PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor日本語版) (ISO-IEC-27001-Lead-Auditor日本語) Free Practice Test
Question 1
シナリオ1
Fintiveは、オンライン決済およびセキュリティソリューションを専門とする、定評のあるセキュリティプロバイダーです。1999年にトーマス・フィンによってカリフォルニア州サンノゼで設立されたFintiveは、情報セキュリティの向上、不正行為の防止、個人情報(PII)などのユーザー情報の保護を目指すオンライン企業向けにサービスを提供しています。
Fintiveは、過去の事例に基づいて意思決定および業務プロセスを構築しており、顧客データを収集し、事例に応じて分類し、分析している。
当初、Fintiveはこのような複雑な分析を行うために、多数の従業員を必要としていた。
しかし、技術の進歩に伴い、同社はリアルタイムでの不正防止を目的としたパターン分析を実現するために、チャットボットという最新ツールを導入する機会を見出した。このツールは、顧客サービスの向上にも役立つだろう。
当初のアイデアはソフトウェア開発チームに伝えられ、彼らはこの取り組みを支持し、プロジェクトへの参加を割り当てられた。彼らはチャットボットを既存のシステムに統合し始め、チャットボットに関する目標として、すべてのチャット問い合わせの85%に回答することを設定した。
チャットボットの統合に成功した後、同社は顧客向けにリリースしました。しかし、チャットボットにはいくつかの問題がありました。十分なテストが行われず、クエリパターンを学習するはずのトレーニング段階でサンプルデータが提供されなかったため、チャットボットはユーザーのクエリに効果的に対応できませんでした。さらに、ドットの異常なパターンや特殊文字などの無効な入力に遭遇すると、ランダムなファイルをユーザーに送信してしまいました。
その結果、チャットボットは顧客からの問い合わせに効果的に対応できず、従来のカスタマーサポートに過負荷をかけ、顧客からの要望への対応を妨げてしまった。
潜在的なリスクを認識したFintiveは、一連の新たな管理策を導入することを決定しました。これらの対策には、包括的な監査ログの有効化、異常なアクティビティを検知する自動アラートシステムの構成、定期的なアクセスレビューの実施、およびシステム動作の異常監視が含まれます。その目的は、不正アクセス、エラー、または疑わしいアクティビティをタイムリーに特定し、重大な損害が発生する前に潜在的な問題を迅速に認識して調査できるようにすることでした。
質問
シナリオ1によると、チャットボットの問題によって生じる可能性のある影響は次のうちどれですか?
Fintiveは、オンライン決済およびセキュリティソリューションを専門とする、定評のあるセキュリティプロバイダーです。1999年にトーマス・フィンによってカリフォルニア州サンノゼで設立されたFintiveは、情報セキュリティの向上、不正行為の防止、個人情報(PII)などのユーザー情報の保護を目指すオンライン企業向けにサービスを提供しています。
Fintiveは、過去の事例に基づいて意思決定および業務プロセスを構築しており、顧客データを収集し、事例に応じて分類し、分析している。
当初、Fintiveはこのような複雑な分析を行うために、多数の従業員を必要としていた。
しかし、技術の進歩に伴い、同社はリアルタイムでの不正防止を目的としたパターン分析を実現するために、チャットボットという最新ツールを導入する機会を見出した。このツールは、顧客サービスの向上にも役立つだろう。
当初のアイデアはソフトウェア開発チームに伝えられ、彼らはこの取り組みを支持し、プロジェクトへの参加を割り当てられた。彼らはチャットボットを既存のシステムに統合し始め、チャットボットに関する目標として、すべてのチャット問い合わせの85%に回答することを設定した。
チャットボットの統合に成功した後、同社は顧客向けにリリースしました。しかし、チャットボットにはいくつかの問題がありました。十分なテストが行われず、クエリパターンを学習するはずのトレーニング段階でサンプルデータが提供されなかったため、チャットボットはユーザーのクエリに効果的に対応できませんでした。さらに、ドットの異常なパターンや特殊文字などの無効な入力に遭遇すると、ランダムなファイルをユーザーに送信してしまいました。
その結果、チャットボットは顧客からの問い合わせに効果的に対応できず、従来のカスタマーサポートに過負荷をかけ、顧客からの要望への対応を妨げてしまった。
潜在的なリスクを認識したFintiveは、一連の新たな管理策を導入することを決定しました。これらの対策には、包括的な監査ログの有効化、異常なアクティビティを検知する自動アラートシステムの構成、定期的なアクセスレビューの実施、およびシステム動作の異常監視が含まれます。その目的は、不正アクセス、エラー、または疑わしいアクティビティをタイムリーに特定し、重大な損害が発生する前に潜在的な問題を迅速に認識して調査できるようにすることでした。
質問
シナリオ1によると、チャットボットの問題によって生じる可能性のある影響は次のうちどれですか?
Correct Answer: C
Explanation: Only visible for TestSimulate members. You can sign-up / login (it's free).
Question 2
シナリオ6
Sinvestmentは、住宅保険、商業保険、生命保険など、幅広い保険商品を提供する保険会社です。もともと北カリフォルニアで設立された同社は、ヨーロッパやアフリカを含む他の地域にも事業を拡大しています。Sinvestmentは、成長を続ける一方で、業界に適用される法令を遵守し、情報セキュリティインシデントを防止することにも尽力しています。同社は、ISO規格に基づいた情報セキュリティマネジメントシステム(ISMS)を導入しています。
/IEC 27001に準拠しており、認証を申請中です。
認証機関は監査チームを任命し、監査を実施させた。監査チームはSinvestment社と機密保持契約を締結した後、監査活動を開始した。第1段階の監査活動については、Sinvestment社の要請により、文書情報のレビューを除き、現地で実施することに決定した。文書情報のレビューはリモートで行われた。
監査チームは、ISMSの適用範囲宣言書、情報セキュリティポリシー、内部監査報告書など、必要な文書をレビューすることから第1段階監査を開始しました。文書化された情報の評価は、その内容と管理手順に基づいて行われました。
さらに、監査担当者は、情報セキュリティ研修および啓発プログラムに関する文書が不完全で、重要な詳細情報が欠落していることを発見した。質問に対し、Sinvestmentの経営陣は、全従業員に情報セキュリティ研修を実施したと回答した。
第2段階の監査は、第1段階の監査から3週間後に実施されました。監査チームは、マーケティング部門(監査範囲外)において、従業員のアクセス権限を管理する手順が存在しないことを確認しました。
従業員のアクセス権限の管理はISO/IEC 27001の要求事項の一つであり、会社の情報セキュリティポリシーにも含まれていたため、この問題は監査報告書に記載された。
質問
シナリオ6に基づき、文書化された情報を評価する際に、監査人はステージ1監査中にどのような行動をとるべきだったでしょうか?
Sinvestmentは、住宅保険、商業保険、生命保険など、幅広い保険商品を提供する保険会社です。もともと北カリフォルニアで設立された同社は、ヨーロッパやアフリカを含む他の地域にも事業を拡大しています。Sinvestmentは、成長を続ける一方で、業界に適用される法令を遵守し、情報セキュリティインシデントを防止することにも尽力しています。同社は、ISO規格に基づいた情報セキュリティマネジメントシステム(ISMS)を導入しています。
/IEC 27001に準拠しており、認証を申請中です。
認証機関は監査チームを任命し、監査を実施させた。監査チームはSinvestment社と機密保持契約を締結した後、監査活動を開始した。第1段階の監査活動については、Sinvestment社の要請により、文書情報のレビューを除き、現地で実施することに決定した。文書情報のレビューはリモートで行われた。
監査チームは、ISMSの適用範囲宣言書、情報セキュリティポリシー、内部監査報告書など、必要な文書をレビューすることから第1段階監査を開始しました。文書化された情報の評価は、その内容と管理手順に基づいて行われました。
さらに、監査担当者は、情報セキュリティ研修および啓発プログラムに関する文書が不完全で、重要な詳細情報が欠落していることを発見した。質問に対し、Sinvestmentの経営陣は、全従業員に情報セキュリティ研修を実施したと回答した。
第2段階の監査は、第1段階の監査から3週間後に実施されました。監査チームは、マーケティング部門(監査範囲外)において、従業員のアクセス権限を管理する手順が存在しないことを確認しました。
従業員のアクセス権限の管理はISO/IEC 27001の要求事項の一つであり、会社の情報セキュリティポリシーにも含まれていたため、この問題は監査報告書に記載された。
質問
シナリオ6に基づき、文書化された情報を評価する際に、監査人はステージ1監査中にどのような行動をとるべきだったでしょうか?
Correct Answer: A
Explanation: Only visible for TestSimulate members. You can sign-up / login (it's free).
Question 3
あなたはISMS監査チームのリーダーとして、顧客のデータセンターでフォローアップ監査を実施する任務を負っています。
2日間の現地調査の結果、フォローアップ監査のきっかけとなった当初の12件の軽微な不適合と1件の重大な不適合のうち、未解決のまま残っているのは軽微な不適合1件のみであると結論付けました。
あなたが取り得る行動を4つ選択してください。
2日間の現地調査の結果、フォローアップ監査のきっかけとなった当初の12件の軽微な不適合と1件の重大な不適合のうち、未解決のまま残っているのは軽微な不適合1件のみであると結論付けました。
あなたが取り得る行動を4つ選択してください。
Correct Answer: C,D,F,H
Explanation: Only visible for TestSimulate members. You can sign-up / login (it's free).
Question 4
あなたはISMS監査チームのリーダーとして、第三者機関による監視監査後の最終会議の議長を務める準備をしています。被監査組織と話し合いたいトピックをまとめた最終会議の議題を作成中です。
以下のうち、どれを含めるのが適切でしょうか?
以下のうち、どれを含めるのが適切でしょうか?
Correct Answer: A
Explanation: Only visible for TestSimulate members. You can sign-up / login (it's free).
Question 5
ISMS監査チームリーダーとして、あなたはオンライン小売業者に代わって国際物流組織のセカンドパーティ監査を実施しています。監査中に、チームメンバーの1人がISO/IEC 27001:2022の附属書Aの管理5.18(アクセス権)に関する不適合を報告しました。この管理は適用性に関する声明で正当化されていました。彼女は、過去3か月間に退職した20人のサーバーアクセスプロトコルを削除するのに最大1週間かかったという証拠を発見しました。ポリシーでは、退職後24時間以内にアクセス権を削除することが求められていました。
被監査者がこの状況に対処するために取った最も適切な行動を3つ選択してください。
被監査者がこの状況に対処するために取った最も適切な行動を3つ選択してください。
Correct Answer: A,D,H
Question 6
次のうち、有効な監査結論はどれですか?(2つ選択可)
Correct Answer: B,C
Explanation: Only visible for TestSimulate members. You can sign-up / login (it's free).
Question 7
情報セキュリティインシデントが発生した場合、システムユーザーの役割と責任は遵守されなければならないが、以下の場合は例外とする。
Correct Answer: B
Explanation: Only visible for TestSimulate members. You can sign-up / login (it's free).
Question 8
以下の状況に、必要な監査の種類を対応させてください。


Correct Answer:

Explanation:
* Top management requests auditors from the organisation's compliance department to audit the production process in order to ensure the final product meets quality requirements = First-party audit
* Auditors from the buyer's organisation audit their raw material supplier to ensure the supply fulfils the order and contract = Second-party audit
* Auditors from an independent certification body conduct an audit of the organisation to verify conformity with an ISO Standard for certification purposes = Third-party audit
* The organisation has been audited against two management system standards in one audit = Combined audit According to the ISO/IEC 27001 standard, there are three main categories of audits: internal, external, and certification1. An internal audit, also known as a first-party audit, is an audit conducted by the organisation itself, or by an external party on its behalf, for management review and other internal purposes12. An external audit, also known as a second-party audit, is an audit conducted by a customer or other interested party on a supplier or contractor to verify compliance with contractual or other requirements12. A certification audit, also known as a third-party audit, is an audit conducted by an independent certification body to verify conformity with an ISO standard for certification purposes12. A combined audit is an audit where two or more management system standards are audited together3.
1: PECB Candidate Handbook - ISO/IEC 27001 Lead Auditor, page 192: ISO 27001 Audit Types and How They are Conducted23: The Four ISO 27001 Audit Categories, Explained4
Question 9
あなたは、クライアントのISMS(情報セキュリティマネジメントシステム)に関する第三者監視監査を実施しています。現在、あなたはデータセンターのセキュリティ保護された保管エリアにいます。このエリアは、組織の顧客が施設に出入りする機器を一時的に保管できる場所です。機器は施錠されたキャビネットに保管されており、各キャビネットは特定のクライアントに割り当てられています。
視界の隅で、倉庫の外扉付近で何かが動いているのが見えた。続いて大きな音がした。ガイドに何が起こっているのか尋ねると、最近の豪雨で地元の川の水位が上がり、ネズミが大量発生したとのことだった。その音は、害虫駆除用のスタンガンが作動した音だった。隅にあるスタンガンを確認すると、中に大きなネズミが動けなくなっていた。
次に取るべき適切な行動を3つ挙げるとすれば何でしょうか?
視界の隅で、倉庫の外扉付近で何かが動いているのが見えた。続いて大きな音がした。ガイドに何が起こっているのか尋ねると、最近の豪雨で地元の川の水位が上がり、ネズミが大量発生したとのことだった。その音は、害虫駆除用のスタンガンが作動した音だった。隅にあるスタンガンを確認すると、中に大きなネズミが動けなくなっていた。
次に取るべき適切な行動を3つ挙げるとすれば何でしょうか?
Correct Answer: A,C,D
Explanation: Only visible for TestSimulate members. You can sign-up / login (it's free).
Question 10
あなたは、認証機関からデータセンターの顧客に対するフォローアップ監査を実施するよう任命されたISMS監査チームリーダーです。
ISO 19011:2018によると、フォローアップ監査の目的は次のうちどれを検証することでしょうか?
ISO 19011:2018によると、フォローアップ監査の目的は次のうちどれを検証することでしょうか?
Correct Answer: D
Explanation: Only visible for TestSimulate members. You can sign-up / login (it's free).
Question 11
次の記述のうち、正しいものはどれですか?(2つ選択可)
Correct Answer: A,B
Explanation: Only visible for TestSimulate members. You can sign-up / login (it's free).
Question 12
質問
企業の経営陣は、ISMS(情報セキュリティマネジメントシステム)のパフォーマンスに関する報告を担当する特定の担当者を社内に任命しています。これらの担当者は、関連するISMSデータを収集し、報告書を作成し、必要な情報が経営陣に確実に届くようにする責任を負っています。
このアプローチはISO/IEC 27001の要求事項に合致していますか?
企業の経営陣は、ISMS(情報セキュリティマネジメントシステム)のパフォーマンスに関する報告を担当する特定の担当者を社内に任命しています。これらの担当者は、関連するISMSデータを収集し、報告書を作成し、必要な情報が経営陣に確実に届くようにする責任を負っています。
このアプローチはISO/IEC 27001の要求事項に合致していますか?
Correct Answer: A
Explanation: Only visible for TestSimulate members. You can sign-up / login (it's free).
Question 13
ISMSの適用範囲に関する以下の選択肢のうち、正しいものはどれですか?
Correct Answer: C
Explanation: Only visible for TestSimulate members. You can sign-up / login (it's free).
Question 14
シナリオ3
米国に本社を置く多国籍テクノロジー企業であるNightCoreは、電子商取引、クラウドコンピューティング、デジタルストリーミング、人工知能(AI)を専門としています。NightCoreは、情報セキュリティマネジメントシステム(ISMS)を導入してから1年以上経過した後、ISO/IEC 27001認証取得のための監査を実施するため、認証機関と契約しました。
認証機関は、ジャックをチームリーダーとする5名の監査員からなるチームを編成した。ジャックは、リスク管理、情報セキュリティ対策、インシデント管理における豊富な監査経験で知られている。
彼のスキルセットは監査の原則とプロセスの要件によく合致しており、監査範囲を効果的に理解し、関連する基準を的確に適用することができます。また、ジャックはナイトコアの組織構造、目的、経営慣行、そしてその活動に適用される法令および規制要件についても確かな理解を示しています。
監査チームが実施した監査は、信頼性が高く再現性のある結論を体系的に導き出すために、合理的な方法に従って行われました。監査チームは、ある程度検証可能な情報のみが有効な証拠とみなされるべきであることを認識していました。監査中に、特定の情報の検証が困難であったり、検証可能性が低かったりする稀なケースでは、監査人は専門的な判断に基づき、その証拠の信頼性を評価し、どの程度の信頼を置くことができるかを判断しました。
監査中、監査担当者は、NightCore社のISMS運用における運用計画および管理に関する所見と検査メモを記録しました。また、NightCore社の情報資産および関連資産のインベントリに関する所見も記録しました。さらに、ネットワークサービスへの接続を保護するために実装されたファイアウォールの構成についても確認しました。
監査が最終段階に近づくにつれ、NightCoreが最高レベルの情報セキュリティを維持するという強い意志を持っていることが明らかになりました。ISO/IEC 27001認証取得が目前に迫る中、NightCoreはISO/IEC 27001認証取得に向けて万全の態勢を整えており、テクノロジー業界における同社の評判をさらに高めることになるでしょう。
質問
ジャックは監査人として必要な知識とスキルを備えているか?シナリオ3を参照のこと。
米国に本社を置く多国籍テクノロジー企業であるNightCoreは、電子商取引、クラウドコンピューティング、デジタルストリーミング、人工知能(AI)を専門としています。NightCoreは、情報セキュリティマネジメントシステム(ISMS)を導入してから1年以上経過した後、ISO/IEC 27001認証取得のための監査を実施するため、認証機関と契約しました。
認証機関は、ジャックをチームリーダーとする5名の監査員からなるチームを編成した。ジャックは、リスク管理、情報セキュリティ対策、インシデント管理における豊富な監査経験で知られている。
彼のスキルセットは監査の原則とプロセスの要件によく合致しており、監査範囲を効果的に理解し、関連する基準を的確に適用することができます。また、ジャックはナイトコアの組織構造、目的、経営慣行、そしてその活動に適用される法令および規制要件についても確かな理解を示しています。
監査チームが実施した監査は、信頼性が高く再現性のある結論を体系的に導き出すために、合理的な方法に従って行われました。監査チームは、ある程度検証可能な情報のみが有効な証拠とみなされるべきであることを認識していました。監査中に、特定の情報の検証が困難であったり、検証可能性が低かったりする稀なケースでは、監査人は専門的な判断に基づき、その証拠の信頼性を評価し、どの程度の信頼を置くことができるかを判断しました。
監査中、監査担当者は、NightCore社のISMS運用における運用計画および管理に関する所見と検査メモを記録しました。また、NightCore社の情報資産および関連資産のインベントリに関する所見も記録しました。さらに、ネットワークサービスへの接続を保護するために実装されたファイアウォールの構成についても確認しました。
監査が最終段階に近づくにつれ、NightCoreが最高レベルの情報セキュリティを維持するという強い意志を持っていることが明らかになりました。ISO/IEC 27001認証取得が目前に迫る中、NightCoreはISO/IEC 27001認証取得に向けて万全の態勢を整えており、テクノロジー業界における同社の評判をさらに高めることになるでしょう。
質問
ジャックは監査人として必要な知識とスキルを備えているか?シナリオ3を参照のこと。
Correct Answer: B
Explanation: Only visible for TestSimulate members. You can sign-up / login (it's free).
Question 15
シナリオ5
シナリオ5
CyberShielding Systems Inc.は、情報技術インフラ全体にわたるセキュリティサービスを提供しています。エンドポイントセキュリティ、ファイアウォール、ウイルス対策ソフトウェアなど、サイバーセキュリティソフトウェアを提供しています。CyberShielding Systems Inc.は、20年以上にわたり、高度な製品とサービスを通じて様々な企業のネットワークセキュリティ強化を支援してきました。情報およびネットワークセキュリティ分野で高い評価を得たCyberShielding Systems Inc.は、ISO/IEC 27001に基づくセキュリティ情報管理システム(ISMS)を導入し、認証を取得することで、自社および顧客の資産をより安全に保護し、競争優位性を獲得することを決定しました。
認証機関は、CyberShielding Systems Inc.のISO認証のための監査チームを選定することでプロセスを開始した。
IEC 27001認証に関して、認証機関は各監査員の氏名と経歴情報を同社に提供しました。しかし、CyberShielding Systems Inc.が確認したところ、監査員の1人が認証機関が要求するセキュリティクリアランスを保持していないことが判明しました。そのため、同社はこの監査員の任命に異議を申し立てました。認証機関は、CyberShielding Systems Inc.の異議申し立てを受けて、審査の結果、当該監査員を交代させました。
監査プロセスの一環として、CyberShielding Systems Inc.のリスクおよび機会の特定に関するアプローチが独立した活動として評価されました。これには、組織のリスクおよび機会の特定と管理方法を検証することが含まれていました。監査チームの主要な目的は、CyberShielding Systems Inc.のリスクおよび機会の特定メカニズムの有効性を保証すること、および特定されたリスクおよび機会に対処するための組織の戦略をレビューすることでした。この過程で、監査チームはファイアウォール構成レビュープロセスにおける監督の不備に起因するリスクも特定しました。このプロセスでは、適切な承認なしに変更が実施され、会社が脆弱性にさらされる可能性がありました。この発見は、このような問題を防止するためのより強力な内部統制の必要性を浮き彫りにしました。
監査チームは、主要な業務プロセスと統制を理解するために、プロセス記述書と組織図を参照しました。サードパーティのサービスプロバイダーの制限によりITインフラストラクチャとアプリケーションへのアクセスが制限されていたため、ITリスクと統制に関する分析は限定的なものとなりました。しかし、監査チームは、サイバーシールド社のISMSにおいて重大な欠陥が発生するリスクは低いと判断しました。これは、同社のプロセスのほとんどが自動化されているためです。そこで、監査チームは、サイバーシールド社の担当者に対し、IT責任、統制の有効性、マルウェア対策について質問し、ISMS全体が標準要件に適合していると評価しました。サイバーシールド社の担当者は、これらの質問すべてに十分かつ適切な証拠を提供しました。
監査前に締結された、監査の範囲、基準、目的を概説した合意書にもかかわらず、監査は主に、確立された基準への適合性を評価し、法令および規制要件への準拠を確保することに重点が置かれた。
質問
シナリオ5に基づくと、監査チームがISMSの標準要件への適合性を評価するために用いたアプローチは、監査の推奨される実践方法に沿っているか?
シナリオ5
CyberShielding Systems Inc.は、情報技術インフラ全体にわたるセキュリティサービスを提供しています。エンドポイントセキュリティ、ファイアウォール、ウイルス対策ソフトウェアなど、サイバーセキュリティソフトウェアを提供しています。CyberShielding Systems Inc.は、20年以上にわたり、高度な製品とサービスを通じて様々な企業のネットワークセキュリティ強化を支援してきました。情報およびネットワークセキュリティ分野で高い評価を得たCyberShielding Systems Inc.は、ISO/IEC 27001に基づくセキュリティ情報管理システム(ISMS)を導入し、認証を取得することで、自社および顧客の資産をより安全に保護し、競争優位性を獲得することを決定しました。
認証機関は、CyberShielding Systems Inc.のISO認証のための監査チームを選定することでプロセスを開始した。
IEC 27001認証に関して、認証機関は各監査員の氏名と経歴情報を同社に提供しました。しかし、CyberShielding Systems Inc.が確認したところ、監査員の1人が認証機関が要求するセキュリティクリアランスを保持していないことが判明しました。そのため、同社はこの監査員の任命に異議を申し立てました。認証機関は、CyberShielding Systems Inc.の異議申し立てを受けて、審査の結果、当該監査員を交代させました。
監査プロセスの一環として、CyberShielding Systems Inc.のリスクおよび機会の特定に関するアプローチが独立した活動として評価されました。これには、組織のリスクおよび機会の特定と管理方法を検証することが含まれていました。監査チームの主要な目的は、CyberShielding Systems Inc.のリスクおよび機会の特定メカニズムの有効性を保証すること、および特定されたリスクおよび機会に対処するための組織の戦略をレビューすることでした。この過程で、監査チームはファイアウォール構成レビュープロセスにおける監督の不備に起因するリスクも特定しました。このプロセスでは、適切な承認なしに変更が実施され、会社が脆弱性にさらされる可能性がありました。この発見は、このような問題を防止するためのより強力な内部統制の必要性を浮き彫りにしました。
監査チームは、主要な業務プロセスと統制を理解するために、プロセス記述書と組織図を参照しました。サードパーティのサービスプロバイダーの制限によりITインフラストラクチャとアプリケーションへのアクセスが制限されていたため、ITリスクと統制に関する分析は限定的なものとなりました。しかし、監査チームは、サイバーシールド社のISMSにおいて重大な欠陥が発生するリスクは低いと判断しました。これは、同社のプロセスのほとんどが自動化されているためです。そこで、監査チームは、サイバーシールド社の担当者に対し、IT責任、統制の有効性、マルウェア対策について質問し、ISMS全体が標準要件に適合していると評価しました。サイバーシールド社の担当者は、これらの質問すべてに十分かつ適切な証拠を提供しました。
監査前に締結された、監査の範囲、基準、目的を概説した合意書にもかかわらず、監査は主に、確立された基準への適合性を評価し、法令および規制要件への準拠を確保することに重点が置かれた。
質問
シナリオ5に基づくと、監査チームがISMSの標準要件への適合性を評価するために用いたアプローチは、監査の推奨される実践方法に沿っているか?
Correct Answer: B
Explanation: Only visible for TestSimulate members. You can sign-up / login (it's free).