ISO-IEC-27001-Lead-Auditor Korean 無料問題集「PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor Korean Version)」
시나리오 8: 테스
a. Malik과 Michael은 보안, 규정 준수, 사업 계획 및 전략 분야의 독립적이고 자격을 갖춘 전문가로 구성된 감사팀입니다. 그들은 대형 웹 디자인 회사인 Clastus에서 인증 감사를 수행하도록 지정되었습니다. 그들은 이전에 감사를 수행하는 동안 공정성과 객관성을 포함한 뛰어난 직업 윤리를 보여주었습니다. 이번에 Clastus는 ISO/IEC 27001에 대한 인증을 받으면 한 발 앞서 나갈 것이라고 긍정적으로 생각합니다.
감사팀장인 테사는 감사에 대한 전문 지식과 IT 관련 문제, 규정 준수 및 거버넌스 분야에서 매우 성공적인 배경을 가지고 있습니다. 말릭은 조직 계획 및 위험 관리 배경을 가지고 있습니다. 그의 전문 지식은 조직의 보안 통제와 위험 허용도의 종합 및 분석 수준에 의존하여 조직 내의 위험 수준을 정확하게 특성화합니다. 반면, 마이클은 엄격한 표준화된 프로그램을 따르는 실질적인 통제 보안 평가 전문가입니다.
Tessa는 필요한 감사 활동을 수행한 후 감사 팀 회의를 시작했습니다.그들은 Michael의 조사 결과 중 하나를 분석하여 객관적이고 정확하게 문제를 결정했습니다.Michael이 겪은 문제는 조직의 일상 업무에서 발생한 사소한 불일치였으며, 그는 이것이 조직의 IT 기술자 중 한 명으로 인해 발생했다고 믿었습니다.따라서 Tessa는 최고 경영진을 만나 책임자의 이름을 문의한 후 불일치에 대한 책임자가 누구인지 알려주었습니다.명확성과 이해를 돕기 위해 Tessa는 감사 마지막 날에 마감 회의를 진행했습니다.이 회의에서 그녀는 확인된 불일치 사항을 Clastus 경영진에게 발표했습니다.그러나 Tessa는 Clastus 인증 감사에 대한 감사 보고서에 불필요한 증거를 제공하지 않도록 조언을 받았으며, 보고서가 간결하고 중요한 조사 결과에 집중되도록 했습니다.
감사팀은 검토한 증거를 토대로 감사 결론을 초안하고 인증을 부여하기 전에 조직의 두 영역을 감사해야 한다고 결정했습니다. 이러한 결정은 나중에 감사 대상자에게 제시되었고, 감사 대상자는 결과를 수용하지 않고 추가 정보를 제공하겠다고 제안했습니다. 감사 대상자의 의견에도 불구하고, 이미 인증 권장 사항을 결정한 감사자는 추가 정보를 수용하지 않았습니다. 감사 대상자의 최고 경영진은 감사 결론이 현실을 나타내지 않는다고 주장했지만, 감사팀은 그들의 결정에 확고한 입장을 유지했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
감사팀의 결정을 토대로, 클라스투스가 취해야 할 다음 단계는 무엇인가?
a. Malik과 Michael은 보안, 규정 준수, 사업 계획 및 전략 분야의 독립적이고 자격을 갖춘 전문가로 구성된 감사팀입니다. 그들은 대형 웹 디자인 회사인 Clastus에서 인증 감사를 수행하도록 지정되었습니다. 그들은 이전에 감사를 수행하는 동안 공정성과 객관성을 포함한 뛰어난 직업 윤리를 보여주었습니다. 이번에 Clastus는 ISO/IEC 27001에 대한 인증을 받으면 한 발 앞서 나갈 것이라고 긍정적으로 생각합니다.
감사팀장인 테사는 감사에 대한 전문 지식과 IT 관련 문제, 규정 준수 및 거버넌스 분야에서 매우 성공적인 배경을 가지고 있습니다. 말릭은 조직 계획 및 위험 관리 배경을 가지고 있습니다. 그의 전문 지식은 조직의 보안 통제와 위험 허용도의 종합 및 분석 수준에 의존하여 조직 내의 위험 수준을 정확하게 특성화합니다. 반면, 마이클은 엄격한 표준화된 프로그램을 따르는 실질적인 통제 보안 평가 전문가입니다.
Tessa는 필요한 감사 활동을 수행한 후 감사 팀 회의를 시작했습니다.그들은 Michael의 조사 결과 중 하나를 분석하여 객관적이고 정확하게 문제를 결정했습니다.Michael이 겪은 문제는 조직의 일상 업무에서 발생한 사소한 불일치였으며, 그는 이것이 조직의 IT 기술자 중 한 명으로 인해 발생했다고 믿었습니다.따라서 Tessa는 최고 경영진을 만나 책임자의 이름을 문의한 후 불일치에 대한 책임자가 누구인지 알려주었습니다.명확성과 이해를 돕기 위해 Tessa는 감사 마지막 날에 마감 회의를 진행했습니다.이 회의에서 그녀는 확인된 불일치 사항을 Clastus 경영진에게 발표했습니다.그러나 Tessa는 Clastus 인증 감사에 대한 감사 보고서에 불필요한 증거를 제공하지 않도록 조언을 받았으며, 보고서가 간결하고 중요한 조사 결과에 집중되도록 했습니다.
감사팀은 검토한 증거를 토대로 감사 결론을 초안하고 인증을 부여하기 전에 조직의 두 영역을 감사해야 한다고 결정했습니다. 이러한 결정은 나중에 감사 대상자에게 제시되었고, 감사 대상자는 결과를 수용하지 않고 추가 정보를 제공하겠다고 제안했습니다. 감사 대상자의 의견에도 불구하고, 이미 인증 권장 사항을 결정한 감사자는 추가 정보를 수용하지 않았습니다. 감사 대상자의 최고 경영진은 감사 결론이 현실을 나타내지 않는다고 주장했지만, 감사팀은 그들의 결정에 확고한 입장을 유지했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
감사팀의 결정을 토대로, 클라스투스가 취해야 할 다음 단계는 무엇인가?
正解:A
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
시나리오 7: Lawsy는 뉴저지와 뉴욕시에 사무실을 둔 선도적인 로펌입니다. 50명 이상의 변호사가 기업 및 상법, 지적 재산권, 은행 및 금융 서비스 분야에서 고객에게 정교한 법률 서비스를 제공합니다. 그들은 정보 보안 모범 사례를 구현하고 기술 개발에 대한 최신 정보를 유지하려는 노력 덕분에 시장에서 편안한 입지를 확보했다고 믿습니다.
Lawsy는 지난 2년간 ISMS에 대한 내부 감사를 엄격하게 시행, 평가하고 수행해 왔습니다.
이제 그들은 널리 알려지고 신뢰받는 인증기관인 ISMA에 ISO/IEC 27001 인증을 신청했습니다.
1단계 감사 동안 감사팀은 구현 중에 작성된 모든 ISMS 문서를 검토했습니다.
또한 그들은 경영진 검토와 내부 감사의 기록을 검토하고 평가했습니다.
Lawsy는 필요한 경우 불일치에 대한 시정 조치가 수행되었다는 증거 기록을 제출했으므로 감사팀은 내부 감사자를 인터뷰했습니다. 인터뷰는 내부 감사 계획 및 절차에 대한 자세한 통찰력을 제공하여 내부 감사의 적절성과 빈도를 검증했습니다.
감사팀은 정보 보안 정책 및 위험 평가 기준을 포함한 전략적 문서의 검증을 계속했습니다. 정보 보안 정책 검토 중에 팀은 거버넌스 프레임워크(즉, 정보 보안 정책)를 설명하는 문서화된 정보와 절차 사이에 불일치가 있음을 발견했습니다.
직원들이 노트북을 직장 밖으로 가지고 나갈 수 있었지만 Lawsy는 그러한 경우 노트북 사용에 대한 절차를 마련하지 않았습니다. 정책은 노트북 사용에 대한 일반적인 정보만 제공했습니다. 회사는 직원들의 상식에 의존하여 노트북에 저장된 정보의 기밀성과 무결성을 보호했습니다. 이 문제는 1단계 감사 보고서에 기록되었습니다.
1단계 감사를 완료한 후 감사팀장은 감사 목표, 범위, 기준, 절차 등을 다룬 감사 계획을 준비했습니다.
2단계 감사에서 감사팀은 정보 보안 정책을 초안한 정보 보안 관리자를 인터뷰했습니다. 그는 Lawsy가 3개월마다 의무적인 정보 보안 교육 및 인식 세션을 실시한다는 말로 1단계에서 발견된 문제를 정당화했습니다.
인터뷰 후 감사팀은 15개의 직원 교육 기록(50개 중)을 검토하고 Lawsy가 교육 및 인식과 관련된 ISO/IEC 27001 요구 사항을 충족한다는 결론을 내렸습니다. 이 결론을 뒷받침하기 위해 감사팀은 검토한 직원 교육 기록을 복사했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 7을 기준으로, Lawsy는 2단계 감사를 시작하기 전에 무엇을 해야 합니까?
Lawsy는 지난 2년간 ISMS에 대한 내부 감사를 엄격하게 시행, 평가하고 수행해 왔습니다.
이제 그들은 널리 알려지고 신뢰받는 인증기관인 ISMA에 ISO/IEC 27001 인증을 신청했습니다.
1단계 감사 동안 감사팀은 구현 중에 작성된 모든 ISMS 문서를 검토했습니다.
또한 그들은 경영진 검토와 내부 감사의 기록을 검토하고 평가했습니다.
Lawsy는 필요한 경우 불일치에 대한 시정 조치가 수행되었다는 증거 기록을 제출했으므로 감사팀은 내부 감사자를 인터뷰했습니다. 인터뷰는 내부 감사 계획 및 절차에 대한 자세한 통찰력을 제공하여 내부 감사의 적절성과 빈도를 검증했습니다.
감사팀은 정보 보안 정책 및 위험 평가 기준을 포함한 전략적 문서의 검증을 계속했습니다. 정보 보안 정책 검토 중에 팀은 거버넌스 프레임워크(즉, 정보 보안 정책)를 설명하는 문서화된 정보와 절차 사이에 불일치가 있음을 발견했습니다.
직원들이 노트북을 직장 밖으로 가지고 나갈 수 있었지만 Lawsy는 그러한 경우 노트북 사용에 대한 절차를 마련하지 않았습니다. 정책은 노트북 사용에 대한 일반적인 정보만 제공했습니다. 회사는 직원들의 상식에 의존하여 노트북에 저장된 정보의 기밀성과 무결성을 보호했습니다. 이 문제는 1단계 감사 보고서에 기록되었습니다.
1단계 감사를 완료한 후 감사팀장은 감사 목표, 범위, 기준, 절차 등을 다룬 감사 계획을 준비했습니다.
2단계 감사에서 감사팀은 정보 보안 정책을 초안한 정보 보안 관리자를 인터뷰했습니다. 그는 Lawsy가 3개월마다 의무적인 정보 보안 교육 및 인식 세션을 실시한다는 말로 1단계에서 발견된 문제를 정당화했습니다.
인터뷰 후 감사팀은 15개의 직원 교육 기록(50개 중)을 검토하고 Lawsy가 교육 및 인식과 관련된 ISO/IEC 27001 요구 사항을 충족한다는 결론을 내렸습니다. 이 결론을 뒷받침하기 위해 감사팀은 검토한 직원 교육 기록을 복사했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 7을 기준으로, Lawsy는 2단계 감사를 시작하기 전에 무엇을 해야 합니까?
正解:C
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
시나리오 7: Lawsy는 뉴저지와 뉴욕시에 사무실을 둔 선도적인 로펌입니다. 50명 이상의 변호사가 기업 및 상법, 지적 재산권, 은행 및 금융 서비스 분야에서 고객에게 정교한 법률 서비스를 제공합니다. 그들은 정보 보안 모범 사례를 구현하고 기술 개발에 대한 최신 정보를 유지하려는 노력 덕분에 시장에서 편안한 입지를 확보했다고 믿습니다.
Lawsy는 지난 2년간 ISMS에 대한 내부 감사를 엄격하게 시행, 평가하고 수행해 왔습니다.
이제 그들은 널리 알려지고 신뢰받는 인증기관인 ISMA에 ISO/IEC 27001 인증을 신청했습니다.
1단계 감사 동안 감사팀은 구현 중에 작성된 모든 ISMS 문서를 검토했습니다.
또한 그들은 경영진 검토와 내부 감사의 기록을 검토하고 평가했습니다.
Lawsy는 필요한 경우 불일치에 대한 시정 조치가 수행되었다는 증거 기록을 제출했으므로 감사팀은 내부 감사자를 인터뷰했습니다. 인터뷰는 내부 감사 계획 및 절차에 대한 자세한 통찰력을 제공하여 내부 감사의 적절성과 빈도를 검증했습니다.
감사팀은 정보 보안 정책 및 위험 평가 기준을 포함한 전략적 문서의 검증을 계속했습니다. 정보 보안 정책 검토 중에 팀은 거버넌스 프레임워크(즉, 정보 보안 정책)를 설명하는 문서화된 정보와 절차 사이에 불일치가 있음을 발견했습니다.
직원들이 노트북을 직장 밖으로 가지고 나갈 수 있었지만 Lawsy는 그러한 경우 노트북 사용에 대한 절차를 마련하지 않았습니다. 정책은 노트북 사용에 대한 일반적인 정보만 제공했습니다. 회사는 직원들의 상식에 의존하여 노트북에 저장된 정보의 기밀성과 무결성을 보호했습니다. 이 문제는 1단계 감사 보고서에 기록되었습니다.
1단계 감사를 완료한 후 감사팀장은 감사 목표, 범위, 기준, 절차 등을 다룬 감사 계획을 준비했습니다.
2단계 감사에서 감사팀은 정보 보안 정책을 초안한 정보 보안 관리자를 인터뷰했습니다. 그는 Lawsy가 3개월마다 의무적인 정보 보안 교육 및 인식 세션을 실시한다는 말로 1단계에서 발견된 문제를 정당화했습니다.
인터뷰 후 감사팀은 15개의 직원 교육 기록(50개 중)을 검토하고 Lawsy가 교육 및 인식과 관련된 ISO/IEC 27001 요구 사항을 충족한다는 결론을 내렸습니다. 이 결론을 뒷받침하기 위해 감사팀은 검토한 직원 교육 기록을 복사했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
감사자는 감사 완료 후 직원 교육 기록 사본을 보관해야 합니까? 시나리오 7을 참조하십시오.
Lawsy는 지난 2년간 ISMS에 대한 내부 감사를 엄격하게 시행, 평가하고 수행해 왔습니다.
이제 그들은 널리 알려지고 신뢰받는 인증기관인 ISMA에 ISO/IEC 27001 인증을 신청했습니다.
1단계 감사 동안 감사팀은 구현 중에 작성된 모든 ISMS 문서를 검토했습니다.
또한 그들은 경영진 검토와 내부 감사의 기록을 검토하고 평가했습니다.
Lawsy는 필요한 경우 불일치에 대한 시정 조치가 수행되었다는 증거 기록을 제출했으므로 감사팀은 내부 감사자를 인터뷰했습니다. 인터뷰는 내부 감사 계획 및 절차에 대한 자세한 통찰력을 제공하여 내부 감사의 적절성과 빈도를 검증했습니다.
감사팀은 정보 보안 정책 및 위험 평가 기준을 포함한 전략적 문서의 검증을 계속했습니다. 정보 보안 정책 검토 중에 팀은 거버넌스 프레임워크(즉, 정보 보안 정책)를 설명하는 문서화된 정보와 절차 사이에 불일치가 있음을 발견했습니다.
직원들이 노트북을 직장 밖으로 가지고 나갈 수 있었지만 Lawsy는 그러한 경우 노트북 사용에 대한 절차를 마련하지 않았습니다. 정책은 노트북 사용에 대한 일반적인 정보만 제공했습니다. 회사는 직원들의 상식에 의존하여 노트북에 저장된 정보의 기밀성과 무결성을 보호했습니다. 이 문제는 1단계 감사 보고서에 기록되었습니다.
1단계 감사를 완료한 후 감사팀장은 감사 목표, 범위, 기준, 절차 등을 다룬 감사 계획을 준비했습니다.
2단계 감사에서 감사팀은 정보 보안 정책을 초안한 정보 보안 관리자를 인터뷰했습니다. 그는 Lawsy가 3개월마다 의무적인 정보 보안 교육 및 인식 세션을 실시한다는 말로 1단계에서 발견된 문제를 정당화했습니다.
인터뷰 후 감사팀은 15개의 직원 교육 기록(50개 중)을 검토하고 Lawsy가 교육 및 인식과 관련된 ISO/IEC 27001 요구 사항을 충족한다는 결론을 내렸습니다. 이 결론을 뒷받침하기 위해 감사팀은 검토한 직원 교육 기록을 복사했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
감사자는 감사 완료 후 직원 교육 기록 사본을 보관해야 합니까? 시나리오 7을 참조하십시오.
正解:B
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
시나리오 3: NightCore는 미국에 본사를 둔 다국적 기술 회사로, 전자상거래, 클라우드 컴퓨팅, 디지털 스트리밍, 인공지능에 중점을 두고 있습니다. 8개월 이상 정보 보안 관리 시스템(ISMS)을 구현한 후, ISO/IEC 27001 인증을 받기 위해 제3자 감사를 실시하는 인증 기관과 계약을 맺었습니다.
인증 기관은 7명의 감사원 팀을 구성했습니다. 가장 경험이 많은 감사원인 잭이 감사팀 리더로 지정되었습니다. 그는 수년에 걸쳐 ISO/IEC 27001 리드 감사원, CISA, CISSP, CISM 등 많은 유명한 자격증을 취득했습니다.
Jack은 NightCore에서 구현한 모든 정보 보안 요구 사항과 통제를 연구하고 평가하여 ISMS 감사의 각 단계에 대한 철저한 분석을 수행했습니다. 2단계 감사 동안 Jack은 여러 가지 불일치 사항을 발견했습니다. 소프트웨어 라이선스에 대한 구매 송장 수를 소프트웨어 인벤토리와 비교한 후 Jack은 회사가 많은 컴퓨터에 소프트웨어의 불법 버전을 사용하고 있다는 것을 알아냈습니다. 그는 최고 경영진에게 이 불일치 사항에 대한 설명을 요청하고 이를 알고 있는지 확인하기로 결정했습니다. 그의 다음 단계는 NightCore의 IT 부서를 감사하는 것이었습니다. 최고 경영진은 NightCore의 시스템 관리자인 Tom을 가이드 역할을 맡고 Jack과 감사팀을 시스템 내부 작동과 디지털 자산 인프라로 안내하도록 지정했습니다.
재무부 직원을 인터뷰하는 동안 감사원들은 회사가 최근에 컨설턴트 중 한 명에게 비정상적으로 큰 거래를 했다는 사실을 발견했습니다. 거래에 대한 모든 필요한 세부 정보를 수집한 후, 잭은 최고 경영진을 직접 인터뷰하기로 결정했습니다.
첫 번째 불일치에 대해 논의할 때, 최고 경영진은 잭에게 더 저렴하기 때문에 원본 소프트웨어 대신 복사된 소프트웨어를 사용하기로 기꺼이 결정했다고 말했습니다. 잭은 NightCore의 최고 경영진에게 불법 버전의 소프트웨어를 사용하는 것은 ISO/IEC 27001 및 국가 법률 및 규정의 요구 사항에 어긋난다고 설명했습니다. 하지만 그들은 그것에 대해 괜찮은 듯했습니다.
감사가 끝난 지 몇 달 후, 잭은 감사 기간 동안 수집한 나이트코어의 정보 중 일부를 나이트코어의 경쟁사에게 엄청난 금액에 판매했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
잭은 소프트웨어에 대한 첫 번째 불일치를 식별했을 때 어떤 유형의 감사 증거를 수집했습니까? 시나리오 3을 참조하십시오.
인증 기관은 7명의 감사원 팀을 구성했습니다. 가장 경험이 많은 감사원인 잭이 감사팀 리더로 지정되었습니다. 그는 수년에 걸쳐 ISO/IEC 27001 리드 감사원, CISA, CISSP, CISM 등 많은 유명한 자격증을 취득했습니다.
Jack은 NightCore에서 구현한 모든 정보 보안 요구 사항과 통제를 연구하고 평가하여 ISMS 감사의 각 단계에 대한 철저한 분석을 수행했습니다. 2단계 감사 동안 Jack은 여러 가지 불일치 사항을 발견했습니다. 소프트웨어 라이선스에 대한 구매 송장 수를 소프트웨어 인벤토리와 비교한 후 Jack은 회사가 많은 컴퓨터에 소프트웨어의 불법 버전을 사용하고 있다는 것을 알아냈습니다. 그는 최고 경영진에게 이 불일치 사항에 대한 설명을 요청하고 이를 알고 있는지 확인하기로 결정했습니다. 그의 다음 단계는 NightCore의 IT 부서를 감사하는 것이었습니다. 최고 경영진은 NightCore의 시스템 관리자인 Tom을 가이드 역할을 맡고 Jack과 감사팀을 시스템 내부 작동과 디지털 자산 인프라로 안내하도록 지정했습니다.
재무부 직원을 인터뷰하는 동안 감사원들은 회사가 최근에 컨설턴트 중 한 명에게 비정상적으로 큰 거래를 했다는 사실을 발견했습니다. 거래에 대한 모든 필요한 세부 정보를 수집한 후, 잭은 최고 경영진을 직접 인터뷰하기로 결정했습니다.
첫 번째 불일치에 대해 논의할 때, 최고 경영진은 잭에게 더 저렴하기 때문에 원본 소프트웨어 대신 복사된 소프트웨어를 사용하기로 기꺼이 결정했다고 말했습니다. 잭은 NightCore의 최고 경영진에게 불법 버전의 소프트웨어를 사용하는 것은 ISO/IEC 27001 및 국가 법률 및 규정의 요구 사항에 어긋난다고 설명했습니다. 하지만 그들은 그것에 대해 괜찮은 듯했습니다.
감사가 끝난 지 몇 달 후, 잭은 감사 기간 동안 수집한 나이트코어의 정보 중 일부를 나이트코어의 경쟁사에게 엄청난 금액에 판매했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
잭은 소프트웨어에 대한 첫 번째 불일치를 식별했을 때 어떤 유형의 감사 증거를 수집했습니까? 시나리오 3을 참조하십시오.
正解:C
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
시나리오 2:
1990년대에 설립된 Clinic은 심장 관련 질환과 복잡한 수술적 개입에 대한 치료를 전문으로 하는 의료 기기 회사입니다. 유럽에 본사를 두고 있으며 환자와 의료 전문가 모두에게 서비스를 제공합니다. Clinic은 치료를 맞춤화하고 결과를 모니터링하며 기기 기능을 개선하기 위해 환자 데이터를 수집합니다. Clinic은 데이터 보안을 강화하고 신뢰를 구축하기 위해 ISO/IEC 27001을 기반으로 하는 정보 보안 관리 시스템(ISMS)을 구현하고 있습니다. 이 이니셔티브는 Clinic이 민감한 환자 정보와 독점 기술을 안전하게 관리하려는 의지를 보여줍니다.
Clinic은 내부 문제, 인터페이스, 내부 및 아웃소싱 활동 간의 종속성, 이해 관계자의 기대치만을 고려하여 ISMS의 범위를 설정했습니다. 이 범위는 신중하게 문서화되고 접근 가능하게 되었습니다. ISMS를 정의할 때 Clinic은 연구 개발, 환자 데이터 관리, 고객 지원과 같은 중요한 부서 내의 핵심 프로세스에 특히 집중하기로 했습니다.
초기 어려움에도 불구하고 Clinic은 ISMS 구현에 전념하여 고유한 요구 사항에 맞게 보안 제어를 조정했습니다. 프로젝트 팀은 보안을 강화하기 위해 추가적인 부문별 제어를 통합하는 동시에 ISO/IEC 27001에서 특정 Annex A 제어를 제외했습니다. 팀은 내부 및 외부 요인에 대한 이러한 제어의 적용 가능성을 평가하여 제어 선택 및 구현의 근거를 자세히 설명하는 포괄적인 적용성 설명서(SoA)를 개발했습니다.
인증 준비가 진행됨에 따라 팀 리더로 임명된 Brian은 회사의 전략적 문제와 보안 관행을 식별하고 평가하기 위해 자체 주도 위험 평가 방법론을 채택했습니다. 이러한 사전 예방적 접근 방식을 통해 Clinic의 위험 평가가 목표와 사명에 부합하도록 했습니다.
시나리오 2에 따르면, 클리닉의 ISMS 범위가 올바르게 결정되었습니까?
1990년대에 설립된 Clinic은 심장 관련 질환과 복잡한 수술적 개입에 대한 치료를 전문으로 하는 의료 기기 회사입니다. 유럽에 본사를 두고 있으며 환자와 의료 전문가 모두에게 서비스를 제공합니다. Clinic은 치료를 맞춤화하고 결과를 모니터링하며 기기 기능을 개선하기 위해 환자 데이터를 수집합니다. Clinic은 데이터 보안을 강화하고 신뢰를 구축하기 위해 ISO/IEC 27001을 기반으로 하는 정보 보안 관리 시스템(ISMS)을 구현하고 있습니다. 이 이니셔티브는 Clinic이 민감한 환자 정보와 독점 기술을 안전하게 관리하려는 의지를 보여줍니다.
Clinic은 내부 문제, 인터페이스, 내부 및 아웃소싱 활동 간의 종속성, 이해 관계자의 기대치만을 고려하여 ISMS의 범위를 설정했습니다. 이 범위는 신중하게 문서화되고 접근 가능하게 되었습니다. ISMS를 정의할 때 Clinic은 연구 개발, 환자 데이터 관리, 고객 지원과 같은 중요한 부서 내의 핵심 프로세스에 특히 집중하기로 했습니다.
초기 어려움에도 불구하고 Clinic은 ISMS 구현에 전념하여 고유한 요구 사항에 맞게 보안 제어를 조정했습니다. 프로젝트 팀은 보안을 강화하기 위해 추가적인 부문별 제어를 통합하는 동시에 ISO/IEC 27001에서 특정 Annex A 제어를 제외했습니다. 팀은 내부 및 외부 요인에 대한 이러한 제어의 적용 가능성을 평가하여 제어 선택 및 구현의 근거를 자세히 설명하는 포괄적인 적용성 설명서(SoA)를 개발했습니다.
인증 준비가 진행됨에 따라 팀 리더로 임명된 Brian은 회사의 전략적 문제와 보안 관행을 식별하고 평가하기 위해 자체 주도 위험 평가 방법론을 채택했습니다. 이러한 사전 예방적 접근 방식을 통해 Clinic의 위험 평가가 목표와 사명에 부합하도록 했습니다.
시나리오 2에 따르면, 클리닉의 ISMS 범위가 올바르게 결정되었습니까?
正解:B
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
시나리오 4: SendPay는 에이전트와 금융 기관 네트워크를 통해 서비스를 제공하는 금융 회사입니다. 주요 서비스 중 하나는 전 세계로 송금하는 것입니다. 신생 회사인 SendPay는 고객에게 최고 품질의 서비스를 제공하고자 합니다. 이 회사는 국제 거래를 제공하기 때문에 고객의 신원, 거래 이유 및 거래를 완료하는 데 필요할 수 있는 기타 세부 정보와 같은 개인 정보를 제공하도록 요구합니다. 따라서 SendPay는 발생할 수 있는 정보 보안 위협을 탐지, 조사 및 대응하는 것을 포함하여 고객의 정보를 보호하기 위한 보안 조치를 구현했습니다. 안전한 서비스를 제공하려는 그들의 노력은 회사가 많은 시간과 리소스를 투자한 ISMS 구현 중에도 반영되었습니다.
작년에 SendPay는 스마트폰이나 노트북과 같은 전자 기기를 통해 추가 수수료 없이 돈을 거래할 수 있는 디지털 플랫폼을 공개했습니다. 이 플랫폼을 통해 SendPay의 고객은 언제 어디서나 돈을 보내고 받을 수 있습니다. 이 디지털 플랫폼은 SendPay가 회사 운영을 간소화하고 사업을 더욱 확장하는 데 도움이 되었습니다. 당시 SendPay는 소프트웨어 운영을 아웃소싱하고 있었기 때문에 이 프로젝트는 아웃소싱된 회사의 소프트웨어 개발 팀에서 완료했습니다.
같은 팀은 SendPay의 기술 인프라 유지관리도 담당했습니다.
최근 이 회사는 ISMS를 거의 1년 동안 도입한 후 ISO/IEC 27001 인증을 신청했습니다. 그들은 기준에 맞는 인증 기관과 계약을 맺었습니다. 얼마 지나지 않아 인증 기관은 SendPay의 ISMS를 감사하기 위해 4명의 감사원 팀을 임명했습니다.
감사 과정에서 다음과 같은 상황이 관찰되었습니다.
1. 아웃소싱 소프트웨어 회사가 사전 통지 없이 SendPay와의 계약을 종료했습니다. 그 결과 SendPay는 즉시 서비스를 사내로 다시 가져올 수 없었고 운영이 5일 동안 중단되었습니다. 감사원은 SendPay의 담당자에게 계약 종료 시 따를 계획이 있다는 증거를 제공해 달라고 요청했습니다. 담당자는 서류 증거를 제공하지 않았지만 면접 중에 감사원에게 SendPay의 최고 경영진이 비슷한 상황이 다시 발생하면 즉시 서비스를 제공할 수 있는 다른 두 소프트웨어 개발 회사를 파악했다고 말했습니다.
2. 소프트웨어 개발 회사에 아웃소싱된 활동의 모니터링과 관련하여 사용 가능한 증거가 없습니다. 다시 한번, SendPay의 대표는 감사원에게 소프트웨어 개발 회사와 정기적으로 소통하고 발생할 수 있는 모든 가능한 변경 사항에 대해 적절하게 정보를 받고 있다고 말했습니다.
3. 방화벽 테스트 중에 불일치 사항이 발견되지 않았습니다. 감사원은 이러한 서비스가 제공하는 보안 수준을 확인하기 위해 방화벽 구성을 테스트했습니다. 그들은 패킷 분석기를 사용하여 방화벽 정책을 테스트하여 실시간으로 전송되거나 수신된 패킷을 확인할 수 있었습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
SendPay의 대표는 회사가 활동을 아웃소싱한 회사와의 계약이 종료될 경우 따를 계획이 없다고 말했습니다. 대신 최고 경영진은 동일한 서비스를 제공할 수 있는 다른 두 개의 소프트웨어 개발 회사를 파악했습니다. 이 상황을 어떻게 설명하시겠습니까?
작년에 SendPay는 스마트폰이나 노트북과 같은 전자 기기를 통해 추가 수수료 없이 돈을 거래할 수 있는 디지털 플랫폼을 공개했습니다. 이 플랫폼을 통해 SendPay의 고객은 언제 어디서나 돈을 보내고 받을 수 있습니다. 이 디지털 플랫폼은 SendPay가 회사 운영을 간소화하고 사업을 더욱 확장하는 데 도움이 되었습니다. 당시 SendPay는 소프트웨어 운영을 아웃소싱하고 있었기 때문에 이 프로젝트는 아웃소싱된 회사의 소프트웨어 개발 팀에서 완료했습니다.
같은 팀은 SendPay의 기술 인프라 유지관리도 담당했습니다.
최근 이 회사는 ISMS를 거의 1년 동안 도입한 후 ISO/IEC 27001 인증을 신청했습니다. 그들은 기준에 맞는 인증 기관과 계약을 맺었습니다. 얼마 지나지 않아 인증 기관은 SendPay의 ISMS를 감사하기 위해 4명의 감사원 팀을 임명했습니다.
감사 과정에서 다음과 같은 상황이 관찰되었습니다.
1. 아웃소싱 소프트웨어 회사가 사전 통지 없이 SendPay와의 계약을 종료했습니다. 그 결과 SendPay는 즉시 서비스를 사내로 다시 가져올 수 없었고 운영이 5일 동안 중단되었습니다. 감사원은 SendPay의 담당자에게 계약 종료 시 따를 계획이 있다는 증거를 제공해 달라고 요청했습니다. 담당자는 서류 증거를 제공하지 않았지만 면접 중에 감사원에게 SendPay의 최고 경영진이 비슷한 상황이 다시 발생하면 즉시 서비스를 제공할 수 있는 다른 두 소프트웨어 개발 회사를 파악했다고 말했습니다.
2. 소프트웨어 개발 회사에 아웃소싱된 활동의 모니터링과 관련하여 사용 가능한 증거가 없습니다. 다시 한번, SendPay의 대표는 감사원에게 소프트웨어 개발 회사와 정기적으로 소통하고 발생할 수 있는 모든 가능한 변경 사항에 대해 적절하게 정보를 받고 있다고 말했습니다.
3. 방화벽 테스트 중에 불일치 사항이 발견되지 않았습니다. 감사원은 이러한 서비스가 제공하는 보안 수준을 확인하기 위해 방화벽 구성을 테스트했습니다. 그들은 패킷 분석기를 사용하여 방화벽 정책을 테스트하여 실시간으로 전송되거나 수신된 패킷을 확인할 수 있었습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
SendPay의 대표는 회사가 활동을 아웃소싱한 회사와의 계약이 종료될 경우 따를 계획이 없다고 말했습니다. 대신 최고 경영진은 동일한 서비스를 제공할 수 있는 다른 두 개의 소프트웨어 개발 회사를 파악했습니다. 이 상황을 어떻게 설명하시겠습니까?
正解:B
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
시나리오 9: Techmanic은 1995년에 설립되어 현재 브뤼셀에서 운영 중인 벨기에 회사입니다. IT 컨설팅, 소프트웨어 설계, 배포 및 유지 관리를 포함한 하드웨어/소프트웨어 서비스를 제공합니다. 이 회사는 공공 서비스, 금융, 통신, 에너지, 의료, 교육과 같은 분야에 서비스를 제공합니다. 고객 중심 회사로서 강력한 고객 관계와 선도적인 보안 관행을 우선시합니다.
Techmanic은 1년 동안 ISO/IEC 27001 인증을 받았으며 이 인증을 자랑스럽게 생각합니다. 인증 감사 중에 감사원은 ISMS 구현에 몇 가지 불일치 사항을 발견했습니다. 관찰된 상황이 ISMS가 의도한 결과를 달성하는 능력에 영향을 미치지 않았으므로 Techmanic은 감사원이 근본 원인 분석 및 시정 조치를 원격으로 후속 조치한 후 인증을 받았습니다.그해에 회사는 서비스 목록에 호스팅을 추가하고 해당 영역을 포함하도록 인증 범위를 확장해 달라고 요청했습니다.담당 감사원은 요청을 승인하고 Techmanic에 감시 감사 중에 연장 감사를 실시할 것이라고 알렸습니다.Techmanic은 iSMS의 지속적인 효과성과 ISO/IEC 27001 준수성을 확인하기 위해 감시 감사를 실시했습니다.감시 감사의 목적은 최근 호스팅 서비스 추가를 포함하여 Techmanic의 보안 관행이 인증의 엄격한 요구 사항과 원활하게 일치하는지 확인하는 것입니다.감사원은 특히 IT 컨설팅 부문에서 추가 재인증 감사의 필요성을 대체하기 위해 이전 감시 감사 보고서의 결과를 재인증 활동에서 전략적으로 활용했습니다.지속적인 개선의 가치와 과거 평가에서 얻은 교훈을 인식합니다.Techmanic은 이전 감시 감사 보고서를 검토하는 관행을 구현했습니다. 이러한 사전 예방적 접근 방식은 잠재적인 불일치 사항을 식별하고 해결하는 데 도움이 되었을 뿐만 아니라 IT 컨설팅 부문에서 재인증 프로세스를 간소화하는 데에도 도움이 되었습니다.
감시 감사 중에 여러 가지 불일치 사항이 발견되었습니다. ISMS는 ISO/IEC 27001*의 요구 사항을 계속 충족했지만 Techmanic은 내부 감사자가 보고한 대로 호스팅 서비스와 관련된 불일치 사항을 해결하지 못했습니다. 또한 내부 감사 보고서에는 호스팅 서비스 감사 중 내부 감사자의 독립성에 의문을 제기하는 여러 가지 불일치 사항이 있었습니다. 이를 근거로 연장 인증이 부여되지 않았습니다. 결과적으로 Techmanic은 다른 인증 기관으로 이전을 요청했습니다. 그 사이에 회사는 고객에게 ISO/IEC 27001 인증이 호스팅 서비스뿐만 아니라 IT 서비스도 포함한다는 성명을 발표했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
감사원들은 원격으로 시정 조치를 후속 조치한 후 Techmanic에 인증을 권고했습니다. 이것이 허용 가능할까요?
Techmanic은 1년 동안 ISO/IEC 27001 인증을 받았으며 이 인증을 자랑스럽게 생각합니다. 인증 감사 중에 감사원은 ISMS 구현에 몇 가지 불일치 사항을 발견했습니다. 관찰된 상황이 ISMS가 의도한 결과를 달성하는 능력에 영향을 미치지 않았으므로 Techmanic은 감사원이 근본 원인 분석 및 시정 조치를 원격으로 후속 조치한 후 인증을 받았습니다.그해에 회사는 서비스 목록에 호스팅을 추가하고 해당 영역을 포함하도록 인증 범위를 확장해 달라고 요청했습니다.담당 감사원은 요청을 승인하고 Techmanic에 감시 감사 중에 연장 감사를 실시할 것이라고 알렸습니다.Techmanic은 iSMS의 지속적인 효과성과 ISO/IEC 27001 준수성을 확인하기 위해 감시 감사를 실시했습니다.감시 감사의 목적은 최근 호스팅 서비스 추가를 포함하여 Techmanic의 보안 관행이 인증의 엄격한 요구 사항과 원활하게 일치하는지 확인하는 것입니다.감사원은 특히 IT 컨설팅 부문에서 추가 재인증 감사의 필요성을 대체하기 위해 이전 감시 감사 보고서의 결과를 재인증 활동에서 전략적으로 활용했습니다.지속적인 개선의 가치와 과거 평가에서 얻은 교훈을 인식합니다.Techmanic은 이전 감시 감사 보고서를 검토하는 관행을 구현했습니다. 이러한 사전 예방적 접근 방식은 잠재적인 불일치 사항을 식별하고 해결하는 데 도움이 되었을 뿐만 아니라 IT 컨설팅 부문에서 재인증 프로세스를 간소화하는 데에도 도움이 되었습니다.
감시 감사 중에 여러 가지 불일치 사항이 발견되었습니다. ISMS는 ISO/IEC 27001*의 요구 사항을 계속 충족했지만 Techmanic은 내부 감사자가 보고한 대로 호스팅 서비스와 관련된 불일치 사항을 해결하지 못했습니다. 또한 내부 감사 보고서에는 호스팅 서비스 감사 중 내부 감사자의 독립성에 의문을 제기하는 여러 가지 불일치 사항이 있었습니다. 이를 근거로 연장 인증이 부여되지 않았습니다. 결과적으로 Techmanic은 다른 인증 기관으로 이전을 요청했습니다. 그 사이에 회사는 고객에게 ISO/IEC 27001 인증이 호스팅 서비스뿐만 아니라 IT 서비스도 포함한다는 성명을 발표했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
감사원들은 원격으로 시정 조치를 후속 조치한 후 Techmanic에 인증을 권고했습니다. 이것이 허용 가능할까요?
正解:B
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
귀하는 지역 병원과 정부 기관을 포함한 대규모 조직에 운송 서비스를 제공하는 국제 물류 기관의 발송 부서에서 ISMS 감사를 실시하고 있습니다. 소포에는 일반적으로 의약품, 생물학적 샘플, 여권 및 운전 면허증과 같은 문서가 들어 있습니다. 회사 기록에 잘못된 주소로 라벨이 부착된 경우와 회사 사례의 15%에서 한 패키지에 대해 두 개 이상의 주소로 라벨이 부착된 경우를 포함하여 반품된 품목이 매우 많다는 것을 알 수 있습니다. 귀하는 운송 관리자(SM)를 인터뷰하고 있습니다.
당신: 상품을 배송하기 전에 확인하시나요?
SH: 명백히 손상된 품목은 배송 전에 근무 직원이 제거하지만, 이익 마진이 적기 때문에 정식적인 검사 절차를 시행하는 것은 경제성이 없습니다.
당신: 품목이 반품되면 어떤 조치를 취하시나요?
SM: 이러한 계약의 대부분은 상대적으로 가치가 낮기 때문에 조사를 실시하는 것보다 단순히 라벨을 다시 인쇄하여 개별 소포를 다시 보내는 것이 더 쉽고 편리하다는 결정이 내려졌습니다.
불일치를 제기합니다. 시나리오를 참조하면, 후속 감사를 수행할 때 감사 대상자가 구현했을 것으로 기대하는 다음 부록 A 통제 중 6가지는 무엇입니까?
당신: 상품을 배송하기 전에 확인하시나요?
SH: 명백히 손상된 품목은 배송 전에 근무 직원이 제거하지만, 이익 마진이 적기 때문에 정식적인 검사 절차를 시행하는 것은 경제성이 없습니다.
당신: 품목이 반품되면 어떤 조치를 취하시나요?
SM: 이러한 계약의 대부분은 상대적으로 가치가 낮기 때문에 조사를 실시하는 것보다 단순히 라벨을 다시 인쇄하여 개별 소포를 다시 보내는 것이 더 쉽고 편리하다는 결정이 내려졌습니다.
불일치를 제기합니다. 시나리오를 참조하면, 후속 감사를 수행할 때 감사 대상자가 구현했을 것으로 기대하는 다음 부록 A 통제 중 6가지는 무엇입니까?
正解:A、B、F、G、J、K
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
귀하는 의료 서비스를 제공하는 ABC라는 요양원에서 ISMS 감사를 수행하고 있습니다.
감사 계획의 다음 단계는 ABC의 헬스케어 모바일 앱 개발, 지원 및 라이프사이클 프로세스의 정보 보안을 확인하는 것입니다. 감사 중에 조직이 모바일 앱 개발을 CMMI 레벨 5, ITSM(ISO/IEC 20000-1), BCMS(ISO 22301) 및 ISMS(ISO/IEC 27001) 인증을 받은 전문 소프트웨어 개발 조직에 아웃소싱했다는 사실을 알게 되었습니다.
IT 관리자는 소프트웨어 보안 관리 절차를 제시하고 프로세스를 다음과 같이 요약합니다.
모바일 앱 개발은 최소한 "보안 설계" 및 "보안 기본" 원칙을 채택해야 합니다. 개인 데이터 보호를 위한 다음 보안 기능을 사용할 수 있어야 합니다.
액세스 제어.
개인 데이터 암호화, 즉, 고급 암호화 표준(AES) 알고리즘, 키 길이: 256비트; 개인 데이터 가명화.
취약점 확인 및 보안 백도어 없음
최신 모바일 앱 테스트 보고서 샘플 - 참조 ID: 0098, 세부 사항은 다음과 같습니다.
다른 영역을 더 조사하여 더 많은 감사 증거를 수집하고 싶을 것입니다. 감사 추적에 포함되지 않을 세 가지 옵션을 선택하세요.
감사 계획의 다음 단계는 ABC의 헬스케어 모바일 앱 개발, 지원 및 라이프사이클 프로세스의 정보 보안을 확인하는 것입니다. 감사 중에 조직이 모바일 앱 개발을 CMMI 레벨 5, ITSM(ISO/IEC 20000-1), BCMS(ISO 22301) 및 ISMS(ISO/IEC 27001) 인증을 받은 전문 소프트웨어 개발 조직에 아웃소싱했다는 사실을 알게 되었습니다.
IT 관리자는 소프트웨어 보안 관리 절차를 제시하고 프로세스를 다음과 같이 요약합니다.
모바일 앱 개발은 최소한 "보안 설계" 및 "보안 기본" 원칙을 채택해야 합니다. 개인 데이터 보호를 위한 다음 보안 기능을 사용할 수 있어야 합니다.
액세스 제어.
개인 데이터 암호화, 즉, 고급 암호화 표준(AES) 알고리즘, 키 길이: 256비트; 개인 데이터 가명화.
취약점 확인 및 보안 백도어 없음
최신 모바일 앱 테스트 보고서 샘플 - 참조 ID: 0098, 세부 사항은 다음과 같습니다.
다른 영역을 더 조사하여 더 많은 감사 증거를 수집하고 싶을 것입니다. 감사 추적에 포함되지 않을 세 가지 옵션을 선택하세요.
正解:D、F、H
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)