무료 온라인 액세스 CyberAB.CMMC-CCP.v2025-09-18.q124 모의 시험 (Page 19)

CMMC-CCP 문제 86

OSC가 C3PAO에 레벨 2 평가를 실시해 달라고 요청했습니다. C3PAO는 이에 동의했고, 두 기관은 평가 계획을 수립하기 위해 협력했습니다. 평가 계획에 동의하고 서명하는 사람은 누구입니까?

A. OSC 및 후원사

B. C3PAO 및 평가 담당자

C. OSC 및 CMMC-AB

D. 수석 평가자 및 C3PAO

CMMC-CCP 문제 87

조직 시스템의 범위를 정할 때 사이버 보안 CUI 관행의 적용 범위는 다음 구성 요소에 적용됩니다.

A. CUI를 처리, 저장 또는 전송하는 비연방 시스템입니다. 또는 시스템 구성 요소에 대한 보호를 제공합니다.

B. CUI를 처리, 저장 또는 전송하는 연방 시스템입니다. 또는 시스템 구성 요소에 대한 보호를 제공합니다.

C. CUI를 처리, 저장 또는 전송하는 연방 시스템입니다.

D. CUI를 처리, 저장 또는 전송하는 비연방 시스템입니다.

CMMC-CCP 문제 88

평가팀이 팀원들의 역할과 책임에 대한 인터뷰를 진행하고 있습니다. 바이러스 백신 프로그램 유지 관리를 담당하는 팀원은 해당 프로그램이 배포되었다는 사실은 알고 있지만, 작동 방식에 대한 지식은 거의 없습니다. 이러한 상황이 실제 업무에 적합한가요?

A. 네, 바이러스 백신 프로그램은 독립적으로 실행되도록 자동화되어 있습니다.

B. 아니요, 팀원의 배포 및 유지 관리에 대한 면접 답변은 부족합니다.

C. 네, 바이러스 백신 프로그램이 있으므로 충분합니다.

D. 아니요, 팀원은 바이러스 백신 프로그램이 어떻게 배포되고 유지 관리되는지 알아야 합니다.

CMMC-CCP 문제 89

평가 중에 어떤 단계에서 이해 상충이 발견되나요?

A. 요구 사항을 분석합니다.

B. 평가 계획을 개발합니다.

C. 평가를 수행할 준비가 되었는지 확인하세요.

D. 최종 권장 평가 결과를 생성합니다.

정답: C

CMMC 평가 과정에서는 조직의 CMMC 2.0 요건 준수 여부에 대한 공정하고 객관적인 평가를 보장하기 위해 이해 상충을 조기에 파악해야 합니다. 이해 상충을 파악하기에 가장 적합한 단계는 "평가 수행 준비도 검증" 단계입니다.
* 평가 계획 및 이해 상충 고려
* 평가가 시작되기 전에, DOD가 주도하는 평가를 위한 C3PAO(인증 제3자 평가 기관) 또는 DIBCAC(국방 산업 기반 사이버 보안 평가 센터)는 평가자와 평가를 받는 기관 간에 이해 상충이 없는지 확인해야 합니다.
* 평가자가 이전에 검토 대상 조직에서 일했거나, 해당 조직과 협의했거나, 해당 조직에 직접적인 지원을 제공한 경우 이해 상충이 발생할 수 있습니다.
* CMMC 평가 프로세스 및 단계 CMMC 평가 프로세스는 여러 단계로 구성되며, 평가가 공정하도록 보장하기 위해 준비성 검증은 초기 단계에서 중요합니다.
* 요구 사항 분석: 이 단계에서는 평가 범위를 정의하는 데 중점을 두지만 이해 상충 검증은 포함하지 않습니다.
* 평가 계획 개발: 이 단계에서는 갈등을 식별하는 것이 아니라 평가 방법론을 구성하는 데 중점을 둡니다.
* 평가 실시 준비 상태 확인(정답):
* 이 단계에서 C3PAO 또는 평가팀은 잠재적인 이해 상충을 검토해야 합니다.
* 국방산업기지 사이버보안 평가센터(DIBCAC)는 또한 평가자가 평가의 객관성을 저해할 수 있는 사전 관계가 없는지 확인합니다.
* 최종 권장 평가 결과 생성: 이 단계는 평가가 완료된 후, 프로세스의 마지막에 이루어지므로 이 단계에서는 이해 상충을 식별하기에는 너무 늦습니다.
* 공식 CMMC 문서 및 참조
* CMMC 평가 프로세스(CAP) 가이드 - CAP는 이해 상충 검증을 포함하여 평가자가 따라야 하는 절차를 자세히 설명합니다.
* CMMC 2.0 범위 및 평가 가이드 - Cyber AB와 DoD에서 발행한 이 가이드는 평가에 있어서 공정성과 독립성이 필요함을 강조합니다.
* DoD 지침 5200.48(통제된 비밀 정보 프로그램) - 객관적인 사이버 보안 평가를 보장하기 위한 요구 사항을 설명합니다.
단계별 설명: "평가 수행 준비성 검증" 단계에서 이해 상충을 식별함으로써 CMMC 인증 프로세스의 무결성이 유지되고, 평가가 공정하고 독립적으로, DoD 사이버 보안 정책에 따라 수행되도록 보장합니다.

CMMC-CCP 문제 90

선임 평가자는 OSC의 네트워크 보안 전문가를 면담합니다. 해당 월의 사고 모니터링 보고서에 따르면 OSC의 외부 SOC 서비스 제공업체로부터 보안 사고가 보고되지 않았습니다. 이는 RA.L2-3.11.2: 조직 시스템 및 애플리케이션의 취약점을 주기적으로, 그리고 해당 시스템 및 애플리케이션에 영향을 미치는 새로운 취약점이 발견될 때마다 점검해야 한다는 근거로 제시됩니다. 이 정보를 바탕으로 선임 평가자는 다음과 같은 근거를 제시해야 합니다.

A. 실무와 관련이 없으므로 부적절합니다.

B. 예상되는 아티팩트에 잘 맞으므로 적합합니다.

C. 보안 사고가 보고되지 않았기 때문에 적절함.

D. OSC 서비스 제공자를 인터뷰해야 하므로 부적절합니다.

정답: A

RA.L2-3.11.2 이해: 취약점 스캐닝 RA.L2-3.11.2 실무에서는 조직에 다음이 필요합니다.
# 정기적으로 시스템과 애플리케이션의 취약점을 검사합니다.
# 새로운 취약점이 발견되면 검사를 수행합니다.
#취약성 스캐닝 도구나 서비스를 사용하여 보안 취약점을 사전에 감지합니다.
* 사고 모니터링 보고서는 취약점 스캐닝 활동이 아닌 보안 사고를 추적합니다.
* 취약점 스캐닝 보고서에는 다음이 포함되어야 합니다. #탐지된 취약점 목록. #취약성 해결 조치. #스캔 빈도 및 일정.
* 보고된 보안 사고가 없다고 해서 취약점 스캔이 수행되었다는 것은 아닙니다.
사고 모니터링 보고서가 무의미한 이유는 무엇인가?
* A. 실무와 무관하므로 부적절 # 정답
* 보고된 보안 사고가 없다고 해서 취약점 스캐닝이 수행되었다는 것은 아닙니다.
* B. 예상 아티팩트에 잘 맞기 때문에 적절함 # 틀림
* 사고 모니터링 보고서는 이 제어에 대한 예상 아티팩트가 아닙니다. 대신 취약성 검사 보고서가 필요합니다.
* C. 보안 사고가 보고되지 않았기 때문에 적절함 # 틀림
* 사고가 발생하지 않았다고 해서 OSC가 취약점 스캐닝을 수행하고 있다는 의미는 아닙니다. 이는 유효한 증거가 아닙니다.
* D. OSC 서비스 제공자를 인터뷰해야 하기 때문에 부적절합니다. # 잘못된 답변
* 제공업체 인터뷰가 유용할 수는 있지만, 가장 큰 문제는 제공된 증거가 무의미하다는 것입니다. 정확한 증거(취약점 검사 보고서)가 누락되었습니다.
왜 정답은 "A. 실무와 관련이 없으므로 부적절합니다."인가요?
* NIST SP 800-171(요구 사항 3.11.2 - 취약점 스캐닝)
* 취약점을 주기적으로 검사하고 새로운 위협이 발생할 때마다 검사해야 하는 요구 사항을 정의합니다.
* CMMC 레벨 2 평가 가이드
* RA.L2-3.11.2에 대한 증거에는 사고 모니터링 보고서가 아닌 취약점 검사 보고서가 포함되어야 함을 명시합니다.
* CMMC 2.0 모델 개요
* 조직이 사고 감지에만 의존하지 않고 스캐닝을 통해 취약점을 사전에 식별해야 함을 확인합니다.
이 답변을 뒷받침하는 CMMC 2.0 참조:

최근 업로드: 147Microsoft.MS-102-KR.v2025-12-20.q240; 122Juniper.JN0-232.v2025-12-20.q24; 130SAP.C-SIGPM-2403.v2025-12-19.q27; 136SAP.C-BCBAI-2509.v2025-12-18.q33; 129SAP.C_BRU2C_2020.v2025-12-17.q28; 176PECB.ISO-IEC-27001-Lead-Auditor-CN.v2025-12-17.q108; 211SAP.C_ABAPD_2507.v2025-12-16.q84; 189TheOpenGroup.OGBA-101.v2025-12-15.q104; 123Nutanix.NCP-US-6.10.v2025-12-15.q39; 254Microsoft.MB-800.v2025-12-15.q185