職務の分離を適用する最も重要な理由は何ですか?

ISMS を導入している組織は、計画された間隔で管理レビューを実施していますが、その結果に関する文書化された情報を保持していません。これは ISO/IEC 27001 の要件に準拠していますか?

シナリオ 7: InfoSec は、マサチューセッツ州ボストンに本社を置く多国籍企業で、プロフェッショナル向け電子機器、ゲーム、エンターテイメント サービスを提供しています。多数の情報セキュリティ インシデントに直面した後、InfoSec はチームを設立し、将来の潜在的なインシデントを防ぐための対策を実施することを決定しました。Emma、Bob、Anna は、セキュリティ アーキテクチャ チーム、インシデント対応チーム (IRT)、フォレンジック チームで構成される InfoSec の情報セキュリティ チームの新しいメンバーとして採用されました。Emma の仕事は、情報セキュリティ プラン、ポリシー、プロトコル、トレーニングを作成し、InfoSec がインシデントに効果的に対応できるようにすることです。Emma と Bob は InfoSec のフルタイム従業員となり、Anna は外部コンサルタントとして契約されました。
ネットワーク エキスパートの Bob は、スクリーン サブネット ネットワーク アーキテクチャを導入します。このアーキテクチャは、ホストされたパブリック サービスが接続されている非武装地帯 (OMZ) と InfoSec のパブリック アクセス可能なリソースをプライベート ネットワークから分離します。これにより、InfoSec は潜在的な攻撃者が会社のネットワーク内で望ましくないイベントを引き起こすのを阻止できます。Bob は、予期しないイベントの性質について、イベントの発生方法や、イベントが何または誰に影響を与えるかなどの詳細を含め、徹底的な評価が行われるようにする責任も負っています。
アンナは、懲戒処分や法的措置のための証拠を保存し、将来のインシデントを防ぐために、データ、レビュー、分析、レポートの記録を作成します。それに応じて作業を行うには、会社の情報セキュリティインシデント管理ポリシーを事前に認識しておく必要があります。このポリシーでは、作成する記録の種類、記録を保管する場所、特定の記録の種類に必要な形式と内容などが指定されています。
シナリオ 7 によると、InfoSec のネットワーク内に非武装地帯 (DMZ) が展開されています。この場合、InfoSec はどのような種類の制御を実装しましたか?

Del&Co は、事故を防ぐためにスタッフ関連の管理を改善することを決定しました。次のどれが Del&Co のスタッフに関連する予防管理ではありませんか?

シナリオ 1: HealthGenic は、Web ベースの医療ソフトウェアを使用して、乳児から成人初期までの個人の健康と成長を監視する小児科クリニックです。このソフトウェアは、予約のスケジュール設定、カスタマイズされた医療レポートの作成、患者のデータと病歴の保存、親、他の医師、医療検査スタッフなど、すべての関係者とのコミュニケーションにも使用されます。
先月、HealthGenic 社はソフトウェアにアクセスするユーザー数の増加により、サービスが中断されることが何度かありました。同社がソフトウェアの使用中に直面したもう 1 つの問題は、ユーザー インターフェイスが複雑で、訓練を受けていない従業員が使用しにくいことでした。
HealthGenic の経営陣は、すぐにソフトウェアを開発した会社にこの問題を報告しました。ソフトウェア会社は問題を修正しましたが、その過程で、HealthGenic の患者に関する機密情報を含むいくつかのファイルを変更しました。変更の結果、医療レポートが不完全かつ不正確になり、さらに重要なことに、患者のプライバシーが侵害されました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ 1 によれば、Antiques によって実装された次のコントロールのうち、検出コントロールと管理コントロールはどれですか。