ISO-IEC-27001-Lead-Auditor-KR 문제 81
시나리오 5: Data Grid Inc.는 전체 정보 기술 인프라에 보안 서비스를 제공하는 잘 알려진 회사입니다. 엔드포인트 보안, 방화벽, 바이러스 백신 소프트웨어를 포함한 사이버 보안 소프트웨어를 제공합니다. Data Grid Inc.는 20년 동안 다양한 회사가 고급 제품과 서비스를 통해 네트워크를 보호하도록 도왔습니다. 정보 및 네트워크 보안 분야에서 명성을 얻은 Data Grid Inc.는 내부 및 고객 자산을 보다 안전하게 보호하고 경쟁 우위를 확보하기 위해 ISO/IEC 27001 인증을 취득하기로 결정했습니다.
Data Grid Inc.는 감사 위임 조건에 동의한 감사팀을 임명했습니다. 또한 Data Grid Inc.는 감사 범위를 정의하고 감사 기준을 명시했으며 5일 이내에 감사를 마감할 것을 제안했습니다. 감사팀은 Data Grid Inc.가 5일 이내에 감사를 실시하겠다는 제안을 거부했습니다. 회사에는 직원이 많고 프로세스가 복잡하기 때문입니다. Data Grid Inc.는 5일 이내에 감사를 완료할 계획이라고 주장했기 때문에 양측은 정의된 기간 내에 감사를 실시하기로 합의했습니다. 감사팀은 위험 기반 감사 방식을 따랐습니다.
주요 비즈니스 프로세스와 통제에 대한 개요를 얻기 위해 감사팀은 프로세스 설명과 조직도에 접근했습니다. 그들은 IT 인프라와 애플리케이션에 대한 접근이 제한되어 IT 위험과 통제에 대한 심층 분석을 수행할 수 없었습니다. 그러나 감사팀은 대부분의 회사 프로세스가 자동화되었기 때문에 Data Grid Inc.의 ISMS에 중대한 결함이 발생할 위험이 낮다고 말했습니다. 따라서 그들은 Data Grid Inc.의 담당자에게 다음 질문을 하여 ISMS가 전체적으로 표준 요구 사항을 준수하는지 평가했습니다.
*IT 및 IT 통제에 대한 책임은 어떻게 정의되고 할당됩니까?
*Data Grid Inc.에서는 통제를 통해 원하는 결과가 달성되었는지 어떻게 평가합니까?
*Data Grid Inc.에서는 운영 환경과 데이터를 악성 소프트웨어로부터 보호하기 위해 어떤 제어 기능을 갖추고 있습니까?
*방화벽 관련 제어 기능이 구현되어 있습니까?
Data Grid Inc.의 대표자는 이러한 모든 질문에 답하기에 충분하고 적절한 증거를 제공했습니다.
감사팀장은 감사 결론을 초안하여 Data Grid Inc.의 최고 경영진에게 보고했습니다.
Data Grid Inc.는 감사원으로부터 인증을 권고받았지만, 감사 목표와 관련하여 Data Grid Inc.와 인증 기관 사이에 오해가 제기되었습니다. Data Grid Inc.는 감사 목표에 잠재적 개선 영역을 식별하는 것이 포함되어 있지만 감사팀은 그러한 정보를 제공하지 않았다고 말했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 5에 따라 감사팀은 ISMS 감사를 위한 Data Grid Inc.의 제안된 감사 기간에 동의하지 않았습니다. 이런 상황을 어떻게 설명하시겠습니까?
Data Grid Inc.는 감사 위임 조건에 동의한 감사팀을 임명했습니다. 또한 Data Grid Inc.는 감사 범위를 정의하고 감사 기준을 명시했으며 5일 이내에 감사를 마감할 것을 제안했습니다. 감사팀은 Data Grid Inc.가 5일 이내에 감사를 실시하겠다는 제안을 거부했습니다. 회사에는 직원이 많고 프로세스가 복잡하기 때문입니다. Data Grid Inc.는 5일 이내에 감사를 완료할 계획이라고 주장했기 때문에 양측은 정의된 기간 내에 감사를 실시하기로 합의했습니다. 감사팀은 위험 기반 감사 방식을 따랐습니다.
주요 비즈니스 프로세스와 통제에 대한 개요를 얻기 위해 감사팀은 프로세스 설명과 조직도에 접근했습니다. 그들은 IT 인프라와 애플리케이션에 대한 접근이 제한되어 IT 위험과 통제에 대한 심층 분석을 수행할 수 없었습니다. 그러나 감사팀은 대부분의 회사 프로세스가 자동화되었기 때문에 Data Grid Inc.의 ISMS에 중대한 결함이 발생할 위험이 낮다고 말했습니다. 따라서 그들은 Data Grid Inc.의 담당자에게 다음 질문을 하여 ISMS가 전체적으로 표준 요구 사항을 준수하는지 평가했습니다.
*IT 및 IT 통제에 대한 책임은 어떻게 정의되고 할당됩니까?
*Data Grid Inc.에서는 통제를 통해 원하는 결과가 달성되었는지 어떻게 평가합니까?
*Data Grid Inc.에서는 운영 환경과 데이터를 악성 소프트웨어로부터 보호하기 위해 어떤 제어 기능을 갖추고 있습니까?
*방화벽 관련 제어 기능이 구현되어 있습니까?
Data Grid Inc.의 대표자는 이러한 모든 질문에 답하기에 충분하고 적절한 증거를 제공했습니다.
감사팀장은 감사 결론을 초안하여 Data Grid Inc.의 최고 경영진에게 보고했습니다.
Data Grid Inc.는 감사원으로부터 인증을 권고받았지만, 감사 목표와 관련하여 Data Grid Inc.와 인증 기관 사이에 오해가 제기되었습니다. Data Grid Inc.는 감사 목표에 잠재적 개선 영역을 식별하는 것이 포함되어 있지만 감사팀은 그러한 정보를 제공하지 않았다고 말했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 5에 따라 감사팀은 ISMS 감사를 위한 Data Grid Inc.의 제안된 감사 기간에 동의하지 않았습니다. 이런 상황을 어떻게 설명하시겠습니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 82
'교정 조치'라는 용어는 무엇을 의미합니까? 하나를 선택하십시오.
ISO-IEC-27001-Lead-Auditor-KR 문제 83
ACT에서 우리가 하는 일은 무엇입니까? - PDCA 사이클에서
ISO-IEC-27001-Lead-Auditor-KR 문제 84
귀하는 의료 서비스를 제공하는 주거형 요양원에서 ISMS 감사를 수행하고 있습니다. 감사 계획의 다음 단계는 비즈니스 연속성 관리 프로세스의 정보 보안을 확인하는 것입니다. 감사 중에 조직이 최근 팬데믹 동안 요양 서비스를 계속하기 위해 비즈니스 연속성 계획(BCP) 중 하나를 활성화했다는 사실을 알게 되었습니다. 귀하는 서비스 관리자에게 조직이 비즈니스 연속성 관리 프로세스 동안 정보 보안을 어떻게 관리하는지 설명해 달라고 요청합니다.
서비스 관리자는 전염병에 대비한 간호 서비스 연속성 계획을 제시하고 그 과정을 다음과 같이 요약했습니다.
새로운 거주자의 입국을 중단합니다.
행정 직원의 70%, 의료진의 30%가 재택근무를 하게 됩니다.
직원들이 정기적으로 자가 검사를 실시하며, 사무실에 출근하기 1일 전에 음성 검사 보고서를 제출합니다.
ABC의 의료 모바일 앱을 설치하고, 발자국을 추적하고, 그 자리에서 확인할 수 있는 GREEN 건강 상태 QR 코드를 제시하세요.
서비스 관리자에게 직원이 재택근무할 때 관련 없는 가족 구성원이나 이해 관계자가 거주자의 개인 데이터에 액세스하는 것을 방지하는 방법을 묻습니다. 서비스 관리자는 대답할 수 없고 IT 보안 관리자가 도와야 한다고 제안합니다.
다른 영역을 더 조사하여 더 많은 감사 증거를 수집하고 싶을 것입니다. 감사 추적에 포함되지 않을 세 가지 옵션을 선택하세요.
서비스 관리자는 전염병에 대비한 간호 서비스 연속성 계획을 제시하고 그 과정을 다음과 같이 요약했습니다.
새로운 거주자의 입국을 중단합니다.
행정 직원의 70%, 의료진의 30%가 재택근무를 하게 됩니다.
직원들이 정기적으로 자가 검사를 실시하며, 사무실에 출근하기 1일 전에 음성 검사 보고서를 제출합니다.
ABC의 의료 모바일 앱을 설치하고, 발자국을 추적하고, 그 자리에서 확인할 수 있는 GREEN 건강 상태 QR 코드를 제시하세요.
서비스 관리자에게 직원이 재택근무할 때 관련 없는 가족 구성원이나 이해 관계자가 거주자의 개인 데이터에 액세스하는 것을 방지하는 방법을 묻습니다. 서비스 관리자는 대답할 수 없고 IT 보안 관리자가 도와야 한다고 제안합니다.
다른 영역을 더 조사하여 더 많은 감사 증거를 수집하고 싶을 것입니다. 감사 추적에 포함되지 않을 세 가지 옵션을 선택하세요.
ISO-IEC-27001-Lead-Auditor-KR 문제 85
다음 중 이해당사자의 정의는 무엇입니까?