PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor Deutsch Version) - ISO-IEC-27001-Lead-Auditor Deutsch FREE EXAM DUMPS QUESTIONS & ANSWERS
Wählen Sie im Hinblick auf die Generierung eines Prüfungsergebnisses die Wörter aus, die den folgenden Satz am besten vervollständigen.
Um den Satz mit den besten Wörtern zu vervollständigen, klicken Sie auf den leeren Abschnitt, den Sie vervollständigen möchten, sodass er rot hervorgehoben wird, und klicken Sie dann auf den entsprechenden Text in den folgenden Optionen. Alternativ können Sie die Option per Drag-and-Drop in den entsprechenden leeren Abschnitt ziehen.

Um den Satz mit den besten Wörtern zu vervollständigen, klicken Sie auf den leeren Abschnitt, den Sie vervollständigen möchten, sodass er rot hervorgehoben wird, und klicken Sie dann auf den entsprechenden Text in den folgenden Optionen. Alternativ können Sie die Option per Drag-and-Drop in den entsprechenden leeren Abschnitt ziehen.

Correct Answer:

Explanation:
Audit evidence should be evaluated against the audit criteria in order to determine audit findings.
* Audit evidence is the information obtained by the auditors during the audit process that is used as a basis for forming an audit opinion or conclusion12. Audit evidence could include records, documents, statements, observations, interviews, or test results12.
* Audit criteria are the set of policies, procedures, standards, regulations, or requirements that are used as a reference against which audit evidence is compared12. Audit criteria could be derived from internal or external sources, such as ISO standards, industry best practices, or legal obligations12.
* Audit findings are the results of a process that evaluates audit evidence and compares it against audit criteria13. Audit findings can show that audit criteria are being met (conformity) or that they are not being met (nonconformity). They can also identify best practices or improvement opportunities13.
References :=
* ISO 19011:2022 Guidelines for auditing management systems
* ISO/IEC 27001:2022 Information technology - Security techniques - Information security management systems - Requirements
* Components of Audit Findings - The Institute of Internal Auditors
Frage
Welche der folgenden Optionen beschreibt die Geschwindigkeit von Big Data am besten?
Welche der folgenden Optionen beschreibt die Geschwindigkeit von Big Data am besten?
Correct Answer: B
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
Was ist für die Personalabteilung vor der Einstellung nicht erforderlich?
Correct Answer: A
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
Was ist der Unterschied zwischen einem eingeschränkten und einem vertraulichen Dokument?
Correct Answer: C
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
Szenario 4: Branding ist eine Marketingagentur, die mit einigen der bekanntesten Unternehmen in den USA zusammenarbeitet.
Um interne Kosten zu senken, hat Branding die Softwareentwicklung und den IT-Helpdesk seit über zwei Jahren an Techvology ausgelagert. Techvology verfügt über die notwendige Expertise und betreut Brandings Software-, Netzwerk- und Hardware-Anforderungen. Branding hat ein Informationssicherheits-Managementsystem (ISMS) implementiert und ist nach ISO/IEC 27001 zertifiziert. Dies unterstreicht das Engagement des Unternehmens für hohe Standards der Informationssicherheit. Branding führt regelmäßig Audits bei Techvology durch, um sicherzustellen, dass die Sicherheit der ausgelagerten Prozesse den Anforderungen der ISO/IEC 27001-Zertifizierung entspricht.
Im Rahmen des letzten Audits definierte das Auditteam von Branding die zu prüfenden Prozesse und den Auditplan. Sie wählten einen evidenzbasierten Ansatz, insbesondere angesichts zweier Informationssicherheitsvorfälle, die Techvology im vergangenen Jahr gemeldet hatte. Der Fokus lag auf der Bewertung des Umgangs mit diesen Vorfällen und der Sicherstellung der Einhaltung der Bedingungen des Outsourcing-Vertrags. Das Audit begann mit einer umfassenden Überprüfung der Methoden von Techvology zur Überwachung der Qualität ausgelagerter Prozesse. Dabei wurde bewertet, ob die erbrachten Leistungen den Erwartungen von Branding und den vereinbarten Standards entsprachen. Die Auditoren überprüften außerdem, ob Techvology die zwischen den beiden Unternehmen festgelegten vertraglichen Anforderungen erfüllte. Dies beinhaltete eine gründliche Prüfung der Vertragsbedingungen, um sicherzustellen, dass alle Aspekte, einschließlich der Informationssicherheitsmaßnahmen, eingehalten werden.
Darüber hinaus umfasste das Audit eine kritische Bewertung der Governance-Prozesse, die Techvology zur Steuerung seiner ausgelagerten Geschäftsbereiche und anderer Organisationen anwendet. Dieser Schritt ist für Branding von entscheidender Bedeutung, um sicherzustellen, dass angemessene Kontroll- und Aufsichtsmechanismen vorhanden sind, um potenzielle Risiken im Zusammenhang mit der Auslagerungsvereinbarung zu minimieren.
Die Prüfer führten Interviews mit Mitarbeitern verschiedener Hierarchieebenen von Techvology und analysierten die Protokolle zur Vorfallsbehebung. Techvology legte außerdem Unterlagen vor, die belegten, dass Schulungen zum Thema Vorfallsmanagement für die Mitarbeiter durchgeführt worden waren. Auf Grundlage der gesammelten Informationen gingen die Prüfer davon aus, dass beide IT-Sicherheitsvorfälle durch inkompetentes Personal verursacht wurden. Daher baten sie um Einsicht in die Personalakten der beteiligten Mitarbeiter, um deren Kompetenznachweise, wie einschlägige Berufserfahrung, Zertifikate und Teilnahmebescheinigungen an Schulungen, zu überprüfen.
Die Prüfer von Branding führten eine kritische Bewertung der Gültigkeit der erhobenen Beweise durch und achteten aufmerksam auf Hinweise, die die Zuverlässigkeit der dokumentierten Informationen in Frage stellen oder widerlegen könnten. Während des Audits bei Techvology setzten die Prüfer diesen Ansatz fort, indem sie die Protokolle zur Vorfallbearbeitung kritisch prüften und ausführliche Interviews mit Mitarbeitern verschiedener Ebenen und Funktionen führten. Sie verließen sich nicht allein auf die Aussagen der Techvology-Vertreter, sondern suchten nach konkreten Beweisen, die deren Behauptungen zu den Prozessen des Vorfallmanagements untermauerten.
Beantworten Sie anhand des obigen Szenarios die folgende Frage:
Frage:
Welche Art von Prüfnachweisen haben die Prüfer gemäß Szenario 4 gesammelt, um die Ursache der Informationssicherheitsvorfälle zu ermitteln?
Um interne Kosten zu senken, hat Branding die Softwareentwicklung und den IT-Helpdesk seit über zwei Jahren an Techvology ausgelagert. Techvology verfügt über die notwendige Expertise und betreut Brandings Software-, Netzwerk- und Hardware-Anforderungen. Branding hat ein Informationssicherheits-Managementsystem (ISMS) implementiert und ist nach ISO/IEC 27001 zertifiziert. Dies unterstreicht das Engagement des Unternehmens für hohe Standards der Informationssicherheit. Branding führt regelmäßig Audits bei Techvology durch, um sicherzustellen, dass die Sicherheit der ausgelagerten Prozesse den Anforderungen der ISO/IEC 27001-Zertifizierung entspricht.
Im Rahmen des letzten Audits definierte das Auditteam von Branding die zu prüfenden Prozesse und den Auditplan. Sie wählten einen evidenzbasierten Ansatz, insbesondere angesichts zweier Informationssicherheitsvorfälle, die Techvology im vergangenen Jahr gemeldet hatte. Der Fokus lag auf der Bewertung des Umgangs mit diesen Vorfällen und der Sicherstellung der Einhaltung der Bedingungen des Outsourcing-Vertrags. Das Audit begann mit einer umfassenden Überprüfung der Methoden von Techvology zur Überwachung der Qualität ausgelagerter Prozesse. Dabei wurde bewertet, ob die erbrachten Leistungen den Erwartungen von Branding und den vereinbarten Standards entsprachen. Die Auditoren überprüften außerdem, ob Techvology die zwischen den beiden Unternehmen festgelegten vertraglichen Anforderungen erfüllte. Dies beinhaltete eine gründliche Prüfung der Vertragsbedingungen, um sicherzustellen, dass alle Aspekte, einschließlich der Informationssicherheitsmaßnahmen, eingehalten werden.
Darüber hinaus umfasste das Audit eine kritische Bewertung der Governance-Prozesse, die Techvology zur Steuerung seiner ausgelagerten Geschäftsbereiche und anderer Organisationen anwendet. Dieser Schritt ist für Branding von entscheidender Bedeutung, um sicherzustellen, dass angemessene Kontroll- und Aufsichtsmechanismen vorhanden sind, um potenzielle Risiken im Zusammenhang mit der Auslagerungsvereinbarung zu minimieren.
Die Prüfer führten Interviews mit Mitarbeitern verschiedener Hierarchieebenen von Techvology und analysierten die Protokolle zur Vorfallsbehebung. Techvology legte außerdem Unterlagen vor, die belegten, dass Schulungen zum Thema Vorfallsmanagement für die Mitarbeiter durchgeführt worden waren. Auf Grundlage der gesammelten Informationen gingen die Prüfer davon aus, dass beide IT-Sicherheitsvorfälle durch inkompetentes Personal verursacht wurden. Daher baten sie um Einsicht in die Personalakten der beteiligten Mitarbeiter, um deren Kompetenznachweise, wie einschlägige Berufserfahrung, Zertifikate und Teilnahmebescheinigungen an Schulungen, zu überprüfen.
Die Prüfer von Branding führten eine kritische Bewertung der Gültigkeit der erhobenen Beweise durch und achteten aufmerksam auf Hinweise, die die Zuverlässigkeit der dokumentierten Informationen in Frage stellen oder widerlegen könnten. Während des Audits bei Techvology setzten die Prüfer diesen Ansatz fort, indem sie die Protokolle zur Vorfallbearbeitung kritisch prüften und ausführliche Interviews mit Mitarbeitern verschiedener Ebenen und Funktionen führten. Sie verließen sich nicht allein auf die Aussagen der Techvology-Vertreter, sondern suchten nach konkreten Beweisen, die deren Behauptungen zu den Prozessen des Vorfallmanagements untermauerten.
Beantworten Sie anhand des obigen Szenarios die folgende Frage:
Frage:
Welche Art von Prüfnachweisen haben die Prüfer gemäß Szenario 4 gesammelt, um die Ursache der Informationssicherheitsvorfälle zu ermitteln?
Correct Answer: A
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
Sie fragen den IT-Manager, warum die Organisation die mobile App weiterhin nutzt, obwohl die Tests zur Verschlüsselung und Pseudonymisierung personenbezogener Daten fehlgeschlagen sind. Außerdem fragen Sie, ob der Service Manager berechtigt ist, den Test zu genehmigen.
Der IT-Manager erklärt, dass die Testergebnisse gemäß dem Verfahren zur Software-Sicherheitsverwaltung von ihm genehmigt werden müssen. Die Verschlüsselungs- und Pseudonymisierungsfunktionen schlugen fehl, da sie die System- und Serviceleistung erheblich beeinträchtigten. Um dies auszugleichen, werden zusätzliche Ressourcen in Höhe von 150 % benötigt. Der Service-Manager stimmte zu, dass die Zugriffskontrolle ausreichend und akzeptabel sei. Daher unterzeichnete er die Genehmigung.
Sie bereiten die Prüfungsergebnisse vor. Wählen Sie die richtige Option.
Es liegt eine Abweichung vor. Die Organisation und der Entwickler führen keine Abnahmetests durch.
(Bezieht sich auf Klausel 8.1, Kontrolle A.8.29)
Der IT-Manager erklärt, dass die Testergebnisse gemäß dem Verfahren zur Software-Sicherheitsverwaltung von ihm genehmigt werden müssen. Die Verschlüsselungs- und Pseudonymisierungsfunktionen schlugen fehl, da sie die System- und Serviceleistung erheblich beeinträchtigten. Um dies auszugleichen, werden zusätzliche Ressourcen in Höhe von 150 % benötigt. Der Service-Manager stimmte zu, dass die Zugriffskontrolle ausreichend und akzeptabel sei. Daher unterzeichnete er die Genehmigung.
Sie bereiten die Prüfungsergebnisse vor. Wählen Sie die richtige Option.
Es liegt eine Abweichung vor. Die Organisation und der Entwickler führen keine Abnahmetests durch.
(Bezieht sich auf Klausel 8.1, Kontrolle A.8.29)
Correct Answer: A
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
Szenario 4: SendPay ist ein Finanzunternehmen, das seine Dienstleistungen über ein Netzwerk von Agenten und Finanzinstituten anbietet. Eine ihrer Hauptdienstleistungen ist der weltweite Geldtransfer. SendPay ist als neues Unternehmen bestrebt, seinen Kunden erstklassige Dienstleistungen anzubieten. Da das Unternehmen internationale Transaktionen anbietet, verlangt es von seinen Kunden die Angabe personenbezogener Daten, wie z. B. ihre Identität, den Grund der Transaktionen und andere Details, die für den Abschluss der Transaktion erforderlich sein könnten. Daher hat SendPay Sicherheitsmaßnahmen zum Schutz der Informationen seiner Kunden implementiert, einschließlich der Erkennung, Untersuchung und Reaktion auf eventuell auftretende Bedrohungen der Informationssicherheit. Ihr Engagement, sichere Dienste anzubieten, spiegelte sich auch bei der ISMS-Implementierung wider, in die das Unternehmen viel Zeit und Ressourcen investierte.
Letztes Jahr stellte SendPay seine digitale Plattform vor, die Geldtransaktionen über elektronische Geräte wie Smartphones oder Laptops ermöglicht, ohne dass eine zusätzliche Gebühr anfällt. Über diese Plattform können die Kunden von SendPay von überall und zu jeder Zeit Geld senden und empfangen. Die digitale Plattform half SendPay, die Abläufe des Unternehmens zu vereinfachen und sein Geschäft weiter auszubauen. Zu diesem Zeitpunkt lagerte SendPay seinen Softwarebetrieb aus, daher wurde das Projekt vom Softwareentwicklungsteam des ausgelagerten Unternehmens abgeschlossen.
Dasselbe Team war auch für die Wartung der Technologieinfrastruktur von SendPay verantwortlich.
Vor kurzem beantragte das Unternehmen die ISO/IEC 27001-Zertifizierung, nachdem es fast ein Jahr lang über ein ISMS verfügte. Sie beauftragten eine Zertifizierungsstelle, die ihren Kriterien entsprach. Kurz darauf ernannte die Zertifizierungsstelle ein Team aus vier Prüfern, um das ISMS von SendPay zu prüfen.
Bei der Prüfung wurden unter anderem folgende Situationen beobachtet:
1. Das ausgelagerte Softwareunternehmen hatte den Vertrag mit SendPay fristlos gekündigt. Infolgedessen war SendPay nicht in der Lage, die Dienste sofort wieder intern anzubieten, und der Betrieb war fünf Tage lang unterbrochen. Die Prüfer forderten von den Vertretern von SendPay den Nachweis, dass sie einen Plan haben, den sie im Falle einer Vertragskündigung befolgen sollen. Die Vertreter legten keine dokumentarischen Beweise vor, teilten den Prüfern jedoch während eines Interviews mit, dass das Top-Management von SendPay zwei weitere Softwareentwicklungsunternehmen identifiziert habe, die sofort Dienstleistungen erbringen könnten, wenn ähnliche Situationen erneut auftreten.
2. Es lagen keine Beweise für die Überwachung der an das Softwareentwicklungsunternehmen ausgelagerten Tätigkeiten vor. Die Vertreter von SendPay teilten den Prüfern erneut mit, dass sie regelmäßig mit dem Softwareentwicklungsunternehmen kommunizieren und über mögliche Änderungen angemessen informiert sind.
3. Beim Firewall-Test wurde keine Nichtkonformität festgestellt. Die Prüfer testeten die Firewall-Konfiguration, um das Sicherheitsniveau dieser Dienste zu ermitteln. Zum Testen der Firewall-Richtlinien verwendeten sie einen Paketanalysator, der es ihnen ermöglichte, die gesendeten oder empfangenen Pakete in Echtzeit zu überprüfen.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Basierend auf Szenario 4 forderten die Prüfer Dokumentationsnachweise zum Überwachungsprozess ausgelagerter Betriebe. Was bedeutet das?
Letztes Jahr stellte SendPay seine digitale Plattform vor, die Geldtransaktionen über elektronische Geräte wie Smartphones oder Laptops ermöglicht, ohne dass eine zusätzliche Gebühr anfällt. Über diese Plattform können die Kunden von SendPay von überall und zu jeder Zeit Geld senden und empfangen. Die digitale Plattform half SendPay, die Abläufe des Unternehmens zu vereinfachen und sein Geschäft weiter auszubauen. Zu diesem Zeitpunkt lagerte SendPay seinen Softwarebetrieb aus, daher wurde das Projekt vom Softwareentwicklungsteam des ausgelagerten Unternehmens abgeschlossen.
Dasselbe Team war auch für die Wartung der Technologieinfrastruktur von SendPay verantwortlich.
Vor kurzem beantragte das Unternehmen die ISO/IEC 27001-Zertifizierung, nachdem es fast ein Jahr lang über ein ISMS verfügte. Sie beauftragten eine Zertifizierungsstelle, die ihren Kriterien entsprach. Kurz darauf ernannte die Zertifizierungsstelle ein Team aus vier Prüfern, um das ISMS von SendPay zu prüfen.
Bei der Prüfung wurden unter anderem folgende Situationen beobachtet:
1. Das ausgelagerte Softwareunternehmen hatte den Vertrag mit SendPay fristlos gekündigt. Infolgedessen war SendPay nicht in der Lage, die Dienste sofort wieder intern anzubieten, und der Betrieb war fünf Tage lang unterbrochen. Die Prüfer forderten von den Vertretern von SendPay den Nachweis, dass sie einen Plan haben, den sie im Falle einer Vertragskündigung befolgen sollen. Die Vertreter legten keine dokumentarischen Beweise vor, teilten den Prüfern jedoch während eines Interviews mit, dass das Top-Management von SendPay zwei weitere Softwareentwicklungsunternehmen identifiziert habe, die sofort Dienstleistungen erbringen könnten, wenn ähnliche Situationen erneut auftreten.
2. Es lagen keine Beweise für die Überwachung der an das Softwareentwicklungsunternehmen ausgelagerten Tätigkeiten vor. Die Vertreter von SendPay teilten den Prüfern erneut mit, dass sie regelmäßig mit dem Softwareentwicklungsunternehmen kommunizieren und über mögliche Änderungen angemessen informiert sind.
3. Beim Firewall-Test wurde keine Nichtkonformität festgestellt. Die Prüfer testeten die Firewall-Konfiguration, um das Sicherheitsniveau dieser Dienste zu ermitteln. Zum Testen der Firewall-Richtlinien verwendeten sie einen Paketanalysator, der es ihnen ermöglichte, die gesendeten oder empfangenen Pakete in Echtzeit zu überprüfen.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
Basierend auf Szenario 4 forderten die Prüfer Dokumentationsnachweise zum Überwachungsprozess ausgelagerter Betriebe. Was bedeutet das?
Correct Answer: A
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
Wie hängen interne Audits und externe Audits zusammen?
Correct Answer: B
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).