ISO-IEC-27001-Lead-Auditor 試験問題 131
あなたは経験豊富なISMS監査チームリーダーとして、研修中の監査員に指導を行っています。監査員はリスクプロセスに関する理解が不十分であるため、以下に詳述する各プロセスの例を挙げて説明していただくよう依頼されています。
提供された各説明を、次のリスク管理プロセスのいずれかに一致させます。
表を完成させるには、記入したい空白部分をクリックして赤くハイライト表示し、下の選択肢から該当するテキストをクリックしてください。または、各選択肢を適切な空白部分にドラッグ&ドロップすることもできます。
提供された各説明を、次のリスク管理プロセスのいずれかに一致させます。
表を完成させるには、記入したい空白部分をクリックして赤くハイライト表示し、下の選択肢から該当するテキストをクリックしてください。または、各選択肢を適切な空白部分にドラッグ&ドロップすることもできます。
ISO-IEC-27001-Lead-Auditor 試験問題 132
シナリオ3:Rebuildyはタイのバンコクに拠点を置く建設会社で、住宅の設計、建設、保守を専門としています。機密性の高いプロジェクトデータと顧客情報のセキュリティを確保するため、RebuildyはISO/IEC 27001に基づくISMSの導入を決定しました。これには、情報セキュリティリスクの包括的な理解、明確な継続的改善アプローチ、そして堅牢なビジネスソリューションが含まれます。
ISMSの導入成果は以下に示すとおりです。
* 情報セキュリティは、一連のセキュリティ制御を適用し、ポリシー、プロセス、および手順を確立することによって実現されます。
* セキュリティ管理はリスク評価に基づいて実装され、リスクを排除または許容レベルまで低減することを目的としています。
* すべてのプロセスは、計画・実行・確認・改善 (PDCA) モデルに基づいて ISMS の継続的な改善を保証します。
* 情報セキュリティポリシーは、セキュリティのベストプラクティスに基づいて作成されたセキュリティマニュアルの一部であり、単独の文書ではありません。
* 情報セキュリティの役割と責任は、すべての従業員の職務記述書に明確に記載されています。
* ISMS の管理レビューは計画された間隔で実施されます。
Rebuildy社は、2回の中間経営レビューと1回の年次内部監査を経て認証を申請しました。認証監査の前に、Rebuildy社の元従業員の1人が監査チームのメンバーの1人に、同社が隠蔽しようとしているセキュリティ上の問題が複数あると伝えました。元従業員は、監査チームのメンバーに証拠書類を提示しました。Rebuildy社の主要顧客であるエレクトラ社も同様の問題に関する証拠を提出しており、監査人は元従業員の証拠ではなくエレクトラ社の証拠を保管することを決定しました。監査チームのメンバーは、監査が完了するまでエレクトラ社と連絡を取り続け、監査中に発見された不適合について話し合いました。エレクトラ社は、これらの発見事項を裏付ける追加の証拠を提供しました。
監査開始時に、監査チームは同社の経営幹部にインタビューを行いました。インタビューでは、経営幹部のISMS導入へのコミットメントなどについて議論しました。これらの議論から得られた証拠は確認書にまとめられ、RebuildyがISO/IEC 27001の複数の条項に適合していることを確認するために使用されました。Electraから入手した証拠文書は、不適合報告書とともに監査報告書に添付されました。特に、以下の不適合が検出されました。
* 会社の財務報告システム内で不適切なユーザー アクセス制御設定が検出されました。
* 独立した情報セキュリティポリシーは制定されていません。その代わりに、ベストプラクティスに基づいて作成されたセキュリティマニュアルを運用しています。
監査チームからこれらの文書を受け取った後、チームリーダーはRebuildyの経営陣と面談し、監査結果を提示しました。監査チームは、財務報告システムと独立した情報セキュリティポリシーの欠如に関する監査結果を報告しました。経営陣は監査結果に不満を示し、監査チームリーダーの行動はプロフェッショナルとしてふさわしくないと示唆し、交代を求める可能性を示唆しました。プレッシャーを受けた監査チームリーダーは、経営陣に協力し、検出された不適合の重大性を軽視することにしました。その結果、監査チームリーダーは報告書をより好意的に修正し、Rebuildyのコンプライアンス問題の真の程度を歪曲しました。
上記のシナリオに基づいて、次の質問に答えてください。
監査チームは、財務報告システムの状況に関して監査のベストプラクティスを遵守しましたか?
ISMSの導入成果は以下に示すとおりです。
* 情報セキュリティは、一連のセキュリティ制御を適用し、ポリシー、プロセス、および手順を確立することによって実現されます。
* セキュリティ管理はリスク評価に基づいて実装され、リスクを排除または許容レベルまで低減することを目的としています。
* すべてのプロセスは、計画・実行・確認・改善 (PDCA) モデルに基づいて ISMS の継続的な改善を保証します。
* 情報セキュリティポリシーは、セキュリティのベストプラクティスに基づいて作成されたセキュリティマニュアルの一部であり、単独の文書ではありません。
* 情報セキュリティの役割と責任は、すべての従業員の職務記述書に明確に記載されています。
* ISMS の管理レビューは計画された間隔で実施されます。
Rebuildy社は、2回の中間経営レビューと1回の年次内部監査を経て認証を申請しました。認証監査の前に、Rebuildy社の元従業員の1人が監査チームのメンバーの1人に、同社が隠蔽しようとしているセキュリティ上の問題が複数あると伝えました。元従業員は、監査チームのメンバーに証拠書類を提示しました。Rebuildy社の主要顧客であるエレクトラ社も同様の問題に関する証拠を提出しており、監査人は元従業員の証拠ではなくエレクトラ社の証拠を保管することを決定しました。監査チームのメンバーは、監査が完了するまでエレクトラ社と連絡を取り続け、監査中に発見された不適合について話し合いました。エレクトラ社は、これらの発見事項を裏付ける追加の証拠を提供しました。
監査開始時に、監査チームは同社の経営幹部にインタビューを行いました。インタビューでは、経営幹部のISMS導入へのコミットメントなどについて議論しました。これらの議論から得られた証拠は確認書にまとめられ、RebuildyがISO/IEC 27001の複数の条項に適合していることを確認するために使用されました。Electraから入手した証拠文書は、不適合報告書とともに監査報告書に添付されました。特に、以下の不適合が検出されました。
* 会社の財務報告システム内で不適切なユーザー アクセス制御設定が検出されました。
* 独立した情報セキュリティポリシーは制定されていません。その代わりに、ベストプラクティスに基づいて作成されたセキュリティマニュアルを運用しています。
監査チームからこれらの文書を受け取った後、チームリーダーはRebuildyの経営陣と面談し、監査結果を提示しました。監査チームは、財務報告システムと独立した情報セキュリティポリシーの欠如に関する監査結果を報告しました。経営陣は監査結果に不満を示し、監査チームリーダーの行動はプロフェッショナルとしてふさわしくないと示唆し、交代を求める可能性を示唆しました。プレッシャーを受けた監査チームリーダーは、経営陣に協力し、検出された不適合の重大性を軽視することにしました。その結果、監査チームリーダーは報告書をより好意的に修正し、Rebuildyのコンプライアンス問題の真の程度を歪曲しました。
上記のシナリオに基づいて、次の質問に答えてください。
監査チームは、財務報告システムの状況に関して監査のベストプラクティスを遵守しましたか?
ISO-IEC-27001-Lead-Auditor 試験問題 133
ステージ 1 監査の開始会議で、管理システム担当者 (MSR) は、認証申請が行われてから拡大した海外の新しいサイトを含めるように監査範囲を拡張することを要求します。
監査人が応答する方法として 2 つのオプションを選択します。
監査人が応答する方法として 2 つのオプションを選択します。
ISO-IEC-27001-Lead-Auditor 試験問題 134
次の選択肢から、文を最も適切に完成させる単語を選択してください。
単語を使って文を完成させるには、完成させたい空白部分をクリックして赤くハイライト表示させ、下の選択肢から適用するテキストをクリックしてください。または、選択肢を適切な空白部分にドラッグ&ドロップすることもできます。
単語を使って文を完成させるには、完成させたい空白部分をクリックして赤くハイライト表示させ、下の選択肢から適用するテキストをクリックしてください。または、選択肢を適切な空白部分にドラッグ&ドロップすることもできます。
ISO-IEC-27001-Lead-Auditor 試験問題 135
あなたは経験豊富な ISMS 内部監査員です。
組織の予定されていた情報セキュリティ監査を完了したところ、IT マネージャーがあなたに連絡し、会社の適用性ステートメントの改訂に協力するよう依頼しました。
IT マネージャーは、ISO/IEC 27001:2013 に基づく適用性ステートメントを、ISO/IEC 27001:2022 にある 4 つの管理テーマ (組織的管理、人的管理、物理的管理、技術的管理) に沿ったステートメントに更新しようとしています。
ITマネージャーは、以下の例外を除き、コントロールの再割り当てに満足しています。彼は、以下の各コントロールが4つのコントロールカテゴリーのどのカテゴリーに分類されるべきかを尋ねています。
組織の予定されていた情報セキュリティ監査を完了したところ、IT マネージャーがあなたに連絡し、会社の適用性ステートメントの改訂に協力するよう依頼しました。
IT マネージャーは、ISO/IEC 27001:2013 に基づく適用性ステートメントを、ISO/IEC 27001:2022 にある 4 つの管理テーマ (組織的管理、人的管理、物理的管理、技術的管理) に沿ったステートメントに更新しようとしています。
ITマネージャーは、以下の例外を除き、コントロールの再割り当てに満足しています。彼は、以下の各コントロールが4つのコントロールカテゴリーのどのカテゴリーに分類されるべきかを尋ねています。
