Exam Dumps ISO-IEC-27001-Lead-Auditor Practice Free Latest PECB Practice Tests [Q98-Q120]

Q98. Ein Mitarbeiter, der beim Missbrauch des Internets erwischt wird, z. B. beim P2P-Filesharing oder beim Video-/Audiostreaming, erhält keine Verwarnung, sondern wird direkt mit einer Verwarnung belegt.

Wahr

Falsch

Q99. Eine Organisation strebt die Erstzertifizierung ihres Managementsystems an. Bitte geben Sie die Reihenfolge der von der Organisation durchzuführenden Tätigkeiten an.
Um die Sequenz zu vervollständigen, klicken Sie auf den leeren Abschnitt, den Sie vervollständigen möchten, so dass er rot hervorgehoben wird, und klicken Sie dann auf den entsprechenden Text aus den unten stehenden Optionen. Alternativ können Sie die Optionen auch per Drag & Drop auf den entsprechenden leeren Abschnitt ziehen.

Q100. Welcher Aspekt der Verlässlichkeit von Informationen wird beeinträchtigt, wenn ein Bediensteter bestreitet, eine Nachricht gesendet zu haben?

Vertraulichkeit

Integrität

Verfügbarkeit

Korrektheit

Q101. Ein Mitarbeiter, der dabei erwischt wird, wie er vorübergehend eine MP3-Datei an seinem Arbeitsplatz speichert, erhält keine Verwarnung.

Wahr

Falsch

Q102. Ein Bediensteter bestreitet, eine bestimmte Nachricht versandt zu haben.
Welcher Aspekt der Zuverlässigkeit von Informationen ist hier in Gefahr?

Verfügbarkeit

Korrektheit

Integrität

Vertraulichkeit

Q103. Etappen der Information

Entstehung, Entwicklung, Pflege, Nutzung, Verfügung

Entstehung, Nutzung, Verfügung, Pflege, Entwicklung

Erstellung, Verteilung, Nutzung, Wartung, Veräußerung

Erstellung, Verteilung, Wartung, Verfügung, Nutzung

Q104. Sie sind Leiter eines ISMS-Audit-Teams und haben die Aufgabe, ein Folgeaudit im Rechenzentrum eines Kunden durchzuführen.
Nach zwei Tagen vor Ort stellen Sie fest, dass von den ursprünglich 12 kleineren und 1 größeren Mängeln, die Anlass für das Nachfolgeaudit waren, nur noch 1 kleinerer Mangel besteht.
Wählen Sie vier Optionen für die Maßnahmen, die Sie ergreifen könnten.

Buchen Sie ein weiteres Follow-up-Audit vor Ort, um die eine ausstehende geringfügige Nichtkonformität zu überprüfen, sobald diese ausgeräumt ist.

Empfehlung, dass die ausstehende geringfügige Nichtkonformität beim nächsten Überwachungsaudit behandelt wird

Weisen Sie die geprüfte Stelle darauf hin, dass Sie ein Online-Audit organisieren werden, um die ausstehende Nichtkonformität zu behandeln.

Vermerken Sie die erzielten Fortschritte, aber halten Sie das Audit offen, bis alle Abhilfemaßnahmen abgeschlossen sind.

mit der geprüften Stelle/dem Prüfungskunden vereinbaren, wie und bis wann die verbleibende Nichtkonformität beseitigt wird und wie ihre Beseitigung überprüft wird

Unterrichtung der Person, die das Auditprogramm verwaltet, über jede Entscheidung, die bezüglich der ausstehenden Nichtkonformität getroffen wurde

Empfehlung der Aussetzung der Zertifizierung der Organisation, da sie die vereinbarten Korrekturen und Abhilfemaßnahmen nicht innerhalb des vereinbarten Zeitrahmens umgesetzt hat

Abschluss des Folgeaudits, da die Organisation gezeigt hat, dass sie sich verpflichtet hat, die festgestellten Nichtkonformitäten zu beseitigen

Erläuterung
Gemäß ISO 19011:2018, die einen Leitfaden für die Auditierung von Managementsystemen enthält, verlangt Abschnitt 6.7, dass der Auditteamleiter ein Folgeaudit durchführt, um die Umsetzung und Wirksamkeit der Korrekturmaßnahmen zu überprüfen, die von der auditierten Stelle als Reaktion auf die bei einem früheren Audit festgestellten Nichtkonformitäten ergriffen wurden1. Das Folgeaudit sollte nach den gleichen Grundsätzen und Prozessen wie das Erstaudit durchgeführt werden und zu einer Schlussfolgerung über den Status der Nichtkonformitäten und verbleibender Probleme führen1.
Daher sollte ein ISMS-Auditor bei der Durchführung eines Folgeaudits die folgenden Maßnahmen in Betracht ziehen:
* Empfehlen, dass die ausstehende geringfügige Nichtkonformität beim nächsten Überwachungsaudit behandelt wird: Diese Maßnahme ist angemessen, da sie die Tatsache widerspiegelt, dass die geprüfte Stelle die meisten Nichtkonformitäten, einschließlich der Hauptkonformität, beseitigt hat und nur noch eine geringfügige Nichtkonformität aussteht. Eine geringfügige Nichtkonformität ist definiert als Nichterfüllung einer oder mehrerer Anforderungen von ISO/IEC 27001:2022 oder als eine Situation, die erhebliche Zweifel an der Fähigkeit eines ISMS-Prozesses aufkommen lässt, das beabsichtigte Ergebnis zu erzielen, aber nicht seine Gesamtwirksamkeit oder Konformität beeinträchtigt2. Daher verhindert diese Feststellung nicht die Fortsetzung der Zertifizierung, solange sie innerhalb eines angemessenen Zeitrahmens durch geeignete Korrekturmaßnahmen behoben wird. Der Auditor sollte empfehlen, dass die ausstehende geringfügige Nichtkonformität beim nächsten Überwachungsaudit behandelt wird, bei dem es sich um ein regelmäßiges Audit handelt, das von der Zertifizierungsstelle durchgeführt wird, um die laufende Konformität und Wirksamkeit eines ISMS zu bestätigen3.
* Vereinbaren Sie mit der auditierten Stelle/dem auditierten Kunden, wie und bis wann die verbleibende Nichtkonformität beseitigt wird und wie die Beseitigung überprüft wird: Diese Maßnahme ist angemessen, da sie die Tatsache widerspiegelt, dass die geprüfte Stelle ihr Engagement und ihre Fähigkeit unter Beweis gestellt hat, Abhilfemaßnahmen für die während des vorangegangenen Audits festgestellten Nichtkonformitäten umzusetzen. Der Prüfer sollte sich mit der geprüften Stelle/dem Prüfungskunden auf einen realistischen, erreichbaren und wirksamen Plan für Korrekturmaßnahmen für die verbleibende Nichtkonformität einigen, einschließlich einer klaren Frist und einer Überprüfungsmethode. Der Auditor sollte diese Vereinbarung auch im Bericht über das Folgeaudit dokumentieren1.
* Unterrichtung der Person, die das Auditprogramm verwaltet, über jede Entscheidung, die bezüglich der ausstehenden Nichtkonformität getroffen wurde: Diese Maßnahme ist angemessen, da sie die Tatsache widerspiegelt, dass der Prüfer einen systematischen und kohärenten Ansatz bei der Durchführung und Berichterstattung des Folgeaudits verfolgt hat. Der Auditor sollte die Person, die das Auditprogramm verwaltet, über jede Entscheidung bezüglich der ausstehenden Nichtkonformität informieren, wie z. B. die Empfehlung, die Nichtkonformität beim nächsten Überwachungsaudit abzuschließen oder einen Plan für Korrekturmaßnahmen mit der geprüften Stelle/dem Prüfungskunden zu vereinbaren. Der Auditor sollte auch ausreichende Informationen und Nachweise zur Untermauerung seiner Entscheidung vorlegen1.
* Abschluss des Folgeaudits, da die Organisation gezeigt hat, dass sie sich verpflichtet hat, die festgestellten Nichtkonformitäten zu beseitigen: Diese Maßnahme ist angemessen, da sie die Tatsache widerspiegelt, dass die Organisation bei der Nachbetriebsprüfung zufriedenstellende Ergebnisse erzielt hat. Der Auditor sollte das Follow-up-Audit abschließen, da die Organisation gezeigt hat, dass sie sich verpflichtet hat, die aufgedeckten Nichtkonformitäten zu beseitigen, indem sie wirksame Abhilfemaßnahmen für die meisten dieser Nichtkonformitäten umgesetzt und einen Plan für die verbleibende Nichtkonformität vereinbart hat. Der Auditor sollte die Schlussfolgerung des Nachaudits auch der geprüften Stelle/dem Auditkunden und anderen relevanten Parteien mitteilen1.

Q105. Während eines Nachfolgeaudits stellen Sie fest, dass eine Nichtkonformität, die vor dem Nachfolgeaudit zur Behebung identifiziert wurde, immer noch aussteht.
Welche vier der folgenden Maßnahmen sollten Sie ergreifen?

Meldung des Versäumnisses, die Korrekturmaßnahmen für die ausstehende Nichtkonformität zu ergreifen, an die oberste Leitung der Organisation

Sofortige Meldung einer Nichtkonformität, da die Frist für die Fertigstellung überschritten wurde

Wenn die Verzögerung gerechtfertigt ist, vereinbaren Sie mit der geprüften Stelle/dem Prüfungskunden einen neuen Termin für die Beseitigung der Nichtkonformität.

Nehmen Sie Kontakt zu den Personen auf, die das Prüfungsprogramm verwalten, und bitten Sie sie um Rat, wie Sie vorgehen sollen.

Entscheiden Sie, ob die Verzögerung bei der Behebung der Nichtkonformität gerechtfertigt ist.

das Follow-up-Audit abzubrechen und zurückzukehren, wenn sichergestellt ist, dass die Nichtkonformität beseitigt wurde

Vermerken Sie, dass die Nichtkonformität noch nicht behoben ist, und verfolgen Sie die Prüfpfade, um festzustellen, warum

Bei ungerechtfertigter Verzögerung die geprüfte Stelle/den geprüften Mandanten informieren und Abhilfemaßnahmen vereinbaren

Q106. Wählen Sie die Wörter aus, die den folgenden Satz in Bezug auf die Erstellung einer Prüfungsfeststellung am besten ergänzen.
Um den Satz mit dem besten Wort/den besten Wörtern zu vervollständigen, klicken Sie auf den leeren Abschnitt, den Sie vervollständigen möchten, so dass er rot hervorgehoben wird, und klicken Sie dann auf den entsprechenden Text aus den Optionen unten. Alternativ können Sie die Option auch per Drag & Drop auf den entsprechenden leeren Abschnitt ziehen.

Q107. Für welche sechs der folgenden Maßnahmen ist/sind die Person(en), die das Prüfungsprogramm verwalten, verantwortlich?

Auswahl des Auditteams

Aufbewahrung der dokumentierten Informationen über die Prüfungsergebnisse

Festlegung der Ziele, des Umfangs und der Kriterien für eine Einzelprüfung

Festlegung des Plans für eine Einzelprüfung

Festlegung des Umfangs des Prüfungsprogramms

Festlegung des Prüfungsprogramms

Festlegung der für das Prüfungsprogramm erforderlichen Ressourcen

Kommunikation mit der geprüften Stelle während des Audits

Q108. Sie führen ein ISMS-Audit in der Versandabteilung eines internationalen Logistikunternehmens durch, das Versanddienstleistungen für große Organisationen, darunter örtliche Krankenhäuser und Regierungsbehörden, anbietet. Die Pakete enthalten in der Regel pharmazeutische Produkte, biologische Proben und Dokumente wie Pässe und Führerscheine. Sie stellen fest, dass die Aufzeichnungen des Unternehmens eine sehr hohe Zahl von Rücksendungen aufweisen, deren Ursachen u. a. falsch adressierte Etiketten und in 15% der Fälle zwei oder mehr Etiketten für unterschiedliche Adressen für ein Paket sind. Sie führen ein Gespräch mit dem Versandleiter (SM).
Sie: Werden die Sendungen vor dem Versand kontrolliert?
SH: Offensichtlich beschädigte Sendungen werden vor dem Versand vom diensthabenden Personal entfernt, aber die geringe Gewinnspanne macht es unwirtschaftlich, ein formelles Prüfverfahren einzuführen.
Sie: Welche Maßnahmen werden ergriffen, wenn Sendungen zurückgegeben werden?
SM: Die meisten dieser Verträge sind von relativ geringem Wert, daher wurde beschlossen, dass es einfacher und bequemer ist, das Etikett einfach neu zu drucken und einzelne Pakete erneut zu versenden, als eine Untersuchung durchzuführen.
Sie stellen eine Nichtkonformität fest. Welche sechs der folgenden Anhang-A-Kontrollen würden Sie erwarten, dass die geprüfte Stelle bei der Durchführung des Folgeaudits umgesetzt hat?

5.11 Rückgabe von Vermögenswerten

8.12 Schutz vor Datenverlusten

5.3 Aufgabentrennung

6.3 Bewusstsein für Informationssicherheit, Ausbildung und Schulung

7.10 Speichermedien

8.3 Beschränkung des Informationszugangs

5.6 Kontakt mit besonderen Interessengruppen

6.4 Disziplinarverfahren

7.4 Überwachung der physischen Sicherheit

5.13 Kennzeichnung von Informationen

5.32 Rechte an geistigem Eigentum

B) 8.12 Schutz vor Datenverlusten. Dies trifft zu, da die geprüfte Stelle Maßnahmen ergriffen haben sollte, um die unbefugte Offenlegung sensibler Informationen wie personenbezogener Daten, medizinischer Unterlagen oder offizieller Dokumente, die in den Paketen enthalten sind, zu verhindern. Der Schutz vor Datenverlusten könnte Verschlüsselung, Authentifizierung, Zugangskontrolle, Protokollierung und Überwachung von Datenübertragungen umfassen12.
D) 6.3 Bewusstsein für Informationssicherheit, Ausbildung und Schulung. Dies trifft zu, da die geprüfte Stelle sichergestellt haben sollte, dass alle am Versandprozess beteiligten Mitarbeiter und Auftragnehmer über die Grundsätze und Verfahren der Informationssicherheit informiert sind und eine angemessene Schulung zum Umgang mit den ihnen anvertrauten Informationen und deren Schutz erhalten haben. Sensibilisierung, Schulung und Ausbildung im Bereich der Informationssicherheit könnten Einführungsprogramme, regelmäßige Auffrischungen, Sensibilisierungskampagnen, E-Learning-Module und Feedback-Mechanismen umfassen13.
E) 7.10 Speichermedien. Dies trifft zu, da die geprüfte Stelle Kontrollen zum Schutz der Speichermedien, die Informationswerte enthalten, vor unbefugtem Zugriff, Missbrauch, Diebstahl, Verlust oder Beschädigung eingeführt haben sollte. Zu den Speichermedien können Papierdokumente, optische Datenträger, Magnetbänder, Flash-Laufwerke oder Festplatten gehören14. Zu den Kontrollen der Speichermedien können physische Sperren, Verschlüsselung, Backup, Entsorgung oder Vernichtung gehören14.
F) 8.3 Beschränkung des Informationszugangs. Dies trifft zu, da die geprüfte Stelle Kontrollen zur Beschränkung des Zugangs zu Informationsbeständen auf der Grundlage des Prinzips der geringsten Privilegien und der Notwendigkeit der Kenntnisnahme eingeführt haben sollte. Die Beschränkung des Informationszugangs könnte die Identifizierung, Authentifizierung, Autorisierung, Rechenschaftspflicht und Nachprüfbarkeit von Benutzern und Systemen, die auf Informationsbestände zugreifen, umfassen15.
I) 7.4 Überwachung der physischen Sicherheit. Dies trifft zu, da die geprüfte Stelle Kontrollen zur Überwachung der physischen Sicherheit der Räumlichkeiten, in denen Informationswerte gespeichert oder verarbeitet werden, eingeführt haben sollte. Die Überwachung der physischen Sicherheit könnte CCTV-Kameras, Alarme, Sensoren, Wachen oder Patrouillen umfassen16. Die Überwachung der physischen Sicherheit kann dazu beitragen, unbefugten physischen Zugang oder Einbruchsversuche aufzudecken und zu verhindern16.
J) 5.13 Kennzeichnung von Informationen. Dies trifft zu, da die geprüfte Stelle Kontrollen zur Kennzeichnung von Informationsgütern entsprechend ihrer Klassifizierungsstufe und ihren Handhabungsanweisungen eingeführt haben sollte. Die Kennzeichnung von Informationen kann in Form von Markierungen, Anhängern, Stempeln, Aufklebern oder Strichcodes erfolgen1 . Die Kennzeichnung von Informationen kann dazu beitragen, Informationsbestände zu identifizieren und vor unbefugter Offenlegung oder Missbrauch zu schützen1 .
Referenz:
ISO/IEC 27002:2022 Informationstechnik - Sicherheitstechniken - Verhaltenskodex für Informationssicherheitskontrollen ISO/IEC 27001:2022 Informationstechnik - Sicherheitstechniken - Informationssicherheits-Managementsysteme - Anforderungen ISO/IEC 27003:2022 Informationstechnik - Sicherheitstechniken - Informationssicherheits-Managementsysteme - Leitfaden ISO/IEC 27004:2022 Informationstechnik - Sicherheitstechniken - Managementsysteme für die Informationssicherheit - Überwachung, Messung, Analyse und Bewertung ISO/IEC 27005:2022 Informationstechnik - Sicherheitstechniken - Risikomanagement für die Informationssicherheit ISO/IEC 27006:2022 Informationstechnik - Sicherheitstechniken - Anforderungen an Stellen, die Managementsysteme für die Informationssicherheit prüfen und zertifizieren
[ISO/IEC 27007:2022 Informationstechnik - Sicherheitstechniken - Leitlinien für die Prüfung von Informationssicherheits-Managementsystemen]

Q109. Welche zwei Optionen sind die Vorteile einer durch Dritte akkreditierten Zertifizierung von Informationssicherheitsmanagementsystemen nach ISO/IEC 27001:2022 für Organisationen und interessierte Parteien?

Eine von einer dritten Partei akkreditierte Zertifizierung zeigt, dass die Organisation die von den interessierten Parteien erwarteten rechtlichen und gesetzlichen Anforderungen erfüllt.

Eine von einer dritten Partei akkreditierte Zertifizierung zeigt, dass die IKT-Produkte der Organisation sicher und zertifiziert sind.

Eine von einer dritten Partei akkreditierte Zertifizierung beweist, dass das Managementsystem der Organisation aufrechterhalten wird und wirksam ist.

Eine von einer dritten Partei akkreditierte Zertifizierung zeigt, dass das Managementsystem der Organisation einen systematischen Ansatz für die Informationssicherheit verfolgt.

Eine von einer dritten Partei akkreditierte Zertifizierung sorgt dafür, dass die Organisation mehr Kunden gewinnt

Eine von einer dritten Partei akkreditierte Zertifizierung stellt sicher, dass das IT-System der Organisation vor externen Eingriffen geschützt ist.

Q110. Wählen Sie zwei Optionen aus, die einen Vorteil der Verwendung einer Checkliste beschreiben.

Verwendung der gleichen Checkliste für jede Prüfung ohne Überprüfung

Beschränkung der Befragung auf benannte Parteien

Sicherstellung der Einhaltung der einschlägigen Prüfpfade

Sicherstellung der Umsetzung des Auditplans

Verkürzung der Prüfungsdauer

Nicht von der Checkliste abweichen, wenn dies erforderlich ist

Erläuterung
Eine Checkliste ist ein Instrument, das den Prüfern hilft, die für die Prüfungsziele und den Prüfungsumfang relevanten Informationen zu sammeln und zu überprüfen. Sie kann die folgenden Vorteile bieten:
Sicherstellen, dass die relevanten Prüfpfade eingehalten werden: Eine Checkliste kann den Prüfern dabei helfen, die Quellen von Nachweisen zu identifizieren und zurückzuverfolgen, die die Konformität oder Nichtkonformität der geprüften Kriterien belegen. Sie kann den Prüfern auch dabei helfen, zu vermeiden, dass sie wichtige Aspekte des Audits übersehen oder übersehen.
Sicherstellen, dass der Prüfungsplan umgesetzt wird: Eine Checkliste kann den Prüfern helfen, den Prüfungsplan zu befolgen und zu erfüllen, der die Vorkehrungen und Einzelheiten der Prüfung beschreibt, wie z. B. Ziele, Umfang, Kriterien, Zeitplan, Rollen und Zuständigkeiten. Sie kann den Prüfern auch dabei helfen, ihre Zeit und Ressourcen effektiv und effizient zu verwalten.
Die anderen Optionen sind keine Vorteile der Verwendung einer Checkliste, sondern eher:
Verwendung der gleichen Checkliste für jede Prüfung ohne Überprüfung: Dies ist ein Nachteil der Verwendung einer Checkliste, da sie zu einem starren und ineffektiven Prüfungsansatz führen kann. Eine Checkliste sollte auf jede einzelne Prüfung zugeschnitten und angepasst werden, wobei der Kontext, die Risiken und die Veränderungen der geprüften Stelle sowie die Prüfungskriterien berücksichtigt werden sollten. Außerdem sollte eine Checkliste regelmäßig überprüft und aktualisiert werden, um ihre Gültigkeit und Relevanz zu gewährleisten.
Beschränkung der Befragung auf benannte Parteien: Dies ist ein Nachteil der Verwendung einer Checkliste, da sie den Umfang und die Tiefe der Prüfung einschränken kann. Eine Checkliste sollte die Prüfer nicht daran hindern, andere relevante Parteien oder Informationsquellen zu befragen, die wertvolle Nachweise oder Erkenntnisse für die Prüfung liefern können. Eine Checkliste sollte als Leitfaden und nicht als Einschränkung verwendet werden.
Verkürzung der Auditdauer: Dies ist nicht unbedingt ein Vorteil der Verwendung einer Checkliste, da dies von verschiedenen Faktoren abhängt, wie z. B. der Komplexität, Größe und Reife des ISMS der geprüften Stelle, der Verfügbarkeit und Qualität der Nachweise, der Kompetenz und Erfahrung der Auditoren und dem Grad der Zusammenarbeit und Kommunikation zwischen den Auditoren und der geprüften Stelle. Eine Checkliste kann dazu beitragen, die Auditdauer zu verkürzen, indem sie die Effizienz und Organisation verbessert, sie kann aber auch die Auditdauer verlängern, indem sie mehr Nachweise oder Überprüfungen erfordert.
Nicht von der Checkliste abweichen, wenn es notwendig ist: Dies ist ein Nachteil der Verwendung einer Checkliste, da dies zu einer oberflächlichen oder unvollständigen Prüfung führen kann. Eine Checkliste sollte die Prüfer nicht daran hindern, während der Prüfung aufkommende Fragen oder Bedenken zu untersuchen, auch wenn sie nicht in der Checkliste enthalten sind. Eine Checkliste sollte als Unterstützung, nicht als Ersatz verwendet werden.
Referenzen:
ISO/IEC 27001:2022 Lead Auditor (Information Security Management Systems) Ziele und Inhalte von Quality.org und PECB ISO 19011:2018 Leitfaden für die Auditierung von Managementsystemen [Abschnitt 6.2.2]

Q111. Sie führen ein ISMS-Audit in der Versandabteilung eines internationalen Logistikunternehmens durch, das Versanddienstleistungen für große Organisationen, darunter örtliche Krankenhäuser und Regierungsbehörden, anbietet. Die Pakete enthalten in der Regel pharmazeutische Produkte, biologische Proben und Dokumente wie Pässe und Führerscheine. Sie stellen fest, dass die Aufzeichnungen des Unternehmens eine sehr hohe Zahl von Rücksendungen aufweisen, deren Ursachen u. a. falsch adressierte Etiketten und in 15% der Fälle zwei oder mehr Etiketten für unterschiedliche Adressen für ein Paket sind. Sie führen ein Gespräch mit dem Versandleiter (SM).
Sie: Werden die Sendungen vor dem Versand kontrolliert?
SH: Offensichtlich beschädigte Sendungen werden vor dem Versand vom diensthabenden Personal entfernt, aber die geringe Gewinnspanne macht es unwirtschaftlich, ein formelles Prüfverfahren einzuführen.
Sie: Welche Maßnahmen werden ergriffen, wenn Sendungen zurückgegeben werden?
SM: Die meisten dieser Verträge sind von relativ geringem Wert, daher wurde beschlossen, dass es einfacher und bequemer ist, das Etikett einfach neu zu drucken und einzelne Pakete erneut zu versenden, als eine Untersuchung durchzuführen.
Sie stellen eine Nichtkonformität fest. Welche sechs der folgenden Anhang-A-Kontrollen würden Sie erwarten, dass die geprüfte Stelle bei der Durchführung des Folgeaudits umgesetzt hat?

5.11 Rückgabe von Vermögenswerten

8.12 Schutz vor Datenverlusten

5.3 Aufgabentrennung

6.3 Bewusstsein für Informationssicherheit, Ausbildung und Schulung

7.10 Speichermedien

8.3 Beschränkung des Informationszugangs

5.6 Kontakt mit besonderen Interessengruppen

6.4 Disziplinarverfahren

7.4 Überwachung der physischen Sicherheit

5.13 Kennzeichnung von Informationen

5.32 Rechte an geistigem Eigentum

B. 8.12 Schutz vor Datenverlusten. Die geprüfte Stelle sollte Maßnahmen ergriffen haben, um die unbefugte Offenlegung sensibler Informationen wie personenbezogener Daten, medizinischer Unterlagen oder amtlicher Dokumente, die in den Paketen enthalten sind, zu verhindern. Der Schutz vor Datenverlusten könnte Verschlüsselung, Authentifizierung, Zugangskontrolle, Protokollierung und Überwachung von Datenübertragungen umfassen12.
D. 6.3 Bewusstsein für Informationssicherheit, Ausbildung und Schulung. Die geprüfte Stelle sollte sichergestellt haben, dass alle am Versandprozess beteiligten Mitarbeiter und Auftragnehmer über die Grundsätze und Verfahren der Informationssicherheit informiert sind und eine angemessene Schulung zum Umgang mit den ihnen anvertrauten Informationen und deren Schutz erhalten haben. Sensibilisierung, Schulung und Ausbildung im Bereich der Informationssicherheit könnten Einführungsprogramme, regelmäßige Auffrischungen, Sensibilisierungskampagnen, E-Learning-Module und Feedback-Mechanismen umfassen13.
E. 7.10 Speichermedien. Dies trifft zu, da die geprüfte Stelle Kontrollen zum Schutz der Speichermedien, die Informationswerte enthalten, vor unbefugtem Zugriff, Missbrauch, Diebstahl, Verlust oder Beschädigung eingeführt haben sollte. Zu den Speichermedien können Papierdokumente, optische Datenträger, Magnetbänder, Flash-Laufwerke oder Festplatten gehören14. Zu den Kontrollen der Speichermedien können physische Sperren, Verschlüsselung, Backup, Entsorgung oder Vernichtung gehören14.
F. 8.3 Beschränkung des Informationszugangs. Dies trifft zu, da die geprüfte Stelle Kontrollen zur Beschränkung des Zugriffs auf Informationsressourcen auf der Grundlage des Prinzips der geringsten Rechte und der Notwendigkeit des Wissenserwerbs eingeführt haben sollte. Die Beschränkung des Informationszugangs könnte die Identifizierung, Authentifizierung, Autorisierung, Rechenschaftspflicht und Nachprüfbarkeit von Benutzern und Systemen, die auf Informationsbestände zugreifen, umfassen15.
I. 7.4 Überwachung der physischen Sicherheit. Dies trifft zu, weil die geprüfte Stelle Kontrollen zur Überwachung der physischen Sicherheit der Räumlichkeiten, in denen Informationswerte gespeichert oder verarbeitet werden, eingeführt haben sollte. Die Überwachung der physischen Sicherheit könnte CCTV-Kameras, Alarme, Sensoren, Wachen oder Patrouillen umfassen16. Die Überwachung der physischen Sicherheit kann dazu beitragen, unbefugten physischen Zugang oder Einbruchsversuche aufzudecken und zu verhindern16.
J. 5.13 Kennzeichnung von Informationen. Dies trifft zu, da die geprüfte Stelle Kontrollen zur Kennzeichnung von Informationsgütern entsprechend ihrer Klassifizierungsstufe und ihren Handhabungsanweisungen eingeführt haben sollte. Die Kennzeichnung von Informationen kann in Form von Markierungen, Anhängern, Stempeln, Aufklebern oder Strichcodes erfolgen1 . Die Kennzeichnung von Informationen kann dazu beitragen, Informationsbestände zu identifizieren und vor unbefugter Offenlegung oder Missbrauch zu schützen1 .
Referenzen :=
ISO/IEC 27002:2022 Informationstechnik - Sicherheitstechniken - Verhaltenskodex für Informationssicherheitskontrollen ISO/IEC 27001:2022 Informationstechnik - Sicherheitstechniken - Informationssicherheits-Managementsysteme - Anforderungen ISO/IEC 27003:2022 Informationstechnik - Sicherheitstechniken - Informationssicherheits-Managementsysteme - Leitfaden ISO/IEC 27004:2022 Informationstechnik - Sicherheitstechniken - Managementsysteme für die Informationssicherheit - Überwachung, Messung, Analyse und Bewertung ISO/IEC 27005:2022 Informationstechnik - Sicherheitstechniken - Risikomanagement für die Informationssicherheit ISO/IEC 27006:2022 Informationstechnik - Sicherheitstechniken - Anforderungen an Stellen, die Managementsysteme für die Informationssicherheit prüfen und zertifizieren
[ISO/IEC 27007:2022 Informationstechnik - Sicherheitstechniken - Leitlinien für die Prüfung von Informationssicherheits-Managementsystemen]

Q112. Sie führen ein ISMS-Audit in der Versandabteilung eines internationalen Logistikunternehmens durch, das Versanddienstleistungen für große Organisationen, darunter örtliche Krankenhäuser und Regierungsbehörden, anbietet. Die Pakete enthalten in der Regel pharmazeutische Produkte, biologische Proben und Dokumente wie Pässe und Führerscheine. Sie stellen fest, dass die Aufzeichnungen des Unternehmens eine sehr hohe Zahl von Rücksendungen aufweisen, deren Ursachen u. a. falsch adressierte Etiketten und in 15% der Fälle zwei oder mehr Etiketten für unterschiedliche Adressen für ein Paket sind. Sie führen ein Gespräch mit dem Versandleiter (SM).
Sie: Werden die Sendungen vor dem Versand kontrolliert?
SH: Offensichtlich beschädigte Sendungen werden vor dem Versand vom diensthabenden Personal entfernt, aber die geringe Gewinnspanne macht es unwirtschaftlich, ein formelles Prüfverfahren einzuführen.
Sie: Welche Maßnahmen werden ergriffen, wenn Sendungen zurückgegeben werden?
SM: Die meisten dieser Verträge sind von relativ geringem Wert, daher wurde beschlossen, dass es einfacher und bequemer ist, das Etikett einfach neu zu drucken und einzelne Pakete erneut zu versenden, als eine Untersuchung durchzuführen.
Sie stellen eine Nichtkonformität fest. Welche sechs der folgenden Anhang-A-Kontrollen würden Sie erwarten, dass die geprüfte Stelle bei der Durchführung des Folgeaudits umgesetzt hat?

5.11 Rückgabe von Vermögenswerten

8.12 Schutz vor Datenverlusten

5.3 Aufgabentrennung

6.3 Bewusstsein für Informationssicherheit, Ausbildung und Schulung

7.10 Speichermedien

8.3 Beschränkung des Informationszugangs

5.6 Kontakt mit besonderen Interessengruppen

6.4 Disziplinarverfahren

7.4 Überwachung der physischen Sicherheit

5.13 Kennzeichnung von Informationen

5.32 Rechte an geistigem Eigentum

Erläuterung
* B. 8.12 Schutz vor Datenverlusten. Die geprüfte Stelle sollte Maßnahmen ergriffen haben, um die unbefugte Offenlegung sensibler Informationen wie personenbezogener Daten, medizinischer Unterlagen oder amtlicher Dokumente, die in den Paketen enthalten sind, zu verhindern. Der Schutz vor Datenverlusten könnte Verschlüsselung, Authentifizierung, Zugangskontrolle, Protokollierung und Überwachung von Datenübertragungen umfassen12.
* D. 6.3 Bewusstsein für Informationssicherheit, Ausbildung und Schulung. Dies ist zutreffend, da die geprüfte Stelle sichergestellt haben sollte, dass alle am Versandprozess beteiligten Mitarbeiter und Auftragnehmer über die
* Informationssicherheitsrichtlinien und -verfahren und haben eine angemessene Schulung im Umgang mit den ihnen anvertrauten Informationen und deren Schutz erhalten. Sensibilisierung, Schulung und Ausbildung im Bereich der Informationssicherheit könnten Einführungsprogramme, regelmäßige Auffrischungen, Sensibilisierungskampagnen, E-Learning-Module und Feedback-Mechanismen umfassen13.
* E. 7.10 Speichermedien. Dies trifft zu, da die geprüfte Stelle Kontrollen zum Schutz der Speichermedien, die Informationswerte enthalten, vor unbefugtem Zugriff, Missbrauch, Diebstahl, Verlust oder Beschädigung eingeführt haben sollte. Zu den Speichermedien können Papierdokumente, optische Datenträger, Magnetbänder, Flash-Laufwerke oder Festplatten gehören14. Zu den Kontrollen der Speichermedien können physische Sperren, Verschlüsselung, Backup, Entsorgung oder Vernichtung gehören14.
* F. 8.3 Beschränkung des Informationszugangs. Dies trifft zu, da die geprüfte Stelle Kontrollen zur Beschränkung des Zugangs zu Informationsbeständen auf der Grundlage des Prinzips der geringsten Privilegien und der Notwendigkeit der Kenntnisnahme eingeführt haben sollte. Die Beschränkung des Informationszugangs könnte die Identifizierung, Authentifizierung, Autorisierung, Rechenschaftspflicht und Nachprüfbarkeit von Benutzern und Systemen, die auf Informationsbestände zugreifen, umfassen15.
* I. 7.4 Überwachung der physischen Sicherheit. Dies trifft zu, da die geprüfte Stelle Kontrollen zur Überwachung der physischen Sicherheit der Räumlichkeiten, in denen Informationswerte gespeichert oder verarbeitet werden, eingeführt haben sollte. Die Überwachung der physischen Sicherheit könnte CCTV-Kameras, Alarme, Sensoren, Wachen oder Patrouillen umfassen16. Die Überwachung der physischen Sicherheit kann dazu beitragen, unbefugten physischen Zugang oder Einbruchsversuche aufzudecken und zu verhindern16.
* J. 5.13 Kennzeichnung von Informationen. Dies trifft zu, da die geprüfte Stelle Kontrollen zur Kennzeichnung von Informationsgütern entsprechend ihrer Klassifizierungsstufe und ihren Handhabungsanweisungen eingeführt haben sollte. Die Kennzeichnung von Informationen kann in Form von Markierungen, Anhängern, Stempeln, Aufklebern oder Strichcodes erfolgen1 . Die Kennzeichnung von Informationen kann dazu beitragen, Informationsbestände zu identifizieren und vor unbefugter Offenlegung oder Missbrauch zu schützen1 .
Referenzen :=
* ISO/IEC 27002:2022 Informationstechnik - Sicherheitstechniken - Verhaltenskodex für Informationssicherheitskontrollen
* ISO/IEC 27001:2022 Informationstechnik - Sicherheitstechniken - Managementsysteme für Informationssicherheit - Anforderungen
* ISO/IEC 27003:2022 Informationstechnik - Sicherheitstechniken - Informationssicherheits-Managementsysteme - Leitfaden
* ISO/IEC 27004:2022 Informationstechnik - Sicherheitstechniken - Managementsysteme für Informationssicherheit - Überwachung, Messung, Analyse und Bewertung
* ISO/IEC 27005:2022 Informationstechnik - Sicherheitstechniken - Risikomanagement der Informationssicherheit
* ISO/IEC 27006:2022 Informationstechnik - Sicherheitstechniken - Anforderungen an Stellen, die Informationssicherheitsmanagementsysteme auditieren und zertifizieren
* ISO/IEC 27007:2022 Informationstechnik - Sicherheitstechniken - Leitfaden für die Prüfung von Managementsystemen für die Informationssicherheit]

Q113. Im Falle eines Informationssicherheitsvorfalls sind die Rollen und Zuständigkeiten der Systembenutzer zu beachten, mit Ausnahme von:

Meldung von vermuteten oder bekannten Vorfällen nach ihrer Entdeckung über den Servicedesk

Beweise sichern, falls erforderlich

bei Bedarf mit dem Ermittlungspersonal während der Untersuchung zusammenarbeiten

Bekanntgabe der Einzelheiten des Informationssicherheitsvorfalls an alle Mitarbeiter

Q114. Sie sind Leiter eines Auditteams, das ein Überwachungsaudit bei einem Anbieter von Telekommunikationsdiensten durchführt. Sie haben einem jüngeren Mitglied Ihres Auditteams die Verantwortung für die Prüfung der Informationssicherheitsziele des Unternehmens übertragen. Bevor das Team mit der Bewertung beginnt, stellen Sie ihm die folgende Frage, um zu überprüfen, ob es die Anforderungen der ISO/IEC 27001:2022 verstanden hat.
Welche vier der folgenden Kriterien müssen Ziele der Informationssicherheit erfüllen?

Sie müssen in angemessener Weise vermittelt werden

Sie müssen als dokumentierte Informationen verfügbar sein

Sie müssen immer gemessen werden

Sie müssen stets überwacht werden

Sie müssen jährlich überprüft werden.

Sie müssen klar und unmissverständlich sein

Sie müssen mit der IS-Politik vereinbar sein.

Sie müssen realisierbar sein

Erläuterung
Gemäß ISO/IEC 27001:2022, Abschnitt 6.2, sind Informationssicherheitsziele die spezifischen Ergebnisse, die eine Organisation mit ihrem Informationssicherheitsmanagementsystem (ISMS) zu erreichen beabsichtigt. Die Norm legt fest, dass Informationssicherheitsziele die folgenden Kriterien erfüllen müssen:
Sie müssen in angemessener Weise kommuniziert werden (A): Die Organisation muss sicherstellen, dass die relevanten internen und externen Parteien über die Ziele der Informationssicherheit und ihre Aufgaben und Verantwortlichkeiten bei der Erreichung dieser Ziele informiert werden. Dies kann dazu beitragen, das Bewusstsein, das Engagement und die Verantwortlichkeit für die Informationssicherheit zu fördern. Dieses Kriterium bezieht sich auf Abschnitt 6.2.2 der ISO/IEC 27001:2022.
Sie müssen als dokumentierte Informationen verfügbar sein (B): Die Organisation muss dokumentierte Informationen über die Informationssicherheitsziele, einschließlich ihres Umfangs, ihres Niveaus, ihrer Indikatoren und ihres Zeitrahmens, pflegen und aufbewahren. Dies kann dazu beitragen, Nachweise, Rückverfolgbarkeit und Konsistenz für die Informationssicherheit zu schaffen. Dieses Kriterium bezieht sich auf Abschnitt 6.2.1 der ISO/IEC 27001:2022.
Sie müssen mit der IS-Politik (G) übereinstimmen: Die Organisation muss sicherstellen, dass die Informationssicherheitsziele mit der Informationssicherheitspolitik übereinstimmen, die auf höchster Ebene die Absichten und die Ausrichtung der Organisation in Bezug auf die Informationssicherheit darlegt. Dies kann dazu beitragen, die strategischen Ziele und den Kontext der Organisation zu unterstützen. Dieses Kriterium bezieht sich auf Abschnitt 5.2 der ISO/IEC
27001:2022.
Sie müssen realisierbar sein (H): Die Organisation muss sicherstellen, dass die Ziele der Informationssicherheit realistisch und erreichbar sind, wobei die verfügbaren Ressourcen, Fähigkeiten und Einschränkungen zu berücksichtigen sind. Dies kann dazu beitragen, unrealistische oder nicht realisierbare Erwartungen zu vermeiden und den Fortschritt und die Leistung der Informationssicherheit zu überwachen und zu messen. Dieses Kriterium bezieht sich auf Abschnitt 6.2.1 der ISO/IEC 27001:2022.
Referenzen:
ISO/IEC 27001:2022, Informationstechnologie - Sicherheitstechniken - Informationssicherheitsmanagementsysteme - Anforderungen1 PECB Kandidatenhandbuch ISO/IEC 27001 Lead Auditor2 ISO 27001:2022 Lead Auditor - PECB3 ISO 27001:2022 zertifizierter ISMS Lead Auditor - Jisc4 ISO/IEC 27001:2022 Lead Auditor Transition Training Course5 ISO 27001 - Information Security Lead Auditor Course - PwC Training Academy6

Q115. Während der Eröffnungsbesprechung für das Audit der Stufe 1 bittet der Managementsystembeauftragte (MSR) darum, den Auditumfang auf einen neuen Standort in Übersee auszudehnen, den er seit dem Antrag auf Zertifizierung hinzugewonnen hat.
Wählen Sie zwei Optionen aus, wie der Prüfer reagieren sollte.

Weisen Sie den MSR darauf hin, dass eine Erweiterung des Geltungsbereichs möglich ist, aber die üblichen Verfahren durchlaufen werden müssen.

Mitteilung an den MSR, dass der Prüfungsumfang auf der Grundlage seines ursprünglichen Antrags festgelegt wurde und die Prüfung wie geplant durchgeführt werden muss

dem MSR vorschlagen, den Auditvertrag zu kündigen und sich in der neuen Situation erneut zu bewerben

Feststellen, ob das Managementsystem die Prozesse am neuen Standort abdeckt, und, falls ja, mit dem Audit fortfahren

dem MSR mitzuteilen, dass der neue Arbeitsbereich im Rahmen des bestehenden Geltungsbereichs problemlos einbezogen werden kann

Bestätigen Sie, dass der Prüfer die geprüfte Stelle darüber informiert, dass der Prüfungsumfang geändert wird, um den neuen Arbeitsbereich einzubeziehen.

Erläuterung
Die richtigen Optionen für die Antwort des Prüfers sind:
* A. Hinweis an den MSR, dass eine Ausweitung des Geltungsbereichs möglich ist, aber die festgelegten Verfahren durchlaufen werden müssen
* D. Feststellen, ob das Managementsystem die Prozesse am neuen Standort abdeckt und, falls ja, mit dem Audit fortfahren Diese Optionen stehen im Einklang mit der Norm ISO/IEC 27006:2015, die besagt, dass alle Änderungen des Zertifizierungsumfangs vom Kunden der Zertifizierungsstelle mitgeteilt werden sollten und dass die Zertifizierungsstelle diese Änderungen in Übereinstimmung mit ihren Verfahren1 bewerten und entscheiden sollte. Der Auditor sollte auch überprüfen, ob das ISMS an allen Standorten, die in den Geltungsbereich der Zertifizierung fallen, implementiert ist und aufrechterhalten wird1.
Die anderen Optionen sind nicht geeignet, wie der Prüfer reagieren sollte, denn:
* B. Den MSR darauf hinweisen, dass der Prüfungsumfang auf der Grundlage ihres ursprünglichen Antrags festgelegt wurde und die Prüfung wie geplant durchgeführt werden muss: Diese Option ist zu starr und lässt keine Flexibilität oder Anpassung an die Situation des Kunden zu. Der Auditor sollte bereit sein, Änderungen des Zertifizierungsumfangs zu berücksichtigen, die seit dem ursprünglichen Antrag eingetreten sind, solange sie ordnungsgemäß gemeldet und von der Zertifizierungsstelle bewertet werden.
* C. Vorschlagen, dass der MSR den Prüfvertrag kündigt und sich in der neuen Situation erneut bewirbt: Diese Option ist zu
* drastisch und unnötig, da dies sowohl für den Kunden als auch für die Zertifizierungsstelle zu Verzögerungen und Kosten führen würde.
Der Prüfer sollte dem Kunden nicht vorschlagen, den Prüfungsvertrag zu kündigen, sondern vielmehr die festgelegten Verfahren für die Beantragung und Genehmigung einer Erweiterung des Prüfungsumfangs einhalten.
* E. Den MSR darauf hinweisen, dass der neue Arbeitsbereich problemlos in den bestehenden Geltungsbereich aufgenommen werden kann: Diese Option ist zu nachsichtig und gewährleistet nicht, dass der neue Arbeitsbereich die Anforderungen der ISO/IEC 27001 und des ISMS erfüllt. Der Auditor sollte nicht davon ausgehen, dass der neue Arbeitsbereich problemlos in den bestehenden Geltungsbereich aufgenommen werden kann, sondern er muss vielmehr überprüfen, ob das ISMS am neuen Standort implementiert und aufrechterhalten wird und ob alle Änderungen des Zertifizierungsumfangs von der Zertifizierungsstelle genehmigt wurden.
* F. Bestätigen Sie, dass der Auditor die geprüfte Stelle darüber informieren wird, dass der Auditumfang geändert wird, um den neuen Arbeitsbereich einzubeziehen: Diese Option ist zu anmaßend und respektiert nicht die Autorität der Zertifizierungsstelle.
Der Auditor sollte nicht bestätigen, dass er den Auditumfang überarbeiten wird, um den neuen Arbeitsbereich einzubeziehen, sondern dass er die Zertifizierungsstelle über den Antrag des Kunden auf Erweiterung des Zertifizierungsumfangs informieren und deren Entscheidung abwarten wird.

Q116. Der Vorstandsvorsitzende schickt eine E-Mail, in der er sich zur Lage des Unternehmens und zur künftigen Strategie des Unternehmens äußert und die Vision des Vorstandsvorsitzenden und die Rolle der Mitarbeiter darin erläutert. Die Mail sollte klassifiziert werden als

Interne Post

Öffentliche Post

Vertrauliche Post

Eingeschränkte Post

Q117. Ihre Organisation strebt derzeit die Zertifizierung nach ISO/IEC27001:2022 an. Sie haben sich gerade als interner ISMS-Auditor qualifiziert und der IKT-Manager möchte Ihr neu erworbenes Wissen nutzen, um ihn bei der Entwicklung eines Prozesses für das Management von Informationssicherheitsvorfällen zu unterstützen.
Er nennt die folgenden Schritte in seinem geplanten Verfahren und bittet Sie um Bestätigung der Reihenfolge, in der sie erscheinen sollen.

Erläuterung:
Schritt 1 = Protokollierung von Vorfällen Schritt 2 = Kategorisierung von Vorfällen Schritt 3 = Priorisierung von Vorfällen Schritt 4 = Zuweisung von Vorfällen Schritt 5 = Erstellung und Verwaltung von Aufgaben Schritt 6 = SLA-Verwaltung und Eskalation Schritt 7 = Behebung von Vorfällen Schritt 8 = Beendigung von Vorfällen Die Reihenfolge der Schritte im Prozess zur Verwaltung von Vorfällen im Bereich der Informationssicherheit sollte einer logischen Abfolge folgen, die eine schnelle, wirksame und ordnungsgemäße Reaktion auf Vorfälle, Ereignisse und Schwachstellen gewährleistet. Die Reihenfolge sollte auch mit den bewährten Praktiken und den Leitlinien von ISO/IEC 27001:2022 und ISO/IEC 27035:2022 übereinstimmen. Daher wird die folgende Reihenfolge vorgeschlagen:
Schritt 1 = Vorfallprotokollierung: In diesem Schritt werden die Einzelheiten des potenziellen Vorfalls, Ereignisses oder der Schwachstelle aufgezeichnet, z. B. Datum, Uhrzeit, Quelle, Beschreibung, Auswirkungen und Berichterstatter. Dieser Schritt ist wichtig, um eine nachvollziehbare Aufzeichnung des Vorfalls zu erstellen und die anschließende Analyse und Reaktion zu erleichtern. Dieser Schritt steht im Zusammenhang mit der Kontrolle A.16.1.1 der ISO/IEC 27001:2022, die verlangt, dass die Organisation Verantwortlichkeiten und Verfahren für das Management von Vorfällen, Ereignissen und Schwachstellen in der Informationssicherheit festlegt. Dieser Schritt steht auch im Zusammenhang mit Abschnitt 6.2 von ISO/IEC 27035:2022, der Anleitungen für die Protokollierung von Vorfällen, Ereignissen und Schwachstellen enthält.
Schritt 2 = Kategorisierung des Vorfalls: In diesem Schritt werden Art und Charakter des Vorfalls, Ereignisses oder der Schwachstelle bestimmt, z. B. ob es sich um ein Hardware-, Netzwerk- oder Software-Problem handelt. Dieser Schritt ist wichtig, um den Vorfall zu klassifizieren und ihn dem entsprechenden Problemlöser oder Team zuzuweisen. Dieser Schritt steht im Zusammenhang mit der Kontrolle A.16.1.2 der ISO/IEC 27001:2022, die verlangt, dass die Organisation Ereignisse und Schwachstellen in der Informationssicherheit so schnell wie möglich über die entsprechenden Managementkanäle meldet. Dieser Schritt steht auch im Zusammenhang mit Abschnitt 6.3 von ISO/IEC 27035:2022, der Hinweise zur Kategorisierung von Vorfällen, Ereignissen und Schwachstellen enthält.
Schritt 3 = Priorisierung des Vorfalls: In diesem Schritt wird die Schwere und Dringlichkeit des Vorfalls, Ereignisses oder der Schwachstelle bewertet und als kritisch, hoch, mittel oder gering eingestuft. Dieser Schritt ist wichtig, um den Vorfall zu priorisieren und die notwendigen Ressourcen und Zeit für die Reaktion zuzuweisen. Dieser Schritt steht im Zusammenhang mit der Kontrolle A.16.1.3 der ISO/IEC 27001:2022, die von der Organisation verlangt, Ereignisse und Schwachstellen im Bereich der Informationssicherheit gemäß den festgelegten Kriterien zu bewerten und zu priorisieren. Dieser Schritt steht auch im Zusammenhang mit Abschnitt 6.4 von ISO/IEC 27035:2022, der Anleitungen für die Priorisierung von Vorfällen, Ereignissen und Schwachstellen enthält.
Schritt 4 = Zuweisung des Vorfalls: In diesem Schritt wird der Vorfall, das Ereignis oder die Schwachstelle der Person oder dem Team zugewiesen, die/der aufgrund ihrer/seiner Fähigkeiten, ihres/seines Wissens und ihrer/seiner Verfügbarkeit am besten geeignet ist, das Problem zu lösen.
Dieser Schritt ist wichtig, um sicherzustellen, dass der Vorfall von der richtigen Person oder dem richtigen Team bearbeitet wird und um Verzögerungen oder Verwirrung zu vermeiden. Dieser Schritt steht im Zusammenhang mit der Kontrolle A.16.1.4 der ISO/IEC 27001:2022, die von der Organisation verlangt, dass sie auf Ereignisse und Schwachstellen in der Informationssicherheit zeitnah und gemäß den vereinbarten Verfahren reagiert. Dieser Schritt steht auch im Zusammenhang mit Abschnitt 6.5 von ISO/IEC 27035:2022, der Anleitungen für die Zuordnung von Vorfällen, Ereignissen und Schwachstellen enthält.
Schritt 5 = Erstellung und Verwaltung von Aufgaben: In diesem Schritt werden die zur Behebung des Vorfalls, des Ereignisses oder der Schwachstelle erforderlichen Arbeiten identifiziert und koordiniert, z. B. die Durchführung einer Ursachenanalyse, das Testen von Lösungen, die Implementierung von Änderungen und die Dokumentation von Maßnahmen. Dieser Schritt ist wichtig, um sicherzustellen, dass der Vorfall effektiv und effizient behoben wird und dass die Maßnahmen nachverfolgt und kontrolliert werden. Dieser Schritt steht im Zusammenhang mit der Kontrolle A.16.1.5 der ISO/IEC 27001:2022, die verlangt, dass die Organisation die aus den Ereignissen und Schwachstellen der Informationssicherheit gewonnenen Erkenntnisse nutzt, um Korrektur- und Präventivmaßnahmen zu ergreifen. Dieser Schritt steht auch im Zusammenhang mit Abschnitt 6.6 von ISO/IEC 27035:2022, der Anleitungen für die Erstellung und Verwaltung von Aufgaben für Vorfälle, Ereignisse und Schwachstellen enthält.
Schritt 6 = SLA-Management und Eskalation: In diesem Schritt wird sichergestellt, dass alle Service Level Agreements (SLAs) während der Umsetzung der Lösung eingehalten werden und dass der Vorfall an eine höhere Autoritäts- oder Unterstützungsebene eskaliert wird, wenn eine Verletzung wahrscheinlich ist oder auftritt. Dieser Schritt ist wichtig, um sicherzustellen, dass der Vorfall innerhalb des vereinbarten Zeitrahmens und in der vereinbarten Qualität behoben wird und dass alle Abweichungen oder Probleme kommuniziert und behandelt werden. Dieser Schritt steht im Zusammenhang mit der Kontrolle A.16.1.6 der ISO/IEC 27001:2022, die verlangt, dass die Organisation Ereignisse und Schwachstellen in der Informationssicherheit den relevanten internen und externen Parteien mitteilt, soweit dies angemessen ist. Dieser Schritt steht auch im Zusammenhang mit Abschnitt 6.7 der ISO/IEC
27035:2022, die eine Anleitung für die Verwaltung von SLAs und Eskalationen für Vorfälle, Ereignisse und Schwachstellen enthält.
Schritt 7 = Behebung des Vorfalls: Dieser Schritt beinhaltet die Anwendung einer vorübergehenden Umgehung oder einer dauerhaften Lösung zur Behebung des Vorfalls, des Ereignisses oder der Schwachstelle und die Wiederherstellung des normalen Betriebs der Informations- und Informationsverarbeitungseinrichtungen. Dieser Schritt ist wichtig, um sicherzustellen, dass der Vorfall vollständig und zufriedenstellend behoben und die Informationssicherheit auf dem gewünschten Niveau wiederhergestellt wird.
Dieser Schritt steht im Zusammenhang mit der Kontrolle A.16.1.7 von ISO/IEC 27001:2022, die von der Organisation verlangt, die Ursache von Informationssicherheitsvorfällen und -schwächen zu ermitteln und Maßnahmen zu ergreifen, um deren Wiederholung oder Auftreten zu verhindern. Dieser Schritt steht auch im Zusammenhang mit Abschnitt 6.8 von ISO/IEC 27035:2022, der Anleitungen zur Behebung von Vorfällen, Ereignissen und Schwachstellen enthält.
Schritt 8 = Abschluss des Vorfalls: In diesem Schritt wird der Vorfall, das Ereignis oder die Schwachstelle abgeschlossen, nachdem überprüft wurde, dass der Vorfall zufriedenstellend gelöst wurde und alle Maßnahmen abgeschlossen und dokumentiert wurden.
Dieser Schritt ist wichtig, um sicherzustellen, dass der Vorfall formell abgeschlossen ist und keine weiteren Maßnahmen erforderlich sind. Dieser Schritt steht im Zusammenhang mit der Kontrolle A.16.1.8 der ISO/IEC 27001:2022, die von der Organisation verlangt, Beweise zu sammeln und die Ereignisse und Schwachstellen der Informationssicherheit sowie die ergriffenen Maßnahmen zu dokumentieren. Dieser Schritt steht auch im Zusammenhang mit Abschnitt 6.9 von ISO/IEC 27035:2022, der Anleitungen zum Schließen von Vorfällen, Ereignissen und Schwachstellen enthält.
Referenzen:
ISO/IEC 27001:2022, Informationstechnologie - Sicherheitstechniken - Informationssicherheits-Managementsysteme - Anforderungen1 PECB Kandidatenhandbuch ISO/IEC 27001 Lead Auditor2 ISO 27001:2022 Lead Auditor - PECB3 ISO 27001:2022 zertifizierter ISMS Lead Auditor - Jisc4 ISO/IEC 27001:2022 Lead Auditor Transition Training Course5 ISO 27001 - Information Security Lead Auditor Course - PwC Training Academy6 ISO/IEC 27035:2022, Informationstechnologie - Sicherheitstechniken - Information Security Incident Management

Q118. Zu den Zwecken der Informationssicherheit gehören folgende Ausnahmen:

Sicherstellung der Geschäftskontinuität

Geschäftsrisiko minimieren

Geschäftsvermögen erhöhen

Maximierung der Investitionsrentabilität

Q119. Sie sind ein erfahrener Auditteamleiter, der einen Auditor in Ausbildung anleitet. Ihr Team führt derzeit ein Überwachungsaudit bei einer Organisation durch, die Daten im Auftrag externer Kunden speichert. Der Auditor in Ausbildung wurde damit beauftragt, die in der Anwendbarkeitserklärung (SoA) aufgeführten und am Standort implementierten TECHNOLOGISCHEN Kontrollen zu überprüfen.
Wählen Sie aus der folgenden Liste vier Kontrollen aus, die der Prüfer in Ausbildung Ihrer Meinung nach überprüfen sollte.

Entwicklung und Pflege eines Inventars der Informationsbestände

Regeln für die Weitergabe von Informationen innerhalb der Organisation und an andere Organisationen

Vertraulichkeits- und Geheimhaltungsvereinbarungen

Wie der Schutz vor Malware umgesetzt wird

Zugang zur und von der Laderampe

die Durchführung von Überprüfungen des Personals

Regelungen für Fernarbeit

Wie die Informationssicherheit in den Lieferantenvereinbarungen behandelt wurde

Wie die Organisation ihre Gefährdung durch technische Schwachstellen bewertet

Die Vorkehrungen der Organisation zur Aufrechterhaltung des Geschäftsbetriebs

Die Vorkehrungen der Organisation zur Löschung von Informationen

Sensibilisierung für die Informationssicherheit, Aufklärung und Schulung

Wie der Zugang zu Quellcode und Entwicklungswerkzeugen verwaltet wird

den Betrieb der CCTV- und Türkontrollsysteme am Standort

Vorkehrungen der Organisation zur Instandhaltung der Ausrüstung

Wie Strom- und Datenkabel in das Gebäude gelangen

Gemäß ISO/IEC 27001:2022, die die Anforderungen an die Einrichtung, Umsetzung, Aufrechterhaltung und kontinuierliche Verbesserung eines Informationssicherheitsmanagementsystems (ISMS) festlegt, sollte eine Organisation geeignete Kontrollen auswählen und umsetzen, um ihre Informationssicherheitsziele zu erreichen1. Die Kontrollen sollten aus den Ergebnissen der Risikobewertung und Risikobehandlung abgeleitet werden und mit der Anwendbarkeitserklärung (Statement of Applicability, SoA) übereinstimmen, einem Dokument, das die für das ISMS anwendbaren und notwendigen Kontrollen identifiziert1. Die Kontrollen können aus verschiedenen Quellen ausgewählt werden, z. B. aus der ISO/IEC 27002:2013, die einen Verhaltenskodex für Informationssicherheitskontrollen enthält2. Wenn also ein Auditor in der Ausbildung damit beauftragt wurde, die im SoA aufgeführten und am Standort einer Organisation, die Daten für externe Kunden speichert, implementierten technischen Kontrollen zu überprüfen, wären vier Kontrollen zu erwarten, die zu überprüfen wären:
* Wie wird der Schutz vor Schadsoftware umgesetzt: Dies ist eine technologische Kontrolle, die darauf abzielt, bösartige Software (wie Viren, Würmer, Ransomware usw.) zu verhindern, zu erkennen und zu entfernen, die die Vertraulichkeit, Integrität oder Verfügbarkeit von Informationen oder Informationssystemen gefährden könnte2. Diese Kontrolle bezieht sich auf die Kontrolle A.12.2.1 der ISO/IEC 27002:20132.
* Wie die Organisation ihre Gefährdung durch technische Schwachstellen bewertet: Hierbei handelt es sich um eine technologische Kontrolle, die darauf abzielt, potenzielle Schwachstellen oder Fehler in Informationssystemen oder -netzen zu identifizieren und zu bewerten, die von böswilligen Akteuren ausgenutzt werden oder unbeabsichtigte Ausfälle verursachen könnten2. Diese Kontrolle bezieht sich auf die Kontrolle A.12.6.1 der ISO/IEC 27002:20132.
* Wie der Zugang zu Quellcode und Entwicklungswerkzeugen verwaltet wird: Hierbei handelt es sich um eine technologische Kontrolle, die darauf abzielt, die geistigen Eigentumsrechte und die Integrität von Softwareanwendungen oder -systemen zu schützen, die von der Organisation oder ihren externen Anbietern entwickelt oder gewartet werden2. Diese Kontrolle bezieht sich auf die Kontrolle A.14.2.5 der ISO/IEC 27002:20132.
* Der Betrieb der CCTV- und Türkontrollsysteme vor Ort: Dies ist eine technologische Kontrolle, die darauf abzielt
* Überwachung und Einschränkung des physischen Zugangs zu den Räumlichkeiten oder Einrichtungen, in denen Informationen oder Informationssysteme gespeichert oder verarbeitet werden2. Diese Kontrolle bezieht sich auf die Kontrolle A.11.1.4 der ISO/IEC 27002:20132.
Die anderen Optionen sind keine Beispiele für technologische Kontrollen, sondern eher organisatorische, rechtliche oder verfahrenstechnische Kontrollen, die ebenfalls für ein ISMS-Audit relevant sein können, aber nicht in den Aufgabenbereich des Auditors in Ausbildung fallen. Zum Beispiel die Entwicklung und Pflege eines Inventars von Informationsbeständen (in Verbindung mit Kontrolle A.8.1.1), Regeln für die Übertragung von Informationen innerhalb der Organisation und an andere Organisationen (in Verbindung mit Kontrolle A.13.2.1), Vertraulichkeits- und Geheimhaltungsvereinbarungen (in Verbindung mit Kontrolle A.13.2.4), Überprüfungen des Personals (in Verbindung mit Kontrolle A.7.1.2), Fernarbeitsregelungen (in Verbindung mit Kontrolle A.6.2.1), Informationssicherheit in Lieferantenvereinbarungen (in Verbindung mit Kontrolle A.15.1.1), Vorkehrungen zur Aufrechterhaltung des Geschäftsbetriebs (in Verbindung mit Kontrolle A.17), Löschung von Informationen (in Verbindung mit Kontrolle A.8.3), Sensibilisierung für die Informationssicherheit, Aus- und Weiterbildung (in Verbindung mit Kontrolle A.7.2), Wartung von Geräten (in Verbindung mit Kontrolle A.11.2) und die Art und Weise, wie Strom- und Datenkabel in das Gebäude gelangen (in Verbindung mit Kontrolle A.11), sind keine technologischen Kontrollen, sondern eher organisatorische, rechtliche oder verfahrenstechnische Kontrollen, die ebenfalls für ein ISMS-Audit relevant sein können, aber nicht in den Aufgabenbereich des Auditors in Ausbildung fallen. Referenzen: ISO/IEC 27001:2022 - Informationstechnik - Sicherheitstechniken - Informationssicherheitsmanagementsysteme - Anforderungen, ISO/IEC
27002:2013 - Informationstechnologie - Sicherheitstechniken - Verfahrenskodex für Informationssicherheitskontrollen

Q120. Nennen Sie bitte im Zusammenhang mit einem Managementsystem-Audit den Ablauf eines typischen Prozesses zur Sammlung und Überprüfung von Informationen. Die erste Aufgabe wurde bereits für Sie erledigt.

Exam Dumps ISO-IEC-27001-Lead-Auditor Practice Free Latest PECB Practice Tests [Q98-Q120]

Exam Dumps ISO-IEC-27001-Lead-Auditor Practice Free Latest PECB Practice Tests [Q98-Q120]

TrainingDump

Eine Antwort hinterlassen
Antworten abbrechen

Eine Antwort hinterlassen

Exam Dumps ISO-IEC-27001-Lead-Auditor Practice Free Latest PECB Practice Tests [Q98-Q120]

TrainingDump

Eine Antwort hinterlassen Antworten abbrechen

Eine Antwort hinterlassen

Eine Antwort hinterlassen
Antworten abbrechen