최신 ISO-IEC-27001-Lead-Auditor Deutsch 무료덤프 - PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor Deutsch Version)
Der Zweck eines Managementsystem-Audits besteht darin,
정답: A
설명: (DumpTOP 회원만 볼 수 있음)
Sie führen ein ISMS-Audit in einem Pflegeheim durch, das Gesundheitsdienstleistungen anbietet. Der nächste Schritt in Ihrem Auditplan besteht darin, den Prozess zur Verwaltung von Informationssicherheitsvorfällen zu überprüfen. Der IT-Sicherheitsmanager stellt das Verfahren zum Management von Informationssicherheitsvorfällen vor und erklärt, dass der Prozess auf ISO/IEC 27035-1:2016 basiert.
Sie überprüfen das Dokument und bemerken die Aussage: „Jede Informationssicherheitsschwachstelle, jedes Ereignis und jeder Vorfall sollte innerhalb einer Stunde nach der Identifizierung dem Point of Contact (PoC) gemeldet werden.“ Bei der Befragung der Mitarbeiter haben Sie festgestellt, dass es Unterschiede im Verständnis der Bedeutung von „Schwäche, Ereignis und Vorfall“ gibt.
Sie nehmen Stichproben von Vorfallberichtsdatensätzen aus dem Ereignisverfolgungssystem für die letzten 6 Monate mit zusammengefassten Ergebnissen in der folgenden Tabelle.
Sie möchten andere Bereiche weiter untersuchen, um mehr Prüfungsnachweise zu sammeln. Wählen Sie zwei Optionen aus, die nicht in Ihrem Audit-Trail enthalten sein werden.
Sie überprüfen das Dokument und bemerken die Aussage: „Jede Informationssicherheitsschwachstelle, jedes Ereignis und jeder Vorfall sollte innerhalb einer Stunde nach der Identifizierung dem Point of Contact (PoC) gemeldet werden.“ Bei der Befragung der Mitarbeiter haben Sie festgestellt, dass es Unterschiede im Verständnis der Bedeutung von „Schwäche, Ereignis und Vorfall“ gibt.
Sie nehmen Stichproben von Vorfallberichtsdatensätzen aus dem Ereignisverfolgungssystem für die letzten 6 Monate mit zusammengefassten Ergebnissen in der folgenden Tabelle.
Sie möchten andere Bereiche weiter untersuchen, um mehr Prüfungsnachweise zu sammeln. Wählen Sie zwei Optionen aus, die nicht in Ihrem Audit-Trail enthalten sein werden.
정답: C,G
설명: (DumpTOP 회원만 볼 수 있음)
Welche der folgenden Beschreibungen beschreibt Managementkontrollen am besten?
정답: B
설명: (DumpTOP 회원만 볼 수 있음)
Überprüfen Sie die folgenden Aussagen und stellen Sie fest, welche zwei falsch sind:
정답: A,D
설명: (DumpTOP 회원만 볼 수 있음)
Welche zwei der folgenden sind Beispiele für Prüfmethoden, die keine menschliche Interaktion beinhalten?
정답: B,F
설명: (DumpTOP 회원만 볼 수 있음)
Szenario 7: Lawsy ist eine führende Anwaltskanzlei mit Niederlassungen in New Jersey und New York City. Über 50 Anwälte bieten ihren Mandanten anspruchsvolle Rechtsdienstleistungen in den Bereichen Wirtschafts- und Handelsrecht, geistiges Eigentum, Bank- und Finanzdienstleistungen an. Sie glauben, dass sie dank ihres Engagements, Best Practices für die Informationssicherheit umzusetzen und über die technologischen Entwicklungen auf dem Laufenden zu bleiben, eine komfortable Marktposition einnehmen.
Lawsy implementiert, bewertet und führt seit zwei Jahren konsequent interne Audits für ein ISMS durch.
Jetzt haben sie die ISO/IEC 27001-Zertifizierung bei ISMA, einer bekannten und vertrauenswürdigen Zertifizierungsstelle, beantragt.
Während des Audits der Stufe 1 überprüfte das Auditteam alle während der Implementierung erstellten ISMS-Dokumente.
Sie überprüften und bewerteten auch die Aufzeichnungen aus Managementbewertungen und internen Audits.
Lawsy legte Nachweise darüber vor, dass bei Bedarf Korrekturmaßnahmen bei Nichtkonformitäten durchgeführt wurden, sodass das Auditteam den internen Prüfer befragte. Das Interview bestätigte die Angemessenheit und Häufigkeit der internen Audits, indem es detaillierte Einblicke in den internen Auditplan und die internen Auditverfahren gab.
Das Auditteam setzte die Überprüfung strategischer Dokumente fort, einschließlich der Informationssicherheitsrichtlinie und der Risikobewertungskriterien. Während der Überprüfung der Informationssicherheitsrichtlinien stellte das Team Inkonsistenzen zwischen den dokumentierten Informationen zur Beschreibung des Governance-Rahmens (dh der Informationssicherheitsrichtlinie) und den Verfahren fest.
Obwohl es den Mitarbeitern erlaubt war, die Laptops außerhalb des Arbeitsplatzes mitzunehmen, verfügte Lawsy nicht über Verfahren für die Verwendung von Laptops in solchen Fällen. Die Richtlinie enthielt lediglich allgemeine Informationen zur Nutzung von Laptops. Das Unternehmen verließ sich auf das Allgemeinwissen der Mitarbeiter, um die Vertraulichkeit und Integrität der auf den Laptops gespeicherten Informationen zu schützen. Dieses Problem wurde im Auditbericht der Stufe 1 dokumentiert.
Nach Abschluss der Prüfung der Stufe 1 erstellte der Leiter des Prüfungsteams den Prüfungsplan, der die Prüfungsziele, den Umfang, die Kriterien und die Verfahren berücksichtigte.
Während der Prüfung der Stufe 2 befragte das Prüfungsteam den Informationssicherheitsmanager, der die Informationssicherheitsrichtlinie entworfen hatte. Er begründete das in Stufe 1 festgestellte Problem damit, dass Lawsy alle drei Monate obligatorische Informationssicherheitsschulungen und Sensibilisierungssitzungen durchführt.
Im Anschluss an das Interview untersuchte das Auditteam 15 Mitarbeiterschulungsaufzeichnungen (von 50) und kam zu dem Schluss, dass Lawsy die Anforderungen von ISO/IEC 27001 in Bezug auf Schulung und Sensibilisierung erfüllt. Um diese Schlussfolgerung zu untermauern, fotokopierten sie die untersuchten Schulungsunterlagen der Mitarbeiter.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Was sollte Lawsy basierend auf Szenario 7 vor Beginn der Prüfung der Stufe 2 tun?
Lawsy implementiert, bewertet und führt seit zwei Jahren konsequent interne Audits für ein ISMS durch.
Jetzt haben sie die ISO/IEC 27001-Zertifizierung bei ISMA, einer bekannten und vertrauenswürdigen Zertifizierungsstelle, beantragt.
Während des Audits der Stufe 1 überprüfte das Auditteam alle während der Implementierung erstellten ISMS-Dokumente.
Sie überprüften und bewerteten auch die Aufzeichnungen aus Managementbewertungen und internen Audits.
Lawsy legte Nachweise darüber vor, dass bei Bedarf Korrekturmaßnahmen bei Nichtkonformitäten durchgeführt wurden, sodass das Auditteam den internen Prüfer befragte. Das Interview bestätigte die Angemessenheit und Häufigkeit der internen Audits, indem es detaillierte Einblicke in den internen Auditplan und die internen Auditverfahren gab.
Das Auditteam setzte die Überprüfung strategischer Dokumente fort, einschließlich der Informationssicherheitsrichtlinie und der Risikobewertungskriterien. Während der Überprüfung der Informationssicherheitsrichtlinien stellte das Team Inkonsistenzen zwischen den dokumentierten Informationen zur Beschreibung des Governance-Rahmens (dh der Informationssicherheitsrichtlinie) und den Verfahren fest.
Obwohl es den Mitarbeitern erlaubt war, die Laptops außerhalb des Arbeitsplatzes mitzunehmen, verfügte Lawsy nicht über Verfahren für die Verwendung von Laptops in solchen Fällen. Die Richtlinie enthielt lediglich allgemeine Informationen zur Nutzung von Laptops. Das Unternehmen verließ sich auf das Allgemeinwissen der Mitarbeiter, um die Vertraulichkeit und Integrität der auf den Laptops gespeicherten Informationen zu schützen. Dieses Problem wurde im Auditbericht der Stufe 1 dokumentiert.
Nach Abschluss der Prüfung der Stufe 1 erstellte der Leiter des Prüfungsteams den Prüfungsplan, der die Prüfungsziele, den Umfang, die Kriterien und die Verfahren berücksichtigte.
Während der Prüfung der Stufe 2 befragte das Prüfungsteam den Informationssicherheitsmanager, der die Informationssicherheitsrichtlinie entworfen hatte. Er begründete das in Stufe 1 festgestellte Problem damit, dass Lawsy alle drei Monate obligatorische Informationssicherheitsschulungen und Sensibilisierungssitzungen durchführt.
Im Anschluss an das Interview untersuchte das Auditteam 15 Mitarbeiterschulungsaufzeichnungen (von 50) und kam zu dem Schluss, dass Lawsy die Anforderungen von ISO/IEC 27001 in Bezug auf Schulung und Sensibilisierung erfüllt. Um diese Schlussfolgerung zu untermauern, fotokopierten sie die untersuchten Schulungsunterlagen der Mitarbeiter.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Was sollte Lawsy basierend auf Szenario 7 vor Beginn der Prüfung der Stufe 2 tun?
정답: A
설명: (DumpTOP 회원만 볼 수 있음)
Wählen Sie die Wörter aus, die den Satz am besten vervollständigen:
정답:
Szenario 1: Fintive ist ein angesehener Sicherheitsanbieter für Online-Zahlungen und Schutzlösungen. Fintive wurde 1999 von Thomas Fin in San Jose, Kalifornien, gegründet und bietet Dienstleistungen für Unternehmen an, die online tätig sind und ihre Informationssicherheit verbessern, Betrug verhindern und Benutzerinformationen wie personenbezogene Daten schützen möchten. Fintive konzentriert seine Entscheidungs- und Betriebsprozesse auf der Grundlage früherer Fälle. Sie sammeln Kundendaten, klassifizieren sie je nach Fall und analysieren sie. Um solch komplexe Analysen durchführen zu können, benötigte das Unternehmen eine große Anzahl an Mitarbeitern. Nach einigen Jahren hat sich jedoch auch die Technologie weiterentwickelt, die bei der Durchführung solcher Analysen hilft. Nun plant Fintive den Einsatz eines modernen Tools, eines Chatbots, um Musteranalysen zur Betrugsprävention in Echtzeit durchzuführen. Dieses Tool würde auch dazu beitragen, den Kundenservice zu verbessern.
Diese ursprüngliche Idee wurde dem Softwareentwicklungsteam mitgeteilt, das sie unterstützte und mit der Arbeit an diesem Projekt beauftragt wurde. Sie begannen mit der Integration des Chatbots in ihr bestehendes System. Darüber hinaus setzte sich das Team für den Chatbot das Ziel, 85 % aller Chat-Anfragen zu beantworten.
Nach der erfolgreichen Integration des Chatbots gab das Unternehmen diesen umgehend seinen Kunden zur Nutzung frei.
Der Chatbot schien jedoch einige Probleme zu haben.
Aufgrund unzureichender Tests und fehlender Beispiele, die dem Chatbot während der Trainingsphase, in der er das Abfragemuster „lernen“ sollte, zur Verfügung gestellt wurden, konnte der Chatbot Benutzeranfragen nicht beantworten und die richtigen Antworten liefern. Darüber hinaus schickte der Chatbot zufällige Dateien an Benutzer, wenn er ungültige Eingaben wie seltsame Punktmuster und Sonderzeichen erhielt. Daher war der Chatbot nicht in der Lage, Kundenanfragen richtig zu beantworten und der herkömmliche Kundensupport war mit Chatanfragen überlastet und konnte den Kunden daher nicht bei ihren Anliegen helfen.
Daher hat Fintive eine Softwareentwicklungsrichtlinie festgelegt. In dieser Richtlinie wurde festgelegt, dass die Software unabhängig davon, ob sie intern entwickelt oder ausgelagert wird, vor ihrer Implementierung auf Betriebssystemen einem Black-Box-Test unterzogen wird.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Unzureichende Tests und fehlende Proben, die dem Chatbot von Fintive während der Trainingsphase zur Verfügung gestellt werden, gelten als 1.
Siehe Szenario
Diese ursprüngliche Idee wurde dem Softwareentwicklungsteam mitgeteilt, das sie unterstützte und mit der Arbeit an diesem Projekt beauftragt wurde. Sie begannen mit der Integration des Chatbots in ihr bestehendes System. Darüber hinaus setzte sich das Team für den Chatbot das Ziel, 85 % aller Chat-Anfragen zu beantworten.
Nach der erfolgreichen Integration des Chatbots gab das Unternehmen diesen umgehend seinen Kunden zur Nutzung frei.
Der Chatbot schien jedoch einige Probleme zu haben.
Aufgrund unzureichender Tests und fehlender Beispiele, die dem Chatbot während der Trainingsphase, in der er das Abfragemuster „lernen“ sollte, zur Verfügung gestellt wurden, konnte der Chatbot Benutzeranfragen nicht beantworten und die richtigen Antworten liefern. Darüber hinaus schickte der Chatbot zufällige Dateien an Benutzer, wenn er ungültige Eingaben wie seltsame Punktmuster und Sonderzeichen erhielt. Daher war der Chatbot nicht in der Lage, Kundenanfragen richtig zu beantworten und der herkömmliche Kundensupport war mit Chatanfragen überlastet und konnte den Kunden daher nicht bei ihren Anliegen helfen.
Daher hat Fintive eine Softwareentwicklungsrichtlinie festgelegt. In dieser Richtlinie wurde festgelegt, dass die Software unabhängig davon, ob sie intern entwickelt oder ausgelagert wird, vor ihrer Implementierung auf Betriebssystemen einem Black-Box-Test unterzogen wird.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Unzureichende Tests und fehlende Proben, die dem Chatbot von Fintive während der Trainingsphase zur Verfügung gestellt werden, gelten als 1.
Siehe Szenario
정답: C
PayBell, ein Finanzunternehmen, nutzt eine Buchhaltungssoftware zur Verfolgung von Finanztransaktionen. Auf die Software kann von überall mit einer Internetverbindung zugegriffen werden. Es ermöglicht den Mitarbeitern von PayBell außerdem eine einfache Zusammenarbeit, um eine genaue Finanzberichterstattung sicherzustellen. Welche Art von Diensten nutzt PayBell?
정답: C
Sie haben eine gedruckte Kopie eines Kundenentwurfsdokuments, die Sie entsorgen möchten. Was würden Sie tun
정답: D
설명: (DumpTOP 회원만 볼 수 있음)
Sie führen ein ISMS-Audit in einem Pflegeheim namens ABC durch, das Gesundheitsdienstleistungen anbietet.
Der nächste Schritt in Ihrem Auditplan besteht darin, die Wirksamkeit des kontinuierlichen Verbesserungsprozesses zu überprüfen. Während der Prüfung haben Sie erfahren, dass die meisten Familienangehörigen der Bewohner (90 %) einmal pro Woche über die mobile Gesundheits-App von ABC per E-Mail und SMS Werbeanzeigen für medizinische Geräte von WeCare erhalten. Sie alle stimmen der Verwendung der gesammelten personenbezogenen Daten (oder Marketing- oder anderen Zwecken als der Krankenpflege und medizinischen Versorgung) im Rahmen des mit ABC unterzeichneten Dienstleistungsvertrags nicht zu. Sie haben sehr starke Gründe zu der Annahme, dass ABC die Daten von Bewohnern und Familienangehörigen preisgibt ' persönliche Daten an einen nicht relevanten Dritten weitergegeben und Beschwerden eingereicht haben.
Der Servicemanager sagt, dass alle diese Beschwerden als Nichtkonformitäten behandelt wurden und die Korrekturmaßnahmen gemäß dem Nichtkonformitäts- und Korrekturmanagementverfahren geplant und umgesetzt wurden. Die Korrekturmaßnahme bestand darin, die Zusammenarbeit mit WeCare, dem Hersteller medizinischer Geräte, sofort einzustellen und ihn aufzufordern, alle erhaltenen personenbezogenen Daten zu löschen sowie eine Entschuldigungs-E-Mail an alle Bewohner und ihre Familienangehörigen zu senden.
Sie bereiten die Prüfungsergebnisse vor. Wählen Sie eine Option mit dem richtigen Befund aus.
Der nächste Schritt in Ihrem Auditplan besteht darin, die Wirksamkeit des kontinuierlichen Verbesserungsprozesses zu überprüfen. Während der Prüfung haben Sie erfahren, dass die meisten Familienangehörigen der Bewohner (90 %) einmal pro Woche über die mobile Gesundheits-App von ABC per E-Mail und SMS Werbeanzeigen für medizinische Geräte von WeCare erhalten. Sie alle stimmen der Verwendung der gesammelten personenbezogenen Daten (oder Marketing- oder anderen Zwecken als der Krankenpflege und medizinischen Versorgung) im Rahmen des mit ABC unterzeichneten Dienstleistungsvertrags nicht zu. Sie haben sehr starke Gründe zu der Annahme, dass ABC die Daten von Bewohnern und Familienangehörigen preisgibt ' persönliche Daten an einen nicht relevanten Dritten weitergegeben und Beschwerden eingereicht haben.
Der Servicemanager sagt, dass alle diese Beschwerden als Nichtkonformitäten behandelt wurden und die Korrekturmaßnahmen gemäß dem Nichtkonformitäts- und Korrekturmanagementverfahren geplant und umgesetzt wurden. Die Korrekturmaßnahme bestand darin, die Zusammenarbeit mit WeCare, dem Hersteller medizinischer Geräte, sofort einzustellen und ihn aufzufordern, alle erhaltenen personenbezogenen Daten zu löschen sowie eine Entschuldigungs-E-Mail an alle Bewohner und ihre Familienangehörigen zu senden.
Sie bereiten die Prüfungsergebnisse vor. Wählen Sie eine Option mit dem richtigen Befund aus.
정답: A
설명: (DumpTOP 회원만 볼 수 있음)
Sie führen ein ISO 27001 ISMS-Überwachungsaudit in einem Pflegeheim, ABC Healthcare Services, durch. ABC nutzt eine mobile Gesundheits-App, die von einem Anbieter, WeCare, entwickelt und verwaltet wird, um das Wohlbefinden der Bewohner zu überwachen. Bei der Prüfung erfahren Sie, dass 90 % der Familienangehörigen der Bewohner regelmäßig einmal wöchentlich Werbung für Medizinprodukte von WeCare per E-Mail und SMS erhalten. Der Servicevertrag zwischen ABC und WeCare verbietet dem Anbieter die Nutzung personenbezogener Daten der Bewohner. ABC hat viele Beschwerden von Bewohnern und ihren Familienangehörigen erhalten.
Der Servicemanager sagt, dass die Beschwerden als Informationssicherheitsvorfall untersucht wurden und sich als berechtigt erwiesen hat.
Korrekturmaßnahmen wurden gemäß dem Nichtkonformitäts- und Korrekturmaßnahmenmanagementverfahren geplant und umgesetzt.
Sie schreiben eine Nichtkonformität: „ABC hat die Informationssicherheitskontrolle A.5.34 (Datenschutz und Schutz personenbezogener Daten) in Bezug auf die personenbezogenen Daten von Bewohnern und deren Familienangehörigen nicht eingehalten. Ein Anbieter, WeCare, hat die personenbezogenen Daten von Bewohnern verwendet, um Werbung an diese zu senden.“ Familienmitglieder." Wählen Sie aus den aufgeführten Korrekturen und Korrekturmaßnahmen drei Optionen aus, die ABC Ihrer Meinung nach als Reaktion auf die Nichtkonformität durchführen würde.
Der Servicemanager sagt, dass die Beschwerden als Informationssicherheitsvorfall untersucht wurden und sich als berechtigt erwiesen hat.
Korrekturmaßnahmen wurden gemäß dem Nichtkonformitäts- und Korrekturmaßnahmenmanagementverfahren geplant und umgesetzt.
Sie schreiben eine Nichtkonformität: „ABC hat die Informationssicherheitskontrolle A.5.34 (Datenschutz und Schutz personenbezogener Daten) in Bezug auf die personenbezogenen Daten von Bewohnern und deren Familienangehörigen nicht eingehalten. Ein Anbieter, WeCare, hat die personenbezogenen Daten von Bewohnern verwendet, um Werbung an diese zu senden.“ Familienmitglieder." Wählen Sie aus den aufgeführten Korrekturen und Korrekturmaßnahmen drei Optionen aus, die ABC Ihrer Meinung nach als Reaktion auf die Nichtkonformität durchführen würde.
정답: B,E,F
설명: (DumpTOP 회원만 볼 수 있음)
Welche zwei der folgenden Aussagen sind wahr?
정답: A,C
설명: (DumpTOP 회원만 볼 수 있음)
Welche der folgenden Optionen beschreibt den Zweck eines Audits der Stufe 2 am besten?
정답: D
설명: (DumpTOP 회원만 볼 수 있음)
Welche der folgenden Schlussfolgerungen im Auditbericht wird von der Zertifizierungsstelle bei der Entscheidung über die Erteilung der Zertifizierung nicht gefordert?
정답: C
설명: (DumpTOP 회원만 볼 수 있음)