ISO-IEC-27001-Lead-Auditor-KR 문제 91
정보 보안의 목적은 다음과 같습니다.
ISO-IEC-27001-Lead-Auditor-KR 문제 92
시나리오 8: EsBank는 9월부터 에스토니아 은행 부문에 은행 및 금융 솔루션을 제공합니다.
2010년. 이 회사는 전국에 100개가 넘는 ATM을 갖춘 30개 지점 네트워크를 보유하고 있습니다.
엄격하게 규제되는 산업에서 운영되는 EsBank는 데이터의 보안 및 개인 정보 보호와 관련된 많은 법률과 규정을 준수해야 합니다. 기술적 및 비기술적 통제를 구현하여 운영 전반에서 정보 보안을 관리해야 합니다. EsBank는 ISO/IEC에 기반한 ISMS를 구현하기로 결정했습니다.
27001은 보안을 강화하고 위험 관리를 강화하며 주요 법률 및 규정 요구 사항을 준수하기 때문에 선택되었습니다.
ISMS를 성공적으로 구현한 지 9개월 후, EsBank는 ISO/IEC 27001에 따라 독립 인증 기관에서 ISMS 인증을 받기로 결정했습니다. 인증 감사에는 EsBank의 모든 시스템, 프로세스, 기술이 포함되었습니다.
1단계와 2단계 감사는 공동으로 수행되었고 여러 가지 불일치 사항이 발견되었습니다. 첫 번째 불일치 사항은 EsBank의 정보 라벨링과 관련이 있었습니다. 이 회사에는 정보 분류 체계가 있었지만 정보 라벨링 절차가 없었습니다. 그 결과, 동일한 수준의 보호가 필요한 문서는 다르게 라벨링되었습니다(때로는 기밀로, 다른 경우에는 시급함).
모든 문서가 전자적으로 저장되었다는 점을 고려하면, 불일치는 미디어 처리에도 영향을 미쳤습니다. 감사팀은 샘플링을 사용하여 200개의 이동식 미디어 중 50개가 실수로 기밀로 분류된 민감한 정보를 저장하고 있다는 결론을 내렸습니다. 정보 분류 체계에 따르면, 기밀 정보는 이동식 미디어에 저장할 수 있지만 민감한 정보를 저장하는 것은 엄격히 금지되어 있습니다. 이는 다른 불일치를 표시했습니다.
그들은 불일치 사항 보고서를 작성하고 EsBank 담당자들과 감사 결론을 논의했으며, EsBank 담당자들은 발견된 불일치 사항에 대한 조치 계획을 2개월 이내에 제출하기로 합의했습니다.
EsBank는 감사팀 리더가 제안한 해결책을 수용했습니다. 그들은 물리적 형식과 전자적 형식 모두에 대한 분류 체계에 기반한 정보 라벨링 절차를 초안하여 불일치 사항을 해결했습니다.
이동식 미디어 절차도 이 절차를 기반으로 업데이트되었습니다.
감사가 완료된 지 2주 후, EsBank는 일반 행동 계획을 제출했습니다. 그곳에서 그들은 발견된 불일치 사항과 취해진 시정 조치를 다루었지만, 영향을 받은 시스템, 통제 또는 운영에 대한 세부 정보는 포함하지 않았습니다. 감사팀은 행동 계획을 평가하고 불일치 사항을 해결할 것이라고 결론지었습니다. 그러나 EsBank는 인증에 대한 불리한 권고를 받았습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 8에 따르면 감사팀은 행동 계획을 평가하고 이것이 탐지된 불일치를 해결할 것이라고 결론지었습니다. 이것이 허용 가능할까요?
2010년. 이 회사는 전국에 100개가 넘는 ATM을 갖춘 30개 지점 네트워크를 보유하고 있습니다.
엄격하게 규제되는 산업에서 운영되는 EsBank는 데이터의 보안 및 개인 정보 보호와 관련된 많은 법률과 규정을 준수해야 합니다. 기술적 및 비기술적 통제를 구현하여 운영 전반에서 정보 보안을 관리해야 합니다. EsBank는 ISO/IEC에 기반한 ISMS를 구현하기로 결정했습니다.
27001은 보안을 강화하고 위험 관리를 강화하며 주요 법률 및 규정 요구 사항을 준수하기 때문에 선택되었습니다.
ISMS를 성공적으로 구현한 지 9개월 후, EsBank는 ISO/IEC 27001에 따라 독립 인증 기관에서 ISMS 인증을 받기로 결정했습니다. 인증 감사에는 EsBank의 모든 시스템, 프로세스, 기술이 포함되었습니다.
1단계와 2단계 감사는 공동으로 수행되었고 여러 가지 불일치 사항이 발견되었습니다. 첫 번째 불일치 사항은 EsBank의 정보 라벨링과 관련이 있었습니다. 이 회사에는 정보 분류 체계가 있었지만 정보 라벨링 절차가 없었습니다. 그 결과, 동일한 수준의 보호가 필요한 문서는 다르게 라벨링되었습니다(때로는 기밀로, 다른 경우에는 시급함).
모든 문서가 전자적으로 저장되었다는 점을 고려하면, 불일치는 미디어 처리에도 영향을 미쳤습니다. 감사팀은 샘플링을 사용하여 200개의 이동식 미디어 중 50개가 실수로 기밀로 분류된 민감한 정보를 저장하고 있다는 결론을 내렸습니다. 정보 분류 체계에 따르면, 기밀 정보는 이동식 미디어에 저장할 수 있지만 민감한 정보를 저장하는 것은 엄격히 금지되어 있습니다. 이는 다른 불일치를 표시했습니다.
그들은 불일치 사항 보고서를 작성하고 EsBank 담당자들과 감사 결론을 논의했으며, EsBank 담당자들은 발견된 불일치 사항에 대한 조치 계획을 2개월 이내에 제출하기로 합의했습니다.
EsBank는 감사팀 리더가 제안한 해결책을 수용했습니다. 그들은 물리적 형식과 전자적 형식 모두에 대한 분류 체계에 기반한 정보 라벨링 절차를 초안하여 불일치 사항을 해결했습니다.
이동식 미디어 절차도 이 절차를 기반으로 업데이트되었습니다.
감사가 완료된 지 2주 후, EsBank는 일반 행동 계획을 제출했습니다. 그곳에서 그들은 발견된 불일치 사항과 취해진 시정 조치를 다루었지만, 영향을 받은 시스템, 통제 또는 운영에 대한 세부 정보는 포함하지 않았습니다. 감사팀은 행동 계획을 평가하고 불일치 사항을 해결할 것이라고 결론지었습니다. 그러나 EsBank는 인증에 대한 불리한 권고를 받았습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 8에 따르면 감사팀은 행동 계획을 평가하고 이것이 탐지된 불일치를 해결할 것이라고 결론지었습니다. 이것이 허용 가능할까요?
ISO-IEC-27001-Lead-Auditor-KR 문제 93
관리 시스템 감사의 맥락에서 정보를 수집하고 검증하는 일반적인 프로세스의 순서를 식별하세요. 첫 번째는 이미 완료되었습니다.
ISO-IEC-27001-Lead-Auditor-KR 문제 94
당신은 숙련된 ISMS 감사팀 리더로서 감사원의 교육을 지도하고 있습니다. 당신은 그녀에게 일련의 질문을 하여 후속 감사에 대한 그녀의 이해도를 테스트하고 있으며, 그 질문에 대한 답은 "참* 또는
'거짓'. 다음 질문 중 어느 네 가지가 정답이어야 할까요?
'거짓'. 다음 질문 중 어느 네 가지가 정답이어야 할까요?
ISO-IEC-27001-Lead-Auditor-KR 문제 95
아래 문장을 가장 잘 완성할 단어를 선택하여 제3자 감사 계획을 설명하세요.
가장 좋은 단어로 문장을 완성하려면, 완성하려는 빈 섹션을 클릭하여 빨간색으로 강조 표시한 다음 아래 옵션에서 해당 텍스트를 클릭합니다. 또는 해당 빈 섹션으로 옵션을 끌어서 놓을 수도 있습니다.
가장 좋은 단어로 문장을 완성하려면, 완성하려는 빈 섹션을 클릭하여 빨간색으로 강조 표시한 다음 아래 옵션에서 해당 텍스트를 클릭합니다. 또는 해당 빈 섹션으로 옵션을 끌어서 놓을 수도 있습니다.
