ISO-IEC-27001-Lead-Auditor 試験問題 226
次の選択肢から、文を最も適切に完成させる単語を選択してください。
単語を使って文を完成させるには、完成させたい空白部分をクリックして赤くハイライト表示させ、下の選択肢から適用するテキストをクリックしてください。または、選択肢を適切な空白部分にドラッグ&ドロップすることもできます。
単語を使って文を完成させるには、完成させたい空白部分をクリックして赤くハイライト表示させ、下の選択肢から適用するテキストをクリックしてください。または、選択肢を適切な空白部分にドラッグ&ドロップすることもできます。
ISO-IEC-27001-Lead-Auditor 試験問題 227
シナリオ5:ロンドンに拠点を置く保険会社Cobtは、商業保険、産業保険、生命保険など、様々なソリューションを提供しています。近年、Cobtの顧客数は飛躍的に増加しています。処理すべきデータ量が膨大であることから、同社はISO/IEC 27001認証を取得することが、情報セキュリティの確保に多くのメリットをもたらし、継続的な改善への取り組みを示すことに繋がると判断しました。同社は既に定期的なリスク評価の実施に精通していましたが、ISMSの導入により、日常業務に大きな変化がもたらされました。リスク評価プロセスにおいて、組織の内部統制メカニズムでは検知または防止できない重大な欠陥が発生するリスクが特定されました。
同社は、ISMS を実装する方法論に従い、わずか数か月で運用可能な ISMS を導入しました。ISMS の実装に成功した後、Cobt は ISO/IEC 27001 認証を申請しました。経験豊富な監査人の Sarah が監査に割り当てられました。監査の提案を徹底的に分析した後、Sarah は監査チーム リーダーとしての責任を受け入れ、すぐに Cobt に関する一般情報の収集を開始しました。彼女は監査の基準と目的を確立し、監査を計画し、監査チーム メンバーの責任を割り当てました。
サラは、Cobt が多様な商業および保険ソリューションを提供することで大幅に拡大したものの、まだ一部の手動プロセスに依存していることを認めた。そのため、彼女の最初の焦点は、会社が情報セキュリティ リスクをどのように管理しているかについての情報を収集することだった。サラは、監査の一部として当初合意されていたように、オフサイト レビューのためにリスク管理に関連する情報へのアクセスを要請するために Cobt の担当者に連絡した。しかし、Cobt は後に、そのような情報は社外からアクセスするには機密性が高いと主張して拒否した。この拒否により、監査の実行可能性、特に監査対象者の可用性と協力、証拠へのアクセスに関して懸念が生じた。さらに、Cobt は監査スケジュールについて懸念を表明し、会社が行った最近の変更が適切に反映されていないと述べた。監査中に実行されるアクションは最初の範囲のみに適用され、監査範囲に加えられた最新の変更は網羅していないと指摘した。サラはまた、監査目的に対して拒否された情報の重要性を考慮して、状況の重要性を評価した。このケースでは、Cobtによる拒否により、監査の網羅性と合理的保証の提供能力に疑問が生じました。これらの状況を受けて、サラは認証契約の締結前に監査を辞退することを決定し、Cobtと認証機関にその旨を伝えました。この決定は、監査原則の遵守と透明性の維持を確実なものとし、これらの原則を一貫して遵守するというサラのコミットメントを強調するために行われました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ 5 で説明されているサラの役割に基づいて、次のどれが彼女の責任の一部ではないでしょうか。
同社は、ISMS を実装する方法論に従い、わずか数か月で運用可能な ISMS を導入しました。ISMS の実装に成功した後、Cobt は ISO/IEC 27001 認証を申請しました。経験豊富な監査人の Sarah が監査に割り当てられました。監査の提案を徹底的に分析した後、Sarah は監査チーム リーダーとしての責任を受け入れ、すぐに Cobt に関する一般情報の収集を開始しました。彼女は監査の基準と目的を確立し、監査を計画し、監査チーム メンバーの責任を割り当てました。
サラは、Cobt が多様な商業および保険ソリューションを提供することで大幅に拡大したものの、まだ一部の手動プロセスに依存していることを認めた。そのため、彼女の最初の焦点は、会社が情報セキュリティ リスクをどのように管理しているかについての情報を収集することだった。サラは、監査の一部として当初合意されていたように、オフサイト レビューのためにリスク管理に関連する情報へのアクセスを要請するために Cobt の担当者に連絡した。しかし、Cobt は後に、そのような情報は社外からアクセスするには機密性が高いと主張して拒否した。この拒否により、監査の実行可能性、特に監査対象者の可用性と協力、証拠へのアクセスに関して懸念が生じた。さらに、Cobt は監査スケジュールについて懸念を表明し、会社が行った最近の変更が適切に反映されていないと述べた。監査中に実行されるアクションは最初の範囲のみに適用され、監査範囲に加えられた最新の変更は網羅していないと指摘した。サラはまた、監査目的に対して拒否された情報の重要性を考慮して、状況の重要性を評価した。このケースでは、Cobtによる拒否により、監査の網羅性と合理的保証の提供能力に疑問が生じました。これらの状況を受けて、サラは認証契約の締結前に監査を辞退することを決定し、Cobtと認証機関にその旨を伝えました。この決定は、監査原則の遵守と透明性の維持を確実なものとし、これらの原則を一貫して遵守するというサラのコミットメントを強調するために行われました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ 5 で説明されているサラの役割に基づいて、次のどれが彼女の責任の一部ではないでしょうか。
ISO-IEC-27001-Lead-Auditor 試験問題 228
シナリオ 1: Fintive は、オンライン決済および保護ソリューションの著名なセキュリティ プロバイダーです。1999 年にカリフォルニア州サンノゼで Thomas Fin によって設立された Fintive は、オンラインで事業を展開し、情報セキュリティの向上、詐欺の防止、PII などのユーザー情報の保護を望む企業にサービスを提供しています。 Fintive は、過去の事例に基づいた意思決定と運用プロセスに重点を置いています。顧客データを収集し、ケースに応じて分類して分析します。このような複雑な分析を実行するには、多くの従業員が必要でした。しかし、数年後、このような分析の実施を支援するテクノロジーも進歩しました。現在、Fintive は、チャットボットという最新ツールを使用して、リアルタイムで詐欺を防止するためのパターン分析を実現することを計画しています。このツールは、顧客サービスの向上にも役立ちます。
この最初のアイデアはソフトウェア開発チームに伝えられ、彼らはそれを支持してこのプロジェクトの作業に携わりました。彼らはチャットボットを既存のシステムに統合し始めました。さらに、チームはチャットボットに関して、チャットクエリの85%に回答するという目標を設定しました。
チャットボットの導入が成功した後、同社はすぐに顧客にリリースしました。しかし、チャットボットにはいくつかの問題があるようでした。
チャットボットが問い合わせパターンを「学習」するはずのトレーニングフェーズにおいて、テストが不十分でサンプルが提供されなかったため、チャットボットはユーザーの問い合わせに適切な回答を提供できませんでした。さらに、奇妙なドットパターンや特殊文字などの無効な入力を受け取った場合、チャットボットはユーザーにランダムなファイルを送信していました。その結果、チャットボットは顧客の問い合わせに適切に回答できず、従来のカスタマーサポートはチャットでの問い合わせに圧倒され、顧客のリクエストに対応できませんでした。
そのため、Fintiveはソフトウェア開発ポリシーを策定しました。このポリシーでは、ソフトウェアが社内開発か外部委託かを問わず、運用システムへの実装前にブラックボックステストを実施することが規定されています。
このシナリオに基づいて、次の質問に答えてください。
チャットボットはユーザーの質問に適切な回答を提供するために、質問パターンを「学習」するはずでした。これはどのような技術によって実現されているのでしょうか?
この最初のアイデアはソフトウェア開発チームに伝えられ、彼らはそれを支持してこのプロジェクトの作業に携わりました。彼らはチャットボットを既存のシステムに統合し始めました。さらに、チームはチャットボットに関して、チャットクエリの85%に回答するという目標を設定しました。
チャットボットの導入が成功した後、同社はすぐに顧客にリリースしました。しかし、チャットボットにはいくつかの問題があるようでした。
チャットボットが問い合わせパターンを「学習」するはずのトレーニングフェーズにおいて、テストが不十分でサンプルが提供されなかったため、チャットボットはユーザーの問い合わせに適切な回答を提供できませんでした。さらに、奇妙なドットパターンや特殊文字などの無効な入力を受け取った場合、チャットボットはユーザーにランダムなファイルを送信していました。その結果、チャットボットは顧客の問い合わせに適切に回答できず、従来のカスタマーサポートはチャットでの問い合わせに圧倒され、顧客のリクエストに対応できませんでした。
そのため、Fintiveはソフトウェア開発ポリシーを策定しました。このポリシーでは、ソフトウェアが社内開発か外部委託かを問わず、運用システムへの実装前にブラックボックステストを実施することが規定されています。
このシナリオに基づいて、次の質問に答えてください。
チャットボットはユーザーの質問に適切な回答を提供するために、質問パターンを「学習」するはずでした。これはどのような技術によって実現されているのでしょうか?
ISO-IEC-27001-Lead-Auditor 試験問題 229
あなたは、研修中の監査人を指導する経験豊富な監査チーム リーダーです。
あなたのチームは現在、外部クライアントに代わってデータを保管する組織に対し、第三者による監視監査を実施しています。研修中の監査員は、適用性声明(SoA)に記載され、現場で実施されている人事管理(PEOPLE Controls)のレビューを任されています。
トレーニング中の監査人が確認する必要があると思われるコントロールを次の中から 4 つ選択します。
あなたのチームは現在、外部クライアントに代わってデータを保管する組織に対し、第三者による監視監査を実施しています。研修中の監査員は、適用性声明(SoA)に記載され、現場で実施されている人事管理(PEOPLE Controls)のレビューを任されています。
トレーニング中の監査人が確認する必要があると思われるコントロールを次の中から 4 つ選択します。
ISO-IEC-27001-Lead-Auditor 試験問題 230
医療サービスを提供する居住型介護施設でISMS監査を実施しています。監査計画の次のステップは、事業継続管理プロセスの情報セキュリティを検証することです。監査中に、施設が最近のパンデミックの間も介護サービスを継続するために、事業継続計画(BCP)の1つを発動していたことがわかりました。サービスマネージャーに、施設が事業継続管理プロセスにおいてどのように情報セキュリティを管理しているか説明を求めます。
サービス マネージャーは、パンデミック時の看護サービス継続計画を提示し、そのプロセスを次のように要約しました。
新規居住者の受け入れを停止します。
管理スタッフの70%と医療スタッフの30%が在宅勤務となります。
スタッフは定期的に自己検査を実施し、出社前日に陰性の検査報告書を提出します。
ABC のヘルスケア モバイル アプリをインストールして、フットプリントを追跡し、その場で確認するための GREEN 健康状態 QR コードを提示します。
サービスマネージャーに、スタッフが在宅勤務する際に、関係のない家族や関係者が入居者の個人データにアクセスできないようにするにはどうすればよいか尋ねました。サービスマネージャーは回答できず、ITセキュリティマネージャーに支援を依頼しました。
より多くの監査証拠を収集するために、他の領域をさらに調査したいと考えています。監査証跡に残さない選択肢を3つ選択してください。
サービス マネージャーは、パンデミック時の看護サービス継続計画を提示し、そのプロセスを次のように要約しました。
新規居住者の受け入れを停止します。
管理スタッフの70%と医療スタッフの30%が在宅勤務となります。
スタッフは定期的に自己検査を実施し、出社前日に陰性の検査報告書を提出します。
ABC のヘルスケア モバイル アプリをインストールして、フットプリントを追跡し、その場で確認するための GREEN 健康状態 QR コードを提示します。
サービスマネージャーに、スタッフが在宅勤務する際に、関係のない家族や関係者が入居者の個人データにアクセスできないようにするにはどうすればよいか尋ねました。サービスマネージャーは回答できず、ITセキュリティマネージャーに支援を依頼しました。
より多くの監査証拠を収集するために、他の領域をさらに調査したいと考えています。監査証跡に残さない選択肢を3つ選択してください。