ISO-IEC-27001-Lead-Auditor 試験問題 71
シナリオ 1: Fintive は、オンライン決済および保護ソリューションの著名なセキュリティ プロバイダーです。1999 年にカリフォルニア州サンノゼで Thomas Fin によって設立された Fintive は、オンラインで事業を展開し、情報セキュリティの向上、詐欺の防止、PII などのユーザー情報の保護を望む企業にサービスを提供しています。 Fintive は、過去の事例に基づいた意思決定と運用プロセスに重点を置いています。顧客データを収集し、ケースに応じて分類して分析します。このような複雑な分析を実行するには、多くの従業員が必要でした。しかし、数年後、このような分析の実施を支援するテクノロジーも進歩しました。現在、Fintive は、チャットボットという最新ツールを使用して、リアルタイムで詐欺を防止するためのパターン分析を実現することを計画しています。このツールは、顧客サービスの向上にも役立ちます。
この最初のアイデアはソフトウェア開発チームに伝えられ、彼らはそれを支持してこのプロジェクトの作業に携わりました。彼らはチャットボットを既存のシステムに統合し始めました。さらに、チームはチャットボットに関して、チャットクエリの85%に回答するという目標を設定しました。
チャットボットの統合が成功した後、同社はすぐにそれを顧客にリリースして使用できるようにしました。
しかし、チャットボットにはいくつかの問題があるようです。
チャットボットが問い合わせパターンを「学習」するはずのトレーニングフェーズにおいて、テストが不十分でサンプルが提供されなかったため、チャットボットはユーザーの問い合わせに適切な回答を提供できませんでした。さらに、奇妙なドットパターンや特殊文字などの無効な入力を受け取った場合、チャットボットはユーザーにランダムなファイルを送信していました。その結果、チャットボットは顧客の問い合わせに適切に回答できず、従来のカスタマーサポートはチャットでの問い合わせに圧倒され、顧客のリクエストに対応できませんでした。
そのため、Fintiveはソフトウェア開発ポリシーを策定しました。このポリシーでは、ソフトウェアが社内開発か外部委託かを問わず、運用システムへの実装前にブラックボックステストを実施することが規定されています。
シナリオ1によると、チャットボットは無効な入力を受け取った際にユーザーにランダムなファイルを送信しました。これはどのような影響をもたらす可能性がありますか?
この最初のアイデアはソフトウェア開発チームに伝えられ、彼らはそれを支持してこのプロジェクトの作業に携わりました。彼らはチャットボットを既存のシステムに統合し始めました。さらに、チームはチャットボットに関して、チャットクエリの85%に回答するという目標を設定しました。
チャットボットの統合が成功した後、同社はすぐにそれを顧客にリリースして使用できるようにしました。
しかし、チャットボットにはいくつかの問題があるようです。
チャットボットが問い合わせパターンを「学習」するはずのトレーニングフェーズにおいて、テストが不十分でサンプルが提供されなかったため、チャットボットはユーザーの問い合わせに適切な回答を提供できませんでした。さらに、奇妙なドットパターンや特殊文字などの無効な入力を受け取った場合、チャットボットはユーザーにランダムなファイルを送信していました。その結果、チャットボットは顧客の問い合わせに適切に回答できず、従来のカスタマーサポートはチャットでの問い合わせに圧倒され、顧客のリクエストに対応できませんでした。
そのため、Fintiveはソフトウェア開発ポリシーを策定しました。このポリシーでは、ソフトウェアが社内開発か外部委託かを問わず、運用システムへの実装前にブラックボックステストを実施することが規定されています。
シナリオ1によると、チャットボットは無効な入力を受け取った際にユーザーにランダムなファイルを送信しました。これはどのような影響をもたらす可能性がありますか?
ISO-IEC-27001-Lead-Auditor 試験問題 72
次の文のうち正しいものはどれですか?
ISO-IEC-27001-Lead-Auditor 試験問題 73
シナリオ3:NightCoreは、米国に拠点を置く多国籍テクノロジー企業で、eコマース、クラウドコンピューティング、デジタルストリーミング、人工知能(AI)に注力しています。情報セキュリティマネジメントシステム(ISMS)の導入から8ヶ月以上が経過した後、ISO/IEC 27001認証を取得するため、第三者監査を実施する認証機関と契約しました。
認証機関は7名の監査員チームを編成しました。最も経験豊富な監査員であるジャックが監査チームのリーダーに任命されました。彼は長年にわたり、ISO/IEC 27001主任監査員、CISA、CISSP、CISMなど、数々の著名な資格を取得しています。
ジャックは、ISMS監査の各フェーズで徹底的な分析を実施し、NightCore社が実装したすべての情報セキュリティ要件と管理策を調査・評価しました。第2段階の監査中に、ジャックは複数の不適合を検出しました。ソフトウェアライセンスの購入請求書の数とソフトウェアインベントリを比較した結果、会社が多くのコンピューターで違法バージョンのソフトウェアを使用していることが判明しました。彼は、経営陣にこの不適合について説明を求め、彼らがこのことを認識していたかどうかを確認することにしました。彼の次のステップは、NightCore社のIT部門を監査することでした。経営陣は、NightCore社のシステム管理者であるトムをガイド役として任命し、ジャックと監査チームをシステム内部の仕組みとデジタル資産インフラストラクチャへと案内しました。
監査役は財務部門の担当者にインタビューした際、会社が最近、コンサルタントの一人に対して異例の巨額取引を行っていたことを発見した。取引に関する必要な情報をすべて収集した後、ジャックは経営陣に直接インタビューすることを決意した。
最初の不適合について議論していた際、経営陣はジャックに対し、コピー版ソフトウェアの方が安価であるため、オリジナル版ではなく意図的にコピー版ソフトウェアを使用することを決定したと伝えました。ジャックはナイトコアの経営陣に対し、違法なバージョンのソフトウェアの使用はISO/IEC 27001の要件および国内法規制に違反することを説明しました。しかし、経営陣はそれを問題視していないようでした。
監査の数か月後、ジャックは監査中に収集した NightCore の情報の一部を NightCore の競合他社に多額の金額で売却しました。
このシナリオに基づいて、次の質問に答えてください。
ジャックはソフトウェアに関する最初の不適合を特定したとき、どのような種類の監査証拠を収集しましたか?シナリオ3を参照してください。
認証機関は7名の監査員チームを編成しました。最も経験豊富な監査員であるジャックが監査チームのリーダーに任命されました。彼は長年にわたり、ISO/IEC 27001主任監査員、CISA、CISSP、CISMなど、数々の著名な資格を取得しています。
ジャックは、ISMS監査の各フェーズで徹底的な分析を実施し、NightCore社が実装したすべての情報セキュリティ要件と管理策を調査・評価しました。第2段階の監査中に、ジャックは複数の不適合を検出しました。ソフトウェアライセンスの購入請求書の数とソフトウェアインベントリを比較した結果、会社が多くのコンピューターで違法バージョンのソフトウェアを使用していることが判明しました。彼は、経営陣にこの不適合について説明を求め、彼らがこのことを認識していたかどうかを確認することにしました。彼の次のステップは、NightCore社のIT部門を監査することでした。経営陣は、NightCore社のシステム管理者であるトムをガイド役として任命し、ジャックと監査チームをシステム内部の仕組みとデジタル資産インフラストラクチャへと案内しました。
監査役は財務部門の担当者にインタビューした際、会社が最近、コンサルタントの一人に対して異例の巨額取引を行っていたことを発見した。取引に関する必要な情報をすべて収集した後、ジャックは経営陣に直接インタビューすることを決意した。
最初の不適合について議論していた際、経営陣はジャックに対し、コピー版ソフトウェアの方が安価であるため、オリジナル版ではなく意図的にコピー版ソフトウェアを使用することを決定したと伝えました。ジャックはナイトコアの経営陣に対し、違法なバージョンのソフトウェアの使用はISO/IEC 27001の要件および国内法規制に違反することを説明しました。しかし、経営陣はそれを問題視していないようでした。
監査の数か月後、ジャックは監査中に収集した NightCore の情報の一部を NightCore の競合他社に多額の金額で売却しました。
このシナリオに基づいて、次の質問に答えてください。
ジャックはソフトウェアに関する最初の不適合を特定したとき、どのような種類の監査証拠を収集しましたか?シナリオ3を参照してください。
ISO-IEC-27001-Lead-Auditor 試験問題 74
あなたは監査チームのリーダーとして、モバイル通信事業者の第三者監査を終えたばかりです。監査報告書を作成中で、「機密保持」というセクションを終えようとしています。
あなたのチームで研修中の監査人が、機密レポートを第三者に公開できる状況があるかどうかを尋ねます。
次の回答のうち、間違っているものはどれですか?
あなたのチームで研修中の監査人が、機密レポートを第三者に公開できる状況があるかどうかを尋ねます。
次の回答のうち、間違っているものはどれですか?
ISO-IEC-27001-Lead-Auditor 試験問題 75
あなたは、地元の病院や官公庁を含む大規模組織に配送サービスを提供する国際物流企業の発送部門でISMS監査を実施しています。荷物には通常、医薬品、生物学的サンプル、パスポートや運転免許証などの書類が含まれています。会社の記録を見ると、宛名ラベルの誤り、そして1つの荷物に異なる宛名で2つ以上のラベルが貼られていることなど、非常に多くの返品が発生していることに気づきます。あなたは配送マネージャー(SM)にインタビューを行っています。
あなた: 商品は発送前に検査されますか?
SH: 明らかに破損している品物は発送前に担当スタッフが取り除きますが、利益率が低いため、正式な検査プロセスを実施するのは経済的ではありません。
あなた: 商品が返品された場合、どのような措置が取られますか?
SM: これらの契約のほとんどは比較的低額であるため、調査を実施するよりも、ラベルを再印刷して個々の小包を再送する方が簡単で便利であると判断されました。
不適合を指摘しました。このシナリオを参考に、フォローアップ監査を実施する際に、被監査者が実施していることを期待する以下の付録Aのコントロールのうち6つはどれですか?
あなた: 商品は発送前に検査されますか?
SH: 明らかに破損している品物は発送前に担当スタッフが取り除きますが、利益率が低いため、正式な検査プロセスを実施するのは経済的ではありません。
あなた: 商品が返品された場合、どのような措置が取られますか?
SM: これらの契約のほとんどは比較的低額であるため、調査を実施するよりも、ラベルを再印刷して個々の小包を再送する方が簡単で便利であると判断されました。
不適合を指摘しました。このシナリオを参考に、フォローアップ監査を実施する際に、被監査者が実施していることを期待する以下の付録Aのコントロールのうち6つはどれですか?