ISO-IEC-27005-Risk-Manager 試験問題 1
シナリオ 6: Productscape は、ベルギーのブリュッセルに本社を置く市場調査会社です。同社は、組織が顧客のニーズと期待を理解し、新しいビジネス チャンスを特定できるよう支援しています。Productscape のチームは、マーケティングとビジネス戦略の豊富な経験を持ち、ヨーロッパで最も有名な組織のいくつかと連携しています。Productscape が事業を展開している業界では、効果的なリスク管理が必要です。Productscape は顧客の機密情報にアクセスできるため、そのセキュリティを確保する責任があります。そのため、同社は定期的にリスク評価を行っています。経営陣は、リスク管理プロセスの監視と情報セキュリティ リスクの処理を担当するリスク マネージャーとして Alex を任命しました。
最後に実施されたリスク評価は、情報資産に焦点を当てたものでした。このリスク評価の目的は、情報セキュリティ リスクを特定し、そのレベルを理解し、適切な処置を講じてシステムのセキュリティを確保することでした。Alex は、リスク評価活動を実行するために 3 人のメンバーからなるチームを結成しました。各チーム メンバーは、リスク評価の範囲に含まれる特定の部門を担当しました。リスク評価により、Productscape が直面するリスクを特定、理解、軽減するための貴重な情報が得られました。
最初に、チームはリスク識別結果に基づいて潜在的なリスクを特定しました。特定されたリスクを分析する前に、リスク受け入れ基準が確立されました。リスクを受け入れるための基準は、Productscape の目的、運用、およびテクノロジーに基づいて決定されました。チームはさまざまなリスク シナリオを作成し、発生の可能性を「低」、「中」、「高」と判断しました。リスク シナリオの発生の可能性が「低」と判断された場合は、それ以上の措置は講じないことに決定しました。一方、リスク シナリオの発生の可能性が「高」または「中」と判断された場合は、追加の制御が実施されます。Productscape のチームが定義した情報セキュリティ リスク シナリオの一部は次のとおりです。
1. サイバー攻撃者が Productscape の Web サイトのセキュリティ構成ミスの脆弱性を悪用して攻撃を仕掛け、その結果、ユーザーが Web サイトにアクセスできなくなる可能性があります。
2. サイバー攻撃者は顧客の機密情報にアクセスし、身代金を支払わない限り情報を公開すると脅迫する可能性があります。
3. 社内の従業員が電子メールに埋め込まれたリンクをクリックすると、安全でない Web サイトにリダイレクトされ、デバイスにマルウェアがインストールされます。
最初のリスク シナリオの発生可能性は「中」と判定されました。このようなリスクが発生する主な理由の 1 つは、デフォルトのアカウントとパスワードの使用です。攻撃者はこの脆弱性を悪用してブルート フォース攻撃を仕掛ける可能性があります。そのため、Productscape は自動化された「ビルドとデプロイ」プロセスの使用を開始することを決定しました。このプロセスでは、デプロイ時にソフトウェアをテストし、このようなインシデントが発生する可能性を最小限に抑えます。ただし、チームは、このプロセスの実装によってリスクが完全に排除されるわけではなく、このリスクが発生する可能性は依然として低いことを明確にしました。Productscape は、残りのリスクを文書化し、変更を監視することにしました。
2 番目のリスク シナリオの発生可能性は「中」と判断されました。Productscape は、このようなインシデントの発生を防ぐために、技術支援を提供し、会社のシステムとネットワークを監視する IT 企業と契約することを決定しました。
3 番目のリスク シナリオの発生可能性は「高い」と判断されました。そのため、Productscape は、情報セキュリティ トレーニング セッションのトピックとしてフィッシングを含めることにしました。さらに、Alex は、このリスクに対処するために必要なコントロールを決定するために、ISO/IEC 27001 の付録 A のコントロールを確認しました。Alex は、安全でない Web サイトにアクセスするリスクを軽減するのに役立つコントロール A.8.23 Web フィルタリングを実装することを決定しました。リスクに対処するためにセキュリティ コントロールが実装されましたが、残留リスクのレベルは、リスク評価プロセスの開始時に定義されたリスク受け入れ基準をまだ満たしていませんでした。追加のコントロールを実装するコストは会社にとって高すぎるため、Productscape は残留リスクを受け入れることを決定しました。したがって、リスク所有者に残留リスクの管理責任が割り当てられました。
2 番目のリスク シナリオではどのリスク処理オプションが使用されましたか? シナリオ 6 を参照してください。
最後に実施されたリスク評価は、情報資産に焦点を当てたものでした。このリスク評価の目的は、情報セキュリティ リスクを特定し、そのレベルを理解し、適切な処置を講じてシステムのセキュリティを確保することでした。Alex は、リスク評価活動を実行するために 3 人のメンバーからなるチームを結成しました。各チーム メンバーは、リスク評価の範囲に含まれる特定の部門を担当しました。リスク評価により、Productscape が直面するリスクを特定、理解、軽減するための貴重な情報が得られました。
最初に、チームはリスク識別結果に基づいて潜在的なリスクを特定しました。特定されたリスクを分析する前に、リスク受け入れ基準が確立されました。リスクを受け入れるための基準は、Productscape の目的、運用、およびテクノロジーに基づいて決定されました。チームはさまざまなリスク シナリオを作成し、発生の可能性を「低」、「中」、「高」と判断しました。リスク シナリオの発生の可能性が「低」と判断された場合は、それ以上の措置は講じないことに決定しました。一方、リスク シナリオの発生の可能性が「高」または「中」と判断された場合は、追加の制御が実施されます。Productscape のチームが定義した情報セキュリティ リスク シナリオの一部は次のとおりです。
1. サイバー攻撃者が Productscape の Web サイトのセキュリティ構成ミスの脆弱性を悪用して攻撃を仕掛け、その結果、ユーザーが Web サイトにアクセスできなくなる可能性があります。
2. サイバー攻撃者は顧客の機密情報にアクセスし、身代金を支払わない限り情報を公開すると脅迫する可能性があります。
3. 社内の従業員が電子メールに埋め込まれたリンクをクリックすると、安全でない Web サイトにリダイレクトされ、デバイスにマルウェアがインストールされます。
最初のリスク シナリオの発生可能性は「中」と判定されました。このようなリスクが発生する主な理由の 1 つは、デフォルトのアカウントとパスワードの使用です。攻撃者はこの脆弱性を悪用してブルート フォース攻撃を仕掛ける可能性があります。そのため、Productscape は自動化された「ビルドとデプロイ」プロセスの使用を開始することを決定しました。このプロセスでは、デプロイ時にソフトウェアをテストし、このようなインシデントが発生する可能性を最小限に抑えます。ただし、チームは、このプロセスの実装によってリスクが完全に排除されるわけではなく、このリスクが発生する可能性は依然として低いことを明確にしました。Productscape は、残りのリスクを文書化し、変更を監視することにしました。
2 番目のリスク シナリオの発生可能性は「中」と判断されました。Productscape は、このようなインシデントの発生を防ぐために、技術支援を提供し、会社のシステムとネットワークを監視する IT 企業と契約することを決定しました。
3 番目のリスク シナリオの発生可能性は「高い」と判断されました。そのため、Productscape は、情報セキュリティ トレーニング セッションのトピックとしてフィッシングを含めることにしました。さらに、Alex は、このリスクに対処するために必要なコントロールを決定するために、ISO/IEC 27001 の付録 A のコントロールを確認しました。Alex は、安全でない Web サイトにアクセスするリスクを軽減するのに役立つコントロール A.8.23 Web フィルタリングを実装することを決定しました。リスクに対処するためにセキュリティ コントロールが実装されましたが、残留リスクのレベルは、リスク評価プロセスの開始時に定義されたリスク受け入れ基準をまだ満たしていませんでした。追加のコントロールを実装するコストは会社にとって高すぎるため、Productscape は残留リスクを受け入れることを決定しました。したがって、リスク所有者に残留リスクの管理責任が割り当てられました。
2 番目のリスク シナリオではどのリスク処理オプションが使用されましたか? シナリオ 6 を参照してください。
ISO-IEC-27005-Risk-Manager 試験問題 2
シナリオ 7: Adstry は、デジタル マーケティング戦略を専門とするビジネス成長代理店です。Adstry は、革新的なソリューションを通じて組織が顧客との関係を再定義するのを支援します。Adstry はサンフランシスコに本社を置き、最近ニューヨークに 2 つの新しいオフィスを開設しました。同社の組織は、プロジェクト マネージャーが率いるチームで構成されています。プロジェクト マネージャーは、プロジェクトに関連するすべての決定権を持ちます。一方、チーム メンバーは、プロジェクトの進捗状況をプロジェクト マネージャーに報告します。
データ侵害や広告詐欺は現在のビジネス環境における一般的な脅威であることを考慮すると、リスク管理は Adstry にとって不可欠です。新しいプロジェクトを計画する際、各プロジェクト マネージャーは、特定のプロジェクトに関連するリスクが特定、評価、および軽減されていることを確認する責任があります。つまり、プロジェクト マネージャーは Adstry のリスク マネージャーの役割も担っています。Adstry はプロジェクトを完了するためにテクノロジーに大きく依存していることを考慮すると、リスク評価には情報テクノロジーの使用に関連するリスクの特定が間違いなく含まれます。各プロジェクトの初期段階で、プロジェクト マネージャーはリスク評価の結果をチーム メンバーに伝えます。
Adstry は、プロジェクト チームがプロジェクトの各フェーズで新しい潜在的リスクを検出できるように支援するリスク管理ソフトウェアを使用しています。これにより、チーム メンバーは新しい潜在的リスクについてタイムリーに通知され、それに応じて対応することができます。プロジェクト マネージャーは、チーム メンバーに提供される情報が適切な言語を使用して伝達され、全員が理解できるようにする責任があります。
さらに、プロジェクト マネージャーは、プロジェクトの影響を受ける外部の利害関係者をリスク コミュニケーションに含めることができます。プロジェクト マネージャーが利害関係者を含めることを決定した場合、リスク コミュニケーションは徹底的に準備されます。プロジェクト マネージャーは、まず、通知する必要がある利害関係者を特定し、リスク コミュニケーションによって生じる可能性のある利害関係者の懸念と対立を考慮します。リスクは、Adstry の情報の機密性を考慮し、リスク コミュニケーションに含める必要がある詳細レベルを決定しながら、特定された利害関係者に伝えられます。プロジェクト マネージャーは、リスクの一貫したビューを提供するため、外部の利害関係者とのリスク コミュニケーションに同じリスク管理ソフトウェアを使用します。プロジェクト マネージャーは、プロジェクトごとに、プロジェクトの関連する利害関係者との定期的な会議を手配し、検出されたリスクとその優先順位について話し合い、適切な処理ソリューションを決定します。リスク管理ソフトウェアから取得された情報とこれらの会議の結果は文書化され、意思決定プロセスに使用されます。さらに、同社は、文書の取得、分類、保管、アーカイブにコンピューター化された文書化された情報管理システムを使用しています。
シナリオ 7 に基づいて、Adstry のプロジェクト マネージャーがチーム メンバーにリスクを伝える際に従う効率的なコミュニケーション戦略の原則はどれですか。
データ侵害や広告詐欺は現在のビジネス環境における一般的な脅威であることを考慮すると、リスク管理は Adstry にとって不可欠です。新しいプロジェクトを計画する際、各プロジェクト マネージャーは、特定のプロジェクトに関連するリスクが特定、評価、および軽減されていることを確認する責任があります。つまり、プロジェクト マネージャーは Adstry のリスク マネージャーの役割も担っています。Adstry はプロジェクトを完了するためにテクノロジーに大きく依存していることを考慮すると、リスク評価には情報テクノロジーの使用に関連するリスクの特定が間違いなく含まれます。各プロジェクトの初期段階で、プロジェクト マネージャーはリスク評価の結果をチーム メンバーに伝えます。
Adstry は、プロジェクト チームがプロジェクトの各フェーズで新しい潜在的リスクを検出できるように支援するリスク管理ソフトウェアを使用しています。これにより、チーム メンバーは新しい潜在的リスクについてタイムリーに通知され、それに応じて対応することができます。プロジェクト マネージャーは、チーム メンバーに提供される情報が適切な言語を使用して伝達され、全員が理解できるようにする責任があります。
さらに、プロジェクト マネージャーは、プロジェクトの影響を受ける外部の利害関係者をリスク コミュニケーションに含めることができます。プロジェクト マネージャーが利害関係者を含めることを決定した場合、リスク コミュニケーションは徹底的に準備されます。プロジェクト マネージャーは、まず、通知する必要がある利害関係者を特定し、リスク コミュニケーションによって生じる可能性のある利害関係者の懸念と対立を考慮します。リスクは、Adstry の情報の機密性を考慮し、リスク コミュニケーションに含める必要がある詳細レベルを決定しながら、特定された利害関係者に伝えられます。プロジェクト マネージャーは、リスクの一貫したビューを提供するため、外部の利害関係者とのリスク コミュニケーションに同じリスク管理ソフトウェアを使用します。プロジェクト マネージャーは、プロジェクトごとに、プロジェクトの関連する利害関係者との定期的な会議を手配し、検出されたリスクとその優先順位について話し合い、適切な処理ソリューションを決定します。リスク管理ソフトウェアから取得された情報とこれらの会議の結果は文書化され、意思決定プロセスに使用されます。さらに、同社は、文書の取得、分類、保管、アーカイブにコンピューター化された文書化された情報管理システムを使用しています。
シナリオ 7 に基づいて、Adstry のプロジェクト マネージャーがチーム メンバーにリスクを伝える際に従う効率的なコミュニケーション戦略の原則はどれですか。
ISO-IEC-27005-Risk-Manager 試験問題 3
シナリオ 7: Adstry は、デジタル マーケティング戦略を専門とするビジネス成長代理店です。Adstry は、革新的なソリューションを通じて組織が顧客との関係を再定義するのを支援します。Adstry はサンフランシスコに本社を置き、最近ニューヨークに 2 つの新しいオフィスを開設しました。同社の組織は、プロジェクト マネージャーが率いるチームで構成されています。プロジェクト マネージャーは、プロジェクトに関連するすべての決定権を持ちます。一方、チーム メンバーは、プロジェクトの進捗状況をプロジェクト マネージャーに報告します。
データ侵害や広告詐欺は現在のビジネス環境における一般的な脅威であることを考慮すると、リスク管理は Adstry にとって不可欠です。新しいプロジェクトを計画する際、各プロジェクト マネージャーは、特定のプロジェクトに関連するリスクが特定、評価、および軽減されていることを確認する責任があります。つまり、プロジェクト マネージャーは Adstry のリスク マネージャーの役割も担っています。Adstry はプロジェクトを完了するためにテクノロジーに大きく依存していることを考慮すると、リスク評価には情報テクノロジーの使用に関連するリスクの特定が間違いなく含まれます。各プロジェクトの初期段階で、プロジェクト マネージャーはリスク評価の結果をチーム メンバーに伝えます。
Adstry は、プロジェクト チームがプロジェクトの各フェーズで新しい潜在的リスクを検出できるように支援するリスク管理ソフトウェアを使用しています。これにより、チーム メンバーは新しい潜在的リスクについてタイムリーに通知され、それに応じて対応することができます。プロジェクト マネージャーは、チーム メンバーに提供される情報が適切な言語を使用して伝達され、全員が理解できるようにする責任があります。
さらに、プロジェクト マネージャーは、プロジェクトの影響を受ける外部の利害関係者をリスク コミュニケーションに含めることができます。プロジェクト マネージャーが利害関係者を含めることを決定した場合、リスク コミュニケーションは徹底的に準備されます。プロジェクト マネージャーは、まず、通知する必要がある利害関係者を特定し、リスク コミュニケーションによって生じる可能性のある利害関係者の懸念と対立を考慮します。リスクは、Adstry の情報の機密性を考慮し、リスク コミュニケーションに含める必要がある詳細レベルを決定しながら、特定された利害関係者に伝えられます。プロジェクト マネージャーは、リスクの一貫したビューを提供するため、外部の利害関係者とのリスク コミュニケーションに同じリスク管理ソフトウェアを使用します。プロジェクト マネージャーは、プロジェクトごとに、プロジェクトの関連する利害関係者との定期的な会議を手配し、検出されたリスクとその優先順位について話し合い、適切な処理ソリューションを決定します。リスク管理ソフトウェアから取得された情報とこれらの会議の結果は文書化され、意思決定プロセスに使用されます。さらに、同社は、文書の取得、分類、保管、アーカイブにコンピューター化された文書化された情報管理システムを使用しています。
シナリオ 7 に基づいて、Adstry のプロジェクト マネージャーは関係者と定期的に会議を開き、リスクとリスク処理ソリューションについて話し合います。ISO/IEC 27005 のガイドラインによれば、これはベスト プラクティスに準拠していますか?
データ侵害や広告詐欺は現在のビジネス環境における一般的な脅威であることを考慮すると、リスク管理は Adstry にとって不可欠です。新しいプロジェクトを計画する際、各プロジェクト マネージャーは、特定のプロジェクトに関連するリスクが特定、評価、および軽減されていることを確認する責任があります。つまり、プロジェクト マネージャーは Adstry のリスク マネージャーの役割も担っています。Adstry はプロジェクトを完了するためにテクノロジーに大きく依存していることを考慮すると、リスク評価には情報テクノロジーの使用に関連するリスクの特定が間違いなく含まれます。各プロジェクトの初期段階で、プロジェクト マネージャーはリスク評価の結果をチーム メンバーに伝えます。
Adstry は、プロジェクト チームがプロジェクトの各フェーズで新しい潜在的リスクを検出できるように支援するリスク管理ソフトウェアを使用しています。これにより、チーム メンバーは新しい潜在的リスクについてタイムリーに通知され、それに応じて対応することができます。プロジェクト マネージャーは、チーム メンバーに提供される情報が適切な言語を使用して伝達され、全員が理解できるようにする責任があります。
さらに、プロジェクト マネージャーは、プロジェクトの影響を受ける外部の利害関係者をリスク コミュニケーションに含めることができます。プロジェクト マネージャーが利害関係者を含めることを決定した場合、リスク コミュニケーションは徹底的に準備されます。プロジェクト マネージャーは、まず、通知する必要がある利害関係者を特定し、リスク コミュニケーションによって生じる可能性のある利害関係者の懸念と対立を考慮します。リスクは、Adstry の情報の機密性を考慮し、リスク コミュニケーションに含める必要がある詳細レベルを決定しながら、特定された利害関係者に伝えられます。プロジェクト マネージャーは、リスクの一貫したビューを提供するため、外部の利害関係者とのリスク コミュニケーションに同じリスク管理ソフトウェアを使用します。プロジェクト マネージャーは、プロジェクトごとに、プロジェクトの関連する利害関係者との定期的な会議を手配し、検出されたリスクとその優先順位について話し合い、適切な処理ソリューションを決定します。リスク管理ソフトウェアから取得された情報とこれらの会議の結果は文書化され、意思決定プロセスに使用されます。さらに、同社は、文書の取得、分類、保管、アーカイブにコンピューター化された文書化された情報管理システムを使用しています。
シナリオ 7 に基づいて、Adstry のプロジェクト マネージャーは関係者と定期的に会議を開き、リスクとリスク処理ソリューションについて話し合います。ISO/IEC 27005 のガイドラインによれば、これはベスト プラクティスに準拠していますか?
ISO-IEC-27005-Risk-Manager 試験問題 4
組織は ISO 31000 の認証を取得できますか?
ISO-IEC-27005-Risk-Manager 試験問題 5
次のリスク評価方法のうち、情報セキュリティ リスク評価方法論を提供し、資産ベースの脅威プロファイルの構築、インフラストラクチャの脆弱性の特定、セキュリティ戦略と計画の策定という 3 つのフェーズを含むものはどれですか。