阿摩線上測驗
複選題
24.由於目前公司仍缺乏資訊安全管理相關 的驗證,最高管理階層希望採取相關措施,試問下列何種措施較為合適?(複選)
(A) 由於資訊相關的事務由管理部門 A 負責,故優先考慮由其 導入 ISO 27001:2022 的驗證
(B) 考慮公司中相關人員對 ISO 27001:2013 較為熟悉,先導入2013 版,日後再進行改版驗證
(C) 由於公司也有個資保護管理制度驗證的需求,故直接導入全 公司 ISO 27701:2019 的驗證
(D) 由於公司也有個資保護管理制度驗證的需求,故直接導入全 公司 ISO 27001:2022 的驗證,再導入 ISO 27701:2019 的驗 證
答案:登入後查看
統計: A(369), B(52), C(114), D(338), E(0) #3296319
統計: A(369), B(52), C(114), D(338), E(0) #3296319
詳解 (共 2 筆)
ausyen.de
#7319946
這是一個考驗 ISO 標準版本時效性以及各項標準間依賴關係的情境題。在處理這類題目時,最關鍵的考點在於 ISO 27701 的「外掛」性質。
詳細解析:為何 (A) 與 (D) 是合適的?
(A) 優先考慮由管理部門 A 導入 ISO 27001:2022
-
解析:正確。
-
理由: 題目中提到「資訊相關的事務由管理部門 A 負責」。在導入 ISMS(資訊安全管理系統)時,由掌握資源與管理權限的資訊負責部門優先啟動是實務上最常見的做法。同時,目前的現行版本為 2022 版,符合合時宜的要求。
(D) 先導入 ISO 27001:2022,再導入 ISO 27701:2019
-
解析:正確。
-
理由: 這是本題最重要的技術考點。
-
依賴性: ISO 27701 (PIMS) 被設計為 ISO 27001 (ISMS) 的增補(Extension)。
-
規則: 組織無法單獨取得 ISO 27701 驗證。必須先建立並通過 ISO 27001 驗證,或是在同一次稽核中同時申請兩者。因此 (D) 的順序完全符合規範。
-
選項 (B) 與 (C) 為何不合適?
(B) 先導入 2013 版,日後再改版
-
錯誤原因:時效性問題。 * ISO 27001:2022 已經發布並取代了 2013 版。對於現在要「新導入」的公司來說,直接選擇新版(2022 版)是降低轉換成本與符合認證效期的最佳途徑。2013 版的證書即將進入過渡期截止,此時導入舊版並不合理。
(C) 直接導入全公司 ISO 27701:2019
-
錯誤原因:結構性問題。 * 如同前面所述,ISO 27701 是附屬在 ISO 27001 之上的。如果公司目前「缺乏資訊安全管理相關驗證(ISO 27001)」,是完全沒有辦法「直接」跳過基礎去導入 27701 的。
0
0