최신PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor Deutsch Version) - ISO-IEC-27001-Lead-Auditor Deutsch무료샘플문제
문제1
Im Folgenden finden Sie Definitionen von Informationen, mit Ausnahme von:
Im Folgenden finden Sie Definitionen von Informationen, mit Ausnahme von:
정답: A
설명: (ExamPassdump 회원만 볼 수 있음)
문제2
Wie hängen interne Audits und externe Audits zusammen?
Wie hängen interne Audits und externe Audits zusammen?
정답: A
설명: (ExamPassdump 회원만 볼 수 있음)
문제3
Szenario 9: UpNet, ein Netzwerkunternehmen, wurde nach ISO/IEC 27001 zertifiziert. Es bietet Netzwerksicherheit, Virtualisierung, Cloud Computing, Netzwerkhardware, Netzwerkverwaltungssoftware und Netzwerktechnologien.
Der Bekanntheitsgrad des Unternehmens ist seit der ISO/IEC 27001-Zertifizierung drastisch gestiegen. Die Zertifizierung bestätigte die Reife des UpNefs-Betriebs und die Einhaltung eines weithin anerkannten und akzeptierten Standards.
Doch nicht alles endete nach der Zertifizierung. UpNet überprüfte und verbesserte kontinuierlich seine Sicherheitskontrollen sowie die allgemeine Wirksamkeit und Effizienz des ISMS durch die Durchführung interner Audits. Das Top-Management war nicht bereit, ein Vollzeitteam interner Prüfer zu beschäftigen, und beschloss daher, die interne Prüffunktion auszulagern. Diese Form der internen Audits gewährleistete Unabhängigkeit, Objektivität und eine beratende Funktion hinsichtlich der kontinuierlichen Verbesserung des ISMS.
Nicht lange nach dem ersten Zertifizierungsaudit gründete das Unternehmen eine neue Abteilung, die auf Daten- und Speicherprodukte spezialisiert war. Sie boten Router und Switches an, die für Rechenzentren und softwarebasierte Netzwerkgeräte wie Netzwerkvirtualisierungs- und Netzwerksicherheits-Appliances optimiert waren. Dies führte zu Änderungen in den Abläufen der anderen Abteilungen, die bereits vom ISMS-Zertifizierungsumfang abgedeckt sind.
Daher. UpNet hat einen Risikobewertungsprozess und ein internes Audit eingeleitet. Nach dem Ergebnis der internen Revision bestätigte das Unternehmen die Wirksamkeit und Effizienz der bestehenden und neuen Prozesse und Kontrollen.
Das Top-Management hat beschlossen, die neue Abteilung in den Zertifizierungsbereich aufzunehmen, da sie den Anforderungen der ISO/IEC 27001 entspricht. UpNet gab bekannt, dass es nach ISO/IEC 27001 zertifiziert ist und der Zertifizierungsumfang das gesamte Unternehmen umfasst.
Ein Jahr nach dem ersten Zertifizierungsaudit führte die Zertifizierungsstelle ein weiteres Audit des UpNefs ISMS durch.
Ziel dieser Prüfung war es, die Erfüllung der festgelegten ISO/IEC 27001-Anforderungen durch das UpNefs ISMS festzustellen und sicherzustellen, dass das ISMS kontinuierlich verbessert wird. Das Auditteam bestätigte, dass das zertifizierte ISMS weiterhin die Anforderungen des Standards erfüllt. Dennoch hatte die neue Abteilung erhebliche Auswirkungen auf die Steuerung des Managementsystems. Darüber hinaus wurden der Zertifizierungsstelle keine Änderungen mitgeteilt. Daher wurde die UpNefs-Zertifizierung ausgesetzt.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
UpNet stellte die Unabhängigkeit, Objektivität und Beratungstätigkeit der internen Revision sicher. Ist diese Aktion akzeptabel?
Szenario 9: UpNet, ein Netzwerkunternehmen, wurde nach ISO/IEC 27001 zertifiziert. Es bietet Netzwerksicherheit, Virtualisierung, Cloud Computing, Netzwerkhardware, Netzwerkverwaltungssoftware und Netzwerktechnologien.
Der Bekanntheitsgrad des Unternehmens ist seit der ISO/IEC 27001-Zertifizierung drastisch gestiegen. Die Zertifizierung bestätigte die Reife des UpNefs-Betriebs und die Einhaltung eines weithin anerkannten und akzeptierten Standards.
Doch nicht alles endete nach der Zertifizierung. UpNet überprüfte und verbesserte kontinuierlich seine Sicherheitskontrollen sowie die allgemeine Wirksamkeit und Effizienz des ISMS durch die Durchführung interner Audits. Das Top-Management war nicht bereit, ein Vollzeitteam interner Prüfer zu beschäftigen, und beschloss daher, die interne Prüffunktion auszulagern. Diese Form der internen Audits gewährleistete Unabhängigkeit, Objektivität und eine beratende Funktion hinsichtlich der kontinuierlichen Verbesserung des ISMS.
Nicht lange nach dem ersten Zertifizierungsaudit gründete das Unternehmen eine neue Abteilung, die auf Daten- und Speicherprodukte spezialisiert war. Sie boten Router und Switches an, die für Rechenzentren und softwarebasierte Netzwerkgeräte wie Netzwerkvirtualisierungs- und Netzwerksicherheits-Appliances optimiert waren. Dies führte zu Änderungen in den Abläufen der anderen Abteilungen, die bereits vom ISMS-Zertifizierungsumfang abgedeckt sind.
Daher. UpNet hat einen Risikobewertungsprozess und ein internes Audit eingeleitet. Nach dem Ergebnis der internen Revision bestätigte das Unternehmen die Wirksamkeit und Effizienz der bestehenden und neuen Prozesse und Kontrollen.
Das Top-Management hat beschlossen, die neue Abteilung in den Zertifizierungsbereich aufzunehmen, da sie den Anforderungen der ISO/IEC 27001 entspricht. UpNet gab bekannt, dass es nach ISO/IEC 27001 zertifiziert ist und der Zertifizierungsumfang das gesamte Unternehmen umfasst.
Ein Jahr nach dem ersten Zertifizierungsaudit führte die Zertifizierungsstelle ein weiteres Audit des UpNefs ISMS durch.
Ziel dieser Prüfung war es, die Erfüllung der festgelegten ISO/IEC 27001-Anforderungen durch das UpNefs ISMS festzustellen und sicherzustellen, dass das ISMS kontinuierlich verbessert wird. Das Auditteam bestätigte, dass das zertifizierte ISMS weiterhin die Anforderungen des Standards erfüllt. Dennoch hatte die neue Abteilung erhebliche Auswirkungen auf die Steuerung des Managementsystems. Darüber hinaus wurden der Zertifizierungsstelle keine Änderungen mitgeteilt. Daher wurde die UpNefs-Zertifizierung ausgesetzt.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
UpNet stellte die Unabhängigkeit, Objektivität und Beratungstätigkeit der internen Revision sicher. Ist diese Aktion akzeptabel?
정답: C
설명: (ExamPassdump 회원만 볼 수 있음)
문제4
Szenario 5: Data Grid Inc. ist ein bekanntes Unternehmen, das Sicherheitsdienste für die gesamte Informationstechnologie-Infrastruktur bereitstellt. Es bietet Cybersicherheitssoftware, einschließlich Endpunktsicherheit, Firewalls und Antivirensoftware. Seit zwei Jahrzehnten unterstützt Data Grid Inc. verschiedene Unternehmen bei der Sicherung ihrer Netzwerke durch fortschrittliche Produkte und Dienstleistungen. Nachdem sich Data Grid Inc. im Bereich der Informations- und Netzwerksicherheit einen guten Ruf erworben hat, hat sich das Unternehmen für die ISO/IEC 27001-Zertifizierung entschieden, um seine internen Vermögenswerte und Kundenressourcen besser zu schützen und sich einen Wettbewerbsvorteil zu verschaffen.
Data Grid Inc. ernannte das Prüfungsteam, das sich auf die Bedingungen des Prüfungsmandats einigte. Darüber hinaus definierte Data Grid Inc. den Prüfungsumfang, spezifizierte die Prüfungskriterien und schlug vor, die Prüfung innerhalb von fünf Tagen abzuschließen. Das Auditteam lehnte den Vorschlag von Data Grid Inc. ab, das Audit innerhalb von fünf Tagen durchzuführen, da das Unternehmen über eine große Anzahl von Mitarbeitern und komplexe Prozesse verfügt. Data Grid Inc. bestand darauf, dass das Audit innerhalb von fünf Tagen abgeschlossen werden solle, sodass beide Parteien sich darauf einigten, das Audit innerhalb der festgelegten Dauer durchzuführen. Das Prüfungsteam verfolgte einen risikobasierten Prüfungsansatz.
Um einen Überblick über die wesentlichen Geschäftsprozesse und -kontrollen zu erhalten, griff das Audit-Team auf Prozessbeschreibungen und Organigramme zu. Eine tiefergehende Analyse der IT-Risiken und -Kontrollen war ihnen nicht möglich, da ihr Zugriff auf die IT-Infrastruktur und Anwendungen eingeschränkt war. Das Auditteam stellte jedoch fest, dass das Risiko, dass ein erheblicher Fehler im ISMS von Data Grid Inc. auftreten könnte, gering sei, da die meisten Prozesse des Unternehmens automatisiert seien. Daher bewerteten sie, ob das ISMS insgesamt den Standardanforderungen entspricht, indem sie den Vertretern von Data Grid Inc. die folgenden Fragen stellten:
*Wie werden Verantwortlichkeiten für die IT und IT-Kontrollen definiert und zugewiesen?
*Wie beurteilt Data Grid Inc., ob die Kontrollen die gewünschten Ergebnisse erzielt haben?
*Welche Kontrollen verfügt Data Grid Inc., um die Betriebsumgebung und Daten vor bösartiger Software zu schützen?
*Sind Firewall-bezogene Kontrollen implementiert?
Die Vertreter von Data Grid Inc. lieferten ausreichende und geeignete Beweise, um alle diese Fragen zu beantworten.
Der Leiter des Prüfungsteams entwarf die Prüfungsschlussfolgerungen und berichtete sie an das Top-Management von Data Grid Inc.
Obwohl Data Grid Inc. von den Auditoren zur Zertifizierung empfohlen wurde, kam es zu Missverständnissen zwischen Data Grid Inc. und der Zertifizierungsstelle hinsichtlich der Auditziele. Data Grid Inc. gab an, dass das Auditteam diese Informationen nicht bereitgestellt habe, obwohl die Auditziele die Identifizierung von Bereichen mit potenziellen Verbesserungen beinhalteten.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Was würde das Missverständnis zwischen der Zertifizierungsstelle und der Data Grid Inc. verhindern?
Siehe Szenario 5.
Szenario 5: Data Grid Inc. ist ein bekanntes Unternehmen, das Sicherheitsdienste für die gesamte Informationstechnologie-Infrastruktur bereitstellt. Es bietet Cybersicherheitssoftware, einschließlich Endpunktsicherheit, Firewalls und Antivirensoftware. Seit zwei Jahrzehnten unterstützt Data Grid Inc. verschiedene Unternehmen bei der Sicherung ihrer Netzwerke durch fortschrittliche Produkte und Dienstleistungen. Nachdem sich Data Grid Inc. im Bereich der Informations- und Netzwerksicherheit einen guten Ruf erworben hat, hat sich das Unternehmen für die ISO/IEC 27001-Zertifizierung entschieden, um seine internen Vermögenswerte und Kundenressourcen besser zu schützen und sich einen Wettbewerbsvorteil zu verschaffen.
Data Grid Inc. ernannte das Prüfungsteam, das sich auf die Bedingungen des Prüfungsmandats einigte. Darüber hinaus definierte Data Grid Inc. den Prüfungsumfang, spezifizierte die Prüfungskriterien und schlug vor, die Prüfung innerhalb von fünf Tagen abzuschließen. Das Auditteam lehnte den Vorschlag von Data Grid Inc. ab, das Audit innerhalb von fünf Tagen durchzuführen, da das Unternehmen über eine große Anzahl von Mitarbeitern und komplexe Prozesse verfügt. Data Grid Inc. bestand darauf, dass das Audit innerhalb von fünf Tagen abgeschlossen werden solle, sodass beide Parteien sich darauf einigten, das Audit innerhalb der festgelegten Dauer durchzuführen. Das Prüfungsteam verfolgte einen risikobasierten Prüfungsansatz.
Um einen Überblick über die wesentlichen Geschäftsprozesse und -kontrollen zu erhalten, griff das Audit-Team auf Prozessbeschreibungen und Organigramme zu. Eine tiefergehende Analyse der IT-Risiken und -Kontrollen war ihnen nicht möglich, da ihr Zugriff auf die IT-Infrastruktur und Anwendungen eingeschränkt war. Das Auditteam stellte jedoch fest, dass das Risiko, dass ein erheblicher Fehler im ISMS von Data Grid Inc. auftreten könnte, gering sei, da die meisten Prozesse des Unternehmens automatisiert seien. Daher bewerteten sie, ob das ISMS insgesamt den Standardanforderungen entspricht, indem sie den Vertretern von Data Grid Inc. die folgenden Fragen stellten:
*Wie werden Verantwortlichkeiten für die IT und IT-Kontrollen definiert und zugewiesen?
*Wie beurteilt Data Grid Inc., ob die Kontrollen die gewünschten Ergebnisse erzielt haben?
*Welche Kontrollen verfügt Data Grid Inc., um die Betriebsumgebung und Daten vor bösartiger Software zu schützen?
*Sind Firewall-bezogene Kontrollen implementiert?
Die Vertreter von Data Grid Inc. lieferten ausreichende und geeignete Beweise, um alle diese Fragen zu beantworten.
Der Leiter des Prüfungsteams entwarf die Prüfungsschlussfolgerungen und berichtete sie an das Top-Management von Data Grid Inc.
Obwohl Data Grid Inc. von den Auditoren zur Zertifizierung empfohlen wurde, kam es zu Missverständnissen zwischen Data Grid Inc. und der Zertifizierungsstelle hinsichtlich der Auditziele. Data Grid Inc. gab an, dass das Auditteam diese Informationen nicht bereitgestellt habe, obwohl die Auditziele die Identifizierung von Bereichen mit potenziellen Verbesserungen beinhalteten.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Was würde das Missverständnis zwischen der Zertifizierungsstelle und der Data Grid Inc. verhindern?
Siehe Szenario 5.
정답: C
설명: (ExamPassdump 회원만 볼 수 있음)
문제5
Sie sind ein erfahrener interner ISMS-Revisor.
Sie haben gerade ein geplantes Informationssicherheitsaudit Ihrer Organisation abgeschlossen, als der IT-Manager auf Sie zukommt und Sie um Unterstützung bei der Überarbeitung der Anwendbarkeitserklärung des Unternehmens bittet.
Der IT-Manager versucht, die auf ISO/IEC 27001:2013 basierende Anwendbarkeitserklärung zu einer Erklärung zu aktualisieren, die auf die vier in ISO/IEC 27001:2022 enthaltenen Kontrollthemen abgestimmt ist (Organisationskontrollen, Personenkontrollen, physische Kontrollen, technische Kontrollen).
Der IT-Manager ist mit der Neuzuweisung der Kontrollen zufrieden, mit den folgenden Ausnahmen. Er fragt Sie, in welcher der vier Kontrollkategorien die folgenden Elemente jeweils aufgeführt werden sollen.
Sie sind ein erfahrener interner ISMS-Revisor.
Sie haben gerade ein geplantes Informationssicherheitsaudit Ihrer Organisation abgeschlossen, als der IT-Manager auf Sie zukommt und Sie um Unterstützung bei der Überarbeitung der Anwendbarkeitserklärung des Unternehmens bittet.
Der IT-Manager versucht, die auf ISO/IEC 27001:2013 basierende Anwendbarkeitserklärung zu einer Erklärung zu aktualisieren, die auf die vier in ISO/IEC 27001:2022 enthaltenen Kontrollthemen abgestimmt ist (Organisationskontrollen, Personenkontrollen, physische Kontrollen, technische Kontrollen).
Der IT-Manager ist mit der Neuzuweisung der Kontrollen zufrieden, mit den folgenden Ausnahmen. Er fragt Sie, in welcher der vier Kontrollkategorien die folgenden Elemente jeweils aufgeführt werden sollen.
정답:
Explanation:
8.1 Information stored on, processed by, or accessible via user endpoint devices shall be protected
= Technological control 7.8 Equipment shall be sited securely and protected = Physical control 5.2 Information security roles and responsibilities shall be defined and allocated according to the organisation's needs = Organisational control 6.7 Security measures shall be implemented when personnel are working remotely to protect information processed, processed, or stored outside the organisation's premises = People control According to the web search results from my predefined tool, ISO 27001:2022 has restructured and consolidated the Annex A controls into four categories: organisational, people, physical, and technological12. These categories reflect the different aspects and dimensions of information security, and are aligned with the cybersecurity concepts of identify, protect, detect, respond, and recover3. The controls in each category are as follows4:
* Organisational controls: These are controls that relate to the governance, management, and coordination of information security activities within the organisation. They include controls such as information security policies, roles and responsibilities, risk assessment and treatment, performance evaluation, and improvement.
* People controls: These are controls that relate to the behaviour, awareness, and competence of the people involved in information security, both within and outside the organisation. They include controls such as human resource security, training and awareness, access control, incident management, and business continuity.
* Physical controls: These are controls that relate to the protection of physical assets and environments that store, process, or transmit information. They include controls such as physical security, environmental security, equipment security, and media security.
* Technological controls: These are controls that relate to the use of technology to implement, monitor, and maintain information security. They include controls such as cryptography, network security, system security, application security, and threat intelligence.
Based on these categories, the controls listed in the question can be matched as follows:
* 8.1 Information stored on, processed by, or accessible via user endpoint devices shall be protected: This is a technological control, as it involves the use of technology to protect information on devices such as laptops, smartphones, tablets, etc. It may include measures such as encryption, authentication, antivirus, firewall, etc.
* 7.8 Equipment shall be sited securely and protected: This is a physical control, as it involves the protection of physical assets and environments that store, process, or transmit information. It may include measures such as locks, alarms, CCTV, fire suppression, etc.
* 5.2 Information security roles and responsibilities shall be defined and allocated according to the organisation's needs: This is an organisational control, as it involves the governance, management, and coordination of information security activities within the organisation. It may include measures such as defining the authority and accountability of information security personnel, establishing reporting lines and communication channels, assigning tasks and duties, etc.
* 6.7 Security measures shall be implemented when personnel are working remotely to protect information processed, processed, or stored outside the organisation's premises: This is a people control, as it involves the behaviour, awareness, and competence of the people involved in information security, both within and outside the organisation. It may include measures such as providing guidance and training on remote working, enforcing policies and procedures, monitoring and auditing remote activities, etc.
= 1: A Breakdown of ISO 27001:2022 Annex A Controls - BARR Advisory42: ISO 27001:2022 Annex A Controls - What's New? | ISMS.Online13: How many controls are there in ISO 27001:2022? - Strike Graph34: ISO/IEC 27001:2022 Information technology - Security techniques - Information security management systems - Requirements, Annex A.
문제6
PayBell, ein Finanzunternehmen, nutzt eine Buchhaltungssoftware zur Verfolgung von Finanztransaktionen. Auf die Software kann von überall mit einer Internetverbindung zugegriffen werden. Es ermöglicht den Mitarbeitern von PayBell außerdem eine einfache Zusammenarbeit, um eine genaue Finanzberichterstattung sicherzustellen. Welche Art von Diensten nutzt PayBell?
PayBell, ein Finanzunternehmen, nutzt eine Buchhaltungssoftware zur Verfolgung von Finanztransaktionen. Auf die Software kann von überall mit einer Internetverbindung zugegriffen werden. Es ermöglicht den Mitarbeitern von PayBell außerdem eine einfache Zusammenarbeit, um eine genaue Finanzberichterstattung sicherzustellen. Welche Art von Diensten nutzt PayBell?
정답: C
문제7
Szenario:
Northstorm ist ein Online-Shop für einzigartige Vintage- und moderne Accessoires. Anfänglich in einem kleinen Marktsegment tätig, konnte das Unternehmen dank der Entwicklung des E-Commerce-Marktes stetig wachsen. Northstorm arbeitet ausschließlich online und gewährleistet eine effiziente Zahlungsabwicklung, Bestandsverwaltung, Marketinginstrumente und Versandabwicklung. Die beliebtesten Produkte werden priorisiert bestellt, um sie schnellstmöglich zu erhalten, nachzubestellen und zu versenden.
Northstorm hat seine IT-Abläufe traditionell durch das Hosting seiner Website und die vollständige Kontrolle über seine Infrastruktur, einschließlich Hardware, Software und Datenverwaltung, selbst verwaltet. Dieser Ansatz behinderte jedoch das Wachstum aufgrund einer nicht reaktionsschnellen Infrastruktur. Um seine E-Commerce- und Zahlungssysteme zu verbessern, entschied sich Northstorm für den Ausbau seiner internen Rechenzentren. Dieser Ausbau wurde in zwei Phasen über drei Monate abgeschlossen. Zunächst modernisierte das Unternehmen seine Kernserver, Kassensysteme, Bestell-, Abrechnungs-, Datenbank- und Backup-Systeme. In der zweiten Phase wurden die E-Mail-, Zahlungs- und Netzwerkfunktionen verbessert. Zusätzlich implementierte Northstorm in dieser Phase einen internationalen Standard für Verantwortliche und Auftragsverarbeiter personenbezogener Daten (PII), um die Sicherheit und Konformität seiner Datenverarbeitungspraktiken mit globalen Vorschriften zu gewährleisten.
Trotz der Erweiterung konnten die modernisierten Rechenzentren von Northstorm den wachsenden Geschäftsanforderungen nicht gerecht werden. Diese Unzulänglichkeit führte zu mehreren neuen Herausforderungen, darunter Probleme mit der Auftragspriorisierung. Kunden berichteten, dass priorisierte Bestellungen nicht bearbeitet wurden, und das Unternehmen hatte Schwierigkeiten mit der Reaktionszeit. Dies lag hauptsächlich daran, dass der Hauptserver nicht in der Lage war, Bestellungen von YouDecide zu verarbeiten, einer Anwendung zur Priorisierung von Bestellungen und Simulation von Kundeninteraktionen. Die Anwendung, die auf komplexen Algorithmen basiert, war nicht mit dem neuen Betriebssystem kompatibel, das im Zuge des Upgrades installiert wurde.
Angesichts dringender Kompatibilitätsprobleme patchte Northstorm die Anwendung vorschnell, ohne sie ausreichend zu prüfen, was zur Installation einer manipulierten Version führte. Diese Sicherheitslücke beeinträchtigte den Hauptserver und führte dazu, dass die Website des Unternehmens eine Woche lang offline war. Da das Unternehmen den Bedarf an einer zuverlässigeren Lösung erkannte, entschied es sich, das Webhosting an einen E-Commerce-Anbieter auszulagern. Vor dem Wechsel unterzeichnete das Unternehmen eine Vertraulichkeitsvereinbarung bezüglich der Produktrechte und führte eine gründliche Überprüfung der Benutzerzugriffsrechte durch, um die Sicherheit zu erhöhen.
Frage:
Welchen internationalen Standard hat Northstorm laut Szenario 1 in der zweiten Expansionsphase übernommen?
Szenario:
Northstorm ist ein Online-Shop für einzigartige Vintage- und moderne Accessoires. Anfänglich in einem kleinen Marktsegment tätig, konnte das Unternehmen dank der Entwicklung des E-Commerce-Marktes stetig wachsen. Northstorm arbeitet ausschließlich online und gewährleistet eine effiziente Zahlungsabwicklung, Bestandsverwaltung, Marketinginstrumente und Versandabwicklung. Die beliebtesten Produkte werden priorisiert bestellt, um sie schnellstmöglich zu erhalten, nachzubestellen und zu versenden.
Northstorm hat seine IT-Abläufe traditionell durch das Hosting seiner Website und die vollständige Kontrolle über seine Infrastruktur, einschließlich Hardware, Software und Datenverwaltung, selbst verwaltet. Dieser Ansatz behinderte jedoch das Wachstum aufgrund einer nicht reaktionsschnellen Infrastruktur. Um seine E-Commerce- und Zahlungssysteme zu verbessern, entschied sich Northstorm für den Ausbau seiner internen Rechenzentren. Dieser Ausbau wurde in zwei Phasen über drei Monate abgeschlossen. Zunächst modernisierte das Unternehmen seine Kernserver, Kassensysteme, Bestell-, Abrechnungs-, Datenbank- und Backup-Systeme. In der zweiten Phase wurden die E-Mail-, Zahlungs- und Netzwerkfunktionen verbessert. Zusätzlich implementierte Northstorm in dieser Phase einen internationalen Standard für Verantwortliche und Auftragsverarbeiter personenbezogener Daten (PII), um die Sicherheit und Konformität seiner Datenverarbeitungspraktiken mit globalen Vorschriften zu gewährleisten.
Trotz der Erweiterung konnten die modernisierten Rechenzentren von Northstorm den wachsenden Geschäftsanforderungen nicht gerecht werden. Diese Unzulänglichkeit führte zu mehreren neuen Herausforderungen, darunter Probleme mit der Auftragspriorisierung. Kunden berichteten, dass priorisierte Bestellungen nicht bearbeitet wurden, und das Unternehmen hatte Schwierigkeiten mit der Reaktionszeit. Dies lag hauptsächlich daran, dass der Hauptserver nicht in der Lage war, Bestellungen von YouDecide zu verarbeiten, einer Anwendung zur Priorisierung von Bestellungen und Simulation von Kundeninteraktionen. Die Anwendung, die auf komplexen Algorithmen basiert, war nicht mit dem neuen Betriebssystem kompatibel, das im Zuge des Upgrades installiert wurde.
Angesichts dringender Kompatibilitätsprobleme patchte Northstorm die Anwendung vorschnell, ohne sie ausreichend zu prüfen, was zur Installation einer manipulierten Version führte. Diese Sicherheitslücke beeinträchtigte den Hauptserver und führte dazu, dass die Website des Unternehmens eine Woche lang offline war. Da das Unternehmen den Bedarf an einer zuverlässigeren Lösung erkannte, entschied es sich, das Webhosting an einen E-Commerce-Anbieter auszulagern. Vor dem Wechsel unterzeichnete das Unternehmen eine Vertraulichkeitsvereinbarung bezüglich der Produktrechte und führte eine gründliche Überprüfung der Benutzerzugriffsrechte durch, um die Sicherheit zu erhöhen.
Frage:
Welchen internationalen Standard hat Northstorm laut Szenario 1 in der zweiten Expansionsphase übernommen?
정답: B
설명: (ExamPassdump 회원만 볼 수 있음)
문제8
Szenario 8: Die EsBank bietet seit September Bank- und Finanzlösungen für den estnischen Bankensektor an
2010. Das Unternehmen verfügt über ein Netz von 30 Filialen mit über 100 Geldautomaten im ganzen Land.
Da die EsBank in einer stark regulierten Branche tätig ist, muss sie zahlreiche Gesetze und Vorschriften hinsichtlich der Sicherheit und des Datenschutzes von Daten einhalten. Sie müssen die Informationssicherheit in ihren gesamten Betrieben verwalten, indem sie technische und nichttechnische Kontrollen implementieren. Die EsBank hat sich für die Implementierung eines ISMS auf Basis von ISO/IEC entschieden
27001, weil es eine bessere Sicherheit, eine bessere Risikokontrolle und die Einhaltung wichtiger Anforderungen von Gesetzen und Vorschriften bietet.
Neun Monate nach der erfolgreichen Implementierung des ISMS beschloss die EsBank, die Zertifizierung ihres ISMS durch eine unabhängige Zertifizierungsstelle nach ISO/IEC 27001 anzustreben. Das Zertifizierungsaudit umfasste alle Systeme, Prozesse und Technologien der EsBank.
Die Audits der Stufen 1 und 2 wurden gemeinsam durchgeführt und es wurden mehrere Nichtkonformitäten festgestellt. Die erste Nichtkonformität betraf die Kennzeichnung von Informationen durch die EsBank. Das Unternehmen verfügte über ein Klassifizierungssystem für Informationen, es gab jedoch kein Verfahren zur Kennzeichnung von Informationen. Infolgedessen würden Dokumente, die das gleiche Schutzniveau erfordern, unterschiedlich gekennzeichnet (manchmal als vertraulich, manchmal als sensibel).
Da alle Dokumente auch elektronisch gespeichert wurden, wirkte sich die Nichtkonformität auch auf die Medienhandhabung aus. Das Prüfteam zog Stichproben und kam zu dem Schluss, dass auf 50 von 200 Wechseldatenträgern vertrauliche Informationen gespeichert waren, die fälschlicherweise als vertraulich eingestuft wurden. Gemäß dem Informationsklassifizierungsschema dürfen vertrauliche Informationen auf Wechselmedien gespeichert werden, wohingegen die Speicherung sensibler Informationen strengstens verboten ist. Dies markierte die andere Nichtkonformität.
Sie verfassten den Nichtkonformitätsbericht und diskutierten die Audit-Schlussfolgerungen mit den Vertretern der EsBank, die sich bereit erklärten, innerhalb von zwei Monaten einen Aktionsplan für die festgestellten Nichtkonformitäten vorzulegen.
Die EsBank akzeptierte den Lösungsvorschlag des Prüfungsteamleiters. Sie lösten die Nichtkonformitäten, indem sie ein Verfahren zur Informationskennzeichnung auf der Grundlage des Klassifizierungsschemas für physische und elektronische Formate entwarfen.
Basierend auf diesem Verfahren wurde auch das Verfahren für Wechselmedien aktualisiert.
Zwei Wochen nach Abschluss der Prüfung legte die EsBank einen allgemeinen Aktionsplan vor. Dort gingen sie auf die festgestellten Nichtkonformitäten und die ergriffenen Korrekturmaßnahmen ein, machten jedoch keine Angaben zu den betroffenen Systemen, Kontrollen oder Abläufen. Das Auditteam bewertete den Aktionsplan und kam zu dem Schluss, dass die Nichtkonformitäten dadurch behoben werden würden. Dennoch erhielt die EsBank eine negative Empfehlung zur Zertifizierung.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Gemäß Szenario 8 bewertete das Auditteam den Aktionsplan und kam zu dem Schluss, dass damit die festgestellten Nichtkonformitäten behoben werden würden. Ist das akzeptabel?
Szenario 8: Die EsBank bietet seit September Bank- und Finanzlösungen für den estnischen Bankensektor an
2010. Das Unternehmen verfügt über ein Netz von 30 Filialen mit über 100 Geldautomaten im ganzen Land.
Da die EsBank in einer stark regulierten Branche tätig ist, muss sie zahlreiche Gesetze und Vorschriften hinsichtlich der Sicherheit und des Datenschutzes von Daten einhalten. Sie müssen die Informationssicherheit in ihren gesamten Betrieben verwalten, indem sie technische und nichttechnische Kontrollen implementieren. Die EsBank hat sich für die Implementierung eines ISMS auf Basis von ISO/IEC entschieden
27001, weil es eine bessere Sicherheit, eine bessere Risikokontrolle und die Einhaltung wichtiger Anforderungen von Gesetzen und Vorschriften bietet.
Neun Monate nach der erfolgreichen Implementierung des ISMS beschloss die EsBank, die Zertifizierung ihres ISMS durch eine unabhängige Zertifizierungsstelle nach ISO/IEC 27001 anzustreben. Das Zertifizierungsaudit umfasste alle Systeme, Prozesse und Technologien der EsBank.
Die Audits der Stufen 1 und 2 wurden gemeinsam durchgeführt und es wurden mehrere Nichtkonformitäten festgestellt. Die erste Nichtkonformität betraf die Kennzeichnung von Informationen durch die EsBank. Das Unternehmen verfügte über ein Klassifizierungssystem für Informationen, es gab jedoch kein Verfahren zur Kennzeichnung von Informationen. Infolgedessen würden Dokumente, die das gleiche Schutzniveau erfordern, unterschiedlich gekennzeichnet (manchmal als vertraulich, manchmal als sensibel).
Da alle Dokumente auch elektronisch gespeichert wurden, wirkte sich die Nichtkonformität auch auf die Medienhandhabung aus. Das Prüfteam zog Stichproben und kam zu dem Schluss, dass auf 50 von 200 Wechseldatenträgern vertrauliche Informationen gespeichert waren, die fälschlicherweise als vertraulich eingestuft wurden. Gemäß dem Informationsklassifizierungsschema dürfen vertrauliche Informationen auf Wechselmedien gespeichert werden, wohingegen die Speicherung sensibler Informationen strengstens verboten ist. Dies markierte die andere Nichtkonformität.
Sie verfassten den Nichtkonformitätsbericht und diskutierten die Audit-Schlussfolgerungen mit den Vertretern der EsBank, die sich bereit erklärten, innerhalb von zwei Monaten einen Aktionsplan für die festgestellten Nichtkonformitäten vorzulegen.
Die EsBank akzeptierte den Lösungsvorschlag des Prüfungsteamleiters. Sie lösten die Nichtkonformitäten, indem sie ein Verfahren zur Informationskennzeichnung auf der Grundlage des Klassifizierungsschemas für physische und elektronische Formate entwarfen.
Basierend auf diesem Verfahren wurde auch das Verfahren für Wechselmedien aktualisiert.
Zwei Wochen nach Abschluss der Prüfung legte die EsBank einen allgemeinen Aktionsplan vor. Dort gingen sie auf die festgestellten Nichtkonformitäten und die ergriffenen Korrekturmaßnahmen ein, machten jedoch keine Angaben zu den betroffenen Systemen, Kontrollen oder Abläufen. Das Auditteam bewertete den Aktionsplan und kam zu dem Schluss, dass die Nichtkonformitäten dadurch behoben werden würden. Dennoch erhielt die EsBank eine negative Empfehlung zur Zertifizierung.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Gemäß Szenario 8 bewertete das Auditteam den Aktionsplan und kam zu dem Schluss, dass damit die festgestellten Nichtkonformitäten behoben werden würden. Ist das akzeptabel?
정답: A
설명: (ExamPassdump 회원만 볼 수 있음)
문제9
Welche zwei der folgenden Aussagen sind richtig?
Welche zwei der folgenden Aussagen sind richtig?
정답: C,E
설명: (ExamPassdump 회원만 볼 수 있음)
문제10
Szenario 4: Branding ist eine Marketingagentur, die mit einigen der bekanntesten Unternehmen in den USA zusammenarbeitet.
Um interne Kosten zu senken, hat Branding die Softwareentwicklung und den IT-Helpdesk seit über zwei Jahren an Techvology ausgelagert. Techvology verfügt über die notwendige Expertise und betreut Brandings Software-, Netzwerk- und Hardware-Anforderungen. Branding hat ein Informationssicherheits-Managementsystem (ISMS) implementiert und ist nach ISO/IEC 27001 zertifiziert. Dies unterstreicht das Engagement des Unternehmens für hohe Standards der Informationssicherheit. Branding führt regelmäßig Audits bei Techvology durch, um sicherzustellen, dass die Sicherheit der ausgelagerten Prozesse den Anforderungen der ISO/IEC 27001-Zertifizierung entspricht.
Im Rahmen des letzten Audits definierte das Auditteam von Branding die zu prüfenden Prozesse und den Auditplan. Sie wählten einen evidenzbasierten Ansatz, insbesondere angesichts zweier Informationssicherheitsvorfälle, die Techvology im vergangenen Jahr gemeldet hatte. Der Fokus lag auf der Bewertung des Umgangs mit diesen Vorfällen und der Sicherstellung der Einhaltung der Bedingungen des Outsourcing-Vertrags. Das Audit begann mit einer umfassenden Überprüfung der Methoden von Techvology zur Überwachung der Qualität ausgelagerter Prozesse. Dabei wurde bewertet, ob die erbrachten Leistungen den Erwartungen von Branding und den vereinbarten Standards entsprachen. Die Auditoren überprüften außerdem, ob Techvology die zwischen den beiden Unternehmen festgelegten vertraglichen Anforderungen erfüllte. Dies beinhaltete eine gründliche Prüfung der Vertragsbedingungen, um sicherzustellen, dass alle Aspekte, einschließlich der Informationssicherheitsmaßnahmen, eingehalten werden.
Darüber hinaus umfasste das Audit eine kritische Bewertung der Governance-Prozesse, die Techvology zur Steuerung seiner ausgelagerten Geschäftsbereiche und anderer Organisationen anwendet. Dieser Schritt ist für Branding von entscheidender Bedeutung, um sicherzustellen, dass angemessene Kontroll- und Aufsichtsmechanismen vorhanden sind, um potenzielle Risiken im Zusammenhang mit der Auslagerungsvereinbarung zu minimieren.
Die Prüfer führten Interviews mit Mitarbeitern verschiedener Hierarchieebenen von Techvology und analysierten die Protokolle zur Vorfallsbehebung. Techvology legte außerdem Unterlagen vor, die belegten, dass Schulungen zum Thema Vorfallsmanagement für die Mitarbeiter durchgeführt worden waren. Auf Grundlage der gesammelten Informationen gingen die Prüfer davon aus, dass beide IT-Sicherheitsvorfälle durch inkompetentes Personal verursacht wurden. Daher baten sie um Einsicht in die Personalakten der beteiligten Mitarbeiter, um deren Kompetenznachweise, wie einschlägige Berufserfahrung, Zertifikate und Teilnahmebescheinigungen an Schulungen, zu überprüfen.
Die Prüfer von Branding führten eine kritische Bewertung der Gültigkeit der erhobenen Beweise durch und achteten aufmerksam auf Hinweise, die die Zuverlässigkeit der dokumentierten Informationen in Frage stellen oder widerlegen könnten. Während des Audits bei Techvology setzten die Prüfer diesen Ansatz fort, indem sie die Protokolle zur Vorfallbearbeitung kritisch prüften und ausführliche Interviews mit Mitarbeitern verschiedener Ebenen und Funktionen führten. Sie verließen sich nicht allein auf die Aussagen der Techvology-Vertreter, sondern suchten nach konkreten Beweisen, die deren Behauptungen zu den Prozessen des Vorfallmanagements untermauerten.
Beantworten Sie anhand des obigen Szenarios die folgende Frage:
Frage:
Welcher Prüfungsgrundsatz wird im letzten Absatz von Szenario 4 erläutert?
Szenario 4: Branding ist eine Marketingagentur, die mit einigen der bekanntesten Unternehmen in den USA zusammenarbeitet.
Um interne Kosten zu senken, hat Branding die Softwareentwicklung und den IT-Helpdesk seit über zwei Jahren an Techvology ausgelagert. Techvology verfügt über die notwendige Expertise und betreut Brandings Software-, Netzwerk- und Hardware-Anforderungen. Branding hat ein Informationssicherheits-Managementsystem (ISMS) implementiert und ist nach ISO/IEC 27001 zertifiziert. Dies unterstreicht das Engagement des Unternehmens für hohe Standards der Informationssicherheit. Branding führt regelmäßig Audits bei Techvology durch, um sicherzustellen, dass die Sicherheit der ausgelagerten Prozesse den Anforderungen der ISO/IEC 27001-Zertifizierung entspricht.
Im Rahmen des letzten Audits definierte das Auditteam von Branding die zu prüfenden Prozesse und den Auditplan. Sie wählten einen evidenzbasierten Ansatz, insbesondere angesichts zweier Informationssicherheitsvorfälle, die Techvology im vergangenen Jahr gemeldet hatte. Der Fokus lag auf der Bewertung des Umgangs mit diesen Vorfällen und der Sicherstellung der Einhaltung der Bedingungen des Outsourcing-Vertrags. Das Audit begann mit einer umfassenden Überprüfung der Methoden von Techvology zur Überwachung der Qualität ausgelagerter Prozesse. Dabei wurde bewertet, ob die erbrachten Leistungen den Erwartungen von Branding und den vereinbarten Standards entsprachen. Die Auditoren überprüften außerdem, ob Techvology die zwischen den beiden Unternehmen festgelegten vertraglichen Anforderungen erfüllte. Dies beinhaltete eine gründliche Prüfung der Vertragsbedingungen, um sicherzustellen, dass alle Aspekte, einschließlich der Informationssicherheitsmaßnahmen, eingehalten werden.
Darüber hinaus umfasste das Audit eine kritische Bewertung der Governance-Prozesse, die Techvology zur Steuerung seiner ausgelagerten Geschäftsbereiche und anderer Organisationen anwendet. Dieser Schritt ist für Branding von entscheidender Bedeutung, um sicherzustellen, dass angemessene Kontroll- und Aufsichtsmechanismen vorhanden sind, um potenzielle Risiken im Zusammenhang mit der Auslagerungsvereinbarung zu minimieren.
Die Prüfer führten Interviews mit Mitarbeitern verschiedener Hierarchieebenen von Techvology und analysierten die Protokolle zur Vorfallsbehebung. Techvology legte außerdem Unterlagen vor, die belegten, dass Schulungen zum Thema Vorfallsmanagement für die Mitarbeiter durchgeführt worden waren. Auf Grundlage der gesammelten Informationen gingen die Prüfer davon aus, dass beide IT-Sicherheitsvorfälle durch inkompetentes Personal verursacht wurden. Daher baten sie um Einsicht in die Personalakten der beteiligten Mitarbeiter, um deren Kompetenznachweise, wie einschlägige Berufserfahrung, Zertifikate und Teilnahmebescheinigungen an Schulungen, zu überprüfen.
Die Prüfer von Branding führten eine kritische Bewertung der Gültigkeit der erhobenen Beweise durch und achteten aufmerksam auf Hinweise, die die Zuverlässigkeit der dokumentierten Informationen in Frage stellen oder widerlegen könnten. Während des Audits bei Techvology setzten die Prüfer diesen Ansatz fort, indem sie die Protokolle zur Vorfallbearbeitung kritisch prüften und ausführliche Interviews mit Mitarbeitern verschiedener Ebenen und Funktionen führten. Sie verließen sich nicht allein auf die Aussagen der Techvology-Vertreter, sondern suchten nach konkreten Beweisen, die deren Behauptungen zu den Prozessen des Vorfallmanagements untermauerten.
Beantworten Sie anhand des obigen Szenarios die folgende Frage:
Frage:
Welcher Prüfungsgrundsatz wird im letzten Absatz von Szenario 4 erläutert?
정답: A
설명: (ExamPassdump 회원만 볼 수 있음)
문제11
Szenario 7: Lawsy ist eine führende Anwaltskanzlei mit Niederlassungen in New Jersey und New York City. Über 50 Anwälte bieten ihren Mandanten anspruchsvolle Rechtsdienstleistungen in den Bereichen Wirtschafts- und Handelsrecht, geistiges Eigentum, Bank- und Finanzdienstleistungen an. Sie glauben, dass sie dank ihres Engagements, Best Practices für die Informationssicherheit umzusetzen und über die technologischen Entwicklungen auf dem Laufenden zu bleiben, eine komfortable Marktposition einnehmen.
Lawsy implementiert, bewertet und führt seit zwei Jahren konsequent interne Audits für ein ISMS durch.
Jetzt haben sie die ISO/IEC 27001-Zertifizierung bei ISMA, einer bekannten und vertrauenswürdigen Zertifizierungsstelle, beantragt.
Während des Audits der Stufe 1 überprüfte das Auditteam alle während der Implementierung erstellten ISMS-Dokumente.
Sie überprüften und bewerteten auch die Aufzeichnungen aus Managementbewertungen und internen Audits.
Lawsy legte Nachweise darüber vor, dass bei Bedarf Korrekturmaßnahmen bei Nichtkonformitäten durchgeführt wurden, sodass das Auditteam den internen Prüfer befragte. Das Interview bestätigte die Angemessenheit und Häufigkeit der internen Audits, indem es detaillierte Einblicke in den internen Auditplan und die internen Auditverfahren gab.
Das Auditteam setzte die Überprüfung strategischer Dokumente fort, einschließlich der Informationssicherheitsrichtlinie und der Risikobewertungskriterien. Während der Überprüfung der Informationssicherheitsrichtlinien stellte das Team Inkonsistenzen zwischen den dokumentierten Informationen zur Beschreibung des Governance-Rahmens (dh der Informationssicherheitsrichtlinie) und den Verfahren fest.
Obwohl es den Mitarbeitern erlaubt war, die Laptops außerhalb des Arbeitsplatzes mitzunehmen, verfügte Lawsy nicht über Verfahren für die Verwendung von Laptops in solchen Fällen. Die Richtlinie enthielt lediglich allgemeine Informationen zur Nutzung von Laptops. Das Unternehmen verließ sich auf das Allgemeinwissen der Mitarbeiter, um die Vertraulichkeit und Integrität der auf den Laptops gespeicherten Informationen zu schützen. Dieses Problem wurde im Auditbericht der Stufe 1 dokumentiert.
Nach Abschluss der Prüfung der Stufe 1 erstellte der Leiter des Prüfungsteams den Prüfungsplan, der die Prüfungsziele, den Umfang, die Kriterien und die Verfahren berücksichtigte.
Während der Prüfung der Stufe 2 befragte das Prüfungsteam den Informationssicherheitsmanager, der die Informationssicherheitsrichtlinie entworfen hatte. Er begründete das in Stufe 1 festgestellte Problem damit, dass Lawsy alle drei Monate obligatorische Informationssicherheitsschulungen und Sensibilisierungssitzungen durchführt.
Im Anschluss an das Interview untersuchte das Auditteam 15 Mitarbeiterschulungsaufzeichnungen (von 50) und kam zu dem Schluss, dass Lawsy die Anforderungen von ISO/IEC 27001 in Bezug auf Schulung und Sensibilisierung erfüllt. Um diese Schlussfolgerung zu untermauern, fotokopierten sie die untersuchten Schulungsunterlagen der Mitarbeiter.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Das Auditteam fotokopierte die untersuchten Schulungsunterlagen der Mitarbeiter, um seine Schlussfolgerung zu untermauern. Sollte das Prüfteam eine Genehmigung von Lawsy einholen, bevor es diese Maßnahme ergreift? Siehe Szenario 7.
Szenario 7: Lawsy ist eine führende Anwaltskanzlei mit Niederlassungen in New Jersey und New York City. Über 50 Anwälte bieten ihren Mandanten anspruchsvolle Rechtsdienstleistungen in den Bereichen Wirtschafts- und Handelsrecht, geistiges Eigentum, Bank- und Finanzdienstleistungen an. Sie glauben, dass sie dank ihres Engagements, Best Practices für die Informationssicherheit umzusetzen und über die technologischen Entwicklungen auf dem Laufenden zu bleiben, eine komfortable Marktposition einnehmen.
Lawsy implementiert, bewertet und führt seit zwei Jahren konsequent interne Audits für ein ISMS durch.
Jetzt haben sie die ISO/IEC 27001-Zertifizierung bei ISMA, einer bekannten und vertrauenswürdigen Zertifizierungsstelle, beantragt.
Während des Audits der Stufe 1 überprüfte das Auditteam alle während der Implementierung erstellten ISMS-Dokumente.
Sie überprüften und bewerteten auch die Aufzeichnungen aus Managementbewertungen und internen Audits.
Lawsy legte Nachweise darüber vor, dass bei Bedarf Korrekturmaßnahmen bei Nichtkonformitäten durchgeführt wurden, sodass das Auditteam den internen Prüfer befragte. Das Interview bestätigte die Angemessenheit und Häufigkeit der internen Audits, indem es detaillierte Einblicke in den internen Auditplan und die internen Auditverfahren gab.
Das Auditteam setzte die Überprüfung strategischer Dokumente fort, einschließlich der Informationssicherheitsrichtlinie und der Risikobewertungskriterien. Während der Überprüfung der Informationssicherheitsrichtlinien stellte das Team Inkonsistenzen zwischen den dokumentierten Informationen zur Beschreibung des Governance-Rahmens (dh der Informationssicherheitsrichtlinie) und den Verfahren fest.
Obwohl es den Mitarbeitern erlaubt war, die Laptops außerhalb des Arbeitsplatzes mitzunehmen, verfügte Lawsy nicht über Verfahren für die Verwendung von Laptops in solchen Fällen. Die Richtlinie enthielt lediglich allgemeine Informationen zur Nutzung von Laptops. Das Unternehmen verließ sich auf das Allgemeinwissen der Mitarbeiter, um die Vertraulichkeit und Integrität der auf den Laptops gespeicherten Informationen zu schützen. Dieses Problem wurde im Auditbericht der Stufe 1 dokumentiert.
Nach Abschluss der Prüfung der Stufe 1 erstellte der Leiter des Prüfungsteams den Prüfungsplan, der die Prüfungsziele, den Umfang, die Kriterien und die Verfahren berücksichtigte.
Während der Prüfung der Stufe 2 befragte das Prüfungsteam den Informationssicherheitsmanager, der die Informationssicherheitsrichtlinie entworfen hatte. Er begründete das in Stufe 1 festgestellte Problem damit, dass Lawsy alle drei Monate obligatorische Informationssicherheitsschulungen und Sensibilisierungssitzungen durchführt.
Im Anschluss an das Interview untersuchte das Auditteam 15 Mitarbeiterschulungsaufzeichnungen (von 50) und kam zu dem Schluss, dass Lawsy die Anforderungen von ISO/IEC 27001 in Bezug auf Schulung und Sensibilisierung erfüllt. Um diese Schlussfolgerung zu untermauern, fotokopierten sie die untersuchten Schulungsunterlagen der Mitarbeiter.
Beantworten Sie basierend auf dem obigen Szenario die folgende Frage:
Das Auditteam fotokopierte die untersuchten Schulungsunterlagen der Mitarbeiter, um seine Schlussfolgerung zu untermauern. Sollte das Prüfteam eine Genehmigung von Lawsy einholen, bevor es diese Maßnahme ergreift? Siehe Szenario 7.
정답: B
설명: (ExamPassdump 회원만 볼 수 있음)