ISO-IEC-27001-Lead-Auditor日本語試験無料問題集「PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor日本語版) 認定」
シナリオ3
米国に本社を置く多国籍テクノロジー企業であるNightCoreは、電子商取引、クラウドコンピューティング、デジタルストリーミング、人工知能(AI)を専門としています。NightCoreは、情報セキュリティマネジメントシステム(ISMS)を導入してから1年以上経過した後、ISO/IEC 27001認証取得のための監査を実施するため、認証機関と契約しました。
認証機関は、ジャックをチームリーダーとする5名の監査員からなるチームを編成した。ジャックは、リスク管理、情報セキュリティ対策、インシデント管理における豊富な監査経験で知られている。
彼のスキルセットは監査の原則とプロセスの要件によく合致しており、監査範囲を効果的に理解し、関連する基準を的確に適用することができます。また、ジャックはナイトコアの組織構造、目的、経営慣行、およびその活動に適用される法令上の要件についても確かな理解を示しています。
監査チームが実施した監査は、信頼性が高く再現性のある結論を体系的に導き出すために、合理的な方法に従って行われました。監査チームは、ある程度検証可能な情報のみが有効な証拠とみなされるべきであることを認識していました。監査中に、特定の情報の検証が困難であったり、検証可能性が低かったりする稀なケースでは、監査人は専門的な判断に基づき、その証拠の信頼性を評価し、どの程度の信頼を置くことができるかを判断しました。
監査中、監査担当者は、NightCore社のISMS運用における運用計画および管理に関する所見と検査メモを記録しました。また、NightCore社の情報資産および関連資産のインベントリに関する所見も記録しました。さらに、ネットワークサービスへの接続を保護するために実装されたファイアウォールの構成についても確認しました。
監査が最終段階に近づくにつれ、NightCoreが最高レベルの情報セキュリティを維持するという強い意志を持っていることが明らかになりました。ISO/IEC 27001認証取得が目前に迫る中、NightCoreはISO/IEC 27001認証取得に向けて万全の態勢を整えており、テクノロジー業界における同社の評判をさらに高めることになるでしょう。
質問
NightCoreはどのような監査を受けましたか?
米国に本社を置く多国籍テクノロジー企業であるNightCoreは、電子商取引、クラウドコンピューティング、デジタルストリーミング、人工知能(AI)を専門としています。NightCoreは、情報セキュリティマネジメントシステム(ISMS)を導入してから1年以上経過した後、ISO/IEC 27001認証取得のための監査を実施するため、認証機関と契約しました。
認証機関は、ジャックをチームリーダーとする5名の監査員からなるチームを編成した。ジャックは、リスク管理、情報セキュリティ対策、インシデント管理における豊富な監査経験で知られている。
彼のスキルセットは監査の原則とプロセスの要件によく合致しており、監査範囲を効果的に理解し、関連する基準を的確に適用することができます。また、ジャックはナイトコアの組織構造、目的、経営慣行、およびその活動に適用される法令上の要件についても確かな理解を示しています。
監査チームが実施した監査は、信頼性が高く再現性のある結論を体系的に導き出すために、合理的な方法に従って行われました。監査チームは、ある程度検証可能な情報のみが有効な証拠とみなされるべきであることを認識していました。監査中に、特定の情報の検証が困難であったり、検証可能性が低かったりする稀なケースでは、監査人は専門的な判断に基づき、その証拠の信頼性を評価し、どの程度の信頼を置くことができるかを判断しました。
監査中、監査担当者は、NightCore社のISMS運用における運用計画および管理に関する所見と検査メモを記録しました。また、NightCore社の情報資産および関連資産のインベントリに関する所見も記録しました。さらに、ネットワークサービスへの接続を保護するために実装されたファイアウォールの構成についても確認しました。
監査が最終段階に近づくにつれ、NightCoreが最高レベルの情報セキュリティを維持するという強い意志を持っていることが明らかになりました。ISO/IEC 27001認証取得が目前に迫る中、NightCoreはISO/IEC 27001認証取得に向けて万全の態勢を整えており、テクノロジー業界における同社の評判をさらに高めることになるでしょう。
質問
NightCoreはどのような監査を受けましたか?
正解:B
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
あなたは経験豊富なISMS監査チームリーダーとして、研修中のISMS監査員に指導を行っています。研修中の監査員は外部プロバイダーの評価を実施するよう依頼され、以下の項目を含むチェックリストを作成しました。研修中の監査員は、提案されている行動が適切であることを確認するため、あなたにそのチェックリストをレビューするよう依頼しました。
彼らが参加を求められている監査は、データセンターに対する第三者監視監査です。データセンターの運営主体は、より広範な通信グループの一員です。グループ内の各データセンターは、独自のISMS(情報セキュリティマネジメントシステム)を運用し、独自の認証を取得しています。
ISO/IEC 27001:2022の外部プロバイダーに関する要求事項に関連する選択肢を3つ選んでください。
彼らが参加を求められている監査は、データセンターに対する第三者監視監査です。データセンターの運営主体は、より広範な通信グループの一員です。グループ内の各データセンターは、独自のISMS(情報セキュリティマネジメントシステム)を運用し、独自の認証を取得しています。
ISO/IEC 27001:2022の外部プロバイダーに関する要求事項に関連する選択肢を3つ選んでください。
正解:D,F,G
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
シナリオ2:ナイト社は、米国カリフォルニア州北部に拠点を置く、ビデオゲーム機を開発する電子機器メーカーです。ナイト社は世界中に300名以上の従業員を抱えています。創業5周年を機に、同社は世界市場をターゲットとした新世代ビデオゲーム機「G-Console」の発売を決定しました。G-Consoleは、プレイヤーに最高のゲーム体験を提供する、2021年を代表する究極のメディアマシンと位置づけられています。
コンソールパックには、VRヘッドセット2個、
ゲームやその他の贈り物。
長年にわたり、同社は誠実さ、正直さ、そして顧客への敬意を示すことで高い評価を築いてきました。この高い評価こそが、多くの熱心なゲーマーがKnightのGコンソールを発売と同時に手に入れようとする理由の一つです。
ナイト社は顧客志向の企業であることに加えて、
また、その品質の向上により、ゲーム業界内で広く認知されるようになった。ただし、価格は妥当な基準からするとやや高めである。
とはいえ、ナイト社の製品の品質は最高レベルであるため、ほとんどの常連客にとっては問題とはみなされていない。
世界有数のビデオゲーム機開発企業であるナイト社は、悪意のある活動の標的となることも少なくありません。同社は1年以上前からISMS(情報セキュリティマネジメントシステム)を運用しています。ISMSの適用範囲は、財務部門と人事部門を除くナイト社の全部門に及びます。
最近、ナイト社の機密情報を含む複数のファイルがハッカーによって流出しました。ナイト社のインシデント対応チーム(IRT)は直ちにシステム全体と事件の詳細の分析を開始しました。
IRT(情報調査チーム)は当初、ナイト社の従業員が脆弱なパスワードを使用していたため、ハッカーに容易に突破され、アカウントに不正アクセスされたのではないかと疑った。しかし、事件を綿密に調査した結果、ハッカーはファイル転送プロトコル(FTP)の通信を傍受することでアカウントにアクセスしていたことが判明した。
FTPは、アカウント間でファイルを転送するためのネットワークプロトコルです。認証には平文のパスワードを使用します。
この情報セキュリティインシデントの影響を受け、IRTの提案を受けて、ナイト社はFTPをセキュアシェル(SSH)プロトコルに置き換えることを決定した。これにより、通信を傍受する者は暗号化されたデータしか見ることができないようになる。
これらの変更を受けて、ナイト社はリスク評価を実施し、管理策の導入によって同様の事故のリスクが最小限に抑えられたことを確認した。この評価結果はISMSプロジェクトマネージャーによって承認され、新しい管理策の導入後のリスクレベルは同社のリスク許容レベルに合致していると判断された。
このシナリオに基づいて、次の質問に答えてください。
シナリオ2に基づき、ナイト社はFTPをセキュアシェル(SSH)プロトコルに置き換えることを決定しました。この場合、適用範囲に関する声明(SoA)を更新する必要があるでしょうか?
コンソールパックには、VRヘッドセット2個、
ゲームやその他の贈り物。
長年にわたり、同社は誠実さ、正直さ、そして顧客への敬意を示すことで高い評価を築いてきました。この高い評価こそが、多くの熱心なゲーマーがKnightのGコンソールを発売と同時に手に入れようとする理由の一つです。
ナイト社は顧客志向の企業であることに加えて、
また、その品質の向上により、ゲーム業界内で広く認知されるようになった。ただし、価格は妥当な基準からするとやや高めである。
とはいえ、ナイト社の製品の品質は最高レベルであるため、ほとんどの常連客にとっては問題とはみなされていない。
世界有数のビデオゲーム機開発企業であるナイト社は、悪意のある活動の標的となることも少なくありません。同社は1年以上前からISMS(情報セキュリティマネジメントシステム)を運用しています。ISMSの適用範囲は、財務部門と人事部門を除くナイト社の全部門に及びます。
最近、ナイト社の機密情報を含む複数のファイルがハッカーによって流出しました。ナイト社のインシデント対応チーム(IRT)は直ちにシステム全体と事件の詳細の分析を開始しました。
IRT(情報調査チーム)は当初、ナイト社の従業員が脆弱なパスワードを使用していたため、ハッカーに容易に突破され、アカウントに不正アクセスされたのではないかと疑った。しかし、事件を綿密に調査した結果、ハッカーはファイル転送プロトコル(FTP)の通信を傍受することでアカウントにアクセスしていたことが判明した。
FTPは、アカウント間でファイルを転送するためのネットワークプロトコルです。認証には平文のパスワードを使用します。
この情報セキュリティインシデントの影響を受け、IRTの提案を受けて、ナイト社はFTPをセキュアシェル(SSH)プロトコルに置き換えることを決定した。これにより、通信を傍受する者は暗号化されたデータしか見ることができないようになる。
これらの変更を受けて、ナイト社はリスク評価を実施し、管理策の導入によって同様の事故のリスクが最小限に抑えられたことを確認した。この評価結果はISMSプロジェクトマネージャーによって承認され、新しい管理策の導入後のリスクレベルは同社のリスク許容レベルに合致していると判断された。
このシナリオに基づいて、次の質問に答えてください。
シナリオ2に基づき、ナイト社はFTPをセキュアシェル(SSH)プロトコルに置き換えることを決定しました。この場合、適用範囲に関する声明(SoA)を更新する必要があるでしょうか?
正解:A
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
あなたは経験豊富なISMS監査チームリーダーで、監査チームに配属された研修中の監査員と話しています。あなたは、情報セキュリティマネジメントシステムの運用に関して、PDCAサイクルのチェック段階の重要性を研修中の監査員が理解していることを確認したいのです。
これは、彼に文を最も適切に完成させる単語を選ばせることで行います。
文を完成させるには、空欄部分をクリックして赤色にハイライト表示させ、下の選択肢から該当するテキストをクリックしてください。または、選択肢を適切な空欄部分にドラッグ&ドロップすることもできます。

これは、彼に文を最も適切に完成させる単語を選ばせることで行います。
文を完成させるには、空欄部分をクリックして赤色にハイライト表示させ、下の選択肢から該当するテキストをクリックしてください。または、選択肢を適切な空欄部分にドラッグ&ドロップすることもできます。

正解:

Explanation:
* Review is the third stage of the Plan-Do-Check-Act (PDCA) cycle, which is a four-step model for implementing and improving an information security management system (ISMS) according to ISO
/IEC 27001:202212. Review involves assessing and measuring the performance of the ISMS against the established policies, objectives, and criteria12.
* Assess is the verb that describes the action of reviewing the ISMS. Assess means to evaluate, analyze, or measure something in a systematic and objective manner3. Assessing the ISMS involves collecting and verifying audit evidence, identifying strengths and weaknesses, and determining the degree of conformity or nonconformity12.
* Regular is the adjective that describes the frequency or interval of reviewing the ISMS. Regular means occurring or done at fixed or uniform intervals4. Reviewing the ISMS at regular intervals means conducting internal audits and management reviews periodically, such as annually, quarterly, or monthly, depending on the needs and risks of the organization12.
* Suitability is one of the attributes that describes the quality or outcome of reviewing the ISMS. Suitability means being appropriate or fitting for a particular purpose, person, or situation5. Reviewing the ISMS for suitability means ensuring that it is aligned with the organization's strategic direction, business objectives, and information security requirements12.
References :=
* ISO/IEC 27001:2022 Information technology - Security techniques - Information security management systems - Requirements
* ISO/IEC 27003:2022 Information technology - Security techniques - Information security management systems - Guidance
* Assess | Definition of Assess by Merriam-Webster
* Regular | Definition of Regular by Merriam-Webster
* Suitability | Definition of Suitability by Merriam-Webster
あなたは、医療サービスを提供する高齢者向け介護施設でISMS監査を実施しています。監査計画の次のステップは、情報セキュリティインシデント管理プロセスを検証することです。ITセキュリティマネージャーは、情報セキュリティインシデント管理手順を提示し、そのプロセスがISO/IEC 27035-1:2016に基づいていることを説明します。
文書を確認すると、「情報セキュリティ上の弱点、事象、およびインシデントは、特定後1時間以内に連絡担当者(PoC)に報告しなければならない」という記述が見つかりました。スタッフにインタビューしたところ、「弱点、事象、およびインシデント」の意味について、理解に違いがあることがわかりました。
過去6か月間のイベント追跡システムからインシデント報告記録をサンプリングし、その結果を以下の表にまとめました。

監査証拠をさらに収集するために、他の分野についても調査を進めたいと考えています。監査証跡に残らない項目を2つ選択してください。
文書を確認すると、「情報セキュリティ上の弱点、事象、およびインシデントは、特定後1時間以内に連絡担当者(PoC)に報告しなければならない」という記述が見つかりました。スタッフにインタビューしたところ、「弱点、事象、およびインシデント」の意味について、理解に違いがあることがわかりました。
過去6か月間のイベント追跡システムからインシデント報告記録をサンプリングし、その結果を以下の表にまとめました。

監査証拠をさらに収集するために、他の分野についても調査を進めたいと考えています。監査証跡に残らない項目を2つ選択してください。
正解:A,F
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)
シナリオ3:Rebuildyはタイのバンコクに拠点を置く建設会社で、住宅の設計、建設、保守を専門としています。機密性の高いプロジェクトデータと顧客情報のセキュリティを確保するため、RebuildyはISO/IEC 27001に基づくISMS(情報セキュリティマネジメントシステム)を導入することを決定しました。これには、情報セキュリティリスクの包括的な理解、明確な継続的改善アプローチ、および堅牢なビジネスソリューションが含まれます。
ISMS導入の成果を以下に示します。
情報セキュリティは、一連のセキュリティ対策を適用し、ポリシー、プロセス、手順を確立することによって実現されます。
セキュリティ対策はリスク評価に基づいて実施され、リスクを排除または許容可能なレベルまで低減することを目的としています。
*すべてのプロセスは、計画・実行・評価・改善(PDCA)モデルに基づき、ISMSの継続的な改善を保証します。
情報セキュリティポリシーは、最良のセキュリティ慣行に基づいて作成されたセキュリティマニュアルの一部であるため、単独の文書ではありません。
情報セキュリティに関する役割と責任は、すべての従業員の職務記述書に明確に記載されています。
*ISMSの経営陣によるレビューは、計画された間隔で実施されます。
Rebuildy は、2 回の中間経営レビューと 1 回の年次内部監査を経て認証を申請しました。認証監査の前に、Rebuildy の元従業員の 1 人が監査チームのメンバーの 1 人に近づき、Rebuildy には会社が隠蔽しようとしているセキュリティ上の問題がいくつかあると伝えました。元従業員は文書化された証拠を監査チームのメンバーに提示しました。Rebuildy の主要顧客である Electra も同じ問題について証拠を提出し、監査人は元従業員の証拠ではなくこの証拠を採用することにしました。監査チームのメンバーは監査が完了するまで Electra と連絡を取り続け、監査中に発見された不適合について話し合いました。Electra はこれらの発見を裏付ける追加の証拠を提供しました。
監査の開始時に、監査チームは同社の経営陣にインタビューを行った。インタビューでは、経営陣のISMS導入への取り組みなどについて話し合われた。これらの話し合いから得られた証拠は書面による確認書に記録され、RebuildyがISO/IEC 27001のいくつかの条項に適合しているかどうかを判断するために使用された。Electraから得られた文書化された証拠は、不適合報告書とともに監査報告書に添付された。特に、以下の不適合が検出された。
会社の財務報告システムにおいて、不適切なユーザーアクセス制御設定が検出されました。
独立した情報セキュリティポリシーは策定されていません。代わりに、当社はセキュリティに関するベストプラクティスに基づいて作成されたセキュリティマニュアルを使用しています。
監査チームからこれらの文書を受け取った後、チームリーダーはRebuildyの経営陣と面会し、監査結果を報告した。監査チームは、財務報告システムと独立した情報セキュリティポリシーの欠如に関する調査結果を報告した。経営陣は調査結果に不満を表明し、監査チームリーダーの行動はプロ意識に欠けると示唆し、交代を要求する可能性を示唆した。プレッシャーを受けた監査チームリーダーは、検出された不適合の重要性を軽視するために経営陣と協力することにした。その結果、監査チームリーダーは報告書をより好ましい内容に修正し、Rebuildyのコンプライアンス問題の真の深刻さを誤って伝えてしまった。
上記のシナリオに基づいて、次の質問に答えてください。
質問:
監査人が、元従業員から提供された証拠よりも、エレクトラ社から提供された証拠を優先的に保管することは許容されるでしょうか?
ISMS導入の成果を以下に示します。
情報セキュリティは、一連のセキュリティ対策を適用し、ポリシー、プロセス、手順を確立することによって実現されます。
セキュリティ対策はリスク評価に基づいて実施され、リスクを排除または許容可能なレベルまで低減することを目的としています。
*すべてのプロセスは、計画・実行・評価・改善(PDCA)モデルに基づき、ISMSの継続的な改善を保証します。
情報セキュリティポリシーは、最良のセキュリティ慣行に基づいて作成されたセキュリティマニュアルの一部であるため、単独の文書ではありません。
情報セキュリティに関する役割と責任は、すべての従業員の職務記述書に明確に記載されています。
*ISMSの経営陣によるレビューは、計画された間隔で実施されます。
Rebuildy は、2 回の中間経営レビューと 1 回の年次内部監査を経て認証を申請しました。認証監査の前に、Rebuildy の元従業員の 1 人が監査チームのメンバーの 1 人に近づき、Rebuildy には会社が隠蔽しようとしているセキュリティ上の問題がいくつかあると伝えました。元従業員は文書化された証拠を監査チームのメンバーに提示しました。Rebuildy の主要顧客である Electra も同じ問題について証拠を提出し、監査人は元従業員の証拠ではなくこの証拠を採用することにしました。監査チームのメンバーは監査が完了するまで Electra と連絡を取り続け、監査中に発見された不適合について話し合いました。Electra はこれらの発見を裏付ける追加の証拠を提供しました。
監査の開始時に、監査チームは同社の経営陣にインタビューを行った。インタビューでは、経営陣のISMS導入への取り組みなどについて話し合われた。これらの話し合いから得られた証拠は書面による確認書に記録され、RebuildyがISO/IEC 27001のいくつかの条項に適合しているかどうかを判断するために使用された。Electraから得られた文書化された証拠は、不適合報告書とともに監査報告書に添付された。特に、以下の不適合が検出された。
会社の財務報告システムにおいて、不適切なユーザーアクセス制御設定が検出されました。
独立した情報セキュリティポリシーは策定されていません。代わりに、当社はセキュリティに関するベストプラクティスに基づいて作成されたセキュリティマニュアルを使用しています。
監査チームからこれらの文書を受け取った後、チームリーダーはRebuildyの経営陣と面会し、監査結果を報告した。監査チームは、財務報告システムと独立した情報セキュリティポリシーの欠如に関する調査結果を報告した。経営陣は調査結果に不満を表明し、監査チームリーダーの行動はプロ意識に欠けると示唆し、交代を要求する可能性を示唆した。プレッシャーを受けた監査チームリーダーは、検出された不適合の重要性を軽視するために経営陣と協力することにした。その結果、監査チームリーダーは報告書をより好ましい内容に修正し、Rebuildyのコンプライアンス問題の真の深刻さを誤って伝えてしまった。
上記のシナリオに基づいて、次の質問に答えてください。
質問:
監査人が、元従業員から提供された証拠よりも、エレクトラ社から提供された証拠を優先的に保管することは許容されるでしょうか?
正解:A
解答を投票する
解説: (GoShiken メンバーにのみ表示されます)