ISO-IEC-27001-Lead-Auditor 試験問題 261
シナリオ4:SendPayは、代理店と金融機関のネットワークを通じてサービスを提供する金融会社です。主要サービスの一つは、国際送金です。新興企業であるSendPayは、顧客に最高品質のサービスを提供することを目指しています。国際取引を提供するため、顧客からは身元、取引理由、取引完了に必要なその他の詳細情報などの個人情報の提供を求めています。そのため、SendPayは、発生する可能性のある情報セキュリティ上の脅威の検出、調査、対応など、顧客情報を保護するためのセキュリティ対策を実施しています。安全なサービス提供へのコミットメントは、ISMSの導入にも反映されており、同社は多くの時間とリソースを投入しています。
SendPayは昨年、スマートフォンやノートパソコンなどの電子機器を通じて追加料金なしで送金できるデジタルプラットフォームを発表しました。このプラットフォームを通じて、SendPayの顧客はいつでもどこからでも送金と受け取りが可能です。このデジタルプラットフォームは、SendPayの業務を簡素化し、事業のさらなる拡大に貢献しました。当時、SendPayはソフトウェア運用をアウトソーシングしていたため、このプロジェクトはアウトソーシング先のソフトウェア開発チームによって完了しました。
同じチームが SendPay の技術インフラストラクチャの保守も担当していました。
同社はISMS導入からほぼ1年を経て、最近ISO/IEC 27001認証の申請を行いました。同社は自社の基準に適合する認証機関と契約を結びました。その後まもなく、認証機関は4名の監査員チームを任命し、SendPayのISMS監査を行いました。
監査中には、とりわけ以下の状況が観察されました。
1. アウトソーシング先のソフトウェア会社がSendPayとの契約を事前の通知なく解除した。その結果、SendPayはサービスを直ちに社内に戻すことができず、5日間業務が中断された。監査役はSendPayの担当者に対し、契約解除の場合に講じるべき計画があることの証拠を提示するよう求めた。担当者は証拠書類を提出しなかったが、インタビューの中で、SendPayの経営陣が、同様の事態が再び発生した場合に即座にサービスを提供できる他の2社のソフトウェア開発会社を特定したと監査役に語った。
2. ソフトウェア開発会社に外注された業務の監視に関する証拠は存在しませんでした。SendPayの担当者は、監査人に対し、ソフトウェア開発会社と定期的に連絡を取り合っており、発生する可能性のある変更について適切に報告を受けていると述べました。
3. ファイアウォールテストでは不適合は発見されませんでした。監査人は、これらのサービスが提供するセキュリティレベルを判断するために、ファイアウォール設定をテストしました。ファイアウォールポリシーのテストにはパケットアナライザーを使用し、送受信されたパケットをリアルタイムで確認しました。
このシナリオに基づいて、次の質問に答えてください。
SendPay は契約終了後、なぜサービスを社内で復旧できなかったのでしょうか? シナリオ 4 を参照してください。
SendPayは昨年、スマートフォンやノートパソコンなどの電子機器を通じて追加料金なしで送金できるデジタルプラットフォームを発表しました。このプラットフォームを通じて、SendPayの顧客はいつでもどこからでも送金と受け取りが可能です。このデジタルプラットフォームは、SendPayの業務を簡素化し、事業のさらなる拡大に貢献しました。当時、SendPayはソフトウェア運用をアウトソーシングしていたため、このプロジェクトはアウトソーシング先のソフトウェア開発チームによって完了しました。
同じチームが SendPay の技術インフラストラクチャの保守も担当していました。
同社はISMS導入からほぼ1年を経て、最近ISO/IEC 27001認証の申請を行いました。同社は自社の基準に適合する認証機関と契約を結びました。その後まもなく、認証機関は4名の監査員チームを任命し、SendPayのISMS監査を行いました。
監査中には、とりわけ以下の状況が観察されました。
1. アウトソーシング先のソフトウェア会社がSendPayとの契約を事前の通知なく解除した。その結果、SendPayはサービスを直ちに社内に戻すことができず、5日間業務が中断された。監査役はSendPayの担当者に対し、契約解除の場合に講じるべき計画があることの証拠を提示するよう求めた。担当者は証拠書類を提出しなかったが、インタビューの中で、SendPayの経営陣が、同様の事態が再び発生した場合に即座にサービスを提供できる他の2社のソフトウェア開発会社を特定したと監査役に語った。
2. ソフトウェア開発会社に外注された業務の監視に関する証拠は存在しませんでした。SendPayの担当者は、監査人に対し、ソフトウェア開発会社と定期的に連絡を取り合っており、発生する可能性のある変更について適切に報告を受けていると述べました。
3. ファイアウォールテストでは不適合は発見されませんでした。監査人は、これらのサービスが提供するセキュリティレベルを判断するために、ファイアウォール設定をテストしました。ファイアウォールポリシーのテストにはパケットアナライザーを使用し、送受信されたパケットをリアルタイムで確認しました。
このシナリオに基づいて、次の質問に答えてください。
SendPay は契約終了後、なぜサービスを社内で復旧できなかったのでしょうか? シナリオ 4 を参照してください。
ISO-IEC-27001-Lead-Auditor 試験問題 262
システムへのアクセスを許可するプロセスのどの部分でユーザーはトークンを提示しますか?
ISO-IEC-27001-Lead-Auditor 試験問題 263
あなたは、研修中の監査員を指導する経験豊富なISMS監査チームリーダーです。あなたのチームは、モバイル通信事業者に対する第三者監査(サーベイランス)を終えたばかりです。研修中の監査員から、最終会議に向けてどのように準備するつもりかと尋ねられました。以下の4つの回答のうち、適切なものはどれですか?
ISO-IEC-27001-Lead-Auditor 試験問題 264
予測分析は、監査人が潜在的なリスクを特定する際にどのように役立ちますか?
ISO-IEC-27001-Lead-Auditor 試験問題 265
シナリオ:
Northstormは、個性的なヴィンテージとモダンなアクセサリーを提供するオンライン小売店です。当初は小規模な市場に参入しましたが、eコマース市場全体の発展に伴い、徐々に成長を遂げてきました。Northstormはオンラインのみでの販売を専門とし、効率的な決済処理、在庫管理、マーケティングツール、そして出荷指示を実現しています。また、人気商品の入荷、補充、発送には優先発注を採用しています。
Northstormは従来、ウェブサイトをホスティングし、ハードウェア、ソフトウェア、データ管理を含むインフラストラクチャを完全に管理することでIT運用を管理してきました。しかし、このアプローチは、対応力の高いインフラストラクチャの欠如により成長を阻害していました。eコマースと決済システムの強化を目指し、Northstormは社内データセンターの拡張を選択し、3ヶ月かけて2段階に分けて拡張を完了しました。まず、コアサーバー、POS、発注、請求、データベース、バックアップシステムをアップグレードしました。第2段階では、メール、決済、ネットワーク機能の改善を行いました。さらに、この段階でNorthstormは、個人識別情報(PII)処理に関する国際標準規格を採用し、データ処理の安全性を確保し、国際的な規制に準拠しました。
拡張にもかかわらず、Northstormのデータセンターのアップグレードは、進化するビジネスニーズに対応できませんでした。この不十分さが、注文の優先順位付けに関する問題など、いくつかの新たな課題につながりました。顧客からは優先注文が届かないという報告があり、同社は応答性に問題を抱えていました。これは主に、注文の優先順位付けと顧客とのやり取りをシミュレートするアプリケーション「YouDecide」からの注文をメインサーバーが処理できなかったことに起因していました。高度なアルゴリズムに依存するこのアプリケーションは、アップグレード中にインストールされた新しいオペレーティングシステム(OS)と互換性がありませんでした。
緊急の互換性問題に直面したNorthstorm社は、適切な検証を行わずにアプリケーションにパッチを急いで適用したため、脆弱性のあるバージョンがインストールされてしまいました。このセキュリティ上の欠陥により、メインサーバーが影響を受け、同社のウェブサイトは1週間オフラインになりました。より信頼性の高いソリューションの必要性を認識した同社は、ウェブサイトのホスティングをeコマースプロバイダーにアウトソーシングすることを決定しました。同社は移行前に、製品の所有権に関する秘密保持契約を締結し、セキュリティ強化のためユーザーアクセス権の徹底的な見直しを実施しました。
シナリオ 1 に基づいた予防管理は次のどれですか。
Northstormは、個性的なヴィンテージとモダンなアクセサリーを提供するオンライン小売店です。当初は小規模な市場に参入しましたが、eコマース市場全体の発展に伴い、徐々に成長を遂げてきました。Northstormはオンラインのみでの販売を専門とし、効率的な決済処理、在庫管理、マーケティングツール、そして出荷指示を実現しています。また、人気商品の入荷、補充、発送には優先発注を採用しています。
Northstormは従来、ウェブサイトをホスティングし、ハードウェア、ソフトウェア、データ管理を含むインフラストラクチャを完全に管理することでIT運用を管理してきました。しかし、このアプローチは、対応力の高いインフラストラクチャの欠如により成長を阻害していました。eコマースと決済システムの強化を目指し、Northstormは社内データセンターの拡張を選択し、3ヶ月かけて2段階に分けて拡張を完了しました。まず、コアサーバー、POS、発注、請求、データベース、バックアップシステムをアップグレードしました。第2段階では、メール、決済、ネットワーク機能の改善を行いました。さらに、この段階でNorthstormは、個人識別情報(PII)処理に関する国際標準規格を採用し、データ処理の安全性を確保し、国際的な規制に準拠しました。
拡張にもかかわらず、Northstormのデータセンターのアップグレードは、進化するビジネスニーズに対応できませんでした。この不十分さが、注文の優先順位付けに関する問題など、いくつかの新たな課題につながりました。顧客からは優先注文が届かないという報告があり、同社は応答性に問題を抱えていました。これは主に、注文の優先順位付けと顧客とのやり取りをシミュレートするアプリケーション「YouDecide」からの注文をメインサーバーが処理できなかったことに起因していました。高度なアルゴリズムに依存するこのアプリケーションは、アップグレード中にインストールされた新しいオペレーティングシステム(OS)と互換性がありませんでした。
緊急の互換性問題に直面したNorthstorm社は、適切な検証を行わずにアプリケーションにパッチを急いで適用したため、脆弱性のあるバージョンがインストールされてしまいました。このセキュリティ上の欠陥により、メインサーバーが影響を受け、同社のウェブサイトは1週間オフラインになりました。より信頼性の高いソリューションの必要性を認識した同社は、ウェブサイトのホスティングをeコマースプロバイダーにアウトソーシングすることを決定しました。同社は移行前に、製品の所有権に関する秘密保持契約を締結し、セキュリティ強化のためユーザーアクセス権の徹底的な見直しを実施しました。
シナリオ 1 に基づいた予防管理は次のどれですか。