ISO/IEC 27001 の付録 A 7.1「物理的セキュリティ境界」の主な目的は何ですか?

次のうち、A 社がクロック同期を実装していることを示すものはどれですか。

ダイアナは大手電子商取引会社のカスタマーサービス担当者として働いています。ある日、彼女は誤って顧客の注文詳細を許可なく変更してしまいました。このエラーにより、顧客は間違った商品を受け取りました。この場合、どの情報セキュリティ原則に違反しましたか7

シナリオ 8: SunDee は、米国カリフォルニア州に本社を置く米国のバイオ医薬品会社です。同社は、心血管疾患、腫瘍学、骨の健康、炎症に焦点を当てた新しいヒト治療薬の開発を専門としています。同社は過去 2 年間、SO/IEC 27001 に基づく情報セキュリティ管理システム (ISMS) を導入していました。しかし、ISMS のパフォーマンスと有効性を監視または測定しておらず、定期的な管理レビューも実施していませんでした。再認証監査の直前に、同社は内部監査を実施することを決定しました。また、ほとんどのスタッフに、各部門の過去 2 年間の個別の書面レポートをまとめるように依頼しました。これにより、製造部門の人員が最適人数を下回り、会社の在庫が減少しました。
テッサはサンディーの内部監査員でした。50 人の従業員が複数のレポートを作成したため、内部監査プロセスは予定よりはるかに時間がかかり、非常に一貫性がなく、質的評価基準がまったくありませんでした。テッサは、サンディーが ISMS のパフォーマンスを適切に評価する必要があると結論付けました。彼女は、サンディーの ISMS パフォーマンス評価の怠慢を重大な不適合と定義し、不適合の説明、監査結果、推奨事項を含む不適合レポートを作成しました。さらに、テッサはサンディーがこれらの問題を解決できるようにする新しい計画を作成し、経営陣に提示しました。シナリオ 8 に従って、テッサは ISMS の監視と測定の計画を作成し、経営陣に提示しました。これは受け入れられますか?

シナリオ 5: Operaze は、世界中のさまざまな企業向けにアプリケーションを開発している小規模なソフトウェア開発会社です。最近、同社はリスク評価を実施し、デジタル環境での運用から生じる可能性のある情報セキュリティ リスクを評価しました。侵入テストやコード レビューなどのさまざまなテスト方法を使用して、不適切なユーザー権限、セキュリティ設定の誤り、安全でないネットワーク構成など、ICT システムの問題を特定しました。これらの問題を解決し、情報セキュリティを強化するために、Operaze は ISO/IEC 27001 に基づく情報セキュリティ管理システム (ISMS) を実装することを決定しました。
Operaze は小規模な会社であるため、IT チーム全体が ISMS 実装プロジェクトに関与しました。最初に、同社はビジネス要件と内部および外部環境を分析し、主要なプロセスと活動を特定し、利害関係者を特定して分析しました。さらに、Operaze のトップマネジメントは、会社のほとんどの部門を ISMS の範囲に含めることを決定しました。定義された範囲には、組織的および物理的な境界が含まれていました。IT チームは情報セキュリティ ポリシーを起草し、すべての関連する利害関係者にそれを伝達しました。さらに、セキュリティの問題を詳しく説明するために他の特定のポリシーが開発され、すべての利害関係者に役割と責任が割り当てられました。
その後、人事部長は、ISMS によって作成された書類は ISMS の価値を正当化するものではなく、ISMS の導入を中止すべきだと主張しました。しかし、経営陣はこの主張は無効であると判断し、関係者全員に ISMS の利点を説明する啓発セッションを開催しました。
Operaze は、物理サーバーをサードパーティのインフラストラクチャ上の仮想サーバーに移行することを決定しました。新しいクラウド コンピューティング ソリューションは、会社にさらなる変化をもたらしました。一方、Operaze の経営陣は、効果的な ISMS を実装するだけでなく、ISMS 運用の円滑な実行を確保することも目指していました。このような状況で、Operaze の経営陣は、情報セキュリティ戦略を実行するには外部の専門家のサービスが必要であると結論付けました。一方、IT チームは、ISMS の範囲の変更を開始することを決定し、会社のプロセスに必要な変更を実施しました。
シナリオ 5 に基づいて、Operaze は ISMS の円滑な運営を確保するためにどの委員会を作成する必要がありますか?