ISO-IEC-27001-Lead-Auditor 試験問題 81
シナリオ3:Rebuildyはタイのバンコクに拠点を置く建設会社で、住宅の設計、建設、保守を専門としています。機密性の高いプロジェクトデータと顧客情報のセキュリティを確保するため、RebuildyはISO/IEC 27001に基づくISMSの導入を決定しました。これには、情報セキュリティリスクの包括的な理解、明確な継続的改善アプローチ、そして堅牢なビジネスソリューションが含まれます。
ISMSの導入成果は以下に示すとおりです。
* 情報セキュリティは、一連のセキュリティ制御を適用し、ポリシー、プロセス、および手順を確立することによって実現されます。
* セキュリティ管理はリスク評価に基づいて実装され、リスクを排除または許容レベルまで低減することを目的としています。
* すべてのプロセスは、計画・実行・確認・改善 (PDCA) モデルに基づいて ISMS の継続的な改善を保証します。
* 情報セキュリティポリシーは、セキュリティのベストプラクティスに基づいて作成されたセキュリティマニュアルの一部であり、単独の文書ではありません。
* 情報セキュリティの役割と責任は、すべての従業員の職務記述書に明確に記載されています。
* ISMS の管理レビューは計画された間隔で実施されます。
Rebuildy社は、2回の中間経営レビューと1回の年次内部監査を経て認証を申請しました。認証監査の前に、Rebuildy社の元従業員の1人が監査チームのメンバーの1人に、同社が隠蔽しようとしているセキュリティ上の問題が複数あると伝えました。元従業員は、監査チームのメンバーに証拠書類を提示しました。Rebuildy社の主要顧客であるエレクトラ社も同様の問題に関する証拠を提出しており、監査人は元従業員の証拠ではなくエレクトラ社の証拠を保管することを決定しました。監査チームのメンバーは、監査が完了するまでエレクトラ社と連絡を取り続け、監査中に発見された不適合について話し合いました。エレクトラ社は、これらの発見事項を裏付ける追加の証拠を提供しました。
監査開始時に、監査チームは同社の経営幹部にインタビューを行いました。インタビューでは、経営幹部のISMS導入へのコミットメントなどについて議論しました。これらの議論から得られた証拠は確認書にまとめられ、RebuildyがISO/IEC 27001の複数の条項に適合していることを確認するために使用されました。Electraから入手した証拠文書は、不適合報告書とともに監査報告書に添付されました。特に、以下の不適合が検出されました。
* 会社の財務報告システム内で不適切なユーザー アクセス制御設定が検出されました。
* 独立した情報セキュリティポリシーは制定されていません。その代わりに、ベストプラクティスに基づいて作成されたセキュリティマニュアルを運用しています。
監査チームからこれらの文書を受け取った後、チームリーダーはRebuildyの経営陣と面談し、監査結果を提示しました。監査チームは、財務報告システムと独立した情報セキュリティポリシーの欠如に関する監査結果を報告しました。経営陣は監査結果に不満を示し、監査チームリーダーの行動はプロフェッショナルとしてふさわしくないと示唆し、交代を求める可能性を示唆しました。プレッシャーを受けた監査チームリーダーは、経営陣に協力し、検出された不適合の重大性を軽視することにしました。その結果、監査チームリーダーは報告書をより好意的に修正し、Rebuildyのコンプライアンス問題の真の程度を歪曲しました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ3に基づき、監査チームは経営幹部へのインタビューから得た情報を用いて、RebuildyがISO/IEC 27001のいくつかの条項に準拠しているかどうかを判断しました。これは適切でしょうか?
ISMSの導入成果は以下に示すとおりです。
* 情報セキュリティは、一連のセキュリティ制御を適用し、ポリシー、プロセス、および手順を確立することによって実現されます。
* セキュリティ管理はリスク評価に基づいて実装され、リスクを排除または許容レベルまで低減することを目的としています。
* すべてのプロセスは、計画・実行・確認・改善 (PDCA) モデルに基づいて ISMS の継続的な改善を保証します。
* 情報セキュリティポリシーは、セキュリティのベストプラクティスに基づいて作成されたセキュリティマニュアルの一部であり、単独の文書ではありません。
* 情報セキュリティの役割と責任は、すべての従業員の職務記述書に明確に記載されています。
* ISMS の管理レビューは計画された間隔で実施されます。
Rebuildy社は、2回の中間経営レビューと1回の年次内部監査を経て認証を申請しました。認証監査の前に、Rebuildy社の元従業員の1人が監査チームのメンバーの1人に、同社が隠蔽しようとしているセキュリティ上の問題が複数あると伝えました。元従業員は、監査チームのメンバーに証拠書類を提示しました。Rebuildy社の主要顧客であるエレクトラ社も同様の問題に関する証拠を提出しており、監査人は元従業員の証拠ではなくエレクトラ社の証拠を保管することを決定しました。監査チームのメンバーは、監査が完了するまでエレクトラ社と連絡を取り続け、監査中に発見された不適合について話し合いました。エレクトラ社は、これらの発見事項を裏付ける追加の証拠を提供しました。
監査開始時に、監査チームは同社の経営幹部にインタビューを行いました。インタビューでは、経営幹部のISMS導入へのコミットメントなどについて議論しました。これらの議論から得られた証拠は確認書にまとめられ、RebuildyがISO/IEC 27001の複数の条項に適合していることを確認するために使用されました。Electraから入手した証拠文書は、不適合報告書とともに監査報告書に添付されました。特に、以下の不適合が検出されました。
* 会社の財務報告システム内で不適切なユーザー アクセス制御設定が検出されました。
* 独立した情報セキュリティポリシーは制定されていません。その代わりに、ベストプラクティスに基づいて作成されたセキュリティマニュアルを運用しています。
監査チームからこれらの文書を受け取った後、チームリーダーはRebuildyの経営陣と面談し、監査結果を提示しました。監査チームは、財務報告システムと独立した情報セキュリティポリシーの欠如に関する監査結果を報告しました。経営陣は監査結果に不満を示し、監査チームリーダーの行動はプロフェッショナルとしてふさわしくないと示唆し、交代を求める可能性を示唆しました。プレッシャーを受けた監査チームリーダーは、経営陣に協力し、検出された不適合の重大性を軽視することにしました。その結果、監査チームリーダーは報告書をより好意的に修正し、Rebuildyのコンプライアンス問題の真の程度を歪曲しました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ3に基づき、監査チームは経営幹部へのインタビューから得た情報を用いて、RebuildyがISO/IEC 27001のいくつかの条項に準拠しているかどうかを判断しました。これは適切でしょうか?
ISO-IEC-27001-Lead-Auditor 試験問題 82
制限文書と機密文書の違いは何ですか?
ISO-IEC-27001-Lead-Auditor 試験問題 83
ACTで私たちがしていること - PDCAサイクルから
ISO-IEC-27001-Lead-Auditor 試験問題 84
あなたは経験豊富なISMS監査チームリーダーとして、研修中の監査員を指導しています。彼女は、不適合の等級分けに関する具体的な基準を設けることがなぜ重要なのかをあなたに尋ねています。
次の回答のうち正しいものはどれですか?
次の回答のうち正しいものはどれですか?
ISO-IEC-27001-Lead-Auditor 試験問題 85
シナリオ 9: ネットワーク企業の UpNet は、ISO/IEC 27001 の認定を受けています。同社は、ネットワーク セキュリティ、仮想化、クラウド コンピューティング、ネットワーク ハードウェア、ネットワーク管理ソフトウェア、およびネットワーク テクノロジを提供しています。
ISO/IEC 27001認証取得以来、UpNefsの認知度は飛躍的に向上しました。この認証取得は、UpNefsの事業運営の成熟度と、広く認知され受け入れられている規格への準拠を証明するものです。
しかし、認証取得後もすべてが終わったわけではありません。UpNetは内部監査を実施することで、セキュリティ管理体制とISMS全体の有効性と効率性を継続的に見直し、強化しました。経営陣は専任の内部監査チームを雇用することに難色を示したため、内部監査機能を外部委託することを決定しました。この内部監査形態により、独立性と客観性が確保され、ISMSの継続的改善に関する助言的な役割も担うことができました。
最初の認証監査から間もなく、同社はデータおよびストレージ製品を専門とする新部門を設立しました。この部門は、データセンター向けに最適化されたルーターやスイッチ、そしてネットワーク仮想化やネットワークセキュリティアプライアンスといったソフトウェアベースのネットワークデバイスを提供しました。これにより、既にISMS認証の対象範囲に含まれていた他の部門の業務にも変化が生じました。
そのため、UpNetはリスク評価プロセスと内部監査を開始しました。内部監査の結果を受けて、既存および新規のプロセスと管理策の有効性と効率性を確認しました。
経営陣は、新部門がISO/IEC 27001の要件に準拠していることから、認証範囲に新部門を含めることを決定しました。UpNetは、ISO/IEC 27001の認証を取得し、その認証範囲が全社に及ぶことを発表しました。
最初の認証監査から1年後、認証機関はUpNefsのISMSに対して再度の監査を実施しました。この監査は、UpNefsのISMSがISO/IEC 27001の規定要件を満たしているかどうかを確認し、ISMSが継続的に改善されていることを確認することを目的としました。監査チームは、認証されたISMSが引き続き規格の要件を満たしていることを確認しました。しかしながら、新部門の設置は管理システムの運営に重大な影響を及ぼしました。さらに、認証機関には変更に関する通知が一切行われていませんでした。そのため、UpNefsの認証は一時停止されました。
上記のシナリオに基づいて、次の質問に答えてください。
UpNet社は、新部門がISO/IEC 27001の要件にも準拠していることが確認されれば、ISMS認証の範囲は会社全体に及ぶと発表しました。シナリオ9に示されている状況をどのように分類しますか?
ISO/IEC 27001認証取得以来、UpNefsの認知度は飛躍的に向上しました。この認証取得は、UpNefsの事業運営の成熟度と、広く認知され受け入れられている規格への準拠を証明するものです。
しかし、認証取得後もすべてが終わったわけではありません。UpNetは内部監査を実施することで、セキュリティ管理体制とISMS全体の有効性と効率性を継続的に見直し、強化しました。経営陣は専任の内部監査チームを雇用することに難色を示したため、内部監査機能を外部委託することを決定しました。この内部監査形態により、独立性と客観性が確保され、ISMSの継続的改善に関する助言的な役割も担うことができました。
最初の認証監査から間もなく、同社はデータおよびストレージ製品を専門とする新部門を設立しました。この部門は、データセンター向けに最適化されたルーターやスイッチ、そしてネットワーク仮想化やネットワークセキュリティアプライアンスといったソフトウェアベースのネットワークデバイスを提供しました。これにより、既にISMS認証の対象範囲に含まれていた他の部門の業務にも変化が生じました。
そのため、UpNetはリスク評価プロセスと内部監査を開始しました。内部監査の結果を受けて、既存および新規のプロセスと管理策の有効性と効率性を確認しました。
経営陣は、新部門がISO/IEC 27001の要件に準拠していることから、認証範囲に新部門を含めることを決定しました。UpNetは、ISO/IEC 27001の認証を取得し、その認証範囲が全社に及ぶことを発表しました。
最初の認証監査から1年後、認証機関はUpNefsのISMSに対して再度の監査を実施しました。この監査は、UpNefsのISMSがISO/IEC 27001の規定要件を満たしているかどうかを確認し、ISMSが継続的に改善されていることを確認することを目的としました。監査チームは、認証されたISMSが引き続き規格の要件を満たしていることを確認しました。しかしながら、新部門の設置は管理システムの運営に重大な影響を及ぼしました。さらに、認証機関には変更に関する通知が一切行われていませんでした。そのため、UpNefsの認証は一時停止されました。
上記のシナリオに基づいて、次の質問に答えてください。
UpNet社は、新部門がISO/IEC 27001の要件にも準拠していることが確認されれば、ISMS認証の範囲は会社全体に及ぶと発表しました。シナリオ9に示されている状況をどのように分類しますか?