ISO-IEC-27001-Lead-Auditor 試験問題 286
あなたは、医療サービスを提供する ABC という居住型介護施設で ISMS 監査を実施しています。
監査計画の次のステップは、ABC社のヘルスケアモバイルアプリの開発、サポート、およびライフサイクルプロセスの情報セキュリティを検証することです。監査中に、ABC社がモバイルアプリの開発を、CMMIレベル5、ITSM(ISO/IEC 20000-1)、BCMS(ISO 22301)、ISMS(ISO/IEC 27001)の認証を取得した専門ソフトウェア開発会社に委託していることがわかりました。
IT マネージャーはソフトウェア セキュリティ管理手順を示し、そのプロセスを次のように要約します。
モバイルアプリの開発においては、最低限、「セキュリティ・バイ・デザイン」および「セキュリティ・バイ・デフォルト」の原則を採用する必要があります。個人データ保護のため、以下のセキュリティ機能が利用可能である必要があります。
アクセス制御。
個人データの暗号化、すなわち、Advanced Encryption Standard (AES) アルゴリズム、キーの長さ: 256 ビット、および個人データの仮名化。
脆弱性がチェックされており、セキュリティバックドアはありません
最新のモバイル アプリ テスト レポート (参照 ID: 0098) をサンプルとして取得します。詳細は次のとおりです。
より多くの監査証拠を収集するために、他の領域をさらに調査したいと考えています。監査証跡に残さない選択肢を3つ選択してください。
監査計画の次のステップは、ABC社のヘルスケアモバイルアプリの開発、サポート、およびライフサイクルプロセスの情報セキュリティを検証することです。監査中に、ABC社がモバイルアプリの開発を、CMMIレベル5、ITSM(ISO/IEC 20000-1)、BCMS(ISO 22301)、ISMS(ISO/IEC 27001)の認証を取得した専門ソフトウェア開発会社に委託していることがわかりました。
IT マネージャーはソフトウェア セキュリティ管理手順を示し、そのプロセスを次のように要約します。
モバイルアプリの開発においては、最低限、「セキュリティ・バイ・デザイン」および「セキュリティ・バイ・デフォルト」の原則を採用する必要があります。個人データ保護のため、以下のセキュリティ機能が利用可能である必要があります。
アクセス制御。
個人データの暗号化、すなわち、Advanced Encryption Standard (AES) アルゴリズム、キーの長さ: 256 ビット、および個人データの仮名化。
脆弱性がチェックされており、セキュリティバックドアはありません
最新のモバイル アプリ テスト レポート (参照 ID: 0098) をサンプルとして取得します。詳細は次のとおりです。
より多くの監査証拠を収集するために、他の領域をさらに調査したいと考えています。監査証跡に残さない選択肢を3つ選択してください。
ISO-IEC-27001-Lead-Auditor 試験問題 287
データ処理ツールは、ユーザーがバッファの保存容量を超えるデータを追加した際にクラッシュしました。このインシデントは、ツールが配列の境界チェックを実行できなかったために発生しました。これはどのような脆弱性でしょうか?
ISO-IEC-27001-Lead-Auditor 試験問題 288
組織内の情報セキュリティの一貫性を保証するシステムの名前は何ですか?
ISO-IEC-27001-Lead-Auditor 試験問題 289
シナリオ5:ロンドンに拠点を置く保険会社Cobtは、商業保険、産業保険、生命保険など、様々なソリューションを提供しています。近年、Cobtの顧客数は飛躍的に増加しています。処理すべきデータ量が膨大であることから、同社はISO/IEC 27001認証を取得することが、情報セキュリティの確保に多くのメリットをもたらし、継続的な改善への取り組みを示すことに繋がると判断しました。同社は既に定期的なリスク評価の実施に精通していましたが、ISMSの導入により、日常業務に大きな変化がもたらされました。リスク評価プロセスにおいて、組織の内部統制メカニズムでは検知または防止できない重大な欠陥が発生するリスクが特定されました。
同社は、ISMS を実装する方法論に従い、わずか数か月で運用可能な ISMS を導入しました。ISMS の実装に成功した後、Cobt は ISO/IEC 27001 認証を申請しました。経験豊富な監査人の Sarah が監査に割り当てられました。監査の提案を徹底的に分析した後、Sarah は監査チーム リーダーとしての責任を受け入れ、すぐに Cobt に関する一般情報の収集を開始しました。彼女は監査の基準と目的を確立し、監査を計画し、監査チーム メンバーの責任を割り当てました。
サラは、Cobt が多様な商業および保険ソリューションを提供することで大幅に拡大したものの、まだ一部の手動プロセスに依存していることを認めた。そのため、彼女の最初の焦点は、会社が情報セキュリティ リスクをどのように管理しているかについての情報を収集することだった。サラは、監査の一部として当初合意されていたように、オフサイト レビューのためにリスク管理に関連する情報へのアクセスを要請するために Cobt の担当者に連絡した。しかし、Cobt は後に、そのような情報は社外からアクセスするには機密性が高いと主張して拒否した。この拒否により、監査の実行可能性、特に監査対象者の可用性と協力、証拠へのアクセスに関して懸念が生じた。さらに、Cobt は監査スケジュールについて懸念を表明し、会社が行った最近の変更が適切に反映されていないと述べた。監査中に実行されるアクションは最初の範囲のみに適用され、監査範囲に加えられた最新の変更は網羅していないと指摘した。サラはまた、監査目的に対して拒否された情報の重要性を考慮して、状況の重要性を評価した。このケースでは、Cobtによる拒否により、監査の網羅性と合理的保証の提供能力に疑問が生じました。これらの状況を受けて、サラは認証契約の締結前に監査を辞退することを決定し、Cobtと認証機関にその旨を伝えました。この決定は、監査原則の遵守と透明性の維持を確実なものとし、これらの原則を一貫して遵守するというサラのコミットメントを強調するために行われました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ5に基づき、サラは認証契約に署名する前に監査を辞退することを決定しました。これは許容されるでしょうか?
同社は、ISMS を実装する方法論に従い、わずか数か月で運用可能な ISMS を導入しました。ISMS の実装に成功した後、Cobt は ISO/IEC 27001 認証を申請しました。経験豊富な監査人の Sarah が監査に割り当てられました。監査の提案を徹底的に分析した後、Sarah は監査チーム リーダーとしての責任を受け入れ、すぐに Cobt に関する一般情報の収集を開始しました。彼女は監査の基準と目的を確立し、監査を計画し、監査チーム メンバーの責任を割り当てました。
サラは、Cobt が多様な商業および保険ソリューションを提供することで大幅に拡大したものの、まだ一部の手動プロセスに依存していることを認めた。そのため、彼女の最初の焦点は、会社が情報セキュリティ リスクをどのように管理しているかについての情報を収集することだった。サラは、監査の一部として当初合意されていたように、オフサイト レビューのためにリスク管理に関連する情報へのアクセスを要請するために Cobt の担当者に連絡した。しかし、Cobt は後に、そのような情報は社外からアクセスするには機密性が高いと主張して拒否した。この拒否により、監査の実行可能性、特に監査対象者の可用性と協力、証拠へのアクセスに関して懸念が生じた。さらに、Cobt は監査スケジュールについて懸念を表明し、会社が行った最近の変更が適切に反映されていないと述べた。監査中に実行されるアクションは最初の範囲のみに適用され、監査範囲に加えられた最新の変更は網羅していないと指摘した。サラはまた、監査目的に対して拒否された情報の重要性を考慮して、状況の重要性を評価した。このケースでは、Cobtによる拒否により、監査の網羅性と合理的保証の提供能力に疑問が生じました。これらの状況を受けて、サラは認証契約の締結前に監査を辞退することを決定し、Cobtと認証機関にその旨を伝えました。この決定は、監査原則の遵守と透明性の維持を確実なものとし、これらの原則を一貫して遵守するというサラのコミットメントを強調するために行われました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ5に基づき、サラは認証契約に署名する前に監査を辞退することを決定しました。これは許容されるでしょうか?
ISO-IEC-27001-Lead-Auditor 試験問題 290
監査人は、A社が安全でないネットワークアーキテクチャを隠蔽していたことを発見できませんでした。これはどのような種類の監査リスクですか?