ISO-IEC-27001-Lead-Auditor 試験問題 116
あなたは、オンライン保険会社の第三者監査を実施している監査チームのリーダーです。ステージ 1 では、組織が非常に慎重なリスク アプローチを採用し、ISO/IEC 27001:2022 付録 A のすべての情報セキュリティ制御を適用性ステートメントに含めていることが分かりました。
ステージ 2 監査中に、監査チームは、3 つのコントロール (5.3 職務の分離、6.1 スクリーニング、7.12 ケーブル セキュリティ) の実装に関するリスク処理計画の証拠がないことを突き止めました。ISO 27001:2022 の条項 6.1.3.e に対して不適合を報告します。
最終会議では、テクニカル ディレクターが修正された適用性ステートメントの抜粋 (図を参照) を発行し、不適合の撤回を要求します。
テクニカルディレクターの要求に対する監査チームリーダーの正しい応答のオプションを 3 つ選択します。
ステージ 2 監査中に、監査チームは、3 つのコントロール (5.3 職務の分離、6.1 スクリーニング、7.12 ケーブル セキュリティ) の実装に関するリスク処理計画の証拠がないことを突き止めました。ISO 27001:2022 の条項 6.1.3.e に対して不適合を報告します。
最終会議では、テクニカル ディレクターが修正された適用性ステートメントの抜粋 (図を参照) を発行し、不適合の撤回を要求します。
テクニカルディレクターの要求に対する監査チームリーダーの正しい応答のオプションを 3 つ選択します。
ISO-IEC-27001-Lead-Auditor 試験問題 117
次のフレーズのうち、ファーストパーティ監査に関連する「目的」となるものはどれですか。
ISO-IEC-27001-Lead-Auditor 試験問題 118
あなたは、医療サービスを提供する居住型介護施設で ISMS 監査を実施しています。監査計画の次のステップは、情報セキュリティ インシデント管理プロセスを検証することです。IT セキュリティ マネージャーは、情報セキュリティ インシデント管理手順を提示し、そのプロセスが ISO/IEC 27035-1:2016 に基づいていることを説明します。
文書を確認すると、「情報セキュリティの弱点、イベント、インシデントは、特定後 1 時間以内に連絡先 (PoC) に報告する必要があります」という記述に気づきました。スタッフにインタビューすると、「弱点、イベント、インシデント」の意味の理解に違いがあることがわかりました。
過去 6 か月間のイベント追跡システムからインシデント レポート レコードをサンプリングし、結果を次の表にまとめます。
より多くの監査証拠を収集するために、他の領域をさらに調査する必要があります。監査証跡に残らないオプションを 2 つ選択します。
文書を確認すると、「情報セキュリティの弱点、イベント、インシデントは、特定後 1 時間以内に連絡先 (PoC) に報告する必要があります」という記述に気づきました。スタッフにインタビューすると、「弱点、イベント、インシデント」の意味の理解に違いがあることがわかりました。
過去 6 か月間のイベント追跡システムからインシデント レポート レコードをサンプリングし、結果を次の表にまとめます。
より多くの監査証拠を収集するために、他の領域をさらに調査する必要があります。監査証跡に残らないオプションを 2 つ選択します。
ISO-IEC-27001-Lead-Auditor 試験問題 119
あなたは、監査プログラムを管理し、特定の監査の監査チームの規模と構成を決定する責任者です。考慮すべき 2 つの要素を選択してください。
ISO-IEC-27001-Lead-Auditor 試験問題 120
監査結果を準備しています。正しいオプションを 2 つ選択してください。