ISO-IEC-27001-Lead-Auditor 試験問題 81
シナリオ 2: Knight は、米国北カリフォルニアの電子機器会社で、ビデオゲーム コンソールを開発しています。Knight は世界中に 300 人以上の従業員を抱えています。設立 5 周年を記念して、同社は世界市場向けの新世代ビデオゲーム コンソールである G-Console を発売することを決定しました。G-Console は、プレイヤーに最高のゲーム体験を提供する 2021 年の究極のメディア マシンと考えられています。
コンソールパックにはVRヘッドセット2台、
ゲーム、その他のギフト。
同社は長年にわたり、顧客に対して誠実さ、正直さ、敬意を示すことで、良い評判を築いてきました。この良い評判は、熱心なゲーマーのほとんどが、Knight の G コンソールが市場にリリースされるとすぐにそれを手に入れようとする理由の 1 つです。
ナイトは顧客志向の企業であるだけでなく、
開発中の品質により、ゲーム業界内でも広く認知されています。価格は、妥当な基準よりも少し高めです。
それでも、Knight の忠実な顧客のほとんどにとっては、品質が最高レベルであるため、それは問題とはみなされません。
Knight は世界有数のビデオゲーム コンソール開発会社ですが、悪質な活動で注目されることもよくあります。同社は 1 年以上にわたって ISMS を運用しています。ISMS の範囲には、財務部門と人事部門を除く Knight のすべての部門が含まれます。
最近、ナイト社の機密情報を含む多数のファイルがハッカーによって漏洩しました。ナイト社のインシデント対応チーム (IRT) は、直ちにシステムのあらゆる部分とインシデントの詳細の分析を開始しました。
IRT が最初に疑ったのは、ナイトの従業員が弱いパスワードを使用していたため、ハッカーが簡単にパスワードを破り、不正にアカウントにアクセスしたのではないかということでした。しかし、この事件を慎重に調査した結果、IRT はハッカーがファイル転送プロトコル (FTP) トラフィックをキャプチャしてアカウントにアクセスしたと断定しました。
FTP は、アカウント間でファイルを転送するためのネットワーク プロトコルです。認証にはクリア テキスト パスワードを使用します。
この情報セキュリティ インシデントの影響と IRT の提案を受けて、Knight は FTP を Secure Shell (SSH) プロトコルに置き換え、トラフィックをキャプチャするユーザーが暗号化されたデータのみを表示できるようにすることを決定しました。
これらの変更に続いて、ナイトはリスク評価を実施し、管理策の導入により同様のインシデントのリスクが最小限に抑えられたことを確認しました。このプロセスの結果は、新しい管理策の導入後のリスク レベルが会社のリスク許容レベルと一致していると主張した ISMS プロジェクト マネージャーによって承認されました。
このシナリオに基づいて、次の質問に答えてください。
Knight は FTP を SSH に置き換える際にどのリスク処理オプションを使用しましたか? シナリオ 2 を参照してください。
コンソールパックにはVRヘッドセット2台、
ゲーム、その他のギフト。
同社は長年にわたり、顧客に対して誠実さ、正直さ、敬意を示すことで、良い評判を築いてきました。この良い評判は、熱心なゲーマーのほとんどが、Knight の G コンソールが市場にリリースされるとすぐにそれを手に入れようとする理由の 1 つです。
ナイトは顧客志向の企業であるだけでなく、
開発中の品質により、ゲーム業界内でも広く認知されています。価格は、妥当な基準よりも少し高めです。
それでも、Knight の忠実な顧客のほとんどにとっては、品質が最高レベルであるため、それは問題とはみなされません。
Knight は世界有数のビデオゲーム コンソール開発会社ですが、悪質な活動で注目されることもよくあります。同社は 1 年以上にわたって ISMS を運用しています。ISMS の範囲には、財務部門と人事部門を除く Knight のすべての部門が含まれます。
最近、ナイト社の機密情報を含む多数のファイルがハッカーによって漏洩しました。ナイト社のインシデント対応チーム (IRT) は、直ちにシステムのあらゆる部分とインシデントの詳細の分析を開始しました。
IRT が最初に疑ったのは、ナイトの従業員が弱いパスワードを使用していたため、ハッカーが簡単にパスワードを破り、不正にアカウントにアクセスしたのではないかということでした。しかし、この事件を慎重に調査した結果、IRT はハッカーがファイル転送プロトコル (FTP) トラフィックをキャプチャしてアカウントにアクセスしたと断定しました。
FTP は、アカウント間でファイルを転送するためのネットワーク プロトコルです。認証にはクリア テキスト パスワードを使用します。
この情報セキュリティ インシデントの影響と IRT の提案を受けて、Knight は FTP を Secure Shell (SSH) プロトコルに置き換え、トラフィックをキャプチャするユーザーが暗号化されたデータのみを表示できるようにすることを決定しました。
これらの変更に続いて、ナイトはリスク評価を実施し、管理策の導入により同様のインシデントのリスクが最小限に抑えられたことを確認しました。このプロセスの結果は、新しい管理策の導入後のリスク レベルが会社のリスク許容レベルと一致していると主張した ISMS プロジェクト マネージャーによって承認されました。
このシナリオに基づいて、次の質問に答えてください。
Knight は FTP を SSH に置き換える際にどのリスク処理オプションを使用しましたか? シナリオ 2 を参照してください。
ISO-IEC-27001-Lead-Auditor 試験問題 82
第三者認証監査中に、監査対象者から問題のリストが提示されます。ISO 27001:2022 の管理システムの文脈において、「内部」問題となるのは次の 4 つのうちどれですか。
ISO-IEC-27001-Lead-Auditor 試験問題 83
次のフレーズのうち、どれが「監査目的」に当てはまりますか?
ISO-IEC-27001-Lead-Auditor 試験問題 84
シナリオ 6: Sinvestment は、住宅保険、商業保険、生命保険を提供する保険会社です。同社はノースカロライナ州で設立されましたが、最近はヨーロッパやアフリカを含む他の地域にも拡大しています。
Sinvestment は、業界に適用される法律や規制を遵守し、情報セキュリティ インシデントを防止することに尽力しています。同社は ISO/IEC 27001 に基づく ISMS を実装し、ISO/IEC 27001 認証を申請しています。
認証機関は、監査を実施するために 2 人の監査員を任命しました。彼らは、Sinvestment との機密保持契約に署名した後、監査活動を開始しました。まず、ISMS 適用範囲の宣言、情報セキュリティ ポリシー、内部監査レポートなど、規格で要求されている文書をレビューしました。Sinvestment は文書化手順を整備していると述べましたが、すべての文書が同じ形式ではなかったため、レビュー プロセスは容易ではありませんでした。
次に、監査チームは Sinvestment のトップマネジメントと数回のインタビューを実施し、ISMS の導入における彼らの役割を理解しました。第 1 段階の監査のすべてのアクティビティはリモートで実行されましたが、文書化された情報のレビューは Sinvestment の要請によりオンサイトで実施されました。
この段階で、監査人は情報セキュリティのトレーニングと意識向上プログラムに関連する文書がないことを突き止めました。質問したところ、Sinvestment の代表者は、同社が全従業員に情報セキュリティのトレーニング セッションを提供していると述べました。第 1 段階の監査により、監査チームは Sinvestment の業務と ISMS について大まかな理解を得ることができました。
ステージ 2 監査は、ステージ 1 監査の 3 週間後に実施されました。監査チームは、マーケティング部門 (監査範囲に含まれていなかった) に従業員のアクセス権を制御する手順が整備されていないことを確認しました。従業員のアクセス権の制御は ISO/IEC 27001 要件の 1 つであり、会社の情報セキュリティ ポリシーに含まれていたため、この問題は監査レポートに含まれていました。さらに、ステージ 2 監査中に、監査チームは、Sinvestment がユーザー アクティビティのログを記録していないことを確認しました。
同社の手順では「ユーザーの活動を記録したログは保存し、定期的に確認する必要がある」と記載されていたが、同社はそのような手順を実施した証拠を提示しなかった。
すべての監査活動において、監査人は観察、インタビュー、文書化された情報のレビュー、分析、および技術的検証を使用して情報と証拠を収集しました。ステージ 1 と 2 のすべての監査結果が分析され、監査チームは認証の肯定的な推奨を発行することを決定しました。
シナリオ 6 によると、マーケティング部門の従業員はアクセス制御ポリシーに従っていませんでした。
この場合、どの選択肢が正しいでしょうか?
Sinvestment は、業界に適用される法律や規制を遵守し、情報セキュリティ インシデントを防止することに尽力しています。同社は ISO/IEC 27001 に基づく ISMS を実装し、ISO/IEC 27001 認証を申請しています。
認証機関は、監査を実施するために 2 人の監査員を任命しました。彼らは、Sinvestment との機密保持契約に署名した後、監査活動を開始しました。まず、ISMS 適用範囲の宣言、情報セキュリティ ポリシー、内部監査レポートなど、規格で要求されている文書をレビューしました。Sinvestment は文書化手順を整備していると述べましたが、すべての文書が同じ形式ではなかったため、レビュー プロセスは容易ではありませんでした。
次に、監査チームは Sinvestment のトップマネジメントと数回のインタビューを実施し、ISMS の導入における彼らの役割を理解しました。第 1 段階の監査のすべてのアクティビティはリモートで実行されましたが、文書化された情報のレビューは Sinvestment の要請によりオンサイトで実施されました。
この段階で、監査人は情報セキュリティのトレーニングと意識向上プログラムに関連する文書がないことを突き止めました。質問したところ、Sinvestment の代表者は、同社が全従業員に情報セキュリティのトレーニング セッションを提供していると述べました。第 1 段階の監査により、監査チームは Sinvestment の業務と ISMS について大まかな理解を得ることができました。
ステージ 2 監査は、ステージ 1 監査の 3 週間後に実施されました。監査チームは、マーケティング部門 (監査範囲に含まれていなかった) に従業員のアクセス権を制御する手順が整備されていないことを確認しました。従業員のアクセス権の制御は ISO/IEC 27001 要件の 1 つであり、会社の情報セキュリティ ポリシーに含まれていたため、この問題は監査レポートに含まれていました。さらに、ステージ 2 監査中に、監査チームは、Sinvestment がユーザー アクティビティのログを記録していないことを確認しました。
同社の手順では「ユーザーの活動を記録したログは保存し、定期的に確認する必要がある」と記載されていたが、同社はそのような手順を実施した証拠を提示しなかった。
すべての監査活動において、監査人は観察、インタビュー、文書化された情報のレビュー、分析、および技術的検証を使用して情報と証拠を収集しました。ステージ 1 と 2 のすべての監査結果が分析され、監査チームは認証の肯定的な推奨を発行することを決定しました。
シナリオ 6 によると、マーケティング部門の従業員はアクセス制御ポリシーに従っていませんでした。
この場合、どの選択肢が正しいでしょうか?
ISO-IEC-27001-Lead-Auditor 試験問題 85
監査人は、A 社が安全でないネットワーク アーキテクチャを隠していたことを確認できませんでした。これはどのような種類の監査リスクですか?