PECB ISO-IEC-27001-Lead-Auditor Deutsch Actual Free Exam Questions & Community Discussion

Plan testweise implementieren – unter welchen Abschnitt der PDCA fällt dies?

Frage
Bei der Definition welcher der folgenden Kategorien werden Faktoren wie Kosten im Zusammenhang mit Abweichungen oder Strafen bei Nichteinhaltung gesetzlicher und vertraglicher Verpflichtungen berücksichtigt?

Sie sind ein erfahrener ISMS-Prüfer, der ein Überwachungsaudit durch Dritte bei einer Organisation durchführt, die IKT-Rückgewinnungsdienste anbietet. IKT-Geräte, die Unternehmen nicht mehr benötigen, werden von der Organisation verarbeitet. Es wird entweder wieder in Betrieb genommen und wiederverwendet oder sicher vernichtet.
Sie bemerken zwei Kellner auf einer Bank in der Ecke des Raumes. Auf beiden Artikeln sind Aufkleber mit dem Namen des Servers, der IP-Adresse und dem Administratorkennwort angebracht. Sie fragen den ICT-Manager danach und er sagt Ihnen, dass sie Teil einer Lieferung waren, die gestern von einem Stammkunden eingegangen ist.
Welche Maßnahme sollten Sie ergreifen?

Frage:
Welche der folgenden Aussagen zu Bedrohungen und Schwachstellen in der Informationssicherheit ist NICHT korrekt?

Sie sind ein erfahrener ISMS-Prüfungsteamleiter, der einen Prüfer in der Schulung leitet. Sie testen ihr Verständnis von Folgeaudits, indem Sie ihr eine Reihe von Fragen stellen, auf die die Antwort entweder „wahr*“ oder „falsch“ ist. Auf welche vier der folgenden Fragen sollte die Antwort wahr sein?

Szenario 5: Cobt, ein Versicherungsunternehmen in London, bietet verschiedene Gewerbe-, Industrie- und Lebensversicherungslösungen an. In den letzten Jahren ist die Kundenzahl von Cobt enorm gestiegen. Angesichts der großen Datenmengen, die verarbeitet werden müssen, entschied sich das Unternehmen für eine Zertifizierung nach ISO/IEC 27001, um die Informationssicherheit zu verbessern und sein Engagement für kontinuierliche Verbesserung zu demonstrieren. Obwohl das Unternehmen bereits Erfahrung mit regelmäßigen Risikobewertungen hatte, führte die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) zu grundlegenden Veränderungen im Tagesgeschäft. Im Rahmen der Risikobewertung wurde ein Risiko identifiziert, bei dem erhebliche Mängel auftraten, ohne von den internen Kontrollmechanismen des Unternehmens erkannt oder verhindert zu werden.
Das Unternehmen befolgte eine Methodik zur Implementierung des ISMS und hatte bereits nach wenigen Monaten ein betriebsbereites ISMS eingerichtet. Nach erfolgreicher Implementierung des ISMS beantragte Cobt die ISO/IEC 27001-Zertifizierung. Sarah, eine erfahrene Auditorin, wurde mit dem Audit beauftragt. Nach gründlicher Analyse des Auditangebots übernahm Sarah die Verantwortung als Audit-Teamleiterin und begann umgehend, allgemeine Informationen über Cobt einzuholen. Sie legte die Auditkriterien und -ziele fest, plante das Audit und wies den Mitgliedern des Audit-Teams die Aufgaben zu.
Sarah räumte ein, dass Cobt zwar durch das Angebot vielfältiger Lösungen für Unternehmen und Versicherungen deutlich expandiert hat, aber weiterhin auf einige manuelle Prozesse angewiesen ist. Daher konzentrierte sie sich zunächst darauf, Informationen darüber zu sammeln, wie das Unternehmen seine Informationssicherheitsrisiken managt. Sarah kontaktierte die Vertreter von Cobt, um Zugang zu den Informationen zum Risikomanagement für die ursprünglich vereinbarte externe Prüfung zu erhalten. Cobt lehnte dies jedoch ab und argumentierte, die Informationen seien zu sensibel für den Zugriff außerhalb des Unternehmens. Diese Ablehnung weckte Bedenken hinsichtlich der Durchführbarkeit der Prüfung, insbesondere im Hinblick auf die Verfügbarkeit und Kooperation des Geprüften sowie den Zugang zu den erforderlichen Nachweisen. Darüber hinaus beanstandete Cobt den Prüfungsplan, da dieser die jüngsten Änderungen im Unternehmen nicht ausreichend widerspiegele. Die geplanten Maßnahmen bezögen sich lediglich auf den ursprünglichen Prüfungsumfang und umfassten nicht die jüngsten Änderungen. Sarah bewertete zudem die Wesentlichkeit der Situation unter Berücksichtigung der Bedeutung der verweigerten Informationen für die Prüfungsziele. Die Ablehnung durch Cobt warf somit Fragen hinsichtlich der Vollständigkeit der Prüfung und ihrer Fähigkeit auf, eine angemessene Sicherheit zu gewährleisten. Nach diesen Vorkommnissen beschloss Sarah, vor Unterzeichnung des Zertifizierungsvertrags vom Audit zurückzutreten und teilte Cobt sowie der Zertifizierungsstelle ihre Entscheidung mit. Diese Entscheidung traf sie, um die Einhaltung der Auditgrundsätze zu gewährleisten und Transparenz zu wahren. Sie unterstreicht damit ihr Engagement für die konsequente Wahrung dieser Grundsätze.
Beantworten Sie anhand des obigen Szenarios die folgende Frage:
Frage:
Auf Grundlage der in Szenario 5 bereitgestellten Informationen verweigerte Cobt den Wirtschaftsprüfern die Auskunft zum Risikomanagement. Wie würden Sie als Wirtschaftsprüfer in einer solchen Situation vorgehen?

Sie führen ein ISMS-Audit in einem Pflegeheim namens ABC durch, das Gesundheitsdienste anbietet.
Der nächste Schritt in Ihrem Auditplan besteht darin, die Informationssicherheit in Bezug auf die Entwicklung, den Support und den Lebenszyklusprozess der mobilen Gesundheits-App von ABC zu überprüfen. Während des Audits haben Sie erfahren, dass die Organisation die Entwicklung der mobilen App an ein professionelles Softwareentwicklungsunternehmen mit CMMI Level 5, ITSM (ISO
/IEC
20000-1), BCMS (ISO 22301) und ISMS (ISO/IEC 27001) zertifiziert. Der IT-Manager stellte das Software-Sicherheitsmanagementverfahren vor und fasste den Prozess wie folgt zusammen:
Bei der Entwicklung mobiler Apps müssen mindestens die Grundsätze „Security by Design“ und „Security by Default“ eingehalten werden. Die folgenden Sicherheitsfunktionen zum Schutz personenbezogener Daten müssen verfügbar sein:
Zugriffskontrolle.
Verschlüsselung personenbezogener Daten, d. h. Advanced Encryption Standard (AES)-Algorithmus, Schlüssellänge: 256 Bit; und Pseudonymisierung personenbezogener Daten.
Schwachstelle geprüft und keine Sicherheits-Hintertür
Sie erhalten einen Testbericht zum neuesten Mobile-App-Test. Einzelheiten sind wie folgt:

Sie fragen den IT-Manager, warum die Organisation die mobile App noch immer verwendet, obwohl die Tests zur Verschlüsselung und Pseudonymisierung personenbezogener Daten fehlgeschlagen sind. Außerdem fragen Sie, ob der Service Manager berechtigt ist, den Test zu genehmigen.
Der IT-Manager erklärt, dass die Testergebnisse von ihm gemäß dem Software-Sicherheitsmanagementverfahren genehmigt werden müssen. Der Grund, warum die Verschlüsselungs- und Pseudonymisierungsfunktionen fehlgeschlagen sind, liegt darin, dass diese Funktionen die System- und Serviceleistung stark verlangsamt haben. Ein zusätzlicher
Um dies abzudecken, sind 150 % der Ressourcen erforderlich. Der Servicemanager stimmte zu, dass die Zugriffskontrolle gut genug und akzeptabel ist. Aus diesem Grund unterzeichnete der Servicemanager die Genehmigung.
Sie testen ein Mobiltelefon des medizinischen Personals und stellen fest, dass die mobile Gesundheits-App von ABC, Version
1.01 ist installiert. Sie haben festgestellt, dass Version 1.01 keinen Testdatensatz hat.
Der IT-Manager erklärt, dass das externe Unternehmen für die Entwicklung mobiler Apps aufgrund häufiger Ransomware-Angriffe ein kostenloses kleines Update der getesteten Software bereitgestellt, eine Notfallversion der aktualisierten Software veröffentlicht und mündlich garantiert habe, dass keine Sicherheitsfunktionen beeinträchtigt würden. Aufgrund seiner 20-jährigen Erfahrung im Bereich Informationssicherheit bestehe kein Bedarf für einen erneuten Test.
Sie bereiten die Prüfungsergebnisse vor. Wählen Sie zwei richtige Optionen aus.

Welche zwei der folgenden Aussagen sind wahr?

Ziele, Kriterien und Umfang sind entscheidende Merkmale eines externen ISMS-Audits. Welche zwei Aspekte zählen zu den Auditzielen?
* Kundenprozesse und -funktionen bewerten