ISO-IEC-27001-Lead-Auditor-KR 문제 46
귀하는 감사원 교육을 지도하는 숙련된 감사팀 리더입니다. 귀하의 팀은 현재 외부 고객을 대신하여 데이터를 저장하는 조직에 대한 제3자 감시 감사를 실시하고 있습니다. 교육 중인 감사원은 적용성 설명서(SoA)에 나열되어 있고 사이트에 구현된 기술적 통제를 검토하는 업무를 맡았습니다.
다음 중에서 감사자가 훈련을 받으면서 검토해야 할 것으로 생각하는 통제 항목을 네 가지 선택하세요.
다음 중에서 감사자가 훈련을 받으면서 검토해야 할 것으로 생각하는 통제 항목을 네 가지 선택하세요.
ISO-IEC-27001-Lead-Auditor-KR 문제 47
시나리오 9: 네트워킹 회사인 UpNet은 ISO/IEC 27001 인증을 받았습니다. 이 회사는 네트워크 보안, 가상화, 클라우드 컴퓨팅, 네트워크 하드웨어, 네트워크 관리 소프트웨어 및 네트워킹 기술을 제공합니다.
ISO/IEC 27001 인증을 획득한 이후 회사의 인지도가 크게 높아졌습니다. 이 인증은 UpNefs 운영의 성숙도와 널리 인정되고 수용되는 표준을 준수함을 확인했습니다.
하지만 인증 후 모든 것이 끝난 것은 아닙니다. UpNet은 내부 감사를 실시하여 보안 통제와 ISMS의 전반적인 효과성과 효율성을 지속적으로 검토하고 개선했습니다. 최고 경영진은 풀타임 내부 감사팀을 고용할 의향이 없었기 때문에 내부 감사 기능을 아웃소싱하기로 결정했습니다. 이러한 형태의 내부 감사는 독립성, 객관성을 보장했으며 ISMS의 지속적인 개선에 대한 자문 역할을 수행했습니다.
초기 인증 감사 후 얼마 지나지 않아 회사는 데이터 및 스토리지 제품을 전문으로 하는 새로운 부서를 만들었습니다. 그들은 데이터 센터와 네트워크 가상화 및 네트워크 보안 어플라이언스와 같은 소프트웨어 기반 네트워킹 장치에 최적화된 라우터와 스위치를 제공했습니다. 이로 인해 ISMS 인증 범위에 이미 포함된 다른 부서의 운영이 변경되었습니다.
따라서 UpNet은 위험 평가 프로세스와 내부 감사를 시작했습니다. 내부 감사 결과에 따라 회사는 기존 및 새로운 프로세스와 통제의 효과성과 효율성을 확인했습니다.
최고 경영진은 ISO/IEC 27001 요구 사항을 준수하기 때문에 새로운 부서를 인증 범위에 포함하기로 결정했습니다. UpNet은 ISO/IEC 27001 인증을 받았으며 인증 범위가 회사 전체를 포함한다고 발표했습니다.
최초 인증 감사 후 1년 만에, 인증 기관은 UpNefs ISMS에 대한 또 다른 감사를 실시했습니다.
이 감사는 UpNefs ISMS가 지정된 ISO/IEC 27001 요구 사항을 충족하는지 확인하고 ISMS가 지속적으로 개선되고 있는지 확인하는 것을 목표로 했습니다. 감사팀은 인증된 ISMS가 표준의 요구 사항을 계속 충족하고 있음을 확인했습니다. 그럼에도 불구하고 새로운 부서는 관리 시스템을 관리하는 데 상당한 영향을 미쳤습니다. 게다가 인증 기관에는 어떠한 변경 사항도 알리지 않았습니다. 따라서 UpNefs 인증은 중단되었습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 9를 기준으로 UpNefs 인증이 중단된 이유는 무엇입니까?
ISO/IEC 27001 인증을 획득한 이후 회사의 인지도가 크게 높아졌습니다. 이 인증은 UpNefs 운영의 성숙도와 널리 인정되고 수용되는 표준을 준수함을 확인했습니다.
하지만 인증 후 모든 것이 끝난 것은 아닙니다. UpNet은 내부 감사를 실시하여 보안 통제와 ISMS의 전반적인 효과성과 효율성을 지속적으로 검토하고 개선했습니다. 최고 경영진은 풀타임 내부 감사팀을 고용할 의향이 없었기 때문에 내부 감사 기능을 아웃소싱하기로 결정했습니다. 이러한 형태의 내부 감사는 독립성, 객관성을 보장했으며 ISMS의 지속적인 개선에 대한 자문 역할을 수행했습니다.
초기 인증 감사 후 얼마 지나지 않아 회사는 데이터 및 스토리지 제품을 전문으로 하는 새로운 부서를 만들었습니다. 그들은 데이터 센터와 네트워크 가상화 및 네트워크 보안 어플라이언스와 같은 소프트웨어 기반 네트워킹 장치에 최적화된 라우터와 스위치를 제공했습니다. 이로 인해 ISMS 인증 범위에 이미 포함된 다른 부서의 운영이 변경되었습니다.
따라서 UpNet은 위험 평가 프로세스와 내부 감사를 시작했습니다. 내부 감사 결과에 따라 회사는 기존 및 새로운 프로세스와 통제의 효과성과 효율성을 확인했습니다.
최고 경영진은 ISO/IEC 27001 요구 사항을 준수하기 때문에 새로운 부서를 인증 범위에 포함하기로 결정했습니다. UpNet은 ISO/IEC 27001 인증을 받았으며 인증 범위가 회사 전체를 포함한다고 발표했습니다.
최초 인증 감사 후 1년 만에, 인증 기관은 UpNefs ISMS에 대한 또 다른 감사를 실시했습니다.
이 감사는 UpNefs ISMS가 지정된 ISO/IEC 27001 요구 사항을 충족하는지 확인하고 ISMS가 지속적으로 개선되고 있는지 확인하는 것을 목표로 했습니다. 감사팀은 인증된 ISMS가 표준의 요구 사항을 계속 충족하고 있음을 확인했습니다. 그럼에도 불구하고 새로운 부서는 관리 시스템을 관리하는 데 상당한 영향을 미쳤습니다. 게다가 인증 기관에는 어떠한 변경 사항도 알리지 않았습니다. 따라서 UpNefs 인증은 중단되었습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 9를 기준으로 UpNefs 인증이 중단된 이유는 무엇입니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 48
시나리오 6: Sinvestment는 주택, 상업 및 생명 보험을 제공하는 보험 회사입니다. 이 회사는 노스캐롤라이나에서 설립되었지만 최근 유럽과 아프리카를 포함한 다른 지역으로 확장되었습니다.
Sinvestment는 해당 산업에 적용되는 법률 및 규정을 준수하고 정보 보안 사고를 예방하기 위해 최선을 다하고 있습니다. 그들은 ISO/IEC 27001을 기반으로 ISMS를 구현했으며 ISO/IEC 27001 인증을 신청했습니다.
인증 기관은 감사를 수행하기 위해 두 명의 감사원을 지정했습니다. Sinvestment와 기밀 유지 계약을 체결한 후 감사 활동을 시작했습니다. 먼저 ISMS 범위 선언, 정보 보안 정책 및 내부 감사 보고서를 포함하여 표준에서 요구하는 문서를 검토했습니다. Sinvestment가 문서화 절차를 갖추고 있다고 말했지만 모든 문서가 동일한 형식을 가지고 있지 않았기 때문에 검토 프로세스가 쉽지 않았습니다.
그런 다음 감사팀은 Sinvestment의 최고 경영진과 여러 차례 인터뷰를 진행하여 ISMS 구현에서 그들의 역할을 파악했습니다. 1단계 감사의 모든 활동은 Sinvestment의 요청에 따라 현장에서 진행된 문서화된 정보 검토를 제외하고 원격으로 수행되었습니다.
이 단계에서 감사원은 정보 보안 교육 및 인식 프로그램과 관련된 문서가 없다는 것을 발견했습니다. 질문을 받았을 때 Sinvestment의 대표는 회사가 모든 직원에게 정보 보안 교육 세션을 제공했다고 말했습니다. 1단계 감사를 통해 감사팀은 Sinvestment의 운영과 ISMS에 대한 일반적인 이해를 얻었습니다.
2단계 감사는 1단계 감사 3주 후에 실시되었습니다. 감사팀은 마케팅 부서(감사 범위에 포함되지 않음)에 직원의 접근 권한을 제어하는 절차가 없다는 것을 관찰했습니다. 직원의 접근 권한을 제어하는 것은 ISO/IEC 27001 요구 사항 중 하나이며 회사의 정보 보안 정책에 포함되었기 때문에 이 문제는 감사 보고서에 포함되었습니다. 또한 2단계 감사 중에 감사팀은 Sinvestment가 사용자 활동 로그를 기록하지 않았다는 것을 관찰했습니다.
회사 절차에는 "사용자 활동을 기록한 로그를 보관하고 정기적으로 검토해야 합니다."라고 명시되어 있지만, 회사는 이러한 절차의 구현에 대한 증거를 제시하지 않았습니다.
모든 감사 활동 동안 감사자는 관찰, 인터뷰, 문서화된 정보 검토, 분석 및 기술적 검증을 사용하여 정보와 증거를 수집했습니다. 1단계와 2단계의 모든 감사 결과를 분석했고 감사팀은 인증에 대한 긍정적인 권장 사항을 발행하기로 결정했습니다.
ISO/IEC 27001 요구 사항에 따르면, 회사는 사용자 활동을 기록하는 로그에 관한 절차 구현에 대한 증거를 제공해야 합니까? 시나리오 6을 참조하십시오.
Sinvestment는 해당 산업에 적용되는 법률 및 규정을 준수하고 정보 보안 사고를 예방하기 위해 최선을 다하고 있습니다. 그들은 ISO/IEC 27001을 기반으로 ISMS를 구현했으며 ISO/IEC 27001 인증을 신청했습니다.
인증 기관은 감사를 수행하기 위해 두 명의 감사원을 지정했습니다. Sinvestment와 기밀 유지 계약을 체결한 후 감사 활동을 시작했습니다. 먼저 ISMS 범위 선언, 정보 보안 정책 및 내부 감사 보고서를 포함하여 표준에서 요구하는 문서를 검토했습니다. Sinvestment가 문서화 절차를 갖추고 있다고 말했지만 모든 문서가 동일한 형식을 가지고 있지 않았기 때문에 검토 프로세스가 쉽지 않았습니다.
그런 다음 감사팀은 Sinvestment의 최고 경영진과 여러 차례 인터뷰를 진행하여 ISMS 구현에서 그들의 역할을 파악했습니다. 1단계 감사의 모든 활동은 Sinvestment의 요청에 따라 현장에서 진행된 문서화된 정보 검토를 제외하고 원격으로 수행되었습니다.
이 단계에서 감사원은 정보 보안 교육 및 인식 프로그램과 관련된 문서가 없다는 것을 발견했습니다. 질문을 받았을 때 Sinvestment의 대표는 회사가 모든 직원에게 정보 보안 교육 세션을 제공했다고 말했습니다. 1단계 감사를 통해 감사팀은 Sinvestment의 운영과 ISMS에 대한 일반적인 이해를 얻었습니다.
2단계 감사는 1단계 감사 3주 후에 실시되었습니다. 감사팀은 마케팅 부서(감사 범위에 포함되지 않음)에 직원의 접근 권한을 제어하는 절차가 없다는 것을 관찰했습니다. 직원의 접근 권한을 제어하는 것은 ISO/IEC 27001 요구 사항 중 하나이며 회사의 정보 보안 정책에 포함되었기 때문에 이 문제는 감사 보고서에 포함되었습니다. 또한 2단계 감사 중에 감사팀은 Sinvestment가 사용자 활동 로그를 기록하지 않았다는 것을 관찰했습니다.
회사 절차에는 "사용자 활동을 기록한 로그를 보관하고 정기적으로 검토해야 합니다."라고 명시되어 있지만, 회사는 이러한 절차의 구현에 대한 증거를 제시하지 않았습니다.
모든 감사 활동 동안 감사자는 관찰, 인터뷰, 문서화된 정보 검토, 분석 및 기술적 검증을 사용하여 정보와 증거를 수집했습니다. 1단계와 2단계의 모든 감사 결과를 분석했고 감사팀은 인증에 대한 긍정적인 권장 사항을 발행하기로 결정했습니다.
ISO/IEC 27001 요구 사항에 따르면, 회사는 사용자 활동을 기록하는 로그에 관한 절차 구현에 대한 증거를 제공해야 합니까? 시나리오 6을 참조하십시오.
ISO-IEC-27001-Lead-Auditor-KR 문제 49
내부 감사와 외부 감사는 어떤 관련이 있나요?
ISO-IEC-27001-Lead-Auditor-KR 문제 50
이메일 계정을 계속 사용하려면 이름, 이메일, 비밀번호와 같은 정보를 보내야 한다는 내용의 이메일을 받았습니다. 이러한 정보를 보내지 않으면 이메일 계정이 비활성화됩니다. 이 시나리오는 무엇을 제공합니까?