[2024-12-06更新,204問] 無料PECB ISO-IEC-27001-Lead-Auditor試験問題集、ISO-IEC-27001-Lead-Auditor復習解答例(ページ 34)

ISO-IEC-27001-Lead-Auditor 試験問題 161

ハッカーが Web サーバーにアクセスし、そのサーバーに保存されているクレジットカード番号を読み取ります。どのセキュリティ原則に違反しているでしょうか?

A. 可用性

B. 機密保持

C. 誠実さ

D. 信頼性

ISO-IEC-27001-Lead-Auditor 試験問題 162

シナリオ 3: NightCore は、米国に拠点を置く多国籍テクノロジー企業で、電子商取引、クラウドコンピューティング、デジタルストリーミング、人工知能に重点を置いています。同社は、情報セキュリティ管理システム (ISMS) を 8 か月以上実装した後、ISO/IEC 27001 の認証を取得するために、認証機関と契約して第三者監査を実施しました。
認証機関は 7 人の監査人チームを編成しました。最も経験豊富な監査人であるジャックが監査チームのリーダーに任命されました。ジャックは長年にわたり、ISO/IEC 27001 主任監査人、CISA、CISSP、CISM など、多くの有名な認定資格を取得しています。
ジャックは、NightCore が実装したすべての情報セキュリティ要件と制御を調査して評価することにより、ISMS 監査の各フェーズで徹底的な分析を実施しました。ステージ 2 の監査中に、ジャックはいくつかの不適合を検出しました。ソフトウェアライセンスの購入請求書の数をソフトウェアインベントリと比較した後、ジャックは、会社が多くのコンピューターでソフトウェアの違法バージョンを使用していることを突き止めました。彼は、この不適合について経営陣に説明を求め、彼らがこれを認識しているかどうかを確認することにしました。彼の次のステップは、NightCore の IT 部門を監査することでした。経営陣は、NightCore のシステム管理者であるトムをガイドとして任命し、ジャックと監査チームに同行してシステムの内部構造とデジタル資産インフラストラクチャを調査させました。
監査人は財務部門の職員にインタビューしているときに、会社が最近コンサルタントの 1 人と異例の大規模な取引を行っていたことを発見しました。取引に関する必要な詳細をすべて収集した後、ジャックは経営陣に直接インタビューすることにしました。
最初の不適合について議論していたとき、経営陣はジャックに、コピーされたソフトウェアの方が安価であるため、オリジナルのソフトウェアではなく意図的にコピーされたソフトウェアを使用することを決定したと伝えました。ジャックは NightCore の経営陣に、違法なバージョンのソフトウェアを使用することは ISO/IEC 27001 の要件および国の法律や規制に違反することを説明しました。しかし、経営陣はそれを問題視していないようでした。
監査の数か月後、ジャックは監査中に収集した NightCore の情報の一部を NightCore の競合他社に多額の金額で売却しました。
このシナリオに基づいて、次の質問に答えてください。
シナリオ 3 によれば、監査後に Jack が NightCore の情報を販売したとき、どの監査原則に違反したことになりますか?

A. 独立

B. 誠実さ

C. 機密性

ISO-IEC-27001-Lead-Auditor 試験問題 163

アクセス制御システム、CCTV、警備員は次の形式をとります。

A. コンプライアンス

B. 環境セキュリティ

C. 物理的なセキュリティ

D. アクセス制御

ISO-IEC-27001-Lead-Auditor 試験問題 164

あなたは、トレーニング中の ISMS 監査員に指導を行っている、経験豊富な ISMS 監査チームリーダーです。監査員は外部プロバイダーの評価を実行するよう依頼されており、次のアクティビティを含むチェックリストを用意しています。監査員は、提案しているアクションが適切であることを確認するために、あなたにチェックリストを確認するよう依頼しています。
彼らが参加するよう招待された監査は、データセンターの第三者監視監査です。データセンターエージェントは、より広範な通信グループの一部です。グループ内の各データセンターは独自の ISMS を運用し、独自の証明書を保持しています。
外部プロバイダーに関する ISO/IEC 27001:2022 の要件に関連する 3 つのオプションを選択します。

A. 他のデータセンターが同じ通信グループに属しているにもかかわらず、外部プロバイダーとして扱われているかどうかを確認します。

B. 外部プロバイダーが、その製品またはサービスの使用から生じるリスクを組織に通知するための文書化されたプロセスを備えていることを確認します。

C. 組織の情報の機密性、完全性、アクセス性を維持するために重要と判断された各プロセスについて、組織が予備の外部プロバイダーを確保できるようにします。

D. 外部から提供される製品やサービスを監査する必要がないため、監査活動を外部から提供されるプロセスに限定します。

E. 組織が外部プロバイダーのパフォーマンスを定期的に監視、レビュー、評価していることを確認します。

F. 組織がISMSに関して外部プロバイダーとコミュニケーションを取る必要があると判断していることを確認します。

G. 経営陣が、外部ISMSプロセスと内部ISMSプロセスを提供する人々に役割と責任を割り当てていることを確認します。

H. 組織が外部プロバイダーをランク付けし、最も高い評価を受けたプロバイダーに作業の大部分を割り当てるようにします。

正解: A,B,E

* A. 他のデータセンターが同じ通信グループに属していても、外部プロバイダーとして扱われていることを確認します。これは、ISO 27001:2022 の条項 8.1.4 で、組織は情報セキュリティ管理システムに関連する外部から提供されるプロセス、製品、またはサービスが管理されていることを確認する必要があるため適切です。外部から提供されるプロセス、製品、またはサービスとは、組織との関係の程度に関係なく、外部の当事者によって提供されるものです。したがって、同じ通信グループ内の他のデータセンターは外部プロバイダーとして扱われ、他の外部プロバイダーと同じ管理の対象となる必要があります12
* B. 外部プロバイダーが、製品やサービスの使用から生じるリスクを組織に通知するための文書化されたプロセスを備えていることを確認します。これは、ISO 8.1.4の条項に基づいて適切です。
27001:2022 では、組織は外部プロバイダーとの情報セキュリティに関する適切な契約要件を実装する必要があります。契約要件の 1 つとして、外部プロバイダーが自社の製品やサービスの使用から生じるセキュリティインシデント、脆弱性、組織の情報セキュリティに影響を与える可能性のある変更など、あらゆるリスクを組織に通知する義務が挙げられます。外部プロバイダーは、このような通知がタイムリーで正確かつ完全であることを保証するための文書化されたプロセスを用意する必要があります12
* E. 組織が外部プロバイダーのパフォーマンスを定期的に監視、レビュー、評価していることを確認します。これは、ISO 27001:2022 の条項 8.1.4 で、組織が外部から提供されるプロセス、製品、またはサービスのパフォーマンスと有効性を監視、レビュー、評価することを要求しているため適切です。組織は、外部プロバイダーの成果物と活動の適合性と適合性を測定および検証し、必要に応じてフィードバックと改善措置を提供するためのプロセスを導入する必要があります。組織は、監視、レビュー、評価の結果の記録も保持する必要があります12
* F. 組織がISMSに関して外部プロバイダーとコミュニケーションを取る必要性を判断していることを確認します。これは、ISO 27001:2022の条項7.4.2で、組織が情報セキュリティ管理システムに関連する内部および外部のコミュニケーションの必要性を判断すること、外部プロバイダーとのコミュニケーションの必要性を判断することを要求しているため適切です。組織は、そのようなコミュニケーションの目的、内容、頻度、方法、責任を定義する必要があります。
* 情報セキュリティポリシーと目的に合致していることを確認する。組織は、その実施の証拠として、コミュニケーションの文書化された情報も保持する必要がある12 ISO 14001に基づく外部プロバイダーの評価には、以下の活動は適切ではない。
27001:2022:
* C. 組織の情報の機密性、完全性、およびアクセス可能性の維持に重要であると特定された各プロセスについて、組織が予備の外部プロバイダーを持つようにします。 ISO 27001:2022 では、組織が各重要なプロセスに予備の外部プロバイダーを持つことを要求していないため、これは適切ではありません。組織は、外部プロバイダーの障害または中断に備えて、緊急時対応計画またはバックアップソリューションを用意することを選択できますが、これは必須要件ではありません。組織は、外部プロバイダーに関連するリスクと機会を評価し、適切な処理オプションを決定する必要があります。これには、予備の外部プロバイダーを持つことが含まれる場合と含まれない場合があります12
* D. 外部から提供される製品やサービスを監査する必要がないため、監査活動を外部から提供されるプロセスに限定します。これは適切ではありません。ISO 27001:2022 の条項 8.1.4 では、組織が情報セキュリティ管理システムに関連する外部から提供されるプロセス、製品、またはサービスを管理することが求められているためです。外部から提供される製品やサービスには、組織の情報セキュリティに影響を与える可能性のあるソフトウェア、ハードウェア、データ、またはクラウドサービスが含まれる場合があります。したがって、監査活動は、該当する場合、外部から提供されるプロセスと製品またはサービスの両方を対象とする必要があります12
* G. 私は、トップマネジメントが、外部 ISMS プロセスと内部 ISMS プロセスを提供する者の役割と責任を割り当てていることを確認します。これは適切ではありません。なぜなら、ISO 27001:2022 の条項 5.3 では、トップマネジメントが組織内の情報セキュリティ管理システムの役割と責任を割り当てることを要求しており、外部プロバイダーに割り当てることを要求していないからです。外部プロバイダーは、組織に提供するプロセス、製品、またはサービスに対する独自の役割と責任を割り当てる責任があります。組織は、外部プロバイダーが自分の役割と責任について十分な能力と認識を持ち、組織の情報セキュリティ要件に準拠する契約上の義務を負っていることを確認する必要があります12
* H. 組織が外部プロバイダーをランク付けし、最も高い評価を受けたプロバイダーに作業の大部分を割り当てるようにします。 ISO 27001:2022 では、組織が外部プロバイダーをランク付けしたり、そのようなランク付けに基づいて作業を割り当てたりすることを要求していないため、これは適切ではありません。組織は、外部プロバイダーのパフォーマンスと有効性を評価して比較することを選択できますが、これは必須の要件ではありません。組織は、組織に関連する情報セキュリティの基準と目的に基づいて、外部プロバイダーを選択して使用する必要があります12 参考文献:
1: CQIおよびIRCA認定トレーニングによるISO/IEC 27001:2022主任審査員（情報セキュリティ管理システム）コース1 2: PECBによるISO/IEC 27001主任審査員トレーニングコース2