ISO-IEC-27001-Lead-Auditor 試験問題 176
シナリオ8:EsBankは9月からエストニアの銀行部門に銀行業務および金融ソリューションを提供しています。
同社は2010年、全国に30の支店と100台以上のATMを展開している。
規制の厳しい業界で事業を展開するEsBankは、データのセキュリティとプライバシーに関する多くの法律や規制を遵守する必要があります。技術的および非技術的な管理策を実施することで、業務全体にわたって情報セキュリティを管理する必要があります。EsBankは、ISO/IECに基づくISMSを導入することを決定しました。
27001 は、セキュリティの強化、リスク管理の強化、法律や規制の主要要件への準拠を実現したためです。
ISMS の導入が成功してから 9 か月後、EsBank は、独立した認証機関による ISO/IEC 27001 に準拠した ISMS の認証を取得することを決定しました。認証監査には、EsBank のすべてのシステム、プロセス、テクノロジーが含まれていました。
ステージ1とステージ2の監査は共同で実施され、複数の不適合が検出されました。最初の不適合は、EsBankの情報ラベル付けに関するものでした。同社は情報分類スキームを保有していましたが、ラベル付け手順が確立されていませんでした。その結果、同じレベルの保護が必要な文書であっても、異なるラベルが付けられていました(機密文書とセンシティブ文書の2種類)。
すべての文書が電子的に保管されていたことを考慮すると、この不適合は媒体の取り扱いにも影響を与えていました。監査チームはサンプリング調査を行い、200枚のリムーバブルメディアのうち50枚に機密情報が誤って機密情報として分類されていたと結論付けました。情報分類スキームによれば、機密情報はリムーバブルメディアに保存できますが、機密情報の保存は厳しく禁止されています。これがもう一つの不適合となりました。
彼らは不適合報告書を起草し、監査の結論について EsBank の代表者と話し合いました。代表者は、検出された不適合に対する行動計画を 2 か月以内に提出することに同意しました。
EsBankは監査チームリーダーの提案した解決策を受け入れ、物理形式と電子形式の両方の分類体系に基づいた情報ラベル付け手順を策定することで不適合を解決しました。また、この手順に基づいてリムーバブルメディアの手順も更新されました。
監査完了から2週間後、EsBankは一般的な行動計画を提出しました。そこには、検出された不適合と実施された是正措置への対応が記載されていましたが、影響を受けたシステム、管理、または業務に関する詳細は記載されていませんでした。監査チームはこの行動計画を評価し、不適合は解決されると結論付けました。しかしながら、EsBankは認証取得にあたり、不利な勧告を受けました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ8によると、監査チームはアクションプランを評価し、検出された不適合は解決されると結論付けました。これは受け入れられますか?
同社は2010年、全国に30の支店と100台以上のATMを展開している。
規制の厳しい業界で事業を展開するEsBankは、データのセキュリティとプライバシーに関する多くの法律や規制を遵守する必要があります。技術的および非技術的な管理策を実施することで、業務全体にわたって情報セキュリティを管理する必要があります。EsBankは、ISO/IECに基づくISMSを導入することを決定しました。
27001 は、セキュリティの強化、リスク管理の強化、法律や規制の主要要件への準拠を実現したためです。
ISMS の導入が成功してから 9 か月後、EsBank は、独立した認証機関による ISO/IEC 27001 に準拠した ISMS の認証を取得することを決定しました。認証監査には、EsBank のすべてのシステム、プロセス、テクノロジーが含まれていました。
ステージ1とステージ2の監査は共同で実施され、複数の不適合が検出されました。最初の不適合は、EsBankの情報ラベル付けに関するものでした。同社は情報分類スキームを保有していましたが、ラベル付け手順が確立されていませんでした。その結果、同じレベルの保護が必要な文書であっても、異なるラベルが付けられていました(機密文書とセンシティブ文書の2種類)。
すべての文書が電子的に保管されていたことを考慮すると、この不適合は媒体の取り扱いにも影響を与えていました。監査チームはサンプリング調査を行い、200枚のリムーバブルメディアのうち50枚に機密情報が誤って機密情報として分類されていたと結論付けました。情報分類スキームによれば、機密情報はリムーバブルメディアに保存できますが、機密情報の保存は厳しく禁止されています。これがもう一つの不適合となりました。
彼らは不適合報告書を起草し、監査の結論について EsBank の代表者と話し合いました。代表者は、検出された不適合に対する行動計画を 2 か月以内に提出することに同意しました。
EsBankは監査チームリーダーの提案した解決策を受け入れ、物理形式と電子形式の両方の分類体系に基づいた情報ラベル付け手順を策定することで不適合を解決しました。また、この手順に基づいてリムーバブルメディアの手順も更新されました。
監査完了から2週間後、EsBankは一般的な行動計画を提出しました。そこには、検出された不適合と実施された是正措置への対応が記載されていましたが、影響を受けたシステム、管理、または業務に関する詳細は記載されていませんでした。監査チームはこの行動計画を評価し、不適合は解決されると結論付けました。しかしながら、EsBankは認証取得にあたり、不利な勧告を受けました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ8によると、監査チームはアクションプランを評価し、検出された不適合は解決されると結論付けました。これは受け入れられますか?
ISO-IEC-27001-Lead-Auditor 試験問題 177
シナリオ 1: Fintive は、オンライン決済および保護ソリューションの著名なセキュリティ プロバイダーです。1999 年にカリフォルニア州サンノゼで Thomas Fin によって設立された Fintive は、オンラインで事業を展開し、情報セキュリティの向上、詐欺の防止、PII などのユーザー情報の保護を望む企業にサービスを提供しています。 Fintive は、過去の事例に基づいた意思決定と運用プロセスに重点を置いています。顧客データを収集し、ケースに応じて分類して分析します。このような複雑な分析を実行するには、多くの従業員が必要でした。しかし、数年後、このような分析の実施を支援するテクノロジーも進歩しました。現在、Fintive は、チャットボットという最新ツールを使用して、リアルタイムで詐欺を防止するためのパターン分析を実現することを計画しています。このツールは、顧客サービスの向上にも役立ちます。
この最初のアイデアはソフトウェア開発チームに伝えられ、彼らはそれを支持してこのプロジェクトの作業に携わりました。彼らはチャットボットを既存のシステムに統合し始めました。さらに、チームはチャットボットに関して、チャットクエリの85%に回答するという目標を設定しました。
チャットボットの統合が成功した後、同社はすぐにそれを顧客にリリースして使用できるようにしました。
しかし、チャットボットにはいくつかの問題があるようです。
チャットボットが問い合わせパターンを「学習」するはずのトレーニングフェーズにおいて、テストが不十分でサンプルが提供されなかったため、チャットボットはユーザーの問い合わせに適切な回答を提供できませんでした。さらに、奇妙なドットパターンや特殊文字などの無効な入力を受け取った場合、チャットボットはユーザーにランダムなファイルを送信していました。その結果、チャットボットは顧客の問い合わせに適切に回答できず、従来のカスタマーサポートはチャットでの問い合わせに圧倒され、顧客のリクエストに対応できませんでした。
そのため、Fintiveはソフトウェア開発ポリシーを策定しました。このポリシーでは、ソフトウェアが社内開発か外部委託かを問わず、運用システムへの実装前にブラックボックステストを実施することが規定されています。
このシナリオに基づいて、次の質問に答えてください。
チャットボットは、ユーザーのクエリに対応して正しい回答を提供するために、クエリパターンを「学習」することになっていました。
どのような技術が
これ?
この最初のアイデアはソフトウェア開発チームに伝えられ、彼らはそれを支持してこのプロジェクトの作業に携わりました。彼らはチャットボットを既存のシステムに統合し始めました。さらに、チームはチャットボットに関して、チャットクエリの85%に回答するという目標を設定しました。
チャットボットの統合が成功した後、同社はすぐにそれを顧客にリリースして使用できるようにしました。
しかし、チャットボットにはいくつかの問題があるようです。
チャットボットが問い合わせパターンを「学習」するはずのトレーニングフェーズにおいて、テストが不十分でサンプルが提供されなかったため、チャットボットはユーザーの問い合わせに適切な回答を提供できませんでした。さらに、奇妙なドットパターンや特殊文字などの無効な入力を受け取った場合、チャットボットはユーザーにランダムなファイルを送信していました。その結果、チャットボットは顧客の問い合わせに適切に回答できず、従来のカスタマーサポートはチャットでの問い合わせに圧倒され、顧客のリクエストに対応できませんでした。
そのため、Fintiveはソフトウェア開発ポリシーを策定しました。このポリシーでは、ソフトウェアが社内開発か外部委託かを問わず、運用システムへの実装前にブラックボックステストを実施することが規定されています。
このシナリオに基づいて、次の質問に答えてください。
チャットボットは、ユーザーのクエリに対応して正しい回答を提供するために、クエリパターンを「学習」することになっていました。
どのような技術が
これ?
ISO-IEC-27001-Lead-Auditor 試験問題 178
シナリオ5:ロンドンに拠点を置く保険会社Cobtは、商業保険、産業保険、生命保険など、様々なソリューションを提供しています。近年、Cobtの顧客数は飛躍的に増加しています。処理すべきデータ量が膨大であることから、同社はISO/IEC 27001認証を取得することが、情報セキュリティの確保に多くのメリットをもたらし、継続的な改善への取り組みを示すことに繋がると判断しました。同社は既に定期的なリスク評価の実施に精通していましたが、ISMSの導入により、日常業務に大きな変化がもたらされました。リスク評価プロセスにおいて、組織の内部統制メカニズムでは検知または防止できない重大な欠陥が発生するリスクが特定されました。
同社は、ISMS を実装する方法論に従い、わずか数か月で運用可能な ISMS を導入しました。ISMS の実装に成功した後、Cobt は ISO/IEC 27001 認証を申請しました。経験豊富な監査人の Sarah が監査に割り当てられました。監査の提案を徹底的に分析した後、Sarah は監査チーム リーダーとしての責任を受け入れ、すぐに Cobt に関する一般情報の収集を開始しました。彼女は監査の基準と目的を確立し、監査を計画し、監査チーム メンバーの責任を割り当てました。
サラは、Cobt が多様な商業および保険ソリューションを提供することで大幅に拡大したものの、まだ一部の手動プロセスに依存していることを認めた。そのため、彼女の最初の焦点は、会社が情報セキュリティ リスクをどのように管理しているかについての情報を収集することだった。サラは、監査の一部として当初合意されていたように、オフサイト レビューのためにリスク管理に関連する情報へのアクセスを要請するために Cobt の担当者に連絡した。しかし、Cobt は後に、そのような情報は社外からアクセスするには機密性が高いと主張して拒否した。この拒否により、監査の実行可能性、特に監査対象者の可用性と協力、証拠へのアクセスに関して懸念が生じた。さらに、Cobt は監査スケジュールについて懸念を表明し、会社が行った最近の変更が適切に反映されていないと述べた。監査中に実行されるアクションは最初の範囲のみに適用され、監査範囲に加えられた最新の変更は網羅していないと指摘した。サラはまた、監査目的に対して拒否された情報の重要性を考慮して、状況の重要性を評価した。このケースでは、Cobtによる拒否により、監査の網羅性と合理的保証の提供能力に疑問が生じました。これらの状況を受けて、サラは認証契約の締結前に監査を辞退することを決定し、Cobtと認証機関にその旨を伝えました。この決定は、監査原則の遵守と透明性の維持を確実なものとし、これらの原則を一貫して遵守するというサラのコミットメントを強調するために行われました。
上記のシナリオに基づいて、次の質問に答えてください。
前回のリスク評価で Cobt はどのような種類のリスクを特定しましたか?
同社は、ISMS を実装する方法論に従い、わずか数か月で運用可能な ISMS を導入しました。ISMS の実装に成功した後、Cobt は ISO/IEC 27001 認証を申請しました。経験豊富な監査人の Sarah が監査に割り当てられました。監査の提案を徹底的に分析した後、Sarah は監査チーム リーダーとしての責任を受け入れ、すぐに Cobt に関する一般情報の収集を開始しました。彼女は監査の基準と目的を確立し、監査を計画し、監査チーム メンバーの責任を割り当てました。
サラは、Cobt が多様な商業および保険ソリューションを提供することで大幅に拡大したものの、まだ一部の手動プロセスに依存していることを認めた。そのため、彼女の最初の焦点は、会社が情報セキュリティ リスクをどのように管理しているかについての情報を収集することだった。サラは、監査の一部として当初合意されていたように、オフサイト レビューのためにリスク管理に関連する情報へのアクセスを要請するために Cobt の担当者に連絡した。しかし、Cobt は後に、そのような情報は社外からアクセスするには機密性が高いと主張して拒否した。この拒否により、監査の実行可能性、特に監査対象者の可用性と協力、証拠へのアクセスに関して懸念が生じた。さらに、Cobt は監査スケジュールについて懸念を表明し、会社が行った最近の変更が適切に反映されていないと述べた。監査中に実行されるアクションは最初の範囲のみに適用され、監査範囲に加えられた最新の変更は網羅していないと指摘した。サラはまた、監査目的に対して拒否された情報の重要性を考慮して、状況の重要性を評価した。このケースでは、Cobtによる拒否により、監査の網羅性と合理的保証の提供能力に疑問が生じました。これらの状況を受けて、サラは認証契約の締結前に監査を辞退することを決定し、Cobtと認証機関にその旨を伝えました。この決定は、監査原則の遵守と透明性の維持を確実なものとし、これらの原則を一貫して遵守するというサラのコミットメントを強調するために行われました。
上記のシナリオに基づいて、次の質問に答えてください。
前回のリスク評価で Cobt はどのような種類のリスクを特定しましたか?
ISO-IEC-27001-Lead-Auditor 試験問題 179
あなたは監査チームのリーダーとして、モバイル通信事業者の第三者監査を終えたばかりです。監査報告書を作成中で、「機密保持」というセクションを終えようとしています。
あなたのチームで研修中の監査人が、機密レポートを第三者に公開できる状況があるかどうかを尋ねます。
次の回答のうち、間違っているものはどれですか?
あなたのチームで研修中の監査人が、機密レポートを第三者に公開できる状況があるかどうかを尋ねます。
次の回答のうち、間違っているものはどれですか?
ISO-IEC-27001-Lead-Auditor 試験問題 180
第三者認証監査の文脈において、機密保持は監査プログラムにおける課題です。監査における機密保持の機能を正しく述べている選択肢を2つ選択してください。