ISO-IEC-27001-Lead-Auditor 試験問題 96
医療サービスを提供する居住型介護施設でISMS監査を実施しています。監査計画の次のステップは、情報セキュリティインシデント管理プロセスを検証することです。ITセキュリティマネージャーは情報セキュリティインシデント管理手順を提示し、そのプロセスがISO/IEC 27035-1:2016に基づいていることを説明します。
文書を確認すると、「情報セキュリティ上のあらゆる弱点、イベント、インシデントは、特定後1時間以内に担当者(PoC)に報告する必要がある」という記述に気づきました。スタッフにインタビューしたところ、「弱点、イベント、インシデント」の意味について、認識にばらつきがあることがわかりました。
過去 6 か月間のイベント追跡システムからインシデント レポート レコードをサンプリングし、結果を次の表にまとめます。
より多くの監査証拠を収集するために、他の領域をさらに調査したいと考えています。監査証跡に残さないオプションを2つ選択してください。
文書を確認すると、「情報セキュリティ上のあらゆる弱点、イベント、インシデントは、特定後1時間以内に担当者(PoC)に報告する必要がある」という記述に気づきました。スタッフにインタビューしたところ、「弱点、イベント、インシデント」の意味について、認識にばらつきがあることがわかりました。
過去 6 か月間のイベント追跡システムからインシデント レポート レコードをサンプリングし、結果を次の表にまとめます。
より多くの監査証拠を収集するために、他の領域をさらに調査したいと考えています。監査証跡に残さないオプションを2つ選択してください。
ISO-IEC-27001-Lead-Auditor 試験問題 97
文を完成させるのに最も適した単語を選択してください。
ISO-IEC-27001-Lead-Auditor 試験問題 98
シナリオ5:データグリッド株式会社は、情報技術インフラ全体にわたるセキュリティサービスを提供する著名な企業です。エンドポイントセキュリティ、ファイアウォール、アンチウイルスソフトウェアなどのサイバーセキュリティソフトウェアを提供しています。20年にわたり、データグリッド株式会社は、高度な製品とサービスを通じて、様々な企業のネットワークセキュリティ確保を支援してきました。情報セキュリティおよびネットワークセキュリティ分野で高い評価を得てきたデータグリッド株式会社は、社内資産と顧客資産のセキュリティを強化し、競争優位性を獲得するために、ISO/IEC 27001認証を取得することを決定しました。
データグリッド株式会社は監査チームを任命し、監査契約条件について合意しました。さらに、データグリッド株式会社は監査範囲を明確化し、監査基準を明示し、5日以内に監査を終了することを提案しました。監査チームは、データグリッド株式会社の従業員数が多く、業務プロセスが複雑であるため、5日以内に監査を実施するという提案を却下しました。データグリッド株式会社は、5日以内に監査を完了する予定であると主張し、両者は定められた期間内に監査を実施することに合意しました。監査チームはリスクベースの監査アプローチを採用しました。
監査チームは、主要な業務プロセスと統制の概要を把握するために、プロセス記述書と組織図を参照しました。ITインフラストラクチャとアプリケーションへのアクセスが制限されていたため、ITリスクと統制についてより詳細な分析を行うことはできませんでした。しかし、監査チームは、データグリッド株式会社のプロセスの大部分が自動化されているため、同社のISMSに重大な欠陥が発生するリスクは低いと判断しました。そこで、データグリッド株式会社の担当者に以下の質問をすることで、ISMS全体が標準要件に準拠していると評価しました。
* IT および IT 制御の責任はどのように定義され、割り当てられていますか?
* Data Grid Inc. は、制御によって期待どおりの結果が得られたかどうかをどのように評価しますか?
* Data Grid Inc. では、悪意のあるソフトウェアから動作環境とデータを保護するためにどのような制御を実施していますか?
* ファイアウォール関連の制御は実装されていますか?
Data Grid Inc. の代表者は、これらすべての疑問に答える十分かつ適切な証拠を提供しました。
監査チームリーダーは監査結論を草案し、データグリッド株式会社の経営陣に報告しました。監査人からはデータグリッド株式会社への認証取得が推奨されていましたが、監査目的に関してデータグリッド株式会社と認証機関の間で誤解が生じました。データグリッド株式会社は、監査目的に改善の余地のある領域の特定が含まれていたにもかかわらず、監査チームがそのような情報を提供しなかったと述べています。
このシナリオに基づいて、次の質問に答えてください。
監査チームによって「低*」と定義された監査リスクの種類はどれですか? シナリオ 5 を参照してください。
データグリッド株式会社は監査チームを任命し、監査契約条件について合意しました。さらに、データグリッド株式会社は監査範囲を明確化し、監査基準を明示し、5日以内に監査を終了することを提案しました。監査チームは、データグリッド株式会社の従業員数が多く、業務プロセスが複雑であるため、5日以内に監査を実施するという提案を却下しました。データグリッド株式会社は、5日以内に監査を完了する予定であると主張し、両者は定められた期間内に監査を実施することに合意しました。監査チームはリスクベースの監査アプローチを採用しました。
監査チームは、主要な業務プロセスと統制の概要を把握するために、プロセス記述書と組織図を参照しました。ITインフラストラクチャとアプリケーションへのアクセスが制限されていたため、ITリスクと統制についてより詳細な分析を行うことはできませんでした。しかし、監査チームは、データグリッド株式会社のプロセスの大部分が自動化されているため、同社のISMSに重大な欠陥が発生するリスクは低いと判断しました。そこで、データグリッド株式会社の担当者に以下の質問をすることで、ISMS全体が標準要件に準拠していると評価しました。
* IT および IT 制御の責任はどのように定義され、割り当てられていますか?
* Data Grid Inc. は、制御によって期待どおりの結果が得られたかどうかをどのように評価しますか?
* Data Grid Inc. では、悪意のあるソフトウェアから動作環境とデータを保護するためにどのような制御を実施していますか?
* ファイアウォール関連の制御は実装されていますか?
Data Grid Inc. の代表者は、これらすべての疑問に答える十分かつ適切な証拠を提供しました。
監査チームリーダーは監査結論を草案し、データグリッド株式会社の経営陣に報告しました。監査人からはデータグリッド株式会社への認証取得が推奨されていましたが、監査目的に関してデータグリッド株式会社と認証機関の間で誤解が生じました。データグリッド株式会社は、監査目的に改善の余地のある領域の特定が含まれていたにもかかわらず、監査チームがそのような情報を提供しなかったと述べています。
このシナリオに基づいて、次の質問に答えてください。
監査チームによって「低*」と定義された監査リスクの種類はどれですか? シナリオ 5 を参照してください。
ISO-IEC-27001-Lead-Auditor 試験問題 99
身元不明の人物から、銀行の担当者を名乗るメールが届き、口座番号とパスワードを尋ねられます。これは、口座を修復するためです。このようなソーシャルエンジニアリングの試みは、
ISO-IEC-27001-Lead-Auditor 試験問題 100
医療サービスを提供する居住型介護施設でISMS監査を実施しています。監査計画の次のステップは、情報セキュリティインシデント管理プロセスを検証することです。ITセキュリティマネージャーは情報セキュリティインシデント管理手順を提示し、そのプロセスがISO/IEC 27035-1:2016に基づいていることを説明します。
文書を確認すると、「情報セキュリティ上のあらゆる弱点、イベント、インシデントは、特定後1時間以内に担当者(PoC)に報告する必要がある」という記述に気づきました。スタッフにインタビューしたところ、「弱点、イベント、インシデント」の意味について、認識にばらつきがあることがわかりました。
過去 6 か月間のイベント追跡システムからインシデント レポート レコードをサンプリングし、結果を次の表にまとめます。
より多くの監査証拠を収集するために、他の領域をさらに調査したいと考えています。監査証跡に残さないオプションを2つ選択してください。
文書を確認すると、「情報セキュリティ上のあらゆる弱点、イベント、インシデントは、特定後1時間以内に担当者(PoC)に報告する必要がある」という記述に気づきました。スタッフにインタビューしたところ、「弱点、イベント、インシデント」の意味について、認識にばらつきがあることがわかりました。
過去 6 か月間のイベント追跡システムからインシデント レポート レコードをサンプリングし、結果を次の表にまとめます。
より多くの監査証拠を収集するために、他の領域をさらに調査したいと考えています。監査証跡に残さないオプションを2つ選択してください。