[2024-07-19更新,126問] 無料PECB ISO-IEC-27001-Lead-Auditor試験問題集、ISO-IEC-27001-Lead-Auditor日本語参考(ページ 14)

ISO-IEC-27001-Lead-Auditor 試験問題 61

次のフレーズのうち、第一者監査に関連する「目的」となるのはどれですか?

A. 国際標準を適用します

B. 認証機関向けの監査報告書を作成します。

C. 管理システムの範囲が正確であることを確認します

D. 期限内に監査を完了する

E. 規制要件を適用します

F. 管理ポリシーを更新します

正解: C,F

第一者監査は、組織自体、または組織に代わって外部当事者によって実施される内部監査です。第一者監査の目的は次のとおりです。 12 管理システムの範囲が正確であることを確認します。つまり、組織の情報セキュリティの目的と要件に関連するすべてのプロセス、活動、場所、および機能が対象となっています。
監査結果とフィードバックに基づいて、管理方針を更新します。つまり、方針説明、役割と責任、情報セキュリティマネジメントシステム（ISMS）の目的と目標を見直し、改訂します。
他のフレーズは第一者監査の目的ではなく、次のようなものです。
国際標準を適用する: これは ISMS の要件であり、監査の目的ではありません。ISMS は、ISO/IEC 27001 規格およびその他の該当する規格または規制に準拠する必要があります12。認証機関向けの監査報告書を作成します。これは、第一者監査ではなく、第三者監査の活動です。第三者監査は、ISMS の適合性と有効性を検証し、準拠証明書を発行するために、独立した認証機関によって実施される外部監査です12。期限内に監査を完了する: これはパフォーマンス指標であり、監査の目的ではありません。監査は計画された期間と予算内で完了する必要がありますが、これは監査の主な目的ではありません12 規制要件の適用: これは ISMS の要件でもあり、監査の目的ではありません。ISMS は、情報セキュリティに関する組織の法的および契約上の義務を遵守する必要があります12。
1: CQI および IRCA 認定トレーニングによる ISO/IEC 27001:2022 主任監査人 (情報セキュリティマネジメントシステム) コース 1 2: PECB による ISO/IEC 27001 主任監査人トレーニングコース 2

ISO-IEC-27001-Lead-Auditor 試験問題 62

あなたは、クライアントのデータセンターでフォローアップ監査を実施する任務を負った ISMS 監査チームのリーダーです。
現場で 2 日間滞在した後、追跡監査の原因となった最初の 12 件の軽微な不適合と 1 件の重度の不適合のうち、未解決のまま残っているのは軽微な不適合 1 件のみであると結論付けました。
実行できるアクションについて 4 つのオプションを選択します。

A. オンサイトで別のフォローアップ監査を予約し、未解決の軽微な不適合が解消された後にレビューします。

B. 顕著な軽微な不適合は次回の監視監査で対処することを推奨します

C. 未解決の不適合に対処するためにオンライン監査を手配することを被監査者に通知します。

D. 進行状況を記録しますが、すべての修正措置が完了するまで監査を開いたままにします。

E. 残りの不適合をどのように、いつまでに解消するか、その解消をどのように検証するかについて被監査者/監査クライアントと合意します。

F. 監査プログラムを管理する個人に、未解決の不適合に関して下された決定について通知します。

G. 合意された修正および是正措置が合意された期限内に実施されなかったため、組織の認証の一時停止を推奨します。

H. 組織が提起された不適合を解消することに取り組んでいることを実証したため、フォローアップ監査を終了します。

正解: B,E,F,H

説明
マネジメントシステム監査のガイドラインを規定する ISO 19011:2018 によると、第 6.7 項では、監査チームのリーダーに対し、監査中に特定された不適合に対応して被監査者がとった是正措置の実施と有効性を検証するためのフォローアップ監査を実施することを義務付けています。前回の監査1. フォローアップ監査は、初回監査と同じ原則およびプロセスに従って実施され、不適合の状況および残っている問題について結論が得られる必要があります1。
したがって、フォローアップ監査を実施する場合、ISMS 監査人は次のアクションを考慮する必要があります。
* 顕著な軽微な不適合は次回の監視監査で対処することを推奨する: この措置は、被監査者が重大な不適合を含むほとんどの不適合を解消し、未解決の軽微な不適合が 1 つだけ残っているという事実を反映しているため、適切です。軽微な不適合とは、ISO/IEC 27001:2022 の 1 つ以上の要件を達成できないこと、または ISMS プロセスが意図した成果を達成する能力に重大な疑問を引き起こす状況として定義されますが、全体的な有効性や適合性には影響しません2 。したがって、この発見は、妥当な期間内に適切な是正措置によって対処される限り、認証の継続を妨げたり妨げたりするものではありません。監査人は、顕著な軽微な不適合を次回の監視監査で処理することを推奨する必要があります。監視監査は、ISMS3 の継続的な適合性と有効性を確認するために認証機関によって実施される定期的な監査です。
* 残りの不適合をいつ、いつまでに、どのように解消するかについて被監査者/監査依頼者と合意する: この措置は、被監査者が不適合に対する是正措置を実施するコミットメントと能力を示しているという事実を反映しているため、適切である。前回の監査中に特定された不適合。監査人は、明確な期限と検証方法を含む、残りの不適合に対する現実的で達成可能かつ効果的な是正措置計画について被監査者/監査依頼者と合意する必要があります。監査人は、この合意をフォローアップ監査報告書にも文書化する必要があります1。
* 監査プログラムを管理する個人に、未解決の問題に関して下された決定について通知します。
* 不適合: 監査人がフォローアップ監査の実施と報告に関して体系的かつ一貫したアプローチに従っているという事実を反映しているため、この措置は適切です。監査人は、次回の監視監査で不適合を閉鎖することを推奨したり、被監査者/監査依頼者と是正措置計画に同意したりするなど、未解決の不適合に関して下された決定について、監査プログラムを管理する個人に通知する必要があります。監査人はまた、その決定を裏付ける十分な情報と証拠を提供する必要があります1。
*組織が提起された不適合を解消することに取り組んでいることを実証したため、フォローアップ監査を終了する:組織がフォローアップ監査で満足のいく結果を達成したという事実を反映しているため、このアクションは適切です。組織は、指摘された不適合の大部分に対して効果的な是正措置を実施し、残りの不適合に対する計画に同意することで、指摘された不適合を解消することに取り組んでいることを実証したため、監査人はフォローアップ監査を終了する必要があります。監査人はまた、フォローアップ監査の結論を被監査者/監査依頼者およびその他の関係者に通知する必要があります1。

ISO-IEC-27001-Lead-Auditor 試験問題 63

ステージ 1 の監査開始会議中に、マネジメントシステム担当者 (MSR) は、認証申請が行われてから拡張した海外の新しいサイトを含めるように監査範囲を拡大することを要求します。
監査人がどのように対応すべきかについて 2 つのオプションを選択します。

A. 範囲の拡張を組み込むことはできるが、確立された手順を踏む必要があることを MSR に通知します。

B. 監査範囲は最初の申請に基づいて決定されているため、監査は計画どおりに進める必要があることを MSR に通知します。

C. MSR が監査契約をキャンセルし、新しい状況を再申請することを提案します。

D. 管理システムが新しいサイトのプロセスをカバーしているかどうかを判断し、カバーしている場合は監査を続行します。

E. 既存の範囲内で、新しい作業領域を問題なく含めることができることを MSR に通知します。

F. 監査人が監査対象者に、新しい作業領域を含むように監査範囲が改訂されることを通知することを確認します。

正解: A,D

説明
監査人がどのように対応すべきかについての正しい選択肢は次のとおりです。
* A. 範囲の拡張を組み込むことはできるが、確立された手順を経る必要があることを MSR に通知します。
* D. マネジメントシステムが新しいサイトのプロセスをカバーしているかどうかを判断し、カバーしている場合は監査を続行します。これらのオプションは、認証範囲の変更はすべて ISO/IEC 27006:2015 規格に準拠する必要があると規定しています。クライアントから認証機関に通知され、認証機関はその手順に従ってこれらの変更を評価および決定する必要があります1。監査人はまた、認証範囲に含まれるすべてのサイトで ISMS が実装および維持されていることを検証する必要があります1。
他のオプションは、次の理由から、監査人がどのように対応すべきかには適切ではありません。
* B. 監査範囲は最初の申請に基づいて決定されているため、監査は計画どおりに進める必要があることを MSR にアドバイスします。このオプションは厳格すぎるため、クライアントの状況に柔軟に対応したり適応したりすることはできません。監査人は、認証機関によって適切に通知され、評価されている限り、最初の申請以降に発生した可能性のある認証範囲の変更を考慮するオープンな姿勢をとるべきです。
* C. MSR が監査契約をキャンセルし、新しい状況に応じて再申請することを提案します。このオプションはあまりにも適切です
* クライアントと認証機関の両方に遅延と費用が発生するため、大幅かつ不必要です。
監査人はクライアントに監査契約の解除を提案すべきではなく、認証範囲の拡大を要求し承認するための確立された手順に従うことを提案すべきです。
* E. 既存の範囲内で、新しい作業領域を問題なく含めることができることを MSR にアドバイスします。このオプションは甘すぎるため、新しい作業領域が ISO/IEC 27001 および ISMS の要件を満たしていることが保証されません。監査人は、新しい作業領域が既存の範囲に問題なく含まれると想定すべきではなく、新しいサイトで ISMS が実装および維持されていること、および認証範囲の変更が適切であることを検証する必要があります。認証機関によって承認されています。
* F. 監査人が被監査者に、監査範囲が改訂されて新しい作業領域が含まれることを通知することを確認する: このオプションはあまりにもおこがましいし、認証機関の権限を尊重しません。
監査人は、新しい作業領域を含むように監査範囲を改訂することを確認するべきではなく、クライアントの認証範囲の拡張要求を認証機関に通知し、その決定を待つ必要があります。

ISO-IEC-27001-Lead-Auditor 試験問題 64

組織の予定された情報セキュリティ監査を完了したところ、IT マネージャーがあなたに連絡し、会社のリスク管理プロセスの改訂について支援を求められました。
彼は他のマネージャーが理解しやすいように現在のドキュメントを更新しようとしていますが、あなたの議論から彼がいくつかの重要な用語を混同していることは明らかです。
あなたは彼に、それぞれの説明を適切なリスク用語と照合するように依頼します。正しい答えは何であるべきでしょうか?