ISO-IEC-27001-Lead-Auditor 試験問題 326
シナリオ2:Knight社は、米国北カリフォルニアに拠点を置くビデオゲーム機を開発するエレクトロニクス企業です。世界中に300人以上の従業員を抱えています。設立5周年を機に、世界市場に向けた新世代ビデオゲーム機「G-Console」の発売を決定しました。G-Consoleは、プレイヤーに最高のゲーム体験を提供する、2021年の究極のメディアマシンとされています。コンソールパックには、VRヘッドセット、ゲーム2本、その他のギフトが含まれています。
長年にわたり、同社は顧客に対して誠実さ、正直さ、そして敬意を示すことで高い評価を築いてきました。この高い評価こそが、熱心なゲーマーの多くがKnightのGコンソールが発売されるとすぐに手に入れたいと考える理由の一つです。顧客重視の企業であることに加え、Knightは品質の向上によってゲーム業界内で広く認知されています。価格は、妥当な基準からすると少し高めです。
それでも、Knight の忠実な顧客のほとんどにとっては、品質が最高なので、それは問題ではないと考えられています。
世界有数のビデオゲームコンソール開発会社であるKnightは、悪意ある活動でしばしば注目を集めています。同社は1年以上前からISMSを運用しており、その適用範囲は財務部門と人事部門を除くKnightの全部門に及びます。
最近、ナイト社の機密情報を含む複数のファイルがハッカーによって漏洩しました。ナイト社のインシデント対応チーム(IRT)は、直ちにシステムのあらゆる部分とインシデントの詳細の分析を開始しました。
IRTは当初、ナイトの従業員が脆弱なパスワードを使用していたため、ハッカーが簡単にパスワードを解読し、アカウントに不正アクセスしたのではないかと疑いました。しかし、インシデントを綿密に調査した結果、ハッカーはファイル転送プロトコル(FTP)トラフィックを傍受することでアカウントにアクセスしたことが判明しました。
FTPは、アカウント間でファイルを転送するためのネットワークプロトコルです。認証には平文のパスワードを使用します。
この情報セキュリティ インシデントの影響と IRT の提案を受けて、Knight は FTP を Secure Shell (SSH) プロトコルに置き換え、トラフィックをキャプチャするユーザーが暗号化されたデータのみを見ることができるようにすることを決定しました。
これらの変更を受けて、ナイトはリスクアセスメントを実施し、管理策の導入によって類似のインシデント発生リスクが最小限に抑えられたことを確認しました。このプロセスの結果はISMSプロジェクトマネージャーによって承認され、新しい管理策導入後のリスクレベルは会社のリスク許容レベルと一致していると主張しました。
このシナリオに基づいて、次の質問に答えてください。
シナリオ2によると、ISMSの適用範囲はナイト社の財務部門と人事部門には適用されていません。これは許容できますか?
長年にわたり、同社は顧客に対して誠実さ、正直さ、そして敬意を示すことで高い評価を築いてきました。この高い評価こそが、熱心なゲーマーの多くがKnightのGコンソールが発売されるとすぐに手に入れたいと考える理由の一つです。顧客重視の企業であることに加え、Knightは品質の向上によってゲーム業界内で広く認知されています。価格は、妥当な基準からすると少し高めです。
それでも、Knight の忠実な顧客のほとんどにとっては、品質が最高なので、それは問題ではないと考えられています。
世界有数のビデオゲームコンソール開発会社であるKnightは、悪意ある活動でしばしば注目を集めています。同社は1年以上前からISMSを運用しており、その適用範囲は財務部門と人事部門を除くKnightの全部門に及びます。
最近、ナイト社の機密情報を含む複数のファイルがハッカーによって漏洩しました。ナイト社のインシデント対応チーム(IRT)は、直ちにシステムのあらゆる部分とインシデントの詳細の分析を開始しました。
IRTは当初、ナイトの従業員が脆弱なパスワードを使用していたため、ハッカーが簡単にパスワードを解読し、アカウントに不正アクセスしたのではないかと疑いました。しかし、インシデントを綿密に調査した結果、ハッカーはファイル転送プロトコル(FTP)トラフィックを傍受することでアカウントにアクセスしたことが判明しました。
FTPは、アカウント間でファイルを転送するためのネットワークプロトコルです。認証には平文のパスワードを使用します。
この情報セキュリティ インシデントの影響と IRT の提案を受けて、Knight は FTP を Secure Shell (SSH) プロトコルに置き換え、トラフィックをキャプチャするユーザーが暗号化されたデータのみを見ることができるようにすることを決定しました。
これらの変更を受けて、ナイトはリスクアセスメントを実施し、管理策の導入によって類似のインシデント発生リスクが最小限に抑えられたことを確認しました。このプロセスの結果はISMSプロジェクトマネージャーによって承認され、新しい管理策導入後のリスクレベルは会社のリスク許容レベルと一致していると主張しました。
このシナリオに基づいて、次の質問に答えてください。
シナリオ2によると、ISMSの適用範囲はナイト社の財務部門と人事部門には適用されていません。これは許容できますか?
ISO-IEC-27001-Lead-Auditor 試験問題 327
情報セキュリティとは、 ________ を構築し、維持することです。
ISO-IEC-27001-Lead-Auditor 試験問題 328
あなたは宅配会社SpeeDeliveryの主任監査人です。リスク分析を実施し、リスク戦略を策定したいと考えています。大きなリスクには対策を講じますが、小さなリスクには対策を講じないことに決めました。
このリスク戦略は何と呼ばれますか?
このリスク戦略は何と呼ばれますか?
ISO-IEC-27001-Lead-Auditor 試験問題 329
あなたは監査チームリーダーとして、初めての第三者ISMSサーベイランス監査を実施しています。現在、監査チームの他のメンバーと共に、監査対象企業のデータセンターにいます。
あなたは現在、大きな部屋にいます。その部屋は複数の小さな部屋に分かれており、それぞれのドアには暗証番号式のロックとスワイプカードリーダーが設置されています。あなたは、センターの受付で渡されたスワイプカードと暗証番号を使って、外部の業者2名が顧客のスイートに入り、認可された電気修理作業を行っていることに気づきます。
受付に行き、クライアントのスイートの入退室記録を見せてもらうと、カードが1枚しかスワイプされていないことが分かります。受付係に尋ねると、「はい、よくある問題です。全員にカードをスワイプしていただくようお願いしていますが、特に請負業者の場合は、1人がスワイプして、残りは単に「追い越し」で入室してしまう傾向があります」と答えられましたが、受付のサインイン情報から、誰が入室したかは分かっています。
上記のシナリオに基づいて、次のどのアクションを実行しますか?
あなたは現在、大きな部屋にいます。その部屋は複数の小さな部屋に分かれており、それぞれのドアには暗証番号式のロックとスワイプカードリーダーが設置されています。あなたは、センターの受付で渡されたスワイプカードと暗証番号を使って、外部の業者2名が顧客のスイートに入り、認可された電気修理作業を行っていることに気づきます。
受付に行き、クライアントのスイートの入退室記録を見せてもらうと、カードが1枚しかスワイプされていないことが分かります。受付係に尋ねると、「はい、よくある問題です。全員にカードをスワイプしていただくようお願いしていますが、特に請負業者の場合は、1人がスワイプして、残りは単に「追い越し」で入室してしまう傾向があります」と答えられましたが、受付のサインイン情報から、誰が入室したかは分かっています。
上記のシナリオに基づいて、次のどのアクションを実行しますか?
ISO-IEC-27001-Lead-Auditor 試験問題 330
以下のどの状況が脅威を表していますか?