무료 온라인 액세스 ISACA.CISA.v2025-12-01.q778 모의 시험 (Page 6)

CISA 문제 21

다음 중 조직의 최종 사용자 컴퓨팅(EUC)과 관련된 위험을 평가하는 IS 감사자에게 가장 큰 관심사가 되어야 하는 것은 무엇입니까?

A. 각 EUC 애플리케이션의 소유권을 추적하는 프로세스가 부족합니까?

B. 버전 제어를 위한 프로세스가 부족합니다.

C. EUC 사용자를 위한 인식 교육 부족

D. EUC 애플리케이션에 대한 정의된 기준이 부족함

정답: D

설명
조직의 최종 사용자 컴퓨팅(EUC) 관련 위험을 평가하는 IS 감사자가 가장 우려해야 할 점은 EUC 애플리케이션에 대한 명확한 기준이 없다는 것입니다. EUC 애플리케이션은 IT 전문가가 아닌 최종 사용자가 비즈니스 기능과 프로세스를 지원하기 위해 개발하고 유지 관리하는 애플리케이션입니다. EUC 애플리케이션의 예로는 스프레드시트, 데이터베이스, 보고서, 스크립트 등이 있습니다. EUC 애플리케이션에 대한 명확한 기준이 없다는 것은 조직이 EUC 애플리케이션을 식별, 분류 및 관리하기 위한 명확하고 일관된 표준이나 지침을 갖추고 있지 않다는 것을 의미합니다. 이는 다음과 같은 다양한 위험으로 이어질 수 있습니다.
검증, 확인 또는 테스트되지 않은 EUC 애플리케이션의 부정확하거나 신뢰할 수 없는 데이터 및 결과 보안, 제어 또는 모니터링되지 않은 EUC 애플리케이션에 대한 무단 또는 부적절한 액세스 또는 사용 통합, 문서화 또는 업데이트되지 않은 EUC 애플리케이션의 불일치하거나 호환되지 않는 데이터 및 결과 백업, 복구 또는 보관되지 않은 EUC 애플리케이션의 데이터 및 결과 손실 또는 손상 따라서 IS 감사자는 EUC 애플리케이션에 대한 정의된 기준이 부족한 점에 대해 가장 우려해야 합니다. 이는 EUC 애플리케이션과 해당 애플리케이션에서 생성하는 데이터의 품질, 무결성 및 가용성에 영향을 미칠 수 있기 때문입니다.
각 EUC 애플리케이션의 소유권을 추적하는 프로세스가 부족하다는 것은 조직 내 EUC 관련 위험을 평가하는 IS 감사인에게 우려 사항이지만, 가장 큰 우려 사항은 아닙니다. EUC 애플리케이션의 소유권은 해당 EUC 애플리케이션을 생성, 유지 관리 및 사용하는 책임이 있는 개인 또는 그룹을 의미합니다. 각 EUC 애플리케이션의 소유권을 추적하는 프로세스가 부족하다는 것은 조직이 각 EUC 애플리케이션의 소유자를 파악하고 이를 전달할 수 있는 적절한 메커니즘이나 기록을 갖추고 있지 않다는 것을 의미합니다. 이는 다음과 같은 위험으로 이어질 수 있습니다.
EUC 애플리케이션과 해당 데이터의 품질과 정확성에 대한 책임감이나 소유권 부족 소유자가 떠나거나 역할을 변경할 때 EUC 애플리케이션에 대한 지원이나 유지 관리 부족 EUC 애플리케이션의 목적과 기능에 대한 사용자 인식이나 교육 부족 그러나 이러한 위험은 EUC 애플리케이션에 대한 정의된 기준이 부족하여 발생하는 위험보다 심각하지 않습니다.
버전 제어 테스트 프로세스가 부족하다는 것은 조직 내 EUC 관련 위험을 평가하는 IS 감사자가 우려해야 할 사항이지만, 가장 큰 우려 사항은 아닙니다. 버전 제어는 시간 경과에 따라 EUC 애플리케이션의 변경 사항을 추적하고 관리하는 프로세스입니다. 버전 제어 테스트 프로세스가 부족하다는 것은 조직이 EUC 애플리케이션의 변경 사항을 승인, 문서화 및 테스트할 수 있는 적절한 절차나 도구를 갖추고 있지 않다는 것을 의미합니다. 이는 다음과 같은 위험으로 이어질 수 있습니다.
EUC 애플리케이션의 여러 버전에서 발생하는 데이터 및 결과의 오류 또는 불일치 EUC 애플리케이션 사용자 간에 어떤 버전이 최신 버전인지 또는 올바른지에 대한 갈등 또는 혼란 이전 버전의 EUC 애플리케이션에서 발생하는 데이터 및 결과의 손실 또는 덮어쓰기 그러나 이러한 위험은 EUC 애플리케이션에 대한 정의된 기준이 부족하여 발생하는 위험보다 심각하지 않습니다.
EUC 사용자에 대한 인식 교육 부족은 조직 내 EUC 관련 위험을 평가하는 IS 감사인에게 우려 사항이지만, 가장 큰 우려 사항은 아닙니다. EUC 사용자 인식 교육은 EUC 애플리케이션 사용자에게 각자의 역할, 책임 및 위험에 대해 교육하고 알리는 프로세스입니다. EUC 사용자에 대한 인식 교육 부족은 조직이 EUC 애플리케이션을 효과적이고 안전하게 사용하고 관리하는 방법에 대한 사용자의 지식과 기술을 향상시킬 수 있는 적절한 프로그램이나 자료를 갖추고 있지 않음을 의미합니다. 이는 다음과 같은 위험으로 이어질 수 있습니다.
사용자가 EUC 애플리케이션의 영향이나 의미를 알지 못하는 상태에서 EUC 애플리케이션을 오용하거나 남용하는 경우 사용자가 자신의 요구 사항이나 기대 사항을 알지 못하는 상태에서 정책이나 규정을 준수하지 않거나 위반하는 경우 사용자가 자신의 이점이나 한계를 알지 못하는 상태에서 불만이나 좌절을 느끼는 경우 그러나 이러한 위험은 EUC 애플리케이션에 대한 정의된 기준이 부족하여 발생하는 위험보다 심각하지 않습니다.
참고문헌:
최종 사용자 컴퓨팅 - 위키피디아 1
최종 사용자 컴퓨팅과 관련된 위험을 관리하는 방법 2
최종 사용자 컴퓨팅 위험 관리 - KPMG UK 3

CISA 문제 22

부적절하게 구현된 침입 방지 시스템(IPS)으로 인해 발생할 수 있는 가장 큰 위험은 다음과 같습니다.

A. 시스템 관리자가 확인하기에는 알림이 너무 많습니다.

B. IPS 트래픽으로 인해 네트워크 성능이 저하되었습니다.

C. 잘못된 트리거로 인해 중요한 시스템이나 서비스가 차단되는 현상입니다.

D. IT 조직 내의 전문 지식에 대한 의존성.

CISA 문제 23

기업 IT 거버넌스를 구현할 때 IS 감사를 포함시키는 가장 중요한 이점은 무엇입니까?

A. 잔여 위험에 대한 위험 대응 및 모니터링에 관한 의사 결정

B. IT 프로세스 개선을 촉진하기 위한 독립적이고 객관적인 피드백 제공

C. 법적, 규제적 및 계약적 요구 사항이 충족되는지 확인

D. 엔터프라이즈 IT 거버넌스 프레임워크에 대한 관련 역할 식별

CISA 문제 24

한 기관에서 사용자의 보안 인식 수준을 테스트하기 위해 이메일 본문에 포함된 링크를 클릭하는 사람에게 현금 보상을 제공하는 이메일을 발송했습니다. 다음 중 보안 인식 교육의 효과를 가장 잘 나타내는 지표는 무엇입니까?

A. 피싱 메일이라는 이유로 신고하지 않고 삭제하는 사용자 수

B. 이메일 발신자에 대한 자세한 정보를 알아보기 위해 링크를 클릭한 사용자 수

C. 사업부 관리자에게 이메일을 전달하는 사용자 수

D. 정보보안팀에 이메일 수신을 보고한 사용자 수

CISA 문제 25

다음 중 침입 탐지 시스템(IDS)의 특징은 무엇입니까?

A. 공격 시도에 대한 증거 수집

B. 정책 정의의 취약점 식별

C. 인터넷의 특정 사이트에 대한 접근 차단

D. 특정 사용자가 특정 서버에 접근하는 것을 방지합니다.

다른 버전: 1635ISACA.CISA.v2024-11-19.q277; 869ISACA.CISA.v2024-05-13.q120; 363ISACA.CISA.v2024-03-21.q29; 3194ISACA.CISA.v2023-11-04.q239; 2829ISACA.CISA.v2023-01-25.q278; 3401ISACA.CISA.v2022-07-09.q230; 3096ISACA.CISA.v2022-04-02.q209

최근 업로드: 104Snowflake.ADA-C02.v2026-06-08.q23; 102Microsoft.SC-300-KR.v2026-06-08.q173; 102Microsoft.DP-300-KR.v2026-06-08.q157; 103Microsoft.MS-102-KR.v2026-06-08.q240; 102Microsoft.DP-300-KR.v2026-06-08.q176; 102Microsoft.SC-100-KR.v2026-06-08.q115; 119TheBerylInstitute.CPXP.v2026-06-06.q56; 159ACAMS.CAMS7-KR.v2026-06-05.q213; 180PaloAltoNetworks.XSIAM-Analyst.v2026-06-04.q72; 152NLN.NEX.v2026-06-04.q54