組織は ISO/IEC 27001 に基づく ISMS を実装するためにどのようなアプローチを採用すべきでしょうか?

シナリオ 7 で説明されているどの状況が、Texas H&H Inc. が検出制御を実装したことを示していますか?

シナリオ4: TradeB。市場に参入したばかりの商業銀行で、顧客から預金を受け入れ、基本的な金融サービスと投資用ローンを提供しています。TradeBは、ISO/IEC 27001に基づく情報セキュリティ管理システム（ISMS）を導入することを決定しました。
[^システムの実装では、TradeB の経営陣が 2 人の専門家と契約し、ISMS 実装プロジェクトを指揮および管理しました。
まず、プロジェクト チームは ISO/IEC 27001 付属書 A の 93 のコントロールを分析し、会社に適用可能と思われるセキュリティ コントロールとその目的のみをリストしました。この分析に基づいて、適用性ステートメントを起草しました。その後、リスク評価を実施し、ハードウェア、ソフトウェア、ネットワークなどの資産、脅威、脆弱性を特定し、潜在的な結果と可能性を評価し、3 つの非数値カテゴリ (低、中、高) に基づいてリスク レベルを決定しました。彼らは、リスク評価基準に基づいてリスクを評価し、高リスク カテゴリのみを扱うことを決定しました。また、アクセス制御ポリシーの新しいバージョンを確立し、ユーザー アクセスを管理および制御するための制御を実装し、ビジネス継続性のための ICT 準備のための制御を実装することにより、管理者権限の不正使用といくつかのハードウェア障害によるシステム中断に主に焦点を当てることも決定しました。最後に、リスク評価レポートを起草し、これらのセキュリティ制御の実装後にリスク レベルが許容レベルを下回る場合は、リスクを受け入れると記述しました。シナリオ 4 に示されているアクションのうち、ISO/IEC 27001 の要件に準拠していないものはどれですか。

ISO/IEC 27001 のコントロール 7.2 物理的な進入の目的は、組織の情報およびその他の関連資産への許可されたアクセスのみが行われるようにすることです。以下のどのアクションがこの目的を達成しませんか。

シナリオ 10: NetworkFuse は、ネットワーク ハードウェアの開発、製造、販売を行っています。同社は、ISO/IEC 27001 要件に基づく運用情報セキュリティ管理システム (ISMS) と ISO 9001 に基づく品質管理システム (QMS) を約 2 年間運用してきました。最近、同社は ISO/IEC 27001 と ISO 9001 の認証を取得するために、複合認証監査を申請しました。
認証機関を選択した後、NetworkFuse は従業員を監査に備えさせました。経営陣によると監査前に自己評価を行う必要はないため、監査前に自己評価を行わないことを決定しました。さらに、内部監査レポートやマネジメントレビュー、導入されているテクノロジー、ISMS と QMS の一般的な運用など、文書化された情報が利用できるようにしました。
しかし、会社は認証機関に、文書をオフサイトに持ち出すことはできないと要求しました。しかし、NetworkFuse が割り当てられた監査チーム リーダーを拒否し、交代を要求したため、予定日数内に監査は実行されませんでした。会社は、同じ監査チーム リーダーが主要な競合他社に認証の推奨を発行したと主張しましたが、これは会社の経営陣にとって潜在的な利益相反でした。認証機関は要求を受け入れませんでした。上記のシナリオに基づいて、次の質問に答えてください。
NetworkFuse は認定監査の前提条件を満たしていますか?