ISO-IEC-27001-Lead-Auditor Korean 無料問題集「PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor Korean Version)」
시나리오 9: Techmanic은 1995년에 설립되어 현재 브뤼셀에서 운영 중인 벨기에 회사입니다. IT 컨설팅, 소프트웨어 설계, 배포 및 유지 관리를 포함한 하드웨어/소프트웨어 서비스를 제공합니다. 이 회사는 공공 서비스, 금융, 통신, 에너지, 의료, 교육과 같은 분야에 서비스를 제공합니다. 고객 중심 회사로서 강력한 고객 관계와 선도적인 보안 관행을 우선시합니다.
Techmanic은 1년 동안 ISO/IEC 27001 인증을 받았으며 이 인증을 자랑스럽게 생각합니다. 인증 감사 중에 감사원은 ISMS 구현에 몇 가지 불일치 사항을 발견했습니다. 관찰된 상황이 ISMS가 의도한 결과를 달성하는 능력에 영향을 미치지 않았으므로 Techmanic은 감사원이 근본 원인 분석 및 시정 조치를 원격으로 후속 조치한 후 인증을 받았습니다.그해에 회사는 서비스 목록에 호스팅을 추가하고 해당 영역을 포함하도록 인증 범위를 확장해 달라고 요청했습니다.담당 감사원은 요청을 승인하고 Techmanic에 감시 감사 중에 연장 감사를 실시할 것이라고 알렸습니다.Techmanic은 iSMS의 지속적인 효과성과 ISO/IEC 27001 준수성을 확인하기 위해 감시 감사를 실시했습니다.감시 감사의 목적은 최근 호스팅 서비스 추가를 포함하여 Techmanic의 보안 관행이 인증의 엄격한 요구 사항과 원활하게 일치하는지 확인하는 것입니다.감사원은 특히 IT 컨설팅 부문에서 추가 재인증 감사의 필요성을 대체하기 위해 이전 감시 감사 보고서의 결과를 재인증 활동에서 전략적으로 활용했습니다.지속적인 개선의 가치와 과거 평가에서 얻은 교훈을 인식합니다.Techmanic은 이전 감시 감사 보고서를 검토하는 관행을 구현했습니다. 이러한 사전 예방적 접근 방식은 잠재적인 불일치 사항을 식별하고 해결하는 데 도움이 되었을 뿐만 아니라 IT 컨설팅 부문에서 재인증 프로세스를 간소화하는 데에도 도움이 되었습니다.
감시 감사 중에 여러 가지 불일치 사항이 발견되었습니다. ISMS는 ISO/IEC 27001*의 요구 사항을 계속 충족했지만 Techmanic은 내부 감사자가 보고한 대로 호스팅 서비스와 관련된 불일치 사항을 해결하지 못했습니다. 또한 내부 감사 보고서에는 호스팅 서비스 감사 중 내부 감사자의 독립성에 의문을 제기하는 여러 가지 불일치 사항이 있었습니다. 이를 근거로 연장 인증이 부여되지 않았습니다. 결과적으로 Techmanic은 다른 인증 기관으로 이전을 요청했습니다. 그 사이에 회사는 고객에게 ISO/IEC 27001 인증이 호스팅 서비스뿐만 아니라 IT 서비스도 포함한다는 성명을 발표했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
아래 옵션 중 내부 감사 프로그램에서 허용하지 않는 것은 무엇입니까?
Techmanic은 1년 동안 ISO/IEC 27001 인증을 받았으며 이 인증을 자랑스럽게 생각합니다. 인증 감사 중에 감사원은 ISMS 구현에 몇 가지 불일치 사항을 발견했습니다. 관찰된 상황이 ISMS가 의도한 결과를 달성하는 능력에 영향을 미치지 않았으므로 Techmanic은 감사원이 근본 원인 분석 및 시정 조치를 원격으로 후속 조치한 후 인증을 받았습니다.그해에 회사는 서비스 목록에 호스팅을 추가하고 해당 영역을 포함하도록 인증 범위를 확장해 달라고 요청했습니다.담당 감사원은 요청을 승인하고 Techmanic에 감시 감사 중에 연장 감사를 실시할 것이라고 알렸습니다.Techmanic은 iSMS의 지속적인 효과성과 ISO/IEC 27001 준수성을 확인하기 위해 감시 감사를 실시했습니다.감시 감사의 목적은 최근 호스팅 서비스 추가를 포함하여 Techmanic의 보안 관행이 인증의 엄격한 요구 사항과 원활하게 일치하는지 확인하는 것입니다.감사원은 특히 IT 컨설팅 부문에서 추가 재인증 감사의 필요성을 대체하기 위해 이전 감시 감사 보고서의 결과를 재인증 활동에서 전략적으로 활용했습니다.지속적인 개선의 가치와 과거 평가에서 얻은 교훈을 인식합니다.Techmanic은 이전 감시 감사 보고서를 검토하는 관행을 구현했습니다. 이러한 사전 예방적 접근 방식은 잠재적인 불일치 사항을 식별하고 해결하는 데 도움이 되었을 뿐만 아니라 IT 컨설팅 부문에서 재인증 프로세스를 간소화하는 데에도 도움이 되었습니다.
감시 감사 중에 여러 가지 불일치 사항이 발견되었습니다. ISMS는 ISO/IEC 27001*의 요구 사항을 계속 충족했지만 Techmanic은 내부 감사자가 보고한 대로 호스팅 서비스와 관련된 불일치 사항을 해결하지 못했습니다. 또한 내부 감사 보고서에는 호스팅 서비스 감사 중 내부 감사자의 독립성에 의문을 제기하는 여러 가지 불일치 사항이 있었습니다. 이를 근거로 연장 인증이 부여되지 않았습니다. 결과적으로 Techmanic은 다른 인증 기관으로 이전을 요청했습니다. 그 사이에 회사는 고객에게 ISO/IEC 27001 인증이 호스팅 서비스뿐만 아니라 IT 서비스도 포함한다는 성명을 발표했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
아래 옵션 중 내부 감사 프로그램에서 허용하지 않는 것은 무엇입니까?
正解:C
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
시나리오 8: 테스
a. Malik과 Michael은 보안, 규정 준수, 사업 계획 및 전략 분야의 독립적이고 자격을 갖춘 전문가로 구성된 감사팀입니다. 그들은 대형 웹 디자인 회사인 Clastus에서 인증 감사를 수행하도록 지정되었습니다. 그들은 이전에 감사를 수행하는 동안 공정성과 객관성을 포함한 뛰어난 직업 윤리를 보여주었습니다. 이번에 Clastus는 ISO/IEC 27001에 대한 인증을 받으면 한 발 앞서 나갈 것이라고 긍정적으로 생각합니다.
감사팀장인 테사는 감사에 대한 전문 지식과 IT 관련 문제, 규정 준수 및 거버넌스 분야에서 매우 성공적인 배경을 가지고 있습니다. 말릭은 조직 계획 및 위험 관리 배경을 가지고 있습니다. 그의 전문 지식은 조직의 보안 통제와 위험 허용도의 종합 및 분석 수준에 의존하여 조직 내의 위험 수준을 정확하게 특성화합니다. 반면, 마이클은 엄격한 표준화된 프로그램을 따르는 실질적인 통제 보안 평가 전문가입니다.
Tessa는 필요한 감사 활동을 수행한 후 감사 팀 회의를 시작했습니다.그들은 Michael의 조사 결과 중 하나를 분석하여 객관적이고 정확하게 문제를 결정했습니다.Michael이 겪은 문제는 조직의 일상 업무에서 발생한 사소한 불일치였으며, 그는 이것이 조직의 IT 기술자 중 한 명으로 인해 발생했다고 믿었습니다.따라서 Tessa는 최고 경영진을 만나 책임자의 이름을 문의한 후 불일치에 대한 책임자가 누구인지 알려주었습니다.명확성과 이해를 돕기 위해 Tessa는 감사 마지막 날에 마감 회의를 진행했습니다.이 회의에서 그녀는 확인된 불일치 사항을 Clastus 경영진에게 발표했습니다.그러나 Tessa는 Clastus 인증 감사에 대한 감사 보고서에 불필요한 증거를 제공하지 않도록 조언을 받았으며, 보고서가 간결하고 중요한 조사 결과에 집중되도록 했습니다.
감사팀은 검토한 증거를 토대로 감사 결론을 초안하고 인증을 부여하기 전에 조직의 두 영역을 감사해야 한다고 결정했습니다. 이러한 결정은 나중에 감사 대상자에게 제시되었고, 감사 대상자는 결과를 수용하지 않고 추가 정보를 제공하겠다고 제안했습니다. 감사 대상자의 의견에도 불구하고, 이미 인증 권장 사항을 결정한 감사자는 추가 정보를 수용하지 않았습니다. 감사 대상자의 최고 경영진은 감사 결론이 현실을 나타내지 않는다고 주장했지만, 감사팀은 그들의 결정에 확고한 입장을 유지했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
감사팀은 클라스투스의 추가 정보를 수용하지 않았습니다. 왜냐하면 그들은 이미 인증 권고를 했기 때문입니다. 이것이 수용 가능할까요?
a. Malik과 Michael은 보안, 규정 준수, 사업 계획 및 전략 분야의 독립적이고 자격을 갖춘 전문가로 구성된 감사팀입니다. 그들은 대형 웹 디자인 회사인 Clastus에서 인증 감사를 수행하도록 지정되었습니다. 그들은 이전에 감사를 수행하는 동안 공정성과 객관성을 포함한 뛰어난 직업 윤리를 보여주었습니다. 이번에 Clastus는 ISO/IEC 27001에 대한 인증을 받으면 한 발 앞서 나갈 것이라고 긍정적으로 생각합니다.
감사팀장인 테사는 감사에 대한 전문 지식과 IT 관련 문제, 규정 준수 및 거버넌스 분야에서 매우 성공적인 배경을 가지고 있습니다. 말릭은 조직 계획 및 위험 관리 배경을 가지고 있습니다. 그의 전문 지식은 조직의 보안 통제와 위험 허용도의 종합 및 분석 수준에 의존하여 조직 내의 위험 수준을 정확하게 특성화합니다. 반면, 마이클은 엄격한 표준화된 프로그램을 따르는 실질적인 통제 보안 평가 전문가입니다.
Tessa는 필요한 감사 활동을 수행한 후 감사 팀 회의를 시작했습니다.그들은 Michael의 조사 결과 중 하나를 분석하여 객관적이고 정확하게 문제를 결정했습니다.Michael이 겪은 문제는 조직의 일상 업무에서 발생한 사소한 불일치였으며, 그는 이것이 조직의 IT 기술자 중 한 명으로 인해 발생했다고 믿었습니다.따라서 Tessa는 최고 경영진을 만나 책임자의 이름을 문의한 후 불일치에 대한 책임자가 누구인지 알려주었습니다.명확성과 이해를 돕기 위해 Tessa는 감사 마지막 날에 마감 회의를 진행했습니다.이 회의에서 그녀는 확인된 불일치 사항을 Clastus 경영진에게 발표했습니다.그러나 Tessa는 Clastus 인증 감사에 대한 감사 보고서에 불필요한 증거를 제공하지 않도록 조언을 받았으며, 보고서가 간결하고 중요한 조사 결과에 집중되도록 했습니다.
감사팀은 검토한 증거를 토대로 감사 결론을 초안하고 인증을 부여하기 전에 조직의 두 영역을 감사해야 한다고 결정했습니다. 이러한 결정은 나중에 감사 대상자에게 제시되었고, 감사 대상자는 결과를 수용하지 않고 추가 정보를 제공하겠다고 제안했습니다. 감사 대상자의 의견에도 불구하고, 이미 인증 권장 사항을 결정한 감사자는 추가 정보를 수용하지 않았습니다. 감사 대상자의 최고 경영진은 감사 결론이 현실을 나타내지 않는다고 주장했지만, 감사팀은 그들의 결정에 확고한 입장을 유지했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
감사팀은 클라스투스의 추가 정보를 수용하지 않았습니다. 왜냐하면 그들은 이미 인증 권고를 했기 때문입니다. 이것이 수용 가능할까요?
正解:A
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
시나리오 4: SendPay는 에이전트와 금융 기관 네트워크를 통해 서비스를 제공하는 금융 회사입니다. 주요 서비스 중 하나는 전 세계로 송금하는 것입니다. 신생 회사인 SendPay는 고객에게 최고 품질의 서비스를 제공하고자 합니다. 이 회사는 국제 거래를 제공하기 때문에 고객의 신원, 거래 이유 및 거래를 완료하는 데 필요할 수 있는 기타 세부 정보와 같은 개인 정보를 제공하도록 요구합니다. 따라서 SendPay는 발생할 수 있는 정보 보안 위협을 탐지, 조사 및 대응하는 것을 포함하여 고객의 정보를 보호하기 위한 보안 조치를 구현했습니다. 안전한 서비스를 제공하려는 그들의 노력은 회사가 많은 시간과 리소스를 투자한 ISMS 구현 중에도 반영되었습니다.
작년에 SendPay는 스마트폰이나 노트북과 같은 전자 기기를 통해 추가 수수료 없이 돈을 거래할 수 있는 디지털 플랫폼을 공개했습니다. 이 플랫폼을 통해 SendPay의 고객은 언제 어디서나 돈을 보내고 받을 수 있습니다. 이 디지털 플랫폼은 SendPay가 회사 운영을 간소화하고 사업을 더욱 확장하는 데 도움이 되었습니다. 당시 SendPay는 소프트웨어 운영을 아웃소싱하고 있었기 때문에 이 프로젝트는 아웃소싱된 회사의 소프트웨어 개발 팀에서 완료했습니다.
같은 팀은 SendPay의 기술 인프라 유지관리도 담당했습니다.
최근 이 회사는 ISMS를 거의 1년 동안 도입한 후 ISO/IEC 27001 인증을 신청했습니다. 그들은 기준에 맞는 인증 기관과 계약을 맺었습니다. 얼마 지나지 않아 인증 기관은 SendPay의 ISMS를 감사하기 위해 4명의 감사원 팀을 임명했습니다.
감사 과정에서 다음과 같은 상황이 관찰되었습니다.
1. 아웃소싱 소프트웨어 회사가 사전 통지 없이 SendPay와의 계약을 종료했습니다. 그 결과 SendPay는 즉시 서비스를 사내로 다시 가져올 수 없었고 운영이 5일 동안 중단되었습니다. 감사원은 SendPay의 담당자에게 계약 종료 시 따를 계획이 있다는 증거를 제공해 달라고 요청했습니다. 담당자는 서류 증거를 제공하지 않았지만 면접 중에 감사원에게 SendPay의 최고 경영진이 비슷한 상황이 다시 발생하면 즉시 서비스를 제공할 수 있는 다른 두 소프트웨어 개발 회사를 파악했다고 말했습니다.
2. 소프트웨어 개발 회사에 아웃소싱된 활동의 모니터링과 관련하여 사용 가능한 증거가 없습니다. 다시 한번, SendPay의 대표는 감사원에게 소프트웨어 개발 회사와 정기적으로 소통하고 발생할 수 있는 모든 가능한 변경 사항에 대해 적절하게 정보를 받고 있다고 말했습니다.
3. 방화벽 테스트 중에 불일치 사항이 발견되지 않았습니다. 감사원은 이러한 서비스가 제공하는 보안 수준을 확인하기 위해 방화벽 구성을 테스트했습니다. 그들은 패킷 분석기를 사용하여 방화벽 정책을 테스트하여 실시간으로 전송되거나 수신된 패킷을 확인할 수 있었습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 4에 따라 감사원은 아웃소싱 운영의 모니터링 프로세스에 대한 서류 증거를 요청했습니다. 이는 무엇을 의미합니까?
작년에 SendPay는 스마트폰이나 노트북과 같은 전자 기기를 통해 추가 수수료 없이 돈을 거래할 수 있는 디지털 플랫폼을 공개했습니다. 이 플랫폼을 통해 SendPay의 고객은 언제 어디서나 돈을 보내고 받을 수 있습니다. 이 디지털 플랫폼은 SendPay가 회사 운영을 간소화하고 사업을 더욱 확장하는 데 도움이 되었습니다. 당시 SendPay는 소프트웨어 운영을 아웃소싱하고 있었기 때문에 이 프로젝트는 아웃소싱된 회사의 소프트웨어 개발 팀에서 완료했습니다.
같은 팀은 SendPay의 기술 인프라 유지관리도 담당했습니다.
최근 이 회사는 ISMS를 거의 1년 동안 도입한 후 ISO/IEC 27001 인증을 신청했습니다. 그들은 기준에 맞는 인증 기관과 계약을 맺었습니다. 얼마 지나지 않아 인증 기관은 SendPay의 ISMS를 감사하기 위해 4명의 감사원 팀을 임명했습니다.
감사 과정에서 다음과 같은 상황이 관찰되었습니다.
1. 아웃소싱 소프트웨어 회사가 사전 통지 없이 SendPay와의 계약을 종료했습니다. 그 결과 SendPay는 즉시 서비스를 사내로 다시 가져올 수 없었고 운영이 5일 동안 중단되었습니다. 감사원은 SendPay의 담당자에게 계약 종료 시 따를 계획이 있다는 증거를 제공해 달라고 요청했습니다. 담당자는 서류 증거를 제공하지 않았지만 면접 중에 감사원에게 SendPay의 최고 경영진이 비슷한 상황이 다시 발생하면 즉시 서비스를 제공할 수 있는 다른 두 소프트웨어 개발 회사를 파악했다고 말했습니다.
2. 소프트웨어 개발 회사에 아웃소싱된 활동의 모니터링과 관련하여 사용 가능한 증거가 없습니다. 다시 한번, SendPay의 대표는 감사원에게 소프트웨어 개발 회사와 정기적으로 소통하고 발생할 수 있는 모든 가능한 변경 사항에 대해 적절하게 정보를 받고 있다고 말했습니다.
3. 방화벽 테스트 중에 불일치 사항이 발견되지 않았습니다. 감사원은 이러한 서비스가 제공하는 보안 수준을 확인하기 위해 방화벽 구성을 테스트했습니다. 그들은 패킷 분석기를 사용하여 방화벽 정책을 테스트하여 실시간으로 전송되거나 수신된 패킷을 확인할 수 있었습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 4에 따라 감사원은 아웃소싱 운영의 모니터링 프로세스에 대한 서류 증거를 요청했습니다. 이는 무엇을 의미합니까?
正解:C
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
귀하는 현재 ISO/IEC 27001:2022를 기준으로 신규 고객에 대한 제3자 최초 인증 감사를 진행하고 있는 숙련된 ISMS 감사팀 리더입니다.
2일간의 감사의 둘째 날 오후이고, 당신은 감사 보고서를 작성하기 시작하려고 합니다. 지금까지 불일치 사항은 발견되지 않았고, 당신과 당신의 팀은 사이트와 조직의 ISMS에 모두 감명을 받았습니다.
이때 팀원 중 한 명이 다가와서 변화 계획 검토에 너무 많은 시간을 소모해 리더십과 헌신에 대한 평가를 완료하지 못했다고 말합니다.
이 정보에 대응하여 다음 중 어떤 조치를 취하시겠습니까?
2일간의 감사의 둘째 날 오후이고, 당신은 감사 보고서를 작성하기 시작하려고 합니다. 지금까지 불일치 사항은 발견되지 않았고, 당신과 당신의 팀은 사이트와 조직의 ISMS에 모두 감명을 받았습니다.
이때 팀원 중 한 명이 다가와서 변화 계획 검토에 너무 많은 시간을 소모해 리더십과 헌신에 대한 평가를 완료하지 못했다고 말합니다.
이 정보에 대응하여 다음 중 어떤 조치를 취하시겠습니까?
正解:G
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
대본:
Northstorm은 독특한 빈티지와 모던 액세서리를 판매하는 온라인 리테일 숍입니다. 처음에는 작은 시장에 진출했지만 전반적인 전자상거래 환경의 발전 덕분에 점차 성장했습니다. Northstorm은 온라인에서만 운영되며 효율적인 결제 처리, 재고 관리, 마케팅 도구 및 배송 주문을 보장합니다. 우선 순위 주문을 사용하여 가장 인기 있는 제품을 수령, 재입고 및 배송합니다.
Northstorm은 전통적으로 웹사이트를 호스팅하고 하드웨어, 소프트웨어, 데이터 관리를 포함한 인프라에 대한 완전한 제어를 유지하여 IT 운영을 관리해 왔습니다. 그러나 이러한 접근 방식은 반응형 인프라가 부족하여 성장을 방해했습니다. Northstorm은 전자 상거래 및 결제 시스템을 개선하고자 자체 데이터 센터를 확장하기로 결정하여 3개월에 걸쳐 두 단계로 확장을 완료했습니다. 처음에는 회사가 핵심 서버, 판매 시점, 주문, 청구, 데이터베이스 및 백업 시스템을 업그레이드했습니다. 두 번째 단계는 메일, 결제 및 네트워크 기능을 개선하는 것이었습니다. 또한 이 단계에서 Northstorm은 PII 처리와 관련하여 개인 식별 정보(PII) 컨트롤러 및 PII 프로세서에 대한 국제 표준을 채택하여 데이터 처리 관행이 안전하고 글로벌 규정을 준수하도록 했습니다.
확장에도 불구하고 Northstorm의 업그레이드된 데이터 센터는 변화하는 비즈니스 요구 사항을 충족하지 못했습니다. 이러한 부적절함으로 인해 주문 우선순위 지정 문제를 포함한 여러 가지 새로운 과제가 발생했습니다. 고객은 우선순위 주문을 받지 못했다고 보고했고 회사는 대응력에 어려움을 겪었습니다. 이는 주로 주문 우선순위 지정 및 고객 상호 작용 시뮬레이션을 위해 설계된 애플리케이션인 YouDecide에서 주문을 처리할 수 없는 메인 서버 때문이었습니다. 고급 알고리즘에 의존하는 이 애플리케이션은 업그레이드 중에 설치된 새로운 운영 체제(OS)와 호환되지 않았습니다.
긴급한 호환성 문제에 직면한 Northstorm은 적절한 검증 없이 애플리케이션을 빠르게 패치하여 손상된 버전을 설치하게 되었습니다. 이 보안 허점으로 인해 주 서버가 영향을 받고 회사 웹사이트가 일주일 동안 오프라인 상태가 되었습니다. 보다 안정적인 솔루션이 필요하다는 것을 깨달은 회사는 웹사이트 호스팅을 전자상거래 공급업체에 아웃소싱하기로 결정했습니다. 회사는 제품 소유권에 대한 기밀 유지 계약에 서명하고 전환하기 전에 보안을 강화하기 위해 사용자 액세스 권한에 대한 철저한 검토를 수행했습니다.
시나리오 1을 기준으로, Northstorm은 확장 2단계에서 어떤 국제 표준을 채택했습니까?
Northstorm은 독특한 빈티지와 모던 액세서리를 판매하는 온라인 리테일 숍입니다. 처음에는 작은 시장에 진출했지만 전반적인 전자상거래 환경의 발전 덕분에 점차 성장했습니다. Northstorm은 온라인에서만 운영되며 효율적인 결제 처리, 재고 관리, 마케팅 도구 및 배송 주문을 보장합니다. 우선 순위 주문을 사용하여 가장 인기 있는 제품을 수령, 재입고 및 배송합니다.
Northstorm은 전통적으로 웹사이트를 호스팅하고 하드웨어, 소프트웨어, 데이터 관리를 포함한 인프라에 대한 완전한 제어를 유지하여 IT 운영을 관리해 왔습니다. 그러나 이러한 접근 방식은 반응형 인프라가 부족하여 성장을 방해했습니다. Northstorm은 전자 상거래 및 결제 시스템을 개선하고자 자체 데이터 센터를 확장하기로 결정하여 3개월에 걸쳐 두 단계로 확장을 완료했습니다. 처음에는 회사가 핵심 서버, 판매 시점, 주문, 청구, 데이터베이스 및 백업 시스템을 업그레이드했습니다. 두 번째 단계는 메일, 결제 및 네트워크 기능을 개선하는 것이었습니다. 또한 이 단계에서 Northstorm은 PII 처리와 관련하여 개인 식별 정보(PII) 컨트롤러 및 PII 프로세서에 대한 국제 표준을 채택하여 데이터 처리 관행이 안전하고 글로벌 규정을 준수하도록 했습니다.
확장에도 불구하고 Northstorm의 업그레이드된 데이터 센터는 변화하는 비즈니스 요구 사항을 충족하지 못했습니다. 이러한 부적절함으로 인해 주문 우선순위 지정 문제를 포함한 여러 가지 새로운 과제가 발생했습니다. 고객은 우선순위 주문을 받지 못했다고 보고했고 회사는 대응력에 어려움을 겪었습니다. 이는 주로 주문 우선순위 지정 및 고객 상호 작용 시뮬레이션을 위해 설계된 애플리케이션인 YouDecide에서 주문을 처리할 수 없는 메인 서버 때문이었습니다. 고급 알고리즘에 의존하는 이 애플리케이션은 업그레이드 중에 설치된 새로운 운영 체제(OS)와 호환되지 않았습니다.
긴급한 호환성 문제에 직면한 Northstorm은 적절한 검증 없이 애플리케이션을 빠르게 패치하여 손상된 버전을 설치하게 되었습니다. 이 보안 허점으로 인해 주 서버가 영향을 받고 회사 웹사이트가 일주일 동안 오프라인 상태가 되었습니다. 보다 안정적인 솔루션이 필요하다는 것을 깨달은 회사는 웹사이트 호스팅을 전자상거래 공급업체에 아웃소싱하기로 결정했습니다. 회사는 제품 소유권에 대한 기밀 유지 계약에 서명하고 전환하기 전에 보안을 강화하기 위해 사용자 액세스 권한에 대한 철저한 검토를 수행했습니다.
시나리오 1을 기준으로, Northstorm은 확장 2단계에서 어떤 국제 표준을 채택했습니까?
正解:A
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
ISMS 감사를 실시하고 있습니다. 감사 계획의 다음 단계는 조직의 정보 보안 위험 처리 계획이 제대로 수립되고 구현되었는지 확인하는 것입니다. IT 보안 관리자와 인터뷰하기로 결정했습니다.
당신: 조직에서 정보 보안 위험 평가 및 처리 프로세스를 어떻게 수행하는지 설명해 주시겠습니까?
IT 보안 관리자: 정보 보안 위험 관리 절차를 따라 위험 처리 계획을 수립합니다.
내레이터: 요양원의 물리적 보안을 개선하기 위한 전자(보이지 않는) 펜스의 계획된 설치와 관련된 위험 처리 계획 No. 123을 검토합니다. IT 보안 관리자가 위험 처리 계획을 승인한 것을 발견했습니다.
당신: 물리적 보안 위험에 대한 책임은 누구에게 있나요?
IT 보안 관리자: 시설 관리자는 물리적 보안 위험을 담당합니다. IT 부서는 경보를 모니터링하는 데 도움을 줍니다. 시설 관리자는 위험 처리 계획 No. 123에 대한 예산을 승인할 권한이 있습니다.
당신: 위험처리계획 123호가 시행된 이후에 어떤 잔여정보 보안 위험이 존재합니까?
IT 보안 관리자: 제가 아는 한 잔여 정보 보안 위험을 수용할 수 있는 정보는 없습니다.
감사 결과를 준비합니다. 시나리오에서 정당화되는 결과에 대한 세 가지 옵션을 선택합니다.
당신: 조직에서 정보 보안 위험 평가 및 처리 프로세스를 어떻게 수행하는지 설명해 주시겠습니까?
IT 보안 관리자: 정보 보안 위험 관리 절차를 따라 위험 처리 계획을 수립합니다.
내레이터: 요양원의 물리적 보안을 개선하기 위한 전자(보이지 않는) 펜스의 계획된 설치와 관련된 위험 처리 계획 No. 123을 검토합니다. IT 보안 관리자가 위험 처리 계획을 승인한 것을 발견했습니다.
당신: 물리적 보안 위험에 대한 책임은 누구에게 있나요?
IT 보안 관리자: 시설 관리자는 물리적 보안 위험을 담당합니다. IT 부서는 경보를 모니터링하는 데 도움을 줍니다. 시설 관리자는 위험 처리 계획 No. 123에 대한 예산을 승인할 권한이 있습니다.
당신: 위험처리계획 123호가 시행된 이후에 어떤 잔여정보 보안 위험이 존재합니까?
IT 보안 관리자: 제가 아는 한 잔여 정보 보안 위험을 수용할 수 있는 정보는 없습니다.
감사 결과를 준비합니다. 시나리오에서 정당화되는 결과에 대한 세 가지 옵션을 선택합니다.
正解:D、F、G
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
시나리오 6: Cyber ACrypt는 안티 맬웨어 및 기기 보안, 자산 수명 주기 관리, 기기 암호화를 제공하여 엔드포인트 보호를 제공하는 사이버 보안 회사입니다. ISO/IEC 27001에 대한 ISMS를 검증하고 사이버 보안 우수성에 대한 의지를 보여주기 위해 이 회사는 임명된 감사팀 리더인 John이 이끄는 꼼꼼한 감사 프로세스를 거쳤습니다.
감사 임무를 수락하자마자 존은 감사 계획과 팀 역할을 개략적으로 설명하기 위한 회의를 신속히 조직했습니다. 이 단계는 팀을 감사 목표와 범위에 맞추는 데 중요했습니다. 그러나 Cyber ACrypt 직원에게 한 초기 프레젠테이션에서 감사 범위와 목표를 이해하는 데 상당한 차이가 있음이 드러났으며, 이는 회사 내에서 잠재적인 준비 과제가 있음을 나타냈습니다. 1단계 감사가 시작되면서 팀은 현장 활동을 준비했습니다. 그들은 정보 보안 정책 및 운영 절차를 포함하여 Cyber ACrypt의 문서화된 정보를 검토하여 각 문서가 작성자 식별, 제작 날짜, 버전 번호 및 승인 날짜가 있는 형식에 부합하고 표준화되었는지 확인했습니다.또한 감사팀은 각 문서에 표준의 해당 조항에서 요구하는 정보가 포함되어 있는지 확인했습니다.이 단계에서는 작업 실행을 설명하는 문서에 대한 자세한 감사가 불필요하다는 것이 밝혀졌으며, 이는 프로세스를 간소화하고 팀의 노력을 중요한 영역에 집중시켰습니다.현장 활동을 수행하는 단계에서 팀은 Cyber Acrypt의 정책에 대한 관리 책임을 평가했습니다.이 철저한 검토는 지속적인 개선과 ISMS 요구 사항 준수를 확인하는 것을 목표로 했습니다.그 후 문서인 1단계 감사 출력 단계에서 감사팀은 1단계 목표의 충족과 관련된 결론을 강조하면서 조사 결과를 세심하게 문서화했습니다.이 문서는 감사팀과 Cyber ACrypt가 예비 감사 결과와 주의가 필요한 영역을 이해하는 데 필수적이었습니다.
감사팀은 또한 주요 이해 관계자와 인터뷰를 하기로 결정했습니다. 이 결정은 ISO/IEC 27001 요구 사항에 대한 관리 시스템의 준수 여부를 검증하기 위해 강력한 감사 증거를 수집한다는 목표에서 비롯되었습니다. 다양한 수준의 Cyber ACrypt에 걸쳐 이해 관계자와 교류함으로써 감사팀은 귀중한 관점과 ISMS의 구현 및 효과에 대한 이해를 얻었습니다.
1단계 감사 보고서는 중요한 우려 사항을 밝혔습니다. 적용성 설명서(SoA)와 ISMS 정책은 불충분한 위험 평가, 부적절한 액세스 제어, 정기적인 정책 검토 부족을 포함하여 여러 면에서 부족한 것으로 나타났습니다. 이로 인해 Cyber ACrypt는 이러한 단점을 해결하기 위해 즉각적인 조치를 취했습니다. 전략 문서에 대한 신속한 대응과 수정은 규정 준수 달성에 대한 강력한 의지를 반영했습니다.
감사팀의 사이버 보안 지식 격차를 메우기 위해 도입된 기술 전문성은 위험 평가 방법론의 단점을 파악하고 네트워크 아키텍처를 검토하는 데 중요한 역할을 했습니다. 여기에는 방화벽, 침입 탐지 및 방지 시스템, 기타 네트워크 보안 조치를 평가하고 Cyber ACrypt가 외부 및 내부 위협을 탐지, 대응 및 복구하는 방법을 평가하는 것이 포함되었습니다. John의 감독 하에 기술 전문가는 Cyber ACrypt 담당자에게 감사 결과를 전달했습니다. 그러나 감사팀은 감사 대상자로부터 컨설팅 수수료를 받았기 때문에 전문가의 객관성이 손상되었을 수 있음을 관찰했습니다. 감사 중 기술 전문가의 행동을 고려하여 감사팀 리더는 이 문제를 인증 기관과 논의하기로 결정했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
문서화된 정보를 평가하기 위한 어떤 기준이 감사팀에 의해 검증되지 않았습니까? (시나리오 6 참조)
감사 임무를 수락하자마자 존은 감사 계획과 팀 역할을 개략적으로 설명하기 위한 회의를 신속히 조직했습니다. 이 단계는 팀을 감사 목표와 범위에 맞추는 데 중요했습니다. 그러나 Cyber ACrypt 직원에게 한 초기 프레젠테이션에서 감사 범위와 목표를 이해하는 데 상당한 차이가 있음이 드러났으며, 이는 회사 내에서 잠재적인 준비 과제가 있음을 나타냈습니다. 1단계 감사가 시작되면서 팀은 현장 활동을 준비했습니다. 그들은 정보 보안 정책 및 운영 절차를 포함하여 Cyber ACrypt의 문서화된 정보를 검토하여 각 문서가 작성자 식별, 제작 날짜, 버전 번호 및 승인 날짜가 있는 형식에 부합하고 표준화되었는지 확인했습니다.또한 감사팀은 각 문서에 표준의 해당 조항에서 요구하는 정보가 포함되어 있는지 확인했습니다.이 단계에서는 작업 실행을 설명하는 문서에 대한 자세한 감사가 불필요하다는 것이 밝혀졌으며, 이는 프로세스를 간소화하고 팀의 노력을 중요한 영역에 집중시켰습니다.현장 활동을 수행하는 단계에서 팀은 Cyber Acrypt의 정책에 대한 관리 책임을 평가했습니다.이 철저한 검토는 지속적인 개선과 ISMS 요구 사항 준수를 확인하는 것을 목표로 했습니다.그 후 문서인 1단계 감사 출력 단계에서 감사팀은 1단계 목표의 충족과 관련된 결론을 강조하면서 조사 결과를 세심하게 문서화했습니다.이 문서는 감사팀과 Cyber ACrypt가 예비 감사 결과와 주의가 필요한 영역을 이해하는 데 필수적이었습니다.
감사팀은 또한 주요 이해 관계자와 인터뷰를 하기로 결정했습니다. 이 결정은 ISO/IEC 27001 요구 사항에 대한 관리 시스템의 준수 여부를 검증하기 위해 강력한 감사 증거를 수집한다는 목표에서 비롯되었습니다. 다양한 수준의 Cyber ACrypt에 걸쳐 이해 관계자와 교류함으로써 감사팀은 귀중한 관점과 ISMS의 구현 및 효과에 대한 이해를 얻었습니다.
1단계 감사 보고서는 중요한 우려 사항을 밝혔습니다. 적용성 설명서(SoA)와 ISMS 정책은 불충분한 위험 평가, 부적절한 액세스 제어, 정기적인 정책 검토 부족을 포함하여 여러 면에서 부족한 것으로 나타났습니다. 이로 인해 Cyber ACrypt는 이러한 단점을 해결하기 위해 즉각적인 조치를 취했습니다. 전략 문서에 대한 신속한 대응과 수정은 규정 준수 달성에 대한 강력한 의지를 반영했습니다.
감사팀의 사이버 보안 지식 격차를 메우기 위해 도입된 기술 전문성은 위험 평가 방법론의 단점을 파악하고 네트워크 아키텍처를 검토하는 데 중요한 역할을 했습니다. 여기에는 방화벽, 침입 탐지 및 방지 시스템, 기타 네트워크 보안 조치를 평가하고 Cyber ACrypt가 외부 및 내부 위협을 탐지, 대응 및 복구하는 방법을 평가하는 것이 포함되었습니다. John의 감독 하에 기술 전문가는 Cyber ACrypt 담당자에게 감사 결과를 전달했습니다. 그러나 감사팀은 감사 대상자로부터 컨설팅 수수료를 받았기 때문에 전문가의 객관성이 손상되었을 수 있음을 관찰했습니다. 감사 중 기술 전문가의 행동을 고려하여 감사팀 리더는 이 문제를 인증 기관과 논의하기로 결정했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
문서화된 정보를 평가하기 위한 어떤 기준이 감사팀에 의해 검증되지 않았습니까? (시나리오 6 참조)
正解:C
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
귀하의 조직에서 예정된 정보 보안 감사를 방금 끝낸 순간, IT 관리자가 귀하에게 접근하여 회사의 위험 관리 프로세스를 개정하는 데 도움을 요청했습니다.
그는 다른 관리자들이 이해하기 쉽도록 현재 문서를 업데이트하려고 노력하고 있지만, 여러분의 논의에서 그가 몇 가지 핵심 용어를 혼동하고 있다는 것이 분명해졌습니다.
당신은 그에게 각 설명을 적절한 위험 용어와 매치하라고 요청합니다. 정답은 무엇이어야 할까요?
그는 다른 관리자들이 이해하기 쉽도록 현재 문서를 업데이트하려고 노력하고 있지만, 여러분의 논의에서 그가 몇 가지 핵심 용어를 혼동하고 있다는 것이 분명해졌습니다.
당신은 그에게 각 설명을 적절한 위험 용어와 매치하라고 요청합니다. 정답은 무엇이어야 할까요?
正解:
주요 감사 프로세스는 감사원이 정보를 수집하고 결과의 특성을 결정하는 방법입니다. 이 프로세스를 완료하려면 나열된 작업을 올바른 순서로 배치하세요. 마지막 작업은 이미 완료되었습니다.
正解:
