HOME
ISO・IEC 27001 Lead Auditor (審査員補)

「ISO・IEC 27001 Lead Auditor (審査員補)」の記事一覧

運用の計画および管理（箇条8.1）で、委託したプロセスの「管理」を実証する証拠はどれか。

管理していることを示すには、契約上の合意と、それが守られているかを確認した実証が必要である。

2026年3月13日

マネジメントレビューのインプットに含まれる「監視および測定の結果」に含まれるべき情報はどれか。

目標に対して現在どの位置にいるかを数値等で示すことで、経営層が客観的な判断を行えるようにする。

2026年3月13日

リスクアセスメントの「リスク分析」において、リスクの「性質」を理解するとはどういう意味か。

原因と結果の関係を理解することで、より効果的なリスク対応策の選定が可能になる。

2026年3月13日

ISMSに関連する「コミュニケーション」において、外部の「関係当局」と連絡を取る際の留意点はどれか。

外部への情報発信は混乱を招かないよう、窓口と手順を一元化して管理する必要がある。

2026年3月13日

ISMSの適用範囲を決定する際、組織の「法的地位」を考慮する目的はどれか。

ISMSを運用する法的責任がどこにあるかを明確にすることは、ガバナンスの基本である。

2026年3月13日

トップマネジメントがISMSにおいて「方針」を確立し、それが「利用可能」であることを確実にする対象はどれか。

方針は組織内だけでなく、顧客やパートナーなどの必要な外部関係者にも共有されるべきである。

2026年3月13日

審査員が「客観的証拠」を記録する際に、最も重視すべき情報の正確性はどれか。

証拠は誰が見ても同じ結論に達することができるよう、具体的かつ事実に基づいたものでなければならない。

2026年3月13日

情報セキュリティ事象の評価と決定（管理策5.25）において、報告された事象を評価する目的はどれか。

すべての事象が事故（インシデント）とは限らないため、専門的な判断で選別し対応を効率化する。

2026年3月13日

特権的アクセス権の制限（管理策8.2）において、特権IDの使用を「通常業務」で使用しない理由はどれか。

高い権限は必要な時だけ使う「最小権限の原則」を適用することで、致命的なリスクを低減する。

2026年3月13日

「内部監査の結果」が「不適合」であった場合に、監査報告書に必ず含めるべき情報はどれか。

報告書は事実に基づいて書かれる必要があり、何がどのルールに違反しているかを明示しなければならない。

2026年3月13日