ISO-IEC-27001-Lead-Auditor 試験問題 151
あなたは経験豊富なISMS監査チームのリーダーです。第三者によるサーベイランス監査の実施中に、被監査組織のISO/IEC 27001のリスク管理要件に関する知識をテストすることにしました。
あなたは彼女に、「それは正しい」か「それは間違いだ」と答える一連の質問をします。次の4つのうち、彼女が「それは正しい」と答えるべきものはどれですか?
あなたは彼女に、「それは正しい」か「それは間違いだ」と答える一連の質問をします。次の4つのうち、彼女が「それは正しい」と答えるべきものはどれですか?
ISO-IEC-27001-Lead-Auditor 試験問題 152
シナリオ5:データグリッド株式会社は、情報技術インフラ全体にわたるセキュリティサービスを提供する著名な企業です。エンドポイントセキュリティ、ファイアウォール、アンチウイルスソフトウェアなどのサイバーセキュリティソフトウェアを提供しています。20年にわたり、データグリッド株式会社は、高度な製品とサービスを通じて、様々な企業のネットワークセキュリティ確保を支援してきました。情報セキュリティおよびネットワークセキュリティ分野で高い評価を得てきたデータグリッド株式会社は、社内資産と顧客資産のセキュリティを強化し、競争優位性を獲得するために、ISO/IEC 27001認証を取得することを決定しました。
データグリッド株式会社は監査チームを任命し、監査契約条件について合意しました。さらに、データグリッド株式会社は監査範囲を明確化し、監査基準を明示し、5日以内に監査を終了することを提案しました。監査チームは、データグリッド株式会社の従業員数が多く、業務プロセスが複雑であるため、5日以内に監査を実施するという提案を却下しました。データグリッド株式会社は、5日以内に監査を完了する予定であると主張し、両者は定められた期間内に監査を実施することに合意しました。監査チームはリスクベースの監査アプローチを採用しました。
監査チームは、主要な業務プロセスと統制の概要を把握するために、プロセス記述書と組織図を参照しました。ITインフラストラクチャとアプリケーションへのアクセスが制限されていたため、ITリスクと統制についてより詳細な分析を行うことはできませんでした。しかし、監査チームは、データグリッド株式会社のプロセスの大部分が自動化されているため、同社のISMSに重大な欠陥が発生するリスクは低いと判断しました。そこで、データグリッド株式会社の担当者に以下の質問をすることで、ISMS全体が標準要件に準拠していると評価しました。
* IT および IT 制御の責任はどのように定義され、割り当てられていますか?
* Data Grid Inc. は、制御によって期待どおりの結果が得られたかどうかをどのように評価しますか?
* Data Grid Inc. では、悪意のあるソフトウェアから動作環境とデータを保護するためにどのような制御を実施していますか?
* ファイアウォール関連の制御は実装されていますか?
Data Grid Inc. の代表者は、これらすべての疑問に答える十分かつ適切な証拠を提供しました。
監査チームリーダーは監査結論を草案し、データグリッド株式会社の経営陣に報告しました。監査人からはデータグリッド株式会社への認証取得が推奨されていましたが、監査目的に関してデータグリッド株式会社と認証機関の間で誤解が生じました。データグリッド株式会社は、監査目的に改善の余地のある領域の特定が含まれていたにもかかわらず、監査チームがそのような情報を提供しなかったと述べています。
このシナリオに基づいて、次の質問に答えてください。
シナリオ5に基づき、監査チームは各プロセスの有効性と適合性を評価するのではなく、ISMS全体を評価しました。これは許容できますか?
データグリッド株式会社は監査チームを任命し、監査契約条件について合意しました。さらに、データグリッド株式会社は監査範囲を明確化し、監査基準を明示し、5日以内に監査を終了することを提案しました。監査チームは、データグリッド株式会社の従業員数が多く、業務プロセスが複雑であるため、5日以内に監査を実施するという提案を却下しました。データグリッド株式会社は、5日以内に監査を完了する予定であると主張し、両者は定められた期間内に監査を実施することに合意しました。監査チームはリスクベースの監査アプローチを採用しました。
監査チームは、主要な業務プロセスと統制の概要を把握するために、プロセス記述書と組織図を参照しました。ITインフラストラクチャとアプリケーションへのアクセスが制限されていたため、ITリスクと統制についてより詳細な分析を行うことはできませんでした。しかし、監査チームは、データグリッド株式会社のプロセスの大部分が自動化されているため、同社のISMSに重大な欠陥が発生するリスクは低いと判断しました。そこで、データグリッド株式会社の担当者に以下の質問をすることで、ISMS全体が標準要件に準拠していると評価しました。
* IT および IT 制御の責任はどのように定義され、割り当てられていますか?
* Data Grid Inc. は、制御によって期待どおりの結果が得られたかどうかをどのように評価しますか?
* Data Grid Inc. では、悪意のあるソフトウェアから動作環境とデータを保護するためにどのような制御を実施していますか?
* ファイアウォール関連の制御は実装されていますか?
Data Grid Inc. の代表者は、これらすべての疑問に答える十分かつ適切な証拠を提供しました。
監査チームリーダーは監査結論を草案し、データグリッド株式会社の経営陣に報告しました。監査人からはデータグリッド株式会社への認証取得が推奨されていましたが、監査目的に関してデータグリッド株式会社と認証機関の間で誤解が生じました。データグリッド株式会社は、監査目的に改善の余地のある領域の特定が含まれていたにもかかわらず、監査チームがそのような情報を提供しなかったと述べています。
このシナリオに基づいて、次の質問に答えてください。
シナリオ5に基づき、監査チームは各プロセスの有効性と適合性を評価するのではなく、ISMS全体を評価しました。これは許容できますか?
ISO-IEC-27001-Lead-Auditor 試験問題 153
情報の信頼性に破壊的な影響を及ぼす可能性のあるイベントは次のどれですか?
ISO-IEC-27001-Lead-Auditor 試験問題 154
機密性の高いファイルへのアクセスを許可されているのは誰ですか?
ISO-IEC-27001-Lead-Auditor 試験問題 155
不適合および法的要求事項や契約要求事項への不適合に関連するコストは、以下を定義する際に評価されます。