PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor日本語版) - ISO-IEC-27001-Lead-Auditor日本語 FREE EXAM DUMPS QUESTIONS & ANSWERS
文を最も適切に完成させる語句を選択してください。


Correct Answer:

Explanation:
"In a third-party audit an observation can indicate conformity at organisation is not required to take action." According to the PECB Candidate Handbook1, an observation is "a statement of fact made during an audit and substantiated by objective evidence". An observation can indicate conformity or nonconformity, but it does not require any corrective action from the audited organisation. A recommendation, on the other hand, is
"a suggestion for improvement based on an observation". A recommendation may or may not be accepted by the audited organisation.
According to the Fundamentals - Third parties2, a third-party audit is "an audit conducted by an external organisation that has the legal right to audit an organisation's processes and procedures". A third-party audit can result in a finding, which is "a conclusion reached by the auditor based on the audit evidence collected".
A finding can be positive or negative, depending on whether the audited organisation meets the audit criteria or not. A nonconformity is "a finding that indicates the non-fulfilment of a requirement". A nonconformity requires corrective action from the audited organisation to prevent recurrence.
データの完全性とは
Correct Answer: A
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
質問:
定性的証拠と定量的証拠の主な違いは何ですか?
定性的証拠と定量的証拠の主な違いは何ですか?
Correct Answer: A
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
監査報告書に関する以下の記述のうち、正しいものはどれですか?(4つ選択)
Correct Answer: A,B,C,G
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
あなたは、医療サービスを提供する高齢者向け介護施設でISMS(情報セキュリティマネジメントシステム)の初回認証監査を実施しています。監査計画の次のステップは、最終会議の実施です。最終監査チーム会議において、監査チームリーダーとして、以下のとおり2件の軽微な不適合と1件の改善機会を報告することに同意しました。

最終会議で、マネジメントシステム担当者(MSR)から、ABCが今後3ヶ月以内にWeCare医療機器製造会社と合併する予定であるという情報が伝えられました。合併後の組織名はABCとなります。担当者は、認証にWeCare医療機器製造会社の所在地を含めることができるかどうかを尋ねました。WeCareはISO/IEC 27001:2022の認証を取得済みであるとのことでした。
MSRからの要求に対する正しい回答として、選択肢を1つ選んでください。

最終会議で、マネジメントシステム担当者(MSR)から、ABCが今後3ヶ月以内にWeCare医療機器製造会社と合併する予定であるという情報が伝えられました。合併後の組織名はABCとなります。担当者は、認証にWeCare医療機器製造会社の所在地を含めることができるかどうかを尋ねました。WeCareはISO/IEC 27001:2022の認証を取得済みであるとのことでした。
MSRからの要求に対する正しい回答として、選択肢を1つ選んでください。
Correct Answer: D
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
シナリオ8:テッサ、マリク、マイケルは、セキュリティ、コンプライアンス、事業計画および戦略の分野における独立した資格を有する専門家からなる監査チームです。彼らは、大手ウェブデザイン会社であるクラスタスの認証監査を実施するよう任命されました。彼らはこれまで監査を実施する際に、公平性と客観性を含む優れた職業倫理を示してきました。今回、クラスタスはISO/IEC 27001の認証を取得すれば、一歩リードできると確信しています。
監査チームリーダーのテッサは、監査に関する専門知識を持ち、IT関連の問題、コンプライアンス、ガバナンスにおいて非常に優れた実績があります。マリクは、組織計画とリスク管理のバックグラウンドを持っています。彼の専門知識は、組織のセキュリティ管理策とそのリスク許容度を統合・分析し、組織内のリスクレベルを正確に把握することに基づいています。一方、マイケルは、厳格な標準化プログラムに従って、セキュリティ管理策の実践的な評価を行う専門家です。
必要な監査活動を実施した後、テッサは監査チーム会議を開始しました。彼らはマイケルの発見の1つを分析し、客観的かつ正確に問題について決定を下しました。マイケルが遭遇した問題は、組織の日常業務における軽微な不適合であり、彼はそれが組織のIT技術者の1人によって引き起こされたと考えていました。そのため、テッサは経営陣と会い、責任者の名前を尋ねられた後、不適合の責任者が誰であるかを伝えました。明確さと理解を促進するために、テッサは監査の最終日に最終会議を実施しました。
この会議で、彼女は特定された不適合事項をクラスタス社の経営陣に提示した。しかし、テッサはクラスタス社の認証監査の監査報告書に不必要な証拠を記載しないように、報告書が簡潔で重要な所見に焦点を絞ったものになるようにという助言を受けた。
調査した証拠に基づき、監査チームは監査結論案を作成し、認証付与前に組織の2つの分野を監査する必要があると判断した。これらの決定は後に被監査企業に提示されたが、被監査企業は調査結果を受け入れず、追加情報の提供を提案した。被監査企業の意見にもかかわらず、監査人は既に認証勧告を決定していたため、追加情報を受け入れなかった。被監査企業の経営陣は監査結論が実態を反映していないと主張したが、監査チームは決定を覆さなかった。
上記のシナリオに基づいて、次の質問に答えてください。
質問:
監査報告書の作成および内容について、主に誰が責任を負うのか?
監査チームリーダーのテッサは、監査に関する専門知識を持ち、IT関連の問題、コンプライアンス、ガバナンスにおいて非常に優れた実績があります。マリクは、組織計画とリスク管理のバックグラウンドを持っています。彼の専門知識は、組織のセキュリティ管理策とそのリスク許容度を統合・分析し、組織内のリスクレベルを正確に把握することに基づいています。一方、マイケルは、厳格な標準化プログラムに従って、セキュリティ管理策の実践的な評価を行う専門家です。
必要な監査活動を実施した後、テッサは監査チーム会議を開始しました。彼らはマイケルの発見の1つを分析し、客観的かつ正確に問題について決定を下しました。マイケルが遭遇した問題は、組織の日常業務における軽微な不適合であり、彼はそれが組織のIT技術者の1人によって引き起こされたと考えていました。そのため、テッサは経営陣と会い、責任者の名前を尋ねられた後、不適合の責任者が誰であるかを伝えました。明確さと理解を促進するために、テッサは監査の最終日に最終会議を実施しました。
この会議で、彼女は特定された不適合事項をクラスタス社の経営陣に提示した。しかし、テッサはクラスタス社の認証監査の監査報告書に不必要な証拠を記載しないように、報告書が簡潔で重要な所見に焦点を絞ったものになるようにという助言を受けた。
調査した証拠に基づき、監査チームは監査結論案を作成し、認証付与前に組織の2つの分野を監査する必要があると判断した。これらの決定は後に被監査企業に提示されたが、被監査企業は調査結果を受け入れず、追加情報の提供を提案した。被監査企業の意見にもかかわらず、監査人は既に認証勧告を決定していたため、追加情報を受け入れなかった。被監査企業の経営陣は監査結論が実態を反映していないと主張したが、監査チームは決定を覆さなかった。
上記のシナリオに基づいて、次の質問に答えてください。
質問:
監査報告書の作成および内容について、主に誰が責任を負うのか?
Correct Answer: A
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
質問
ABCマニュファクチャリング社は、規制の厳しい化学業界で事業を展開している。同社は内部統制メカニズムを導入しているものの、業界の複雑さゆえに課題に直面しており、情報セキュリティマネジメントシステム(ISMS)に潜在的な欠陥が生じる可能性がある。
このシナリオはどのようなリスクを表していますか?
ABCマニュファクチャリング社は、規制の厳しい化学業界で事業を展開している。同社は内部統制メカニズムを導入しているものの、業界の複雑さゆえに課題に直面しており、情報セキュリティマネジメントシステム(ISMS)に潜在的な欠陥が生じる可能性がある。
このシナリオはどのようなリスクを表していますか?
Correct Answer: A
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
あなたは経験豊富なISMS監査チームリーダーとして、インターネットサービスプロバイダーの第三者監視監査を実施しています。あなたは、組織のリスク評価プロセスがISOに準拠しているかどうかをレビューしています。
/IEC 27001:2022。
以下の監査結果のうち、不適合報告書を作成する必要がある3つの項目はどれですか?
/IEC 27001:2022。
以下の監査結果のうち、不適合報告書を作成する必要がある3つの項目はどれですか?
Correct Answer: E,G,H
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
外部監査人が、研究開発会社でISMS監査を実施する依頼を受けました。依頼を受ける前に、監査対象企業の内部監査担当者(監査人の友人)と過去の監査報告書について話し合いました。これは許容される行為でしょうか?
Correct Answer: B
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
あなたは経験豊富なISMS監査チームリーダーとして、研修中のISMS監査員に指導を行っています。研修中の監査員は外部プロバイダーの評価を実施するよう依頼され、以下の項目を含むチェックリストを作成しました。研修中の監査員は、提案されている行動が適切であることを確認するため、あなたにそのチェックリストをレビューするよう依頼しました。
彼らが参加を求められている監査は、データセンターに対する第三者監視監査です。データセンターの運営主体は、より広範な通信グループの一員です。グループ内の各データセンターは、独自のISMS(情報セキュリティマネジメントシステム)を運用し、独自の認証を取得しています。
ISO/IEC 27001:2022の外部プロバイダーに関する要求事項に関連する選択肢を3つ選んでください。
彼らが参加を求められている監査は、データセンターに対する第三者監視監査です。データセンターの運営主体は、より広範な通信グループの一員です。グループ内の各データセンターは、独自のISMS(情報セキュリティマネジメントシステム)を運用し、独自の認証を取得しています。
ISO/IEC 27001:2022の外部プロバイダーに関する要求事項に関連する選択肢を3つ選んでください。
Correct Answer: A,B,F
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
シナリオ3:NightCoreは、米国に拠点を置く多国籍テクノロジー企業で、電子商取引、クラウドコンピューティング、デジタルストリーミング、人工知能に重点を置いています。情報セキュリティマネジメントシステム(ISMS)を導入してから8か月以上経過した後、ISO/IEC 27001の認証を取得するために、認証機関に第三者監査の実施を依頼しました。
認証機関は7名の監査員からなるチームを編成した。その中で最も経験豊富なジャックが監査チームのリーダーに任命された。彼は長年にわたり、ISO/IEC 27001主任監査員、CISA、CISSP、CISMなど、数々の著名な資格を取得してきた。
ジャックは、NightCore が実装したすべての情報セキュリティ要件とコントロールを調査および評価することにより、ISMS 監査の各フェーズで徹底的な分析を実施しました。ステージ 2 監査中に、ジャックはいくつかの不適合を検出しました。ソフトウェア ライセンスの購入請求書の数をソフトウェア インベントリと比較した後、ジャックは、会社が多くのコンピュータでソフトウェアの違法バージョンを使用していることを発見しました。彼は、この不適合について経営陣に説明を求め、彼らがこれを認識しているかどうかを確認することにしました。彼の次のステップは、NightCore の IT 部門を監査することでした。経営陣は、NightCore のシステム管理者であるトムをガイド役として任命し、ジャックと監査チームがシステムの内部構造とデジタル資産インフラストラクチャを調査できるようにしました。
監査担当者は財務部の職員に聞き取り調査を行った際、同社が最近、コンサルタントの一人に対して異常に高額な取引を行っていたことを発見した。取引に関する必要な詳細情報をすべて収集した後、ジャックは経営陣に直接聞き取り調査を行うことにした。
最初の不適合について話し合った際、経営陣はジャックに対し、コピー版ソフトウェアの方が安価だったため、オリジナル版ではなくコピー版を使用することに意図的に決めたと説明した。ジャックはナイトコアの経営陣に対し、違法バージョンのソフトウェアを使用することはISO/IEC 27001の要件および国内法規に違反すると説明したが、彼らは特に問題視していないようだった。
監査から数か月後、ジャックは監査中に収集したナイトコアの情報の一部を、ナイトコアの競合他社に巨額の金銭で売却した。
このシナリオに基づいて、次の質問に答えてください。
シナリオ3に基づくと、NightCoreは不正なバージョンのソフトウェアを使用した際に、ISO/IEC 27001のどの管理項目を無視したのでしょうか?
認証機関は7名の監査員からなるチームを編成した。その中で最も経験豊富なジャックが監査チームのリーダーに任命された。彼は長年にわたり、ISO/IEC 27001主任監査員、CISA、CISSP、CISMなど、数々の著名な資格を取得してきた。
ジャックは、NightCore が実装したすべての情報セキュリティ要件とコントロールを調査および評価することにより、ISMS 監査の各フェーズで徹底的な分析を実施しました。ステージ 2 監査中に、ジャックはいくつかの不適合を検出しました。ソフトウェア ライセンスの購入請求書の数をソフトウェア インベントリと比較した後、ジャックは、会社が多くのコンピュータでソフトウェアの違法バージョンを使用していることを発見しました。彼は、この不適合について経営陣に説明を求め、彼らがこれを認識しているかどうかを確認することにしました。彼の次のステップは、NightCore の IT 部門を監査することでした。経営陣は、NightCore のシステム管理者であるトムをガイド役として任命し、ジャックと監査チームがシステムの内部構造とデジタル資産インフラストラクチャを調査できるようにしました。
監査担当者は財務部の職員に聞き取り調査を行った際、同社が最近、コンサルタントの一人に対して異常に高額な取引を行っていたことを発見した。取引に関する必要な詳細情報をすべて収集した後、ジャックは経営陣に直接聞き取り調査を行うことにした。
最初の不適合について話し合った際、経営陣はジャックに対し、コピー版ソフトウェアの方が安価だったため、オリジナル版ではなくコピー版を使用することに意図的に決めたと説明した。ジャックはナイトコアの経営陣に対し、違法バージョンのソフトウェアを使用することはISO/IEC 27001の要件および国内法規に違反すると説明したが、彼らは特に問題視していないようだった。
監査から数か月後、ジャックは監査中に収集したナイトコアの情報の一部を、ナイトコアの競合他社に巨額の金銭で売却した。
このシナリオに基づいて、次の質問に答えてください。
シナリオ3に基づくと、NightCoreは不正なバージョンのソフトウェアを使用した際に、ISO/IEC 27001のどの管理項目を無視したのでしょうか?
Correct Answer: C
Vote an answer
Explanation: Only visible for FreeCram members. You can sign-up / login (it's free).
あなたは経験豊富なISMS監査チームリーダーであり、研修中の監査員が最初の監査報告書を作成するのを支援しています。
あなたは、研修中の監査担当者が監査報告書の内容に関連する用語を理解しているかどうかを確認したいと考え、以下の例を提示することにしました。
各例について、研修中の監査員に、その活動を説明する正しい用語は何かを尋ね、活動と説明を一致させます。

あなたは、研修中の監査担当者が監査報告書の内容に関連する用語を理解しているかどうかを確認したいと考え、以下の例を提示することにしました。
各例について、研修中の監査員に、その活動を説明する正しい用語は何かを尋ね、活動と説明を一致させます。

Correct Answer:

Explanation:
1. An auditor using a copy of ISO/IEC 27001:2022 to check that its requirements are met:
Termed: Reviewing audit criteria.
Justification: The auditor is comparing the auditee's information security management system (ISMS) against the established criteria outlined in the ISO/IEC 27001:2022 standard. This activity falls under the use of audit criteria to determine conformity or nonconformity.
2. An auditor's note that the auditee is not adhering to its clear desk policy:
Termed: Identifying an audit finding.
Justification: The auditor has observed a deviation from the auditee's established policy on clear desks. This observation is documented as a potential nonconformity, which requires further investigation and evaluation.
3. An auditor making a decision regarding the auditee's conformity or otherwise to criteria:
Termed: Determining an audit conclusion.
Justification: Based on the collected audit evidence and evaluation against the established criteria, the auditor forms an opinion about the overall compliance of the auditee's ISMS. This opinion is the audit conclusion and is a key element of the audit report.
4. An auditor examining verifiable records relevant to the audit process:
Termed: Collecting audit evidence.
Justification: The auditor is gathering objective and verifiable information to support their findings and conclusions. This information comes from various sources, including documents, records, interviews, and observations.
