ISO-IEC-27001-Lead-Auditor 試験問題 301
-------------------------は、他の重要なビジネス資産と同様に組織にとって価値のある資産であり、保護する必要があります。
ISO-IEC-27001-Lead-Auditor 試験問題 302
第三者認証監査中に、監査対象者から問題点のリストが提示されます。ISO 27001:2022のマネジメントシステムの観点から、「内部」問題に該当するのは次の4つのうちどれですか?
ISO-IEC-27001-Lead-Auditor 試験問題 303
あなたは、研修中の監査員を指導する経験豊富なISMS監査チームリーダーです。あなたのチームは、モバイル通信事業者に対する第三者監査(サーベイランス)を終えたばかりです。研修中の監査員から、最終会議に向けてどのように準備するつもりかと尋ねられました。以下の4つの回答のうち、適切なものはどれですか?
ISO-IEC-27001-Lead-Auditor 試験問題 304
シナリオ8:EsBankは9月からエストニアの銀行部門に銀行業務および金融ソリューションを提供しています。
同社は2010年、全国に30の支店と100台以上のATMを展開している。
規制の厳しい業界で事業を展開するEsBankは、データのセキュリティとプライバシーに関する多くの法律や規制を遵守する必要があります。技術的および非技術的な管理策を実施することで、業務全体にわたって情報セキュリティを管理する必要があります。EsBankは、ISO/IECに基づくISMSを導入することを決定しました。
27001 は、セキュリティの強化、リスク管理の強化、法律や規制の主要要件への準拠を実現したためです。
ISMS の導入が成功してから 9 か月後、EsBank は、独立した認証機関による ISO/IEC 27001 に準拠した ISMS の認証を取得することを決定しました。認証監査には、EsBank のすべてのシステム、プロセス、テクノロジーが含まれていました。
ステージ1とステージ2の監査は共同で実施され、複数の不適合が検出されました。最初の不適合は、EsBankの情報ラベル付けに関するものでした。同社は情報分類スキームを保有していましたが、ラベル付け手順が確立されていませんでした。その結果、同じレベルの保護が必要な文書であっても、異なるラベルが付けられていました(機密文書とセンシティブ文書の2種類)。
すべての文書が電子的に保管されていたことを考慮すると、この不適合は媒体の取り扱いにも影響を与えていました。監査チームはサンプリング調査を行い、200枚のリムーバブルメディアのうち50枚に機密情報が誤って機密情報として分類されていたと結論付けました。情報分類スキームによれば、機密情報はリムーバブルメディアに保存できますが、機密情報の保存は厳しく禁止されています。これがもう一つの不適合となりました。
彼らは不適合報告書を起草し、監査の結論について EsBank の代表者と話し合いました。代表者は、検出された不適合に対する行動計画を 2 か月以内に提出することに同意しました。
EsBankは監査チームリーダーの提案した解決策を受け入れ、物理形式と電子形式の両方の分類体系に基づいた情報ラベル付け手順を策定することで不適合を解決しました。また、この手順に基づいてリムーバブルメディアの手順も更新されました。
監査完了から2週間後、EsBankは一般的な行動計画を提出しました。そこには、検出された不適合と実施された是正措置への対応が記載されていましたが、影響を受けたシステム、管理、または業務に関する詳細は記載されていませんでした。監査チームはこの行動計画を評価し、不適合は解決されると結論付けました。しかしながら、EsBankは認証取得にあたり、不利な勧告を受けました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ8に基づき、EsBankは一般的な行動計画を提出しました。これは受け入れられますか?
同社は2010年、全国に30の支店と100台以上のATMを展開している。
規制の厳しい業界で事業を展開するEsBankは、データのセキュリティとプライバシーに関する多くの法律や規制を遵守する必要があります。技術的および非技術的な管理策を実施することで、業務全体にわたって情報セキュリティを管理する必要があります。EsBankは、ISO/IECに基づくISMSを導入することを決定しました。
27001 は、セキュリティの強化、リスク管理の強化、法律や規制の主要要件への準拠を実現したためです。
ISMS の導入が成功してから 9 か月後、EsBank は、独立した認証機関による ISO/IEC 27001 に準拠した ISMS の認証を取得することを決定しました。認証監査には、EsBank のすべてのシステム、プロセス、テクノロジーが含まれていました。
ステージ1とステージ2の監査は共同で実施され、複数の不適合が検出されました。最初の不適合は、EsBankの情報ラベル付けに関するものでした。同社は情報分類スキームを保有していましたが、ラベル付け手順が確立されていませんでした。その結果、同じレベルの保護が必要な文書であっても、異なるラベルが付けられていました(機密文書とセンシティブ文書の2種類)。
すべての文書が電子的に保管されていたことを考慮すると、この不適合は媒体の取り扱いにも影響を与えていました。監査チームはサンプリング調査を行い、200枚のリムーバブルメディアのうち50枚に機密情報が誤って機密情報として分類されていたと結論付けました。情報分類スキームによれば、機密情報はリムーバブルメディアに保存できますが、機密情報の保存は厳しく禁止されています。これがもう一つの不適合となりました。
彼らは不適合報告書を起草し、監査の結論について EsBank の代表者と話し合いました。代表者は、検出された不適合に対する行動計画を 2 か月以内に提出することに同意しました。
EsBankは監査チームリーダーの提案した解決策を受け入れ、物理形式と電子形式の両方の分類体系に基づいた情報ラベル付け手順を策定することで不適合を解決しました。また、この手順に基づいてリムーバブルメディアの手順も更新されました。
監査完了から2週間後、EsBankは一般的な行動計画を提出しました。そこには、検出された不適合と実施された是正措置への対応が記載されていましたが、影響を受けたシステム、管理、または業務に関する詳細は記載されていませんでした。監査チームはこの行動計画を評価し、不適合は解決されると結論付けました。しかしながら、EsBankは認証取得にあたり、不利な勧告を受けました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ8に基づき、EsBankは一般的な行動計画を提出しました。これは受け入れられますか?
ISO-IEC-27001-Lead-Auditor 試験問題 305
必要なサービスに応じて、法執行機関、規制機関、情報サービスプロバイダー、通信サービスプロバイダーとの連絡を維持する部門。