# 考前猜題sharing(https://) **19:00前準備好答案** -------------------- 1. (政男)在 6.1.3(d)裡面列出的ＳＯＡ可以排除控制措施嗎？請舉一個例子，以及其為什麼可以排除？ :::warning 資訊安全風險處理過程中產生適用性聲明 (statement of applicability, SoA)， 包括必要之控制措施 (參照6.1.3(b) 及 (c))，且不論是否實作，提供納入之理由，以及由附錄 A 排除之理由。 produce a Statement of Applicability that contains the necessary controls (see 6.1.3 b) and c)) and justification for inclusions, whether they are implemented or not, and the justification for exclusions of controls from Annex A; Example: 公司不允許委外開發, 因此 A.8.30 委外開發 之 組織應監督及監視委外系統開發活動 不適用而可以排除 ::: 2.（ＹＷ） 管理系統文件化資訊要求在哪裡？ --> 7.5 兩組的人為什麼文件化資訊會不一樣 :::warning 各組織之資訊安全管理系統文件化資訊內容，可能因下列因素而異。 a. 組織規模， 以及其活動之型式、過程、產品及服務。 b. 各過程及其互動之複雜度。 c. 人員之能力。 ::: 3. (乾源)在內部稽核的時候，有考慮數點因素（前置過程） 基於風險管理。請描述稽核方案要怎麼管控稽核過程中所產生的風險 :::warning (From https://www.tksg.global/mod/page/view.php?id=54446&forceview=1) 6.3.2.1 基於“風險”的規劃方法 稽核組組長宜以稽核方案中的資訊與受稽核者提供的文件化資訊為基準，採用基於風險的方法來規劃稽核。 稽核規劃宜考慮稽核活動對受稽核者過程的風險，並供稽核客戶、稽核小組及受稽核者間，作為執行稽核上協議之基礎。 規劃宜有助於稽核活動有效率的時程安排與協調，以有效地達成目標。 稽核計畫的詳細程度宜反映稽核的範圍與複雜性，以及未達成稽核目標的風險。 在規劃稽核時，稽核組組長宜考慮下列事項： (a) 稽核小組的組成及其整體適任性。 (b) 適當的抽樣技術 (參照 A.6 )。 (c\) 改進稽核活動的有效性與效率的機會。 (d) 由於稽核規劃成效不彰造成達成稽核目標的風險。 (e) 由稽核造成的受稽核者的風險。 受稽核者的風險可能係因稽核小組成員在場，對受稽核者的健康與安全、環境與品質，及其產品、服務、人員或基礎設施之安排產生不利的影響 (例：潔淨室設施之污染)。 對於合併稽核，宜特別留意到作業過程之間的相互作用，及不同管理系統的競合目標與優先順序。 稽核原則 (https://www.tksg.global/mod/page/view.php?id=54444) (g) 基於風險的方法 (risk-based-approach)：考慮風險與機會的稽核方法 基於風險的方法宜對稽核的規劃、執行與報告產生實質性影響，以確保稽核著重於稽核客戶重要的事務，及達成稽核方案目標。 ::: 4. (chingyi) 請說明與舉例稽核準則與稽核目標 :::warning (sol) 稽核準則被使用作為決定符合性之參考，且可包括適用之政策、程序、標準、法規要求、管理系統要求、合約要求、行業行為準則或其他已規劃之安排。 ex: 依據資訊安全管理系統國家標準 CNS 27001:2014 或國際資訊安全管理標準 ISO 27001:2013、國際資訊技術服務管理標準 ISO 20000等，據以規劃稽核項目。 稽核目標界定個別稽核需完成什麼，且可包括下列各項： ─ 決定被稽核之管理系統或其一部分符合稽核準則的程度； ─ 決定活動、過程及產品符合管理系統要求與程序之程度； ─ 評估管理系統之能力，以確保符合法規與合約要求，以及組織所承諾之其他要求； ─ 評估管理系統符合其規定目標之有效性； ─ 鑑別管理系統可能改進之區域。 ex: a. 檢視公務機關及特定非公務機關辦理資通安全管理法及其子法相關法遵事項之符合情形。 b. 經由外部稽核各機關資通安全維護計畫實施情形，改善並強化機關資通安全防護工作之完整性及有效性，持續落實精進政府機關之資安防護水準。 (參考) 老師文件 https://www.tksg.global/mod/page/view.php?id=54443 稽核準則(audit criteria) 用以與客觀證據 ( 3.8 ) 作比對的參考基準之 1 組要求事項 (3. 23) 。 備考 1 . 若稽核準則是法律的 ( 包括法令或法規 ) 要求事項，則稽核發現 ( 3.10 ) 中經常使用〝守規〞或〝違規〞稱之。 備考 2. 要求可以包括政策、程序、工作指導、法律要求事項、合約義務等。 稽核準則(audit criteria) 政策、程序或要求之組合，使用作為與稽核證據(3.3)的比較參考。 備考1 擷自ISO 9000:2005，定義3.9.3。 備考2 若稽核準則係法規(包括法令或規章)要求，則通常在稽核發現(3.4) 中使用「符合」或「不符合」名詞。 ::: 5. (Huan) 控制措施 A.11.2.8 中有提到無人看管的設備，請舉例什麼是無人看管的設備，和其會造成什麼樣的資訊安全風險 :::warning 無人看管的設備：無人看管的印表機，事務機，下班後的個人電腦，會議室電腦等 資訊安全風險：以下班後的個人電腦為例，未鎖定的螢幕可能會有未經授權的使用，會影響到公司重要文件的機密性 補充: A.11.2.8 [實作指引(link)](https://www.tksg.global/mod/page/view.php?id=55717) 宜使所有使用者認知保護無人看管設備之安全要求事項及程序，以及其對實作此等保護措施之責任。宜對使用者做下列建議。 a. 除非能以適切之鎖定機制(例:以通行碼保護之螢幕保護程式)保全，否則完 成工作時即終止現用會談。 b. 不再需使用時，即登出應用系統或網路服務。 c. 電腦或行動裝置未使用時，使用鑰匙鎖或等效控制措施(例:通行碼存取)保全，以防止未經授權之使用。 ::: 6. (一傑)請用你的話來描述什麼是證據為憑的稽核，請舉兩個例子來描述稽核員是用什麼樣的方式來獲得稽核證據 :::warning 證據為憑之方式：在有系統的稽核過程中，達成可信賴與可再現的稽核結論之合理方法，稽核證據宜為可查證的。 由於稽核是在限定期間內，與有限的資源下執行，通常宜以可獲得資訊樣本為基礎。 由於抽樣之使用可與稽核結論的信賴度有密切關聯，故宜適當應用抽樣。 意味著稽核的決定或判斷基於稽核過程中收集的證據 (From: https://www.tksg.global/mod/page/view.php?id=54444) 舉例: 1. 稽核員可透過面談或實地現場查核的方式來獲得稽核證據, 例如:受稽方有告知機房有做實體安全(e.g. 金屬門,保全), 則可以現場查核的方式來獲得稽核證據 2. 透過受稽核方所提供之紀錄,文件等文件化資訊獲得稽核證據, 例如:若想得知受稽方是否有做員工教育訓練, 則應取得員工教育訓練紀錄當作稽核證據 ::: 7. (鍾昆學) 稽核員需要有開放的胸襟（open-minded)，請用你的話來描述什麼是open-minded, 請舉例稽核的什麼樣的情況算是 open-minded :::warning Open-minded 心胸開闊: 即願意考量其他不同意見或觀點. 舉例: 當受稽方針對稽核不符合項目提出解釋時, 稽核員應具備開闊之心胸, 來理解受稽單位之解釋, 並保持客觀性與公平性. 對於自己不熟悉的事物，願意花心思去了解，而不是留在舒適圈裡，把自己不熟的東西嫌的一文不值。 接受審計期間提出的其他想法或意見。不同的觀點應該被認為是審計也是一個學習曲線。如果您同意他們的觀點，受審核方更有可能信任您。 ::: 8. (韓韓) 請解釋什麼是最高管理階層，請舉四個與最高管理階層相關的條款與稽核證據 :::warning 名詞解釋 – 最高管理階層 (top management) - 於最高層級指導與控制組織 (2.57)之個人或一群人 相關條款 – 稽核證據 5.1領導及承諾 – (a) 確保已建立資訊安全政策及資訊安全目標，並與組織之策略方向相容 - 透過訪談最高階層瞭解組織策略 5.2 政策 - 政策文件作為證據 5.3 組織角色、責任及權限 – 最高管理階層應確保資訊安全相關角色之責任及權限已指派並傳達 (會議記錄) - 對應會議記錄或宣導紀錄 9.3 管理審查 –最高管理階層應於規劃之期間，審查組織之資訊安全管理系統，以確保其持續的合宜性、適切性及有效性 - 對應之審查紀錄 ::: 9. (Scott) 請問為什麼要進行管理系統的文件化資訊審查？目的為何？ :::warning 6.3.1 執行 “文件化資訊” 的審查 宜審查受稽核者的相關管理系統文件化資訊，以便： (1)蒐集資訊以瞭解受稽核者的運作情況，及準備稽核活動與適用的稽核工作文件 (參照 6.3.4 )，例如過程、職能等資訊。 (2)建立文件化資訊的程度的概觀，以決定是否符合稽核準則，並發現可能存在的議題，如缺陷、遺漏或衝突。 文件化資訊宜包括但不限於： (1)管理系統文件與紀錄，以及 (2)先前的稽核報告。 審查宜將受稽核者組織之前後環節，包括其規模、性質及複雜性，以及相關風險與機會納入考量。 亦宜將稽核範圍、準則及目標納入考量。 ::: 11. (Rick)在準備稽核的時候需要做什麼準備？請列舉兩項活動 e.g.和客戶確認時間，範圍，地點，目標等 :::warning 6.3.2規劃現場稽核 6.3.3指派小組工作 6.3.4準備稽核用之文件化資訊 (1)建立與被稽代表的溝通管道 (2)確認執行稽核的職權 (3)提供稽核目標、範圍、方法及包括技術專家之稽核小組組成資訊 (4)取得文件及紀錄之管道 (5)適用法規與合約的要求，以及與被稽核者活動與產品相關的其他要求 (6)保密資訊的揭露程度與處理協議 (7)做好稽核安排，包含排定日期 (8)決定任何進出、安全性、健康與安全或其他事項之特定地點要求 (9)就觀察員參與及稽核小組所需引導人員取得同意 (10)決定任何與稽核相關之被稽核者有興趣或關切的領域 (11)解決與受稽核者或稽核客戶關於稽核小組組成的議題 ::: 11. (x) 第三大題的舉十個查核項目 有人可以分享好的範例嗎? 一些稽核相關的題目&答案可以參考(ISO9001): https://certificationmalta.com/iso-90012015-internal-audit-criteria-with-examples/