ISO-IEC-27001-Lead-Auditor 試験問題 51
あなたは監査チームのリーダーとして、モバイル通信事業者の第三者監査を終えたばかりです。監査報告書を作成中で、「機密保持」というセクションを終えようとしています。
あなたのチームで研修中の監査人が、機密レポートを第三者に公開できる状況があるかどうかを尋ねます。
次の回答のうち、間違っているものはどれですか?
あなたのチームで研修中の監査人が、機密レポートを第三者に公開できる状況があるかどうかを尋ねます。
次の回答のうち、間違っているものはどれですか?
ISO-IEC-27001-Lead-Auditor 試験問題 52
CMM は何の略ですか?
ISO-IEC-27001-Lead-Auditor 試験問題 53
ISMS における情報セキュリティリスク評価プロセスの正しいシーケンスを選択します。
シーケンスを完了するには、完了したい空白部分をクリックして赤くハイライト表示し、下の選択肢から該当するテキストをクリックします。または、選択肢を適切な空白部分にドラッグ&ドロップすることもできます。
シーケンスを完了するには、完了したい空白部分をクリックして赤くハイライト表示し、下の選択肢から該当するテキストをクリックします。または、選択肢を適切な空白部分にドラッグ&ドロップすることもできます。
ISO-IEC-27001-Lead-Auditor 試験問題 54
シナリオ4:SendPayは、代理店と金融機関のネットワークを通じてサービスを提供する金融会社です。主要サービスの一つは、国際送金です。新興企業であるSendPayは、顧客に最高品質のサービスを提供することを目指しています。国際取引を提供するため、顧客からは身元、取引理由、取引完了に必要なその他の詳細情報などの個人情報の提供を求めています。そのため、SendPayは、発生する可能性のある情報セキュリティ上の脅威の検出、調査、対応など、顧客情報を保護するためのセキュリティ対策を実施しています。安全なサービス提供へのコミットメントは、ISMSの導入にも反映されており、同社は多くの時間とリソースを投入しています。
SendPayは昨年、スマートフォンやノートパソコンなどの電子機器を通じて追加料金なしで送金できるデジタルプラットフォームを発表しました。このプラットフォームを通じて、SendPayの顧客はいつでもどこからでも送金と受け取りが可能です。このデジタルプラットフォームは、SendPayの業務を簡素化し、事業のさらなる拡大に貢献しました。当時、SendPayはソフトウェア運用をアウトソーシングしていたため、このプロジェクトはアウトソーシング先のソフトウェア開発チームによって完了しました。
同じチームが SendPay の技術インフラストラクチャの保守も担当していました。
同社はISMS導入からほぼ1年を経て、最近ISO/IEC 27001認証の申請を行いました。同社は自社の基準に適合する認証機関と契約を結びました。その後まもなく、認証機関は4名の監査員チームを任命し、SendPayのISMS監査を行いました。
監査中には、とりわけ以下の状況が観察されました。
1. アウトソーシング先のソフトウェア会社がSendPayとの契約を事前の通知なく解除した。その結果、SendPayはサービスを直ちに社内に戻すことができず、5日間業務が中断された。監査役はSendPayの担当者に対し、契約解除の場合に講じるべき計画があることの証拠を提示するよう求めた。担当者は証拠書類を提出しなかったが、インタビューの中で、SendPayの経営陣が、同様の事態が再び発生した場合に即座にサービスを提供できる他の2社のソフトウェア開発会社を特定したと監査役に語った。
2. ソフトウェア開発会社に外注された業務の監視に関する証拠は存在しませんでした。SendPayの担当者は、監査人に対し、ソフトウェア開発会社と定期的に連絡を取り合っており、発生する可能性のある変更について適切に報告を受けていると述べました。
3. ファイアウォールテストでは不適合は発見されませんでした。監査人は、これらのサービスが提供するセキュリティレベルを判断するために、ファイアウォール設定をテストしました。ファイアウォールポリシーのテストにはパケットアナライザーを使用し、送受信されたパケットをリアルタイムで確認しました。
このシナリオに基づいて、次の質問に答えてください。
アウトソーシングされた業務の監視プロセスに関連して得られた証拠をどのように評価しますか?シナリオ4を参照してください。
SendPayは昨年、スマートフォンやノートパソコンなどの電子機器を通じて追加料金なしで送金できるデジタルプラットフォームを発表しました。このプラットフォームを通じて、SendPayの顧客はいつでもどこからでも送金と受け取りが可能です。このデジタルプラットフォームは、SendPayの業務を簡素化し、事業のさらなる拡大に貢献しました。当時、SendPayはソフトウェア運用をアウトソーシングしていたため、このプロジェクトはアウトソーシング先のソフトウェア開発チームによって完了しました。
同じチームが SendPay の技術インフラストラクチャの保守も担当していました。
同社はISMS導入からほぼ1年を経て、最近ISO/IEC 27001認証の申請を行いました。同社は自社の基準に適合する認証機関と契約を結びました。その後まもなく、認証機関は4名の監査員チームを任命し、SendPayのISMS監査を行いました。
監査中には、とりわけ以下の状況が観察されました。
1. アウトソーシング先のソフトウェア会社がSendPayとの契約を事前の通知なく解除した。その結果、SendPayはサービスを直ちに社内に戻すことができず、5日間業務が中断された。監査役はSendPayの担当者に対し、契約解除の場合に講じるべき計画があることの証拠を提示するよう求めた。担当者は証拠書類を提出しなかったが、インタビューの中で、SendPayの経営陣が、同様の事態が再び発生した場合に即座にサービスを提供できる他の2社のソフトウェア開発会社を特定したと監査役に語った。
2. ソフトウェア開発会社に外注された業務の監視に関する証拠は存在しませんでした。SendPayの担当者は、監査人に対し、ソフトウェア開発会社と定期的に連絡を取り合っており、発生する可能性のある変更について適切に報告を受けていると述べました。
3. ファイアウォールテストでは不適合は発見されませんでした。監査人は、これらのサービスが提供するセキュリティレベルを判断するために、ファイアウォール設定をテストしました。ファイアウォールポリシーのテストにはパケットアナライザーを使用し、送受信されたパケットをリアルタイムで確認しました。
このシナリオに基づいて、次の質問に答えてください。
アウトソーシングされた業務の監視プロセスに関連して得られた証拠をどのように評価しますか?シナリオ4を参照してください。
ISO-IEC-27001-Lead-Auditor 試験問題 55
シナリオ8:EsBankは9月からエストニアの銀行部門に銀行業務および金融ソリューションを提供しています。
同社は2010年、全国に30の支店と100台以上のATMを展開している。
規制の厳しい業界で事業を展開するEsBankは、データのセキュリティとプライバシーに関する多くの法律や規制を遵守する必要があります。技術的および非技術的な管理策を実施することで、業務全体にわたって情報セキュリティを管理する必要があります。EsBankは、ISO/IECに基づくISMSを導入することを決定しました。
27001 は、セキュリティの強化、リスク管理の強化、法律や規制の主要要件への準拠を実現したためです。
ISMS の導入が成功してから 9 か月後、EsBank は、独立した認証機関による ISO/IEC 27001 に準拠した ISMS の認証を取得することを決定しました。認証監査には、EsBank のすべてのシステム、プロセス、テクノロジーが含まれていました。
ステージ1とステージ2の監査は共同で実施され、複数の不適合が検出されました。最初の不適合は、EsBankの情報ラベル付けに関するものでした。同社は情報分類スキームを保有していましたが、ラベル付け手順が確立されていませんでした。その結果、同じレベルの保護が必要な文書であっても、異なるラベルが付けられていました(機密文書とセンシティブ文書の2種類)。
すべての文書が電子的に保管されていたことを考慮すると、この不適合は媒体の取り扱いにも影響を与えていました。監査チームはサンプリング調査を行い、200枚のリムーバブルメディアのうち50枚に機密情報が誤って機密情報として分類されていたと結論付けました。情報分類スキームによれば、機密情報はリムーバブルメディアに保存できますが、機密情報の保存は厳しく禁止されています。これがもう一つの不適合となりました。
彼らは不適合報告書を起草し、監査の結論について EsBank の代表者と話し合いました。代表者は、検出された不適合に対する行動計画を 2 か月以内に提出することに同意しました。
EsBankは監査チームリーダーの提案した解決策を受け入れ、物理形式と電子形式の両方における分類体系に基づいた情報ラベル付け手順を策定することで不適合を解決しました。
リムーバブル メディアの手順もこの手順に基づいて更新されました。
監査完了から2週間後、EsBankは一般的な行動計画を提出しました。そこには、検出された不適合と実施された是正措置への対応が記載されていましたが、影響を受けたシステム、管理、または業務に関する詳細は記載されていませんでした。監査チームはこの行動計画を評価し、不適合は解決されると結論付けました。しかしながら、EsBankは認証取得にあたり、不利な勧告を受けました。
上記のシナリオに基づいて、次の質問に答えてください。
情報ラベル付けの手順を策定することにより、EsBank は次のことを実現しました。
同社は2010年、全国に30の支店と100台以上のATMを展開している。
規制の厳しい業界で事業を展開するEsBankは、データのセキュリティとプライバシーに関する多くの法律や規制を遵守する必要があります。技術的および非技術的な管理策を実施することで、業務全体にわたって情報セキュリティを管理する必要があります。EsBankは、ISO/IECに基づくISMSを導入することを決定しました。
27001 は、セキュリティの強化、リスク管理の強化、法律や規制の主要要件への準拠を実現したためです。
ISMS の導入が成功してから 9 か月後、EsBank は、独立した認証機関による ISO/IEC 27001 に準拠した ISMS の認証を取得することを決定しました。認証監査には、EsBank のすべてのシステム、プロセス、テクノロジーが含まれていました。
ステージ1とステージ2の監査は共同で実施され、複数の不適合が検出されました。最初の不適合は、EsBankの情報ラベル付けに関するものでした。同社は情報分類スキームを保有していましたが、ラベル付け手順が確立されていませんでした。その結果、同じレベルの保護が必要な文書であっても、異なるラベルが付けられていました(機密文書とセンシティブ文書の2種類)。
すべての文書が電子的に保管されていたことを考慮すると、この不適合は媒体の取り扱いにも影響を与えていました。監査チームはサンプリング調査を行い、200枚のリムーバブルメディアのうち50枚に機密情報が誤って機密情報として分類されていたと結論付けました。情報分類スキームによれば、機密情報はリムーバブルメディアに保存できますが、機密情報の保存は厳しく禁止されています。これがもう一つの不適合となりました。
彼らは不適合報告書を起草し、監査の結論について EsBank の代表者と話し合いました。代表者は、検出された不適合に対する行動計画を 2 か月以内に提出することに同意しました。
EsBankは監査チームリーダーの提案した解決策を受け入れ、物理形式と電子形式の両方における分類体系に基づいた情報ラベル付け手順を策定することで不適合を解決しました。
リムーバブル メディアの手順もこの手順に基づいて更新されました。
監査完了から2週間後、EsBankは一般的な行動計画を提出しました。そこには、検出された不適合と実施された是正措置への対応が記載されていましたが、影響を受けたシステム、管理、または業務に関する詳細は記載されていませんでした。監査チームはこの行動計画を評価し、不適合は解決されると結論付けました。しかしながら、EsBankは認証取得にあたり、不利な勧告を受けました。
上記のシナリオに基づいて、次の質問に答えてください。
情報ラベル付けの手順を策定することにより、EsBank は次のことを実現しました。