무료 온라인 액세스 ISACA.CISM.v2025-10-28.q838 모의 시험 (Page 68)

CISM 문제 331

한 조직에서 사내 호스팅 및 IT 애플리케이션 지원을 대체하기 위해 SaaS(Software as a Service)를 사용하는 사례가 점점 늘어나고 있습니다. 조달 결정 시 정보 보안 문제를 고려하는 데 가장 효과적인 방법은 무엇일까요?

A. 정보 보안 위험 평가를 조달 프로세스에 통합합니다.

B. 조달팀에 정기적인 정보 보안 교육을 제공합니다.

C. 모범 사례에 영향을 미치기 위해 IT 구성원을 정기 조달 팀 회의에 초대합니다.

D. SaaS 공급업체와의 조달 계약에서 감사 권한을 강화합니다.

정답: A

SaaS 솔루션 조달 과정에서 정보 보안 문제를 고려하는 가장 좋은 방법은 정보 보안 위험 평가를 조달 프로세스에 통합하는 것입니다. 이를 통해 조직은 SaaS 공급업체를 이용할 경우 발생할 수 있는 보안 위험과 영향을 파악하고 평가하며, 조직의 위험 감수 성향과 허용 범위에 따라 가장 적합한 솔루션을 선택할 수 있습니다.
정보 보안 위험 평가는 공급업체를 선택하거나 계약을 체결하기 전, 조달 과정의 초기 단계에서 실시해야 하며, 계약 수명 주기 전체에 걸쳐 주기적으로 업데이트해야 합니다.
조달팀(B)에 정기적인 정보 보안 교육을 제공하는 것은 좋은 관행이지만, SaaS 솔루션의 특정 보안 문제와 과제를 해결하기에는 충분하지 않을 수 있습니다. 조달팀은 정보 보안 위험 평가를 수행하거나 공급업체와 보안 요구 사항을 협상할 전문성이나 권한이 부족할 수 있습니다.
IT 담당자를 정기적인 조달팀 회의에 초대하여 모범 사례(©)에 영향을 미치는 것도 좋은 방법이지만, IT 담당자가 실제 조달 프로세스나 의사 결정에 참여하지 않는다면 효과적이지 않을 수 있습니다. IT 담당자는 정보 보안 위험 평가를 수행하거나 조달 계약서에 보안 문제가 적절히 반영되도록 할 기회나 영향력을 갖지 못할 수 있습니다.
SaaS 공급업체와의 조달 계약에서 감사 권한을 강화하는 것은 중요한 통제 수단이지만, 조달 과정에서 정보 보안 문제를 고려하는 가장 효과적인 방법은 아닙니다. 감사 권한은 조직이 SaaS 공급업체의 보안 통제 및 규정 준수 여부를 확인할 수 있도록 하는 계약 이후 조치이지만, SaaS 솔루션 사용으로 인해 발생할 수 있는 보안 위험을 예방하거나 완화하지는 않습니다. 감사 권한은 조달 계약서에 정보 보안 위험 평가 및 기타 보안 요구 사항으로 보완되어야 합니다.
참고문헌 = CISM 검토 매뉴얼(디지털 버전), 3장: 정보 보안 프로그램 개발 및 관리, 섹션: 정보 보안 프로그램 관리, 하위 섹션:
조달 및 공급업체 관리, 141-1421페이지

CISM 문제 332

다음 중 조직의 계약 관리 프로세스에서 가장 효과적인 보안 결과를 제공하는 것은 무엇입니까?

A. 제안 요청(RFP) 단계에서 공급업체 보안 벤치마크 분석 수행

B. 제안 요청(RFP) 단계에서 보안 요구 사항이 정의되도록 보장합니다.

C. 계약 종료 시 자산 처분을 포함하도록 보안 평가 확장

D. 무작위 침투 테스트를 포함하도록 보안 평가 확장

CISM 문제 333

주요 금융 시스템에 대한 인터페이스를 개발하는 팀이 라이브러리 중 하나에서 보안 결함을 발견했습니다.
이 결함을 해결하려면 대대적인 시스템 재설계가 필요합니다. 정보 보안 관리자는 다음으로 무엇을 해야 할까요?

A. 포괄적인 소스 코드 검토를 수행합니다.

B. 적절한 개선 조치를 설계하기 위해 컨설턴트를 고용하세요.

C. 개발팀에 결함을 수정하도록 지시합니다.

D. 사업주에게 영향을 확인하세요.

CISM 문제 334

보안 격차를 해소하기 위한 아웃소싱 승인을 받기 위해 가장 먼저 해야 할 일은 무엇입니까?

A. 추가적인 지표를 수집합니다.

B. 비용-편익 분석을 수행합니다.

C. 고위 경영진에게 자금 지원 요청을 제출합니다.

D. 아웃소싱 회사에 대한 실사를 시작합니다.

정답: B

설명
보안 허점 해소를 위한 아웃소싱 승인을 얻는 첫 번째 단계는 비용 편익 분석을 수행하는 것입니다. 비용 편익 분석은 아웃소싱 옵션의 실현 가능성과 실행 가능성을 평가하고 다른 대안과 비교하는 데 도움이 되기 때문입니다. 비용 편익 분석은 재무, 운영 및 전략적 측면에서 프로젝트 또는 의사 결정의 비용과 편익을 추정하고 비교하는 방법입니다. 비용 편익 분석은 다음과 같은 데 도움이 될 수 있습니다.
아웃소싱의 예상 비용과 이점(초기 및 지속적 비용, 잠재적 절감 및 수익, 서비스의 품질 및 효율성, 위험 및 기회, 비즈니스 목표 및 요구 사항과의 일치성 등)을 파악하고 정량화합니다. 보안 격차의 중요성과 긴급성, 관련 위협 및 취약성의 영향과 가능성을 평가하고 우선순위를 지정합니다. 서비스의 유형, 기간 및 빈도, 관련 당사자의 역할 및 책임, 성과 및 보안 표준과 지표 등 아웃소싱의 최적 수준과 범위를 결정합니다. 아웃소싱의 근거와 가치 제안을 정당화하고 전달하며 의사 결정 프로세스에 대한 증거와 지원을 제공합니다. 아웃소싱 공급업체를 선택하고 평가하기 위한 기준과 프로세스, 계약 및 법적 약관을 수립하고 문서화합니다. 비용-편익 분석은 아웃소싱 프로젝트의 필요성과 투자 수익률을 입증하고 예산과 리소스를 확보하는 데 도움이 될 수 있으므로 고위 경영진에게 자금 지원 요청을 제출하기 전에 수행해야 합니다. 아웃소싱 회사에 대한 실사를 시작하기 전에 비용-편익 분석을 수행해야 합니다. 비용-편익 분석은 잠재적 후보자 목록을 좁히고 가장 관련성 높고 적합한 후보자에 집중하는 데 도움이 될 수 있기 때문입니다. 추가적인 지표 수집은 비용-편익 분석의 일부일 수 있지만, 아웃소싱 프로젝트의 목표와 범위에 대한 명확한 정의와 이해가 필요하기 때문에 첫 번째 단계는 아닙니다.
참고문헌 = CISM 검토 매뉴얼, 16판, ISACA, 2021, 173-174, 177-178쪽.

CISM 문제 335

보안 거버넌스 프레임워크 내에서 정보 보안 위원회의 가장 중요한 특징은 무엇입니까? 위원회는 다음과 같습니다.

A. 모든 수준의 관리직 구성원이 포함되어 있습니다.

B. 외부 전문가와 관계를 구축했습니다.

C. 보안 정책을 자주 검토합니다.

D. 명확하게 정의된 의장과 회의 프로토콜을 갖추고 있습니다.

다른 버전: 830ISACA.CISM.v2024-10-23.q376; 755ISACA.CISM.v2024-08-17.q456; 701ISACA.CISM.v2024-06-21.q336; 1265ISACA.CISM.v2023-05-09.q175; 2511ISACA.CISM.v2023-02-18.q334; 1754ISACA.CISM.v2022-10-08.q177; 9880ISACA.CISM.v2022-02-09.q999

최근 업로드: 106ACEFitness.ACE-Personal-Trainer.v2025-11-05.q95; 169Salesforce.Certified-Strategy-Designer.v2025-11-03.q129; 131CompTIA.DY0-001.v2025-11-03.q28; 134Google.ChromeOS-Administrator.v2025-11-03.q49; 151Salesforce.CRT-251.v2025-11-03.q110; 143Salesforce.Data-Architect.v2025-11-03.q131; 121Peoplecert.DevOps-Foundation.v2025-11-03.q15; 126SAP.C-THR94-2505.v2025-11-03.q28; 142UiPath.UiPath-SAIAv1.v2025-11-03.q82; 146Juniper.JN0-105.v2025-11-03.q60