PECB - 最新のトレーニングダンプス

質問68
あなたは、地元の病院や官公庁を含む大規模な組織に発送サービスを提供している国際的なロジスティクス組織の発送部門で、ISMS監査を実施している。小包には通常、医薬品、生物学的サンプル、パスポートや運転免許証などの書類が含まれている。あなたは、会社の記録によると、非常に多くの返送品があり、その原因として、ラベルの宛名間違いや、15% のケースでは、1 つの荷物に異なる住所のラベルが 2 枚以上貼られていることなどが挙げられていることに気づきました。あなたはシッピングマネージャー（SM）と面談している。
あなた商品は発送前にチェックされていますか？
SM：明らかに破損しているものは、発送前に当直スタッフが取り除きますが、利益率が低いため、正式なチェックプロセスを導入するのは不経済です。
あなた返品された商品はどのように処理されますか？
SM：これらの契約のほとんどは比較的低額であるため、調査を実施するよりも、単にラベルを刷り直して個々の小包を再送する方が簡単で便利だと判断された。
あなたは不適合を指摘した。シナリオを参照し、あなたがフォローアップ監査を実施する際に、受審者が次の附属書Aのどの3つの管理策を実施していると予想しますか。

5.11 資産返却

5.13 情報の表示

5.3 職務の分離

5.32 知的財産権

5.34 プライバシーおよび個人識別情報（PII）の保護

5.6 特別利益団体との接触

6.3 情報セキュリティに関する意識向上、教育、訓練

6.4 懲戒プロセス

説明
あなたがフォローアップ監査を実施する際に、受審者が実施していると予想される附属書 A の管理は以下の 3 つです：
* B. 5.13 情報の表示
* E. 5.34 プライバシーおよび個人識別情報（PII）の保護
* G. 6.3 情報セキュリティに関する意識向上、教育、訓練
* B. この管理は、組織が情報分類スキームに従って情報資産にラベルを貼り、それに従って情報資産を取り扱うことを要求する12 。この管理は、ラベルの宛名を間違えて小包を間違った宛先に送り、情報資産の機密性、完全性、可用性を損なうことを回避するのに役立つので、受審者にとって適切である。情報資産を正しくラベリングすることで、受審者は、情報資産が意図された受取人に配送され、不正なアクセス、使用、開示から保護されることも保証できる。
* E. この管理は、組織が個人識別情報（PII）を処理する個人のプライバシーと権利を保護し、適用される法的義務と契約上の義務を遵守することを要求する13。この管理は、受審者にとって適切である。なぜなら、この管理は、サプライヤーによる入居者の個人情報の不正使用を防止するのに役立ち、入所者とその家族のプライバシーと権利を侵害し、受審者を法的リスクと風評リスクにさらす可能性があるからである。入居者とその家族の個人情報を保護することで、受審者は入居者の信頼と満足度を高め、苦情や紛争を回避することもできる。
* G. この管理策では、全従業員及び契約社員が、情報セキュリティ方針、各自の役割と責任、関連する情報セキュリティ手順及び管理策を確実に理解することを求めている14。この管理策は、従業員の情報セキュリティ文化や行動を改善し、情報セキュリティインシデントにつながりかねないヒューマンエラーや過失を減少させることができるため、受審者にとって適切である。受審者は、従業員に情報セキュリティに関する認識、教育、訓練を提供することで、従業員の能力とパフォーマンスを向上させ、情報セキュリティプロセスと管理の有効性と効率性を確保することができる。
参考文献
1: ISO/IEC 27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項、附属書 A 2: ISO/IEC 27002:2022 - 情報技術 - セキュリティ技術
- ISO/IEC 27002:2022-情報技術-セキュリティ技術-情報セキュリティ管理実施基準（Code of Practice for Information Security Control）、8.2.1項 3: ISO/IEC 27002:2022-情報技術-セキュリティ技術-情報セキュリティ管理実施基準（Code of Practice for Information Security Control）、 18.1.4 項 4：
ISO/IEC 27002:2022-情報技術-セキュリティ技術-情報セキュリティ管理実施基準 7.2.2 項

質問69
情報セキュリティマネジメントシステムはどのような順序で構築されるのか？

実施、運用、改善、メンテナンス

実施、運営、保守、設立

設立、運営、モニタリング、改善

設立、実施、運用、保守

質問70
あなたは、組織の情報セキュリティ監査を完了したところで、ITマネジャーから会社のリスクマネジメントプロセスの改訂を手伝ってほしいと頼まれた。
彼は他のマネジャーが理解しやすいように現在の文書を更新しようとしているが、あなたの議論から、彼がいくつかの重要な用語を混同していることは明らかだ。
あなたは彼に、それぞれの説明を適切なリスク用語と一致させるよう求めた。正解は何でしょうか？

質問71
スタッフがメッセージを送ったことを否定した場合、情報のどの信頼性が損なわれるか？

守秘義務

誠実さ

空室状況

正しさ

質問72
情報資産の利用において、ベストプラクティスはどれか？

情報および通信システムへのアクセスは、業務目的でのみ提供される。

従業員のホスト以外のユーザーへのサービスを妨害または拒否すること。

勤務時間中にコンピューターゲームをする

無線または無線LAN通信を含む、電話またはネットワーク通信へのアクセス

説明
情報資産の許容される利用におけるベストプラクティスはAである。これは、組織が、正当かつ承認された業務活動に使用する必要のある承認されたユーザーにのみ、情報通信システムへのアクセスを許可することを意味する。このような利用は、情報セキュリティーを脅かしたり、ポリシーや法律に違反したり、組織やその利害関係者に損害や危害を与えたりする可能性があるため、組織は、情報通信システムの無許可の不適切な利用や個人的な利用を許可したり容認したりしない。その他の選択肢は、情報セキュリティポリシーや手順、倫理基準や法的基準に違反する可能性があるため、情報資産の許容可能な利用におけるベストプラクティスではない。従業員のホスト(B)以外のユーザーのサービスを妨害または拒否することは、他のユーザーまたは組織の情報システムまたはサービスの可用性または性能を妨害する可能性のある悪質な行為です。勤務時間中にコンピュータゲームをプレイすることは、情報通信システムの個人的かつ非職業的な使用であり、従業員の職務を妨げたり、リソースや帯域幅を浪費したり、システムをマルウェアやその他のリスクにさらす可能性があります。無線通信や無線LAN通信を含む電話やネットワーク通信へのアクセス（D）は、他のユーザーや組織が送信した情報を、その同意や承認なしに傍受、監視、変更する可能性があり、機密性やプライバシーを侵害する可能性がある。ISO/IEC 27001:2022は、組織に資産の許容される使用に関する規則を実施することを求めている（A.8.1.3項参照）。参考文献CQI & IRCA 認定 ISO/IEC 27001:2022 主任監査員トレーニングコース、ISO/IEC 27001:2022 情報技術
- セキュリティ技術 - 情報セキュリティ・マネジメント・システム - 要求事項、アクセプタブル・ユースとは何か？

質問73
平日・週末を問わず、鍵付きのゴミ箱にノートパソコンをお預かりします。

真

偽

質問74
あなたは、オンライン保険会社の第三者監査を実施する監査チームリーダです。ステージ 1 で、あなたは、この組織が非常に慎重なリスクアプローチをとり、ISO/IEC 27001:2022 Appendix A のすべての情報セキュリティ管理を適用声明書に含めていることを発見しました。
ステージ2の監査で、監査チームは、3つの管理（5.3職務の分離、6.1スクリーニング、7.12ケーブルのセキュリティ）の実施に関するリスク処理計画の証拠がないことを発見しました。あなたは、ISO 27001:2022の6.1.3.e項に対する不適合を提起します。
最終会議でテクニカル・ディレクターは、修正された適合性宣言書の抜粋を発表し（示された通り）、不適合の撤回を求める。

テクニカルディレクターの要請に対する監査チームリーダーの正しい対応を3つ選びなさい。

提供された情報は、監査人に時間があるときに見直すよう経営陣に助言する。

テクニカルディレクターに、彼の要求が監査報告書に記載されることを伝える。

テクニカルディレクターに、一旦不適合が指摘されると撤回できないことを伝える。

テクニカル・ディレクターに、不適合について得られた証拠は明確であるため、不適合は放置されなければならないと助言する。

問題を提起した監査人に、その要請にどのように対応すべきか意見を求める。

テクニカルディレクターに、不適合が改善の機会に変更されることを伝える。

作成された文書を確認し、不適合を撤回する。

更新された「適用可能性宣言書」の根拠を見直すために、フォローアップ監査が必要であることを明記する。

テクニカル・ディレクターの要請に対する監査チームのリーダーの正しい対応として、3つの選択肢がある：
* B. テクニカルディレクターに、彼の要求が監査報告書に含まれることを伝える。
* D. テクニカル・ディレクターに、不適合について得られた証拠が明確であったため、不適合は放置されなければならないと助言する。
* H. 更新された「適用可能性宣言書」の根拠を見直すために、フォローアップ監査が必要であることを明記する。
* B. 監査チームリーダーは、テクニカル・チームの要請を文書化すべきであるので、この回答は正しい。
* また、監査所見と結論12 と共に、監査報告書に記載する。これにより、監査プロセスと監査結果の透明性とトレーサビリティが確保される。
* 監査チームリーダーは、修正された適用宣言書だけに基づいて不適合を取り下げるべきではないので、この回答は正しい。この不適合は、ISO 27001:2022の6.1.3.e項に対して提起されたものであり、組織は、選択した管理策とその実施状況を含め、情報セキュリティリスクをどのように処置するかを定義したリスク処置計画を作成し、維持することが要求されている34。適用性の表明は、リスク処置計画の一部分に過ぎず、コントロールが効果的に実施されたという十分な証拠にはならない。監査チームリーダーは、受審者の主観的な主張ではなく、監査中に得られた客観的な証拠に基づいて不適合を判断すべきである12。
* H. 監査チームリーダーは、更新された「適用可能性宣言書」の根拠を検討するためにフォローアップ監査が必要であることを述べるべきであるので、この回答は正しい。フォローアップ審査とは、前回の審査の結果合意された是正処置及び／又は改善の機会の実施と有効性を検証するために、前回の審査後に実施される審査である56。フォローアップ監査は、不適合が効果的に対処され、ISMS が準拠し、有効であることを確認することを求めるべきである。また、フォローアップ監査では、ISMS56 に影響を及ぼす可能性のある新たな、または変更されたリスクや要求事項についても検討する必要がある。
参考文献
1: PECB 受験者ハンドブック - ISO 27001 主任審査員、25 ページ 2: ISO 19011:2018 - マネジメントシステム監査のガイドライン、6.7 項 3: ISO/IEC 27001:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項、6.1.3.e 項 4: ISO/IEC
27005:2022 - 情報技術 - セキュリティ技術 - 情報セキュリティリスク管理，条項
8.3.2 5: PECB 受験者ハンドブック - ISO 27001 主任審査員、25 ページ 6: ISO 19011:2018 - マネジメントシステム審査ガイドライン、6.7 項

質問75
廃棄したい顧客の設計書のハードコピーがあります。あなたならどうしますか？

ゴミ箱に捨てる

シュレッダーで細断する

オフィスボーイに渡して、別の用途に再利用してもらう。

環境に配慮し、執筆に再利用する

質問76
あなたは、認証機関からデータセンター顧客のフォローアップ審査を実施するよう命じられたISMS審査チームリーダーです。
ISO 19011:2018によると、フォローアップ審査の目的は次のうちどれを検証することですか？

マネジメント・システムの有効性

ISMS目標の実施

リスク治療計画の実施

是正措置の完了と有効性

質問77
ステージ1の第三者監査の主な目的として、最も適切なものはどれか。

監査チームをクライアントに紹介する

組織の調達について知る

ステージ2審査のための発赤判定

組織が法令を遵守しているかどうかをチェックする

独立監査報告書の作成

組織の顧客を知る

質問78
あなたは経験豊富な ISMS 監査チームリーダーで、研修中の監査員に指導を行っています。彼らはリスクプロセスの理解が曖昧であり、以下に詳述する各プロセスの例を提供するようあなたに求めています。
提供された説明のそれぞれを、以下のリスク管理プロセスのいずれかに一致させなさい。
表を完成させるには、完成させたい空欄をクリックして赤くハイライトさせ、下のオプションから該当するテキストをクリックします。または、各オプションを該当する空欄にドラッグ・アンド・ドロップすることもできます。

説明する：

* リスク分析とは、リスクの性質をその確率と影響とともに決定するプロセスである。リスク分析では、組織の情報セキュリティ目的または要件に影響を及ぼしうる潜在的な事象または状況の可能性と結果を推定する12。リスク分析には、定性的な方法と定量的な方法、またはその両方を組み合わせて用いることができる12。
* リスク管理とは、組織の方針、手順、及び実務の適用によって、リスクがそのライフサイクルの全段階において管理されるプロセスである。リスクマネジメントには、組織の情報セキュリティパフォーマンス又はコンプライアンスに影響を及ぼしうるリスクについて、その背景を確立し、特定し、分析し、評価し、処置し、監視し、見直すことが含まれる12。リスク管理は、リスクが適時かつ効果的な方法で特定され、処置され、改善の機会が活用されることを確実にすることを目的とする12。
* リスク識別とは、リスクを認識し、説明するプロセスである。リスクの特定には、組織の情報セキュリティ目的または要件に影響を及ぼす可能性のあるリスクの発生源、原因、事象、シナリオ、潜在的影響を特定し、文書化することが含まれる12。リスクの特定には、ブレーンストーミング、インタビュー、チェックリスト、調査、過去のデータなど、さまざまな技法を用いることができる12。
* リスク評価とは、リスクの影響及び／又は確率をリスク基準と比較し、そのリスクが許容できるかどうかを判断するプロセスである。リスク評価では、リスク分析結果を、組織のリスク選好度、許容度、又は受容度を反映するあらかじめ定義された基準と比較する12 。リスク評価には、ランク付け、スコアリング、マトリックス12 など様々な方法がある。リスク評価は、優先順位を付け、適切なリスク処理オプションを決定するのに役立つ12。
* リスク緩和とは、管理策の適用によってリスクの影響及び／又は確率を低減するプロセスである。リスク緩和には、組織の情報セキュリティ目的または要件に影響を及ぼす可能性のあるリスクを予防、低減、移転、または受容するための対策を選択し、実施することが含まれる12。リスク軽減には、技術的、組織的、法的、物理的など様々な種類の管理策を含めることができる12。リスク軽減は、費用便益分析と残存リスク評価12 に基づいて行う。
* リスク移転とは、適切な保険に加入するなどして、リスクを第三者に移転するプロセスである。リスク移転は、リスクに対する責任や義務の一部または全部を、それを管理する能力や能力がより高い別の当事者に分担させたり、移転させたりすることを含む12。リスク移転には、契約、協定、パートナーシップ、アウトソーシング、保険など様々な方法がある12。リスク移転は、組織内の効果的なリスク管理の代用として用いるべきではない12。
参照 :=.
* ISO/IEC 27001:2022 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項
* ISO/IEC 27005:2022 情報技術-セキュリティ技術-情報セキュリティリスク管理

質問79
ワークステーションにMP3ファイルを一時的に保存していることが発覚した従業員には、IRは支給されない。

真

偽

質問80
第二者監査の各参加者と正しい責任を一致させなさい：

説明

第二者監査に参加する各自の正しい責任とは、次のようなものである：
* 監査報告書の作成監査チームリーダー。監査チームリーダーは、監査活動の調整、受審者及び顧客とのコミュニケーション、監査所見及び結論1 をまとめた監査報告書の作成及び提出に責任を負う。
* 監査中に使用する監査チェックリストを作成する：監査員。監査人は、監査プロセスをガイドし、監査基準の関連するすべての側面がカバーされていることを確認するためのツールとして監査チェックリストを使用して、監査中に客観的証拠を収集し、検証する責任があります1。
* 監査員をサポートし、その経験についてフィードバックを提供する：研修中の審査員。訓練中の審査員は、経験豊富な審査員の監督のもとで審査の実施方法を学んでいる人である。研修中の監査員は、監査活動を観察し、監査活動に参加することによって監査員を支援し、監査員のスキルや能力を向上させるために、監査員の経験についてフィードバックを提供する1。
* 合意された期限内に監査結果のフォローアップを行う：受審者。受審者とは、顧客又は顧客に代わって第三者から監査を受ける組織をいう。受審者は、監査員へのアクセス及び協力を提供し、必要に応じて是正処置又は改善策を実施することにより、合意された期限内に監査結果をフォローアップする責任を負う1。
* 監査について独立した説明を行うが、監査には参加しない：オブザーバー。オブザーバーとは、監査チームに同行するが、監査活動には参加しない人のことである。オブザーバーは、顧客の代表者、規制機関、またはその他の利害関係者である。オブザーバーは、独立した立場で監査に関する説明を行いますが、監査プロセスや結果に干渉したり、影響を与えたりすることはありません1。
* 監査人の付き添いはするが、監査には参加しない：ガイド。ガイドは、監査中に監査チームを支援するために受審者によって任命される人である。ガイドは、監査人の要請に応じて、監査人を別の場所に案内したり、情報や要員へのアクセスを容易にしたり、説明や解説を行ったりする。ガイドは、監査に参加したり、監査結果に影響を与えることはない1。

質問 81
あなたは、ヘルスケアサービスを提供する住宅型老人ホーム（ABC）でISMS監査を実施しています。あなたの監査計画の次のステップは、ABCのヘルスケアモバイルアプリの開発、サポート、およびライフサイクルプロセスの情報セキュリティを検証することです。監査中、あなたは、この組織がモバイルアプリの開発を、CMMIレベル5、ITSM（ISO/IEC
20000-1）、BCMS（ISO 22301）、ISMS（ISO/IEC 27001）の認証を取得。
ITマネージャーは、ソフトウェアのセキュリティ管理手順を提示し、そのプロセスを次のように要約した：
モバイルアプリの開発では、最低限、「セキュリティー・バイ・デザイン」および「セキュリティー・バイ・デフォルト」の原則を採用すること。個人情報保護のため、以下のセキュリティ機能を提供すること：
アクセスコントロール。
個人データの暗号化、すなわちAES（Advanced Encryption Standard）アルゴリズム、鍵長：256ビット、および個人データの仮名化。
脆弱性チェック済み、セキュリティ・バックドアなし
最新のモバイルアプリテストレポートのサンプルは以下の通りです：

あなたはITマネジャーに、個人データの暗号化と仮名化のテストが失敗したにもかかわらず、組織がモバイルアプリをまだ使用している理由を尋ねます。また、サービスマネジャーにテストを承認する権限があるかどうかも尋ねてください。
IT管理者は、ソフトウェアのセキュリティ管理手順に従って、テスト結果を承認する必要があると説明する。
暗号化機能と仮名化機能が失敗した理由は、これらの機能がシステムとサービスのパフォーマンスを著しく低下させたからである。これをカバーするために150%の追加リソースが必要である。サービス・マネージャーは、アクセス・コントロールは十分であり、許容範囲内であることに同意した。そのため、サービス・マネージャーは承認に署名した。
あなたは監査所見を作成しています。正しい選択肢を選んでください。

不適合（NC）はない。サービスマネジャーはサービス継続を適切に判断する。
(8.1項、管理A.8.30に関連)

不適合(NC)がある。組織と開発者が受入テストを行っていない。
(8.1項、管理A.8.29に関連)

不適合（NC）がある。組織と開発者はセキュリティテストを実施しますが、失敗します。
(8.1項、管理A.8.29に関連)

不適合（NC）がある。サービスマネージャがソフトウェアセキュリティ管理手順に準拠していない。(8.1項、管理A.8.30に関連)

質問82
あなたは ISMS 監査チームのリーダーで、第三者サーベイランス監査後の最終会議の議長を務める準備をしています。あなたは、受審者と議論したいトピックを記載した最終会議のアジェンダを起草しています。
次のうちどれを含めるのが適切か？

認証機関の苦情処理プロセスの詳細説明

監査計画とその目的の説明

監査結果が証拠のサンプリングに基づくものである旨の免責事項

不適合に関連する監査対象者の氏名

このオプションは、ISMS12 を含むマネジメントシステム監査のガイドラインを提供する ISO19011 規格の要求事項であるため、最終会議の議題に含めることが適切である。この規格では、監査チームリーダーは、監査範囲、アクセス、サンプリングの制限など、監査結論の信頼性を低下させる可能性のある状況に監査中に遭遇した場合、受審者に助言すべきであると述べている3。また、同基準は、監査報告書に、監査は監査時点で入手可能な情報のサンプルに基づいており、監査は被監査マネジメントシステムの適合性又は有効性の絶対的な保証を提供するものではない旨の記述を含めるべきであるとしている4。したがって、監査チームリーダーは、監査の性質と限界を受審者に知らせ、誤解や誤った期待を避けるために、最終会議の議題に免責事項を含めるべきである。他の選択肢は、無関係であるか、不正確であるか、不完全であるため、閉会会合の議題に含めるには適さない。
例えば、こうだ：
*認証機関の苦情処理プロセスに関する詳細な説明は、審査結果又は結論に関連しないため、閉会会合の議題とは関係ない。認証機関の苦情処理プロセスは、審査合意書又は契約書の一部として、審査前に受審者に伝えられるべきである5。
*監査計画とその目的についての説明は、初会合または監査の前に行われるべきであったので、閉会会合の議題としては正しくない。監査計画とは、監査の範囲、目的、基準、方法論、監査スケジュール、監査チーム、監査場所、監査成果物を記載した文書である。監査計画は、事前に受審者に伝達され、合意されるべきであり、変更または逸脱があれば、監査中に通知されるべきである。
*不適合に関連する受審者名は、不適合の詳細や証拠を提供しないので、最終会議の議題としては完全ではない。監査チームリーダーは、各非適合事項の説明、監査基準、監査証拠、監査結論、監査勧告を含む監査結果を提示する。また、監査チームリーダーは、個人を名指ししたり非難したりすることは避け、プロセスとシステムに焦点を当てるべきである。
参考文献：＝1：PECB 受験者ハンドブック - ISO/IEC 27001 主任審査員、222 ページ：ISO 19011:2018 マネジメントシステム審査ガイドライン、13 項：ISO 19011:2018 マネジメントシステム審査ガイドライン、6.4.94 項：ISO 19011:2018 マネジメントシステム審査ガイドライン、7.5.25 項：ISO/IEC
17021-1:2015 適合性評価-マネジメントシステムの審査及び認証を提供する機関に対する要求事項-第 1 部：ISO/IEC 27007:2011 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム監査のための指針 6.2.1. ISO/IEC 27007:2018 マネジメントシステム監査のための指針 6.4.2.

カテゴリー PECB

[UPDATED2024】ISO-IEC-27001-Lead-Auditorスタディーガイドを文字通り隅から隅まで読む【Q68-Q82

ISO-9001-Lead-Auditorプレミアムファイルの更新された7月2024日の練習の有効な検査のダンプの質問[Q34-Q51]

試験ダンプISO-IEC-27001-Lead-Auditor練習無料最新PECB練習問題集[Q98-Q120]