehmen hatte den Vertrag mit SendPay fristlos gekündigt. Infolgedessen war SendPay nicht in der Lage, die Dienste sofort wieder intern anzubieten, und der Betrieb war fünf Tage lang unterbrochen. Die Prüfer forderten von den Vertretern von SendPay den Nachweis, dass sie einen Plan haben, den sie im Falle einer Vertragskündigung befolgen sollen. Die Vertreter legten keine dokumentarischen Beweise vor, teilten den Prüfern jedoch während eines Interviews mit, dass das Top-Management von SendPay zwei weitere Softwareentwicklungsunternehmen identifiziert habe, die sofort Dienstleistungen erbringen könnten, wenn ähnliche Situationen erneut auftreten.
2. Es lagen keine Beweise für die Überwachung der an das Softwareentwicklungsunternehmen ausgelagerten Tätigkeiten vor. Die Vertreter von SendPay teilten den Prüfern erneut mit, dass sie regelmäßig mit dem Softwareentwicklungsunternehmen kommunizieren und über mögliche Änderungen angemessen informiert sind.
3. Beim Firewall-Test wurde keine Nichtkonformität festgestellt. Die Prüfer testeten die Firewall-Konfiguration, um das Sicherheitsniveau dieser Dienste zu ermitteln. Zum Testen der Firewall-Richtlinien verwendeten sie einen Paketanalysator, der es ihnen ermöglichte, die gesendeten oder empfangenen Pakete in Echtzeit zu überprüfen.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Warum konnte SendPay seine Dienste nach der Vertragsbeendigung nicht wieder intern wiederherstellen? Siehe Szenario 4.
正解:C
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
Sie führen ein ISMS-Audit in einem Pflegeheim durch, das Gesundheitsdienstleistungen anbietet. Der nächste Schritt in Ihrem Auditplan besteht darin, den Prozess des Informationssicherheitsvorfallmanagements zu überprüfen. Der IT-Sicherheitsmanager stellt das Verfahren des Informationssicherheitsvorfallmanagements vor und erklärt, dass der Prozess auf ISO/IEC 27035-1:2016 basiert.
Sie überprüfen das Dokument und bemerken die Aussage „Jede Schwachstelle, jedes Ereignis und jeder Vorfall in Bezug auf die Informationssicherheit muss innerhalb einer Stunde nach der Identifizierung dem Point of Contact (PoC) gemeldet werden“. Bei der Befragung der Mitarbeiter haben Sie festgestellt, dass es Unterschiede im Verständnis der Bedeutung von „Schwachstelle, Ereignis und Vorfall“ gibt.
Sie entnehmen Vorfallberichtsdatensätze aus dem Ereignisverfolgungssystem der letzten 6 Monate und haben die Ergebnisse in der folgenden Tabelle zusammengefasst.
Sie möchten andere Bereiche genauer untersuchen, um weitere Prüfnachweise zu sammeln. Wählen Sie zwei Optionen aus, die nicht in Ihrem Prüfpfad enthalten sein sollen.
Sie überprüfen das Dokument und bemerken die Aussage „Jede Schwachstelle, jedes Ereignis und jeder Vorfall in Bezug auf die Informationssicherheit muss innerhalb einer Stunde nach der Identifizierung dem Point of Contact (PoC) gemeldet werden“. Bei der Befragung der Mitarbeiter haben Sie festgestellt, dass es Unterschiede im Verständnis der Bedeutung von „Schwachstelle, Ereignis und Vorfall“ gibt.
Sie entnehmen Vorfallberichtsdatensätze aus dem Ereignisverfolgungssystem der letzten 6 Monate und haben die Ergebnisse in der folgenden Tabelle zusammengefasst.
Sie möchten andere Bereiche genauer untersuchen, um weitere Prüfnachweise zu sammeln. Wählen Sie zwei Optionen aus, die nicht in Ihrem Prüfpfad enthalten sein sollen.
正解:C、D
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
Sie führen ein ISMS-Audit in einem Pflegeheim namens ABC durch, das Gesundheitsdienste anbietet.
Der nächste Schritt in Ihrem Auditplan besteht darin, die Informationssicherheit in Bezug auf die Entwicklung, den Support und den Lebenszyklusprozess der mobilen Gesundheits-App von ABC zu überprüfen. Während des Audits haben Sie erfahren, dass die Organisation die Entwicklung der mobilen App an ein professionelles Softwareentwicklungsunternehmen mit CMMI Level 5, ITSM (ISO
/IEC
20000-1), BCMS (ISO 22301) und ISMS (ISO/IEC 27001) zertifiziert. Der IT-Manager stellte das Software-Sicherheitsmanagementverfahren vor und fasste den Prozess wie folgt zusammen:
Bei der Entwicklung mobiler Apps müssen mindestens die Grundsätze „Security by Design“ und „Security by Default“ eingehalten werden. Die folgenden Sicherheitsfunktionen zum Schutz personenbezogener Daten müssen verfügbar sein:
Zugriffskontrolle.
Verschlüsselung personenbezogener Daten, d. h. Advanced Encryption Standard (AES)-Algorithmus, Schlüssellänge: 256 Bit; und Pseudonymisierung personenbezogener Daten.
Schwachstelle geprüft und keine Sicherheits-Hintertür
Sie erhalten einen Testbericht zum neuesten Mobile-App-Test. Einzelheiten sind wie folgt:
Sie fragen den IT-Manager, warum die Organisation die mobile App noch immer verwendet, obwohl die Tests zur Verschlüsselung und Pseudonymisierung personenbezogener Daten fehlgeschlagen sind. Außerdem fragen Sie, ob der Service Manager berechtigt ist, den Test zu genehmigen.
Der IT-Manager erklärt, dass die Testergebnisse von ihm gemäß dem Software-Sicherheitsmanagementverfahren genehmigt werden müssen. Der Grund, warum die Verschlüsselungs- und Pseudonymisierungsfunktionen fehlgeschlagen sind, liegt darin, dass diese Funktionen die System- und Serviceleistung stark verlangsamt haben. Ein zusätzlicher
Um dies abzudecken, sind 150 % der Ressourcen erforderlich. Der Servicemanager stimmte zu, dass die Zugriffskontrolle gut genug und akzeptabel ist. Aus diesem Grund unterzeichnete der Servicemanager die Genehmigung.
Sie testen ein Mobiltelefon des medizinischen Personals und stellen fest, dass die mobile Gesundheits-App von ABC, Version
1.01 ist installiert. Sie haben festgestellt, dass Version 1.01 keinen Testdatensatz hat.
Der IT-Manager erklärt, dass das externe Unternehmen für die Entwicklung mobiler Apps aufgrund häufiger Ransomware-Angriffe ein kostenloses kleines Update der getesteten Software bereitgestellt, eine Notfallversion der aktualisierten Software veröffentlicht und mündlich garantiert habe, dass keine Sicherheitsfunktionen beeinträchtigt würden. Aufgrund seiner 20-jährigen Erfahrung im Bereich Informationssicherheit bestehe kein Bedarf für einen erneuten Test.
Sie bereiten die Prüfungsergebnisse vor. Wählen Sie zwei richtige Optionen aus.
Der nächste Schritt in Ihrem Auditplan besteht darin, die Informationssicherheit in Bezug auf die Entwicklung, den Support und den Lebenszyklusprozess der mobilen Gesundheits-App von ABC zu überprüfen. Während des Audits haben Sie erfahren, dass die Organisation die Entwicklung der mobilen App an ein professionelles Softwareentwicklungsunternehmen mit CMMI Level 5, ITSM (ISO
/IEC
20000-1), BCMS (ISO 22301) und ISMS (ISO/IEC 27001) zertifiziert. Der IT-Manager stellte das Software-Sicherheitsmanagementverfahren vor und fasste den Prozess wie folgt zusammen:
Bei der Entwicklung mobiler Apps müssen mindestens die Grundsätze „Security by Design“ und „Security by Default“ eingehalten werden. Die folgenden Sicherheitsfunktionen zum Schutz personenbezogener Daten müssen verfügbar sein:
Zugriffskontrolle.
Verschlüsselung personenbezogener Daten, d. h. Advanced Encryption Standard (AES)-Algorithmus, Schlüssellänge: 256 Bit; und Pseudonymisierung personenbezogener Daten.
Schwachstelle geprüft und keine Sicherheits-Hintertür
Sie erhalten einen Testbericht zum neuesten Mobile-App-Test. Einzelheiten sind wie folgt:
Sie fragen den IT-Manager, warum die Organisation die mobile App noch immer verwendet, obwohl die Tests zur Verschlüsselung und Pseudonymisierung personenbezogener Daten fehlgeschlagen sind. Außerdem fragen Sie, ob der Service Manager berechtigt ist, den Test zu genehmigen.
Der IT-Manager erklärt, dass die Testergebnisse von ihm gemäß dem Software-Sicherheitsmanagementverfahren genehmigt werden müssen. Der Grund, warum die Verschlüsselungs- und Pseudonymisierungsfunktionen fehlgeschlagen sind, liegt darin, dass diese Funktionen die System- und Serviceleistung stark verlangsamt haben. Ein zusätzlicher
Um dies abzudecken, sind 150 % der Ressourcen erforderlich. Der Servicemanager stimmte zu, dass die Zugriffskontrolle gut genug und akzeptabel ist. Aus diesem Grund unterzeichnete der Servicemanager die Genehmigung.
Sie testen ein Mobiltelefon des medizinischen Personals und stellen fest, dass die mobile Gesundheits-App von ABC, Version
1.01 ist installiert. Sie haben festgestellt, dass Version 1.01 keinen Testdatensatz hat.
Der IT-Manager erklärt, dass das externe Unternehmen für die Entwicklung mobiler Apps aufgrund häufiger Ransomware-Angriffe ein kostenloses kleines Update der getesteten Software bereitgestellt, eine Notfallversion der aktualisierten Software veröffentlicht und mündlich garantiert habe, dass keine Sicherheitsfunktionen beeinträchtigt würden. Aufgrund seiner 20-jährigen Erfahrung im Bereich Informationssicherheit bestehe kein Bedarf für einen erneuten Test.
Sie bereiten die Prüfungsergebnisse vor. Wählen Sie zwei richtige Optionen aus.
正解:D、E
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
Szenario 8: Die EsBank bietet seit September Bank- und Finanzlösungen für den estnischen Bankensektor an
2010. Das Unternehmen verfügt über ein Netz von 30 Filialen mit über 100 Geldautomaten im ganzen Land.
Da die EsBank in einer stark regulierten Branche tätig ist, muss sie zahlreiche Gesetze und Vorschriften hinsichtlich der Sicherheit und des Datenschutzes von Daten einhalten. Sie müssen die Informationssicherheit in ihren gesamten Betrieben verwalten, indem sie technische und nichttechnische Kontrollen implementieren. Die EsBank hat sich für die Implementierung eines ISMS auf Basis von ISO/IEC entschieden
27001, weil es eine bessere Sicherheit, eine bessere Risikokontrolle und die Einhaltung wichtiger Anforderungen von Gesetzen und Vorschriften bietet.
Neun Monate nach der erfolgreichen Implementierung des ISMS beschloss die EsBank, die Zertifizierung ihres ISMS durch eine unabhängige Zertifizierungsstelle nach ISO/IEC 27001 anzustreben. Das Zertifizierungsaudit umfasste alle Systeme, Prozesse und Technologien der EsBank.
Die Audits der Stufen 1 und 2 wurden gemeinsam durchgeführt und es wurden mehrere Nichtkonformitäten festgestellt. Die erste Nichtkonformität betraf die Kennzeichnung von Informationen durch die EsBank. Das Unternehmen verfügte über ein Klassifizierungssystem für Informationen, es gab jedoch kein Verfahren zur Kennzeichnung von Informationen. Infolgedessen würden Dokumente, die das gleiche Schutzniveau erfordern, unterschiedlich gekennzeichnet (manchmal als vertraulich, manchmal als sensibel).
Da alle Dokumente auch elektronisch gespeichert wurden, wirkte sich die Nichtkonformität auch auf die Medienhandhabung aus. Das Prüfteam zog Stichproben und kam zu dem Schluss, dass auf 50 von 200 Wechseldatenträgern vertrauliche Informationen gespeichert waren, die fälschlicherweise als vertraulich eingestuft wurden. Gemäß dem Informationsklassifizierungsschema dürfen vertrauliche Informationen auf Wechselmedien gespeichert werden, wohingegen die Speicherung sensibler Informationen strengstens verboten ist. Dies markierte die andere Nichtkonformität.
Sie verfassten den Nichtkonformitätsbericht und diskutierten die Audit-Schlussfolgerungen mit den Vertretern der EsBank, die sich bereit erklärten, innerhalb von zwei Monaten einen Aktionsplan für die festgestellten Nichtkonformitäten vorzulegen.
Die EsBank akzeptierte den Lösungsvorschlag des Prüfungsteamleiters. Sie lösten die Nichtkonformitäten, indem sie ein Verfahren zur Informationskennzeichnung auf der Grundlage des Klassifizierungsschemas für physische und elektronische Formate entwarfen.
Basierend auf diesem Verfahren wurde auch das Verfahren für Wechselmedien aktualisiert.
Zwei Wochen nach Abschluss der Prüfung legte die EsBank einen allgemeinen Aktionsplan vor. Dort gingen sie auf die festgestellten Nichtkonformitäten und die ergriffenen Korrekturmaßnahmen ein, machten jedoch keine Angaben zu den betroffenen Systemen, Kontrollen oder Abläufen. Das Auditteam bewertete den Aktionsplan und kam zu dem Schluss, dass die Nichtkonformitäten dadurch behoben werden würden. Dennoch erhielt die EsBank eine negative Empfehlung zur Zertifizierung.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Gemäß Szenario 8 bewertete das Auditteam den Aktionsplan und kam zu dem Schluss, dass damit die festgestellten Nichtkonformitäten behoben werden würden. Ist das akzeptabel?
2010. Das Unternehmen verfügt über ein Netz von 30 Filialen mit über 100 Geldautomaten im ganzen Land.
Da die EsBank in einer stark regulierten Branche tätig ist, muss sie zahlreiche Gesetze und Vorschriften hinsichtlich der Sicherheit und des Datenschutzes von Daten einhalten. Sie müssen die Informationssicherheit in ihren gesamten Betrieben verwalten, indem sie technische und nichttechnische Kontrollen implementieren. Die EsBank hat sich für die Implementierung eines ISMS auf Basis von ISO/IEC entschieden
27001, weil es eine bessere Sicherheit, eine bessere Risikokontrolle und die Einhaltung wichtiger Anforderungen von Gesetzen und Vorschriften bietet.
Neun Monate nach der erfolgreichen Implementierung des ISMS beschloss die EsBank, die Zertifizierung ihres ISMS durch eine unabhängige Zertifizierungsstelle nach ISO/IEC 27001 anzustreben. Das Zertifizierungsaudit umfasste alle Systeme, Prozesse und Technologien der EsBank.
Die Audits der Stufen 1 und 2 wurden gemeinsam durchgeführt und es wurden mehrere Nichtkonformitäten festgestellt. Die erste Nichtkonformität betraf die Kennzeichnung von Informationen durch die EsBank. Das Unternehmen verfügte über ein Klassifizierungssystem für Informationen, es gab jedoch kein Verfahren zur Kennzeichnung von Informationen. Infolgedessen würden Dokumente, die das gleiche Schutzniveau erfordern, unterschiedlich gekennzeichnet (manchmal als vertraulich, manchmal als sensibel).
Da alle Dokumente auch elektronisch gespeichert wurden, wirkte sich die Nichtkonformität auch auf die Medienhandhabung aus. Das Prüfteam zog Stichproben und kam zu dem Schluss, dass auf 50 von 200 Wechseldatenträgern vertrauliche Informationen gespeichert waren, die fälschlicherweise als vertraulich eingestuft wurden. Gemäß dem Informationsklassifizierungsschema dürfen vertrauliche Informationen auf Wechselmedien gespeichert werden, wohingegen die Speicherung sensibler Informationen strengstens verboten ist. Dies markierte die andere Nichtkonformität.
Sie verfassten den Nichtkonformitätsbericht und diskutierten die Audit-Schlussfolgerungen mit den Vertretern der EsBank, die sich bereit erklärten, innerhalb von zwei Monaten einen Aktionsplan für die festgestellten Nichtkonformitäten vorzulegen.
Die EsBank akzeptierte den Lösungsvorschlag des Prüfungsteamleiters. Sie lösten die Nichtkonformitäten, indem sie ein Verfahren zur Informationskennzeichnung auf der Grundlage des Klassifizierungsschemas für physische und elektronische Formate entwarfen.
Basierend auf diesem Verfahren wurde auch das Verfahren für Wechselmedien aktualisiert.
Zwei Wochen nach Abschluss der Prüfung legte die EsBank einen allgemeinen Aktionsplan vor. Dort gingen sie auf die festgestellten Nichtkonformitäten und die ergriffenen Korrekturmaßnahmen ein, machten jedoch keine Angaben zu den betroffenen Systemen, Kontrollen oder Abläufen. Das Auditteam bewertete den Aktionsplan und kam zu dem Schluss, dass die Nichtkonformitäten dadurch behoben werden würden. Dennoch erhielt die EsBank eine negative Empfehlung zur Zertifizierung.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Gemäß Szenario 8 bewertete das Auditteam den Aktionsplan und kam zu dem Schluss, dass damit die festgestellten Nichtkonformitäten behoben werden würden. Ist das akzeptabel?
正解:A
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
Szenario 9: UpNet, ein Netzwerkunternehmen, wurde nach ISO/IEC 27001 zertifiziert. Es bietet Netzwerksicherheit, Virtualisierung, Cloud Computing, Netzwerkhardware, Netzwerkverwaltungssoftware und Netzwerktechnologien.
Der Bekanntheitsgrad des Unternehmens ist seit der ISO/IEC 27001-Zertifizierung drastisch gestiegen. Die Zertifizierung bestätigte die Reife des UpNefs-Betriebs und die Einhaltung eines weithin anerkannten und akzeptierten Standards.
Doch nicht alles endete nach der Zertifizierung. UpNet überprüfte und verbesserte kontinuierlich seine Sicherheitskontrollen sowie die allgemeine Wirksamkeit und Effizienz des ISMS durch die Durchführung interner Audits. Das Top-Management war nicht bereit, ein Vollzeitteam interner Prüfer zu beschäftigen, und beschloss daher, die interne Prüffunktion auszulagern. Diese Form der internen Audits gewährleistete Unabhängigkeit, Objektivität und eine beratende Funktion hinsichtlich der kontinuierlichen Verbesserung des ISMS.
Nicht lange nach dem ersten Zertifizierungsaudit gründete das Unternehmen eine neue Abteilung, die auf Daten- und Speicherprodukte spezialisiert war. Sie boten Router und Switches an, die für Rechenzentren und softwarebasierte Netzwerkgeräte wie Netzwerkvirtualisierungs- und Netzwerksicherheits-Appliances optimiert waren. Dies führte zu Änderungen in den Abläufen der anderen Abteilungen, die bereits vom ISMS-Zertifizierungsumfang abgedeckt sind.
Daher. UpNet hat einen Risikobewertungsprozess und ein internes Audit eingeleitet. Nach dem Ergebnis der internen Revision bestätigte das Unternehmen die Wirksamkeit und Effizienz der bestehenden und neuen Prozesse und Kontrollen.
Das Top-Management hat beschlossen, die neue Abteilung in den Zertifizierungsbereich aufzunehmen, da sie den Anforderungen der ISO/IEC 27001 entspricht. UpNet gab bekannt, dass es nach ISO/IEC 27001 zertifiziert ist und der Zertifizierungsumfang das gesamte Unternehmen umfasst.
Ein Jahr nach dem ersten Zertifizierungsaudit führte die Zertifizierungsstelle ein weiteres Audit des UpNefs ISMS durch.
Ziel dieser Prüfung war es, die Erfüllung der festgelegten ISO/IEC 27001-Anforderungen durch das UpNefs ISMS festzustellen und sicherzustellen, dass das ISMS kontinuierlich verbessert wird. Das Auditteam bestätigte, dass das zertifizierte ISMS weiterhin die Anforderungen des Standards erfüllt. Dennoch hatte die neue Abteilung erhebliche Auswirkungen auf die Steuerung des Managementsystems. Darüber hinaus wurden der Zertifizierungsstelle keine Änderungen mitgeteilt. Daher wurde die UpNefs-Zertifizierung ausgesetzt.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
UpNet hat die interne Revisionsfunktion ausgelagert, wie in Szenario 9 dargestellt. Hat dies Auswirkungen auf den internen Revisionsprozess?
Der Bekanntheitsgrad des Unternehmens ist seit der ISO/IEC 27001-Zertifizierung drastisch gestiegen. Die Zertifizierung bestätigte die Reife des UpNefs-Betriebs und die Einhaltung eines weithin anerkannten und akzeptierten Standards.
Doch nicht alles endete nach der Zertifizierung. UpNet überprüfte und verbesserte kontinuierlich seine Sicherheitskontrollen sowie die allgemeine Wirksamkeit und Effizienz des ISMS durch die Durchführung interner Audits. Das Top-Management war nicht bereit, ein Vollzeitteam interner Prüfer zu beschäftigen, und beschloss daher, die interne Prüffunktion auszulagern. Diese Form der internen Audits gewährleistete Unabhängigkeit, Objektivität und eine beratende Funktion hinsichtlich der kontinuierlichen Verbesserung des ISMS.
Nicht lange nach dem ersten Zertifizierungsaudit gründete das Unternehmen eine neue Abteilung, die auf Daten- und Speicherprodukte spezialisiert war. Sie boten Router und Switches an, die für Rechenzentren und softwarebasierte Netzwerkgeräte wie Netzwerkvirtualisierungs- und Netzwerksicherheits-Appliances optimiert waren. Dies führte zu Änderungen in den Abläufen der anderen Abteilungen, die bereits vom ISMS-Zertifizierungsumfang abgedeckt sind.
Daher. UpNet hat einen Risikobewertungsprozess und ein internes Audit eingeleitet. Nach dem Ergebnis der internen Revision bestätigte das Unternehmen die Wirksamkeit und Effizienz der bestehenden und neuen Prozesse und Kontrollen.
Das Top-Management hat beschlossen, die neue Abteilung in den Zertifizierungsbereich aufzunehmen, da sie den Anforderungen der ISO/IEC 27001 entspricht. UpNet gab bekannt, dass es nach ISO/IEC 27001 zertifiziert ist und der Zertifizierungsumfang das gesamte Unternehmen umfasst.
Ein Jahr nach dem ersten Zertifizierungsaudit führte die Zertifizierungsstelle ein weiteres Audit des UpNefs ISMS durch.
Ziel dieser Prüfung war es, die Erfüllung der festgelegten ISO/IEC 27001-Anforderungen durch das UpNefs ISMS festzustellen und sicherzustellen, dass das ISMS kontinuierlich verbessert wird. Das Auditteam bestätigte, dass das zertifizierte ISMS weiterhin die Anforderungen des Standards erfüllt. Dennoch hatte die neue Abteilung erhebliche Auswirkungen auf die Steuerung des Managementsystems. Darüber hinaus wurden der Zertifizierungsstelle keine Änderungen mitgeteilt. Daher wurde die UpNefs-Zertifizierung ausgesetzt.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
UpNet hat die interne Revisionsfunktion ausgelagert, wie in Szenario 9 dargestellt. Hat dies Auswirkungen auf den internen Revisionsprozess?
正解:C
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
Sie sind ein erfahrener ISMS-Audit-Teamleiter. Sie bieten eine Einführung in ISO/IEC 27001:2022 für eine Klasse von Qualitätsmanagementsystem-Auditoren, die eine Umschulung anstreben, um sie in die Lage zu versetzen, Audits von Informationssicherheitsmanagementsystemen durchzuführen.
Sie fragen sie, welche der folgenden Informationsmerkmale ein Informationssicherheitsmanagementsystem bewahren soll?
Welche drei Antworten sollten sie geben?
Sie fragen sie, welche der folgenden Informationsmerkmale ein Informationssicherheitsmanagementsystem bewahren soll?
Welche drei Antworten sollten sie geben?
正解:A、G、H
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
Sie führen ein Audit des Informationssicherheitsmanagementsystems in der Versandabteilung eines internationalen Logistikunternehmens durch, das Versanddienstleistungen für große Organisationen, darunter örtliche Krankenhäuser und Regierungsbüros, erbringt.
Pakete enthalten typischerweise pharmazeutische Produkte, biologische Proben und Dokumente wie Reisepässe und Führerscheine.
Sie stellen fest, dass in den Unternehmensunterlagen eine sehr große Anzahl zurückgegebener Artikel verzeichnet ist, deren Ursache unter anderem falsch adressierte Etiketten und in 15 % der Fälle zwei oder mehr Etiketten für unterschiedliche Adressen für ein Paket sind. Sie führen ein Vorstellungsgespräch mit dem Shipping Manager (SM).
Sie: Werden Artikel vor dem Versand überprüft?
SM: Offensichtlich beschädigte Gegenstände werden vom diensthabenden Personal vor dem Versand entfernt, aber die geringe Gewinnspanne macht es unwirtschaftlich, einen formellen Prüfprozess einzuführen.
Sie: Welche Maßnahmen werden ergriffen, wenn Artikel zurückgegeben werden?
SM: Die meisten dieser Verträge haben einen relativ geringen Wert, daher wurde beschlossen, dass es einfacher und bequemer ist, einfach das Etikett erneut auszudrucken und einzelne Pakete erneut zu versenden, als eine Untersuchung durchzuführen.
Sie melden eine Nichtkonformität gegen Abschnitt 8.1 der ISO 27001:2022.
Welche der folgenden Optionen beschreibt die von Ihnen festgestellte Nichtkonformität am besten?
Pakete enthalten typischerweise pharmazeutische Produkte, biologische Proben und Dokumente wie Reisepässe und Führerscheine.
Sie stellen fest, dass in den Unternehmensunterlagen eine sehr große Anzahl zurückgegebener Artikel verzeichnet ist, deren Ursache unter anderem falsch adressierte Etiketten und in 15 % der Fälle zwei oder mehr Etiketten für unterschiedliche Adressen für ein Paket sind. Sie führen ein Vorstellungsgespräch mit dem Shipping Manager (SM).
Sie: Werden Artikel vor dem Versand überprüft?
SM: Offensichtlich beschädigte Gegenstände werden vom diensthabenden Personal vor dem Versand entfernt, aber die geringe Gewinnspanne macht es unwirtschaftlich, einen formellen Prüfprozess einzuführen.
Sie: Welche Maßnahmen werden ergriffen, wenn Artikel zurückgegeben werden?
SM: Die meisten dieser Verträge haben einen relativ geringen Wert, daher wurde beschlossen, dass es einfacher und bequemer ist, einfach das Etikett erneut auszudrucken und einzelne Pakete erneut zu versenden, als eine Untersuchung durchzuführen.
Sie melden eine Nichtkonformität gegen Abschnitt 8.1 der ISO 27001:2022.
Welche der folgenden Optionen beschreibt die von Ihnen festgestellte Nichtkonformität am besten?
正解:C
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
Bitte ordnen Sie die Rollen den folgenden Beschreibungen zu:
Um die Tabelle zu vervollständigen, klicken Sie auf den leeren Abschnitt, den Sie ausfüllen möchten, sodass er rot hervorgehoben wird, und klicken Sie dann in den folgenden Optionen auf den entsprechenden Test. Alternativ können Sie jede Option auch per Drag-and-Drop in den entsprechenden leeren Abschnitt ziehen.
Um die Tabelle zu vervollständigen, klicken Sie auf den leeren Abschnitt, den Sie ausfüllen möchten, sodass er rot hervorgehoben wird, und klicken Sie dann in den folgenden Optionen auf den entsprechenden Test. Alternativ können Sie jede Option auch per Drag-and-Drop in den entsprechenden leeren Abschnitt ziehen.
正解:
Explanation:
* The auditee is the organization or part of it that is subject to the audit. The auditee could be internal or external to the audit client . The auditee should cooperate with the audit team and provide them with access to relevant information, documents, records, personnel, and facilities .
* The audit client is the organization or person that requests an audit. The audit client could be internal or external to the auditee . The audit client should define the audit objectives, scope, criteria, and programme, and appoint the audit team leader .
* The technical expert is a person who provides specific knowledge or expertise relating to the organization, activity, process, product, service, or discipline to be audited. The technical expert could be internal or external to the audit team . The technical expert should support the audit team in collecting and evaluating audit evidence, but should not act as an auditor .
* The observer is a person who accompanies the audit team but does not act as an auditor. The observer could be internal or external to the audit team . The observer should observe the audit activities without interfering or influencing them, unless agreed otherwise by the audit team leader and the auditee .
References :=
* [ISO 19011:2022 Guidelines for auditing management systems]
* [ISO/IEC 17021-1:2022 Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 1: Requirements]
Sie führen ein ISMS-Erstzertifizierungsaudit in einem Pflegeheim durch, das Gesundheitsdienstleistungen anbietet. Der nächste Schritt in Ihrem Auditplan ist die Durchführung der Abschlussbesprechung. Während der Abschlussbesprechung des Auditteams erklären Sie sich als Leiter des Auditteams damit einverstanden, zwei kleinere Abweichungen und eine Verbesserungsmöglichkeit wie folgt zu melden:
Wählen Sie eine Option der Empfehlung an den Auditprogrammmanager aus, die Sie dem Auditierten in der Abschlussbesprechung empfehlen werden.
Wählen Sie eine Option der Empfehlung an den Auditprogrammmanager aus, die Sie dem Auditierten in der Abschlussbesprechung empfehlen werden.
正解:D
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
Bitte ordnen Sie die folgenden Situationen der Art der erforderlichen Prüfung zu.
正解:
Explanation:
* Top management requests auditors from the organisation's compliance department to audit the production process in order to ensure the final product meets quality requirements = First-party audit
* Auditors from the buyer's organisation audit their raw material supplier to ensure the supply fulfils the order and contract = Second-party audit
* Auditors from an independent certification body conduct an audit of the organisation to verify conformity with an ISO Standard for certification purposes = Third-party audit
* The organisation has been audited against two management system standards in one audit = Combined audit Explanation: According to the ISO/IEC 27001 standard, there are three main categories of audits: internal, external, and certification1. An internal audit, also known as a first-party audit, is an audit conducted by the organisation itself, or by an external party on its behalf, for management review and other internal purposes12. An external audit, also known as a second-party audit, is an audit conducted by a customer or other interested party on a supplier or contractor to verify compliance with contractual or other requirements12. A certification audit, also known as a third-party audit, is an audit conducted by an independent certification body to verify conformity with an ISO standard for certification purposes12. A combined audit is an audit where two or more management system standards are audited together3.
References: 1: PECB Candidate Handbook - ISO/IEC 27001 Lead Auditor, page 192: ISO 27001 Audit Types and How They are Conducted23: The Four ISO 27001 Audit Categories, Explained4
Sie haben gerade ein geplantes Informationssicherheitsaudit Ihrer Organisation abgeschlossen, als der IT-Manager auf Sie zukommt und Sie um Unterstützung bei der Überarbeitung des Risikomanagementprozesses des Unternehmens bittet.
Er versucht, die aktuelle Dokumentation zu aktualisieren, um sie für andere Manager verständlicher zu machen. Aus Ihrer Diskussion geht jedoch klar hervor, dass er mehrere Schlüsselbegriffe verwechselt.
Sie bitten ihn, jede der Beschreibungen dem entsprechenden Risikobegriff zuzuordnen. Wie sollten die richtigen Antworten lauten?
Er versucht, die aktuelle Dokumentation zu aktualisieren, um sie für andere Manager verständlicher zu machen. Aus Ihrer Diskussion geht jedoch klar hervor, dass er mehrere Schlüsselbegriffe verwechselt.
Sie bitten ihn, jede der Beschreibungen dem entsprechenden Risikobegriff zuzuordnen. Wie sollten die richtigen Antworten lauten?
正解:
Explanation:
The correct answers for matching each of the descriptions with the appropriate risk term are:
* The strategy chosen to respond to a specific information security risk: This is a definition of information security risk treatment. According to ISO/IEC 27000:2022, information security risk treatment is "the process of selecting and implementing measures to modify the information security risk" Section 3.33.
* The effect of uncertainty on information security objectives: This is a definition of information security risk. According to ISO/IEC 27000:2022, information security risk is "the effect of uncertainty on information security objectives" Section 3.32.
* The requirements against which information security risks are evaluated: This is a definition of information security risk criteria. According to ISO/IEC 27000:2022, information security risk criteria are "the terms of reference by which the significance of information security risks is assessed" Section
3.31.
* A definition of the overall level of information security risk that is considered to be tolerable: This is a definition of information security risk acceptance criteria. According to ISO/IEC 27000:2022, information security risk acceptance criteria are "the level of information security risk that is acceptable" Section 3.30.