무료 온라인 액세스 ISACA.CRISC.v2023-08-10.q988 모의 시험 (Page 97)

CRISC 문제 476

귀하는 GHT 프로젝트의 프로젝트 관리자입니다. 위험 대응 프로세스를 계획했으며 이제 다양한 제어를 구현하려고 합니다. 컨트롤에 의존하기 전에 무엇을 해야 합니까?

A. 성능 데이터 검토

B. 위험 노출 발견

C. 파일럿 테스트 수행

D. 위험 표현

E. 설명:
설계 대비 작동을 검증하기 위한 성능 데이터의 파일럿 테스트 및 검토가 사전에 수행됩니다.
통제에 의존.

F. 올바르지 않습니다. 위험을 명확히 하는 것은 위험 대응 프로세스의 첫 번째 단계입니다.
노출 및 기회의 실제 상태에 대한 정보가 적시에 제공됩니다.
적절한 대응을 위해 올바른 사람에게
그러나 특정 컨트롤이 신뢰할 수 있는지 여부를 식별하는 데 아무런 역할을 하지 않습니다.

CRISC 문제 477

다음 중 위험 실무자가 경영진이 위험 대응의 우선순위를 정하도록 돕는 가장 좋은 방법은 무엇입니까?

A. 비즈니스 목표에 대한 위험을 평가합니다.

B. 조직별 위험 분류법을 구현합니다.

C. 비즈니스 목표를 위험 프로필에 맞춥니다.

D. 경영진에게 위험 세부 사항을 설명하십시오.

CRISC 문제 478

데이터 백업 절차의 운영 효율성을 테스트하는 가장 좋은 방법은 다음과 같습니다.

A. 감사 추적 및 백업 로그 선택 검사

B. 외부에 저장된 파일 감사 수행

C. 백업 파일에서 성공적인 복구 시연

D. 실제 절차와 예상 절차를 비교하기 위해 직원을 인터뷰합니다.

CRISC 문제 479

식별된 위험이 전체 기업 목표에 미치는 영향을 수치적으로 분석하는 프로세스는 다음 중 무엇입니까?

A. 위험 식별

B. 정량적 위험 평가

C. 정성적 위험 평가

D. 위험 모니터링 및 제어

E. 설명:
정량적 위험 평가는 달러 가치와 같은 숫자로 위험을 정량화합니다. 여기에는 데이터를 수집한 다음 표준 수식에 입력하는 작업이 포함됩니다. 결과는 위험의 우선 순위를 식별하는 데 도움이 될 수 있습니다. 이러한 결과는 제어의 효율성을 결정하는 데에도 사용됩니다. 정량적 위험 평가와 관련된 일부 용어는 다음과 같습니다. 단일 손실 기대(SLE) - 단일 사고에서 예상되는 총 손실을 나타냅니다. 이 사건은 취약점이 위협에 의해 악용될 때 발생할 수 있습니다. 손실은 $1,000와 같은 달러 가치로 표현됩니다. 여기에는 데이터, 소프트웨어 및 하드웨어의 가치가 포함됩니다. SLE = 자산가치 * 노출계수 연간 발생률(ARO) - 1년 동안 사고가 발생할 것으로 예상되는 횟수를 말합니다. 지난 1년 동안 한 달에 두 번 사건이 발생했다면 ARO는 24입니다. 아무 변화가 없다고 가정하면 내년에 24번 일어날 가능성이 높다. ALE(Annual Loss Expectancy) - 1년 동안 예상되는 손실입니다. ALE는 SLE에 ARO를 곱하여 계산합니다. SLE는 달러 가치로 제공되기 때문에 ALE도 달러 가치로 제공됩니다. 예를 들어 SLE가 $1,000이고 ARO가 24인 경우 ALE는 $24,000입니다. ALE = SLE * ARO 보호 가치 - 제어 비용입니다. 컨트롤은 위험을 완화하는 데 사용됩니다. 예를 들어 컴퓨터당 평균 비용이 $50인 바이러스 백신 소프트웨어가 있습니다. 50대의 컴퓨터가 있는 경우 보호가액은 $2,500입니다. SLE가 $1,000이고 ARO가 24인 경우 ALE는 $24,000입니다. ALE = SLE * ARO 보호 가치 - 제어 비용입니다. 컨트롤은 위험을 완화하는 데 사용됩니다. 예를 들어 컴퓨터당 평균 비용이 $50인 바이러스 백신 소프트웨어가 있습니다. 50대의 컴퓨터가 있는 경우 보호가액은 $2,500입니다. SLE가 $1,000이고 ARO가 24인 경우 ALE는 $24,000입니다. ALE = SLE * ARO 보호 가치 - 제어 비용입니다. 컨트롤은 위험을 완화하는 데 사용됩니다. 예를 들어 컴퓨터당 평균 비용이 $50인 바이러스 백신 소프트웨어가 있습니다. 50대의 컴퓨터가 있는 경우 보호가액은 $2,500입니다.

정답: B

부정확하다. 정량적 위험 평가와 달리 정성적 위험 평가는 달러 가치를 부여하지 않습니다. 오히려 위험의 확률과 영향을 기반으로 위험 수준을 결정합니다. 이러한 값은 전문가의 의견을 수렴하여 결정됩니다. 확률- 특정 위험의 발생 및 재발 가능성을 독립적으로 그리고 결합하여 설정합니다. 위험은 위협이 취약성을 악용할 때 발생합니다. 스케일링은 위험이 발생할 확률을 정의하기 위해 수행됩니다. 척도는 낮음, 중간 또는 높음과 같은 단어 값을 기반으로 할 수 있습니다. 10%에서 낮음 및 90%에서 높음과 같이 이러한 단어에 백분율을 할당할 수도 있습니다. 영향- 영향은 식별된 위험의 크기를 식별하는 데 사용됩니다. 위험은 어떤 유형의 손실로 이어집니다. 그러나 손실을 달러 가치로 정량화하는 대신, 영향 평가는 낮음, 중간 또는 높음과 같은 단어를 사용할 수 있습니다. 영향은 상대 값으로 표현됩니다. 예를 들어 낮음은 10, 중간은 50, 높음은 100일 수 있습니다. 위험 수준= 확률*영향 답: A는 틀렸습니다. 리스크 관리에서 가장 먼저 해야 할 일은 리스크가 발생할 수 있는 프로젝트 영역을 파악하는 것입니다. 이를 위험 식별이라고 합니다. 가능한 모든 위험을 나열하는 것은 발생하기 전에 해결할 수 있으므로 기업에 매우 생산적인 것으로 입증되었습니다. 위험 식별에서 위협과 기회는 둘 다 어느 정도의 위험을 동반하므로 고려됩니다. 답: D는 틀렸습니다. 프로젝트를 통해 위험 대응 계획을 실행하고, 식별된 위험을 추적하고, 잔여 위험을 모니터링하고, 새로운 위험을 식별하고, 위험 프로세스 유효성을 평가하는 프로세스입니다. 중간 또는 높음. 영향은 상대 값으로 표현됩니다. 예를 들어 낮음은 10, 중간은 50, 높음은 100일 수 있습니다. 위험 수준= 확률*영향 답: A는 틀렸습니다. 리스크 관리에서 가장 먼저 해야 할 일은 리스크가 발생할 수 있는 프로젝트 영역을 파악하는 것입니다. 이를 위험 식별이라고 합니다. 가능한 모든 위험을 나열하는 것은 발생하기 전에 해결할 수 있으므로 기업에 매우 생산적인 것으로 입증되었습니다. 위험 식별에서 위협과 기회는 둘 다 어느 정도의 위험을 동반하므로 고려됩니다. 답: D는 틀렸습니다. 프로젝트를 통해 위험 대응 계획을 실행하고, 식별된 위험을 추적하고, 잔여 위험을 모니터링하고, 새로운 위험을 식별하고, 위험 프로세스 유효성을 평가하는 프로세스입니다. 중간 또는 높음. 영향은 상대 값으로 표현됩니다. 예를 들어 낮음은 10, 중간은 50, 높음은 100일 수 있습니다. 위험 수준= 확률*영향 답: A는 틀렸습니다. 리스크 관리에서 가장 먼저 해야 할 일은 리스크가 발생할 수 있는 프로젝트 영역을 파악하는 것입니다. 이를 위험 식별이라고 합니다. 가능한 모든 위험을 나열하는 것은 발생하기 전에 해결할 수 있으므로 기업에 매우 생산적인 것으로 입증되었습니다. 위험 식별에서 위협과 기회는 둘 다 어느 정도의 위험을 동반하므로 고려됩니다. 답: D는 틀렸습니다. 프로젝트를 통해 위험 대응 계획을 실행하고, 식별된 위험을 추적하고, 잔여 위험을 모니터링하고, 새로운 위험을 식별하고, 위험 프로세스 유효성을 평가하는 프로세스입니다. 예를 들어 낮음은 10, 중간은 50, 높음은 100일 수 있습니다. 위험 수준= 확률*영향 답: A는 틀렸습니다. 리스크 관리에서 가장 먼저 해야 할 일은 리스크가 발생할 수 있는 프로젝트 영역을 파악하는 것입니다. 이를 위험 식별이라고 합니다. 가능한 모든 위험을 나열하는 것은 발생하기 전에 해결할 수 있으므로 기업에 매우 생산적인 것으로 입증되었습니다. 위험 식별에서 위협과 기회는 둘 다 어느 정도의 위험을 동반하므로 고려됩니다. 답: D는 틀렸습니다. 프로젝트를 통해 위험 대응 계획을 실행하고, 식별된 위험을 추적하고, 잔여 위험을 모니터링하고, 새로운 위험을 식별하고, 위험 프로세스 유효성을 평가하는 프로세스입니다. 예를 들어 낮음은 10, 중간은 50, 높음은 100일 수 있습니다. 위험 수준= 확률*영향 답: A는 틀렸습니다. 리스크 관리에서 가장 먼저 해야 할 일은 리스크가 발생할 수 있는 프로젝트 영역을 파악하는 것입니다. 이를 위험 식별이라고 합니다. 가능한 모든 위험을 나열하는 것은 발생하기 전에 해결할 수 있으므로 기업에 매우 생산적인 것으로 입증되었습니다. 위험 식별에서 위협과 기회는 둘 다 어느 정도의 위험을 동반하므로 고려됩니다. 답: D는 틀렸습니다. 프로젝트를 통해 위험 대응 계획을 실행하고, 식별된 위험을 추적하고, 잔여 위험을 모니터링하고, 새로운 위험을 식별하고, 위험 프로세스 유효성을 평가하는 프로세스입니다. 리스크 관리에서 가장 먼저 해야 할 일은 리스크가 발생할 수 있는 프로젝트 영역을 파악하는 것입니다. 이를 위험 식별이라고 합니다. 가능한 모든 위험을 나열하는 것은 발생하기 전에 해결할 수 있으므로 기업에 매우 생산적인 것으로 입증되었습니다. 위험 식별에서 위협과 기회는 둘 다 어느 정도의 위험을 동반하므로 고려됩니다. 답: D는 틀렸습니다. 프로젝트를 통해 위험 대응 계획을 실행하고, 식별된 위험을 추적하고, 잔여 위험을 모니터링하고, 새로운 위험을 식별하고, 위험 프로세스 유효성을 평가하는 프로세스입니다. 리스크 관리에서 가장 먼저 해야 할 일은 리스크가 발생할 수 있는 프로젝트 영역을 파악하는 것입니다. 이를 위험 식별이라고 합니다. 가능한 모든 위험을 나열하는 것은 발생하기 전에 해결할 수 있으므로 기업에 매우 생산적인 것으로 입증되었습니다. 위험 식별에서 위협과 기회는 둘 다 어느 정도의 위험을 동반하므로 고려됩니다. 답: D는 틀렸습니다. 프로젝트를 통해 위험 대응 계획을 실행하고, 식별된 위험을 추적하고, 잔여 위험을 모니터링하고, 새로운 위험을 식별하고, 위험 프로세스 유효성을 평가하는 프로세스입니다. 가능한 모든 위험을 나열하는 것은 발생하기 전에 해결할 수 있으므로 기업에 매우 생산적인 것으로 입증되었습니다. 위험 식별에서 위협과 기회는 둘 다 어느 정도의 위험을 동반하므로 고려됩니다. 답: D는 틀렸습니다. 프로젝트를 통해 위험 대응 계획을 실행하고, 식별된 위험을 추적하고, 잔여 위험을 모니터링하고, 새로운 위험을 식별하고, 위험 프로세스 유효성을 평가하는 프로세스입니다. 가능한 모든 위험을 나열하는 것은 발생하기 전에 해결할 수 있으므로 기업에 매우 생산적인 것으로 입증되었습니다. 위험 식별에서 위협과 기회는 둘 다 어느 정도의 위험을 동반하므로 고려됩니다. 답: D는 틀렸습니다. 프로젝트를 통해 위험 대응 계획을 실행하고, 식별된 위험을 추적하고, 잔여 위험을 모니터링하고, 새로운 위험을 식별하고, 위험 프로세스 유효성을 평가하는 프로세스입니다.

CRISC 문제 480

다음 중 정보 시스템 제어 결함을 식별하는 가장 좋은 방법은 무엇입니까?

A. 컨트롤 자체 평가(CSA)

B. 취약성 및 위협 분석

C. 사용자 승인 테스트(UAT)

D. 제어 개선 계획