ISO-IEC-27001-Lead-Auditor 試験問題 31
シナリオ 1: Fintive は、オンライン決済および保護ソリューションの著名なセキュリティ プロバイダーです。1999 年にカリフォルニア州サンノゼで Thomas Fin によって設立された Fintive は、オンラインで事業を展開し、情報セキュリティの向上、詐欺の防止、PII などのユーザー情報の保護を望む企業にサービスを提供しています。 Fintive は、過去の事例に基づいた意思決定と運用プロセスに重点を置いています。顧客データを収集し、ケースに応じて分類して分析します。このような複雑な分析を実行するには、多くの従業員が必要でした。しかし、数年後、このような分析の実施を支援するテクノロジーも進歩しました。現在、Fintive は、チャットボットという最新ツールを使用して、リアルタイムで詐欺を防止するためのパターン分析を実現することを計画しています。このツールは、顧客サービスの向上にも役立ちます。
この最初のアイデアはソフトウェア開発チームに伝えられ、彼らはそれを支持してこのプロジェクトの作業に携わりました。彼らはチャットボットを既存のシステムに統合し始めました。さらに、チームはチャットボットに関して、チャットクエリの85%に回答するという目標を設定しました。
チャットボットの統合が成功した後、同社はすぐにそれを顧客にリリースして使用できるようにしました。
しかし、チャットボットにはいくつかの問題があるようです。
チャットボットが問い合わせパターンを「学習」するはずのトレーニングフェーズにおいて、テストが不十分でサンプルが提供されなかったため、チャットボットはユーザーの問い合わせに適切な回答を提供できませんでした。さらに、奇妙なドットパターンや特殊文字などの無効な入力を受け取った場合、チャットボットはユーザーにランダムなファイルを送信していました。その結果、チャットボットは顧客の問い合わせに適切に回答できず、従来のカスタマーサポートはチャットでの問い合わせに圧倒され、顧客のリクエストに対応できませんでした。
そのため、Fintiveはソフトウェア開発ポリシーを策定しました。このポリシーでは、ソフトウェアが社内開発か外部委託かを問わず、運用システムへの実装前にブラックボックステストを実施することが規定されています。
このシナリオに基づいて、次の質問に答えてください。
シナリオ1では、チャットボットは顧客の質問に適切に回答できませんでした。この場合、情報セキュリティのどの原則が影響を受けましたか?
この最初のアイデアはソフトウェア開発チームに伝えられ、彼らはそれを支持してこのプロジェクトの作業に携わりました。彼らはチャットボットを既存のシステムに統合し始めました。さらに、チームはチャットボットに関して、チャットクエリの85%に回答するという目標を設定しました。
チャットボットの統合が成功した後、同社はすぐにそれを顧客にリリースして使用できるようにしました。
しかし、チャットボットにはいくつかの問題があるようです。
チャットボットが問い合わせパターンを「学習」するはずのトレーニングフェーズにおいて、テストが不十分でサンプルが提供されなかったため、チャットボットはユーザーの問い合わせに適切な回答を提供できませんでした。さらに、奇妙なドットパターンや特殊文字などの無効な入力を受け取った場合、チャットボットはユーザーにランダムなファイルを送信していました。その結果、チャットボットは顧客の問い合わせに適切に回答できず、従来のカスタマーサポートはチャットでの問い合わせに圧倒され、顧客のリクエストに対応できませんでした。
そのため、Fintiveはソフトウェア開発ポリシーを策定しました。このポリシーでは、ソフトウェアが社内開発か外部委託かを問わず、運用システムへの実装前にブラックボックステストを実施することが規定されています。
このシナリオに基づいて、次の質問に答えてください。
シナリオ1では、チャットボットは顧客の質問に適切に回答できませんでした。この場合、情報セキュリティのどの原則が影響を受けましたか?
ISO-IEC-27001-Lead-Auditor 試験問題 32
情報を分類する理由は何ですか?
ISO-IEC-27001-Lead-Auditor 試験問題 33
シナリオ2:
1990年代に設立されたクリニックは、心臓関連疾患の治療と複雑な外科的介入を専門とする医療機器会社です。ヨーロッパに拠点を置き、患者と医療従事者の両方にサービスを提供しています。クリニックは、治療のカスタマイズ、治療結果のモニタリング、機器の機能向上のために患者データを収集しています。データセキュリティを強化し、信頼関係を構築するため、クリニックはISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)を導入しています。この取り組みは、機密性の高い患者情報と独自の技術を安全に管理するというクリニックのコミットメントを示すものです。
クリニックは、社内の問題、インターフェース、社内活動と外部委託活動の依存関係、そして利害関係者の期待のみを考慮してISMSの適用範囲を定めました。この適用範囲は綿密に文書化され、アクセス可能な状態になっています。ISMSの定義にあたり、クリニックは研究開発、患者データ管理、カスタマーサポートといった重要な部門における主要プロセスに特に焦点を当てることにしました。
当初の課題にもかかわらず、クリニックはISMSの導入に尽力し、セキュリティ管理策を独自のニーズに合わせて調整しました。プロジェクトチームは、ISO/IEC 27001の附属書Aに記載されている管理策の一部を除外する一方で、業界固有の管理策を追加することでセキュリティを強化しました。チームはこれらの管理策の適用可能性を内部要因と外部要因の観点から評価し、最終的に、管理策の選択と導入の根拠を詳述した包括的な適用性宣言(SoA)を作成しました。
認証取得の準備が進むにつれ、チームリーダーに任命されたブライアンは、会社の戦略的課題とセキュリティ対策を特定・評価するための自主的なリスク評価手法を導入しました。この積極的なアプローチにより、クリニックのリスク評価は目標とミッションに合致したものとなりました。
シナリオ2に基づき、クリニックはまず情報セキュリティ目標を定義し、その後リスク評価を実施しました。これは適切でしょうか?
1990年代に設立されたクリニックは、心臓関連疾患の治療と複雑な外科的介入を専門とする医療機器会社です。ヨーロッパに拠点を置き、患者と医療従事者の両方にサービスを提供しています。クリニックは、治療のカスタマイズ、治療結果のモニタリング、機器の機能向上のために患者データを収集しています。データセキュリティを強化し、信頼関係を構築するため、クリニックはISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)を導入しています。この取り組みは、機密性の高い患者情報と独自の技術を安全に管理するというクリニックのコミットメントを示すものです。
クリニックは、社内の問題、インターフェース、社内活動と外部委託活動の依存関係、そして利害関係者の期待のみを考慮してISMSの適用範囲を定めました。この適用範囲は綿密に文書化され、アクセス可能な状態になっています。ISMSの定義にあたり、クリニックは研究開発、患者データ管理、カスタマーサポートといった重要な部門における主要プロセスに特に焦点を当てることにしました。
当初の課題にもかかわらず、クリニックはISMSの導入に尽力し、セキュリティ管理策を独自のニーズに合わせて調整しました。プロジェクトチームは、ISO/IEC 27001の附属書Aに記載されている管理策の一部を除外する一方で、業界固有の管理策を追加することでセキュリティを強化しました。チームはこれらの管理策の適用可能性を内部要因と外部要因の観点から評価し、最終的に、管理策の選択と導入の根拠を詳述した包括的な適用性宣言(SoA)を作成しました。
認証取得の準備が進むにつれ、チームリーダーに任命されたブライアンは、会社の戦略的課題とセキュリティ対策を特定・評価するための自主的なリスク評価手法を導入しました。この積極的なアプローチにより、クリニックのリスク評価は目標とミッションに合致したものとなりました。
シナリオ2に基づき、クリニックはまず情報セキュリティ目標を定義し、その後リスク評価を実施しました。これは適切でしょうか?
ISO-IEC-27001-Lead-Auditor 試験問題 34
次の文を確認し、誤りである 2 つを判断します。
ISO-IEC-27001-Lead-Auditor 試験問題 35
ある組織がマネジメントシステムの初回認証を取得しようとしています。組織が実施する活動の順序を明確にしてください。
シーケンスを完了するには、完了させたい空白セクションをクリックして赤くハイライト表示し、下のオプションから該当するテキストをクリックします。または、オプションを適切な空白セクションにドラッグ&ドロップすることもできます。
シーケンスを完了するには、完了させたい空白セクションをクリックして赤くハイライト表示し、下のオプションから該当するテキストをクリックします。または、オプションを適切な空白セクションにドラッグ&ドロップすることもできます。
