ISO-IEC-27001-Lead-Auditor Korean 無料問題集「PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor Korean Version)」
시나리오 4: SendPay는 에이전트와 금융 기관 네트워크를 통해 서비스를 제공하는 금융 회사입니다. 주요 서비스 중 하나는 전 세계로 송금하는 것입니다. 신생 회사인 SendPay는 고객에게 최고 품질의 서비스를 제공하고자 합니다. 이 회사는 국제 거래를 제공하기 때문에 고객의 신원, 거래 이유 및 거래를 완료하는 데 필요할 수 있는 기타 세부 정보와 같은 개인 정보를 제공하도록 요구합니다. 따라서 SendPay는 발생할 수 있는 정보 보안 위협을 탐지, 조사 및 대응하는 것을 포함하여 고객의 정보를 보호하기 위한 보안 조치를 구현했습니다. 안전한 서비스를 제공하려는 그들의 노력은 회사가 많은 시간과 리소스를 투자한 ISMS 구현 중에도 반영되었습니다.
작년에 SendPay는 스마트폰이나 노트북과 같은 전자 기기를 통해 추가 수수료 없이 돈을 거래할 수 있는 디지털 플랫폼을 공개했습니다. 이 플랫폼을 통해 SendPay의 고객은 언제 어디서나 돈을 보내고 받을 수 있습니다. 이 디지털 플랫폼은 SendPay가 회사 운영을 간소화하고 사업을 더욱 확장하는 데 도움이 되었습니다. 당시 SendPay는 소프트웨어 운영을 아웃소싱하고 있었기 때문에 이 프로젝트는 아웃소싱된 회사의 소프트웨어 개발 팀에서 완료했습니다.
같은 팀은 SendPay의 기술 인프라 유지관리도 담당했습니다.
최근 이 회사는 ISMS를 거의 1년 동안 도입한 후 ISO/IEC 27001 인증을 신청했습니다. 그들은 기준에 맞는 인증 기관과 계약을 맺었습니다. 얼마 지나지 않아 인증 기관은 SendPay의 ISMS를 감사하기 위해 4명의 감사원 팀을 임명했습니다.
감사 과정에서 다음과 같은 상황이 관찰되었습니다.
1. 아웃소싱 소프트웨어 회사가 사전 통지 없이 SendPay와의 계약을 종료했습니다. 그 결과 SendPay는 즉시 서비스를 사내로 다시 가져올 수 없었고 운영이 5일 동안 중단되었습니다. 감사원은 SendPay의 담당자에게 계약 종료 시 따를 계획이 있다는 증거를 제공해 달라고 요청했습니다. 담당자는 서류 증거를 제공하지 않았지만 면접 중에 감사원에게 SendPay의 최고 경영진이 비슷한 상황이 다시 발생하면 즉시 서비스를 제공할 수 있는 다른 두 소프트웨어 개발 회사를 파악했다고 말했습니다.
2. 소프트웨어 개발 회사에 아웃소싱된 활동의 모니터링과 관련하여 사용 가능한 증거가 없습니다. 다시 한번, SendPay의 대표는 감사원에게 소프트웨어 개발 회사와 정기적으로 소통하고 발생할 수 있는 모든 가능한 변경 사항에 대해 적절하게 정보를 받고 있다고 말했습니다.
3. 방화벽 테스트 중에 불일치 사항이 발견되지 않았습니다. 감사원은 이러한 서비스가 제공하는 보안 수준을 확인하기 위해 방화벽 구성을 테스트했습니다. 그들은 패킷 분석기를 사용하여 방화벽 정책을 테스트하여 실시간으로 전송되거나 수신된 패킷을 확인할 수 있었습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
아웃소싱 운영의 모니터링 프로세스와 관련하여 얻은 증거를 어떻게 평가합니까? 시나리오 4를 참조하십시오.
작년에 SendPay는 스마트폰이나 노트북과 같은 전자 기기를 통해 추가 수수료 없이 돈을 거래할 수 있는 디지털 플랫폼을 공개했습니다. 이 플랫폼을 통해 SendPay의 고객은 언제 어디서나 돈을 보내고 받을 수 있습니다. 이 디지털 플랫폼은 SendPay가 회사 운영을 간소화하고 사업을 더욱 확장하는 데 도움이 되었습니다. 당시 SendPay는 소프트웨어 운영을 아웃소싱하고 있었기 때문에 이 프로젝트는 아웃소싱된 회사의 소프트웨어 개발 팀에서 완료했습니다.
같은 팀은 SendPay의 기술 인프라 유지관리도 담당했습니다.
최근 이 회사는 ISMS를 거의 1년 동안 도입한 후 ISO/IEC 27001 인증을 신청했습니다. 그들은 기준에 맞는 인증 기관과 계약을 맺었습니다. 얼마 지나지 않아 인증 기관은 SendPay의 ISMS를 감사하기 위해 4명의 감사원 팀을 임명했습니다.
감사 과정에서 다음과 같은 상황이 관찰되었습니다.
1. 아웃소싱 소프트웨어 회사가 사전 통지 없이 SendPay와의 계약을 종료했습니다. 그 결과 SendPay는 즉시 서비스를 사내로 다시 가져올 수 없었고 운영이 5일 동안 중단되었습니다. 감사원은 SendPay의 담당자에게 계약 종료 시 따를 계획이 있다는 증거를 제공해 달라고 요청했습니다. 담당자는 서류 증거를 제공하지 않았지만 면접 중에 감사원에게 SendPay의 최고 경영진이 비슷한 상황이 다시 발생하면 즉시 서비스를 제공할 수 있는 다른 두 소프트웨어 개발 회사를 파악했다고 말했습니다.
2. 소프트웨어 개발 회사에 아웃소싱된 활동의 모니터링과 관련하여 사용 가능한 증거가 없습니다. 다시 한번, SendPay의 대표는 감사원에게 소프트웨어 개발 회사와 정기적으로 소통하고 발생할 수 있는 모든 가능한 변경 사항에 대해 적절하게 정보를 받고 있다고 말했습니다.
3. 방화벽 테스트 중에 불일치 사항이 발견되지 않았습니다. 감사원은 이러한 서비스가 제공하는 보안 수준을 확인하기 위해 방화벽 구성을 테스트했습니다. 그들은 패킷 분석기를 사용하여 방화벽 정책을 테스트하여 실시간으로 전송되거나 수신된 패킷을 확인할 수 있었습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
아웃소싱 운영의 모니터링 프로세스와 관련하여 얻은 증거를 어떻게 평가합니까? 시나리오 4를 참조하십시오.
正解:C
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
귀하는 감사팀 리더로서 첫 번째 제3자 ISMS 감시 감사를 실시하고 있습니다. 귀하는 현재 감사팀의 다른 멤버와 조직의 가이드와 함께 감사 대상자의 데이터 센터에 있습니다.
조합 자물쇠와 홍채 스캐너로 보호되는 잠긴 방에 들어가달라고 요청합니다. 방 구석에는 책상 위에 하드 드라이브가 쌓여 있습니다. 가이드에게 드라이브 상태가 어떤지 묻습니다. 그는 드라이브가 중복되어 폐기를 기다리고 있다고 말합니다. 지난주에 픽업했어야 했지만, 조직의 외부 보안 파기 서비스 제공자는 직원의 병가로 인해 운전자를 찾을 수 없었습니다. 그는 최근에 이런 일이 흔해졌다고 하지만 그 이유는 모른다고 말합니다. 그런 다음 픽업이 내일로 연기되었음을 확인하는 작업 티켓을 제시합니다.
위의 시나리오를 바탕으로, 다음 중 어떤 세 가지 조치를 취하시겠습니까?
조합 자물쇠와 홍채 스캐너로 보호되는 잠긴 방에 들어가달라고 요청합니다. 방 구석에는 책상 위에 하드 드라이브가 쌓여 있습니다. 가이드에게 드라이브 상태가 어떤지 묻습니다. 그는 드라이브가 중복되어 폐기를 기다리고 있다고 말합니다. 지난주에 픽업했어야 했지만, 조직의 외부 보안 파기 서비스 제공자는 직원의 병가로 인해 운전자를 찾을 수 없었습니다. 그는 최근에 이런 일이 흔해졌다고 하지만 그 이유는 모른다고 말합니다. 그런 다음 픽업이 내일로 연기되었음을 확인하는 작업 티켓을 제시합니다.
위의 시나리오를 바탕으로, 다음 중 어떤 세 가지 조치를 취하시겠습니까?
正解:D、F、H
解答を投票する
귀하는 숙련된 ISMS 감사팀 리더로서, 귀하의 감사팀에 배정된 교육 중인 감사원과 대화하고 있습니다. 귀하는 그들이 정보 보안 관리 시스템의 운영과 관련하여 Plan-Do-Check-Act 주기의 Check 단계의 중요성을 이해하고 있는지 확인하고 싶어합니다.
문장을 가장 잘 완성할 수 있는 단어를 선택하도록 요청하면 됩니다.
가장 좋은 단어로 문장을 완성하려면, 완성하려는 빈 섹션을 클릭하여 빨간색으로 강조 표시한 다음 아래 옵션에서 해당 텍스트를 클릭합니다. 또는 해당 빈 섹션으로 옵션을 끌어서 놓을 수도 있습니다.
문장을 가장 잘 완성할 수 있는 단어를 선택하도록 요청하면 됩니다.
가장 좋은 단어로 문장을 완성하려면, 완성하려는 빈 섹션을 클릭하여 빨간색으로 강조 표시한 다음 아래 옵션에서 해당 텍스트를 클릭합니다. 또는 해당 빈 섹션으로 옵션을 끌어서 놓을 수도 있습니다.
正解:
Explanation:
* Review is the third stage of the Plan-Do-Check-Act (PDCA) cycle, which is a four-step model for implementing and improving an information security management system (ISMS) according to ISO/IEC
27001:202212. Review involves assessing and measuring the performance of the ISMS against the established policies, objectives, and criteria12.
* Assess is the verb that describes the action of reviewing the ISMS. Assess means to evaluate, analyze, or measure something in a systematic and objective manner3. Assessing the ISMS involves collecting and verifying audit evidence, identifying strengths and weaknesses, and determining the degree of conformity or nonconformity12.
* Regular is the adjective that describes the frequency or interval of reviewing the ISMS. Regular means occurring or done at fixed or uniform intervals4. Reviewing the ISMS at regular intervals means conducting internal audits and management reviews periodically, such as annually, quarterly, or monthly, depending on the needs and risks of the organization12.
* Suitability is one of the attributes that describes the quality or outcome of reviewing the ISMS. Suitability means being appropriate or fitting for a particular purpose, person, or situation5. Reviewing the ISMS for suitability means ensuring that it is aligned with the organization's strategic direction, business objectives, and information security requirements12.
References :=
* ISO/IEC 27001:2022 Information technology - Security techniques - Information security management systems - Requirements
* ISO/IEC 27003:2022 Information technology - Security techniques - Information security management systems - Guidance
* Assess | Definition of Assess by Merriam-Webster
* Regular | Definition of Regular by Merriam-Webster
* Suitability | Definition of Suitability by Merriam-Webster
시나리오 4: SendPay는 에이전트와 금융 기관 네트워크를 통해 서비스를 제공하는 금융 회사입니다. 주요 서비스 중 하나는 전 세계로 송금하는 것입니다. 신생 회사인 SendPay는 고객에게 최고 품질의 서비스를 제공하고자 합니다. 이 회사는 국제 거래를 제공하기 때문에 고객의 신원, 거래 이유 및 거래를 완료하는 데 필요할 수 있는 기타 세부 정보와 같은 개인 정보를 제공하도록 요구합니다. 따라서 SendPay는 발생할 수 있는 정보 보안 위협을 탐지, 조사 및 대응하는 것을 포함하여 고객의 정보를 보호하기 위한 보안 조치를 구현했습니다. 안전한 서비스를 제공하려는 그들의 노력은 회사가 많은 시간과 리소스를 투자한 ISMS 구현 중에도 반영되었습니다.
작년에 SendPay는 스마트폰이나 노트북과 같은 전자 기기를 통해 추가 수수료 없이 돈을 거래할 수 있는 디지털 플랫폼을 공개했습니다. 이 플랫폼을 통해 SendPay의 고객은 언제 어디서나 돈을 보내고 받을 수 있습니다. 이 디지털 플랫폼은 SendPay가 회사 운영을 간소화하고 사업을 더욱 확장하는 데 도움이 되었습니다. 당시 SendPay는 소프트웨어 운영을 아웃소싱하고 있었기 때문에 이 프로젝트는 아웃소싱된 회사의 소프트웨어 개발 팀에서 완료했습니다.
같은 팀은 SendPay의 기술 인프라 유지관리도 담당했습니다.
최근 이 회사는 ISMS를 거의 1년 동안 도입한 후 ISO/IEC 27001 인증을 신청했습니다. 그들은 기준에 맞는 인증 기관과 계약을 맺었습니다. 얼마 지나지 않아 인증 기관은 SendPay의 ISMS를 감사하기 위해 4명의 감사원 팀을 임명했습니다.
감사 과정에서 다음과 같은 상황이 관찰되었습니다.
1. 아웃소싱 소프트웨어 회사가 사전 통지 없이 SendPay와의 계약을 종료했습니다. 그 결과 SendPay는 즉시 서비스를 사내로 다시 가져올 수 없었고 운영이 5일 동안 중단되었습니다. 감사원은 SendPay의 담당자에게 계약 종료 시 따를 계획이 있다는 증거를 제공해 달라고 요청했습니다. 담당자는 서류 증거를 제공하지 않았지만 면접 중에 감사원에게 SendPay의 최고 경영진이 비슷한 상황이 다시 발생하면 즉시 서비스를 제공할 수 있는 다른 두 소프트웨어 개발 회사를 파악했다고 말했습니다.
2. 소프트웨어 개발 회사에 아웃소싱된 활동의 모니터링과 관련하여 사용 가능한 증거가 없습니다. 다시 한번, SendPay의 대표는 감사원에게 소프트웨어 개발 회사와 정기적으로 소통하고 발생할 수 있는 모든 가능한 변경 사항에 대해 적절하게 정보를 받고 있다고 말했습니다.
3. 방화벽 테스트 중에 불일치 사항이 발견되지 않았습니다. 감사원은 이러한 서비스가 제공하는 보안 수준을 확인하기 위해 방화벽 구성을 테스트했습니다. 그들은 패킷 분석기를 사용하여 방화벽 정책을 테스트하여 실시간으로 전송되거나 수신된 패킷을 확인할 수 있었습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 4에 따라 감사원은 아웃소싱 운영의 모니터링 프로세스에 대한 서류 증거를 요청했습니다. 이는 무엇을 의미합니까?
작년에 SendPay는 스마트폰이나 노트북과 같은 전자 기기를 통해 추가 수수료 없이 돈을 거래할 수 있는 디지털 플랫폼을 공개했습니다. 이 플랫폼을 통해 SendPay의 고객은 언제 어디서나 돈을 보내고 받을 수 있습니다. 이 디지털 플랫폼은 SendPay가 회사 운영을 간소화하고 사업을 더욱 확장하는 데 도움이 되었습니다. 당시 SendPay는 소프트웨어 운영을 아웃소싱하고 있었기 때문에 이 프로젝트는 아웃소싱된 회사의 소프트웨어 개발 팀에서 완료했습니다.
같은 팀은 SendPay의 기술 인프라 유지관리도 담당했습니다.
최근 이 회사는 ISMS를 거의 1년 동안 도입한 후 ISO/IEC 27001 인증을 신청했습니다. 그들은 기준에 맞는 인증 기관과 계약을 맺었습니다. 얼마 지나지 않아 인증 기관은 SendPay의 ISMS를 감사하기 위해 4명의 감사원 팀을 임명했습니다.
감사 과정에서 다음과 같은 상황이 관찰되었습니다.
1. 아웃소싱 소프트웨어 회사가 사전 통지 없이 SendPay와의 계약을 종료했습니다. 그 결과 SendPay는 즉시 서비스를 사내로 다시 가져올 수 없었고 운영이 5일 동안 중단되었습니다. 감사원은 SendPay의 담당자에게 계약 종료 시 따를 계획이 있다는 증거를 제공해 달라고 요청했습니다. 담당자는 서류 증거를 제공하지 않았지만 면접 중에 감사원에게 SendPay의 최고 경영진이 비슷한 상황이 다시 발생하면 즉시 서비스를 제공할 수 있는 다른 두 소프트웨어 개발 회사를 파악했다고 말했습니다.
2. 소프트웨어 개발 회사에 아웃소싱된 활동의 모니터링과 관련하여 사용 가능한 증거가 없습니다. 다시 한번, SendPay의 대표는 감사원에게 소프트웨어 개발 회사와 정기적으로 소통하고 발생할 수 있는 모든 가능한 변경 사항에 대해 적절하게 정보를 받고 있다고 말했습니다.
3. 방화벽 테스트 중에 불일치 사항이 발견되지 않았습니다. 감사원은 이러한 서비스가 제공하는 보안 수준을 확인하기 위해 방화벽 구성을 테스트했습니다. 그들은 패킷 분석기를 사용하여 방화벽 정책을 테스트하여 실시간으로 전송되거나 수신된 패킷을 확인할 수 있었습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 4에 따라 감사원은 아웃소싱 운영의 모니터링 프로세스에 대한 서류 증거를 요청했습니다. 이는 무엇을 의미합니까?
正解:C
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
시나리오 1: Fintive는 온라인 결제 및 보호 솔루션을 제공하는 뛰어난 보안 제공업체입니다. 1999년 캘리포니아주 산호세에서 Thomas Fin이 설립한 Fintive는 온라인에서 운영되고 정보 보안을 개선하고 사기를 방지하며 PII와 같은 사용자 정보를 보호하려는 회사에 서비스를 제공합니다. Fintive는 이전 사례를 기반으로 의사 결정 및 운영 프로세스를 중심으로 합니다. 그들은 고객 데이터를 수집하여 사례에 따라 분류하고 분석합니다. 이 회사는 이러한 복잡한 분석을 수행할 수 있도록 많은 직원이 필요했습니다. 그러나 몇 년 후 이러한 분석을 수행하는 데 도움이 되는 기술도 발전했습니다. 현재 Fintive는 실시간으로 사기를 방지하기 위한 패턴 분석을 수행하기 위해 최신 도구인 챗봇을 사용할 계획입니다. 이 도구는 또한 고객 서비스 개선을 지원하는 데 사용될 것입니다.
이 초기 아이디어는 소프트웨어 개발 팀에 전달되었고, 그들은 이를 지원했으며 이 프로젝트를 진행하도록 배정되었습니다. 그들은 기존 시스템에 챗봇을 통합하기 시작했습니다. 또한, 팀은 챗봇에 대한 목표를 설정했는데, 모든 채팅 문의의 85%에 답하는 것이었습니다.
챗봇을 성공적으로 통합한 후, 회사는 즉시 고객에게 공개하여 사용할 수 있도록 했습니다.
그러나 챗봇에는 몇 가지 문제가 있는 것으로 나타났습니다.
훈련 단계에서 챗봇에 제공된 샘플이 부족하고 테스트가 충분하지 않아 챗봇은 쿼리 패턴을 "학습"해야 했고, 챗봇은 사용자 쿼리를 처리하고 올바른 답변을 제공하지 못했습니다. 게다가 챗봇은 이상한 점 패턴과 특수 문자와 같은 잘못된 입력을 받으면 사용자에게 무작위 파일을 보냈습니다. 따라서 챗봇은 고객 쿼리에 제대로 답변할 수 없었고, 기존 고객 지원은 채팅 쿼리로 인해 압도되어 고객의 요청을 도울 수 없었습니다.
결과적으로 Fintive는 소프트웨어 개발 정책을 수립했습니다. 이 정책은 소프트웨어가 사내에서 개발되든 아웃소싱되든 운영 시스템에 구현되기 전에 블랙박스 테스트를 거치도록 명시했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
1. Fintive 챗봇의 훈련 단계에서 테스트가 부족하고 샘플이 제공되지 않은 것이 1점으로 간주됩니다.
시나리오를 참조하세요
이 초기 아이디어는 소프트웨어 개발 팀에 전달되었고, 그들은 이를 지원했으며 이 프로젝트를 진행하도록 배정되었습니다. 그들은 기존 시스템에 챗봇을 통합하기 시작했습니다. 또한, 팀은 챗봇에 대한 목표를 설정했는데, 모든 채팅 문의의 85%에 답하는 것이었습니다.
챗봇을 성공적으로 통합한 후, 회사는 즉시 고객에게 공개하여 사용할 수 있도록 했습니다.
그러나 챗봇에는 몇 가지 문제가 있는 것으로 나타났습니다.
훈련 단계에서 챗봇에 제공된 샘플이 부족하고 테스트가 충분하지 않아 챗봇은 쿼리 패턴을 "학습"해야 했고, 챗봇은 사용자 쿼리를 처리하고 올바른 답변을 제공하지 못했습니다. 게다가 챗봇은 이상한 점 패턴과 특수 문자와 같은 잘못된 입력을 받으면 사용자에게 무작위 파일을 보냈습니다. 따라서 챗봇은 고객 쿼리에 제대로 답변할 수 없었고, 기존 고객 지원은 채팅 쿼리로 인해 압도되어 고객의 요청을 도울 수 없었습니다.
결과적으로 Fintive는 소프트웨어 개발 정책을 수립했습니다. 이 정책은 소프트웨어가 사내에서 개발되든 아웃소싱되든 운영 시스템에 구현되기 전에 블랙박스 테스트를 거치도록 명시했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
1. Fintive 챗봇의 훈련 단계에서 테스트가 부족하고 샘플이 제공되지 않은 것이 1점으로 간주됩니다.
시나리오를 참조하세요
正解:A
解答を投票する
다음 옵션은 1차 감사에 관련된 주요 조치입니다. 조치를 취해야 하는 순서를 보여주기 위해 단계를 정렬합니다.
正解:
Explanation:
The correct order of the stages is:
* Prepare the audit checklist
* Gather objective evidence
* Review audit evidence
* Document findings
* Audit preparation: This stage involves defining the audit objectives, scope, criteria, and plan. The auditor also prepares the audit checklist, which is a list of questions or topics that will be covered during the audit. The audit checklist helps the auditor to ensure that all relevant aspects of the ISMS are addressed and that the audit evidence is collected in a systematic and consistent manner12.
* Audit execution: This stage involves conducting the audit activities, such as opening meeting, interviews, observations, document review, and closing meeting. The auditor gathers objective evidence, which is any information that supports the audit findings and conclusions. Objective evidence can be qualitative or quantitative, and can be obtained from various sources, such as records, statements, physical objects, or observations123.
* Audit reporting: This stage involves reviewing the audit evidence, evaluating the audit findings, and documenting the audit results. The auditor reviews the audit evidence to determine whether it is sufficient, reliable, and relevant to support the audit findings. The auditor evaluates the audit findings to determine the degree of conformity or nonconformity of the ISMS with the audit criteria. The auditor
* documents the audit results in an audit report, which is a formal record of the audit process and outcomes. The audit report typically includes the following elements123:
* An introduction clarifying the scope, objectives, timing and extent of the work performed
* An executive summary indicating the key findings, a brief analysis and a conclusion
* The intended report recipients and, where appropriate, guidelines on classification and circulation
* Detailed findings and analysis
* Recommendations for improvement, where applicable
* A statement of conformity or nonconformity with the audit criteria
* Any limitations or exclusions of the audit scope or evidence
* Any deviations from the audit plan or procedures
* Any unresolved issues or disagreements between the auditor and the auditee
* A list of references, abbreviations, and definitions used in the report
* A list of appendices, such as audit plan, audit checklist, audit evidence, audit team members, etc.
* Audit follow-up: This stage involves verifying the implementation and effectiveness of the corrective actions taken by the auditee to address the audit findings. The auditor monitors the progress and completion of the corrective actions, and evaluates their impact on the ISMS performance and conformity. The auditor may conduct a follow-up audit to verify the corrective actions on-site, or may rely on other methods, such as document review, remote interviews, or self-assessment by the auditee.
The auditor documents the follow-up results and updates the audit report accordingly123.
References:
* PECB Candidate Handbook ISO 27001 Lead Auditor, pages 19-25
* ISO 19011:2018 - Guidelines for auditing management systems
* The ISO 27001 audit process | ISMS.online
시나리오 6: Sinvestment는 주택, 상업 및 생명 보험을 제공하는 보험 회사입니다. 이 회사는 노스캐롤라이나에서 설립되었지만 최근 유럽과 아프리카를 포함한 다른 지역으로 확장되었습니다.
Sinvestment는 해당 산업에 적용되는 법률 및 규정을 준수하고 정보 보안 사고를 예방하기 위해 최선을 다하고 있습니다. 그들은 ISO/IEC 27001을 기반으로 ISMS를 구현했으며 ISO/IEC 27001 인증을 신청했습니다.
인증 기관은 감사를 수행하기 위해 두 명의 감사원을 지정했습니다. Sinvestment와 기밀 유지 계약을 체결한 후 감사 활동을 시작했습니다. 먼저 ISMS 범위 선언, 정보 보안 정책 및 내부 감사 보고서를 포함하여 표준에서 요구하는 문서를 검토했습니다. Sinvestment가 문서화 절차를 갖추고 있다고 말했지만 모든 문서가 동일한 형식을 가지고 있지 않았기 때문에 검토 프로세스가 쉽지 않았습니다.
그런 다음 감사팀은 Sinvestment의 최고 경영진과 여러 차례 인터뷰를 진행하여 ISMS 구현에서 그들의 역할을 파악했습니다. 1단계 감사의 모든 활동은 Sinvestment의 요청에 따라 현장에서 진행된 문서화된 정보 검토를 제외하고 원격으로 수행되었습니다.
이 단계에서 감사원은 정보 보안 교육 및 인식 프로그램과 관련된 문서가 없다는 것을 발견했습니다. 질문을 받았을 때 Sinvestment의 대표는 회사가 모든 직원에게 정보 보안 교육 세션을 제공했다고 말했습니다. 1단계 감사를 통해 감사팀은 Sinvestment의 운영과 ISMS에 대한 일반적인 이해를 얻었습니다.
2단계 감사는 1단계 감사 3주 후에 실시되었습니다. 감사팀은 마케팅 부서(감사 범위에 포함되지 않음)에 직원의 접근 권한을 제어하는 절차가 없다는 것을 관찰했습니다. 직원의 접근 권한을 제어하는 것은 ISO/IEC 27001 요구 사항 중 하나이며 회사의 정보 보안 정책에 포함되었기 때문에 이 문제는 감사 보고서에 포함되었습니다. 또한 2단계 감사 중에 감사팀은 Sinvestment가 사용자 활동 로그를 기록하지 않았다는 것을 관찰했습니다.
회사 절차에는 "사용자 활동을 기록한 로그를 보관하고 정기적으로 검토해야 합니다."라고 명시되어 있지만, 회사는 이러한 절차의 구현에 대한 증거를 제시하지 않았습니다.
모든 감사 활동 동안 감사자는 관찰, 인터뷰, 문서화된 정보 검토, 분석 및 기술적 검증을 사용하여 정보와 증거를 수집했습니다. 1단계와 2단계의 모든 감사 결과를 분석했고 감사팀은 인증에 대한 긍정적인 권장 사항을 발행하기로 결정했습니다.
시나리오 6에 따르면, 1단계 감사 중에 감사원은 ISMS에 관한 일부 문서가 다른 형식을 가지고 있다는 것을 발견했습니다. 이 경우 감사원은 어떻게 해야 합니까?
Sinvestment는 해당 산업에 적용되는 법률 및 규정을 준수하고 정보 보안 사고를 예방하기 위해 최선을 다하고 있습니다. 그들은 ISO/IEC 27001을 기반으로 ISMS를 구현했으며 ISO/IEC 27001 인증을 신청했습니다.
인증 기관은 감사를 수행하기 위해 두 명의 감사원을 지정했습니다. Sinvestment와 기밀 유지 계약을 체결한 후 감사 활동을 시작했습니다. 먼저 ISMS 범위 선언, 정보 보안 정책 및 내부 감사 보고서를 포함하여 표준에서 요구하는 문서를 검토했습니다. Sinvestment가 문서화 절차를 갖추고 있다고 말했지만 모든 문서가 동일한 형식을 가지고 있지 않았기 때문에 검토 프로세스가 쉽지 않았습니다.
그런 다음 감사팀은 Sinvestment의 최고 경영진과 여러 차례 인터뷰를 진행하여 ISMS 구현에서 그들의 역할을 파악했습니다. 1단계 감사의 모든 활동은 Sinvestment의 요청에 따라 현장에서 진행된 문서화된 정보 검토를 제외하고 원격으로 수행되었습니다.
이 단계에서 감사원은 정보 보안 교육 및 인식 프로그램과 관련된 문서가 없다는 것을 발견했습니다. 질문을 받았을 때 Sinvestment의 대표는 회사가 모든 직원에게 정보 보안 교육 세션을 제공했다고 말했습니다. 1단계 감사를 통해 감사팀은 Sinvestment의 운영과 ISMS에 대한 일반적인 이해를 얻었습니다.
2단계 감사는 1단계 감사 3주 후에 실시되었습니다. 감사팀은 마케팅 부서(감사 범위에 포함되지 않음)에 직원의 접근 권한을 제어하는 절차가 없다는 것을 관찰했습니다. 직원의 접근 권한을 제어하는 것은 ISO/IEC 27001 요구 사항 중 하나이며 회사의 정보 보안 정책에 포함되었기 때문에 이 문제는 감사 보고서에 포함되었습니다. 또한 2단계 감사 중에 감사팀은 Sinvestment가 사용자 활동 로그를 기록하지 않았다는 것을 관찰했습니다.
회사 절차에는 "사용자 활동을 기록한 로그를 보관하고 정기적으로 검토해야 합니다."라고 명시되어 있지만, 회사는 이러한 절차의 구현에 대한 증거를 제시하지 않았습니다.
모든 감사 활동 동안 감사자는 관찰, 인터뷰, 문서화된 정보 검토, 분석 및 기술적 검증을 사용하여 정보와 증거를 수집했습니다. 1단계와 2단계의 모든 감사 결과를 분석했고 감사팀은 인증에 대한 긍정적인 권장 사항을 발행하기로 결정했습니다.
시나리오 6에 따르면, 1단계 감사 중에 감사원은 ISMS에 관한 일부 문서가 다른 형식을 가지고 있다는 것을 발견했습니다. 이 경우 감사원은 어떻게 해야 합니까?
正解:A
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
귀하의 조직은 현재 ISO/IEC27001:2022 인증을 추구하고 있습니다. 방금 내부 ISMS 감사원 자격을 취득했고 ICT 관리자가 새로 습득한 지식을 사용하여 정보 보안 사고 관리 프로세스 설계를 돕고 싶어합니다.
그는 계획된 프로세스에서 다음 단계를 식별하고 각 단계를 어떤 순서로 나열해야 할지 확인해 달라고 요청합니다.
그는 계획된 프로세스에서 다음 단계를 식별하고 각 단계를 어떤 순서로 나열해야 할지 확인해 달라고 요청합니다.
正解:
Explanation:
Step 1 = Incident logging Step 2 = Incident categorisation Step 3 = Incident prioritisation Step 4 = Incident assignment Step 5 = Task creation and management Step 6 = SLA management and escalation Step 7 = Incident resolution Step 8 = Incident closure The order of the stages in the information security incident management process should follow a logical sequence that ensures a quick, effective, and orderly response to the incidents, events, and weaknesses. The order should also be consistent with the best practices and guidance provided by ISO/IEC 27001:2022 and ISO/IEC 27035:2022. Therefore, the following order is suggested:
* Step 1 = Incident logging: This step involves recording the details of the potential incident, event, or weakness, such as the date, time, source, description, impact, and reporter. This step is important to provide a traceable record of the incident and to facilitate the subsequent analysis and response. This step is related to control A.16.1.1 of ISO/IEC 27001:2022, which requires the organization to establish responsibilities and procedures for the management of information security incidents, events, and weaknesses. This step is also related to clause 6.2 of ISO/IEC 27035:2022, which provides guidance on how to log the incidents, events, and weaknesses.
* Step 2 = Incident categorisation: This step involves determining the type and nature of the incident, event, or weakness, such as whether it is a hardware issue, network issue, or software issue. This step is important to classify the incident and to assign it to the appropriate resolver or team. This step is related to control A.16.1.2 of ISO/IEC 27001:2022, which requires the organization to report information
* security events and weaknesses as quickly as possible through appropriate management channels. This step is also related to clause 6.3 of ISO/IEC 27035:2022, which provides guidance on how to categorize the incidents, events, and weaknesses.
* Step 3 = Incident prioritisation: This step involves assessing the severity and urgency of the incident, event, or weakness, and classifying it as critical, high, medium, or low. This step is important to prioritize the incident and to allocate the necessary resources and time for the response. This step is related to control A.16.1.3 of ISO/IEC 27001:2022, which requires the organization to assess and prioritize information security events and weaknesses in accordance with the defined criteria. This step is also related to clause 6.4 of ISO/IEC 27035:2022, which provides guidance on how to prioritize the incidents, events, and weaknesses.
* Step 4 = Incident assignment: This step involves passing the incident, event, or weakness to the individual or team who is best suited to resolve it, based on their skills, knowledge, and availability.
This step is important to ensure that the incident is handled by the right person or team and to avoid delays or confusion. This step is related to control A.16.1.4 of ISO/IEC 27001:2022, which requires the organization to respond to information security events and weaknesses in a timely manner, according to the agreed procedures. This step is also related to clause 6.5 of ISO/IEC 27035:2022, which provides guidance on how to assign the incidents, events, and weaknesses.
* Step 5 = Task creation and management: This step involves identifying and coordinating the work needed to resolve the incident, event, or weakness, such as performing root cause analysis, testing solutions, implementing changes, and documenting actions. This step is important to ensure that the incident is resolved effectively and efficiently, and that the actions are tracked and controlled. This step is related to control A.16.1.5 of ISO/IEC 27001:2022, which requires the organization to apply lessons learned from information security events and weaknesses to take corrective and preventive actions. This step is also related to clause 6.6 of ISO/IEC 27035:2022, which provides guidance on how to create and manage the tasks for the incidents, events, and weaknesses.
* Step 6 = SLA management and escalation: This step involves ensuring that any service level agreements (SLAs) are adhered to while the resolution is being implemented, and that the incident is escalated to a higher level of authority or support if a breach looks likely or occurs. This step is important to ensure that the incident is resolved within the agreed time frame and quality, and that any deviations or issues are communicated and addressed. This step is related to control A.16.1.6 of ISO/IEC 27001:2022, which requires the organization to communicate information security events and weaknesses to the relevant internal and external parties, as appropriate. This step is also related to clause 6.7 of ISO/IEC
27035:2022, which provides guidance on how to manage the SLAs and escalations for the incidents, events, and weaknesses.
* Step 7 = Incident resolution: This step involves applying a temporary workaround or a permanent solution to resolve the incident, event, or weakness, and restoring the normal operation of the information and information processing facilities. This step is important to ensure that the incident is resolved completely and satisfactorily, and that the information security is restored to the desired level.
This step is related to control A.16.1.7 of ISO/IEC 27001:2022, which requires the organization to identify the cause of information security events and weaknesses, and to take actions to prevent their recurrence or occurrence. This step is also related to clause 6.8 of ISO/IEC 27035:2022, which provides guidance on how to resolve the incidents, events, and weaknesses.
* Step 8 = Incident closure: This step involves closing the incident, event, or weakness, after verifying that it has been resolved satisfactorily, and that all the actions have been completed and documented.
This step is important to ensure that the incident is formally closed and that no further actions are
* required. This step is related to control A.16.1.8 of ISO/IEC 27001:2022, which requires the organization to collect evidence and document the information security events and weaknesses, and the actions taken. This step is also related to clause 6.9 of ISO/IEC 27035:2022, which provides guidance on how to close the incidents, events, and weaknesses.
References:
* ISO/IEC 27001:2022, Information technology - Security techniques - Information security management systems - Requirements1
* PECB Candidate Handbook ISO/IEC 27001 Lead Auditor2
* ISO 27001:2022 Lead Auditor - PECB3
* ISO 27001:2022 certified ISMS lead auditor - Jisc4
* ISO/IEC 27001:2022 Lead Auditor Transition Training Course5
* ISO 27001 - Information Security Lead Auditor Course - PwC Training Academy6
* ISO/IEC 27035:2022, Information technology - Security techniques - Information security incident management
귀하는 온라인 보험 회사의 제3자 감사를 수행하는 감사팀 리더입니다. 1단계에서 귀하는 조직이 매우 신중한 위험 접근 방식을 취하고 적용성 설명서에 ISO/IEC 27001:2022 부록 A의 모든 정보 보안 제어를 포함했다는 것을 발견했습니다.
2단계 감사 중에 감사팀은 3가지 통제(5.3 업무 분리, 6.1 스크리닝, 7.12 케이블 보안)의 구현을 위한 위험 처리 계획의 증거가 없다는 것을 발견했습니다. ISO 27001:2022의 조항 6.1.3.e에 대한 불일치를 제기합니다.
마감 회의에서 기술 책임자는 수정된 적용성 설명서에서 발췌한 내용(표시된 대로)을 발행하고 불일치 사항을 철회할 것을 요청합니다.
기술 책임자의 요청에 대한 감사팀 리더의 올바른 응답 중 세 가지를 선택하세요.
2단계 감사 중에 감사팀은 3가지 통제(5.3 업무 분리, 6.1 스크리닝, 7.12 케이블 보안)의 구현을 위한 위험 처리 계획의 증거가 없다는 것을 발견했습니다. ISO 27001:2022의 조항 6.1.3.e에 대한 불일치를 제기합니다.
마감 회의에서 기술 책임자는 수정된 적용성 설명서에서 발췌한 내용(표시된 대로)을 발행하고 불일치 사항을 철회할 것을 요청합니다.
기술 책임자의 요청에 대한 감사팀 리더의 올바른 응답 중 세 가지를 선택하세요.
正解:C、D、F
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)