类别 PECB

问题 68
您正在对一家国际物流组织的发货部门进行 ISMS 审计，该组织为包括当地医院和政府部门在内的大型机构提供运输服务。包裹通常包含药品、生物样本以及护照和驾驶执照等文件。您注意到，公司记录显示有大量退货，原因包括标签地址错误，在 15% 的情况下，一个包裹有两个或更多不同地址的标签。您正在询问发货经理 (SM)。
你发货前是否检查过物品？
SM：任何明显损坏的物品都会在发货前由值班人员清除，但由于利润微薄，实施正式的检查程序并不经济。
您：当物品被退回时会采取什么措施？
SM：这些合同大多价值较低，因此我们决定，简单地重新打印标签并重新发送单个包裹比实施调查更容易、更方便。
您提出了一项不符合项。参照该情景，您希望受审核方在您进行后续审核时实施以下哪三项附件 A 控制措施？

问题 69
信息安全管理系统按什么顺序建立？

问题 70
当 IT 经理找到你，要求你协助修订公司的风险管理程序时，你刚刚完成了对组织的预定信息安全审计。
他正试图更新现有文件，使其他管理人员更容易理解，但是，从你们的讨论中可以明显看出，他混淆了几个关键术语。
您要求他将每个描述与相应的风险术语匹配起来。正确答案应该是什么？

问题 71
当工作人员否认发送过信息时，信息的哪个可靠性方面会受到影响？

问题 72
在信息资产的可接受使用方面，哪种做法最好？

问题 73
我们可以在工作日或周末将笔记本电脑放在上锁的垃圾箱中。

问题 74
您是对一家在线保险公司进行第三方审计的审计组组长。在第 1 阶段，您发现该组织采取了非常谨慎的风险方法，并在其适用性声明中包含了 ISO/IEC 27001:2022 附录 A 中的所有信息安全控制措施。
在第 2 阶段审核期间，您的审核小组发现，没有证据表明实施了三项控制措施（5.3 职责分离、6.1 筛选和 7.12 布线安全）的风险处理计划。您根据 ISO 27001:2022 第 6.1.3.e 条提出了一项不符合项。
在闭幕会议上，技术总监发布一份经修订的适用性声明摘要（如图所示），并要求撤销不符合项。

从审计组长对技术总监要求的正确答复中选出三个选项。

问题 75
您有一份客户设计文档的硬拷贝，您想将其处理掉。你会怎么做

问题 76
您是认证机构指派的 ISMS 审核组长，负责对数据中心客户进行后续审核。
根据 ISO 19011:2018，后续审核的目的是验证以下哪一项？

问题 77
以下哪个选项最能说明第一阶段第三方审计的主要目的？

问题 78
您是一名经验丰富的 ISMS 审核组长，负责指导一名正在接受培训的审核员。他们对风险流程的理解不够清晰，要求您提供以下每个流程的示例。
将所提供的描述与下列风险管理流程中的一个匹配。
要填写表格，请单击要填写的空白部分，使其突出显示为红色，然后从下面的选项中单击适用的文本。或者，您也可以将每个选项拖放到相应的空白部分。

问题 79
被发现在工作站中临时存储 MP3 文件的员工将不会收到 IR。

问题 80
将正确的责任与第二方审计的每个参与者对应起来：

问题 81
您正在对一家提供医疗保健服务的养老院 (ABC) 进行 ISMS 审核。审核计划的下一步是验证 ABC 医疗保健移动应用程序的开发、支持和生命周期流程的信息安全。在审核过程中，您了解到该机构将移动应用程序的开发外包给了一家专业软件开发公司，该公司拥有 CMMI 5 级、ITSM (ISO/IEC
20000-1）、BCMS（ISO 22301）和 ISMS（ISO/IEC 27001）认证。
信息技术经理介绍了软件安全管理程序，并将该程序概述如下：
移动应用程序的开发应至少采用 "设计安全 "和 "默认安全 "原则。应具备以下保护个人数据的安全功能：
访问控制。
个人数据加密，即高级加密标准（AES）算法，密钥长度：256 位；个人数据化名。
已检查漏洞，无安全后门
您抽查了最新的移动应用程序测试报告，详情如下：

您询问 IT 经理，为什么在个人数据加密和化名测试失败的情况下，组织仍在使用移动应用程序。此外，服务经理是否有权批准测试。
IT 经理解释说，测试结果应由他根据软件安全管理程序批准。
加密和化名功能失败的原因是这些功能严重降低了系统和服务性能。为此需要额外的 150% 资源。服务经理同意访问控制足够好，可以接受。这就是服务经理签署批准书的原因。
您正在准备审计结果。请选择正确的选项。

问题 82
您是 ISMS 审核小组组长，准备在第三方监督审核后主持闭幕会议。您正在起草一份总结会议议程，列出您希望与受审核方讨论的主题。
以下哪项适合纳入？