ISO-IEC-27001-Lead-Auditor 試験問題 196
主要な監査プロセスとは、監査人が情報を収集し、発見事項の特徴を判断する方法です。このプロセスを完了するには、リストされているアクションを正しい順序で実行してください。最後のアクションはすでに実行されています。
ISO-IEC-27001-Lead-Auditor 試験問題 197
シナリオ3:NightCoreは、米国に拠点を置く多国籍テクノロジー企業で、eコマース、クラウドコンピューティング、デジタルストリーミング、人工知能(AI)に注力しています。情報セキュリティマネジメントシステム(ISMS)の導入から8ヶ月以上が経過した後、ISO/IEC 27001認証を取得するため、第三者監査を実施する認証機関と契約しました。
認証機関は7名の監査員チームを編成しました。最も経験豊富な監査員であるジャックが監査チームのリーダーに任命されました。彼は長年にわたり、ISO/IEC 27001主任監査員、CISA、CISSP、CISMなど、数々の著名な資格を取得しています。
ジャックは、ISMS監査の各フェーズで徹底的な分析を実施し、NightCore社が実装したすべての情報セキュリティ要件と管理策を調査・評価しました。第2段階の監査中に、ジャックは複数の不適合を検出しました。ソフトウェアライセンスの購入請求書の数とソフトウェアインベントリを比較した結果、会社が多くのコンピューターで違法バージョンのソフトウェアを使用していることが判明しました。彼は、経営陣にこの不適合について説明を求め、彼らがこのことを認識していたかどうかを確認することにしました。彼の次のステップは、NightCore社のIT部門を監査することでした。経営陣は、NightCore社のシステム管理者であるトムをガイド役として任命し、ジャックと監査チームをシステム内部の仕組みとデジタル資産インフラストラクチャへと案内しました。
監査役は財務部門の担当者にインタビューした際、会社が最近、コンサルタントの一人に対して異例の巨額取引を行っていたことを発見した。取引に関する必要な情報をすべて収集した後、ジャックは経営陣に直接インタビューすることを決意した。
最初の不適合について議論していた際、経営陣はジャックに対し、コピー版ソフトウェアの方が安価であるため、オリジナル版ではなく意図的にコピー版ソフトウェアを使用することを決定したと伝えました。ジャックはナイトコアの経営陣に対し、違法なバージョンのソフトウェアの使用はISO/IEC 27001の要件および国内法規制に違反することを説明しました。しかし、経営陣はそれを問題視していないようでした。
監査の数か月後、ジャックは監査中に収集した NightCore の情報の一部を NightCore の競合他社に多額の金額で売却しました。
このシナリオに基づいて、次の質問に答えてください。
ジャックはソフトウェアに関する最初の不適合を特定したとき、どのような種類の監査証拠を収集しましたか?シナリオ3を参照してください。
認証機関は7名の監査員チームを編成しました。最も経験豊富な監査員であるジャックが監査チームのリーダーに任命されました。彼は長年にわたり、ISO/IEC 27001主任監査員、CISA、CISSP、CISMなど、数々の著名な資格を取得しています。
ジャックは、ISMS監査の各フェーズで徹底的な分析を実施し、NightCore社が実装したすべての情報セキュリティ要件と管理策を調査・評価しました。第2段階の監査中に、ジャックは複数の不適合を検出しました。ソフトウェアライセンスの購入請求書の数とソフトウェアインベントリを比較した結果、会社が多くのコンピューターで違法バージョンのソフトウェアを使用していることが判明しました。彼は、経営陣にこの不適合について説明を求め、彼らがこのことを認識していたかどうかを確認することにしました。彼の次のステップは、NightCore社のIT部門を監査することでした。経営陣は、NightCore社のシステム管理者であるトムをガイド役として任命し、ジャックと監査チームをシステム内部の仕組みとデジタル資産インフラストラクチャへと案内しました。
監査役は財務部門の担当者にインタビューした際、会社が最近、コンサルタントの一人に対して異例の巨額取引を行っていたことを発見した。取引に関する必要な情報をすべて収集した後、ジャックは経営陣に直接インタビューすることを決意した。
最初の不適合について議論していた際、経営陣はジャックに対し、コピー版ソフトウェアの方が安価であるため、オリジナル版ではなく意図的にコピー版ソフトウェアを使用することを決定したと伝えました。ジャックはナイトコアの経営陣に対し、違法なバージョンのソフトウェアの使用はISO/IEC 27001の要件および国内法規制に違反することを説明しました。しかし、経営陣はそれを問題視していないようでした。
監査の数か月後、ジャックは監査中に収集した NightCore の情報の一部を NightCore の競合他社に多額の金額で売却しました。
このシナリオに基づいて、次の質問に答えてください。
ジャックはソフトウェアに関する最初の不適合を特定したとき、どのような種類の監査証拠を収集しましたか?シナリオ3を参照してください。
ISO-IEC-27001-Lead-Auditor 試験問題 198
監査にサンプリング計画を使用する利点は次のオプションのうちどれですか。
ISO-IEC-27001-Lead-Auditor 試験問題 199
あなたはISMS監査チームのリーダーとして、第三者によるサーベイランス監査後の最終会議の議長を務める準備をしています。現在、監査対象者と議論したいトピックをまとめた最終会議の議題を作成中です。
次のどれを含めるのが適切でしょうか?
次のどれを含めるのが適切でしょうか?
ISO-IEC-27001-Lead-Auditor 試験問題 200
あなたは経験豊富な ISMS 内部監査員です。
組織の予定されていた情報セキュリティ監査を完了したところ、IT マネージャーがあなたに連絡し、会社の適用性ステートメントの改訂に協力するよう依頼しました。
IT マネージャーは、ISO/IEC 27001:2013 に基づく適用性ステートメントを、ISO/IEC 27001:2022 にある 4 つの管理テーマ (組織的管理、人的管理、物理的管理、技術的管理) に沿ったステートメントに更新しようとしています。
ITマネージャーは、以下の例外を除き、コントロールの再割り当てに満足しています。彼は、以下の各コントロールが4つのコントロールカテゴリーのどのカテゴリーに分類されるべきかを尋ねています。
組織の予定されていた情報セキュリティ監査を完了したところ、IT マネージャーがあなたに連絡し、会社の適用性ステートメントの改訂に協力するよう依頼しました。
IT マネージャーは、ISO/IEC 27001:2013 に基づく適用性ステートメントを、ISO/IEC 27001:2022 にある 4 つの管理テーマ (組織的管理、人的管理、物理的管理、技術的管理) に沿ったステートメントに更新しようとしています。
ITマネージャーは、以下の例外を除き、コントロールの再割り当てに満足しています。彼は、以下の各コントロールが4つのコントロールカテゴリーのどのカテゴリーに分類されるべきかを尋ねています。
