[2024-12-06更新,204問] 無料PECB ISO-IEC-27001-Lead-Auditor試験問題集、ISO-IEC-27001-Lead-Auditor復習解答例(ページ 19)

CMM とは何ですか?

A. 能力成熟度マトリックス

B. 容量成熟度マトリックス

C. 能力成熟度モデル

D. 有能な成熟モデル

あなたは、モバイル通信プロバイダーの第三者監査を完了したばかりの監査チームのリーダーです。監査レポートを準備しており、「機密保持」という見出しのセクションを完了しようとしています。
あなたのチームで研修中の監査人が、機密レポートを第三者に公開できる状況があるかどうかを尋ねます。
次の回答のうち、誤っているものはどれですか?

A. 報告書は機密事項であるとお客様に通知していますが、正当であると判断した場合は第三者に開示することもあります。その場合は必ずお客様に通知します。

B. 報告書は第三者に公開できますが、監査クライアントの明示的な事前承認が必要です。

C. 報告書を第三者に公開できる状況はありません。機密とは機密を意味し、文書を公開することは信頼の侵害となります。

D. 出発点は常に、第三者が監査報告書にアクセスする自動的な権利を持たないということである。

E. 第三者が報告書を開示するよう法的通知を受けた場合、当社は開示しなければなりません。そのような場合、当社は監査クライアントおよび必要に応じて監査対象者に通知します。

F. 監査組織に雇用されている監査人は誰でも監査報告書にアクセスできます。

G. 当社の守秘義務は永久に続くものではありません。認証機関として、レポートをどれくらいの期間秘密に保持するかを決めることができます。この期間が過ぎると、第三者がサブジェクトアクセス要求を行うことでレポートにアクセスできるようになります。

H. 下請け監査人は機密保持に関して第三者とみなされるため、通常は機密保持契約に拘束されます。

正解: A,F,G,H

説明
監査レポートは、監査対象の ISMS とそのパフォーマンスに関する機密情報を含む機密文書です。監査チームには、監査レポートの機密性を保護し、監査クライアント、認証機関、認定機関などの権限のある関係者にのみ開示する義務があります。したがって、次の応答は誤りです。
* 回答: 監査チームは、監査クライアントの同意なしにレポートを第三者に公開することはできません。これは、機密保持契約および監査行動規範に違反することになります。監査チームは、レポートを第三者に公開する前に必ず監査クライアントに通知し、明示的な事前承認を得る必要があります。
* F: 監査組織に雇用されているすべての監査人が監査レポートにアクセスできるわけではありません。これは、知る必要があるという原則に違反するからです。監査チームリーダー、監査チームメンバー、監査プログラムマネージャー、認証決定者など、監査プロセスに関与する監査人だけが監査レポートにアクセスできます。監査に関係のない他の監査人にはレポートにアクセスする正当な理由がないため、適切なセキュリティ対策によってアクセスを防止してください。
* G: 機密保持義務は一定期間が経過しても失効しません。監査プロセスの信頼性と完全性が損なわれる可能性があるためです。監査報告書は、以下の場合を除き、無期限に機密扱いされます。
* 開示する法的義務または契約上の義務がある場合、または監査クライアントが開示することに同意している場合。第三者は、監査クライアントと監査対象者のプライバシーとデータ保護の権利を侵害するため、主体によるアクセス要求を行って監査レポートにアクセスすることはできません。
* H: 下請け監査人は監査チームの一員であり、監査組織と契約関係にあるため、機密保持に関しては第三者とはみなされません。下請け監査人は通常、雇用された監査人と同じ機密保持契約および監査行動規範に拘束され、監査報告書にアクセスして保護する同じ権利と責任を持ちます。
参照:
* ISO/IEC 27001:2022、条項9.2、内部監査
* ISO/IEC 27006:2015、条項7.2.3、機密保持
* PECB候補者ハンドブック ISO 27001主任監査人、22ページ、監査報告書
* PECB候補者ハンドブックISO 27001主任監査員、24ページ、監査行動規範

あなたが勤務するデータセンターは現在、ISO/IEC27001:2022 認証の取得を目指しています。最初の認証訪問に備えて、グループ内の別のデータセンターに勤務する同僚がいくつかの内部監査を実施しました。同僚は今年初めに ISO/IEC 27001:2022 認証を取得しました。
あなたは内部 ISMS 監査員としての資格を取得したばかりで、外部認証機関が到着する前に最終チェックとして監査プロセスと監査結果を確認するように上司から依頼されました。
ISO/IEC 27001:2022 要件への適合に関して、次の 6 つのうちどれが懸念材料になりますか?

正解: A,C,E,F,H,I

情報セキュリティ管理システム（ISMS）を確立、実装、維持、および継続的に改善するための要件を規定するISO/IEC 27001:2022によれば、条項9.3では、組織のISMSが継続的に適切、妥当、および有効であることを確認するために、トップマネジメントが計画された間隔で組織のISMSを見直すことが求められています1。条項9.2では、組織が計画された間隔で内部監査を実施し、ISMSが自社の要件とISO/IEC 27001:2022の要件に準拠しているかどうか、また効果的に実装および維持されているかどうかに関する情報を提供することが求められています1。したがって、外部認証機関が到着する前に最終チェックとして監査プロセスと監査結果をレビューする際、内部ISMS監査人は、これらの条項が監査基準に従って満たされていることを確認する必要があります。
以下の記述のうち 6 つは、ISO/IEC 27001:2022 の要件への適合に関して懸念を引き起こす可能性があります。
* 監査プログラムでは、年間を通じて不定期に経営レビューが実施されていることが示されています。
この記述は、組織が条項 9.3 で要求されているように計画された間隔で管理レビューを実施していないことを示唆しているため、懸念を引き起こします。これは、ISMS の継続的な適合性、妥当性、有効性を確保するトップマネジメントの能力に影響を与える可能性があります。
* 監査プログラムは、情報セキュリティプロセスの相対的な重要性を考慮していません。この記述は、組織が、管理システムの監査のガイドラインを提供する ISO 19011:2018 で推奨されているように、リスクベースのアプローチを適用して監査の頻度、方法、範囲、基準を決定していないことを示唆しているため、懸念を引き起こします2。これは、組織が ISMS の最も重要なリスクと機会を特定して対処する能力に影響を与える可能性があります。
* 各内部監査の範囲は定義されていますが、これまでに実施された監査の監査基準は定義されていません。この記述は、組織が条項 9.2 で要求されているように、各内部監査の監査基準を確立していないことを示唆しているため、懸念を引き起こします。監査基準とは、監査証拠を比較するための基準として使用される一連のポリシー、手順、または要件です2。
監査基準がなければ、ISMS が独自の要件と ISO/IEC 27001:2022 の要件に準拠しているかどうかを判断することはできません。
* これまでの監査レポートでは、主要業績評価指標情報を使用して、ISMS プロセスの効率性のみに焦点を当ててきました。この記述は、組織が条項 9.1 で要求されているように ISMS プロセスの有効性を評価していないことを示唆しているため、懸念を引き起こします。有効性とは、計画された活動が実現され、計画された結果が達成される程度です2。効率性とは、達成された結果と使用されたリソースの関係です2。両方の側面は、ISMS のパフォーマンスと改善を測定および評価するために重要です。
* 監査プログラムでは、以前の監査の結果が考慮されていません。この記述は、組織が ISO 19011:20182 で推奨されているように、以前の監査の結果を後続の監査の計画と実施の入力として使用していないことを示唆しているため、懸念を引き起こします。これは、ISMS に関連する繰り返し発生する問題や未解決の問題、または不適合を特定して対処する組織の能力に影響を与える可能性があります。
* 監査プログラムによると、ISMSに対するトップマネジメントのコミットメントは認証訪問前に監査されません。この声明は、組織が、条項5.1で要求されているように、ISMSに関してトップマネジメントがリーダーシップとコミットメントを発揮していることを確認していないことを示唆しているため、懸念を引き起こします。これは、ISMSポリシーと目標が確立され、組織の戦略的方向性と互換性があることを保証するトップマネジメントの能力に影響を与える可能性があります。
* 関連する役割の責任と権限が割り当てられ、伝達されていること、ISMS に必要なリソースが利用可能であること、情報セキュリティ問題に関するコミュニケーションが確立されていること、ISMS の継続的な改善が促進されていること、その他の関連する管理レビューが情報セキュリティのレビューと整合していること、その他の関連する役割にサポートが提供されていること1。
その他の記述は、ISO/IEC 27001:2022 の要件への適合性に関して懸念を引き起こすものではありません。
* 監査レポートはハードコピー（紙）では保管されません。組織のイントラネット上に「.POF ドキュメント」としてのみ保存されます。この記述は ISO/IEC 27001:2022 の要件に違反するものではないため、懸念されるものではありません。この規格では、監査レポートが条項 7.5 に従って管理されている限り、監査レポートを文書化または保存するための特定の形式やメディアは規定されていません。
* 監査プログラムでは、ISO/IEC 27001:2022 の要件を満たすために、監査人が監査対象領域から独立していることが義務付けられています。この記述は、ISO/IEC 27001:2022 の要件に違反するものではないため、懸念されるものではありません。監査が ISO 19011:20182 に従って客観的かつ公平に実施される限り、この規格では監査人の独立性に関する特定の要件は規定されていません。
* 監査プログラムでは監査方法や監査責任について言及していません。この記述は ISO/IEC 27001:2022 の要件に違反するものではないため、懸念されるものではありません。この規格では、監査方法や監査責任が ISO 19011:20182 に従って定義され、文書化されている限り、監査プログラムで監査方法や監査責任について言及するための特定の要件は規定されていません。
* 監査プロセスでは、監査の結果はトップマネジメントではなく「関連する」マネージャーに提供されると規定されています。この記述は、ISO/IEC 27001:2022 の要件に違反するものではないため、懸念されることはありません。この規格では、9.3 項に従って監査結果が関係者に報告され、マネジメントレビューの入力として使用される限り、監査結果をトップマネジメントに伝達するための特定の要件は規定されていません。
参照: ISO/IEC 27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件、ISO 19011:2018 - 管理システム監査のガイドライン

次の標準のうち、ISMS サードパーティ認証監査基準として使用される 2 つはどれですか?

A. ISO/IEC 27002

B. ISO/IEC 20000-1

C. ISO 19011

D. ISO/IEC 27001

E. 関連する法律、法令、規制上の要件

F. ISO/IEC 17021-1

ISMS 監査チームのリーダーとして、オンライン小売業者に代わって国際物流会社のセカンドパーティ監査を実施しています。監査中、チームメンバーの 1 人が ISO/IEC 27001:2022 の付録 A のコントロール 5.18 (アクセス権) に関する不適合を報告しました。彼女は、過去 3 か月以内に退職した 20 人のサーバーアクセスプロトコルを削除するのに最大 1 週間かかったという証拠を発見しました。ポリシーでは、退職後 24 時間以内にアクセスを削除する必要がありました。
最適な単語で文を完成させ、完成させたい空白部分をクリックして赤くハイライト表示し、下のオプションから該当するテキストをクリックします。または、オプションを適切な空白部分にドラッグアンドドロップすることもできます。

ISO-IEC-27001-Lead-Auditor 試験問題 86

ISO-IEC-27001-Lead-Auditor 試験問題 87

ISO-IEC-27001-Lead-Auditor 試験問題 88

ISO-IEC-27001-Lead-Auditor 試験問題 89

ISO-IEC-27001-Lead-Auditor 試験問題 90

PDFファイルをダウンロード