무료 온라인 액세스 CyberAB.CMMC-CCP.v2025-09-18.q124 모의 시험 (Page 6)

CMMC-CCP 문제 21

OSC 책임자는 회사 정보를 제공하고, CMMC 레벨 2 인증을 추진 중임을 밝혔으며, FCI를 담당한다고 밝혔습니다. 또한 이해관계자를 파악하고 평가 계획을 제시했습니다. OSC는 모든 워크스테이션에 게시된 회사의 사이버 보안 관행, 방문자 기록, 그리고 FedRAMP 승인 애플리케이션 구성 스크린샷을 제공했습니다. OSC는 아직 국방부 정부 계약을 따낸 적은 없지만, 두 건의 제안서를 검토 중입니다. 이 정보를 바탕으로 CMMC 레벨 2 평가 요건을 가장 잘 설명하는 것은 무엇입니까?

A. OSC가 계약에 포함되지 않았기 때문에 준비가 안 됐습니다. 계약에서 요구하는 FCI 보호 범위를 모르기 때문입니다.

B. 모든 DoD 계약자는 CMMC 레벨 2를 달성해야 하므로 인증을 받기 위해 적극적으로 나서고 있습니다.

C. DoD 계약을 따내기 전까지는 이 회사의 인증을 받을 필요가 없으므로 준비 완료.

D. OSC가 CMMC 레벨을 모두 구현했다는 것을 증명하는 아티팩트가 아직 부족하기 때문에 준비가 되지 않았습니다.
2 평가 요구 사항.

CMMC-CCP 문제 22

평가팀이 팀원들의 역할과 책임에 대한 인터뷰를 진행하고 있습니다. 바이러스 백신 프로그램 유지 관리를 담당하는 팀원은 해당 프로그램이 배포되었다는 사실은 알고 있지만, 작동 방식에 대한 지식은 거의 없습니다. 이러한 상황이 실제 업무에 적합한가요?

A. 네, 바이러스 백신 프로그램이 있으므로 충분합니다.

B. 네, 바이러스 백신 프로그램은 독립적으로 실행되도록 자동화되어 있습니다.

C. 아니요, 팀원은 바이러스 백신 프로그램이 어떻게 배포되고 유지 관리되는지 알아야 합니다.

D. 아니요, 팀원의 배포 및 유지 관리에 대한 면접 답변은 부족합니다.

정답: C

CMMC 레벨 2 평가에서 실무가 적절하게 구현되려면, 담당 인력이 바이러스 백신 프로그램과 같은 보안 도구의 배포, 유지 관리 및 운영에 대한 지식을 입증해야 합니다. 단순히 도구를 구축하는 것만으로는 충분하지 않습니다. 위협으로부터 보호하기 위해 도구가 적절하게 구성, 업데이트 및 모니터링되고 있다는 증거가 있어야 합니다.
단계별 분석: #1. 관련 CMMC 및 NIST SP 800-171 요구 사항
* CMMC 레벨 2는 다음을 포함하는 NIST SP 800-171과 일치합니다.
* 요구 사항 3.14.5(시스템 및 정보 무결성 - SI-3):
* "시스템 결함을 적시에 식별, 보고 및 수정하기 위한 자동화된 메커니즘을 채택했습니다."
* 요구사항 3.14.6(SI-3(2)):
* "자동화된 도구를 사용하여 악성 소프트웨어 실행을 탐지하고 방지합니다."
* 이러한 요구 사항은 바이러스 백신 담당자가 규정 준수를 보장하기 위해 바이러스 백신의 배포 및 유지 관리 방식을 이해해야 함을 의미합니다.
#2. 팀원의 지식이 부족한 이유
* 바이러스 백신 도구가 제대로 작동하려면 정기적인 업데이트, 구성 조정 및 모니터링이 필요합니다.
* 책임 있는 팀원은 다음을 수행해야 합니다.
* 바이러스 백신이 시스템 전체에 배포된 방법.
* 업데이트, 로그, 알림이 모니터링되는지 확인할 수 있습니다.
* 악성 소프트웨어 탐지 및 실패에 대응하는 방법을 이해합니다.
* 팀원에게 이러한 지식이 부족하면 평가자는 해당 관행이 완전히 구현되지 않았다고 판단할 수 있습니다.
#3. 다른 답변이 틀린 이유:
* (A) 네, 백신 프로그램이 있으니 충분합니다.#
* 오답: 바이러스 백신 소프트웨어를 설치했다고 해서 규정 준수가 증명되는 것은 아닙니다. 관리 및 유지 보수가 필요합니다.
* (B) 네, 바이러스 백신 프로그램은 독립적으로 실행되도록 자동화되어 있습니다.#
* 틀린 예: 자동화가 도움이 되긴 하지만 보안 도구에는 감독, 업데이트 및 구성이 필요합니다.
* (D) 아니요, 팀원의 배포 및 유지관리에 대한 면접 답변은 부족합니다.#
* 부분적으로는 맞지만 불완전합니다. 가장 중요한 문제는 팀 구성원이 충분한 지식을 가지고 있어야 한다는 것이지, 그들의 답변이 약해야 한다는 것이 아닙니다.
CMMC 문서의 최종 검증: SI-3 및 SI-3(2)에 대한 CMMC 평가 가이드에서는 적절한 구현을 보장하기 위해 직원이 보안 도구의 기능, 배포 및 유지 관리를 이해해야 한다고 명시합니다.
따라서 정답은 다음과 같습니다.

CMMC-CCP 문제 23

CMMC 2.0의 일환으로 레벨 1 자체 평가가 변경되어 "평가 비용 절감"이 가능해졌으며, 레벨 1(기초)에 있는 모든 회사에서 다음을 수행할 수 있습니다.

A. 연간 평가에 최대 500.00달러를 지불합니다.

B. CMMC 평가에서 제외합니다.

C. DoD에서 평가 비용을 상환합니다.

D. 자체 평가를 실시합니다.

CMMC-CCP 문제 24

평가팀은 OSC의 요청에 따라 레벨 2 평가를 실시하고 있습니다. 평가팀은 제공된 증거를 바탕으로 진료과목에 대한 평가를 시작했습니다. 평가팀이 진료과목의 MET 등급을 결정하기 위해 최소한 무엇을 해야 합니까?

A. 세 가지 유형의 증거가 모든 통제에 대해 문서화되어 있습니다.

B. 세 가지 증거 유형 중 하나에서 증거를 조사하고 수락합니다.

C. 다음 중 하나를 완료하세요. 두 개의 유물을 조사하거나, 한 가지 제어에 대한 만족스러운 시연을 관찰하거나, OSC 직원으로부터 한 가지 확인을 받으세요.

D. 다음 중 두 가지를 완료하세요: 유물 하나를 조사하거나, 하나의 제어에 대한 만족스러운 시연을 관찰하거나, OSC 직원으로부터 확인을 한 번 받으세요.

정답: D

이 질문은 2단계 평가에서 CMMC평가팀이 의료행위를 MET로 평가하는 데 필요한 최소 증거 요건과 관련이 있습니다.
CMMC 레벨 2 평가는 NIST SP 800-171에 맞춰야 하며, 특히 증거 수집 및 채점 방법론에 관한 CMMC 평가 프로세스(CAP) 가이드 v1.0에 설명된 절차를 따라야 합니다.
#1단계: CMMC 평가 프로세스(CAP) 가이드 v1.0 참조CAP v1.0 - 섹션 3.5.4: 증거 평가 및 관행 점수 "MET 판정을 내리려면 평가팀은 최소 두 가지 유형의 객관적 증거를 수집하고 입증해야 합니다. 즉, 아티팩트 검사, 인터뷰(확인), 또는 테스트(시범)를 통해 증거를 확보해야 합니다." 이는 다음 증거 중 최소 두 가지 유형이 필요하다는 것을 의미합니다.
* (문서/유물)을 조사합니다.
* 면접(인사담당자 확인)
* 테스트(구현 시연).
#2단계: MET 평가를 받기 위한 공식 최소 표준 명확히하기 CAP은 다음과 같이 명시합니다.
"진료소는 EIT(시험, 면접, 시험) 3요소 중 최소 두 가지 유형의 증거를 성공적으로 수집하고 평가한 경우에만 MET 평가를 받을 수 있습니다."
* 증거 유형은 다음과 같이 두 가지 다른 범주에서 나와야 합니다.
* 유물(검사) + 인터뷰 확인(인터뷰),
* 시범(테스트) + 면접(인터뷰)
* 등.
이러한 교차 검증은 통제가 구현되고, 문서화되고, 직원이 이해하도록 보장합니다. 이는 효과적인 사이버 보안 구현을 평가하는 핵심 원칙입니다.
#다른 옵션이 틀린 이유 A. 모든 대조군에 대해 세 가지 유형의 증거가 모두 문서화되어 있습니다. #틀림: 세 가지 유형(EIT)을 모두 수집하면 평가가 강화되지만, 최소 요건은 두 가지뿐입니다. 진료소가 MET 평가를 받기 위해 세 가지 증거를 모두 수집할 필요는 없습니다.
B: 세 가지 증거 유형 중 하나의 증거를 검토하고 수용하세요. #오답: 이는 CAP에서 정한 최소 두 가지 증거 유형 요건을 충족하지 못합니다. 단일 출처 증거만으로는 해당 진료소를 MET로 평가하기에 충분하지 않습니다.
C: 다음 중 하나를 완료하세요. 유물 두 개를 조사하거나, 시범 하나를 관찰하거나, 확언 하나를 받으세요. #틀림: 유물 두 개를 조사하더라도, 이는 한 가지 유형의 증거(조사)일 뿐입니다. CAP는 두 가지 유형을 요구하며, 동일한 유형의 증거 두 개를 요구하지 않습니다.
#D가 옳은 이유D. 다음 중 두 가지를 완료하세요: 인공물 하나를 조사하거나, 제어 장치 하나를 만족스럽게 시연하는 것을 관찰하거나, OSC 직원으로부터 확인을 하나 받으세요.
# 이는 CAP가 의료행위가 MET에 부합하는지 확인하기 위해 두 가지 유형의 객관적 증거를 수집해야 한다는 요구 사항을 직접적으로 반영합니다.
BLUF(최종 결과):CMMC 레벨 2 실무를 MET로 평가하려면 평가팀이 시험, 면접, 시험(EIT) 범주에서 최소 두 가지 유형의 증거를 수집해야 합니다.
이 요구 사항은 CMMC 평가 프로세스(CAP) v1.0에 명확하게 명시되어 있습니다.

CMMC-CCP 문제 25

평가팀은 OSC의 요청에 따라 레벨 2 평가를 실시하고 있습니다. 평가팀은 제공된 증거를 바탕으로 진료과목에 대한 평가를 시작했습니다. 평가팀이 진료과목의 MET 등급을 결정하기 위해 최소한 무엇을 해야 합니까?

A. 세 가지 증거 유형 중 하나에서 증거를 조사하고 수락합니다.

B. 다음 중 하나를 완료하세요. 두 개의 유물을 조사하거나, 한 가지 제어에 대한 만족스러운 시연을 관찰하거나, OSC 직원으로부터 한 가지 확인을 받으세요.

C. 다음 중 두 가지를 완료하세요: 유물 하나를 조사하거나, 하나의 제어에 대한 만족스러운 시연을 관찰하거나, OSC 직원으로부터 확인을 한 번 받으세요.

D. 세 가지 유형의 증거가 모든 통제에 대해 문서화되어 있습니다.