무료 온라인 액세스 ISACA.CISM.v2026-01-12.q388 모의 시험 (Page 65)

CISM 문제 316

애플리케이션 서비스 제공업체의 보안 통제를 검토하던 정보 보안 관리자가 해당 제공업체의 변경 관리 통제가 미흡하다는 사실을 발견했습니다. 제공된 애플리케이션의 변경은 종종 고객에게 사전 통지 없이 갑작스럽게 발생합니다. 다음 중 이 제공업체와의 서비스 계속 또는 중단을 결정하는 데 가장 도움이 되는 것은 무엇입니까?

A. 제공된 애플리케이션의 중요성과 클라이언트 조직의 위험 감수성을 비교합니다.

B. 클라이언트 조직의 위험 감수성을 공급업체의 변경 관리 정책과 비교합니다.

C. 클라이언트 조직의 위험 감수 수준을 애플리케이션 가동 중지 빈도와 비교합니다.

D. 클라이언트 조직의 위험 감수 수준을 서비스 제공자의 재해 복구 계획과 비교합니다.

CISM 문제 317

고객 기록이 승인 없이 변경된 사고가 감지되었습니다. 포렌식 분석에서 가장 우려되는 점은 로그 데이터가 다음과 같다는 것입니다.

A. 공개되었습니다.

B. 일시적으로 사용 가능할 수 있습니다.

C. 시간 동기화가 불가능할 수 있습니다.

D. 수정될 수 있습니다.

CISM 문제 318

다음 중 어떤 BEST가 정보 보안 관리자에게 서비스 제공자가 조직의 정보 보안 요구 사항을 준수한다는 충분한 확신을 제공합니까?

A. 제3자 공급업체의 보안 역량에 대한 생생한 시연

B. 제3자 공급업체의 IT 시스템 및 프로세스를 i하는 기능

C. 제3자 보안 제어 자체 평가(CSA) 결과

D. 업계 표준 준수를 나타내는 독립적인 검토 보고서

정답: B

설명
서비스 제공자는 조직에 IT 서비스 또는 제품을 제공하는 제3자 공급업체입니다. 서비스 제공자는 조직의 데이터와 시스템의 기밀성, 무결성 및 가용성을 보장하기 위해 정책, 표준, 절차 및 통제와 같은 조직의 정보 보안 요구 사항을 준수해야 합니다. 정보 보안 관리자에게 서비스 제공자가 조직의 정보 보안 요구 사항을 준수한다는 충분한 확신을 제공하는 가장 좋은 방법은 제3자 공급업체의 IT 시스템과 프로세스를 감사할 수 있는 능력을 갖추는 것입니다. 감사는 미리 결정된 기준에 대한 적합성 정도를 결정하기 위한 체계적이고 독립적인 증거 조사입니다. 감사는 서비스 제공자의 보안 통제의 효과성과 효율성을 검증하고, 격차나 약점을 식별하고, 개선을 위한 권장 사항을 제공할 수 있습니다. 감사는 또한 서비스 제공자가 조직과의 계약 의무 및 서비스 수준 계약(SLA)을 준수하는지 확인할 수 있습니다. 따라서 옵션 B가 가장 적절한 답변입니다.
옵션 A는 최선의 답이 아닙니다. 타사 공급업체의 보안 역량을 실시간으로 시연하는 것은 포괄적이거나 객관적이거나 신뢰할 수 없을 수 있기 때문입니다. 실시간 시연은 서비스 제공업체 보안의 긍정적인 측면만 보여줄 뿐, 숨겨져 있거나 잠재적인 문제점을 드러내지 못할 수 있습니다. 또한, 서비스 제공업체의 조작이나 기만에 노출될 가능성도 있습니다.
옵션 C는 최선의 답이 아닙니다. 제3자 보안 제어 자체 평가(CSA) 결과가 정확하거나 완전하거나 일관성이 없을 수 있기 때문입니다. 자체 평가는 서비스 제공업체가 일련의 기준이나 표준을 기준으로 자체 보안 제어를 평가하는 프로세스입니다. 서비스 제공업체가 모든 관련 정보나 문제를 공개하거나 보고하지 않을 수 있으므로 자체 평가는 편향적이거나 주관적이거나 불완전할 수 있습니다. 또한 자체 평가는 서비스 제공업체의 전문성, 자원 및 방법론에 따라 품질과 범위가 달라질 수 있습니다.
옵션 D는 업계 표준 준수를 나타내는 독립적인 검토 보고서가 조직의 정보 보안 요구 사항에 충분하거나 구체적이지 않을 수 있으므로 최선의 답이 아닙니다.독립적인 검토는 외부 당사자가 ISO/IEC 27001, NIST CSF, PCI DSS 등과 같은 일련의 업계 표준 또는 모범 사례에 대해 서비스 제공업체의 보안 제어를 평가하는 프로세스입니다.독립적인 검토 보고서는 서비스 제공업체의 보안 태세에 대한 일반적인 개요를 제공할 수 있지만 조직의 고유하거나 구체적인 보안 요구 사항, 위험 또는 기대 사항을 다루지 않을 수 있습니다.또한 업계 표준 또는 모범 사례가 현재 또는 새로운 보안 위협이나 추세를 반영하지 않을 수 있으므로 독립적인 검토 보고서는 오래되었거나 제한적이거나 일반적일 수 있습니다.참고문헌 = CISM 검토 매뉴얼 15판 1, 페이지
257-258; CISM 복습 문제, 답변 및 설명 데이터베이스 - 12개월 구독, QID 301.
업계 표준 BEST 준수 여부를 나타내는 독립적인 검토 보고서는 정보 보안 관리자에게 서비스 제공업체가 조직의 정보 보안 요구 사항을 준수하고 있다는 충분한 확신을 제공합니다. 독립적인 검토 보고서는 서비스 제공업체가 업계 표준 및 모범 사례를 충족하는 효과적인 보안 통제를 구현하고 유지 관리했음을 보여주는 객관적이고 신뢰할 수 있는 증거 자료이기 때문입니다. 또한 독립적인 검토 보고서는 서비스 제공업체가 이전 감사 또는 평가에서 발견된 미비점이나 취약점을 해결했음을 보장할 수 있습니다.

CISM 문제 319

내부 사고 대응 팀에 필요한 리소스를 결정하는 가장 효과적인 방법은 다음과 같습니다.

A. 이벤트 시나리오를 사용하여 응답 기능을 테스트합니다.

B. 사고 대응의 범위와 헌장을 결정합니다.

C. 다른 사고 관리 프로그램과의 벤치마크

D. 사고 관리 컨설턴트에게 지침을 요청하세요.

CISM 문제 320

거래 금액을 반올림하여 가해자의 계좌로 이체하는 악성 프로그램에 대한 가장 효과적인 대응책은 다음 중 무엇일까요?

A. 코드 검토 및 릴리스 관리를 위한 적절한 제어가 있는지 확인하세요.

B. 플랫폼 전반에 걸쳐 바이러스 검사 프로그램을 실행하기 위한 에이전트를 설정합니다.

C. 미들웨어 트랜잭션의 지속적인 모니터링을 위한 제어 구현

D. 최신 패치 프로그램을 프로덕션 운영 체제에 적용합니다.

다른 버전: 2898ISACA.CISM.v2025-10-28.q838; 1138ISACA.CISM.v2024-10-23.q376; 834ISACA.CISM.v2024-08-17.q456; 879ISACA.CISM.v2024-06-21.q336; 1292ISACA.CISM.v2023-05-09.q175; 2694ISACA.CISM.v2023-02-18.q334; 1855ISACA.CISM.v2022-10-08.q177; 10246ISACA.CISM.v2022-02-09.q999

최근 업로드: 241ISACA.CISM.v2026-01-12.q388; 184Salesforce.PDII.v2026-01-12.q215; 143CIPS.L5M5.v2026-01-10.q71; 139APICS.CPIM-8.0.v2026-01-10.q171; 209Cisco.350-701.v2026-01-09.q332; 150USGBC.LEED-Green-Associate-KR.v2026-01-08.q154; 131Adobe.AD0-E608-KR.v2026-01-08.q54; 225HP.HPE7-A08.v2026-01-08.q272; 141Cisco.300-835.v2026-01-08.q117; 136Workday.Workday-Pro-Integrations.v2026-01-08.q18