説明
各説明を適切なリスク用語と照合するための正解は次のとおりです。
* 特定の情報セキュリティ リスクに対応するために選択される戦略: これは、情報セキュリティ リスクへの対応の定義です。ISO/IEC 27000:2022 によると、情報セキュリティ リスクの処理は、セクション 3.33 で「情報セキュリティ リスクを修正するための措置を選択および実装するプロセス」です。
※情報セキュリティ目標に対する不確実性の影響：情報セキュリティリスクの定義です。ISO/IEC 27000:2022 によると、情報セキュリティ リスクは「情報セキュリティ目標に対する不確実性の影響」セクション 3.32 です。
※情報セキュリティリスクを評価するための要件：情報セキュリティリスクの基準を定義したものです。ISO/IEC 27000:2022 によれば、情報セキュリティ リスク基準は「情報セキュリティ リスクの重要性を評価するための付託条件」セクションです。
3.31。
※許容できると考えられる情報セキュリティリスク全体のレベルの定義：情報セキュリティリスクの許容基準の定義です。ISO/IEC 27000:2022 によると、情報セキュリティ リスクの許容基準はセクション 3.30 で「許容される情報セキュリティ リスクのレベル」です。

説明
情報セキュリティは信頼の構築と維持の問題です。信頼とは、情報および情報処理施設が、機密性、完全性、または可用性を損なう可能性のある不正または悪意のある行為から保護されているという信頼です。信頼は、組織の情報やサービスに依存する顧客、パートナー、サプライヤー、従業員、その他の利害関係者との関係を確立し、維持するために不可欠です。信頼は、法律、規制、契約上の義務を遵守し、組織独自の情報セキュリティの目標とポリシーを達成するための重要な要素でもあります。
ISO/IEC 27001:2022 は、情報セキュリティを「情報の機密性、完全性、および可用性の保持」と定義し (第 3.28 項を参照)、「情報セキュリティ管理システムの目的は、信頼性に影響を与える活動を管理するためのフレームワークを提供することである」と述べています。情報」（「はじめに」を参照）。参考資料: CQI および IRCA 認定 ISO/IEC 27001:2022 主任審査員トレーニング コース、ISO/IEC 27001:2022 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、信頼とは?

トレーニング中の監査人がレビューする必要があるリストの 4 つの管理は次のとおりです。
*A. 機密保持および機密保持契約: この管理では、機密情報にアクセスできるすべての従業員、請負業者、および第三者が、そのような情報の機密性と完全性を保護することを義務付ける適切な契約に署名することを組織に義務付けています。これは、外部クライアントに代わってデータを保存する組織にとって、情報資産を保護し、契約上の義務を遵守するという取り組みを示すため、特に重要です。
*C. 情報セキュリティの意識、教育、トレーニング: この管理では、組織は、組織の情報システムと情報資産にアクセスするすべての従業員、請負業者、および第三者に対して、定期的かつ適切な情報セキュリティの意識、教育、トレーニングを提供することが求められます。これは、従業員が自分たちの役割と責任、情報セキュリティのポリシーと手順、潜在的な脅威とリスク、情報セキュリティ インシデントの予防と対応のベスト プラクティスを確実に認識するために不可欠です。
*D. リモート勤務の取り決め: この管理では、組織は、テレワーク、モバイル勤務、在宅勤務などのリモート勤務の取り決めに関連する情報セキュリティ リスクを管理するためのポリシーと手順を確立し、実装することが求められます。これには、許可されたデバイス、アプリケーション、ネットワーク、暗号化と認証方法、バックアップとリカバリの手順、レポートと監視のメカニズムなど、リモート作業の条件と要件の定義が含まれます。これは、従業員の場所や従業員が使用するデバイスに関係なく、情報セキュリティ レベルが確実に維持されるため、外部クライアントに代わってデータを保存する組織にとって重要です。
*E. 要員に対する検証チェックの実施: この管理では、組織は、組織の情報システムおよび情報資産にアクセスできるすべての従業員、請負業者、および第三者の経歴、資格、および身元について適切な検証チェックを実施することが求められます。これは、個人の身元、適合性、信頼性を確認し、組織とその顧客の情報セキュリティを侵害する可能性のある無許可または悪意のある個人の雇用を防ぐために必要です。
参考文献: = ISO/IEC 27001:2022、付録 A、A.5.7、A.7.2、A.7.3、および A.7.4 項。ISO 27001 従業員管理: 担当者が情報セキュリティを確保する方法。ISO の 11 の新しいセキュリティ管理とは何ですか
27001:2022? - アドバイス。

説明
ISO 27001:2022 の第 4.1 項によれば、組織は、その目的に関連し、情報セキュリティ管理システム (ISMS) の意図した結果を達成する能力に影響を与える外部および内部の問題を決定する必要があります12 外部問題は要因です組織の外部であり、制御することはできませんが、影響を与えたり、適応したりすることはできます。これらには、組織の情報セキュリティの目的、リスク、機会に影響を与える可能性のある、政治的、経済的、社会的、技術的、法律的、および環境的要因が含まれます12 内部問題は、組織が制御または変更できる組織内の要因です。これらには、組織の情報セキュリティ管理システムに影響を与える可能性のある組織の構造、文化、価値観、ポリシー、目的、戦略、能力、リソース、プロセス、活動、関係、およびパフォーマンスが含まれます12。 したがって、以下の問題は、この文脈では「内部」とみなされます。マネジメントシステムのISO化
27001:2022:
研修支出の削減によるスタッフの能力の低下: これは組織の能力、リソース、および ISMS に関与するスタッフの能力の開発と維持のプロセスに関連するため、内部問題です。組織は、研修支出と従業員の能力への影響を制御または変更できます12 従業員の休暇が減った結果として生じる士気の低下: これは組織の文化、価値観、従業員との関係に関連するため、内部問題です。組織は、従業員の休暇方針と従業員の士気への影響を制御または変更できます12。 管理が不十分な結果としての欠勤の増加: これは組織のパフォーマンス、構造、および管理者の説明責任に関連するため、内部問題です。組織は、管理慣行とスタッフの欠勤への影響を制御または変更できます12。 旧式の生産設備に関連した生産性の低下: これは、組織の能力、リソース、および設備の可用性と適合性を確保するプロセスに関連するため、内部問題です。生産設備。組織は、機器のメンテナンスとアップグレード、および生産性への影響を制御または変更できます12。以下の問題は、ISO 27001:2022 の管理システムの文脈では「外部」とみなされます。
人口高齢化の結果としての人件費の上昇: これは、市場での労働力の利用可能性とコストに影響を与える社会的および人口動態的要因に関連しているため、外部の問題です。組織は高齢化人口を制御したり変更したりすることはできないが、人件費への影響に影響を与えたり、それに適応したりすることはできる12。 高インフレに応じた金利上昇：コストに影響を与える経済的および金融的要因に関連しているため、これは外部問題である。そして市場における資本の利用可能性。組織は金利やインフレを制御したり変更したりすることはできないが、資本コストへの影響に影響を与えたり、それに適応したりすることはできる12。 政府の政策変更による補助金の削減：これは政治的および法的な問題に関連しているため、外部の問題である。組織への公的資金の利用可能性と条件に影響を与える要因。組織は政府の政策を制御したり変更したりすることはできませんが、補助金への影響に影響を与えたり、それに適応したりすることはできます12 政府の制裁により原材料を調達できない: これは、入手可能性とコストに影響を与える政治的および法的要因に関連しているため、外部の問題です。市場にある原材料のこと。組織は政府の制裁を制御したり変更したりすることはできませんが、原材料に対する影響に影響を与えたり、それに適応したりすることはできます12。
1: CQI および IRCA 認定トレーニングによる ISO/IEC 27001:2022 主任監査人 (情報セキュリティ マネジメント システム) コース 1 2: PECB による ISO/IEC 27001 主任監査人トレーニング コース 2

説明
抑圧的措置は、セキュリティ インシデントの起こり得る結果を阻止することを含む措置の一種です。セキュリティ インシデントは、情報資産の機密性、完全性、または可用性を損なうイベントです3。抑制的措置は、セキュリティ インシデントが発生した後に、それによって引き起こされる被害を防止または軽減することを目的とした措置です。抑制措置の例には、悪意のある IP アドレスのブロック、ユーザーのアクセス権の取り消し、感染したシステムの隔離、バックアップからのデータの復元などが含まれます4。抑制的措置は、セキュリティ インシデントが発生する前に回避またはその可能性を低減することを目的とした予防的措置とは異なります。予防策の例には、ウイルス対策ソフトウェアのインストール、パスワード ポリシーの適用、機密データの暗号化、セキュリティ意識向上トレーニングの実施などが含まれます4。
したがって、正しい答えは C です。 参考文献: ISO/IEC 27000:2022、第 3.25 節。レピデ。