조항 6.1.2(d)에서는 위험 분석 중에 조직이 다음을 수행해야 한다고 명시하고 있습니다. * "식별된 위험이 실현될 경우 발생할 수 있는 잠재적 결과를 평가합니다." * "식별된 위험이 발생할 현실적인 가능성을 평가합니다." * "위험 수준을 결정합니다." 이는 위험 분석의 필수 출력이 결정된 위험 수준임을 명확히 보여줍니다. 위험 수용 기준(A)은 6.1.2(a)에서 이미 설정되었고, 처리 관리 옵션(C)은 6.1.3에 속하며, 우선순위(D)는 위험 평가(6.1.2 e)의 일부입니다. 따라서 검증된 정확한 출력은 B: 결정된 위험 수준입니다.
ISO-IEC-27001-Foundation 문제 17
조직과 그 맥락을 이해할 때 결정해야 할 요소는 무엇인가?
정답: A
조항 4.1은 맥락을 설정할 때 정확히 무엇을 결정해야 하는지 명시합니다. "조직은 조직의 목적과 관련이 있고 정보 보안 관리 시스템의 의도된 결과 달성 능력에 영향을 미치는 외부 및 내부 문제를 파악해야 합니다." 이 요건은 ISMS의 효과성에 영향을 미치는 내부 및 외부 문제(예: 문화, 역량, 규제 환경)를 이해하는 것과 관련이 있습니다. 목표(옵션 B)는 조항 6.2에서, 프로세스(옵션 C)는 조항 4.4 및 운영 계획에서 다룹니다. "어떤 조항을 적용할 것인가"(옵션 D)는 결정 단계가 아닙니다. 조항 4~10의 ISO/IEC 27001 요건은 선택 사항이 아닙니다. 따라서 조항 4.1에 따른 직접적이고 필수적인 요소는 조직의 목적 및 ISMS 결과와 관련된 내부(및 외부) 문제를 파악하는 것입니다.
