ISO-IEC-27001-Lead-Auditor 試験問題 61
ISMS監査チームリーダーとして、あなたはオンライン小売業者の委託を受け、国際物流会社のセカンドパーティ監査を実施しています。監査中、チームメンバーの1人がISO/IEC 27001:2022の付録Aのコントロール5.18(アクセス権)に関する不適合を報告しました。彼女は、過去3ヶ月間に退職した20人のサーバーアクセスプロトコルの削除に、退職後24時間以内にアクセスを削除するというポリシーにもかかわらず、最大1週間かかっているという証拠を発見しました。
最適な単語で文を完成させ、補完したい空白部分をクリックして赤くハイライト表示させ、下の選択肢から該当するテキストをクリックしてください。または、選択肢を適切な空白部分にドラッグ&ドロップすることもできます。
最適な単語で文を完成させ、補完したい空白部分をクリックして赤くハイライト表示させ、下の選択肢から該当するテキストをクリックしてください。または、選択肢を適切な空白部分にドラッグ&ドロップすることもできます。
ISO-IEC-27001-Lead-Auditor 試験問題 62
次の文のうち正しいものはどれですか?
ISO-IEC-27001-Lead-Auditor 試験問題 63
シナリオ7:Lawsyは、ニュージャージー州とニューヨーク市にオフィスを構える大手法律事務所です。50名以上の弁護士を擁し、ビジネス法、商法、知的財産、銀行業務、金融サービス分野のクライアントに高度な法的サービスを提供しています。同社は、情報セキュリティのベストプラクティスを実践し、常に最新の技術動向を把握することに尽力することで、市場で確固たる地位を築いていると考えています。
Lawsy はこれまで 2 年間にわたり、ISMS の内部監査を厳密に実装、評価、実施してきました。
現在、同社は、よく知られた信頼できる認証機関である ISMA に ISO/IEC 27001 認証を申請しています。
ステージ 1 監査では、監査チームが実装中に作成されたすべての ISMS ドキュメントをレビューしました。
また、経営レビューや内部監査の記録も確認し、評価しました。
Lawsy社は、必要に応じて不適合に対する是正措置が実施されたことを示す証拠記録を提出したため、監査チームは内部監査員にインタビューを行いました。このインタビューでは、内部監査計画と手順に関する詳細な情報が提供され、内部監査の妥当性と頻度が検証されました。
監査チームは、情報セキュリティポリシーやリスク評価基準を含む戦略文書の検証を継続しました。情報セキュリティポリシーのレビュー中に、ガバナンスフレームワーク(すなわち情報セキュリティポリシー)を記述した文書情報と手順の間に矛盾があることに気付きました。
従業員はノートパソコンを職場外に持ち出すことが許可されていましたが、Lawsy社にはそのような場合のノートパソコンの使用に関する手順が整備されていませんでした。ポリシーにはノートパソコンの使用に関する一般的な情報しか記載されていませんでした。会社は、ノートパソコンに保存された情報の機密性と完全性を守るために、従業員の常識に頼っていました。この問題は、第1段階の監査報告書に記載されていました。
ステージ 1 の監査を完了すると、監査チーム リーダーは、監査の目的、範囲、基準、および手順を扱った監査計画を作成しました。
ステージ2の監査中、監査チームは情報セキュリティポリシーを起草した情報セキュリティマネージャーにインタビューを行いました。彼は、Lawsy社が3ヶ月ごとに必須の情報セキュリティ研修と意識向上セッションを実施していることを理由に、ステージ1で特定された問題の正当性を説明しました。
インタビュー後、監査チームは従業員研修記録50件のうち15件を検証し、Lawsy社がISO/IEC 27001の研修および意識向上に関する要件を満たしていると結論付けました。この結論を裏付けるため、監査チームは検証済みの従業員研修記録のコピーを作成しました。
上記のシナリオに基づいて、次の質問に答えてください。
Lawsyには、職場外でのノートパソコンの使用に関する手順が定められておらず、ノートパソコンに保存されている情報の機密性を保護するために従業員の共通認識に依存しています。これにより、次のような問題が生じます。
Lawsy はこれまで 2 年間にわたり、ISMS の内部監査を厳密に実装、評価、実施してきました。
現在、同社は、よく知られた信頼できる認証機関である ISMA に ISO/IEC 27001 認証を申請しています。
ステージ 1 監査では、監査チームが実装中に作成されたすべての ISMS ドキュメントをレビューしました。
また、経営レビューや内部監査の記録も確認し、評価しました。
Lawsy社は、必要に応じて不適合に対する是正措置が実施されたことを示す証拠記録を提出したため、監査チームは内部監査員にインタビューを行いました。このインタビューでは、内部監査計画と手順に関する詳細な情報が提供され、内部監査の妥当性と頻度が検証されました。
監査チームは、情報セキュリティポリシーやリスク評価基準を含む戦略文書の検証を継続しました。情報セキュリティポリシーのレビュー中に、ガバナンスフレームワーク(すなわち情報セキュリティポリシー)を記述した文書情報と手順の間に矛盾があることに気付きました。
従業員はノートパソコンを職場外に持ち出すことが許可されていましたが、Lawsy社にはそのような場合のノートパソコンの使用に関する手順が整備されていませんでした。ポリシーにはノートパソコンの使用に関する一般的な情報しか記載されていませんでした。会社は、ノートパソコンに保存された情報の機密性と完全性を守るために、従業員の常識に頼っていました。この問題は、第1段階の監査報告書に記載されていました。
ステージ 1 の監査を完了すると、監査チーム リーダーは、監査の目的、範囲、基準、および手順を扱った監査計画を作成しました。
ステージ2の監査中、監査チームは情報セキュリティポリシーを起草した情報セキュリティマネージャーにインタビューを行いました。彼は、Lawsy社が3ヶ月ごとに必須の情報セキュリティ研修と意識向上セッションを実施していることを理由に、ステージ1で特定された問題の正当性を説明しました。
インタビュー後、監査チームは従業員研修記録50件のうち15件を検証し、Lawsy社がISO/IEC 27001の研修および意識向上に関する要件を満たしていると結論付けました。この結論を裏付けるため、監査チームは検証済みの従業員研修記録のコピーを作成しました。
上記のシナリオに基づいて、次の質問に答えてください。
Lawsyには、職場外でのノートパソコンの使用に関する手順が定められておらず、ノートパソコンに保存されている情報の機密性を保護するために従業員の共通認識に依存しています。これにより、次のような問題が生じます。
ISO-IEC-27001-Lead-Auditor 試験問題 64
以下のオプションは、ファーストパーティ監査に含まれる主要なアクションです。各ステージを順番に並べることで、アクションの実行順序が明確になります。
ISO-IEC-27001-Lead-Auditor 試験問題 65
あなたは、ICT機器回収サービスを提供する組織で、第三者によるサーベイランス監査を実施している経験豊富なISMS監査員です。企業が不要になったICT機器は、この組織によって処理されます。これらの機器は、再利用されるか、安全に破壊されます。
部屋の隅のベンチに2台のサーバーが置かれていることに気づいた。どちらのサーバーにも、サーバー名、IPアドレス、管理者パスワードが書かれたステッカーが貼られていた。ICTマネージャーに尋ねると、常連客から昨日受け取った荷物の一部だと教えてくれた。
どれを取ればいいのでしょうか?
部屋の隅のベンチに2台のサーバーが置かれていることに気づいた。どちらのサーバーにも、サーバー名、IPアドレス、管理者パスワードが書かれたステッカーが貼られていた。ICTマネージャーに尋ねると、常連客から昨日受け取った荷物の一部だと教えてくれた。
どれを取ればいいのでしょうか?