ISO-IEC-27001-Lead-Auditor 試験問題 141
第三者による監視監査を実施している最中に、監査チームの別のメンバーが説明を求めてあなたに連絡してきました。彼らは、組織の管理策5.7「脅威インテリジェンスの適用状況を評価するよう依頼されています。彼らは、これがISO/IEC 2022版で導入された新しい管理策の一つであることを認識しています。
27001 であり、コントロールが正しく監査されているかどうかを確認したいと考えています。
彼らは監査を支援するためのチェックリストを準備しており、計画された活動がコントロールの要件に準拠していることを確認してほしいと考えています。
次のオプションのうち、有効な監査証跡を表すものはどれですか。
27001 であり、コントロールが正しく監査されているかどうかを確認したいと考えています。
彼らは監査を支援するためのチェックリストを準備しており、計画された活動がコントロールの要件に準拠していることを確認してほしいと考えています。
次のオプションのうち、有効な監査証跡を表すものはどれですか。
ISO-IEC-27001-Lead-Auditor 試験問題 142
監査結果を説明する文を最も適切に完成させる単語を選択してください。
ISO-IEC-27001-Lead-Auditor 試験問題 143
情報セキュリティとは、 ________ を構築し、維持することです。
ISO-IEC-27001-Lead-Auditor 試験問題 144
シナリオ6:Sinvestmentは、住宅保険、商業保険、生命保険を提供する保険会社です。同社はノースカロライナ州で設立されましたが、近年ではヨーロッパやアフリカを含む他の地域にも事業を拡大しています。
Sinvestmentは、業界に適用される法令を遵守し、情報セキュリティインシデントの発生を防止することに尽力しています。ISO/IEC 27001に基づくISMSを導入し、ISO/IEC 27001認証を申請しています。
認証機関は2名の監査員を任命し、監査を実施しました。Sinvestment社との秘密保持契約を締結した後、監査活動を開始しました。まず、ISMS適用範囲の宣言、情報セキュリティポリシー、内部監査報告書など、規格で要求されている文書をレビューしました。Sinvestment社は文書化手順を整備していると主張していましたが、すべての文書のフォーマットが統一されていなかったため、レビュープロセスは容易ではありませんでした。
その後、監査チームはSinvestment社の経営幹部に対し、ISMS導入における役割を理解するため、複数回のインタビューを実施しました。第1段階の監査活動はすべてリモートで実施されましたが、文書化された情報のレビューはSinvestment社の要請によりオンサイトで実施されました。
この段階で、監査人は情報セキュリティ研修および意識向上プログラムに関する文書が存在しないことを発見しました。質問に対し、Sinvestment社の担当者は、同社は全従業員に情報セキュリティ研修を実施していると回答しました。第1段階の監査により、監査チームはSinvestment社の業務とISMSについて概観的な理解を得ることができました。
ステージ2監査は、ステージ1監査の3週間後に実施されました。監査チームは、監査範囲に含まれていなかったマーケティング部門に、従業員のアクセス権を管理する手順が整備されていないことを確認しました。従業員のアクセス権の管理はISO/IEC 27001の要件の一つであり、同社の情報セキュリティポリシーにも含まれていたため、この問題は監査報告書に記載されました。さらに、ステージ2監査中に、監査チームはSinvestment社がユーザーアクティビティのログを記録していないことを確認しました。
同社の手順書には「ユーザーの活動を記録したログは保存し、定期的に確認する必要がある」と記載されていたが、同社はそのような手順を実施した証拠を提示していなかった。
すべての監査活動において、監査人は観察、インタビュー、文書化された情報のレビュー、分析、そして技術的検証を通じて情報と証拠を収集しました。第1段階および第2段階におけるすべての監査所見を分析し、監査チームは認証取得を推奨することを決定しました。
上記のシナリオに基づいて、次の質問に答えてください。
監査チームは、Sinvestment社の要請に基づき、同社の文書化された情報を現地で確認しました。これは適切でしょうか?
Sinvestmentは、業界に適用される法令を遵守し、情報セキュリティインシデントの発生を防止することに尽力しています。ISO/IEC 27001に基づくISMSを導入し、ISO/IEC 27001認証を申請しています。
認証機関は2名の監査員を任命し、監査を実施しました。Sinvestment社との秘密保持契約を締結した後、監査活動を開始しました。まず、ISMS適用範囲の宣言、情報セキュリティポリシー、内部監査報告書など、規格で要求されている文書をレビューしました。Sinvestment社は文書化手順を整備していると主張していましたが、すべての文書のフォーマットが統一されていなかったため、レビュープロセスは容易ではありませんでした。
その後、監査チームはSinvestment社の経営幹部に対し、ISMS導入における役割を理解するため、複数回のインタビューを実施しました。第1段階の監査活動はすべてリモートで実施されましたが、文書化された情報のレビューはSinvestment社の要請によりオンサイトで実施されました。
この段階で、監査人は情報セキュリティ研修および意識向上プログラムに関する文書が存在しないことを発見しました。質問に対し、Sinvestment社の担当者は、同社は全従業員に情報セキュリティ研修を実施していると回答しました。第1段階の監査により、監査チームはSinvestment社の業務とISMSについて概観的な理解を得ることができました。
ステージ2監査は、ステージ1監査の3週間後に実施されました。監査チームは、監査範囲に含まれていなかったマーケティング部門に、従業員のアクセス権を管理する手順が整備されていないことを確認しました。従業員のアクセス権の管理はISO/IEC 27001の要件の一つであり、同社の情報セキュリティポリシーにも含まれていたため、この問題は監査報告書に記載されました。さらに、ステージ2監査中に、監査チームはSinvestment社がユーザーアクティビティのログを記録していないことを確認しました。
同社の手順書には「ユーザーの活動を記録したログは保存し、定期的に確認する必要がある」と記載されていたが、同社はそのような手順を実施した証拠を提示していなかった。
すべての監査活動において、監査人は観察、インタビュー、文書化された情報のレビュー、分析、そして技術的検証を通じて情報と証拠を収集しました。第1段階および第2段階におけるすべての監査所見を分析し、監査チームは認証取得を推奨することを決定しました。
上記のシナリオに基づいて、次の質問に答えてください。
監査チームは、Sinvestment社の要請に基づき、同社の文書化された情報を現地で確認しました。これは適切でしょうか?
ISO-IEC-27001-Lead-Auditor 試験問題 145
あなたは、データ センター クライアントのフォローアップ監査を実行するために認証機関によって任命された ISMS 監査チーム リーダーです。
ISO 19011:2018 によれば、フォローアップ監査の目的は次のどれを検証することでしょうか?
ISO 19011:2018 によれば、フォローアップ監査の目的は次のどれを検証することでしょうか?