ISO-IEC-27001-Lead-Auditor-KR 문제 66
인증기관이 인증을 부여하기로 결정할 때 감사 보고서에서 다음 결론 중 요구되지 않는 것은 무엇입니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 67
문장을 가장 잘 완성하는 단어를 선택하세요:
ISO-IEC-27001-Lead-Auditor-KR 문제 68
당신은 온라인 보험 기관의 제3자 감사를 수행하는 감사팀 리더입니다. 단계 중
1. 해당 조직이 매우 신중한 위험 접근 방식을 취하고 ISO/IEC 27001:2022 부록 A의 모든 정보 보안 통제를 적용성 설명서에 포함했다는 것을 발견했습니다.
2단계 감사 중에 감사팀은 적용성 설명서 발췌문에 나와 있는 세 가지 통제(5.3 업무 분리, 6.1 스크리닝, 7.12 케이블 보안)의 구현에 대한 증거가 없다는 것을 발견했습니다. 위험 처리 계획은 발견되지 않았습니다.
ISO/IEC 27001:2022의 조항 6.1.3.e에 대한 불일치에 대응하여 감사 대상자가 취할 것으로 기대되는 조치에 대한 세 가지 옵션을 선택하십시오.
1. 해당 조직이 매우 신중한 위험 접근 방식을 취하고 ISO/IEC 27001:2022 부록 A의 모든 정보 보안 통제를 적용성 설명서에 포함했다는 것을 발견했습니다.
2단계 감사 중에 감사팀은 적용성 설명서 발췌문에 나와 있는 세 가지 통제(5.3 업무 분리, 6.1 스크리닝, 7.12 케이블 보안)의 구현에 대한 증거가 없다는 것을 발견했습니다. 위험 처리 계획은 발견되지 않았습니다.
ISO/IEC 27001:2022의 조항 6.1.3.e에 대한 불일치에 대응하여 감사 대상자가 취할 것으로 기대되는 조치에 대한 세 가지 옵션을 선택하십시오.
ISO-IEC-27001-Lead-Auditor-KR 문제 69
감사 중에 감사팀장은 논리적인 추론과 분석을 바탕으로 시기적절한 결론을 도출했습니다.
감사팀 리더는 어떤 전문적인 행동을 보였나요?
감사팀 리더는 어떤 전문적인 행동을 보였나요?
ISO-IEC-27001-Lead-Auditor-KR 문제 70
시나리오 7: Lawsy는 뉴저지와 뉴욕시에 사무실을 둔 선도적인 로펌입니다. 50명 이상의 변호사가 기업 및 상법, 지적 재산권, 은행 및 금융 서비스 분야에서 고객에게 정교한 법률 서비스를 제공합니다. 그들은 정보 보안 모범 사례를 구현하고 기술 개발에 대한 최신 정보를 유지하려는 노력 덕분에 시장에서 편안한 입지를 확보했다고 믿습니다.
Lawsy는 지난 2년간 ISMS에 대한 내부 감사를 엄격하게 시행, 평가하고 수행해 왔습니다.
이제 그들은 널리 알려지고 신뢰받는 인증기관인 ISMA에 ISO/IEC 27001 인증을 신청했습니다.
1단계 감사 동안 감사팀은 구현 중에 작성된 모든 ISMS 문서를 검토했습니다.
또한 그들은 경영진 검토와 내부 감사의 기록을 검토하고 평가했습니다.
Lawsy는 필요한 경우 불일치에 대한 시정 조치가 수행되었다는 증거 기록을 제출했으므로 감사팀은 내부 감사자를 인터뷰했습니다. 인터뷰는 내부 감사 계획 및 절차에 대한 자세한 통찰력을 제공하여 내부 감사의 적절성과 빈도를 검증했습니다.
감사팀은 정보 보안 정책 및 위험 평가 기준을 포함한 전략적 문서의 검증을 계속했습니다. 정보 보안 정책 검토 중에 팀은 거버넌스 프레임워크(즉, 정보 보안 정책)를 설명하는 문서화된 정보와 절차 사이에 불일치가 있음을 발견했습니다.
직원들이 노트북을 직장 밖으로 가지고 나갈 수 있었지만 Lawsy는 그러한 경우 노트북 사용에 대한 절차를 마련하지 않았습니다. 정책은 노트북 사용에 대한 일반적인 정보만 제공했습니다. 회사는 직원들의 상식에 의존하여 노트북에 저장된 정보의 기밀성과 무결성을 보호했습니다. 이 문제는 1단계 감사 보고서에 기록되었습니다.
1단계 감사를 완료한 후 감사팀장은 감사 목표, 범위, 기준, 절차 등을 다룬 감사 계획을 준비했습니다.
2단계 감사에서 감사팀은 정보 보안 정책을 초안한 정보 보안 관리자를 인터뷰했습니다. 그는 Lawsy가 3개월마다 의무적인 정보 보안 교육 및 인식 세션을 실시한다는 말로 1단계에서 발견된 문제를 정당화했습니다.
인터뷰 후 감사팀은 15개의 직원 교육 기록(50개 중)을 검토하고 Lawsy가 교육 및 인식과 관련된 ISO/IEC 27001 요구 사항을 충족한다는 결론을 내렸습니다. 이 결론을 뒷받침하기 위해 감사팀은 검토한 직원 교육 기록을 복사했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
감사팀은 검토한 직원 교육 기록을 복사하여 결론을 뒷받침했습니다. 감사팀은 이 조치를 취하기 전에 Lawsy의 승인을 받아야 합니까? 시나리오 7을 참조하십시오.
Lawsy는 지난 2년간 ISMS에 대한 내부 감사를 엄격하게 시행, 평가하고 수행해 왔습니다.
이제 그들은 널리 알려지고 신뢰받는 인증기관인 ISMA에 ISO/IEC 27001 인증을 신청했습니다.
1단계 감사 동안 감사팀은 구현 중에 작성된 모든 ISMS 문서를 검토했습니다.
또한 그들은 경영진 검토와 내부 감사의 기록을 검토하고 평가했습니다.
Lawsy는 필요한 경우 불일치에 대한 시정 조치가 수행되었다는 증거 기록을 제출했으므로 감사팀은 내부 감사자를 인터뷰했습니다. 인터뷰는 내부 감사 계획 및 절차에 대한 자세한 통찰력을 제공하여 내부 감사의 적절성과 빈도를 검증했습니다.
감사팀은 정보 보안 정책 및 위험 평가 기준을 포함한 전략적 문서의 검증을 계속했습니다. 정보 보안 정책 검토 중에 팀은 거버넌스 프레임워크(즉, 정보 보안 정책)를 설명하는 문서화된 정보와 절차 사이에 불일치가 있음을 발견했습니다.
직원들이 노트북을 직장 밖으로 가지고 나갈 수 있었지만 Lawsy는 그러한 경우 노트북 사용에 대한 절차를 마련하지 않았습니다. 정책은 노트북 사용에 대한 일반적인 정보만 제공했습니다. 회사는 직원들의 상식에 의존하여 노트북에 저장된 정보의 기밀성과 무결성을 보호했습니다. 이 문제는 1단계 감사 보고서에 기록되었습니다.
1단계 감사를 완료한 후 감사팀장은 감사 목표, 범위, 기준, 절차 등을 다룬 감사 계획을 준비했습니다.
2단계 감사에서 감사팀은 정보 보안 정책을 초안한 정보 보안 관리자를 인터뷰했습니다. 그는 Lawsy가 3개월마다 의무적인 정보 보안 교육 및 인식 세션을 실시한다는 말로 1단계에서 발견된 문제를 정당화했습니다.
인터뷰 후 감사팀은 15개의 직원 교육 기록(50개 중)을 검토하고 Lawsy가 교육 및 인식과 관련된 ISO/IEC 27001 요구 사항을 충족한다는 결론을 내렸습니다. 이 결론을 뒷받침하기 위해 감사팀은 검토한 직원 교육 기록을 복사했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
감사팀은 검토한 직원 교육 기록을 복사하여 결론을 뒷받침했습니다. 감사팀은 이 조치를 취하기 전에 Lawsy의 승인을 받아야 합니까? 시나리오 7을 참조하십시오.