최신 ISO-IEC-27001-Lead-Auditor Deutsch 무료덤프 - PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor Deutsch Version)
Sie sind ein erfahrener ISMS-Prüfungsteamleiter, der einen Prüfer in der Schulung leitet. Sie fragt Sie nach der Einstufung von Abweichungen in Auditberichten. Sie beschließen, ihr Wissen zu testen, indem Sie sie fragen, welche vier der folgenden Aussagen wahr sind.
정답: A,F,G,H
설명: (DumpTOP 회원만 볼 수 있음)
Welche drei der folgenden Möglichkeiten sind von Vorteil bei der Verwendung eines Stichprobenplans für das Audit?
정답: A,B,E
설명: (DumpTOP 회원만 볼 수 있음)
Als Audit-Teamleiter führen Sie Ihr erstes ISMS-Überwachungsaudit durch Dritte durch. Sie befinden sich derzeit mit einem anderen Mitglied Ihres Prüfungsteams im Rechenzentrum des geprüften Unternehmens.
Ihr Kollege scheint sich nicht sicher zu sein, was den Unterschied zwischen einem Informationssicherheitsereignis und einem Informationssicherheitsvorfall ausmacht. Sie versuchen, den Unterschied anhand von Beispielen zu erklären.
Welche drei der folgenden Szenarien können als Informationssicherheitsvorfälle definiert werden?
Ihr Kollege scheint sich nicht sicher zu sein, was den Unterschied zwischen einem Informationssicherheitsereignis und einem Informationssicherheitsvorfall ausmacht. Sie versuchen, den Unterschied anhand von Beispielen zu erklären.
Welche drei der folgenden Szenarien können als Informationssicherheitsvorfälle definiert werden?
정답: A,F,G
설명: (DumpTOP 회원만 볼 수 있음)
Wie wirkt sich der Einsatz neuer Technologien wie Big Data auf die Prüfung aus?
정답: A
설명: (DumpTOP 회원만 볼 수 있음)
Szenario 1: Fintive ist ein angesehener Sicherheitsanbieter für Online-Zahlungen und Schutzlösungen. Fintive wurde 1999 von Thomas Fin in San Jose, Kalifornien, gegründet und bietet Dienstleistungen für Unternehmen an, die online tätig sind und ihre Informationssicherheit verbessern, Betrug verhindern und Benutzerinformationen wie personenbezogene Daten schützen möchten. Fintive konzentriert seine Entscheidungs- und Betriebsprozesse auf der Grundlage früherer Fälle. Sie sammeln Kundendaten, klassifizieren sie je nach Fall und analysieren sie. Um solch komplexe Analysen durchführen zu können, benötigte das Unternehmen eine große Anzahl an Mitarbeitern. Nach einigen Jahren hat sich jedoch auch die Technologie weiterentwickelt, die bei der Durchführung solcher Analysen hilft. Nun plant Fintive den Einsatz eines modernen Tools, eines Chatbots, um Musteranalysen zur Betrugsprävention in Echtzeit durchzuführen. Dieses Tool würde auch dazu beitragen, den Kundenservice zu verbessern.
Diese ursprüngliche Idee wurde dem Softwareentwicklungsteam mitgeteilt, das sie unterstützte und mit der Arbeit an diesem Projekt beauftragt wurde. Sie begannen mit der Integration des Chatbots in ihr bestehendes System. Darüber hinaus setzte sich das Team für den Chatbot das Ziel, 85 % aller Chat-Anfragen zu beantworten.
Nach der erfolgreichen Integration des Chatbots gab das Unternehmen diesen umgehend seinen Kunden zur Nutzung frei.
Der Chatbot schien jedoch einige Probleme zu haben.
Aufgrund unzureichender Tests und fehlender Beispiele, die dem Chatbot während der Trainingsphase, in der er das Abfragemuster „lernen“ sollte, zur Verfügung gestellt wurden, konnte der Chatbot Benutzeranfragen nicht beantworten und die richtigen Antworten liefern. Darüber hinaus schickte der Chatbot zufällige Dateien an Benutzer, wenn er ungültige Eingaben wie seltsame Punktmuster und Sonderzeichen erhielt. Daher war der Chatbot nicht in der Lage, Kundenanfragen richtig zu beantworten und der herkömmliche Kundensupport war mit Chatanfragen überlastet und konnte den Kunden daher nicht bei ihren Anliegen helfen.
Daher hat Fintive eine Softwareentwicklungsrichtlinie festgelegt. In dieser Richtlinie wurde festgelegt, dass die Software unabhängig davon, ob sie intern entwickelt oder ausgelagert wird, vor ihrer Implementierung auf Betriebssystemen einem Black-Box-Test unterzogen wird.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Unzureichende Tests und fehlende Proben, die dem Chatbot von Fintive während der Trainingsphase zur Verfügung gestellt werden, gelten als 1.
Siehe Szenario
Diese ursprüngliche Idee wurde dem Softwareentwicklungsteam mitgeteilt, das sie unterstützte und mit der Arbeit an diesem Projekt beauftragt wurde. Sie begannen mit der Integration des Chatbots in ihr bestehendes System. Darüber hinaus setzte sich das Team für den Chatbot das Ziel, 85 % aller Chat-Anfragen zu beantworten.
Nach der erfolgreichen Integration des Chatbots gab das Unternehmen diesen umgehend seinen Kunden zur Nutzung frei.
Der Chatbot schien jedoch einige Probleme zu haben.
Aufgrund unzureichender Tests und fehlender Beispiele, die dem Chatbot während der Trainingsphase, in der er das Abfragemuster „lernen“ sollte, zur Verfügung gestellt wurden, konnte der Chatbot Benutzeranfragen nicht beantworten und die richtigen Antworten liefern. Darüber hinaus schickte der Chatbot zufällige Dateien an Benutzer, wenn er ungültige Eingaben wie seltsame Punktmuster und Sonderzeichen erhielt. Daher war der Chatbot nicht in der Lage, Kundenanfragen richtig zu beantworten und der herkömmliche Kundensupport war mit Chatanfragen überlastet und konnte den Kunden daher nicht bei ihren Anliegen helfen.
Daher hat Fintive eine Softwareentwicklungsrichtlinie festgelegt. In dieser Richtlinie wurde festgelegt, dass die Software unabhängig davon, ob sie intern entwickelt oder ausgelagert wird, vor ihrer Implementierung auf Betriebssystemen einem Black-Box-Test unterzogen wird.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Unzureichende Tests und fehlende Proben, die dem Chatbot von Fintive während der Trainingsphase zur Verfügung gestellt werden, gelten als 1.
Siehe Szenario
정답: C
Ein Datenverarbeitungstool stürzte ab, als ein Benutzer mehr Daten in den Puffer einfügte, als seine Speicherkapazität zulässt. Der Vorfall wurde durch die Unfähigkeit des Tools verursacht, Prüfarrays zu binden. Was für eine Schwachstelle ist das?
정답: C
설명: (DumpTOP 회원만 볼 수 있음)
Szenario 3: NightCore ist ein multinationales Technologieunternehmen mit Sitz in den USA, das sich auf E-Commerce, Cloud Computing, digitales Streaming und künstliche Intelligenz konzentriert. Nachdem über acht Monate lang ein Informationssicherheitsmanagementsystem (ISMS) implementiert wurde, beauftragte man eine Zertifizierungsstelle mit der Durchführung eines externen Audits, um sich nach ISO/IEC 27001 zertifizieren zu lassen.
Die Zertifizierungsstelle hat ein Team von sieben Auditoren zusammengestellt. Jack, der erfahrenste Prüfer, wurde zum Leiter des Prüfungsteams ernannt. Im Laufe der Jahre erhielt er viele bekannte Zertifizierungen, darunter den ISO/IEC 27001 Lead Auditor, CISA, CISSP und CISM.
Jack führte in jeder Phase des ISMS-Audits gründliche Analysen durch, indem er alle von NightCore implementierten Informationssicherheitsanforderungen und -kontrollen untersuchte und bewertete. Während des Audits der Stufe 2. Jack hat mehrere Nichtkonformitäten festgestellt. Nachdem er die Anzahl der gekauften Rechnungen für Softwarelizenzen mit dem Softwarebestand verglichen hatte, fand Jack heraus, dass das Unternehmen auf vielen Computern illegale Versionen einer Software verwendet hatte. Er beschloss, das Top-Management um eine Erklärung dieser Nichtkonformität zu bitten und zu prüfen, ob sie sich dessen bewusst waren. Sein nächster Schritt war die Prüfung der IT-Abteilung von NightCore. Das Top-Management beauftragte Tom, den Systemadministrator von NightCore, als Führer zu fungieren und Jack und das Prüfungsteam bei der Einführung in das Innenleben ihres Systems und ihrer digitalen Asset-Infrastruktur zu begleiten.
Bei der Befragung eines Mitglieds des Finanzministeriums stellten die Prüfer fest, dass das Unternehmen kürzlich einige ungewöhnlich große Transaktionen mit einem seiner Berater getätigt hatte. Nachdem Sie alle notwendigen Details zu den Transaktionen gesammelt haben. Jack beschloss, das Top-Management direkt zu befragen.
Als die erste Nichtkonformität besprochen wurde, teilte das Top-Management Jack mit, dass sie sich bereitwillig dafür entschieden hätten, eine kopierte Software anstelle der Originalsoftware zu verwenden, da diese billiger sei. Jack erklärte dem Top-Management von NightCore, dass die Verwendung illegaler Softwareversionen gegen die Anforderungen von ISO/IEC 27001 und die nationalen Gesetze und Vorschriften verstößt. Sie schienen jedoch damit einverstanden zu sein.
Einige Monate nach dem Audit verkaufte Jack einige der Informationen von NightCore, die er während des Audits gesammelt hatte, für einen riesigen Geldbetrag an Konkurrenten von NightCore.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Welche Art von Auditnachweisen hat Jack gesammelt, als er die erste Nichtkonformität in Bezug auf die Software festgestellt hat? Siehe Szenario 3.
Die Zertifizierungsstelle hat ein Team von sieben Auditoren zusammengestellt. Jack, der erfahrenste Prüfer, wurde zum Leiter des Prüfungsteams ernannt. Im Laufe der Jahre erhielt er viele bekannte Zertifizierungen, darunter den ISO/IEC 27001 Lead Auditor, CISA, CISSP und CISM.
Jack führte in jeder Phase des ISMS-Audits gründliche Analysen durch, indem er alle von NightCore implementierten Informationssicherheitsanforderungen und -kontrollen untersuchte und bewertete. Während des Audits der Stufe 2. Jack hat mehrere Nichtkonformitäten festgestellt. Nachdem er die Anzahl der gekauften Rechnungen für Softwarelizenzen mit dem Softwarebestand verglichen hatte, fand Jack heraus, dass das Unternehmen auf vielen Computern illegale Versionen einer Software verwendet hatte. Er beschloss, das Top-Management um eine Erklärung dieser Nichtkonformität zu bitten und zu prüfen, ob sie sich dessen bewusst waren. Sein nächster Schritt war die Prüfung der IT-Abteilung von NightCore. Das Top-Management beauftragte Tom, den Systemadministrator von NightCore, als Führer zu fungieren und Jack und das Prüfungsteam bei der Einführung in das Innenleben ihres Systems und ihrer digitalen Asset-Infrastruktur zu begleiten.
Bei der Befragung eines Mitglieds des Finanzministeriums stellten die Prüfer fest, dass das Unternehmen kürzlich einige ungewöhnlich große Transaktionen mit einem seiner Berater getätigt hatte. Nachdem Sie alle notwendigen Details zu den Transaktionen gesammelt haben. Jack beschloss, das Top-Management direkt zu befragen.
Als die erste Nichtkonformität besprochen wurde, teilte das Top-Management Jack mit, dass sie sich bereitwillig dafür entschieden hätten, eine kopierte Software anstelle der Originalsoftware zu verwenden, da diese billiger sei. Jack erklärte dem Top-Management von NightCore, dass die Verwendung illegaler Softwareversionen gegen die Anforderungen von ISO/IEC 27001 und die nationalen Gesetze und Vorschriften verstößt. Sie schienen jedoch damit einverstanden zu sein.
Einige Monate nach dem Audit verkaufte Jack einige der Informationen von NightCore, die er während des Audits gesammelt hatte, für einen riesigen Geldbetrag an Konkurrenten von NightCore.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Welche Art von Auditnachweisen hat Jack gesammelt, als er die erste Nichtkonformität in Bezug auf die Software festgestellt hat? Siehe Szenario 3.
정답: C
설명: (DumpTOP 회원만 볼 수 있음)
Welche Option unten zum ISMS-Geltungsbereich ist richtig?
정답: B
설명: (DumpTOP 회원만 볼 수 있음)
Sie sind ein ISMS-Prüfer, der ein Überwachungsaudit eines Telekommunikationsanbieters durch Dritte durchführt. Sie befinden sich im Bereitstellungsraum für die Ausrüstung, wo Netzwerk-Switches vorprogrammiert werden, bevor sie an Kunden versandt werden. Sie stellen fest, dass es in letzter Zeit einen erheblichen Anstieg der Anzahl von Switches gab, die ihren anfänglichen Konfigurationstest nicht bestanden haben und zur Neuprogrammierung eingeschickt wurden.
Sie fragen die Cheftesterin nach dem Grund und sie sagt: „Das ist ein Ergebnis der jüngsten ISMS-Aktualisierung.“ Vor dem Upgrade hatte jeder Techniker seine eigenen Arbeitsanweisungen in Papierform. Jetzt müssen sich die acht Mitglieder meines Teams zwei Laptops teilen, um online auf die Konfigurationsanweisungen der Kunden zuzugreifen. „Diese Verzögerungen setzen die Techniker unter Druck, was dazu führt, dass noch mehr Fehler gemacht werden.“
Basierend ausschließlich auf den oben genannten Informationen, gegen welche ISO-Klausel eine Nichtkonformität geltend gemacht werden soll. Wählen Sie eine aus.
Sie fragen die Cheftesterin nach dem Grund und sie sagt: „Das ist ein Ergebnis der jüngsten ISMS-Aktualisierung.“ Vor dem Upgrade hatte jeder Techniker seine eigenen Arbeitsanweisungen in Papierform. Jetzt müssen sich die acht Mitglieder meines Teams zwei Laptops teilen, um online auf die Konfigurationsanweisungen der Kunden zuzugreifen. „Diese Verzögerungen setzen die Techniker unter Druck, was dazu führt, dass noch mehr Fehler gemacht werden.“
Basierend ausschließlich auf den oben genannten Informationen, gegen welche ISO-Klausel eine Nichtkonformität geltend gemacht werden soll. Wählen Sie eine aus.
정답: D
설명: (DumpTOP 회원만 볼 수 있음)
Szenario 6: Sinvestment ist eine Versicherungsgesellschaft, die Haus-, Gewerbe- und Lebensversicherungen anbietet. Das Unternehmen wurde in North Carolina gegründet, expandierte jedoch kürzlich auch an anderen Standorten, darunter Europa und Afrika.
Sinvestment verpflichtet sich, die für seine Branche geltenden Gesetze und Vorschriften einzuhalten und jeglichen Vorfall im Bereich der Informationssicherheit zu verhindern. Sie haben ein ISMS basierend auf ISO/IEC 27001 implementiert und die ISO/IEC 27001-Zertifizierung beantragt.
Mit der Durchführung des Audits wurden von der Zertifizierungsstelle zwei Auditoren beauftragt. Nach Unterzeichnung einer Vertraulichkeitsvereinbarung mit Sinvestment. Sie begannen mit den Prüfungsaktivitäten. Zunächst überprüften sie die vom Standard geforderte Dokumentation, einschließlich der Erklärung des ISMS-Geltungsbereichs, der Informationssicherheitsrichtlinien und der internen Auditberichte. Der Überprüfungsprozess war nicht einfach, da Sinvestment zwar angab, über ein Dokumentationsverfahren zu verfügen, jedoch nicht alle Dokumente das gleiche Format hatten.
Anschließend führte das Prüfungsteam mehrere Interviews mit dem Top-Management von Sinvestment, um deren Rolle bei der ISMS-Implementierung zu verstehen. Alle Aktivitäten des Audits der Stufe 1 wurden aus der Ferne durchgeführt, mit Ausnahme der Überprüfung der dokumentierten Informationen, die auf Wunsch von Sinvestment vor Ort stattfand.
In dieser Phase stellten die Prüfer fest, dass es keine Dokumentation zum Schulungs- und Sensibilisierungsprogramm für Informationssicherheit gab. Auf Nachfrage gaben die Vertreter von Sinvestment an, dass das Unternehmen allen Mitarbeitern Informationssicherheitsschulungen angeboten habe. Das Audit der Stufe 1 vermittelte dem Auditteam ein allgemeines Verständnis der Geschäftstätigkeit und des ISMS von Sinvestment.
Das Audit der Stufe 2 wurde drei Wochen nach dem Audit der Stufe 1 durchgeführt. Das Auditteam stellte fest, dass die Marketingabteilung (die nicht im Auditumfang enthalten war) über keine Verfahren zur Kontrolle der Zugriffsrechte der Mitarbeiter verfügte. Da die Kontrolle der Zugriffsrechte der Mitarbeiter zu den ISO/IEC 27001-Anforderungen gehört und in der Informationssicherheitsrichtlinie des Unternehmens enthalten war, wurde das Thema in den Auditbericht aufgenommen. Darüber hinaus stellte das Auditteam während der Prüfung der Stufe 2 fest, dass Sinvestment keine Protokolle der Benutzeraktivitäten aufzeichnete.
In den Verfahren des Unternehmens hieß es, dass „Protokolle, die Benutzeraktivitäten aufzeichnen, aufbewahrt und regelmäßig überprüft werden sollten“, das Unternehmen legte jedoch keine Beweise für die Umsetzung eines solchen Verfahrens vor.
Bei allen Prüfungstätigkeiten nutzten die Prüfer Beobachtungen, Befragungen, dokumentierte Informationsprüfungen, Analysen und technische Überprüfungen, um Informationen und Beweise zu sammeln. Alle Auditfeststellungen der Stufen 1 und 2 wurden analysiert und das Auditteam beschloss, eine positive Empfehlung zur Zertifizierung auszusprechen.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Auf Wunsch des Unternehmens überprüfte das Prüfungsteam die dokumentierten Informationen von Sinvestment vor Ort. Ist das akzeptabel?
Sinvestment verpflichtet sich, die für seine Branche geltenden Gesetze und Vorschriften einzuhalten und jeglichen Vorfall im Bereich der Informationssicherheit zu verhindern. Sie haben ein ISMS basierend auf ISO/IEC 27001 implementiert und die ISO/IEC 27001-Zertifizierung beantragt.
Mit der Durchführung des Audits wurden von der Zertifizierungsstelle zwei Auditoren beauftragt. Nach Unterzeichnung einer Vertraulichkeitsvereinbarung mit Sinvestment. Sie begannen mit den Prüfungsaktivitäten. Zunächst überprüften sie die vom Standard geforderte Dokumentation, einschließlich der Erklärung des ISMS-Geltungsbereichs, der Informationssicherheitsrichtlinien und der internen Auditberichte. Der Überprüfungsprozess war nicht einfach, da Sinvestment zwar angab, über ein Dokumentationsverfahren zu verfügen, jedoch nicht alle Dokumente das gleiche Format hatten.
Anschließend führte das Prüfungsteam mehrere Interviews mit dem Top-Management von Sinvestment, um deren Rolle bei der ISMS-Implementierung zu verstehen. Alle Aktivitäten des Audits der Stufe 1 wurden aus der Ferne durchgeführt, mit Ausnahme der Überprüfung der dokumentierten Informationen, die auf Wunsch von Sinvestment vor Ort stattfand.
In dieser Phase stellten die Prüfer fest, dass es keine Dokumentation zum Schulungs- und Sensibilisierungsprogramm für Informationssicherheit gab. Auf Nachfrage gaben die Vertreter von Sinvestment an, dass das Unternehmen allen Mitarbeitern Informationssicherheitsschulungen angeboten habe. Das Audit der Stufe 1 vermittelte dem Auditteam ein allgemeines Verständnis der Geschäftstätigkeit und des ISMS von Sinvestment.
Das Audit der Stufe 2 wurde drei Wochen nach dem Audit der Stufe 1 durchgeführt. Das Auditteam stellte fest, dass die Marketingabteilung (die nicht im Auditumfang enthalten war) über keine Verfahren zur Kontrolle der Zugriffsrechte der Mitarbeiter verfügte. Da die Kontrolle der Zugriffsrechte der Mitarbeiter zu den ISO/IEC 27001-Anforderungen gehört und in der Informationssicherheitsrichtlinie des Unternehmens enthalten war, wurde das Thema in den Auditbericht aufgenommen. Darüber hinaus stellte das Auditteam während der Prüfung der Stufe 2 fest, dass Sinvestment keine Protokolle der Benutzeraktivitäten aufzeichnete.
In den Verfahren des Unternehmens hieß es, dass „Protokolle, die Benutzeraktivitäten aufzeichnen, aufbewahrt und regelmäßig überprüft werden sollten“, das Unternehmen legte jedoch keine Beweise für die Umsetzung eines solchen Verfahrens vor.
Bei allen Prüfungstätigkeiten nutzten die Prüfer Beobachtungen, Befragungen, dokumentierte Informationsprüfungen, Analysen und technische Überprüfungen, um Informationen und Beweise zu sammeln. Alle Auditfeststellungen der Stufen 1 und 2 wurden analysiert und das Auditteam beschloss, eine positive Empfehlung zur Zertifizierung auszusprechen.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Auf Wunsch des Unternehmens überprüfte das Prüfungsteam die dokumentierten Informationen von Sinvestment vor Ort. Ist das akzeptabel?
정답: B
설명: (DumpTOP 회원만 볼 수 있음)
Ein Prüfer der Organisation A führt ein Audit des Lieferanten B durch. Welche beiden der folgenden Maßnahmen stellen wahrscheinlich eine Verletzung der Vertraulichkeit durch den Prüfer dar, nachdem er Feststellungen im Informationssicherheits-Managementsystem von B festgestellt hat?
정답: A,C
설명: (DumpTOP 회원만 볼 수 있음)
Sie führen ein ISMS-Erstzertifizierungsaudit in einem Pflegeheim durch, das Gesundheitsdienstleistungen anbietet. Der nächste Schritt in Ihrem Auditplan ist die Durchführung der Abschlussbesprechung. Während der Abschlussbesprechung des Auditteams erklären Sie sich als Leiter des Auditteams damit einverstanden, zwei kleinere Abweichungen und eine Verbesserungsmöglichkeit wie folgt zu melden:
Wählen Sie eine Option der Empfehlung an den Auditprogrammmanager aus, die Sie dem Auditierten in der Abschlussbesprechung empfehlen werden.
Wählen Sie eine Option der Empfehlung an den Auditprogrammmanager aus, die Sie dem Auditierten in der Abschlussbesprechung empfehlen werden.
정답: A
설명: (DumpTOP 회원만 볼 수 있음)
Sie führen ein ISO 27001 ISMS-Überwachungsaudit in einem Pflegeheim, ABC Healthcare Services, durch. ABC nutzt eine mobile Gesundheits-App, die von einem Anbieter, WeCare, entwickelt und verwaltet wird, um das Wohlbefinden der Bewohner zu überwachen. Bei der Prüfung erfahren Sie, dass 90 % der Familienangehörigen der Bewohner regelmäßig einmal pro Woche Werbung für Medizinprodukte von WeCare per E-Mail und SMS erhalten. Der Servicevertrag zwischen ABC und WeCare verbietet dem Anbieter die Nutzung personenbezogener Daten der Bewohner. ABC hat viele Beschwerden von Bewohnern und ihren Familienangehörigen erhalten.
Der Servicemanager sagt, dass die Beschwerden als Informationssicherheitsvorfall untersucht wurden und sich als berechtigt erwiesen hat. Korrekturmaßnahmen wurden gemäß dem Nichtkonformitäts- und Korrekturmaßnahmenmanagementverfahren geplant und umgesetzt.
Sie schreiben eine Nichtkonformität: „ABC hat die Informationssicherheitskontrolle A.5.34 (Datenschutz und Schutz personenbezogener Daten) in Bezug auf die personenbezogenen Daten von Bewohnern und deren Familienangehörigen nicht eingehalten. Ein Anbieter, WeCare, hat die personenbezogenen Daten von Bewohnern verwendet, um Werbung an diese zu senden.“ Familienmitglieder“ Wählen Sie drei Optionen der aufgeführten Korrekturen und Korrekturmaßnahmen aus, die ABC Ihrer Meinung nach als Reaktion auf die Nichtkonformität durchführen würde
Der Servicemanager sagt, dass die Beschwerden als Informationssicherheitsvorfall untersucht wurden und sich als berechtigt erwiesen hat. Korrekturmaßnahmen wurden gemäß dem Nichtkonformitäts- und Korrekturmaßnahmenmanagementverfahren geplant und umgesetzt.
Sie schreiben eine Nichtkonformität: „ABC hat die Informationssicherheitskontrolle A.5.34 (Datenschutz und Schutz personenbezogener Daten) in Bezug auf die personenbezogenen Daten von Bewohnern und deren Familienangehörigen nicht eingehalten. Ein Anbieter, WeCare, hat die personenbezogenen Daten von Bewohnern verwendet, um Werbung an diese zu senden.“ Familienmitglieder“ Wählen Sie drei Optionen der aufgeführten Korrekturen und Korrekturmaßnahmen aus, die ABC Ihrer Meinung nach als Reaktion auf die Nichtkonformität durchführen würde
정답: C,E,G
설명: (DumpTOP 회원만 볼 수 있음)
Nach der Durchführung eines externen Audits entschied der Prüfer, dass der interne Prüfer die Umsetzung der Korrekturmaßnahmen bis zum nächsten Überwachungsaudit weiterverfolgen würde. Ist das akzeptabel?
정답: C
설명: (DumpTOP 회원만 볼 수 있음)
Szenario 7: Lawsy ist eine führende Anwaltskanzlei mit Niederlassungen in New Jersey und New York City. Über 50 Anwälte bieten ihren Mandanten anspruchsvolle Rechtsdienstleistungen in den Bereichen Wirtschafts- und Handelsrecht, geistiges Eigentum, Bank- und Finanzdienstleistungen an. Sie glauben, dass sie dank ihres Engagements, Best Practices für die Informationssicherheit umzusetzen und über die technologischen Entwicklungen auf dem Laufenden zu bleiben, eine komfortable Marktposition einnehmen.
Lawsy implementiert, bewertet und führt seit zwei Jahren konsequent interne Audits für ein ISMS durch.
Jetzt haben sie die ISO/IEC 27001-Zertifizierung bei ISMA, einer bekannten und vertrauenswürdigen Zertifizierungsstelle, beantragt.
Während des Audits der Stufe 1 überprüfte das Auditteam alle während der Implementierung erstellten ISMS-Dokumente.
Sie überprüften und bewerteten auch die Aufzeichnungen aus Managementbewertungen und internen Audits.
Lawsy legte Nachweise darüber vor, dass bei Bedarf Korrekturmaßnahmen bei Nichtkonformitäten durchgeführt wurden, sodass das Auditteam den internen Prüfer befragte. Das Interview bestätigte die Angemessenheit und Häufigkeit der internen Audits, indem es detaillierte Einblicke in den internen Auditplan und die internen Auditverfahren gab.
Das Auditteam setzte die Überprüfung strategischer Dokumente fort, einschließlich der Informationssicherheitsrichtlinie und der Risikobewertungskriterien. Während der Überprüfung der Informationssicherheitsrichtlinien stellte das Team Inkonsistenzen zwischen den dokumentierten Informationen zur Beschreibung des Governance-Rahmens (dh der Informationssicherheitsrichtlinie) und den Verfahren fest.
Obwohl es den Mitarbeitern erlaubt war, die Laptops außerhalb des Arbeitsplatzes mitzunehmen, verfügte Lawsy nicht über Verfahren für die Verwendung von Laptops in solchen Fällen. Die Richtlinie enthielt lediglich allgemeine Informationen zur Nutzung von Laptops. Das Unternehmen verließ sich auf das Allgemeinwissen der Mitarbeiter, um die Vertraulichkeit und Integrität der auf den Laptops gespeicherten Informationen zu schützen. Dieses Problem wurde im Auditbericht der Stufe 1 dokumentiert.
Nach Abschluss der Prüfung der Stufe 1 erstellte der Leiter des Prüfungsteams den Prüfungsplan, der die Prüfungsziele, den Umfang, die Kriterien und die Verfahren berücksichtigte.
Während der Prüfung der Stufe 2 befragte das Prüfungsteam den Informationssicherheitsmanager, der die Informationssicherheitsrichtlinie entworfen hatte. Er begründete das in Stufe 1 festgestellte Problem damit, dass Lawsy alle drei Monate obligatorische Informationssicherheitsschulungen und Sensibilisierungssitzungen durchführt.
Im Anschluss an das Interview untersuchte das Auditteam 15 Mitarbeiterschulungsaufzeichnungen (von 50) und kam zu dem Schluss, dass Lawsy die Anforderungen von ISO/IEC 27001 in Bezug auf Schulung und Sensibilisierung erfüllt. Um diese Schlussfolgerung zu untermauern, fotokopierten sie die untersuchten Schulungsunterlagen der Mitarbeiter.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Das Auditteam fotokopierte die untersuchten Schulungsunterlagen der Mitarbeiter, um seine Schlussfolgerung zu untermauern. Sollte das Prüfteam eine Genehmigung von Lawsy einholen, bevor es diese Maßnahme ergreift? Siehe Szenario 7.
Lawsy implementiert, bewertet und führt seit zwei Jahren konsequent interne Audits für ein ISMS durch.
Jetzt haben sie die ISO/IEC 27001-Zertifizierung bei ISMA, einer bekannten und vertrauenswürdigen Zertifizierungsstelle, beantragt.
Während des Audits der Stufe 1 überprüfte das Auditteam alle während der Implementierung erstellten ISMS-Dokumente.
Sie überprüften und bewerteten auch die Aufzeichnungen aus Managementbewertungen und internen Audits.
Lawsy legte Nachweise darüber vor, dass bei Bedarf Korrekturmaßnahmen bei Nichtkonformitäten durchgeführt wurden, sodass das Auditteam den internen Prüfer befragte. Das Interview bestätigte die Angemessenheit und Häufigkeit der internen Audits, indem es detaillierte Einblicke in den internen Auditplan und die internen Auditverfahren gab.
Das Auditteam setzte die Überprüfung strategischer Dokumente fort, einschließlich der Informationssicherheitsrichtlinie und der Risikobewertungskriterien. Während der Überprüfung der Informationssicherheitsrichtlinien stellte das Team Inkonsistenzen zwischen den dokumentierten Informationen zur Beschreibung des Governance-Rahmens (dh der Informationssicherheitsrichtlinie) und den Verfahren fest.
Obwohl es den Mitarbeitern erlaubt war, die Laptops außerhalb des Arbeitsplatzes mitzunehmen, verfügte Lawsy nicht über Verfahren für die Verwendung von Laptops in solchen Fällen. Die Richtlinie enthielt lediglich allgemeine Informationen zur Nutzung von Laptops. Das Unternehmen verließ sich auf das Allgemeinwissen der Mitarbeiter, um die Vertraulichkeit und Integrität der auf den Laptops gespeicherten Informationen zu schützen. Dieses Problem wurde im Auditbericht der Stufe 1 dokumentiert.
Nach Abschluss der Prüfung der Stufe 1 erstellte der Leiter des Prüfungsteams den Prüfungsplan, der die Prüfungsziele, den Umfang, die Kriterien und die Verfahren berücksichtigte.
Während der Prüfung der Stufe 2 befragte das Prüfungsteam den Informationssicherheitsmanager, der die Informationssicherheitsrichtlinie entworfen hatte. Er begründete das in Stufe 1 festgestellte Problem damit, dass Lawsy alle drei Monate obligatorische Informationssicherheitsschulungen und Sensibilisierungssitzungen durchführt.
Im Anschluss an das Interview untersuchte das Auditteam 15 Mitarbeiterschulungsaufzeichnungen (von 50) und kam zu dem Schluss, dass Lawsy die Anforderungen von ISO/IEC 27001 in Bezug auf Schulung und Sensibilisierung erfüllt. Um diese Schlussfolgerung zu untermauern, fotokopierten sie die untersuchten Schulungsunterlagen der Mitarbeiter.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Das Auditteam fotokopierte die untersuchten Schulungsunterlagen der Mitarbeiter, um seine Schlussfolgerung zu untermauern. Sollte das Prüfteam eine Genehmigung von Lawsy einholen, bevor es diese Maßnahme ergreift? Siehe Szenario 7.
정답: C
설명: (DumpTOP 회원만 볼 수 있음)
Plan testweise implementieren – unter welchen Abschnitt der PDCA fällt dies?
정답: A
설명: (DumpTOP 회원만 볼 수 있음)
Was versteht man unter dem Begriff „Korrekturmaßnahme“? Wähle eins
정답: B
설명: (DumpTOP 회원만 볼 수 있음)