最新的PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor日本語版) - ISO-IEC-27001-Lead-Auditor日本語免費考試真題

シナリオ:
Northstormは、ユニークなヴィンテージおよびモダンなアクセサリーを取り扱うオンライン小売店です。当初は小規模な市場に参入しましたが、eコマース全体の発展に伴い徐々に成長を遂げました。Northstormはオンラインのみで事業を展開し、効率的な決済処理、在庫管理、マーケティングツール、および出荷業務を徹底しています。人気商品を優先的に入荷、補充、発送するシステムを採用しています。
Northstormは従来、自社ウェブサイトをホスティングし、ハードウェア、ソフトウェア、データ管理を含むインフラストラクチャを完全に制御することでIT運用を管理してきました。しかし、このアプローチでは、応答性の高いインフラストラクチャが不足していたため、成長が阻害されていました。eコマースと決済システムの強化を目指し、Northstormは社内データセンターの拡張を選択し、3か月かけて2段階で拡張を完了しました。最初の段階では、コアサーバー、POS、注文、請求、データベース、バックアップシステムをアップグレードしました。第2段階では、メール、決済、ネットワーク機能の改善に取り組みました。さらに、この段階で、Northstormは個人情報(PII)の処理に関して、個人情報管理者および個人情報処理者向けの国際標準を採用し、データ処理方法が安全で、グローバルな規制に準拠していることを保証しました。
拡張にもかかわらず、Northstormのデータセンターはアップグレードされたものの、進化するビジネスニーズに対応できませんでした。この不備により、注文の優先順位付けの問題など、いくつかの新たな課題が生じました。顧客からは優先注文が届かないという報告があり、同社は対応の遅さに苦慮しました。これは主に、注文の優先順位付けと顧客とのやり取りをシミュレートするために設計されたアプリケーションであるYouDecideからの注文をメインサーバーが処理できなかったことが原因でした。高度なアルゴリズムに依存するこのアプリケーションは、アップグレード時にインストールされた新しいオペレーティングシステム(OS)と互換性がありませんでした。
Northstormは、緊急の互換性問題に直面し、適切な検証を行わずにアプリケーションにパッチを適用した結果、セキュリティが侵害されたバージョンがインストールされてしまいました。このセキュリティ上の欠陥により、メインサーバーが影響を受け、同社のウェブサイトが1週間オフラインになりました。より信頼性の高いソリューションの必要性を認識した同社は、ウェブサイトのホスティングをeコマースプロバイダーにアウトソーシングすることを決定しました。移行に先立ち、同社は製品所有権に関する機密保持契約を締結し、セキュリティ強化のためユーザーアクセス権限の徹底的な見直しを実施しました。
質問:
シナリオ1に基づく予防的制御策として適切なものはどれですか?

正確答案: B
說明:(僅 Fast2test 成員可見)
シナリオ2:ナイト社は、米国カリフォルニア州北部に拠点を置く、ビデオゲーム機を開発する電子機器メーカーです。ナイト社は世界中に300名以上の従業員を抱えています。創業5周年を機に、同社は世界市場をターゲットとした新世代ビデオゲーム機「G-Console」の発売を決定しました。G-Consoleは、プレイヤーに最高のゲーム体験を提供する、2021年を代表する究極のメディアマシンと位置づけられています。
コンソールパックには、VRヘッドセット2個、
ゲームやその他の贈り物。
長年にわたり、同社は誠実さ、正直さ、そして顧客への敬意を示すことで高い評価を築いてきました。この高い評価こそが、多くの熱心なゲーマーがKnightのGコンソールを発売と同時に手に入れようとする理由の一つです。
ナイト社は顧客志向の企業であることに加えて、
また、その品質の向上により、ゲーム業界内で広く認知されるようになった。ただし、価格は妥当な基準からするとやや高めである。
とはいえ、ナイト社の製品の品質は最高レベルであるため、ほとんどの常連客にとっては問題とはみなされていない。
世界有数のビデオゲーム機開発企業であるナイト社は、悪意のある活動の標的となることも少なくありません。同社は1年以上前からISMS(情報セキュリティマネジメントシステム)を運用しています。ISMSの適用範囲は、財務部門と人事部門を除くナイト社の全部門に及びます。
最近、ナイト社の機密情報を含む複数のファイルがハッカーによって流出しました。ナイト社のインシデント対応チーム(IRT)は直ちにシステム全体と事件の詳細の分析を開始しました。
IRT(情報調査チーム)は当初、ナイト社の従業員が脆弱なパスワードを使用していたため、ハッカーに容易に突破され、アカウントに不正アクセスされたのではないかと疑った。しかし、事件を綿密に調査した結果、ハッカーはファイル転送プロトコル(FTP)の通信を傍受することでアカウントにアクセスしていたことが判明した。
FTPは、アカウント間でファイルを転送するためのネットワークプロトコルです。認証には平文のパスワードを使用します。
この情報セキュリティインシデントの影響を受け、IRTの提案を受けて、ナイト社はFTPをセキュアシェル(SSH)プロトコルに置き換えることを決定した。これにより、通信を傍受する者は暗号化されたデータしか見ることができないようになる。
これらの変更を受けて、ナイト社はリスク評価を実施し、管理策の導入によって同様の事故のリスクが最小限に抑えられたことを確認した。この評価結果はISMSプロジェクトマネージャーによって承認され、新しい管理策の導入後のリスクレベルは同社のリスク許容レベルに合致していると判断された。
このシナリオに基づいて、次の質問に答えてください。
シナリオ2に基づき、ナイト社はFTPをセキュアシェル(SSH)プロトコルに置き換えることを決定しました。この場合、適用範囲に関する声明(SoA)を更新する必要があるでしょうか?

正確答案: C
說明:(僅 Fast2test 成員可見)
シナリオ 5: ロンドンの保険会社 Cobt は、さまざまな商業保険、産業保険、生命保険ソリューションを提供しています。近年、Cobt の顧客数は大幅に増加しました。処理すべきデータ量が膨大になったため、同社は ISO/IEC 27001 の認証を取得することで、情報のセキュリティを確保し、継続的な改善への取り組みを示す多くのメリットが得られると判断しました。同社は定期的なリスク評価の実施には精通していましたが、ISMS の導入は日々の業務に大きな変化をもたらしました。リスク評価プロセス中に、組織の内部統制メカニズムによって検出または防止されずに重大な欠陥が発生するリスクが特定されました。
同社はISMSを導入するための方法論に従い、わずか数か月後には運用可能なISMSを導入しました。ISMSの導入が成功した後、CobtはISO/IEC 27001認証を申請しました。経験豊富な監査員であるサラが監査に割り当てられました。監査提案を徹底的に分析した後、サラは監査チームリーダーとしての責任を受け入れ、すぐにCobtに関する一般的な情報の収集を開始しました。彼女は監査基準と目的を確立し、監査を計画し、監査チームメンバーの責任を割り当てました。
サラは、Cobtが多様な商業および保険ソリューションを提供することで大幅に拡大したが、依然として一部の手動プロセスに依存していることを認めた。そのため、彼女の最初の焦点は、同社が情報セキュリティリスクをどのように管理しているかについての情報を収集することであった。サラは、監査の一部として当初合意されていたように、オフサイトレビューのリスク管理に関連する情報へのアクセスを要求するためにCobtの担当者に連絡した。しかし、Cobtは後に、そのような情報は社外からアクセスするには機密性が高すぎると主張して拒否した。この拒否は、特に被監査者の可用性と協力、および証拠へのアクセスに関して、監査の実現可能性について懸念を引き起こした。さらに、Cobtは監査スケジュールについて懸念を示し、それが同社が行った最近の変更を適切に反映していないと述べた。監査中に実行されるアクションは最初の範囲にのみ適用され、監査範囲で行われた最新の変更を網羅していないことを指摘した。サラはまた、拒否された情報が監査の目的にとって重要であることを考慮して、状況の重要性を評価した。この場合、Cobtによる拒否は、監査の完全性と合理的な保証を提供する能力について疑問を生じさせた。こうした状況を受け、サラは認証契約締結前に監査業務から撤退することを決定し、その旨をCobt社および認証機関に伝えました。この決定は、監査原則の遵守と透明性の維持を確実にするためであり、サラがこれらの原則を一貫して遵守するという強い意志を示すものです。
上記のシナリオに基づいて、次の質問に答えてください。
質問:
シナリオ5で提示された情報に基づくと、Cobt社は監査人に対し、リスク管理に関する情報の提供を拒否しました。監査人であるあなたは、このような状況をどのように解決しますか?

正確答案: C
說明:(僅 Fast2test 成員可見)
シナリオ9​​:ネットワーク企業であるUpNetは、ISO/IEC 27001の認証を取得しています。同社は、ネットワークセキュリティ、仮想化、クラウドコンピューティング、ネットワークハードウェア、ネットワーク管理ソフトウェア、およびネットワーク技術を提供しています。
ISO/IEC 27001認証取得以来、同社の認知度は飛躍的に向上した。この認証は、UpNefsの事業運営の成熟度と、広く認知され受け入れられている規格への準拠を証明するものである。
しかし、認証取得後もすべてが終わったわけではありませんでした。UpNetは、内部監査を実施することで、セキュリティ管理体制とISMS全体の有効性および効率性を継続的に見直し、強化しました。経営陣は専任の内部監査チームを雇用する意思がなかったため、内部監査機能を外部委託することにしました。この形式の内部監査により、独立性、客観性が確保され、ISMSの継続的な改善に関する助言的な役割を担うことができました。
最初の認証監査から間もなく、同社はデータおよびストレージ製品に特化した新部門を設立した。この部門では、データセンター向けに最適化されたルーターやスイッチ、ネットワーク仮想化やネットワークセキュリティ機器といったソフトウェアベースのネットワーク機器を提供した。これにより、ISMS認証の対象範囲に既に含まれている他の部門の業務にも変更が生じた。
そのため、UpNetはリスク評価プロセスと内部監査を開始しました。内部監査の結果、同社は既存および新規のプロセスと管理体制の有効性と効率性を確認しました。
経営陣は、新設された部門がISO/IEC 27001の要件を満たしていることから、認証対象に含めることを決定した。UpNetはISO/IEC 27001認証を取得したことを発表し、認証範囲は会社全体に及ぶとしている。
最初の認証監査から1年後、認証機関はUpNefsのISMS(情報セキュリティマネジメントシステム)に対する別の監査を実施した。
この監査は、UpNefsのISMSがISO/IEC 27001の規定要件を満たしているかを確認し、ISMSが継続的に改善されていることを確認することを目的としていました。監査チームは、認証済みのISMSが引き続き規格の要件を満たしていることを確認しました。しかしながら、新設された部署がマネジメントシステムの運営に大きな影響を与えました。さらに、認証機関にはこれらの変更について一切通知されていませんでした。そのため、UpNefsの認証は一時停止されました。
上記のシナリオに基づいて、次の質問に答えてください。
UpNetはシナリオ9​​で示されているように、内部監査機能を外部委託しました。これは内部監査プロセスに影響を与えますか?

正確答案: C
說明:(僅 Fast2test 成員可見)
シナリオ5
Cyber​​Shielding Systems Inc.は、情報技術インフラ全体にわたるセキュリティサービスを提供しています。エンドポイントセキュリティ、ファイアウォール、ウイルス対策ソフトウェアなど、サイバーセキュリティソフトウェアを提供しています。Cyber​​Shielding Systems Inc.は、20年以上にわたり、高度な製品とサービスを通じて様々な企業のネットワークセキュリティ強化を支援してきました。情報およびネットワークセキュリティ分野で高い評価を得たCyber​​Shielding Systems Inc.は、ISO/IEC 27001に基づくセキュリティ情報管理システム(ISMS)を導入し、認証を取得することで、自社および顧客の資産をより安全に保護し、競争優位性を獲得することを決定しました。
認証機関は、Cyber​​Shielding Systems Inc.のISO認証のための監査チームを選定することでプロセスを開始した。
IEC 27001認証に関して、認証機関は各監査員の氏名と経歴情報を同社に提供しました。しかし、Cyber​​Shielding Systems Inc.が確認したところ、監査員の1人が認証機関が要求するセキュリティクリアランスを保持していないことが判明しました。そのため、同社はこの監査員の任命に異議を申し立てました。認証機関は、Cyber​​Shielding Systems Inc.の異議申し立てを受けて、審査の結果、当該監査員を交代させました。
監査プロセスの一環として、Cyber​​Shielding Systems Inc.のリスクおよび機会の特定に関するアプローチが独立した活動として評価されました。これには、組織のリスクおよび機会の特定と管理方法を検証することが含まれていました。監査チームの主要な目的は、Cyber​​Shielding Systems Inc.のリスクおよび機会の特定メカニズムの有効性を保証すること、および特定されたリスクおよび機会に対処するための組織の戦略をレビューすることでした。この過程で、監査チームはファイアウォール構成レビュープロセスにおける監督の不備に起因するリスクも特定しました。このプロセスでは、適切な承認なしに変更が実施され、会社が脆弱性にさらされる可能性がありました。この発見は、このような問題を防止するためのより強力な内部統制の必要性を浮き彫りにしました。
監査チームは、主要な業務プロセスと統制を理解するために、プロセス記述書と組織図を参照しました。サードパーティのサービスプロバイダーの制限によりITインフラストラクチャとアプリケーションへのアクセスが制限されていたため、ITリスクと統制に関する分析は限定的なものとなりました。しかし、監査チームは、サイバーシールド社のISMSにおいて重大な欠陥が発生するリスクは低いと判断しました。これは、同社のプロセスのほとんどが自動化されているためです。そこで、監査チームは、サイバーシールド社の担当者に対し、IT責任、統制の有効性、マルウェア対策について質問し、ISMS全体が標準要件に適合していると評価しました。サイバーシールド社の担当者は、これらの質問すべてに十分かつ適切な証拠を提供しました。
監査前に締結された、監査の範囲、基準、目的を概説した合意書にもかかわらず、監査は主に、確立された基準への適合性を評価し、法令および規制要件への準拠を確保することに重点が置かれた。
質問
監査チームによるCyber​​Shielding Systems Inc.のリスクと機会の特定に関する評価は、確立された監査基準に従って実施されましたか?シナリオ5を参照してください。

正確答案: C
說明:(僅 Fast2test 成員可見)
あなたは経験豊富なISMS監査チームリーダーで、研修中の監査員に指導を行っています。彼女は、不適合の評価に関する具体的な基準を設けることがなぜ重要なのかをあなたに尋ねます。
以下の回答のうち、正しいものはどれですか?
* 等級付け基準は、組織全体における不適合の評価のための共通基盤を提供するからである。

正確答案: C
說明:(僅 Fast2test 成員可見)
「是正措置」とは何を意味しますか? 1つ選択してください。

正確答案: B
說明:(僅 Fast2test 成員可見)
以下の選択肢のうち、利害関係者の定義はどれですか?
第三者は、組織が下した決定や活動によって自身が影響を受けると感じた場合、組織に訴えることができる。

正確答案: A
說明:(僅 Fast2test 成員可見)
以下のフレーズのうち、「監査目的」に当てはまるものはどれですか?(2つ選択可)

正確答案: C,F
說明:(僅 Fast2test 成員可見)
シナリオ9​​:Techmanicは1995年に設立されたベルギーの企業で、現在はブリュッセルに拠点を置いています。ITコンサルティング、ソフトウェア設計、ハードウェア/ソフトウェアサービス(導入・保守を含む)を提供しています。公共サービス、金融、通信、エネルギー、医療、教育などの分野にサービスを提供しています。顧客中心主義の企業として、顧客との強固な関係構築と最先端のセキュリティ対策を重視しています。
Techmanic は ISO/IEC 27001 認証を取得してから 1 年が経過し、この認証を誇りに思っています。認証監査中に、監査員は ISMS の実装にいくつかの矛盾を発見しました。観察された状況は ISMS が意図した結果を達成する能力に影響を与えなかったため、監査員が根本原因分析と是正措置をリモートでフォローアップした後、Techmanic は認証されました。その年、同社はサービスのリストにホスティングを追加し、その領域を含めるように認証範囲を拡大するよう要求しました。担当の監査員は要求を承認し、拡張監査は監視監査中に実施されることを Techmanic に通知しました。Techmanic は、iSMS の継続的な有効性と ISO/IEC 27001 への準拠を確認するために監視監査を受けました。監視監査は、最近追加されたホスティング サービスを含む Techmanic のセキュリティ プラクティスが認証の厳格な要件にシームレスに整合していることを確認することを目的としていました。監査員は、特に IT コンサルティング セクターで追加の再認証監査の必要性をなくす目的で、以前の監視監査レポートの調査結果を再認証活動で戦略的に活用しました。継続的な改善の価値を認識し、過去の評価から学ぶこと。
Techmanic社は、過去の監視監査報告書をレビューする慣行を導入しました。この積極的なアプローチは、潜在的な不適合事項の特定と解決を容易にしただけでなく、ITコンサルティング業界における再認証プロセスの効率化も目的としていました。
監視監査中に、いくつかの不適合が発見されました。ISMSは引き続きISO/IEC規格を満たしていました。
TechmanicはISO/IEC 27001の要件を満たしていましたが、内部監査員の報告によると、ホスティングサービスに関連する不適合事項を解決できませんでした。さらに、内部監査報告書にはいくつかの矛盾があり、ホスティングサービスの監査における内部監査員の独立性に疑問が生じました。このため、認証の延長は認められませんでした。結果として、Techmanicは別の認証機関への移管を申請しました。その間、同社は顧客に対し、ISO/IEC 27001認証はITサービスだけでなくホスティングサービスも対象としているとの声明を発表しました。
上記のシナリオに基づいて、次の質問に答えてください。
質問:
外部監査の結果に基づいて策定された改善計画のフォローアップは、内部監査担当者の責任ですか?

正確答案: B
說明:(僅 Fast2test 成員可見)
CEOは、会社の現状と将来の戦略、CEOのビジョン、そして従業員の役割についての見解を述べたメールを送信します。このメールは、次のように分類されるべきです。

正確答案: D
說明:(僅 Fast2test 成員可見)
第三者監視監査を実施している最中に、監査チームの別のメンバーから説明を求められました。そのメンバーは、組織におけるコントロール5.7「脅威インテリジェンス」の適用状況を評価するよう依頼されています。彼らは、これがISO/IEC 2022年版で導入された新しいコントロールの1つであることを認識しています。
27001であり、彼らは管理監査が正しく行われていることを確認したいと考えている。
彼らは監査を支援するためのチェックリストを作成しており、計画された活動が管理要件に合致していることをあなたに確認してもらいたいと考えています。
以下の選択肢のうち、有効な監査証跡を表しているのはどれですか?(3つ)

正確答案: C,G,H
說明:(僅 Fast2test 成員可見)
シナリオ2:
1990年代に設立されたClinicは、心臓関連疾患の治療や複雑な外科手術を専門とする医療機器メーカーです。ヨーロッパに拠点を置き、患者と医療従事者の両方にサービスを提供しています。Clinicは、治療の個別化、治療結果のモニタリング、機器機能の向上を目的として患者データを収集しています。データセキュリティを強化し、信頼を築くため、ClinicはISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)を導入しています。この取り組みは、機密性の高い患者情報と独自の技術を安全に管理するというClinicの強い決意を示すものです。
当クリニックは、内部の問題、インターフェース、内部活動と外部委託活動間の依存関係、および利害関係者の期待のみを考慮して、ISMSの適用範囲を定めました。この適用範囲は綿密に文書化され、誰でも閲覧できるようにしました。ISMSを定義するにあたり、当クリニックは、研究開発、患者データ管理、顧客サポートといった重要な部門内の主要プロセスに特に焦点を当てることを選択しました。
当初は困難に直面したものの、クリニックはISMSの導入に尽力し、独自のニーズに合わせてセキュリティ管理策を策定しました。プロジェクトチームは、ISO/IEC 27001の附属書Aに記載されている特定の管理策を除外する一方で、セキュリティを強化するために業界固有の管理策を追加しました。チームは、これらの管理策の適用可能性を内部および外部の要因に基づいて評価し、最終的に、管理策の選択と導入の根拠を詳細に記した包括的な適用性宣言書(SoA)を作成しました。
認証取得に向けた準備が進むにつれ、チームリーダーに任命されたブライアンは、自主的なリスク評価手法を採用し、会社の戦略的課題とセキュリティ対策を特定・評価した。この積極的なアプローチにより、クリニックのリスク評価は、その目標と使命に沿ったものとなった。
質問:
クリニックのSoA文書は、ISO/IEC 27001のSoAに関する要件を満たしていますか?

正確答案: A
說明:(僅 Fast2test 成員可見)
通信会社は、機密情報の保護を確実にするためにAES方式を採用している。
これは、暗号化に単一の鍵を使用し、
情報を復号化してください。会社はどのような制御方法を採用していますか?

正確答案: C
說明:(僅 Fast2test 成員可見)
以下の状況のうち、どれが脅威を表していますか?

正確答案: C
說明:(僅 Fast2test 成員可見)

聯系我們

如果您有任何問題,請留下您的電子郵件地址,我們將在12小時內回复電子郵件給您。

我們的工作時間:( GMT 0:00-15:00 )
週一至週六

技術支持: 立即聯繫 

English 日本語 Deutsch 한국어