「是正措置」とは何を意味しますか? 1つ選択してください。
A. 不適合または事故の原因を排除するための措置が講じられる。
B. 不適合または事故を是正するための措置が講じられる
C. 経営陣が不適合に対応するために措置を講じる
D. 不適合または事故の発生を防止するための措置が講じられる。
正解:A
解説: (Pass4Test メンバーにのみ表示されます)
質問 2:
監査プログラムを管理する担当者は、以下の行動のうちどれ2つについて責任を負うのでしょうか?
監査プログラムに必要なリソースを決定する
A. Kepingは監査プログラムの進捗状況について認定機関に報告した。
B. 個別監査計画の策定
C. 各監査に適用される法的要件の決定
D. 監査中の被監査者とのコミュニケーション
E. 個別監査の目的、範囲、基準を定義する
正解:D,E
解説: (Pass4Test メンバーにのみ表示されます)
質問 3:
シナリオ2:
1990年代に設立されたClinicは、心臓関連疾患の治療や複雑な外科手術を専門とする医療機器メーカーです。ヨーロッパに拠点を置き、患者と医療従事者の両方にサービスを提供しています。Clinicは、治療の個別化、治療結果のモニタリング、機器機能の向上を目的として患者データを収集しています。データセキュリティを強化し、信頼を築くため、ClinicはISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)を導入しています。この取り組みは、機密性の高い患者情報と独自の技術を安全に管理するというClinicの強い決意を示すものです。
当クリニックは、内部の問題、インターフェース、内部活動と外部委託活動間の依存関係、および利害関係者の期待のみを考慮して、ISMSの適用範囲を定めました。この適用範囲は綿密に文書化され、誰でも閲覧できるようにしました。ISMSを定義するにあたり、当クリニックは、研究開発、患者データ管理、顧客サポートといった重要な部門内の主要プロセスに特に焦点を当てることを選択しました。
当初は困難に直面したものの、クリニックはISMSの導入に尽力し、独自のニーズに合わせてセキュリティ管理策を策定しました。プロジェクトチームは、ISO/IEC 27001の附属書Aに記載されている特定の管理策を除外する一方で、セキュリティを強化するために業界固有の管理策を追加しました。チームは、これらの管理策の適用可能性を内部および外部の要因に基づいて評価し、最終的に、管理策の選択と導入の根拠を詳細に記した包括的な適用性宣言書(SoA)を作成しました。
認証取得に向けた準備が進むにつれ、チームリーダーに任命されたブライアンは、自主的なリスク評価手法を採用し、会社の戦略的課題とセキュリティ対策を特定・評価した。この積極的なアプローチにより、クリニックのリスク評価は、その目標と使命に沿ったものとなった。
質問:
シナリオ2に基づき、クリニックはまず情報セキュリティの目標を定義し、その後リスク評価を実施しました。これは許容範囲内でしょうか?
A. いいえ、ISO/IEC 27001の要求事項に従い、リスク評価の結果を考慮して情報セキュリティ目標を設定する必要があります。
B. いいえ、リスク評価は目標が完全に達成された後にのみ実施されるべきだからです。
C. はい、なぜなら目標は後でリスク評価の結果に合わせて調整できるからです
正解:A
解説: (Pass4Test メンバーにのみ表示されます)
質問 4:
シナリオ2:ナイト社は、米国カリフォルニア州北部に拠点を置く、ビデオゲーム機を開発する電子機器メーカーです。ナイト社は世界中に300名以上の従業員を抱えています。創業5周年を機に、同社は世界市場をターゲットとした新世代ビデオゲーム機「G-Console」の発売を決定しました。G-Consoleは、プレイヤーに最高のゲーム体験を提供する、2021年を代表する究極のメディアマシンと位置づけられています。
コンソールパックには、VRヘッドセット2個、
ゲームやその他の贈り物。
長年にわたり、同社は誠実さ、正直さ、そして顧客への敬意を示すことで高い評価を築いてきました。この高い評価こそが、多くの熱心なゲーマーがKnightのGコンソールを発売と同時に手に入れようとする理由の一つです。
ナイト社は顧客志向の企業であることに加えて、
また、その品質の向上により、ゲーム業界内で広く認知されるようになった。ただし、価格は妥当な基準からするとやや高めである。
とはいえ、ナイト社の製品の品質は最高レベルであるため、ほとんどの常連客にとっては問題とはみなされていない。
世界有数のビデオゲーム機開発企業であるナイト社は、悪意のある活動の標的となることも少なくありません。同社は1年以上前からISMS(情報セキュリティマネジメントシステム)を運用しています。ISMSの適用範囲は、財務部門と人事部門を除くナイト社の全部門に及びます。
最近、ナイト社の機密情報を含む複数のファイルがハッカーによって流出しました。ナイト社のインシデント対応チーム(IRT)は直ちにシステム全体と事件の詳細の分析を開始しました。
IRT(情報調査チーム)は当初、ナイト社の従業員が脆弱なパスワードを使用していたため、ハッカーに容易に突破され、アカウントに不正アクセスされたのではないかと疑った。しかし、事件を綿密に調査した結果、ハッカーはファイル転送プロトコル(FTP)の通信を傍受することでアカウントにアクセスしていたことが判明した。
FTPは、アカウント間でファイルを転送するためのネットワークプロトコルです。認証には平文のパスワードを使用します。
この情報セキュリティインシデントの影響を受け、IRTの提案を受けて、ナイト社はFTPをセキュアシェル(SSH)プロトコルに置き換えることを決定した。これにより、通信を傍受する者は暗号化されたデータしか見ることができないようになる。
これらの変更を受けて、ナイト社はリスク評価を実施し、管理策の導入によって同様の事故のリスクが最小限に抑えられたことを確認した。この評価結果はISMSプロジェクトマネージャーによって承認され、新しい管理策の導入後のリスクレベルは同社のリスク許容レベルに合致していると判断された。
このシナリオに基づいて、次の質問に答えてください。
シナリオ2に基づき、ISMSプロジェクトマネージャーはリスク評価の結果を承認しました。これは許容範囲内でしょうか?
A. いいえ、ISMSに対する新たな管理策の実施後に残るリスクは、ISMSチームによって承認される必要があります。
B. いいえ、リスク処理後に残るリスクは、どの段階においても経営陣の承認を得る必要があります。
C. はい、リスク処理後に残るリスクはISMSプロジェクトマネージャーの承認を得る必要があります。
正解:B
解説: (Pass4Test メンバーにのみ表示されます)
質問 5:
あなたは経験豊富な監査チームリーダーであり、研修中の監査担当者を指導しています。
あなたのチームは現在、外部クライアントのためにデータを保管する組織に対する第三者監視監査を実施しています。研修中の監査担当者は、適用範囲記述書(SoA)に記載され、当該サイトで実施されている組織的統制をレビューする任務を負っています。
研修中の監査担当者がレビューすると予想される管理項目を、以下の項目から4つ選択してください。
A. 組織内および他組織への情報伝達に関する規則
B. 組織の事業継続計画
C. 情報資産目録の作成と維持
D. 電力ケーブルとデータケーブルが建物に引き込まれる方法
E. 敷地内のCCTVおよびドア制御システムの運用
F. 荷積み場への出入り
G. サプライヤー契約において情報セキュリティがどのように扱われているか
H. 機密保持契約および秘密保持契約
正解:A,C,G,H
解説: (Pass4Test メンバーにのみ表示されます)
質問 6:
シナリオ6:Cyber ACryptは、マルウェア対策、デバイスセキュリティ、資産ライフサイクル管理、デバイス暗号化を提供することでエンドポイント保護を実現するサイバーセキュリティ企業です。同社は、ISO/IEC 27001に準拠したISMSの検証と、サイバーセキュリティにおける卓越性への取り組みを示すため、任命された監査チームリーダーであるジョンが主導する綿密な監査プロセスを受けました。
監査の委任を受諾すると、ジョンはすぐに監査計画とチームの役割を概説する会議を組織しました。この段階は、チームを監査の目的と範囲に合わせるために重要でした。しかし、サイバーアクリプトのスタッフへの最初のプレゼンテーションでは、監査の範囲と目的の理解に大きなギャップがあることが明らかになり、社内での準備上の潜在的な課題が示されました。ステージ1の監査が開始されると、チームはオンサイト活動の準備を行いました。彼らは、サイバー アクリプトの情報セキュリティ ポリシーと運用手順を含む文書化された情報をレビューし、各文書が準拠し、作成者識別、作成日、バージョン番号、承認日を含む形式で標準化されていることを確認しました。さらに、監査チームは、各文書に標準のそれぞれの条項で要求される情報が含まれていることを確認しました。このフェーズでは、タスクの実行を説明する文書の詳細な監査は不要であることが明らかになり、プロセスが合理化され、チームの努力が重要な領域に集中しました。オンサイト活動を実施するフェーズでは、チームはサイバー アクリプトのポリシーに対する管理責任を評価しました。この徹底的な調査は、継続的な改善と ISMS 要件への準拠を確認することを目的としていました。その後、文書の第 1 段階監査出力フェーズで、監査チームは調査結果を綿密に文書化し、第 1 段階の目標の達成に関する結論を強調しました。この文書は、監査チームとサイバー アクリプトが予備監査の結果と注意が必要な領域を理解するために不可欠でした。
監査チームは、主要な関係者へのインタビューを実施することも決定した。この決定は、マネジメントシステムのISO準拠を検証するための確固たる監査証拠を収集するという目的に基づいている。
/IEC 27001の要求事項。サイバーACryptのさまざまなレベルの関係者と連携することで、監査チームはISMSの実装と有効性に関する貴重な視点と理解を得ることができました。
第1段階の監査報告書では、重大な懸念事項が明らかになった。適用範囲宣言書(SoA)とISMSポリシーには、リスク評価の不足、アクセス制御の不備、定期的なポリシー見直しの欠如など、いくつかの点で不備が見つかった。これを受け、Cyber ACryptはこれらの不備に対処するため、直ちに行動を起こした。迅速な対応と戦略文書の修正は、コンプライアンス達成への強いコミットメントを示すものであった。
監査チームのサイバーセキュリティに関する知識のギャップを埋めるために導入された技術専門家は、リスク評価方法論の欠陥を特定し、ネットワークアーキテクチャをレビューする上で極めて重要な役割を果たしました。これには、ファイアウォール、侵入検知・防御システム、その他のネットワークセキュリティ対策の評価、およびCyber ACryptが外部および内部の脅威をどのように検知、対応、復旧するかの評価が含まれていました。ジョンの監督の下、技術専門家は監査結果をCyber ACryptの担当者に伝えました。しかし、監査チームは、専門家が被監査企業からコンサルティング料を受け取っていたため、客観性が損なわれていた可能性があることに気づきました。監査中の技術専門家の行動を考慮し、監査チームリーダーはこの懸念について認証機関と話し合うことにしました。
上記のシナリオに基づいて、次の質問に答えてください。
質問:
監査チームによって検証されなかった、文書化された情報を評価するための基準はどれですか?(シナリオ6を参照)
A. 文書化された情報の管理手順
B. 文書化された情報の内容
C. 文書化された情報の形式
正解:A
解説: (Pass4Test メンバーにのみ表示されます)
質問 7:
質問
ISO/IEC 27001の認証を受けたソフトウェア開発会社であるXYZ社は、認証取得から1年後、予定されているサーベイランス監査を受ける準備ができていないため、監査を拒否すると認証機関に通知しました。この状況における直接的な結果は何でしょうか?
A. 現在の認証は次回の監視監査まで有効です
B. 認証は停止されています
C. 会社は、別の認証機関への正式な認証移管手続きを開始しなければならない。
正解:B
解説: (Pass4Test メンバーにのみ表示されます)
質問 8:
以下の選択肢のうち、ISO/IEC 27001のセカンドパーティ監査に参加しないものはどれですか?(2つ選択可)
A. 監査認証機関によって認定された監査員
B. 外部コンサルティング組織に雇用されている監査人
C. CQIおよびIRCAスキームの研修を受けた監査員
D. 顧客の内部監査担当者
E. 認証機関に雇用されている監査員
F. 認定機関の監査員
正解:C,F
解説: (Pass4Test メンバーにのみ表示されます)
質問 9:
次の記述のうち、正しいものはどれですか?(2つ選択可)
A. 認証機関の監査員の役割は、組織が法的要件を遵守していることを確認するためのプロセスを評価することです。
B. 第三者監査の是正において、監査人は、組織が法的要件の変更を認識していることをどのように保証しているかを評価します。
C. 認証機関の監査の一環として、監査員は組織の法的遵守状況を検証する責任を負います。
正解:A,B
解説: (Pass4Test メンバーにのみ表示されます)
904 お客様のコメント





Yamamoto -
ISO-IEC-27001-Lead-Auditor日本語版問題集を勉強して、私は都市の大手なテクノロジー会社に雇われた。品質高いISO-IEC-27001-Lead-Auditor日本語版問題集に感謝に念に耐えません。