정답: B
= 정보 보안 전략을 개발하고 구현하는 업무를 맡은 신입 정보 보안 관리자에게 가장 유용한 정보는 조직의 사명 선언문과 로드맵입니다. 사명 선언문은 조직의 목적, 비전, 가치 및 목표를 정의하고, 로드맵은 조직의 전략적 방향, 우선순위 및 이니셔티브를 간략하게 설명합니다. 정보 보안 관리자는 사명 선언문과 로드맵을 검토함으로써 조직의 사업 목표, 위험 감수 성향 및 보안 요구 사항을 이해하고 이에 맞춰 정보 보안 전략을 수립할 수 있습니다. 정보 보안 전략은 조직의 사명과 로드맵을 지원하고 활성화하며, 조직의 정보 자산 및 프로세스를 보호하기 위한 보안 거버넌스, 정책, 표준 및 통제 수단을 제공해야 합니다.
정보 보안팀(A)의 역량과 전문성은 정보 보안 관리자가 고려해야 할 중요한 요소이지만, 정보 보안 전략을 개발하고 구현하는 데 가장 유용한 정보원은 아닙니다. 정보 보안팀은 위험 관리, 보안 인식, 사고 대응 및 규정 준수와 같은 정보 보안 프로그램 및 활동을 실행하고 유지할 책임이 있습니다. 정보 보안 관리자는 정보 보안팀의 역량과 전문성을 평가하여 강점, 약점, 기회 및 위협을 파악하고 팀의 자원 배분, 교육 및 개발을 계획해야 합니다. 그러나 정보 보안팀의 역량과 전문성은 조직의 비즈니스 목표, 위험 선호도 및 보안 요구 사항에 따라 결정되어야 하는 정보 보안 전략에 직접적인 영향을 미치지 않습니다.
이전의 성공적인 정보 보안 전략은 정보 보안 관리자가 참조할 수 있는 정보 소스일 수 있지만 가장 유용한 것은 아닙니다.이전에 성공적인 정보 보안 전략은 다른 조직이나 이전 정보 보안 관리자가 구현하고 평가하여 원하는 보안 결과와 이점을 달성한 전략입니다.정보 보안 관리자는 이전의 성공적인 정보 보안 전략의 모범 사례, 교훈 및 과제에서 배우고 현재 조직이나 상황에 적용할 수 있습니다.그러나 이전의 성공적인 정보 보안 전략은 조직의 현재 또는 미래 비즈니스 목표, 위험 감수성 및 보안 요구 사항이나 변화하는 위협 환경 및 비즈니스 환경을 반영하지 못할 수 있으므로 조직과 관련이 없거나 적용 가능하지 않거나 적합하지 않을 수 있습니다.
조직의 정보 기술(IT) 전략(D) 또한 정보 보안 관리자가 참고할 수 있는 정보의 원천이지만, 가장 유용한 정보는 아닙니다. IT 전략은 조직의 IT 비전, 목표 및 이니셔티브를 정의하고, IT가 비즈니스 프로세스 및 활동을 지원하고 활성화하는 방식을 정의하는 전략입니다. 정보 보안 관리자는 조직의 IT 인프라, 시스템 및 서비스를 이해하고, 이러한 요소들이 정보 보안 프로그램 및 활동과 어떻게 연관되는지 파악하기 위해 IT 전략을 검토해야 합니다. 그러나 IT 전략은 정보 보안 전략의 주요 동인이 아니며, 조직의 비즈니스 목표, 위험 감수 성향 및 보안 요구 사항과 일치해야 하며, IT 목표, 역량 및 요구 사항과만 일치해서는 안 됩니다.
참고문헌 = CISM 검토 매뉴얼, 제16판, 제1장: 정보 보안 거버넌스, 섹션:
정보 보안 전략 개발, 23-241페이지
