무료 온라인 액세스 ISACA.CISM.v2024-10-23.q376 모의 시험 (Page 71)

CISM 문제 346

다음 중 어떤 것이 서비스 제공자가 조직의 정보 보안 요구 사항을 준수한다는 것을 정보 보안 관리자에게 충분히 확신시켜 줄 수 있을까요?

A. 제3자 공급업체의 보안 역량에 대한 생생한 데모

B. 제3자 공급업체의 IT 시스템 및 프로세스를 파악할 수 있는 기능

C. 제3자 보안 제어 자체 평가(CSA) 결과

D. 업계 표준 준수를 나타내는 독립적인 검토 보고서

정답: B

설명
서비스 제공자는 조직에 IT 서비스나 제품을 제공하는 제3자 공급업체입니다. 서비스 제공자는 조직의 데이터와 시스템의 기밀성, 무결성, 가용성을 보장하기 위해 정책, 표준, 절차, 통제와 같은 조직의 정보 보안 요구 사항을 준수해야 합니다. 정보 보안 관리자에게 서비스 제공자가 조직의 정보 보안 요구 사항을 준수한다는 충분한 확신을 제공하는 가장 좋은 방법은 제3자 공급업체의 IT 시스템과 프로세스를 감사할 수 있는 능력을 갖는 것입니다. 감사는 미리 정해진 기준에 대한 적합성 정도를 결정하기 위한 체계적이고 독립적인 증거 조사입니다. 감사는 서비스 제공자의 보안 통제의 효과성과 효율성을 확인하고, 격차나 약점을 식별하고, 개선을 위한 권장 사항을 제공할 수 있습니다. 감사는 또한 서비스 제공자가 조직과의 계약 의무와 서비스 수준 계약(SLA)을 준수하는지 확인할 수 있습니다. 따라서 옵션 B가 가장 적절한 답입니다.
옵션 A는 가장 좋은 답이 아닙니다. 타사 공급업체의 보안 기능에 대한 라이브 데모가 포괄적이거나 객관적이거나 신뢰할 수 없을 수 있기 때문입니다. 라이브 데모는 서비스 제공자의 보안의 긍정적인 측면만 보여줄 수 있지만 숨겨진 또는 잠재적인 문제는 드러내지 못할 수 있습니다. 라이브 데모는 서비스 제공자의 조작이나 속임수에 노출될 수도 있습니다.
옵션 C는 제3자 보안 제어 자체 평가(CSA) 결과가 정확하지 않거나, 완전하지 않거나, 일관되지 않을 수 있기 때문에 가장 좋은 답이 아닙니다. 자체 평가는 서비스 제공자가 일련의 기준이나 표준에 대해 자체 보안 제어를 평가하는 프로세스입니다. 자체 평가는 서비스 제공자가 모든 관련 정보나 문제를 공개하거나 보고하지 않을 수 있으므로 편향적이거나 주관적이거나 불완전할 수 있습니다. 자체 평가는 서비스 제공자의 전문성, 리소스 및 방법론에 따라 품질과 범위가 다를 수도 있습니다.
옵션 D는 업계 표준 준수를 나타내는 독립적인 검토 보고서가 조직의 정보 보안 요구 사항에 충분하거나 구체적이지 않을 수 있으므로 가장 좋은 답이 아닙니다. 독립적인 검토는 외부 당사자가 ISO/IEC 27001, NIST CSF, PCI DSS 등과 같은 일련의 업계 표준 또는 모범 사례에 대해 서비스 제공자의 보안 제어를 평가하는 프로세스입니다. 독립적인 검토 보고서는 서비스 제공자의 보안 태세에 대한 일반적인 개요를 제공할 수 있지만 조직의 고유하거나 구체적인 보안 요구 사항, 위험 또는 기대 사항을 다루지 못할 수 있습니다. 독립적인 검토 보고서는 업계 표준 또는 모범 사례가 현재 또는 새로운 보안 위협이나 추세를 반영하지 않을 수 있으므로 오래되었거나 제한적이거나 일반적일 수도 있습니다. 참고문헌 = CISM 검토 매뉴얼 15판1, 페이지
257-258; CISM 리뷰 질문, 답변 및 설명 데이터베이스 - 12개월 구독, QID 301.
산업 표준 준수를 나타내는 독립적인 검토 보고서 BEST는 정보 보안 관리자에게 서비스 제공자가 조직의 정보 보안 요구 사항을 준수한다는 충분한 확신을 제공합니다. 이는 독립적인 검토 보고서가 서비스 제공자가 산업 표준 및 모범 사례를 충족하는 효과적인 보안 제어를 구현하고 유지했다는 객관적이고 신뢰할 수 있는 증거 소스이기 때문입니다. 독립적인 검토 보고서는 또한 서비스 제공자가 이전 감사 또는 평가에서 발견된 모든 격차 또는 약점을 해결했다는 확신을 제공할 수 있습니다.

CISM 문제 347

랜섬웨어 공격에 대응할 때 가장 먼저 고려해야 할 사항은 다음과 같습니다.

A. 백업이 가능합니다.

B. 최신 패치가 적용되었습니다.

C. 랜섬웨어 공격이 억제되었습니다.

D. 사업이 운영될 수 있습니다

CISM 문제 348

다음 중 버퍼 오버플로를 가장 잘 설명한 것은 무엇입니까?

A. 정상적인 작동을 방해하도록 설계된 악성 코드입니다.

B. 데이터를 수집하는 비밀 채널 유형입니다.

C. 함수가 처리할 수 있는 것보다 많은 데이터로 실행됩니다.

D. 프로그램에 보안 위험을 초래하는 숨겨진 의도치 않은 기능이 포함되어 있습니다.

CISM 문제 349

새로운 기술이 조직에 도입되면 다음 중 가장 큰 영향을 받을 가능성이 있는 것은 무엇입니까?

A. 보안 정책

B. 제어 효과

C. 위험성 평가 접근 방식

D. 위험 프로필

CISM 문제 350

다음 중 공개 키 암호화를 사용하여 메시지의 인증, 기밀성 및 부인 방지를 보장하는 것은 무엇입니까?

A. 수신자의 개인키로 먼저 암호화하고, 송신자의 공개키로 두 번째로 암호화

B. 먼저 보낸 사람의 개인 키로 암호화하고 두 번째로 받는 사람의 공개 키로 암호화합니다.

C. 먼저 보낸 사람의 개인 키로 암호화하고 두 번째로 보낸 사람의 공개 키로 복호화합니다.

D. 먼저 보낸 사람의 공개 키로 암호화하고 두 번째로 받는 사람의 개인 키로 암호화합니다.

다른 버전: 505ISACA.CISM.v2025-10-28.q838; 736ISACA.CISM.v2024-08-17.q456; 695ISACA.CISM.v2024-06-21.q336; 1229ISACA.CISM.v2023-05-09.q175; 2367ISACA.CISM.v2023-02-18.q334; 1739ISACA.CISM.v2022-10-08.q177; 9734ISACA.CISM.v2022-02-09.q999

최근 업로드: 123SAP.C-BCSBS-2502.v2025-10-29.q23; 115ISTQB.CT-PT.v2025-10-29.q15; 160CrowdStrike.CCFA-200.v2025-10-29.q90; 121TheSecOpsGroup.CNSP.v2025-10-29.q22; 163SAP.C-THINK1-02.v2025-10-28.q75; 157CIPS.L4M6.v2025-10-28.q96; 505ISACA.CISM.v2025-10-28.q838; 166Juniper.JN0-363.v2025-10-28.q85; 141ATD.CPTD.v2025-10-27.q30; 193Oracle.1Z1-922.v2025-10-27.q130