最新的PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor日本語版) - ISO-IEC-27001-Lead-Auditor日本語免費考試真題

問題1
あなたは、医療サービスを提供する高齢者介護施設(ABC)でISMS監査を実施しています。監査計画の次のステップは、ABCの医療用モバイルアプリの開発、サポート、ライフサイクルプロセスの情報セキュリティを検証することです。監査中に、組織がモバイルアプリの開発をCMMIレベル5、ITSM(ISO/IEC 20000-1)、BCMS(ISO)の認証を受けた専門ソフトウェア開発会社にアウトソーシングしていることがわかりました。
22301)と
ISMS(ISO/IEC 27001)認証取得済み。
ITマネージャーはソフトウェアセキュリティ管理手順について説明し、そのプロセスを以下のように要約した。
モバイルアプリの開発においては、最低限、「設計段階からのセキュリティ」および「デフォルト設定からのセキュリティ」の原則を採用しなければならない。
個人データ保護のための以下のセキュリティ機能が利用可能である。
アクセス制御。
個人データの暗号化、すなわち、高度暗号化標準(AES)アルゴリズム、鍵長:256ビット。および個人データの匿名化。
脆弱性チェック済み、セキュリティバックドアなし
最新のモバイルアプリテストレポートをサンプルとしてご紹介します。詳細は以下のとおりです。

ITマネージャーは、ソフトウェアセキュリティ管理手順に従って、テスト結果を承認する必要があると説明しました。暗号化機能と匿名化機能が失敗した理由は、これらの機能がシステムとサービスのパフォーマンスを著しく低下させたためです。これを補うには、通常の150%のリソースを追加で確保する必要があります。サービスマネージャーは、アクセス制御は十分かつ許容範囲内であると判断しました。そのため、サービスマネージャーが承認書に署名しました。
監査結果を準備しています。正しい選択肢を選んでください。

正確答案: B
問題2
質問
品質レビュー用のドキュメントテンプレートにおいて、必須要素ではないものはどれですか?

正確答案: C
說明:(僅 PDFExamDumps 成員可見)
問題3
シナリオ 5: ロンドンの保険会社 Cobt は、さまざまな商業保険、産業保険、生命保険ソリューションを提供しています。近年、Cobt の顧客数は大幅に増加しました。処理すべきデータ量が膨大になったため、同社は ISO/IEC 27001 の認証を取得することで、情報のセキュリティを確保し、継続的な改善への取り組みを示す多くのメリットが得られると判断しました。同社は定期的なリスク評価の実施には精通していましたが、ISMS の導入は日々の業務に大きな変化をもたらしました。リスク評価プロセス中に、組織の内部統制メカニズムによって検出または防止されずに重大な欠陥が発生するリスクが特定されました。
同社はISMSを導入するための方法論に従い、わずか数か月後には運用可能なISMSを導入しました。ISMSの導入が成功した後、CobtはISO/IEC 27001認証を申請しました。経験豊富な監査員であるサラが監査に割り当てられました。監査提案を徹底的に分析した後、サラは監査チームリーダーとしての責任を受け入れ、すぐにCobtに関する一般的な情報の収集を開始しました。彼女は監査基準と目的を確立し、監査を計画し、監査チームメンバーの責任を割り当てました。
サラは、Cobtが多様な商業および保険ソリューションを提供することで大幅に拡大したが、依然として一部の手動プロセスに依存していることを認めた。そのため、彼女の最初の焦点は、同社が情報セキュリティリスクをどのように管理しているかについての情報を収集することであった。サラは、監査の一部として当初合意されていたように、オフサイトレビューのリスク管理に関連する情報へのアクセスを要求するためにCobtの担当者に連絡した。しかし、Cobtは後に、そのような情報は社外からアクセスするには機密性が高すぎると主張して拒否した。この拒否は、特に被監査者の可用性と協力、および証拠へのアクセスに関して、監査の実現可能性について懸念を引き起こした。さらに、Cobtは監査スケジュールについて懸念を示し、それが同社が行った最近の変更を適切に反映していないと述べた。監査中に実行されるアクションは最初の範囲にのみ適用され、監査範囲で行われた最新の変更を網羅していないことを指摘した。サラはまた、拒否された情報が監査の目的にとって重要であることを考慮して、状況の重要性を評価した。この場合、Cobtによる拒否は、監査の完全性と合理的な保証を提供する能力について疑問を生じさせた。こうした状況を受け、サラは認証契約締結前に監査業務から撤退することを決定し、その旨をCobt社および認証機関に伝えました。この決定は、監査原則の遵守と透明性の維持を確実にするためであり、サラがこれらの原則を一貫して遵守するという強い意志を示すものです。
上記のシナリオに基づいて、次の質問に答えてください。
質問:
シナリオ5に基づき、コブト社は監査スケジュールが監査範囲の最近の変更を適切に反映していないと述べました。この場合、サラはどうすべきでしょうか?

正確答案: A
說明:(僅 PDFExamDumps 成員可見)
問題4
監査の準備に関して、次の記述のうち誤っているものはどれですか?

正確答案: B
問題5
あなたは、医療サービスを提供するABCという名の高齢者向け介護施設でISMS監査を実施しています。施設の入居者全員が、位置情報、心拍数、血圧を常にモニタリングするための電子リストバンドを装着していることがわかりました。電子リストバンドは、医療スタッフによる健康状態のモニタリングと分析のために、すべてのデータを自動的に人工知能(AI)クラウドサーバーにアップロードしていることも判明しました。
ISMSの適用範囲を確認するために、マネジメントシステム担当者(MSR)にインタビューを行い、ISMSの適用範囲にはアウトソーシングされたデータセンターが含まれることの説明を受ける。
ISMSの適用範囲を検証するために必要な監査証拠について、3つの選択肢を選んでください。

正確答案: A,C,E
說明:(僅 PDFExamDumps 成員可見)
問題6
シナリオ4:SendPayは、代理店や金融機関のネットワークを通じてサービスを提供する金融会社です。主なサービスの1つは、世界規模での送金です。SendPayは新興企業として、顧客に最高品質のサービスを提供することを目指しています。国際送金サービスを提供しているため、顧客には、身元情報、送金の目的、その他送金に必要な詳細情報などの個人情報の提供を求めています。そのため、SendPayは、発生する可能性のある情報セキュリティ上の脅威を検出、調査、対応することを含め、顧客の情報を保護するためのセキュリティ対策を実施しています。安全なサービスを提供するという同社の取り組みは、ISMSの導入にも反映されており、同社は多くの時間とリソースを投資しました。
昨年、SendPayはスマートフォンやノートパソコンなどの電子機器を介して、追加料金なしで送金・受金ができるデジタルプラットフォームを発表しました。このプラットフォームにより、SendPayの顧客はいつでもどこからでも送金・受金を行うことができます。このデジタルプラットフォームは、SendPayの業務効率化と事業拡大に貢献しました。当時、SendPayはソフトウェア開発業務を外部委託していたため、このプロジェクトは委託先の企業のソフトウェア開発チームによって完了しました。
同じチームがSendPayの技術インフラの維持管理も担当していた。
最近、同社はISMS(情報セキュリティマネジメントシステム)を導入してからほぼ1年が経過した時点で、ISO/IEC 27001認証の申請を行った。同社は自社の基準に合致する認証機関と契約を締結した。その後まもなく、認証機関はSendPayのISMSを監査するために4名の監査員からなるチームを任命した。
監査の過程で、とりわけ以下の状況が確認された。
1. アウトソーシング先のソフトウェア会社が、事前の通知なしにSendPayとの契約を解除しました。その結果、SendPayはサービスをすぐに社内に戻すことができず、業務が5日間中断しました。監査人はSendPayの担当者に対し、契約解除の場合の対応計画を示す証拠を提出するよう求めました。担当者は文書による証拠は提出しませんでしたが、面談の中で、SendPayの経営陣が、同様の事態が再び発生した場合にすぐにサービスを提供できる他の2つのソフトウェア開発会社を特定したと監査人に伝えました。
2. ソフトウェア開発会社に委託された業務の監視に関する証拠は入手できませんでした。SendPayの担当者は、ソフトウェア開発会社とは定期的に連絡を取り合っており、起こりうる変更について適切に情報提供を受けていると、監査担当者に改めて説明しました。
3.ファイアウォールのテスト中に不適合は発見されませんでした。監査担当者は、これらのサービスによって提供されるセキュリティレベルを判断するために、ファイアウォール構成をテストしました。パケットアナライザーを使用してファイアウォールポリシーをテストし、送受信されるパケットをリアルタイムで確認しました。
このシナリオに基づいて、次の質問に答えてください。
シナリオ4に基づき、監査人はアウトソーシング業務の監視プロセスに関する文書証拠を要求しました。これは何を意味するのでしょうか?

正確答案: A
說明:(僅 PDFExamDumps 成員可見)
問題7
フォローアップ監査中に、フォローアップ監査前に完了すべきと特定されていた不適合事項がまだ未解決であることに気づいた。
以下の行動のうち、どれを4つ取るべきでしょうか?

正確答案: C,D,G,H
說明:(僅 PDFExamDumps 成員可見)
問題8
シナリオ9​​:Techmanicは1995年に設立されたベルギーの企業で、現在はブリュッセルに拠点を置いています。ITコンサルティング、ソフトウェア設計、ハードウェア/ソフトウェアサービス(導入・保守を含む)を提供しています。公共サービス、金融、通信、エネルギー、医療、教育などの分野にサービスを提供しています。顧客中心主義の企業として、顧客との強固な関係構築と最先端のセキュリティ対策を重視しています。
Techmanic は ISO/IEC 27001 認証を取得してから 1 年が経過し、この認証を誇りに思っています。認証監査中に、監査員は ISMS の実装にいくつかの矛盾を発見しました。観察された状況は ISMS が意図した結果を達成する能力に影響を与えなかったため、監査員が根本原因分析と是正措置をリモートでフォローアップした後、Techmanic は認証されました。その年、同社はサービスのリストにホスティングを追加し、その領域を含めるように認証範囲を拡大するよう要求しました。担当の監査員は要求を承認し、拡張監査は監視監査中に実施されることを Techmanic に通知しました。Techmanic は、iSMS の継続的な有効性と ISO/IEC 27001 への準拠を確認するために監視監査を受けました。監視監査は、最近追加されたホスティング サービスを含む Techmanic のセキュリティ プラクティスが認証の厳格な要件にシームレスに整合していることを確認することを目的としていました。監査員は、特に IT コンサルティング セクターで追加の再認証監査の必要性をなくす目的で、以前の監視監査レポートの調査結果を再認証活動で戦略的に活用しました。継続的な改善の価値を認識し、過去の評価から学ぶこと。
Techmanic社は、過去の監視監査報告書をレビューする慣行を導入しました。この積極的なアプローチは、潜在的な不適合事項の特定と解決を容易にしただけでなく、ITコンサルティング業界における再認証プロセスの効率化も目的としていました。
監視監査中に、いくつかの不適合が発見されました。ISMSは引き続きISO/IEC規格を満たしていました。
TechmanicはISO/IEC 27001の要件を満たしていましたが、内部監査員の報告によると、ホスティングサービスに関連する不適合事項を解決できませんでした。さらに、内部監査報告書にはいくつかの矛盾があり、ホスティングサービスの監査における内部監査員の独立性に疑問が生じました。このため、認証の延長は認められませんでした。結果として、Techmanicは別の認証機関への移管を申請しました。その間、同社は顧客に対し、ISO/IEC 27001認証はITサービスだけでなくホスティングサービスも対象としているとの声明を発表しました。
上記のシナリオに基づいて、次の質問に答えてください。
質問:
Techmanicの再認証活動において、過去の監視監査報告書をレビューする目的は適切に定義されているか?

正確答案: A
說明:(僅 PDFExamDumps 成員可見)
問題9
監査人の能力は、知識とスキルの組み合わせです。以下の活動のうち、主に「知識」に関連するものはどれですか?(2つ選択)

正確答案: C,D
說明:(僅 PDFExamDumps 成員可見)
問題10
質問:
監査人として、ABC社がリムーバブル記憶媒体を管理するための手順を確立していることに気づきました。この手順は、ABC社が採用している分類体系に基づいています。したがって、保存されている情報が「機密」に分類されている場合は、この手順が適用されます。しかし、公開情報には機密保持の要件がないため、完全性と可用性の管理のみが適用されます。これはどのような種類の監査結果でしょうか?

正確答案: B
說明:(僅 PDFExamDumps 成員可見)
問題11
質問
ISO/IEC 27001の認証を受けたソフトウェア開発会社であるXYZ社は、認証取得から1年後、予定されているサーベイランス監査を受ける準備ができていないため、監査を拒否すると認証機関に通知しました。この状況における直接的な結果は何でしょうか?

正確答案: B
說明:(僅 PDFExamDumps 成員可見)
問題12
以下の状況のうち、どれが脅威を表していますか?

正確答案: B
說明:(僅 PDFExamDumps 成員可見)
問題13
シナリオ1:Fintiveは、オンライン決済および保護ソリューションを提供する著名なセキュリティプロバイダーです。1999年にトーマス・フィンによってカリフォルニア州サンノゼで設立されたFintiveは、オンラインで事業を展開し、情報セキュリティの向上、不正行為の防止、個人情報などのユーザー情報の保護を希望する企業にサービスを提供しています。Fintiveは、過去の事例に基づいて意思決定と運用プロセスを構築しています。顧客データを収集し、事例に応じて分類し、分析します。このような複雑な分析を行うには、多くの従業員が必要でした。しかし、数年後、このような分析を支援する技術も進歩しました。現在、Fintiveは、リアルタイムでの不正防止に向けたパターン分析を実現するために、チャットボットという最新ツールの使用を計画しています。このツールは、顧客サービスの向上にも活用される予定です。
この最初のアイデアはソフトウェア開発チームに伝えられ、彼らはそれを支持してこのプロジェクトを担当することになった。彼らは既存のシステムにチャットボットを統合し始めた。さらに、チームはチャットボットに関して、すべてのチャット問い合わせの85%に回答するという目標を設定した。
チャットボットの統合が成功した後、同社は直ちに顧客向けにチャットボットをリリースし、利用を開始させた。
しかし、そのチャットボットにはいくつか問題があったようだ。
トレーニング段階で、チャットボットがクエリのパターンを「学習」するはずだったにもかかわらず、テストが不十分でサンプルデータが不足していたため、チャットボットはユーザーのクエリに対応できず、適切な回答を提供できませんでした。さらに、チャットボットは、ドットの奇妙なパターンや特殊文字などの無効な入力を受け取ると、ユーザーにランダムなファイルを送信しました。そのため、チャットボットは顧客のクエリに適切に回答できず、従来のカスタマーサポートはチャットによる問い合わせで溢れかえり、顧客の要望に応えることができませんでした。
そのため、Fintiveはソフトウェア開発ポリシーを策定した。このポリシーでは、ソフトウェアが社内で開発されるか外部委託されるかにかかわらず、運用システムに導入する前にブラックボックステストを実施することを規定した。
このシナリオに基づいて、次の質問に答えてください。
チャットボットは、ユーザーの質問に対応し、適切な回答を提供するために、質問のパターンを「学習」することになっていた。
どのような種類のテクノロジーが
これ?

正確答案: A
說明:(僅 PDFExamDumps 成員可見)
問題14
シナリオ4:SendPayは、代理店や金融機関のネットワークを通じてサービスを提供する金融会社です。主なサービスの1つは、世界規模での送金です。SendPayは新興企業として、顧客に最高品質のサービスを提供することを目指しています。国際送金サービスを提供しているため、顧客には、身元情報、送金の目的、その他送金に必要な詳細情報などの個人情報の提供を求めています。そのため、SendPayは、発生する可能性のある情報セキュリティ上の脅威を検出、調査、対応することを含め、顧客の情報を保護するためのセキュリティ対策を実施しています。安全なサービスを提供するという同社の取り組みは、ISMSの導入にも反映されており、同社は多くの時間とリソースを投資しました。
昨年、SendPayはスマートフォンやノートパソコンなどの電子機器を介して、追加料金なしで送金・受金ができるデジタルプラットフォームを発表しました。このプラットフォームにより、SendPayの顧客はいつでもどこからでも送金・受金を行うことができます。このデジタルプラットフォームは、SendPayの業務効率化と事業拡大に貢献しました。当時、SendPayはソフトウェア開発業務を外部委託していたため、このプロジェクトは委託先の企業のソフトウェア開発チームによって完了しました。
同じチームがSendPayの技術インフラの維持管理も担当していた。
最近、同社はISMS(情報セキュリティマネジメントシステム)を導入してからほぼ1年が経過した時点で、ISO/IEC 27001認証の申請を行った。同社は自社の基準に合致する認証機関と契約を締結した。その後まもなく、認証機関はSendPayのISMSを監査するために4名の監査員からなるチームを任命した。
監査の過程で、とりわけ以下の状況が確認された。
1. アウトソーシング先のソフトウェア会社が、事前の通知なしにSendPayとの契約を解除しました。その結果、SendPayはサービスをすぐに社内に戻すことができず、業務が5日間中断しました。監査人はSendPayの担当者に対し、契約解除の場合の対応計画を示す証拠を提出するよう求めました。担当者は文書による証拠は提出しませんでしたが、面談の中で、SendPayの経営陣が、同様の事態が再び発生した場合にすぐにサービスを提供できる他の2つのソフトウェア開発会社を特定したと監査人に伝えました。
2. ソフトウェア開発会社に委託された業務の監視に関する証拠は入手できませんでした。SendPayの担当者は、ソフトウェア開発会社とは定期的に連絡を取り合っており、起こりうる変更について適切に情報提供を受けていると、監査担当者に改めて説明しました。
3.ファイアウォールのテスト中に不適合は発見されませんでした。監査担当者は、これらのサービスによって提供されるセキュリティレベルを判断するために、ファイアウォール構成をテストしました。パケットアナライザーを使用してファイアウォールポリシーをテストし、送受信されるパケットをリアルタイムで確認しました。
このシナリオに基づいて、次の質問に答えてください。
SendPayは契約終了後、なぜ自社でサービスを復旧できなかったのでしょうか?シナリオ4を参照してください。

正確答案: B
說明:(僅 PDFExamDumps 成員可見)

專業認證

PDFExamDumps模擬測試題具有最高的專業技術含量,只供具有相關專業知識的專家和學者學習和研究之用。

品質保證

該測試已取得試題持有者和第三方的授權,我們深信IT業的專業人員和經理人有能力保證被授權産品的質量。

輕松通過

如果妳使用PDFExamDumps題庫,您參加考試我們保證96%以上的通過率,壹次不過,退還購買費用!

免費試用

PDFExamDumps提供每種産品免費測試。在您決定購買之前,請試用DEMO,檢測可能存在的問題及試題質量和適用性。