PECB - Neueste Trainingsdumps

FRAGE 68
Sie führen ein ISMS-Audit in der Versandabteilung eines internationalen Logistikunternehmens durch, das Versanddienstleistungen für große Organisationen, darunter örtliche Krankenhäuser und Regierungsbehörden, anbietet. Die Pakete enthalten in der Regel pharmazeutische Produkte, biologische Proben und Dokumente wie Pässe und Führerscheine. Sie stellen fest, dass die Aufzeichnungen des Unternehmens eine sehr hohe Zahl von Rücksendungen aufweisen, deren Ursachen u. a. falsch adressierte Etiketten und in 15% der Fälle zwei oder mehr Etiketten für unterschiedliche Adressen für ein Paket sind. Sie führen ein Gespräch mit dem Versandleiter (SM).
Sie: Werden die Sendungen vor dem Versand kontrolliert?
SM: Offensichtlich beschädigte Sendungen werden vom Dienstpersonal vor dem Versand entfernt, aber aufgrund der geringen Gewinnspanne ist es unwirtschaftlich, ein formelles Prüfverfahren einzuführen.
Sie: Welche Maßnahmen werden ergriffen, wenn Sendungen zurückgegeben werden?
SM: Die meisten dieser Verträge sind von relativ geringem Wert, daher wurde beschlossen, dass es einfacher und bequemer ist, das Etikett einfach neu zu drucken und einzelne Pakete erneut zu versenden, als eine Untersuchung durchzuführen.
Sie stellen eine Nichtkonformität fest. Welche drei der folgenden Anhang-A-Kontrollen würden Sie erwarten, dass die geprüfte Stelle diese umgesetzt hat, wenn Sie das Folgeaudit durchführen?

5.11 Rückgabe von Vermögenswerten

5.13 Kennzeichnung von Informationen

5.3 Aufgabentrennung

5.32 Rechte an geistigem Eigentum

5.34 Privatsphäre und Schutz von personenbezogenen Daten (PII)

5.6 Kontakt mit besonderen Interessengruppen

6.3 Bewusstsein für Informationssicherheit, Ausbildung und Schulung

6.4 Disziplinarverfahren

Erläuterung
Die drei Kontrollen nach Anhang A, von denen Sie erwarten würden, dass die geprüfte Stelle sie zum Zeitpunkt der Nachprüfung durchgeführt hat, sind:
* B. 5.13 Kennzeichnung von Informationen
* E. 5.34 Privatsphäre und Schutz von personenbezogenen Daten (PII)
* G. 6.3 Bewusstsein für Informationssicherheit, Ausbildung und Schulung
* B. Diese Kontrolle verlangt von der Organisation, dass sie die Informationsgüter entsprechend dem Informationsklassifizierungsschema kennzeichnet und sie entsprechend behandelt12. Diese Kontrolle ist für die geprüfte Stelle von Bedeutung, da sie dazu beitragen kann, falsche Adressetiketten und den Versand von Paketen an falsche Bestimmungsorte zu vermeiden, was die Vertraulichkeit, Integrität und Verfügbarkeit der Informationsgüter gefährden könnte. Durch die korrekte Kennzeichnung der Informationsgüter könnte die geprüfte Stelle außerdem sicherstellen, dass diese an die vorgesehenen Empfänger geliefert werden und vor unbefugtem Zugriff, unbefugter Nutzung oder Offenlegung geschützt sind.
* E. Diese Kontrolle verpflichtet die Organisation, die Privatsphäre und die Rechte von Personen zu schützen, deren personenbezogene Daten (PII) von der Organisation verarbeitet werden, und die geltenden gesetzlichen und vertraglichen Verpflichtungen einzuhalten13. Diese Kontrolle ist für die geprüfte Stelle von Bedeutung, da sie dazu beitragen könnte, die unbefugte Nutzung der personenbezogenen Daten der Bewohner durch einen Lieferanten zu verhindern, die die Privatsphäre und die Rechte der Bewohner und ihrer Familienangehörigen verletzen und die geprüfte Stelle rechtlichen und Reputationsrisiken aussetzen könnte. Durch den Schutz der personenbezogenen Daten der Bewohner und ihrer Familienangehörigen könnte die geprüfte Stelle auch deren Vertrauen und Zufriedenheit stärken und Beschwerden und Streitigkeiten vermeiden.
* G. Diese Kontrolle verlangt, dass die Organisation sicherstellt, dass alle Mitarbeiter und Auftragnehmer die Informationssicherheitspolitik, ihre Rollen und Verantwortlichkeiten sowie die relevanten Verfahren und Kontrollen zur Informationssicherheit kennen14. Diese Kontrolle ist für die geprüfte Stelle von Bedeutung, da sie dazu beitragen kann, die Informationssicherheitskultur und das Verhalten der Mitarbeiter zu verbessern und menschliche Fehler und Nachlässigkeiten, die zu Vorfällen im Bereich der Informationssicherheit führen können, zu verringern. Durch die Sensibilisierung, Ausbildung und Schulung ihrer Mitarbeiter für die Informationssicherheit könnte die geprüfte Stelle auch deren Kompetenz und Leistung steigern und die Wirksamkeit und Effizienz der Verfahren und Kontrollen der Informationssicherheit gewährleisten.
Referenzen:
1: ISO/IEC 27001:2022 - Informationstechnik - Sicherheitstechnik - Informationssicherheits-Managementsysteme - Anforderungen, Anhang A 2: ISO/IEC 27002:2022 - Informationstechnik - Sicherheitstechnik
- Verhaltenskodex für Informationssicherheitskontrollen, Abschnitt 8.2.1 3: ISO/IEC 27002:2022 - Informationstechnik - Sicherheitstechniken - Verhaltenskodex für Informationssicherheitskontrollen, Abschnitt 18.1.4 4:
ISO/IEC 27002:2022 - Informationstechnik - Sicherheitstechniken - Verhaltenskodex für Informationssicherheitskontrollen, Abschnitt 7.2.2

FRAGE 69
In welcher Reihenfolge wird ein Informationssicherheitsmanagementsystem eingerichtet?

Implementierung, Betrieb, Verbesserung, Wartung

Implementierung, Betrieb, Wartung, Einrichtung

Einrichtung, Betrieb, Überwachung, Verbesserung

Einrichtung, Durchführung, Betrieb, Wartung

FRAGE 70
Sie haben gerade ein geplantes Informationssicherheitsaudit in Ihrem Unternehmen abgeschlossen, als der IT-Leiter auf Sie zukommt und Sie um Ihre Unterstützung bei der Überarbeitung des Risikomanagementprozesses des Unternehmens bittet.
Er versucht, die derzeitige Dokumentation zu aktualisieren, um sie für andere Manager leichter verständlich zu machen, aber aus Ihrer Diskussion geht hervor, dass er einige Schlüsselbegriffe verwechselt.
Sie bitten ihn, jede der Beschreibungen dem entsprechenden Risikobegriff zuzuordnen. Was sollten die richtigen Antworten sein?

FRAGE 71
Welcher Aspekt der Verlässlichkeit von Informationen wird beeinträchtigt, wenn ein Bediensteter bestreitet, eine Nachricht gesendet zu haben?

Vertraulichkeit

Integrität

Verfügbarkeit

Korrektheit

FRAGE 72
Welches ist die beste Praxis bei der akzeptablen Nutzung von Informationsbeständen?

Der Zugang zu Informations- und Kommunikationssystemen wird nur für geschäftliche Zwecke gewährt.

Störung oder Verweigerung des Dienstes für einen anderen Benutzer als den Host des Mitarbeiters

Spielen von Computerspielen während der Bürozeiten

Zugriff auf Telefon- oder Netzwerkübertragungen, einschließlich drahtloser oder wifi-Übertragungen

Erläuterung
Die beste Praxis für die akzeptable Nutzung von Informationsressourcen ist A: Der Zugang zu Informations- und Kommunikationssystemen wird nur für geschäftliche Zwecke gewährt. Dies bedeutet, dass die Organisation den Zugang zu ihren Informations- und Kommunikationssystemen nur autorisierten Benutzern gewährt, die diese für legitime und genehmigte Geschäftsaktivitäten nutzen müssen. Die Organisation erlaubt oder toleriert keine unbefugte, unangemessene oder persönliche Nutzung ihrer Informations- und Kommunikationssysteme, da dies die Informationssicherheit gefährden, gegen Richtlinien oder Gesetze verstoßen oder der Organisation oder ihren Interessengruppen Schaden zufügen könnte. Die anderen Optionen sind keine Best Practices für die akzeptable Nutzung von Informationsressourcen, da sie gegen die Richtlinien und Verfahren zur Informationssicherheit sowie gegen ethische oder rechtliche Standards verstoßen könnten. Die Störung oder Verweigerung von Diensten für andere Benutzer als den Host des Mitarbeiters (B) ist eine böswillige Handlung, die die Verfügbarkeit oder Leistung der Informationssysteme oder Dienste eines anderen Benutzers oder einer anderen Organisation stören könnte. Das Spielen von Computerspielen während der Bürozeiten ist eine persönliche und unprofessionelle Nutzung der Informations- und Kommunikationssysteme, die den Mitarbeiter von seinen Arbeitsaufgaben ablenken, Ressourcen und Bandbreite verschwenden oder die Systeme Malware oder anderen Risiken aussetzen könnte. Der Zugriff auf Telefon- oder Netzwerkübertragungen, einschließlich drahtloser oder WLAN-Übertragungen (D), stellt eine potenzielle Verletzung der Vertraulichkeit oder der Privatsphäre dar, die dazu führen könnte, dass die von einem anderen Benutzer oder einer Organisation übermittelten Informationen ohne deren Zustimmung oder Genehmigung abgefangen, überwacht oder verändert werden. ISO/IEC 27001:2022 verlangt, dass die Organisation Regeln für die akzeptable Nutzung von Ressourcen implementiert (siehe Abschnitt A.8.1.3). Referenzen: CQI & IRCA Zertifizierter ISO/IEC 27001:2022 Lead Auditor Schulungskurs, ISO/IEC 27001:2022 Informationstechnologie
- Sicherheitstechniken - Managementsysteme für die Informationssicherheit - Anforderungen, Was ist akzeptable Nutzung?

FRAGE 73
Wir können Laptops wochentags oder am Wochenende in verschlossenen Behältern aufbewahren.

Wahr

Falsch

FRAGE 74
Sie sind der Leiter des Auditteams, das ein externes Audit bei einer Online-Versicherungsgesellschaft durchführt. In Phase 1 stellten Sie fest, dass die Organisation einen sehr vorsichtigen Risikoansatz verfolgte und alle Informationssicherheitskontrollen in ISO/IEC 27001:2022 Anhang A in ihre Anwendbarkeitserklärung aufnahm.
Während des Audits der Stufe 2 stellte Ihr Auditteam fest, dass es keine Belege für einen Risikobehandlungsplan für die Umsetzung der drei Kontrollen (5.3 Aufgabentrennung, 6.1 Abschirmung, 7.12 Verkabelungssicherheit) gab. Sie beanstanden eine Nichtübereinstimmung mit Abschnitt 6.1.3.e der ISO 27001:2022.
In der Abschlusssitzung stellt der Technische Direktor einen Auszug aus einer geänderten Anwendbarkeitserklärung (wie abgebildet) aus und beantragt die Rücknahme der Nichtkonformität.

Wählen Sie drei Optionen für die richtigen Antworten eines Auditteamleiters auf die Anfrage des Technischen Direktors.

Weisen Sie das Management darauf hin, dass die bereitgestellten Informationen überprüft werden, wenn die Prüfer mehr Zeit haben.

Weisen Sie den Technischen Direktor darauf hin, dass sein Antrag in den Prüfungsbericht aufgenommen wird.

Weisen Sie den Technischen Direktor darauf hin, dass eine einmal gemeldete Nichtkonformität nicht mehr zurückgenommen werden kann.

Weisen Sie den Technischen Direktor darauf hin, dass die Nichtkonformität bestehen bleiben muss, da die dafür erlangten Beweise eindeutig waren.

Bitten Sie den Prüfer, der die Frage aufgeworfen hat, um seine Meinung dazu, wie Sie auf die Anfrage reagieren sollten.

Informieren Sie den Technischen Direktor, dass die Nichtkonformität in eine Verbesserungsmöglichkeit umgewandelt wird.

Überprüfen Sie die erstellten Unterlagen und ziehen Sie die Nichtkonformität zurück.

Geben Sie an, dass ein Folgeaudit erforderlich sein wird, um die Nachweise für die aktualisierte Erklärung zur Anwendbarkeit zu überprüfen.

Die drei Optionen für die korrekte Antwort eines Auditteamleiters auf die Anfrage des Technischen Direktors sind:
* B. Teilen Sie dem Technischen Direktor mit, dass sein Antrag in den Prüfungsbericht aufgenommen wird.
* D. Dem Technischen Direktor mitteilen, dass die Nichtkonformität bestehen bleiben muss, da die dafür erlangten Beweise eindeutig waren.
* H. Angabe, dass ein Folgeaudit erforderlich sein wird, um die Nachweise für die aktualisierte Erklärung zur Anwendbarkeit zu überprüfen.
* B. Diese Antwort ist richtig, denn der Leiter des Auditteams sollte den Antrag des technischen Dienstes dokumentieren.
* Direktor und nehmen sie zusammen mit den Prüfungsfeststellungen und Schlussfolgerungen in den Prüfungsbericht auf12. Auf diese Weise werden Transparenz und Nachvollziehbarkeit des Prüfungsprozesses und der Prüfungsergebnisse gewährleistet.
* D. Diese Antwort ist korrekt, da der Auditteamleiter die Nichtkonformität nicht allein aufgrund der geänderten Anwendbarkeitserklärung zurückziehen sollte. Die Nichtkonformität wurde in Bezug auf Abschnitt 6.1.3.e der ISO 27001:2022 erhoben, der von der Organisation verlangt, einen Risikobehandlungsplan zu erstellen und aufrechtzuerhalten, der definiert, wie die Informationssicherheitsrisiken behandelt werden, einschließlich der ausgewählten Kontrollen und ihres Umsetzungsstatus34. Die Anwendbarkeitserklärung ist nur ein Teil des Risikobehandlungsplans und liefert keinen ausreichenden Nachweis dafür, dass die Kontrollen wirksam umgesetzt wurden. Der Leiter des Auditteams sollte die Nichtkonformität auf die während des Audits erlangten objektiven Nachweise stützen, nicht auf die subjektiven Behauptungen der geprüften Stelle12.
* H. Diese Antwort ist korrekt, da der Auditteamleiter darauf hinweisen sollte, dass ein Follow-up-Audit erforderlich sein wird, um die Nachweise für die aktualisierte Erklärung zur Anwendbarkeit zu überprüfen. Ein Follow-up-Audit ist ein Audit, das nach einem früheren Audit durchgeführt wird, um die Umsetzung und Wirksamkeit der Korrekturmaßnahmen und/oder Verbesserungsmöglichkeiten zu überprüfen, die als Ergebnis des früheren Audits vereinbart wurden56. Das Folgeaudit soll sicherstellen, dass die Nichtkonformität wirksam behoben wurde und dass das ISMS konform und wirksam ist. Das Folgeaudit sollte auch neue oder geänderte Risiken oder Anforderungen berücksichtigen, die sich auf das ISMS auswirken können56.
Referenzen:
1: PECB Candidate Handbook - ISO 27001 Lead Auditor, Seite 25 2: ISO 19011:2018 - Leitfaden für die Auditierung von Managementsystemen, Abschnitt 6.7 3: ISO/IEC 27001:2022 - Informationstechnologie - Sicherheitstechniken - Managementsysteme für Informationssicherheit - Anforderungen, Abschnitt 6.1.3.e 4: ISO/IEC
27005:2022 - Informationstechnik - Sicherheitstechniken - Informationssicherheits-Risikomanagement, Abschnitt
8.3.2 5: PECB Candidate Handbook - ISO 27001 Lead Auditor, Seite 25 6: ISO 19011:2018 - Guidelines for auditing management systems, Abschnitt 6.7

FRAGE 75
Sie haben einen Ausdruck eines Kundenentwurfsdokuments, das Sie entsorgen möchten. Was würden Sie tun

Werfen Sie es in eine beliebige Mülltonne

Schreddern Sie es mit einem Schredder

Geben Sie es dem Büroangestellten, damit er es für andere Zwecke verwenden kann.

Seien Sie umweltfreundlich und verwenden Sie es zum Schreiben wieder

FRAGE 76
Sie sind ein ISMS-Audit-Teamleiter, der von Ihrer Zertifizierungsstelle beauftragt wurde, ein Folgeaudit bei einem Kunden aus dem Bereich Rechenzentren durchzuführen.
Gemäß ISO 19011:2018 besteht der Zweck eines Folgeaudits darin, welche der folgenden Punkte zu überprüfen?

Die Wirksamkeit des Managementsystems

Umsetzung der ISMS-Ziele

Umsetzung von Risikobehandlungsplänen

Abschluss und Wirksamkeit von Abhilfemaßnahmen

FRAGE 77
Welche der folgenden Optionen beschreibt am besten den Hauptzweck eines Audits durch Dritte der Stufe 1?

Vorstellung des Auditteams beim Kunden

Um etwas über die Beschaffung der Organisation zu erfahren

Zur Bestimmung der Rötung für eine Prüfung der Stufe 2

Überprüfung der Einhaltung von Rechtsvorschriften durch die Organisation

Erstellung eines unabhängigen Prüfberichts

Kennenlernen der Kunden der Organisation

FRAGE 78
Sie sind ein erfahrener ISMS-Audit-Teamleiter, der einen Auditor in der Ausbildung anleitet. Sie sind sich über die Risikoprozesse nicht im Klaren und bitten Sie, ihnen ein Beispiel für jeden der unten aufgeführten Prozesse zu geben.
Ordnen Sie jede der Beschreibungen einem der folgenden Risikomanagementprozesse zu.
Um die Tabelle auszufüllen, klicken Sie auf den leeren Abschnitt, den Sie ausfüllen möchten, so dass er rot hervorgehoben wird, und klicken Sie dann auf den zutreffenden Text aus den unten stehenden Optionen. Alternativ können Sie jede Option per Drag & Drop auf den entsprechenden leeren Abschnitt ziehen.

Erläuterung:

* Die Risikoanalyse ist der Prozess, bei dem die Art des Risikos sowie dessen Wahrscheinlichkeit und Auswirkungen bestimmt werden. Die Risikoanalyse umfasst die Abschätzung der Wahrscheinlichkeit und der Folgen potenzieller Ereignisse oder Situationen, die sich auf die Ziele oder Anforderungen der Organisation im Bereich der Informationssicherheit auswirken könnten12. Bei der Risikoanalyse können qualitative oder quantitative Methoden oder eine Kombination aus beiden angewandt werden12.
* Risikomanagement ist der Prozess, durch den ein Risiko in allen Phasen seines Lebenszyklus durch die Anwendung von organisatorischen Strategien, Verfahren und Praktiken kontrolliert wird. Das Risikomanagement umfasst die Festlegung des Kontextes, die Identifizierung, Analyse, Bewertung, Behandlung, Überwachung und Überprüfung der Risiken, die die Leistung der Organisation im Bereich der Informationssicherheit oder die Einhaltung der Vorschriften beeinträchtigen könnten12. Durch das Risikomanagement soll sichergestellt werden, dass Risiken rechtzeitig und wirksam erkannt und behandelt werden und dass Verbesserungsmöglichkeiten genutzt werden12.
* Die Risikoidentifizierung ist der Prozess, durch den ein Risiko erkannt und beschrieben wird. Die Risikoermittlung umfasst die Identifizierung und Dokumentation der Quellen, Ursachen, Ereignisse, Szenarien und potenziellen Auswirkungen von Risiken, die sich auf die Informationssicherheitsziele oder -anforderungen der Organisation auswirken könnten12. Bei der Risikoidentifizierung können verschiedene Techniken zum Einsatz kommen, z. B. Brainstorming, Interviews, Checklisten, Umfragen oder historische Daten12.
* Die Risikobewertung ist der Prozess, bei dem die Auswirkungen und/oder die Wahrscheinlichkeit eines Risikos mit Risikokriterien verglichen werden, um festzustellen, ob das Risiko tolerierbar ist. Bei der Risikobewertung werden die Ergebnisse der Risikoanalyse mit vordefinierten Kriterien verglichen, die die Risikobereitschaft, -toleranz oder -akzeptanz der Organisation widerspiegeln12. Bei der Risikobewertung können verschiedene Methoden zum Einsatz kommen, z. B. Ranking, Scoring oder Matrix12. Die Risikobewertung hilft bei der Festlegung von Prioritäten und der Entscheidung über geeignete Optionen zur Risikobehandlung12.
* Risikominderung ist der Prozess, durch den die Auswirkungen und/oder die Wahrscheinlichkeit eines Risikos durch die Anwendung von Kontrollen verringert werden. Die Risikominderung umfasst die Auswahl und Umsetzung von Maßnahmen, die darauf abzielen, Risiken, die die Ziele oder Anforderungen der Organisation im Bereich der Informationssicherheit beeinträchtigen könnten, zu verhindern, zu verringern, zu übertragen oder zu akzeptieren12. Die Risikominderung kann verschiedene Arten von Kontrollen umfassen, z. B. technische, organisatorische, rechtliche oder physische12. Die Risikominderung sollte auf der Grundlage einer Kosten-Nutzen-Analyse und einer Bewertung des Restrisikos erfolgen12.
* Risikotransfer ist der Prozess, bei dem ein Risiko auf einen Dritten übertragen wird, z. B. durch den Abschluss einer entsprechenden Versicherung. Risikotransfer bedeutet, dass die Verantwortung oder Haftung für ein Risiko ganz oder teilweise auf eine andere Partei übertragen wird, die über mehr Kapazitäten oder Fähigkeiten zur Bewältigung des Risikos verfügt12. Der Risikotransfer kann verschiedene Methoden umfassen, wie Verträge, Vereinbarungen, Partnerschaften, Outsourcing oder Versicherungen12. Der Risikotransfer sollte nicht als Ersatz für ein effektives Risikomanagement innerhalb der Organisation dienen12.
Referenzen :=
* ISO/IEC 27001:2022 Informationstechnik - Sicherheitstechniken - Managementsysteme für Informationssicherheit - Anforderungen
* ISO/IEC 27005:2022 Informationstechnik - Sicherheitstechniken - Risikomanagement der Informationssicherheit

FRAGE 79
Ein Mitarbeiter, der dabei erwischt wird, wie er vorübergehend eine MP3-Datei an seinem Arbeitsplatz speichert, erhält keine Verwarnung.

Wahr

Falsch

FRAGE 80
Ordnen Sie jedem Teilnehmer an einem Second-Party-Audit die richtige Verantwortung zu:

Erläuterung

Die richtige Verantwortung liegt bei jedem Teilnehmer eines Second-Party-Audits:
* Erstellt den Auditbericht: Leiter des Auditteams. Der Leiter des Auditteams ist verantwortlich für die Koordinierung der Auditaktivitäten, die Kommunikation mit der geprüften Stelle und dem Kunden sowie die Erstellung und Übergabe des Auditberichts, in dem die Auditfeststellungen und -schlussfolgerungen zusammengefasst sind1.
* Erstellt Audit-Checklisten zur Verwendung während des Audits: Prüfer. Der Auditor ist dafür verantwortlich, während des Audits objektive Nachweise zu sammeln und zu überprüfen. Er verwendet Audit-Checklisten als Hilfsmittel, um den Auditprozess zu steuern und sicherzustellen, dass alle relevanten Aspekte der Auditkriterien abgedeckt werden1.
* Unterstützt einen Auditor und gibt Feedback zu seinen Erfahrungen: Prüfer in Ausbildung. Der Auditor in Ausbildung ist eine Person, die unter der Aufsicht eines erfahrenen Auditors lernt, wie man Audits durchführt. Der Prüfer in der Ausbildung unterstützt den Prüfer durch Beobachtung und Teilnahme an den Prüfungsaktivitäten und gibt ihm Feedback zu seinen Erfahrungen, um seine Fähigkeiten und Kompetenzen zu verbessern1.
* Weiterverfolgung der Prüfungsfeststellungen innerhalb eines vereinbarten Zeitrahmens: Geprüfte Stelle. Die geprüfte Stelle ist die Organisation, die vom Kunden oder von einem Dritten im Namen des Kunden geprüft wird. Die geprüfte Stelle ist dafür verantwortlich, den Prüfern Zugang zu gewähren, mit ihnen zusammenzuarbeiten und die Prüfungsfeststellungen innerhalb eines vereinbarten Zeitrahmens weiterzuverfolgen, indem sie bei Bedarf Korrektur- oder Verbesserungsmaßnahmen durchführt1.
* Liefert einen unabhängigen Bericht über die Prüfung, nimmt aber nicht an der Prüfung teil: Beobachter. Der Beobachter ist eine Person, die das Auditteam begleitet, sich aber nicht an den Auditaktivitäten beteiligt. Der Beobachter kann ein Vertreter des Kunden, einer Aufsichtsbehörde oder einer anderen interessierten Partei sein. Der Beobachter liefert einen unabhängigen Bericht über das Audit, greift aber nicht in den Auditprozess oder das Ergebnis ein oder beeinflusst es1.
* Begleitet die Prüfer, nimmt aber nicht an der Prüfung teil: Führer. Der Leitfaden ist eine Person, die von der geprüften Stelle zur Unterstützung des Auditteams während des Audits ernannt wird. Er kann die Prüfer zu verschiedenen Orten begleiten, den Zugang zu Informationen und Personal erleichtern oder auf Wunsch der Prüfer Klarstellungen oder Erläuterungen geben. Er nimmt weder an der Prüfung teil noch beeinflusst er deren Ergebnisse1.

FRAGE 81
Sie führen ein ISMS-Audit in einem Pflegeheim (ABC) durch, das Gesundheitsdienstleistungen anbietet. Der nächste Schritt in Ihrem Auditplan besteht darin, die Informationssicherheit der Entwicklung, des Supports und des Lebenszyklusprozesses der mobilen Gesundheits-Apps von ABC zu überprüfen. Während des Audits erfuhren Sie, dass die Organisation die Entwicklung der mobilen App an ein professionelles Softwareentwicklungsunternehmen mit CMMI Level 5, ITSM (ISO/IEC
20000-1), BCMS (ISO 22301) und ISMS (ISO/IEC 27001) zertifiziert.
Der IT-Manager stellte das Verfahren zur Verwaltung der Softwaresicherheit vor und fasste den Prozess wie folgt zusammen:
Bei der Entwicklung mobiler Anwendungen sind mindestens die Grundsätze "Sicherheit durch Technik" und "Sicherheit durch Standardeinstellungen" anzuwenden. Die folgenden Sicherheitsfunktionen für den Schutz personenbezogener Daten müssen verfügbar sein:
Zugangskontrolle.
Verschlüsselung personenbezogener Daten, d.h. Advanced Encryption Standard (AES)-Algorithmus, Schlüssellänge: 256 Bit; und Pseudonymisierung personenbezogener Daten.
Schwachstellen geprüft und keine Sicherheits-Hintertür
Sie probieren den letzten Mobile App Testbericht aus, Details wie folgt:

Sie fragen den IT-Manager, warum die Organisation die mobile App weiterhin verwendet, obwohl die Tests zur Verschlüsselung und Pseudonymisierung personenbezogener Daten fehlgeschlagen sind. Außerdem fragen Sie, ob der Dienstleiter befugt ist, den Test zu genehmigen.
Der IT-Manager erklärt, dass die Testergebnisse von ihm gemäß dem Verfahren für das Software-Sicherheitsmanagement genehmigt werden sollten.
Der Grund für das Scheitern der Verschlüsselungs- und Pseudonymisierungsfunktionen ist, dass diese Funktionen die System- und Dienstleistung stark verlangsamen. Hierfür werden zusätzliche 150% an Ressourcen benötigt. Der Dienstleiter stimmte zu, dass die Zugangskontrolle gut genug und akzeptabel ist. Aus diesem Grund hat der Dienstleiter die Genehmigung unterzeichnet.
Sie bereiten die Prüfungsfeststellungen vor. Wählen Sie die richtige Option.

Es liegt KEINE Nichtkonformität (NC) vor. Der Service Manager trifft eine gute Entscheidung, den Service fortzusetzen.
(Relevant für Abschnitt 8.1, Kontrolle A.8.30)

Es liegt eine Nichtkonformität (NC) vor. Die Organisation und der Entwickler führen keine Abnahmetests durch.
(Relevant für Abschnitt 8.1, Kontrolle A.8.29)

Es liegt eine Nichtkonformität (NC) vor. Die Organisation und der Entwickler führen Sicherheitstests durch, die fehlschlagen.
(Relevant für Abschnitt 8.1, Kontrolle A.8.29)

Es liegt eine Nichtkonformität (NC) vor. Der Service Manager hält sich nicht an das Software-Sicherheitsmanagementverfahren. (Relevant für Abschnitt 8.1, Kontrolle A.8.30)

FRAGE 82
Sie sind Leiter eines ISMS-Audit-Teams und bereiten sich auf die Leitung einer Abschlussbesprechung nach einem Überwachungsaudit durch Dritte vor. Sie erstellen eine Tagesordnung für die Abschlussbesprechung, in der Sie die Themen festlegen, die Sie mit Ihrer auditierten Stelle besprechen möchten.
Welcher der folgenden Punkte wäre für die Aufnahme geeignet?

Eine ausführliche Erläuterung des Beschwerdeverfahrens der Zertifizierungsstelle

Eine Erläuterung des Prüfungsplans und seines Zwecks

einen Hinweis darauf, dass das Ergebnis der Prüfung auf einer Stichprobenprüfung beruht

Namen der geprüften Personen im Zusammenhang mit Nichtkonformitäten

Diese Option ist für die Aufnahme in die Tagesordnung der Abschlussbesprechung geeignet, da sie eine Anforderung der Norm ISO 19011 ist, die Leitlinien für die Auditierung von Managementsystemen, einschließlich ISMS, enthält12. Die Norm besagt, dass der Leiter des Auditteams die geprüfte Stelle über alle während des Audits aufgetretenen Situationen informieren sollte, die das Vertrauen in die Schlussfolgerungen des Audits mindern könnten, wie z. B. Einschränkungen des Auditumfangs, des Zugangs oder der Stichproben3. Der Standard besagt auch, dass der Auditbericht eine Erklärung enthalten sollte, dass das Audit auf einer Stichprobe der zum Zeitpunkt des Audits verfügbaren Informationen beruht und dass das Audit keine absolute Sicherheit für die Konformität oder Wirksamkeit des geprüften Managementsystems bietet4. Daher sollte der Leiter des Auditteams einen Haftungsausschluss in die Tagesordnung der Abschlusssitzung aufnehmen, um die geprüfte Stelle über die Art und die Grenzen des Audits zu informieren und um Missverständnisse oder falsche Erwartungen zu vermeiden. Die anderen Optionen sind für die Aufnahme in die Tagesordnung der Abschlussbesprechung nicht geeignet, da sie entweder irrelevant, falsch oder unvollständig sind.
Zum Beispiel:
*Eine ausführliche Erläuterung des Beschwerdeverfahrens der Zertifizierungsstelle ist für die Tagesordnung der Abschlussbesprechung nicht relevant, da sie nicht mit den Auditergebnissen oder Schlussfolgerungen zusammenhängt. Das Beschwerdeverfahren der Zertifizierungsstelle sollte der geprüften Stelle vor dem Audit als Teil der Auditvereinbarung oder des Vertrags mitgeteilt werden5.
*Eine Erläuterung des Prüfungsplans und seines Zwecks ist für die Tagesordnung der Abschlusssitzung nicht korrekt, da sie in der Eröffnungssitzung oder vor der Prüfung hätte erfolgen müssen. Der Prüfungsplan ist ein Dokument, das den Umfang, die Ziele, die Kriterien und die Methodik der Prüfung sowie den Prüfungszeitplan, das Prüfungsteam, die Prüfungsorte und die Prüfungsleistungen beschreibt. Der Auditplan sollte der geprüften Stelle vorab mitgeteilt und mit ihr abgestimmt werden, und etwaige Änderungen oder Abweichungen sollten während des Audits mitgeteilt werden.
*Die Namen der geprüften Personen, die mit den Mängeln in Verbindung stehen, sind für die Tagesordnung der Abschlussbesprechung nicht vollständig, da sie keine Einzelheiten oder Nachweise für die Mängel enthalten. Der Leiter des Auditteams sollte die Auditergebnisse, einschließlich der Beschreibung, der Auditkriterien und der Auditnachweise für jede Nichteinhaltung, sowie die Auditschlussfolgerungen und die Auditempfehlung präsentieren. Der Leiter des Auditteams sollte auch vermeiden, einzelne Personen zu nennen oder zu beschuldigen, und sich auf die Prozesse und das System konzentrieren.
Referenzen: = 1: PECB Candidate Handbook - ISO/IEC 27001 Lead Auditor, Seite 222: ISO 19011:2018 Guidelines for auditing management systems, Abschnitt 13: ISO 19011:2018 Guidelines for auditing management systems, Abschnitt 6.4.94: ISO 19011:2018 Guidelines for auditing management systems, Abschnitt 7.5.25: ISO/IEC
17021-1:2015 Konformitätsbewertung - Anforderungen an Stellen zur Auditierung und Zertifizierung von Managementsystemen - Teil 1: Anforderungen, Abschnitt 9.8. : ISO 19011:2018 Leitlinien für die Auditierung von Managementsystemen, Abschnitt 6.4.1. : ISO/IEC 27007:2011 Informationstechnik - Sicherheitstechniken - Leitlinien für die Auditierung von Managementsystemen für Informationssicherheit, Abschnitt 6.2.1. : ISO 19011:2018 Leitlinien für die Auditierung von Managementsystemen, Abschnitt 6.4.2.

Kategorie PECB

[AKTUALISIERT 2024] Lesen Sie den ISO-IEC-27001-Lead-Auditor Study Guide wortwörtlich von vorne bis hinten [Q68-Q82]

ISO-9001-Lead-Auditor Premium Files Updated Jul-2024 Practice Valid Exam Dumps Frage [Q34-Q51]

Exam Dumps ISO-IEC-27001-Lead-Auditor Practice Free Latest PECB Practice Tests [Q98-Q120]