ISO-IEC-27001-Lead-Auditor 試験問題 316
情報セキュリティの目的は次のとおりです。
ISO-IEC-27001-Lead-Auditor 試験問題 317
シナリオ 1: Fintive は、オンライン決済および保護ソリューションの著名なセキュリティ プロバイダーです。1999 年にカリフォルニア州サンノゼで Thomas Fin によって設立された Fintive は、オンラインで事業を展開し、情報セキュリティの向上、詐欺の防止、PII などのユーザー情報の保護を望む企業にサービスを提供しています。 Fintive は、過去の事例に基づいた意思決定と運用プロセスに重点を置いています。顧客データを収集し、ケースに応じて分類して分析します。このような複雑な分析を実行するには、多くの従業員が必要でした。しかし、数年後、このような分析の実施を支援するテクノロジーも進歩しました。現在、Fintive は、チャットボットという最新ツールを使用して、リアルタイムで詐欺を防止するためのパターン分析を実現することを計画しています。このツールは、顧客サービスの向上にも役立ちます。
この最初のアイデアはソフトウェア開発チームに伝えられ、彼らはそれを支持してこのプロジェクトの作業に携わりました。彼らはチャットボットを既存のシステムに統合し始めました。さらに、チームはチャットボットに関して、チャットクエリの85%に回答するという目標を設定しました。
チャットボットの統合が成功した後、同社はすぐにそれを顧客にリリースして使用できるようにしました。
しかし、チャットボットにはいくつかの問題があるようです。
チャットボットが問い合わせパターンを「学習」するはずのトレーニングフェーズにおいて、テストが不十分でサンプルが提供されなかったため、チャットボットはユーザーの問い合わせに適切な回答を提供できませんでした。さらに、奇妙なドットパターンや特殊文字などの無効な入力を受け取った場合、チャットボットはユーザーにランダムなファイルを送信していました。その結果、チャットボットは顧客の問い合わせに適切に回答できず、従来のカスタマーサポートはチャットでの問い合わせに圧倒され、顧客のリクエストに対応できませんでした。
そのため、Fintiveはソフトウェア開発ポリシーを策定しました。このポリシーでは、ソフトウェアが社内開発か外部委託かを問わず、運用システムへの実装前にブラックボックステストを実施することが規定されています。
このシナリオに基づいて、次の質問に答えてください。
トレーニング段階で Fintive のチャットボットに提供されるテストが不十分であることとサンプルが不足していることが 1 と見なされます。
シナリオを参照
この最初のアイデアはソフトウェア開発チームに伝えられ、彼らはそれを支持してこのプロジェクトの作業に携わりました。彼らはチャットボットを既存のシステムに統合し始めました。さらに、チームはチャットボットに関して、チャットクエリの85%に回答するという目標を設定しました。
チャットボットの統合が成功した後、同社はすぐにそれを顧客にリリースして使用できるようにしました。
しかし、チャットボットにはいくつかの問題があるようです。
チャットボットが問い合わせパターンを「学習」するはずのトレーニングフェーズにおいて、テストが不十分でサンプルが提供されなかったため、チャットボットはユーザーの問い合わせに適切な回答を提供できませんでした。さらに、奇妙なドットパターンや特殊文字などの無効な入力を受け取った場合、チャットボットはユーザーにランダムなファイルを送信していました。その結果、チャットボットは顧客の問い合わせに適切に回答できず、従来のカスタマーサポートはチャットでの問い合わせに圧倒され、顧客のリクエストに対応できませんでした。
そのため、Fintiveはソフトウェア開発ポリシーを策定しました。このポリシーでは、ソフトウェアが社内開発か外部委託かを問わず、運用システムへの実装前にブラックボックステストを実施することが規定されています。
このシナリオに基づいて、次の質問に答えてください。
トレーニング段階で Fintive のチャットボットに提供されるテストが不十分であることとサンプルが不足していることが 1 と見なされます。
シナリオを参照
ISO-IEC-27001-Lead-Auditor 試験問題 318
あなたは、医療サービスを提供するABCという居住型介護施設でISMS監査を実施しています。施設の入居者全員が、位置情報、心拍数、血圧を常時モニタリングするための電子リストバンドを装着していることがわかりました。この電子リストバンドは、医療スタッフによるヘルスケアのモニタリングと分析のために、すべてのデータを自動的に人工知能(AI)クラウドサーバーにアップロードしていることを知りました。
ISMS の範囲を確認するには、管理システム担当者 (MSR) にインタビューし、ISMS の範囲がアウトソーシングされたデータ センターをカバーしていることを説明します。
ISMS の適用範囲の内容を定義する正しいステートメントのオプションを 1 つ選択します。
ISMS の範囲を確認するには、管理システム担当者 (MSR) にインタビューし、ISMS の範囲がアウトソーシングされたデータ センターをカバーしていることを説明します。
ISMS の適用範囲の内容を定義する正しいステートメントのオプションを 1 つ選択します。
ISO-IEC-27001-Lead-Auditor 試験問題 319
ISO-IEC-27001-Lead-Auditor 試験問題 320
あなたは経験豊富な ISMS 内部監査員です。
組織の予定されていた情報セキュリティ監査を完了したところ、IT マネージャーがあなたに連絡し、会社の適用性ステートメントの改訂に協力するよう依頼しました。
IT マネージャーは、ISO/IEC 27001:2013 に基づく適用性ステートメントを、ISO/IEC 27001:2022 にある 4 つの管理テーマ (組織的管理、人的管理、物理的管理、技術的管理) に沿ったステートメントに更新しようとしています。
ITマネージャーは、以下の例外を除き、コントロールの再割り当てに満足しています。彼は、以下の各コントロールが4つのコントロールカテゴリーのどのカテゴリーに分類されるべきかを尋ねています。
組織の予定されていた情報セキュリティ監査を完了したところ、IT マネージャーがあなたに連絡し、会社の適用性ステートメントの改訂に協力するよう依頼しました。
IT マネージャーは、ISO/IEC 27001:2013 に基づく適用性ステートメントを、ISO/IEC 27001:2022 にある 4 つの管理テーマ (組織的管理、人的管理、物理的管理、技術的管理) に沿ったステートメントに更新しようとしています。
ITマネージャーは、以下の例外を除き、コントロールの再割り当てに満足しています。彼は、以下の各コントロールが4つのコントロールカテゴリーのどのカテゴリーに分類されるべきかを尋ねています。
