ISO-IEC-27001-Lead-Implementer 試験問題 1
コンピュータ システムに対する非人間的な脅威は洪水です。洪水が常に関連する脅威となる状況はどれですか?
ISO-IEC-27001-Lead-Implementer 試験問題 2
シナリオ 4: TradeB は、ヨーロッパに拠点を置く新設の商業銀行で、多様な顧客を抱えています。小売バンキング、法人向けバンキング、資産管理、デジタル バンキングなど、地域の個人や企業の変化する金融ニーズに合わせてカスタマイズされたサービスを提供しています。現代の銀行業界における情報セキュリティの重要性を認識した TradeB は、ISO/IEC 27001 に基づく情報セキュリティ管理システム (ISMS) の導入を開始しました。ISMS の導入を成功させるため、経営陣は 2 人の専門家と契約し、ISMS 導入プロジェクトを主導および監督することを決定しました。
ISMS を実装するための主な戦略として、専門家は、最初に ISO/IEC 27001 の最小要件を満たし、その後、時間をかけて継続的に改善することで、ISMS を迅速に実装することに重点を置いたアプローチを選択しました。さらに、専門家の指導の下、TradeB は、特定のツールを組み込むことなく、ISMS 実装の高レベルの段階、関連するアクティビティ、および成果物を概説する構造化されたフレームワークおよびガイドラインとして機能する方法論的フレームワークを選択しました。
専門家は ISO/IEC 27001 管理策を分析し、会社とその目的に適用可能と判断されたセキュリティ管理策のみをリストアップしました。この分析に基づいて、適用性ステートメントを起草しました。その後、リスク評価を実施し、ハードウェア、ソフトウェア、ネットワークなどの資産、脅威、脆弱性を特定し、潜在的な結果と可能性を評価し、評価プロセスで使用される用語と基準を定義および特徴付け、それらを非数値レベル (非常に低い、低い、中程度、高い、非常に高いなど) に分類する体系的なアプローチに基づいてリスクのレベルを決定しました。繰り返し性と再現性を高めることを主な目的として、評価値を正当化するための説明文が慎重に作成されました。
次に、リスク評価基準に基づいてリスクを評価し、高リスクカテゴリのリスクのみを扱うことを決定しました。さらに、管理者権限の不正使用と複数のハードウェア障害によるシステム中断に主に焦点を当てました。これらの問題に対処するために、新しいバージョンのアクセス制御ポリシーを確立し、ユーザーアクセスを管理および制御するための制御を実装し、ビジネス継続性を確保するためのICT準備のための制御を導入しました。
リスク評価レポートでは、実装されたセキュリティ制御によってリスク レベルが許容可能なしきい値まで低下した場合、それらのリスクは受け入れられると示されていました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ 4 によれば、リスク評価中にどのような種類の資産が特定されましたか?
ISMS を実装するための主な戦略として、専門家は、最初に ISO/IEC 27001 の最小要件を満たし、その後、時間をかけて継続的に改善することで、ISMS を迅速に実装することに重点を置いたアプローチを選択しました。さらに、専門家の指導の下、TradeB は、特定のツールを組み込むことなく、ISMS 実装の高レベルの段階、関連するアクティビティ、および成果物を概説する構造化されたフレームワークおよびガイドラインとして機能する方法論的フレームワークを選択しました。
専門家は ISO/IEC 27001 管理策を分析し、会社とその目的に適用可能と判断されたセキュリティ管理策のみをリストアップしました。この分析に基づいて、適用性ステートメントを起草しました。その後、リスク評価を実施し、ハードウェア、ソフトウェア、ネットワークなどの資産、脅威、脆弱性を特定し、潜在的な結果と可能性を評価し、評価プロセスで使用される用語と基準を定義および特徴付け、それらを非数値レベル (非常に低い、低い、中程度、高い、非常に高いなど) に分類する体系的なアプローチに基づいてリスクのレベルを決定しました。繰り返し性と再現性を高めることを主な目的として、評価値を正当化するための説明文が慎重に作成されました。
次に、リスク評価基準に基づいてリスクを評価し、高リスクカテゴリのリスクのみを扱うことを決定しました。さらに、管理者権限の不正使用と複数のハードウェア障害によるシステム中断に主に焦点を当てました。これらの問題に対処するために、新しいバージョンのアクセス制御ポリシーを確立し、ユーザーアクセスを管理および制御するための制御を実装し、ビジネス継続性を確保するためのICT準備のための制御を導入しました。
リスク評価レポートでは、実装されたセキュリティ制御によってリスク レベルが許容可能なしきい値まで低下した場合、それらのリスクは受け入れられると示されていました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ 4 によれば、リスク評価中にどのような種類の資産が特定されましたか?
ISO-IEC-27001-Lead-Implementer 試験問題 3
シナリオ2:
Beauty は、美容業界で定評のある化粧品会社です。同社は、自然な美しさを高める高品質のスキンケア、メイクアップ、パーソナルケア製品の開発に情熱を傾けて数十年前に設立されました。長年にわたり、Beauty は革新的な製品、顧客満足への取り組み、倫理的で持続可能なビジネス慣行への献身により、高い評価を築いてきました。
消費者のショッピング習慣が急速に変化していることを受けて、Beauty は従来の小売業から電子商取引モデルに移行しました。この戦略を開始するにあたり、Beauty は包括的な情報セキュリティ リスク評価を実施し、ビジネス戦略と目標に沿って、新しい電子商取引事業に関連する潜在的な脅威と脆弱性を分析しました。
特定されたリスクに関して、同社はいくつかの情報セキュリティ管理を実施しました。すべての従業員は機密保持契約に署名し、顧客の機密データを保護することの重要性を強調しました。同社はユーザーのアクセス権を徹底的に見直し、許可された担当者だけが機密情報にアクセスできるようにしました。さらに、同社は貴重な製品と独自の製法を倉庫に保管しているため、破壊行為の可能性を防ぐために、リアルタイムで警告を発する警報システムと監視カメラを設置しました。
しばらくして、情報セキュリティ チームは監査ログを分析し、新たに実装されたセキュリティ制御全体のアクティビティを監視および追跡しました。監査ログを調査および分析した結果、古いマルウェア対策ソフトウェアが原因で攻撃者がシステムにアクセスし、名前や自宅住所などの顧客の機密情報を漏洩していたことが判明しました。これを受けて、IT チームはマルウェア対策ソフトウェアを、同様のインシデントが発生した場合に悪意のあるコードを自動的に削除できる新しいソフトウェアに置き換えました。新しいソフトウェアはすべてのワークステーションにインストールされ、最新のマルウェア定義で定期的に更新され、自動更新機能が有効になりました。機密情報にアクセスするために、ユーザー ID とパスワードを必要とする認証プロセスも実装されました。
調査中、Beauty の情報セキュリティ マネージャーである Maya は、職務記述書の情報セキュリティ責任が明確に定義されていないことに気付き、会社は直ちに対策を講じました。Beauty は、自社の e コマース事業が世界規模で展開されることを認識し、業界の法律、法令、規制、契約上の要件を熱心に調査し、遵守しました。データ プライバシー法、消費者保護法、国際貿易協定などの国際規制と地域規制を考慮しました。
これらの要件を満たすために、Beauty は法律顧問とコンプライアンスの専門家に投資し、事業を展開するすべての市場で会社が法的基準に準拠していることを継続的に監視および確認しました。さらに、Beauty は IT チームと機密情報にアクセスできるその他の従業員を対象に、システムとネットワークのセキュリティの重要性を強調する情報セキュリティ啓発セッションを複数回実施しました。
シナリオ 2 に基づいて、Beauty はインシデント調査中にどのような種類の制御を使用しましたか?
Beauty は、美容業界で定評のある化粧品会社です。同社は、自然な美しさを高める高品質のスキンケア、メイクアップ、パーソナルケア製品の開発に情熱を傾けて数十年前に設立されました。長年にわたり、Beauty は革新的な製品、顧客満足への取り組み、倫理的で持続可能なビジネス慣行への献身により、高い評価を築いてきました。
消費者のショッピング習慣が急速に変化していることを受けて、Beauty は従来の小売業から電子商取引モデルに移行しました。この戦略を開始するにあたり、Beauty は包括的な情報セキュリティ リスク評価を実施し、ビジネス戦略と目標に沿って、新しい電子商取引事業に関連する潜在的な脅威と脆弱性を分析しました。
特定されたリスクに関して、同社はいくつかの情報セキュリティ管理を実施しました。すべての従業員は機密保持契約に署名し、顧客の機密データを保護することの重要性を強調しました。同社はユーザーのアクセス権を徹底的に見直し、許可された担当者だけが機密情報にアクセスできるようにしました。さらに、同社は貴重な製品と独自の製法を倉庫に保管しているため、破壊行為の可能性を防ぐために、リアルタイムで警告を発する警報システムと監視カメラを設置しました。
しばらくして、情報セキュリティ チームは監査ログを分析し、新たに実装されたセキュリティ制御全体のアクティビティを監視および追跡しました。監査ログを調査および分析した結果、古いマルウェア対策ソフトウェアが原因で攻撃者がシステムにアクセスし、名前や自宅住所などの顧客の機密情報を漏洩していたことが判明しました。これを受けて、IT チームはマルウェア対策ソフトウェアを、同様のインシデントが発生した場合に悪意のあるコードを自動的に削除できる新しいソフトウェアに置き換えました。新しいソフトウェアはすべてのワークステーションにインストールされ、最新のマルウェア定義で定期的に更新され、自動更新機能が有効になりました。機密情報にアクセスするために、ユーザー ID とパスワードを必要とする認証プロセスも実装されました。
調査中、Beauty の情報セキュリティ マネージャーである Maya は、職務記述書の情報セキュリティ責任が明確に定義されていないことに気付き、会社は直ちに対策を講じました。Beauty は、自社の e コマース事業が世界規模で展開されることを認識し、業界の法律、法令、規制、契約上の要件を熱心に調査し、遵守しました。データ プライバシー法、消費者保護法、国際貿易協定などの国際規制と地域規制を考慮しました。
これらの要件を満たすために、Beauty は法律顧問とコンプライアンスの専門家に投資し、事業を展開するすべての市場で会社が法的基準に準拠していることを継続的に監視および確認しました。さらに、Beauty は IT チームと機密情報にアクセスできるその他の従業員を対象に、システムとネットワークのセキュリティの重要性を強調する情報セキュリティ啓発セッションを複数回実施しました。
シナリオ 2 に基づいて、Beauty はインシデント調査中にどのような種類の制御を使用しましたか?
ISO-IEC-27001-Lead-Implementer 試験問題 4
A 社では、従業員に少なくとも 60 日に 1 回は電子メールのパスワードを変更するよう要求している場合、どのようなリスク処理オプションを実装していますか?
ISO-IEC-27001-Lead-Implementer 試験問題 5
組織が使用するアプリケーションには複雑なユーザー インターフェイスがあります。この場合、複雑なユーザー インターフェイスは何を表しているのでしょうか。