ISO-IEC-27001-Lead-Auditor 試験問題 101
あなたは、医療サービスを提供する居住型介護施設で ISMS 監査を実施しています。監査計画の次のステップは、情報セキュリティ インシデント管理プロセスを検証することです。IT セキュリティ マネージャーは、情報セキュリティ インシデント管理手順 (ドキュメント参照 ID: ISMS_L2_16、バージョン 4) を提示し、そのプロセスが ISO/IEC 27035-1:2016 に基づいていることを説明します。
文書を確認すると、「情報セキュリティの弱点、イベント、インシデントは、特定後 1 時間以内に連絡先 (PoC) に報告する必要があります」という記述に気づきました。スタッフにインタビューすると、「弱点、イベント、インシデント」の意味の理解に違いがあることがわかりました。
IT セキュリティ マネージャーは、6 か月前にオンラインの「情報セキュリティの取り扱い」トレーニング セミナーが実施されたと説明しました。インタビューを受けた全員がレポート演習とコース評価に参加し、合格しました。
監査結果を準備しています。正しいオプションを 2 つ選択してください。
文書を確認すると、「情報セキュリティの弱点、イベント、インシデントは、特定後 1 時間以内に連絡先 (PoC) に報告する必要があります」という記述に気づきました。スタッフにインタビューすると、「弱点、イベント、インシデント」の意味の理解に違いがあることがわかりました。
IT セキュリティ マネージャーは、6 か月前にオンラインの「情報セキュリティの取り扱い」トレーニング セミナーが実施されたと説明しました。インタビューを受けた全員がレポート演習とコース評価に参加し、合格しました。
監査結果を準備しています。正しいオプションを 2 つ選択してください。
ISO-IEC-27001-Lead-Auditor 試験問題 102
あなたは、研修中の監査人を指導する経験豊富な監査チームリーダーです。
あなたのチームは現在、外部クライアントに代わってデータを保存する組織の第三者監視監査を実施しています。研修中の監査人は、適用性ステートメント (SoA) に記載され、サイトで実装されている技術的制御を確認する任務を負っています。
研修中の監査人が確認すると予想されるコントロールを次の中から 4 つ選択します。
あなたのチームは現在、外部クライアントに代わってデータを保存する組織の第三者監視監査を実施しています。研修中の監査人は、適用性ステートメント (SoA) に記載され、サイトで実装されている技術的制御を確認する任務を負っています。
研修中の監査人が確認すると予想されるコントロールを次の中から 4 つ選択します。
ISO-IEC-27001-Lead-Auditor 試験問題 103
以下は情報の定義です。ただし、次の例外があります。
ISO-IEC-27001-Lead-Auditor 試験問題 104
ステージ 1 を完了し、ステージ 2 の初期認証監査の準備として、監査対象者は、監査チーム リーダーに、組織が最近取得した 2 つの追加サイトを含むように監査範囲を拡張したいと伝えます。
この情報を考慮すると、監査チームリーダーがどのような行動を取ると予想しますか?
この情報を考慮すると、監査チームリーダーがどのような行動を取ると予想しますか?
ISO-IEC-27001-Lead-Auditor 試験問題 105
シナリオ 7: Lawsy は、ニュージャージー州とニューヨーク市にオフィスを構える大手法律事務所です。50 名を超える弁護士が、ビジネス法、商法、知的財産、銀行、金融サービス分野のクライアントに高度な法律サービスを提供しています。同社は、情報セキュリティのベスト プラクティスを実装し、技術開発の最新情報を把握することに注力しているため、市場で安定した地位を築いていると考えています。
Lawsy は、これまで 2 年間にわたり、ISMS の内部監査を厳密に実装、評価、実施してきました。
現在、同社は、よく知られた信頼できる認証機関である ISMA に ISO/IEC 27001 認証を申請しています。
ステージ 1 監査では、監査チームが実装中に作成されたすべての ISMS ドキュメントをレビューしました。
また、経営レビューや内部監査の記録も確認し、評価しました。
Lawsy は、必要に応じて不適合に対する是正措置が実行されたことを示す証拠の記録を提出したため、監査チームは内部監査員にインタビューを行いました。インタビューでは、内部監査の計画と手順に関する詳細な情報が提供され、内部監査の妥当性と頻度が検証されました。
監査チームは、情報セキュリティ ポリシーやリスク評価基準などの戦略文書の検証を継続しました。情報セキュリティ ポリシーのレビュー中に、チームはガバナンス フレームワーク (情報セキュリティ ポリシー) を記述した文書化された情報と手順の間に矛盾があることに気付きました。
従業員は職場の外にラップトップを持ち出すことが許可されていましたが、Lawsy 社ではそのような場合のラップトップの使用に関する手順が定められていませんでした。ポリシーでは、ラップトップの使用に関する一般的な情報のみが提供されていました。同社は、ラップトップに保存されている情報の機密性と完全性を保護するために、従業員の常識に頼っていました。この問題は、第 1 段階の監査レポートに記録されていました。
ステージ 1 監査を完了すると、監査チーム リーダーは監査の目的、範囲、基準、および手順を定めた監査計画を作成しました。
ステージ 2 の監査中、監査チームは情報セキュリティ ポリシーを起草した情報セキュリティ マネージャーにインタビューしました。彼は、Lawsy が 3 か月ごとに必須の情報セキュリティ トレーニングと意識向上セッションを実施していると述べて、ステージ 1 で特定された問題を正当化しました。
インタビューの後、監査チームは従業員研修記録 50 件のうち 15 件を調査し、Lawsy が研修と意識向上に関する ISO/IEC 27001 の要件を満たしていると結論付けました。この結論を裏付けるために、調査した従業員研修記録のコピーを作成しました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ 7 に基づいて、ステージ 2 監査を開始する前に Lawsy は何をすべきでしょうか?
Lawsy は、これまで 2 年間にわたり、ISMS の内部監査を厳密に実装、評価、実施してきました。
現在、同社は、よく知られた信頼できる認証機関である ISMA に ISO/IEC 27001 認証を申請しています。
ステージ 1 監査では、監査チームが実装中に作成されたすべての ISMS ドキュメントをレビューしました。
また、経営レビューや内部監査の記録も確認し、評価しました。
Lawsy は、必要に応じて不適合に対する是正措置が実行されたことを示す証拠の記録を提出したため、監査チームは内部監査員にインタビューを行いました。インタビューでは、内部監査の計画と手順に関する詳細な情報が提供され、内部監査の妥当性と頻度が検証されました。
監査チームは、情報セキュリティ ポリシーやリスク評価基準などの戦略文書の検証を継続しました。情報セキュリティ ポリシーのレビュー中に、チームはガバナンス フレームワーク (情報セキュリティ ポリシー) を記述した文書化された情報と手順の間に矛盾があることに気付きました。
従業員は職場の外にラップトップを持ち出すことが許可されていましたが、Lawsy 社ではそのような場合のラップトップの使用に関する手順が定められていませんでした。ポリシーでは、ラップトップの使用に関する一般的な情報のみが提供されていました。同社は、ラップトップに保存されている情報の機密性と完全性を保護するために、従業員の常識に頼っていました。この問題は、第 1 段階の監査レポートに記録されていました。
ステージ 1 監査を完了すると、監査チーム リーダーは監査の目的、範囲、基準、および手順を定めた監査計画を作成しました。
ステージ 2 の監査中、監査チームは情報セキュリティ ポリシーを起草した情報セキュリティ マネージャーにインタビューしました。彼は、Lawsy が 3 か月ごとに必須の情報セキュリティ トレーニングと意識向上セッションを実施していると述べて、ステージ 1 で特定された問題を正当化しました。
インタビューの後、監査チームは従業員研修記録 50 件のうち 15 件を調査し、Lawsy が研修と意識向上に関する ISO/IEC 27001 の要件を満たしていると結論付けました。この結論を裏付けるために、調査した従業員研修記録のコピーを作成しました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ 7 に基づいて、ステージ 2 監査を開始する前に Lawsy は何をすべきでしょうか?