PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor日本語版) - ISO-IEC-27001-Lead-Auditor日本語 模擬練習
ビジネスプロセスの計画・実行・評価・改善サイクルにおける「計画」に当てはまるフレーズは次のうちどれか2つはどれですか?
* 文書の保管
* 文書の保管
正解: A,B
解説: (PassTest メンバーにのみ表示されます)
情報セキュリティインシデントが発生した場合、システムユーザーの役割と責任は遵守されなければならないが、以下の場合は例外とする。
正解: B
解説: (PassTest メンバーにのみ表示されます)
あなたは、地元の病院や政府機関などの大企業に配送サービスを提供する国際物流企業の発送部門でISMS監査を実施しています。小包には通常、医薬品、生物学的サンプル、パスポートや運転免許証などの書類が含まれています。会社の記録によると、返送された品目が非常に多く、その原因としてラベルの誤りや、15%のケースで1つの荷物に対して2つ以上の異なる住所のラベルが貼られていることがわかっています。あなたは配送マネージャー(SM)にインタビューを行っています。
あなた:商品は発送前に検品されていますか?
SM:明らかに破損している商品は、発送前に担当スタッフが取り除きますが、利益率が低いため、正式な検査プロセスを実施するのは経済的に見合わないのです。
あなた:商品が返品された場合、どのような対応が取られますか?
SM:これらの契約のほとんどは比較的少額であるため、調査を実施するよりも、ラベルを再印刷して個々の小包を再送する方が簡単で便利だと判断されました。
あなたは、ラベル貼付工程の管理不足に基づき、ISO 27001:2022に対する不適合を申し立てました。
最終会議で、出荷マネージャーは、自分の発言が誤解を招いた可能性があるとして謝罪しました。彼は、正しいラベルが正しい荷物に貼られているかを自動的にチェックするバックグラウンドのITプロセスがあり、そうでない場合はラベル貼付時に荷物が排出されることに気づいていなかったと述べました。そして、不適合の申し立てを取り下げるよう求めました。
監査チームリーダーとして、出荷マネージャーからの依頼に対してあなたが取るべき適切な回答を3つ選択してください。
あなた:商品は発送前に検品されていますか?
SM:明らかに破損している商品は、発送前に担当スタッフが取り除きますが、利益率が低いため、正式な検査プロセスを実施するのは経済的に見合わないのです。
あなた:商品が返品された場合、どのような対応が取られますか?
SM:これらの契約のほとんどは比較的少額であるため、調査を実施するよりも、ラベルを再印刷して個々の小包を再送する方が簡単で便利だと判断されました。
あなたは、ラベル貼付工程の管理不足に基づき、ISO 27001:2022に対する不適合を申し立てました。
最終会議で、出荷マネージャーは、自分の発言が誤解を招いた可能性があるとして謝罪しました。彼は、正しいラベルが正しい荷物に貼られているかを自動的にチェックするバックグラウンドのITプロセスがあり、そうでない場合はラベル貼付時に荷物が排出されることに気づいていなかったと述べました。そして、不適合の申し立てを取り下げるよう求めました。
監査チームリーダーとして、出荷マネージャーからの依頼に対してあなたが取るべき適切な回答を3つ選択してください。
正解: D,G,H
解説: (PassTest メンバーにのみ表示されます)
シナリオ9
小規模なネットワーク企業であるCloudFortは、ネットワークセキュリティ、クラウドコンピューティング、仮想化ソリューションを提供しています。同社は最近、ISO/IEC 27001規格に基づく情報セキュリティマネジメントシステム(ISMS)の認証を取得し、その結果、認知度が急上昇し、CloudFortの事業運営の成熟度が証明されました。
CloudFortは、内部監査を実施することで、セキュリティ管理体制とISMS全体の有効性および効率性を継続的に見直し、強化してきました。しかし、その規模の大きさと、より高い客観性を求める姿勢から、経営陣は内部監査機能を外部委託することを決定しました。これにより、内部監査が監査対象業務から独立し、ISMSの継続的な改善において助言的な役割を果たすことが保証されます。
最初の認証監査後、同社はデータストレージソリューションを専門とする新部門を設立しました。この部門では、データセンター向けに最適化されたルーターやスイッチ、ネットワーク仮想化やネットワークセキュリティ機器などのソフトウェアベースのネットワーク機器を提供しました。新部門の設立に伴い、CloudFortはリスク評価プロセスと内部監査を開始しました。内部監査の結果、同社は新しいプロセスと管理体制の有効性と効率性を確認しました。
新設部署がISO/IEC 27001の要求事項を完全に満たしていることを確認した後、経営陣は同部署を認証範囲に含めることを決定しました。そして、同部署のプロセスとセキュリティ対策がISMS全体と完全に整合するように、認証範囲の拡大を認証機関に申請しました。
最初の認証監査から1年後、認証機関はCloudFortのISMSに対する再監査を実施しました。この監査の目的は、CloudFortのISMSがISO/IEC 27001の規定要件を満たしているかどうかを判断し、ISMSが継続的に改善されていることを確認することでした。監査チームは、認証されたISMSが規格要件を満たしていることを確認しました。しかしながら、新設された部署は、マネジメントシステム全体の運営方法に大きな影響を与える変更を導入したため、既存のプロセスと管理体制の更新が必要となりました。
さらに、CloudFortは認証範囲の拡大を申請したものの、新設部署がISMSに与える影響について、認証機関にタイムリーな情報提供を行わなかった。そのため、CloudFortの認証は停止された。
質問
CloudFort社は、新しい部門を含めるように認証範囲の拡大を要求しました。この状況をどのように分類しますか?シナリオ9を参照してください。
小規模なネットワーク企業であるCloudFortは、ネットワークセキュリティ、クラウドコンピューティング、仮想化ソリューションを提供しています。同社は最近、ISO/IEC 27001規格に基づく情報セキュリティマネジメントシステム(ISMS)の認証を取得し、その結果、認知度が急上昇し、CloudFortの事業運営の成熟度が証明されました。
CloudFortは、内部監査を実施することで、セキュリティ管理体制とISMS全体の有効性および効率性を継続的に見直し、強化してきました。しかし、その規模の大きさと、より高い客観性を求める姿勢から、経営陣は内部監査機能を外部委託することを決定しました。これにより、内部監査が監査対象業務から独立し、ISMSの継続的な改善において助言的な役割を果たすことが保証されます。
最初の認証監査後、同社はデータストレージソリューションを専門とする新部門を設立しました。この部門では、データセンター向けに最適化されたルーターやスイッチ、ネットワーク仮想化やネットワークセキュリティ機器などのソフトウェアベースのネットワーク機器を提供しました。新部門の設立に伴い、CloudFortはリスク評価プロセスと内部監査を開始しました。内部監査の結果、同社は新しいプロセスと管理体制の有効性と効率性を確認しました。
新設部署がISO/IEC 27001の要求事項を完全に満たしていることを確認した後、経営陣は同部署を認証範囲に含めることを決定しました。そして、同部署のプロセスとセキュリティ対策がISMS全体と完全に整合するように、認証範囲の拡大を認証機関に申請しました。
最初の認証監査から1年後、認証機関はCloudFortのISMSに対する再監査を実施しました。この監査の目的は、CloudFortのISMSがISO/IEC 27001の規定要件を満たしているかどうかを判断し、ISMSが継続的に改善されていることを確認することでした。監査チームは、認証されたISMSが規格要件を満たしていることを確認しました。しかしながら、新設された部署は、マネジメントシステム全体の運営方法に大きな影響を与える変更を導入したため、既存のプロセスと管理体制の更新が必要となりました。
さらに、CloudFortは認証範囲の拡大を申請したものの、新設部署がISMSに与える影響について、認証機関にタイムリーな情報提供を行わなかった。そのため、CloudFortの認証は停止された。
質問
CloudFort社は、新しい部門を含めるように認証範囲の拡大を要求しました。この状況をどのように分類しますか?シナリオ9を参照してください。
正解: B
解説: (PassTest メンバーにのみ表示されます)
シナリオ9:ネットワーク企業であるUpNetは、ISO/IEC 27001の認証を取得しています。同社は、ネットワークセキュリティ、仮想化、クラウドコンピューティング、ネットワークハードウェア、ネットワーク管理ソフトウェア、およびネットワーク技術を提供しています。
ISO/IEC 27001認証取得以来、同社の認知度は飛躍的に向上した。この認証は、UpNefsの事業運営の成熟度と、広く認知され受け入れられている規格への準拠を証明するものである。
しかし、認証取得後もすべてが終わったわけではありませんでした。UpNetは、内部監査を実施することで、セキュリティ管理体制とISMS全体の有効性および効率性を継続的に見直し、強化しました。経営陣は専任の内部監査チームを雇用する意思がなかったため、内部監査機能を外部委託することにしました。この形式の内部監査により、独立性、客観性が確保され、ISMSの継続的な改善に関する助言的な役割を担うことができました。
最初の認証監査から間もなく、同社はデータおよびストレージ製品に特化した新部門を設立した。この部門では、データセンター向けに最適化されたルーターやスイッチ、ネットワーク仮想化やネットワークセキュリティ機器といったソフトウェアベースのネットワーク機器を提供した。これにより、ISMS認証の対象範囲に既に含まれている他の部門の業務にも変更が生じた。
そのため、UpNetはリスク評価プロセスと内部監査を開始しました。内部監査の結果、同社は既存および新規のプロセスと管理体制の有効性と効率性を確認しました。
経営陣は、新設された部門がISO/IEC 27001の要件を満たしていることから、認証対象に含めることを決定した。UpNetはISO/IEC 27001認証を取得したことを発表し、認証範囲は会社全体に及ぶとしている。
最初の認証監査から1年後、認証機関はUpNefsのISMS(情報セキュリティマネジメントシステム)に対する別の監査を実施した。
この監査は、UpNefsのISMSがISO/IEC 27001の規定要件を満たしているかを確認し、ISMSが継続的に改善されていることを確認することを目的としていました。監査チームは、認証済みのISMSが引き続き規格の要件を満たしていることを確認しました。しかしながら、新設された部署がマネジメントシステムの運営に大きな影響を与えました。さらに、認証機関にはこれらの変更について一切通知されていませんでした。そのため、UpNefsの認証は一時停止されました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ9に基づくと、UpNefsの認証が停止された理由は何だったのでしょうか?
ISO/IEC 27001認証取得以来、同社の認知度は飛躍的に向上した。この認証は、UpNefsの事業運営の成熟度と、広く認知され受け入れられている規格への準拠を証明するものである。
しかし、認証取得後もすべてが終わったわけではありませんでした。UpNetは、内部監査を実施することで、セキュリティ管理体制とISMS全体の有効性および効率性を継続的に見直し、強化しました。経営陣は専任の内部監査チームを雇用する意思がなかったため、内部監査機能を外部委託することにしました。この形式の内部監査により、独立性、客観性が確保され、ISMSの継続的な改善に関する助言的な役割を担うことができました。
最初の認証監査から間もなく、同社はデータおよびストレージ製品に特化した新部門を設立した。この部門では、データセンター向けに最適化されたルーターやスイッチ、ネットワーク仮想化やネットワークセキュリティ機器といったソフトウェアベースのネットワーク機器を提供した。これにより、ISMS認証の対象範囲に既に含まれている他の部門の業務にも変更が生じた。
そのため、UpNetはリスク評価プロセスと内部監査を開始しました。内部監査の結果、同社は既存および新規のプロセスと管理体制の有効性と効率性を確認しました。
経営陣は、新設された部門がISO/IEC 27001の要件を満たしていることから、認証対象に含めることを決定した。UpNetはISO/IEC 27001認証を取得したことを発表し、認証範囲は会社全体に及ぶとしている。
最初の認証監査から1年後、認証機関はUpNefsのISMS(情報セキュリティマネジメントシステム)に対する別の監査を実施した。
この監査は、UpNefsのISMSがISO/IEC 27001の規定要件を満たしているかを確認し、ISMSが継続的に改善されていることを確認することを目的としていました。監査チームは、認証済みのISMSが引き続き規格の要件を満たしていることを確認しました。しかしながら、新設された部署がマネジメントシステムの運営に大きな影響を与えました。さらに、認証機関にはこれらの変更について一切通知されていませんでした。そのため、UpNefsの認証は一時停止されました。
上記のシナリオに基づいて、次の質問に答えてください。
シナリオ9に基づくと、UpNefsの認証が停止された理由は何だったのでしょうか?
正解: A
解説: (PassTest メンバーにのみ表示されます)
シナリオ7:Webvue。日本に本社を置くWebvueは、コンピュータソフトウェアの開発、サポート、保守を専門とするテクノロジー企業です。Webvueは、さまざまな技術分野とビジネスセクターにわたるソリューションを提供しています。主力サービスは、ストレージ、ネットワーク、仮想コンピューティングサービスを提供する包括的なクラウドコンピューティングプラットフォームであるCloudWebvueです。企業と個人ユーザーの両方向けに設計されたCloudWebvueは、柔軟性、拡張性、信頼性で知られています。
Webvue は、ISO/IEC 27001 認証範囲に CloudWebvue のみを含めることを決定しました。そのため、ステージ 1 と 2 の監査は同時に実施されました。Webvue は、資産の機密性に関する厳格さを誇りとしています。適切な暗号化制御を使用して、CloudWebvue に保存されている情報を保護しています。内部使用、制限付き、または機密のいずれであっても、分類レベルのすべての情報は、まず一意の対応するハッシュで暗号化され、次にクラウドに保存されます。監査チームは、Keith、Sean、Layla、Sam、および Tina の 5 人で構成されていました。IT および情報セキュリティ監査チームで最も経験豊富な監査人である Keith が監査チームのリーダーでした。彼の責任には、監査の計画と監査チームの管理が含まれていました。ショーンとレイラは、プロジェクト計画、ビジネス分析、IT システム (ハードウェアとアプリケーション) の経験が豊富でした。彼らのタスクには、Webvue の内部システムとプロセスに従った監査計画が含まれていました。一方、最近教育を終えたサムとティナは、監査スキルを開発しながら日々のタスクを完了する責任を負っていました。監査チームは、関連するスタッフへのインタビューを通じて、ISO/IEC 27001 附属書 A の管理 8.24 暗号化の使用への適合性を検証する中で、暗号鍵が最初にランダムビットジェネレータ (RBG) と暗号鍵生成のためのその他のベスト プラクティスに基づいて生成されたことを発見しました。Webvue の暗号化ポリシーを確認した後、インタビューで得られた情報は正しいと結論付けました。しかし、ポリシーでは暗号鍵の使用と有効期間について規定されていないため、暗号鍵はまだ使用されています。
Webvueと認証機関の間で後に合意されたとおり、監査チームは、認証範囲と監査目標に沿って、Webvue内でISO/IEC 27001の管理項目8.11「データ管理」への適合性を検証することに特化した仮想監査を実施することにした。彼らは、CloudWebvue内でのデータ保護に関わるプロセスを検証し、同社がポリシーと規制基準をどのように遵守しているかに焦点を当てた。このプロセスの一環として、監査チームリーダーのKeithは、Webvueの慣行の有効性を文書化および分析するために、関連文書と暗号鍵管理手順のスクリーンショットを撮影した。
Webvue はテスト目的で生成されたテスト データを使用します。ただし、QA 部門のマネージャーへのインタビューとこの部門で使用されている手順の両方から判断すると、ライブ システム データを使用することもあります。このようなシナリオでは、より正確な結果を生成する一方で、大量のデータが生成されます。テスト データは保護され、管理されており、監査中に Webvue の担当者によって実行された暗号化プロセスのシミュレーションによって検証されています。QA 部門のマネージャーにインタビューしているときに、キースは、セキュリティ トレーニング部門の従業員が、この部門が監査範囲外であるにもかかわらず、適切な手順に従っていないことに気づきました。監査範囲から除外されているにもかかわらず、セキュリティ トレーニング部門の不適合は、監査範囲内のプロセスに潜在的な影響を及ぼし、特に CloudWebvue のデータ セキュリティと暗号化の実践に影響を与えます。そのため、キースはこの発見を監査レポートに組み込み、それに応じて被監査者に通知しました。
上記のシナリオに基づいて、次の質問に答えてください。
質問:
テストデータ管理の保護への適合性を検証するため、Webvueの担当者が暗号化プロセスをシミュレーションしました。これは許容範囲内でしょうか?
Webvue は、ISO/IEC 27001 認証範囲に CloudWebvue のみを含めることを決定しました。そのため、ステージ 1 と 2 の監査は同時に実施されました。Webvue は、資産の機密性に関する厳格さを誇りとしています。適切な暗号化制御を使用して、CloudWebvue に保存されている情報を保護しています。内部使用、制限付き、または機密のいずれであっても、分類レベルのすべての情報は、まず一意の対応するハッシュで暗号化され、次にクラウドに保存されます。監査チームは、Keith、Sean、Layla、Sam、および Tina の 5 人で構成されていました。IT および情報セキュリティ監査チームで最も経験豊富な監査人である Keith が監査チームのリーダーでした。彼の責任には、監査の計画と監査チームの管理が含まれていました。ショーンとレイラは、プロジェクト計画、ビジネス分析、IT システム (ハードウェアとアプリケーション) の経験が豊富でした。彼らのタスクには、Webvue の内部システムとプロセスに従った監査計画が含まれていました。一方、最近教育を終えたサムとティナは、監査スキルを開発しながら日々のタスクを完了する責任を負っていました。監査チームは、関連するスタッフへのインタビューを通じて、ISO/IEC 27001 附属書 A の管理 8.24 暗号化の使用への適合性を検証する中で、暗号鍵が最初にランダムビットジェネレータ (RBG) と暗号鍵生成のためのその他のベスト プラクティスに基づいて生成されたことを発見しました。Webvue の暗号化ポリシーを確認した後、インタビューで得られた情報は正しいと結論付けました。しかし、ポリシーでは暗号鍵の使用と有効期間について規定されていないため、暗号鍵はまだ使用されています。
Webvueと認証機関の間で後に合意されたとおり、監査チームは、認証範囲と監査目標に沿って、Webvue内でISO/IEC 27001の管理項目8.11「データ管理」への適合性を検証することに特化した仮想監査を実施することにした。彼らは、CloudWebvue内でのデータ保護に関わるプロセスを検証し、同社がポリシーと規制基準をどのように遵守しているかに焦点を当てた。このプロセスの一環として、監査チームリーダーのKeithは、Webvueの慣行の有効性を文書化および分析するために、関連文書と暗号鍵管理手順のスクリーンショットを撮影した。
Webvue はテスト目的で生成されたテスト データを使用します。ただし、QA 部門のマネージャーへのインタビューとこの部門で使用されている手順の両方から判断すると、ライブ システム データを使用することもあります。このようなシナリオでは、より正確な結果を生成する一方で、大量のデータが生成されます。テスト データは保護され、管理されており、監査中に Webvue の担当者によって実行された暗号化プロセスのシミュレーションによって検証されています。QA 部門のマネージャーにインタビューしているときに、キースは、セキュリティ トレーニング部門の従業員が、この部門が監査範囲外であるにもかかわらず、適切な手順に従っていないことに気づきました。監査範囲から除外されているにもかかわらず、セキュリティ トレーニング部門の不適合は、監査範囲内のプロセスに潜在的な影響を及ぼし、特に CloudWebvue のデータ セキュリティと暗号化の実践に影響を与えます。そのため、キースはこの発見を監査レポートに組み込み、それに応じて被監査者に通知しました。
上記のシナリオに基づいて、次の質問に答えてください。
質問:
テストデータ管理の保護への適合性を検証するため、Webvueの担当者が暗号化プロセスをシミュレーションしました。これは許容範囲内でしょうか?
正解: B
解説: (PassTest メンバーにのみ表示されます)
あなたは、高齢者向け介護施設ABCヘルスケアサービスでISO 27001 ISMS監視監査を実施しています。ABCは、入居者の健康状態を監視するために、サプライヤーであるWeCareが設計・保守するヘルスケアモバイルアプリを使用しています。監査中に、入居者の家族の90%が、WeCareから週に1回、メールとSMSで医療機器の広告を定期的に受け取っていることが判明しました。ABCとWeCareのサービス契約では、サプライヤーが入居者の個人データを使用することを禁じています。ABCは、入居者とその家族から多くの苦情を受けています。
サービスマネージャーによると、これらの苦情は情報セキュリティインシデントとして調査され、正当な苦情であることが判明したとのことです。
不適合および是正措置管理手順に従って、是正措置が計画され、実施されました。
あなたは「ABC社は、入居者とその家族の個人データに関する情報セキュリティ管理A.5.34(プライバシーと個人情報の保護)を遵守していませんでした。サプライヤーであるWeCare社は、入居者の個人情報を使用して家族に広告を送信しました。」という不適合を記述します。この不適合に対してABC社が行うと予想される修正および是正措置を、記載されている選択肢の中から3つ選択してください。
* ABCは、サイバー犯罪に対する保護の観点から、ABCヘルスケアのモバイルアプリをテストするために、ISMSコンサルタントに依頼した。
サービスマネージャーによると、これらの苦情は情報セキュリティインシデントとして調査され、正当な苦情であることが判明したとのことです。
不適合および是正措置管理手順に従って、是正措置が計画され、実施されました。
あなたは「ABC社は、入居者とその家族の個人データに関する情報セキュリティ管理A.5.34(プライバシーと個人情報の保護)を遵守していませんでした。サプライヤーであるWeCare社は、入居者の個人情報を使用して家族に広告を送信しました。」という不適合を記述します。この不適合に対してABC社が行うと予想される修正および是正措置を、記載されている選択肢の中から3つ選択してください。
* ABCは、サイバー犯罪に対する保護の観点から、ABCヘルスケアのモバイルアプリをテストするために、ISMSコンサルタントに依頼した。
正解: A,C,G
解説: (PassTest メンバーにのみ表示されます)
第三者認証監査の文脈において、機密保持は監査プログラムにおける重要な課題です。監査における機密保持の役割を正しく説明している選択肢を2つ選びなさい。
正解: B,C
解説: (PassTest メンバーにのみ表示されます)
シナリオ1:Fintiveは、オンライン決済および保護ソリューションを提供する著名なセキュリティプロバイダーです。1999年にトーマス・フィンによってカリフォルニア州サンノゼで設立されたFintiveは、オンラインで事業を展開し、情報セキュリティの向上、不正行為の防止、個人情報などのユーザー情報の保護を希望する企業にサービスを提供しています。Fintiveは、過去の事例に基づいて意思決定と運用プロセスを構築しています。顧客データを収集し、事例に応じて分類し、分析します。このような複雑な分析を行うには、多くの従業員が必要でした。しかし、数年後、このような分析を支援する技術も進歩しました。現在、Fintiveは、リアルタイムでの不正防止に向けたパターン分析を実現するために、チャットボットという最新ツールの使用を計画しています。このツールは、顧客サービスの向上にも活用される予定です。
この最初のアイデアはソフトウェア開発チームに伝えられ、彼らはそれを支持してこのプロジェクトを担当することになった。彼らは既存のシステムにチャットボットを統合し始めた。さらに、チームはチャットボットに関して、すべてのチャット問い合わせの85%に回答するという目標を設定した。
チャットボットの統合が成功した後、同社は直ちに顧客向けにチャットボットをリリースし、利用を開始させた。
しかし、そのチャットボットにはいくつか問題があったようだ。
トレーニング段階で、チャットボットがクエリのパターンを「学習」するはずだったにもかかわらず、テストが不十分でサンプルデータが不足していたため、チャットボットはユーザーのクエリに対応できず、適切な回答を提供できませんでした。さらに、チャットボットは、ドットの奇妙なパターンや特殊文字などの無効な入力を受け取ると、ユーザーにランダムなファイルを送信しました。そのため、チャットボットは顧客のクエリに適切に回答できず、従来のカスタマーサポートはチャットによる問い合わせで溢れかえり、顧客の要望に応えることができませんでした。
そのため、Fintiveはソフトウェア開発ポリシーを策定した。このポリシーでは、ソフトウェアが社内で開発されるか外部委託されるかにかかわらず、運用システムに導入する前にブラックボックステストを実施することを規定した。
このシナリオに基づいて、次の質問に答えてください。
シナリオ1に基づくと、チャットボットは顧客からの問い合わせに適切に回答できませんでした。この場合、情報セキュリティのどの原則が侵害されたのでしょうか?
この最初のアイデアはソフトウェア開発チームに伝えられ、彼らはそれを支持してこのプロジェクトを担当することになった。彼らは既存のシステムにチャットボットを統合し始めた。さらに、チームはチャットボットに関して、すべてのチャット問い合わせの85%に回答するという目標を設定した。
チャットボットの統合が成功した後、同社は直ちに顧客向けにチャットボットをリリースし、利用を開始させた。
しかし、そのチャットボットにはいくつか問題があったようだ。
トレーニング段階で、チャットボットがクエリのパターンを「学習」するはずだったにもかかわらず、テストが不十分でサンプルデータが不足していたため、チャットボットはユーザーのクエリに対応できず、適切な回答を提供できませんでした。さらに、チャットボットは、ドットの奇妙なパターンや特殊文字などの無効な入力を受け取ると、ユーザーにランダムなファイルを送信しました。そのため、チャットボットは顧客のクエリに適切に回答できず、従来のカスタマーサポートはチャットによる問い合わせで溢れかえり、顧客の要望に応えることができませんでした。
そのため、Fintiveはソフトウェア開発ポリシーを策定した。このポリシーでは、ソフトウェアが社内で開発されるか外部委託されるかにかかわらず、運用システムに導入する前にブラックボックステストを実施することを規定した。
このシナリオに基づいて、次の質問に答えてください。
シナリオ1に基づくと、チャットボットは顧客からの問い合わせに適切に回答できませんでした。この場合、情報セキュリティのどの原則が侵害されたのでしょうか?
正解: B
解説: (PassTest メンバーにのみ表示されます)
監査報告書における以下の結論のうち、認証機関が認証付与を決定する際に必要としないものはどれですか?
正解: D
解説: (PassTest メンバーにのみ表示されます)
情報セキュリティとは、________を構築し維持することである。
正解: C
解説: (PassTest メンバーにのみ表示されます)
シナリオ8:テッサ、マリク、マイケルは、セキュリティ、コンプライアンス、事業計画および戦略の分野における独立した資格を有する専門家からなる監査チームです。彼らは、大手ウェブデザイン会社であるクラスタスの認証監査を実施するよう任命されました。彼らはこれまで監査を実施する際に、公平性と客観性を含む優れた職業倫理を示してきました。今回、クラスタスはISO/IEC 27001の認証を取得すれば、一歩リードできると確信しています。
監査チームリーダーのテッサは、監査に関する専門知識を持ち、IT関連の問題、コンプライアンス、ガバナンスにおいて非常に優れた実績があります。マリクは、組織計画とリスク管理のバックグラウンドを持っています。彼の専門知識は、組織のセキュリティ管理策とそのリスク許容度を統合・分析し、組織内のリスクレベルを正確に把握することに基づいています。一方、マイケルは、厳格な標準化プログラムに従って、セキュリティ管理策の実践的な評価を行う専門家です。
必要な監査活動を実施した後、テッサは監査チーム会議を開始しました。彼らはマイケルの発見の1つを分析し、客観的かつ正確に問題について決定を下しました。マイケルが遭遇した問題は、組織の日常業務における軽微な不適合であり、彼はそれが組織のIT技術者の1人によって引き起こされたと考えていました。そのため、テッサは経営陣と会い、責任者の名前を尋ねられた後、不適合の責任者が誰であるかを伝えました。明確さと理解を促進するために、テッサは監査の最終日に最終会議を実施しました。
この会議で、彼女は特定された不適合事項をクラスタス社の経営陣に提示した。しかし、テッサはクラスタス社の認証監査の監査報告書に不必要な証拠を記載しないように、報告書が簡潔で重要な所見に焦点を絞ったものになるようにという助言を受けた。
調査した証拠に基づき、監査チームは監査結論案を作成し、認証付与前に組織の2つの分野を監査する必要があると判断した。これらの決定は後に被監査企業に提示されたが、被監査企業は調査結果を受け入れず、追加情報の提供を提案した。被監査企業の意見にもかかわらず、監査人は既に認証勧告を決定していたため、追加情報を受け入れなかった。被監査企業の経営陣は監査結論が実態を反映していないと主張したが、監査チームは決定を覆さなかった。
上記のシナリオに基づいて、次の質問に答えてください。
質問:
監査チームの決定に基づき、クラスタス社は次にどのような行動をとるべきでしょうか?
監査チームリーダーのテッサは、監査に関する専門知識を持ち、IT関連の問題、コンプライアンス、ガバナンスにおいて非常に優れた実績があります。マリクは、組織計画とリスク管理のバックグラウンドを持っています。彼の専門知識は、組織のセキュリティ管理策とそのリスク許容度を統合・分析し、組織内のリスクレベルを正確に把握することに基づいています。一方、マイケルは、厳格な標準化プログラムに従って、セキュリティ管理策の実践的な評価を行う専門家です。
必要な監査活動を実施した後、テッサは監査チーム会議を開始しました。彼らはマイケルの発見の1つを分析し、客観的かつ正確に問題について決定を下しました。マイケルが遭遇した問題は、組織の日常業務における軽微な不適合であり、彼はそれが組織のIT技術者の1人によって引き起こされたと考えていました。そのため、テッサは経営陣と会い、責任者の名前を尋ねられた後、不適合の責任者が誰であるかを伝えました。明確さと理解を促進するために、テッサは監査の最終日に最終会議を実施しました。
この会議で、彼女は特定された不適合事項をクラスタス社の経営陣に提示した。しかし、テッサはクラスタス社の認証監査の監査報告書に不必要な証拠を記載しないように、報告書が簡潔で重要な所見に焦点を絞ったものになるようにという助言を受けた。
調査した証拠に基づき、監査チームは監査結論案を作成し、認証付与前に組織の2つの分野を監査する必要があると判断した。これらの決定は後に被監査企業に提示されたが、被監査企業は調査結果を受け入れず、追加情報の提供を提案した。被監査企業の意見にもかかわらず、監査人は既に認証勧告を決定していたため、追加情報を受け入れなかった。被監査企業の経営陣は監査結論が実態を反映していないと主張したが、監査チームは決定を覆さなかった。
上記のシナリオに基づいて、次の質問に答えてください。
質問:
監査チームの決定に基づき、クラスタス社は次にどのような行動をとるべきでしょうか?
正解: C
解説: (PassTest メンバーにのみ表示されます)
シナリオ3:NightCoreは、米国に拠点を置く多国籍テクノロジー企業で、電子商取引、クラウドコンピューティング、デジタルストリーミング、人工知能に重点を置いています。情報セキュリティマネジメントシステム(ISMS)を導入してから8か月以上経過した後、ISO/IEC 27001の認証を取得するために、認証機関に第三者監査の実施を依頼しました。
認証機関は7名の監査員からなるチームを編成した。その中で最も経験豊富なジャックが監査チームのリーダーに任命された。彼は長年にわたり、ISO/IEC 27001主任監査員、CISA、CISSP、CISMなど、数々の著名な資格を取得してきた。
ジャックは、NightCore が実装したすべての情報セキュリティ要件とコントロールを調査および評価することにより、ISMS 監査の各フェーズで徹底的な分析を実施しました。ステージ 2 監査中に、ジャックはいくつかの不適合を検出しました。ソフトウェア ライセンスの購入請求書の数をソフトウェア インベントリと比較した後、ジャックは、会社が多くのコンピュータでソフトウェアの違法バージョンを使用していることを発見しました。彼は、この不適合について経営陣に説明を求め、彼らがこれを認識しているかどうかを確認することにしました。彼の次のステップは、NightCore の IT 部門を監査することでした。経営陣は、NightCore のシステム管理者であるトムをガイド役として任命し、ジャックと監査チームがシステムの内部構造とデジタル資産インフラストラクチャを調査できるようにしました。
監査担当者は財務部の職員に聞き取り調査を行った際、同社が最近、コンサルタントの一人に対して異常に高額な取引を行っていたことを発見した。取引に関する必要な詳細情報をすべて収集した後、ジャックは経営陣に直接聞き取り調査を行うことにした。
最初の不適合について話し合った際、経営陣はジャックに対し、コピー版ソフトウェアの方が安価だったため、オリジナル版ではなくコピー版を使用することに意図的に決めたと説明した。ジャックはナイトコアの経営陣に対し、違法バージョンのソフトウェアを使用することはISO/IEC 27001の要件および国内法規に違反すると説明したが、彼らは特に問題視していないようだった。
監査から数か月後、ジャックは監査中に収集したナイトコアの情報の一部を、ナイトコアの競合他社に巨額の金銭で売却した。
このシナリオに基づいて、次の質問に答えてください。
監査原則に基づくと、ジャックは2つ目の不適合について認証機関に連絡すべきでしょうか?
シナリオ3を参照してください。
認証機関は7名の監査員からなるチームを編成した。その中で最も経験豊富なジャックが監査チームのリーダーに任命された。彼は長年にわたり、ISO/IEC 27001主任監査員、CISA、CISSP、CISMなど、数々の著名な資格を取得してきた。
ジャックは、NightCore が実装したすべての情報セキュリティ要件とコントロールを調査および評価することにより、ISMS 監査の各フェーズで徹底的な分析を実施しました。ステージ 2 監査中に、ジャックはいくつかの不適合を検出しました。ソフトウェア ライセンスの購入請求書の数をソフトウェア インベントリと比較した後、ジャックは、会社が多くのコンピュータでソフトウェアの違法バージョンを使用していることを発見しました。彼は、この不適合について経営陣に説明を求め、彼らがこれを認識しているかどうかを確認することにしました。彼の次のステップは、NightCore の IT 部門を監査することでした。経営陣は、NightCore のシステム管理者であるトムをガイド役として任命し、ジャックと監査チームがシステムの内部構造とデジタル資産インフラストラクチャを調査できるようにしました。
監査担当者は財務部の職員に聞き取り調査を行った際、同社が最近、コンサルタントの一人に対して異常に高額な取引を行っていたことを発見した。取引に関する必要な詳細情報をすべて収集した後、ジャックは経営陣に直接聞き取り調査を行うことにした。
最初の不適合について話し合った際、経営陣はジャックに対し、コピー版ソフトウェアの方が安価だったため、オリジナル版ではなくコピー版を使用することに意図的に決めたと説明した。ジャックはナイトコアの経営陣に対し、違法バージョンのソフトウェアを使用することはISO/IEC 27001の要件および国内法規に違反すると説明したが、彼らは特に問題視していないようだった。
監査から数か月後、ジャックは監査中に収集したナイトコアの情報の一部を、ナイトコアの競合他社に巨額の金銭で売却した。
このシナリオに基づいて、次の質問に答えてください。
監査原則に基づくと、ジャックは2つ目の不適合について認証機関に連絡すべきでしょうか?
シナリオ3を参照してください。
正解: B
解説: (PassTest メンバーにのみ表示されます)
第三者監視監査を実施している最中に、監査チームの別のメンバーから説明を求められました。そのメンバーは、組織におけるコントロール5.7「脅威インテリジェンス」の適用状況を評価するよう依頼されています。彼らは、これがISO/IEC 2022年版で導入された新しいコントロールの1つであることを認識しています。
27001であり、彼らは管理監査が正しく行われていることを確認したいと考えている。
彼らは監査を支援するためのチェックリストを作成しており、計画された活動が管理要件に合致していることをあなたに確認してもらいたいと考えています。
以下の選択肢のうち、有効な監査証跡を表しているのはどれですか?(3つ)
27001であり、彼らは管理監査が正しく行われていることを確認したいと考えている。
彼らは監査を支援するためのチェックリストを作成しており、計画された活動が管理要件に合致していることをあなたに確認してもらいたいと考えています。
以下の選択肢のうち、有効な監査証跡を表しているのはどれですか?(3つ)
正解: C,E,F
解説: (PassTest メンバーにのみ表示されます)