ISO-IEC-27001-Lead-Implementer 試験問題 26
シナリオ 5: Operaze は、世界中のさまざまな企業向けにアプリケーションを開発している小規模なソフトウェア開発会社です。最近、同社はリスク評価を実施し、デジタル環境での運用から生じる可能性のある情報セキュリティ リスクを評価しました。侵入テストやコード レビューなどのさまざまなテスト方法を使用して、不適切なユーザー権限、セキュリティ設定の誤り、安全でないネットワーク構成など、ICT システムの問題を特定しました。これらの問題を解決し、情報セキュリティを強化するために、Operaze は ISO/IEC 27001 に基づく情報セキュリティ管理システム (ISMS) を実装することを決定しました。
Operaze は小規模な会社であるため、IT チーム全体が ISMS 実装プロジェクトに関与しました。最初に、同社はビジネス要件と内部および外部環境を分析し、主要なプロセスと活動を特定し、利害関係者を特定して分析しました。さらに、Operaze のトップマネジメントは、会社のほとんどの部門を ISMS の範囲に含めることを決定しました。定義された範囲には、組織的および物理的な境界が含まれていました。IT チームは情報セキュリティ ポリシーを起草し、すべての関連する利害関係者にそれを伝達しました。さらに、セキュリティの問題を詳しく説明するために他の特定のポリシーが開発され、すべての利害関係者に役割と責任が割り当てられました。
その後、人事部長は、ISMS によって作成された書類は ISMS の価値を正当化するものではなく、ISMS の導入を中止すべきだと主張しました。しかし、経営陣はこの主張は無効であると判断し、関係者全員に ISMS の利点を説明する啓発セッションを開催しました。
Operaze は、物理サーバーをサードパーティのインフラストラクチャ上の仮想サーバーに移行することを決定しました。新しいクラウド コンピューティング ソリューションは、会社にさらなる変化をもたらしました。一方、Operaze の経営陣は、効果的な ISMS を実装するだけでなく、ISMS 運用の円滑な実行を確保することも目指していました。このような状況で、Operaze の経営陣は、情報セキュリティ戦略を実行するには外部の専門家のサービスが必要であると結論付けました。一方、IT チームは、ISMS の範囲の変更を開始することを決定し、会社のプロセスに必要な変更を実施しました。
シナリオ 5 に基づいて、Operaze は ISMS の円滑な運営を確保するためにどの委員会を作成する必要がありますか?
Operaze は小規模な会社であるため、IT チーム全体が ISMS 実装プロジェクトに関与しました。最初に、同社はビジネス要件と内部および外部環境を分析し、主要なプロセスと活動を特定し、利害関係者を特定して分析しました。さらに、Operaze のトップマネジメントは、会社のほとんどの部門を ISMS の範囲に含めることを決定しました。定義された範囲には、組織的および物理的な境界が含まれていました。IT チームは情報セキュリティ ポリシーを起草し、すべての関連する利害関係者にそれを伝達しました。さらに、セキュリティの問題を詳しく説明するために他の特定のポリシーが開発され、すべての利害関係者に役割と責任が割り当てられました。
その後、人事部長は、ISMS によって作成された書類は ISMS の価値を正当化するものではなく、ISMS の導入を中止すべきだと主張しました。しかし、経営陣はこの主張は無効であると判断し、関係者全員に ISMS の利点を説明する啓発セッションを開催しました。
Operaze は、物理サーバーをサードパーティのインフラストラクチャ上の仮想サーバーに移行することを決定しました。新しいクラウド コンピューティング ソリューションは、会社にさらなる変化をもたらしました。一方、Operaze の経営陣は、効果的な ISMS を実装するだけでなく、ISMS 運用の円滑な実行を確保することも目指していました。このような状況で、Operaze の経営陣は、情報セキュリティ戦略を実行するには外部の専門家のサービスが必要であると結論付けました。一方、IT チームは、ISMS の範囲の変更を開始することを決定し、会社のプロセスに必要な変更を実施しました。
シナリオ 5 に基づいて、Operaze は ISMS の円滑な運営を確保するためにどの委員会を作成する必要がありますか?
ISO-IEC-27001-Lead-Implementer 試験問題 27
リスク評価の結果を受けて、Socket Inc. は以下のことを決定しました。
* 大文字、小文字、記号、数字を含む12文字以上のパスワードの使用を必須とする
* 少なくとも60日に1回はパスワードの変更を要求します
* IT部門が提供するネットワークドライブにファイルのバックアップコピーを保存する
* 顧客の個人データを保存するクラウド ストレージ ファイルにユーザーがアクセスできる場合は、ユーザーを別のネットワークに割り当てます。
上記のシナリオに基づいて、次の質問に答えてください。
Socket Inc. がリスクに対処するためにリスク修正を使用したことを示すオプションは次のどれですか。
* 大文字、小文字、記号、数字を含む12文字以上のパスワードの使用を必須とする
* 少なくとも60日に1回はパスワードの変更を要求します
* IT部門が提供するネットワークドライブにファイルのバックアップコピーを保存する
* 顧客の個人データを保存するクラウド ストレージ ファイルにユーザーがアクセスできる場合は、ユーザーを別のネットワークに割り当てます。
上記のシナリオに基づいて、次の質問に答えてください。
Socket Inc. がリスクに対処するためにリスク修正を使用したことを示すオプションは次のどれですか。
ISO-IEC-27001-Lead-Implementer 試験問題 28
シナリオ 10: NetworkFuse は、ネットワーク ハードウェアの開発、製造、販売を行っています。同社は、ISO/IEC 27001 要件に基づく運用情報セキュリティ管理システム (ISMS) と ISO 9001 に基づく品質管理システム (QMS) を約 2 年間運用してきました。最近、同社は ISO/IEC 27001 と ISO 9001 の認証を取得するために、複合認証監査を申請しました。
認証機関を選択した後、NetworkFuse は従業員を監査に備えさせました。経営陣によると監査前に自己評価を行う必要はないため、監査前に自己評価を行わないことを決定しました。さらに、内部監査レポートやマネジメントレビュー、導入されているテクノロジー、ISMS と QMS の一般的な運用など、文書化された情報が利用できるようにしました。
しかし、会社は認証機関に、文書をオフサイトに持ち出すことはできないと要求しました。しかし、NetworkFuse が割り当てられた監査チーム リーダーを拒否し、交代を要求したため、予定日数内に監査は実行されませんでした。会社は、同じ監査チーム リーダーが主要な競合他社に認証の推奨を発行したと主張しましたが、これは会社の経営陣にとって潜在的な利益相反でした。この要求は認証機関によって受け入れられませんでした。認証機関は、NetworkFuse の監査チーム リーダーの変更要求を拒否しました。これは受け入れられますか?
シナリオ10を参照してください。
認証機関を選択した後、NetworkFuse は従業員を監査に備えさせました。経営陣によると監査前に自己評価を行う必要はないため、監査前に自己評価を行わないことを決定しました。さらに、内部監査レポートやマネジメントレビュー、導入されているテクノロジー、ISMS と QMS の一般的な運用など、文書化された情報が利用できるようにしました。
しかし、会社は認証機関に、文書をオフサイトに持ち出すことはできないと要求しました。しかし、NetworkFuse が割り当てられた監査チーム リーダーを拒否し、交代を要求したため、予定日数内に監査は実行されませんでした。会社は、同じ監査チーム リーダーが主要な競合他社に認証の推奨を発行したと主張しましたが、これは会社の経営陣にとって潜在的な利益相反でした。この要求は認証機関によって受け入れられませんでした。認証機関は、NetworkFuse の監査チーム リーダーの変更要求を拒否しました。これは受け入れられますか?
シナリオ10を参照してください。
ISO-IEC-27001-Lead-Implementer 試験問題 29
シナリオ 8 に基づくと、HealthGenic の過失は ISMS 証明書にどのような影響を与えますか?
ISO-IEC-27001-Lead-Implementer 試験問題 30
シナリオ 5: Operaze は、世界中のさまざまな企業向けにアプリケーションを開発している小規模なソフトウェア開発会社です。最近、同社はリスク評価を実施し、デジタル環境での運用から生じる可能性のある情報セキュリティ リスクを評価しました。侵入テストやコード レビューなどのさまざまなテスト方法を使用して、不適切なユーザー権限、セキュリティ設定の誤り、安全でないネットワーク構成など、ICT システムの問題を特定しました。これらの問題を解決し、情報セキュリティを強化するために、Operaze は ISO/IEC 27001 に基づく情報セキュリティ管理システム (ISMS) を実装することを決定しました。
Operaze は小規模な会社であるため、IT チーム全体が ISMS 実装プロジェクトに関与しました。最初に、同社はビジネス要件と内部および外部環境を分析し、主要なプロセスと活動を特定し、利害関係者を特定して分析しました。さらに、Operaze のトップマネジメントは、会社のほとんどの部門を ISMS の範囲に含めることを決定しました。定義された範囲には、組織的および物理的な境界が含まれていました。IT チームは情報セキュリティ ポリシーを起草し、すべての関連する利害関係者にそれを伝達しました。さらに、セキュリティの問題を詳しく説明するために他の特定のポリシーが開発され、すべての利害関係者に役割と責任が割り当てられました。
その後、人事部長は、ISMS によって作成された書類は ISMS の価値を正当化するものではなく、ISMS の導入を中止すべきだと主張しました。しかし、経営陣はこの主張は無効であると判断し、関係者全員に ISMS の利点を説明する啓発セッションを開催しました。
Operaze は、物理サーバーをサードパーティのインフラストラクチャ上の仮想サーバーに移行することを決定しました。新しいクラウド コンピューティング ソリューションは、会社にさらなる変化をもたらしました。一方、Operaze の経営陣は、効果的な ISMS を実装するだけでなく、ISMS 運用の円滑な実行を確保することも目指していました。このような状況で、Operaze の経営陣は、情報セキュリティ戦略を実行するには外部の専門家のサービスが必要であると結論付けました。一方、IT チームは、ISMS の範囲の変更を開始することを決定し、会社のプロセスに必要な変更を実施しました。
上記のシナリオに基づいて、次の質問に答えてください。
Operaze が ISMS を導入したきっかけは何ですか?
Operaze は小規模な会社であるため、IT チーム全体が ISMS 実装プロジェクトに関与しました。最初に、同社はビジネス要件と内部および外部環境を分析し、主要なプロセスと活動を特定し、利害関係者を特定して分析しました。さらに、Operaze のトップマネジメントは、会社のほとんどの部門を ISMS の範囲に含めることを決定しました。定義された範囲には、組織的および物理的な境界が含まれていました。IT チームは情報セキュリティ ポリシーを起草し、すべての関連する利害関係者にそれを伝達しました。さらに、セキュリティの問題を詳しく説明するために他の特定のポリシーが開発され、すべての利害関係者に役割と責任が割り当てられました。
その後、人事部長は、ISMS によって作成された書類は ISMS の価値を正当化するものではなく、ISMS の導入を中止すべきだと主張しました。しかし、経営陣はこの主張は無効であると判断し、関係者全員に ISMS の利点を説明する啓発セッションを開催しました。
Operaze は、物理サーバーをサードパーティのインフラストラクチャ上の仮想サーバーに移行することを決定しました。新しいクラウド コンピューティング ソリューションは、会社にさらなる変化をもたらしました。一方、Operaze の経営陣は、効果的な ISMS を実装するだけでなく、ISMS 運用の円滑な実行を確保することも目指していました。このような状況で、Operaze の経営陣は、情報セキュリティ戦略を実行するには外部の専門家のサービスが必要であると結論付けました。一方、IT チームは、ISMS の範囲の変更を開始することを決定し、会社のプロセスに必要な変更を実施しました。
上記のシナリオに基づいて、次の質問に答えてください。
Operaze が ISMS を導入したきっかけは何ですか?