ISO-IEC-27001-Lead-Auditor-KR 문제 86
귀하는 통신 서비스 제공업체의 제3자 감시 감사를 수행하는 감사팀 리더입니다. 귀하는 조직의 정보 보안 목표 감사에 대한 책임을 감사팀의 주니어 멤버에게 할당했습니다. 평가를 시작하기 전에 다음 질문을 하여 ISO/IEC 27001:2022 요구 사항에 대한 이해도를 확인합니다.
다음 중 정보 보안 목표가 충족해야 하는 4가지 기준은 무엇입니까?
다음 중 정보 보안 목표가 충족해야 하는 4가지 기준은 무엇입니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 87
귀하는 클라이언트의 데이터 센터에서 후속 감사를 수행하는 ISMS 감사팀 리더입니다.
현장에서 2일간의 조사를 거친 후, 후속 감사를 실시하게 된 원래의 12개 사소한 부적합 사항과 1개 중대한 부적합 사항 중 1개만이 아직 해결되지 않은 상태라는 결론을 내렸습니다.
당신이 취할 수 있는 조치에 대한 네 가지 옵션을 선택하세요.
현장에서 2일간의 조사를 거친 후, 후속 감사를 실시하게 된 원래의 12개 사소한 부적합 사항과 1개 중대한 부적합 사항 중 1개만이 아직 해결되지 않은 상태라는 결론을 내렸습니다.
당신이 취할 수 있는 조치에 대한 네 가지 옵션을 선택하세요.
ISO-IEC-27001-Lead-Auditor-KR 문제 88
감사원은 IT 부서 직원 15명 중 2명이 적절한 정보 보안 교육을 받지 못했다는 사실을 발견했습니다. 이는 무엇을 의미합니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 89
시나리오 3: NightCore는 미국에 본사를 둔 다국적 기술 회사로, 전자상거래, 클라우드 컴퓨팅, 디지털 스트리밍, 인공지능에 중점을 두고 있습니다. 8개월 이상 정보 보안 관리 시스템(ISMS)을 구현한 후, ISO/IEC 27001 인증을 받기 위해 제3자 감사를 실시하는 인증 기관과 계약을 맺었습니다.
인증 기관은 7명의 감사원 팀을 구성했습니다. 가장 경험이 많은 감사원인 잭이 감사팀 리더로 지정되었습니다. 그는 수년에 걸쳐 ISO/IEC 27001 리드 감사원, CISA, CISSP, CISM 등 많은 유명한 자격증을 취득했습니다.
Jack은 NightCore에서 구현한 모든 정보 보안 요구 사항과 통제를 연구하고 평가하여 ISMS 감사의 각 단계에 대한 철저한 분석을 수행했습니다. 2단계 감사 동안 Jack은 여러 가지 불일치 사항을 발견했습니다. 소프트웨어 라이선스에 대한 구매 송장 수를 소프트웨어 인벤토리와 비교한 후 Jack은 회사가 많은 컴퓨터에 소프트웨어의 불법 버전을 사용하고 있다는 것을 알아냈습니다. 그는 최고 경영진에게 이 불일치 사항에 대한 설명을 요청하고 이를 알고 있는지 확인하기로 결정했습니다. 그의 다음 단계는 NightCore의 IT 부서를 감사하는 것이었습니다. 최고 경영진은 NightCore의 시스템 관리자인 Tom을 가이드 역할을 맡고 Jack과 감사팀을 시스템 내부 작동과 디지털 자산 인프라로 안내하도록 지정했습니다.
재무부 직원을 인터뷰하는 동안 감사원들은 회사가 최근에 컨설턴트 중 한 명에게 비정상적으로 큰 거래를 했다는 사실을 발견했습니다. 거래에 대한 모든 필요한 세부 정보를 수집한 후, 잭은 최고 경영진을 직접 인터뷰하기로 결정했습니다.
첫 번째 불일치에 대해 논의할 때, 최고 경영진은 잭에게 더 저렴하기 때문에 원본 소프트웨어 대신 복사된 소프트웨어를 사용하기로 기꺼이 결정했다고 말했습니다. 잭은 NightCore의 최고 경영진에게 불법 버전의 소프트웨어를 사용하는 것은 ISO/IEC 27001 및 국가 법률 및 규정의 요구 사항에 어긋난다고 설명했습니다. 하지만 그들은 그것에 대해 괜찮은 듯했습니다.
감사가 끝난 지 몇 달 후, 잭은 감사 기간 동안 수집한 나이트코어의 정보 중 일부를 나이트코어의 경쟁사에게 엄청난 금액에 판매했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
잭은 소프트웨어에 대한 첫 번째 불일치를 식별했을 때 어떤 유형의 감사 증거를 수집했습니까? 시나리오 3을 참조하십시오.
인증 기관은 7명의 감사원 팀을 구성했습니다. 가장 경험이 많은 감사원인 잭이 감사팀 리더로 지정되었습니다. 그는 수년에 걸쳐 ISO/IEC 27001 리드 감사원, CISA, CISSP, CISM 등 많은 유명한 자격증을 취득했습니다.
Jack은 NightCore에서 구현한 모든 정보 보안 요구 사항과 통제를 연구하고 평가하여 ISMS 감사의 각 단계에 대한 철저한 분석을 수행했습니다. 2단계 감사 동안 Jack은 여러 가지 불일치 사항을 발견했습니다. 소프트웨어 라이선스에 대한 구매 송장 수를 소프트웨어 인벤토리와 비교한 후 Jack은 회사가 많은 컴퓨터에 소프트웨어의 불법 버전을 사용하고 있다는 것을 알아냈습니다. 그는 최고 경영진에게 이 불일치 사항에 대한 설명을 요청하고 이를 알고 있는지 확인하기로 결정했습니다. 그의 다음 단계는 NightCore의 IT 부서를 감사하는 것이었습니다. 최고 경영진은 NightCore의 시스템 관리자인 Tom을 가이드 역할을 맡고 Jack과 감사팀을 시스템 내부 작동과 디지털 자산 인프라로 안내하도록 지정했습니다.
재무부 직원을 인터뷰하는 동안 감사원들은 회사가 최근에 컨설턴트 중 한 명에게 비정상적으로 큰 거래를 했다는 사실을 발견했습니다. 거래에 대한 모든 필요한 세부 정보를 수집한 후, 잭은 최고 경영진을 직접 인터뷰하기로 결정했습니다.
첫 번째 불일치에 대해 논의할 때, 최고 경영진은 잭에게 더 저렴하기 때문에 원본 소프트웨어 대신 복사된 소프트웨어를 사용하기로 기꺼이 결정했다고 말했습니다. 잭은 NightCore의 최고 경영진에게 불법 버전의 소프트웨어를 사용하는 것은 ISO/IEC 27001 및 국가 법률 및 규정의 요구 사항에 어긋난다고 설명했습니다. 하지만 그들은 그것에 대해 괜찮은 듯했습니다.
감사가 끝난 지 몇 달 후, 잭은 감사 기간 동안 수집한 나이트코어의 정보 중 일부를 나이트코어의 경쟁사에게 엄청난 금액에 판매했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
잭은 소프트웨어에 대한 첫 번째 불일치를 식별했을 때 어떤 유형의 감사 증거를 수집했습니까? 시나리오 3을 참조하십시오.
ISO-IEC-27001-Lead-Auditor-KR 문제 90
금융 회사인 PayBell은 회계 소프트웨어를 사용하여 금융 거래를 추적하고 있습니다. 이 소프트웨어는 인터넷에 연결된 모든 곳에서 액세스할 수 있습니다. 또한 PayBell의 직원들이 서로 쉽게 협업하여 정확한 재무 보고를 보장할 수 있습니다. PayBell은 어떤 유형의 서비스를 사용하고 있습니까?