あなたは、医療サービスを提供するABCという名の高齢者向け介護施設でISMS監査を実施しています。
監査計画の次のステップは、ABC社のヘルスケアモバイルアプリの開発、サポート、およびライフサイクルプロセスの情報セキュリティを検証することです。監査の結果、同社はモバイルアプリの開発を、CMMIレベル5、ITSM(ISO/IEC 20000-1)、BCMS(ISO 22301)、ISMS(ISO/IEC 27001)の認証を取得した専門のソフトウェア開発会社にアウトソーシングしていることが判明しました。
ITマネージャーはソフトウェアセキュリティ管理手順について説明し、そのプロセスを以下のように要約します。
モバイルアプリの開発においては、最低限、「設計段階からのセキュリティ」および「デフォルト設定からのセキュリティ」の原則を採用しなければならない。個人データ保護のための以下のセキュリティ機能が利用可能でなければならない。
アクセス制御。
個人データの暗号化、すなわち高度暗号化標準(AES)アルゴリズム、鍵長:256ビット、および個人データの匿名化。
脆弱性チェック済み、セキュリティバックドアなし
最新のモバイルアプリテストレポート(参照ID:0098)をサンプルとして取得します。詳細は以下のとおりです。


監査証拠をさらに収集するために、他の分野についても調査を進めたいと考えています。監査証跡に含まれない項目を3つ選択してください。
正解:A,C,H
監査証跡に残らないオプションは、A、C、H の 3 つです。これらのオプションは、ABC のヘルスケア モバイル アプリの開発、サポート、ライフサイクル プロセスの情報セキュリティとは無関係であるか、監査の範囲外です。入居者の家族がアプリをインストールするために支払う金額 (A) とアプリのユーザー数は、ISMS 1 の情報セキュリティの側面や目的とは関係ありません。開発者の認証 (H) の検証は、ISMS 監査員としてのあなたの責任ではありません。認証を発行した認証機関の能力と公平性に依拠すべきです 2。その他のオプションは、モバイル アプリの開発、サポート、ライフサイクル プロセスのセキュリティ機能、テスト、ポリシー、手順に関連するため、関連性があり、監査の範囲内です 13。参照: 1: ISO/IEC 27001:2022、情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項、第4.2項 \n2: ISO/IEC 27006:2022、情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステムの監査及び認証を提供する機関に対する要求事項、第4.1項 \n3: PECB認定ISO/IEC 27001主任監査員試験準備ガイド、ドメイン5: ISO/IEC 27001監査の実施