ISO-IEC-27001-Lead-Auditor 試験問題 136
シナリオ8:EsBankは9月からエストニアの銀行部門に銀行業務および金融ソリューションを提供しています。
同社は2010年、全国に30の支店と100台以上のATMを展開している。
規制の厳しい業界で事業を展開するEsBankは、データのセキュリティとプライバシーに関する多くの法律や規制を遵守する必要があります。技術的および非技術的な管理策を実施することで、業務全体にわたって情報セキュリティを管理する必要があります。EsBankは、ISO/IECに基づくISMSを導入することを決定しました。
27001 は、セキュリティの強化、リスク管理の強化、法律や規制の主要要件への準拠を実現したためです。
ISMS の導入が成功してから 9 か月後、EsBank は、独立した認証機関による ISO/IEC 27001 に準拠した ISMS の認証を取得することを決定しました。認証監査には、EsBank のすべてのシステム、プロセス、テクノロジーが含まれていました。
ステージ1とステージ2の監査は共同で実施され、複数の不適合が検出されました。最初の不適合は、EsBankの情報ラベル付けに関するものでした。同社は情報分類スキームを保有していましたが、ラベル付け手順が確立されていませんでした。その結果、同じレベルの保護が必要な文書であっても、異なるラベルが付けられていました(機密文書とセンシティブ文書の2種類)。
すべての文書が電子的に保管されていたことを考慮すると、この不適合は媒体の取り扱いにも影響を与えていました。監査チームはサンプリング調査を行い、200枚のリムーバブルメディアのうち50枚に機密情報が誤って機密情報として分類されていたと結論付けました。情報分類スキームによれば、機密情報はリムーバブルメディアに保存できますが、機密情報の保存は厳しく禁止されています。これがもう一つの不適合となりました。
彼らは不適合報告書を起草し、監査の結論について EsBank の代表者と話し合いました。代表者は、検出された不適合に対する行動計画を 2 か月以内に提出することに同意しました。
EsBankは監査チームリーダーの提案した解決策を受け入れ、物理形式と電子形式の両方における分類体系に基づいた情報ラベル付け手順を策定することで不適合を解決しました。
リムーバブル メディアの手順もこの手順に基づいて更新されました。
監査完了から2週間後、EsBankは一般的な行動計画を提出しました。そこには、検出された不適合と実施された是正措置への対応が記載されていましたが、影響を受けたシステム、管理、または業務に関する詳細は記載されていませんでした。監査チームはこの行動計画を評価し、不適合は解決されると結論付けました。しかしながら、EsBankは認証取得にあたり、不利な勧告を受けました。
上記のシナリオに基づいて、次の質問に答えてください。
認証を推奨しない理由となる選択肢はどれですか? シナリオ 8 を参照してください。
同社は2010年、全国に30の支店と100台以上のATMを展開している。
規制の厳しい業界で事業を展開するEsBankは、データのセキュリティとプライバシーに関する多くの法律や規制を遵守する必要があります。技術的および非技術的な管理策を実施することで、業務全体にわたって情報セキュリティを管理する必要があります。EsBankは、ISO/IECに基づくISMSを導入することを決定しました。
27001 は、セキュリティの強化、リスク管理の強化、法律や規制の主要要件への準拠を実現したためです。
ISMS の導入が成功してから 9 か月後、EsBank は、独立した認証機関による ISO/IEC 27001 に準拠した ISMS の認証を取得することを決定しました。認証監査には、EsBank のすべてのシステム、プロセス、テクノロジーが含まれていました。
ステージ1とステージ2の監査は共同で実施され、複数の不適合が検出されました。最初の不適合は、EsBankの情報ラベル付けに関するものでした。同社は情報分類スキームを保有していましたが、ラベル付け手順が確立されていませんでした。その結果、同じレベルの保護が必要な文書であっても、異なるラベルが付けられていました(機密文書とセンシティブ文書の2種類)。
すべての文書が電子的に保管されていたことを考慮すると、この不適合は媒体の取り扱いにも影響を与えていました。監査チームはサンプリング調査を行い、200枚のリムーバブルメディアのうち50枚に機密情報が誤って機密情報として分類されていたと結論付けました。情報分類スキームによれば、機密情報はリムーバブルメディアに保存できますが、機密情報の保存は厳しく禁止されています。これがもう一つの不適合となりました。
彼らは不適合報告書を起草し、監査の結論について EsBank の代表者と話し合いました。代表者は、検出された不適合に対する行動計画を 2 か月以内に提出することに同意しました。
EsBankは監査チームリーダーの提案した解決策を受け入れ、物理形式と電子形式の両方における分類体系に基づいた情報ラベル付け手順を策定することで不適合を解決しました。
リムーバブル メディアの手順もこの手順に基づいて更新されました。
監査完了から2週間後、EsBankは一般的な行動計画を提出しました。そこには、検出された不適合と実施された是正措置への対応が記載されていましたが、影響を受けたシステム、管理、または業務に関する詳細は記載されていませんでした。監査チームはこの行動計画を評価し、不適合は解決されると結論付けました。しかしながら、EsBankは認証取得にあたり、不利な勧告を受けました。
上記のシナリオに基づいて、次の質問に答えてください。
認証を推奨しない理由となる選択肢はどれですか? シナリオ 8 を参照してください。
ISO-IEC-27001-Lead-Auditor 試験問題 137
あなたは、インターネットサービスプロバイダーの第三者監査を実施する経験豊富なISMS監査チームのリーダーです。組織のリスク評価プロセスがISO/IEC 27001:2022に準拠しているかをレビューしています。
次の監査結果のうち、不適合レポートの提出を促す 3 つはどれですか?
次の監査結果のうち、不適合レポートの提出を促す 3 つはどれですか?
ISO-IEC-27001-Lead-Auditor 試験問題 138
次のオプションのうち、ファーストパーティ監査に参加しないものはどれですか。
ISO-IEC-27001-Lead-Auditor 試験問題 139
次の文のうち正しいものはどれですか?
ISO-IEC-27001-Lead-Auditor 試験問題 140
シナリオ 8: EsBank は、2010 年 9 月からエストニアの銀行業界に銀行業務および金融ソリューションを提供しています。同社は全国に 30 の支店と 100 台を超える ATM のネットワークを持っています。
規制の厳しい業界で事業を展開するEsBankは、データのセキュリティとプライバシーに関する多くの法律や規制を遵守する必要があります。技術的および非技術的な管理策を実施することで、業務全体にわたって情報セキュリティを管理する必要があります。EsBankは、より優れたセキュリティ、より高度なリスク管理、そして主要な法律や規制の要件への準拠を実現するため、ISO/IEC 27001に基づくISMSの導入を決定しました。
ISMS の導入が成功してから 9 か月後、EsBank は、独立した認証機関による ISO/IEC 27001 に準拠した ISMS の認証を取得することを決定しました。認証監査には、EsBank のすべてのシステム、プロセス、テクノロジーが含まれていました。
ステージ1とステージ2の監査は共同で実施され、複数の不適合が検出されました。最初の不適合は、EsBankの情報ラベル付けに関するものでした。同社は情報分類スキームを保有していましたが、ラベル付け手順が確立されていませんでした。その結果、同じレベルの保護が必要な文書であっても、異なるラベルが付けられていました(機密文書とセンシティブ文書の2種類)。
すべての文書が電子的に保管されていたことを考慮すると、この不適合は媒体の取り扱いにも影響を与えていました。監査チームはサンプリング調査を行い、200枚のリムーバブルメディアのうち50枚に機密情報が誤って機密情報として分類されていたと結論付けました。情報分類スキームによれば、機密情報はリムーバブルメディアに保存できますが、機密情報の保存は厳しく禁止されています。これがもう一つの不適合となりました。
彼らは不適合報告書を起草し、監査の結論について EsBank の代表者と話し合いました。代表者は、検出された不適合に対する行動計画を 2 か月以内に提出することに同意しました。
EsBankは監査チームリーダーの提案した解決策を受け入れ、物理形式と電子形式の両方の分類体系に基づいた情報ラベル付け手順を策定することで不適合を解決しました。また、この手順に基づいてリムーバブルメディアの手順も更新されました。
監査完了から2週間後、EsBankは一般的な活動計画を提出しました。そこには、検出された不適合と実施された是正措置への対応が記載されていましたが、影響を受けたシステム、管理、または業務の詳細は記載されていませんでした。監査チームはこの活動計画を評価し、不適合は解決されると結論付けました。しかしながら、EsBankは認証取得にあたり、不利な勧告を受けました。
上記のシナリオに基づいて、次の質問に答えてください。
認証を推奨しない理由となる選択肢はどれですか? シナリオ 8 を参照してください。
規制の厳しい業界で事業を展開するEsBankは、データのセキュリティとプライバシーに関する多くの法律や規制を遵守する必要があります。技術的および非技術的な管理策を実施することで、業務全体にわたって情報セキュリティを管理する必要があります。EsBankは、より優れたセキュリティ、より高度なリスク管理、そして主要な法律や規制の要件への準拠を実現するため、ISO/IEC 27001に基づくISMSの導入を決定しました。
ISMS の導入が成功してから 9 か月後、EsBank は、独立した認証機関による ISO/IEC 27001 に準拠した ISMS の認証を取得することを決定しました。認証監査には、EsBank のすべてのシステム、プロセス、テクノロジーが含まれていました。
ステージ1とステージ2の監査は共同で実施され、複数の不適合が検出されました。最初の不適合は、EsBankの情報ラベル付けに関するものでした。同社は情報分類スキームを保有していましたが、ラベル付け手順が確立されていませんでした。その結果、同じレベルの保護が必要な文書であっても、異なるラベルが付けられていました(機密文書とセンシティブ文書の2種類)。
すべての文書が電子的に保管されていたことを考慮すると、この不適合は媒体の取り扱いにも影響を与えていました。監査チームはサンプリング調査を行い、200枚のリムーバブルメディアのうち50枚に機密情報が誤って機密情報として分類されていたと結論付けました。情報分類スキームによれば、機密情報はリムーバブルメディアに保存できますが、機密情報の保存は厳しく禁止されています。これがもう一つの不適合となりました。
彼らは不適合報告書を起草し、監査の結論について EsBank の代表者と話し合いました。代表者は、検出された不適合に対する行動計画を 2 か月以内に提出することに同意しました。
EsBankは監査チームリーダーの提案した解決策を受け入れ、物理形式と電子形式の両方の分類体系に基づいた情報ラベル付け手順を策定することで不適合を解決しました。また、この手順に基づいてリムーバブルメディアの手順も更新されました。
監査完了から2週間後、EsBankは一般的な活動計画を提出しました。そこには、検出された不適合と実施された是正措置への対応が記載されていましたが、影響を受けたシステム、管理、または業務の詳細は記載されていませんでした。監査チームはこの活動計画を評価し、不適合は解決されると結論付けました。しかしながら、EsBankは認証取得にあたり、不利な勧告を受けました。
上記のシナリオに基づいて、次の質問に答えてください。
認証を推奨しない理由となる選択肢はどれですか? シナリオ 8 を参照してください。