ISO-IEC-27001-Lead-Auditor-KR 문제 101
귀하는 ICT 재활용 서비스를 제공하는 조직에서 제3자 감시 감사를 수행하는 숙련된 ISMS 감사원입니다.
기업에서 더 이상 필요로 하지 않는 ICT 장비는 조직에서 처리합니다. 재위탁하여 재사용하거나 안전하게 파기합니다.
방 구석의 벤치에 서버 두 대가 있는 것을 보았습니다. 두 대 모두 서버 이름, IP 주소, 관리자 비밀번호가 적힌 스티커가 붙어 있었습니다.
당신은 ICT 매니저에게 그 제품에 대해 물었고, 그는 그 제품이 어제 단골 고객에게서 받은 배송품 중 하나라고 말했습니다.
어떤 조치를 취해야 할까요?
기업에서 더 이상 필요로 하지 않는 ICT 장비는 조직에서 처리합니다. 재위탁하여 재사용하거나 안전하게 파기합니다.
방 구석의 벤치에 서버 두 대가 있는 것을 보았습니다. 두 대 모두 서버 이름, IP 주소, 관리자 비밀번호가 적힌 스티커가 붙어 있었습니다.
당신은 ICT 매니저에게 그 제품에 대해 물었고, 그는 그 제품이 어제 단골 고객에게서 받은 배송품 중 하나라고 말했습니다.
어떤 조치를 취해야 할까요?
ISO-IEC-27001-Lead-Auditor-KR 문제 102
시나리오 9: 네트워킹 회사인 UpNet은 ISO/IEC 27001 인증을 받았습니다. 이 회사는 네트워크 보안, 가상화, 클라우드 컴퓨팅, 네트워크 하드웨어, 네트워크 관리 소프트웨어 및 네트워킹 기술을 제공합니다.
ISO/IEC 27001 인증을 획득한 이후 회사의 인지도가 크게 높아졌습니다. 이 인증은 UpNefs 운영의 성숙도와 널리 인정되고 수용되는 표준을 준수함을 확인했습니다.
하지만 인증 후 모든 것이 끝난 것은 아닙니다. UpNet은 내부 감사를 실시하여 보안 통제와 ISMS의 전반적인 효과성과 효율성을 지속적으로 검토하고 개선했습니다. 최고 경영진은 풀타임 내부 감사팀을 고용할 의향이 없었기 때문에 내부 감사 기능을 아웃소싱하기로 결정했습니다. 이러한 형태의 내부 감사는 독립성, 객관성을 보장했으며 ISMS의 지속적인 개선에 대한 자문 역할을 수행했습니다.
초기 인증 감사 후 얼마 지나지 않아 회사는 데이터 및 스토리지 제품을 전문으로 하는 새로운 부서를 만들었습니다. 그들은 데이터 센터와 네트워크 가상화 및 네트워크 보안 어플라이언스와 같은 소프트웨어 기반 네트워킹 장치에 최적화된 라우터와 스위치를 제공했습니다. 이로 인해 ISMS 인증 범위에 이미 포함된 다른 부서의 운영이 변경되었습니다.
따라서 UpNet은 위험 평가 프로세스와 내부 감사를 시작했습니다. 내부 감사 결과에 따라 회사는 기존 및 새로운 프로세스와 통제의 효과성과 효율성을 확인했습니다.
최고 경영진은 ISO/IEC 27001 요구 사항을 준수하기 때문에 새로운 부서를 인증 범위에 포함하기로 결정했습니다. UpNet은 ISO/IEC 27001 인증을 받았으며 인증 범위가 회사 전체를 포함한다고 발표했습니다.
최초 인증 감사 후 1년 만에, 인증 기관은 UpNefs ISMS에 대한 또 다른 감사를 실시했습니다.
이 감사는 UpNefs ISMS가 지정된 ISO/IEC 27001 요구 사항을 충족하는지 확인하고 ISMS가 지속적으로 개선되고 있는지 확인하는 것을 목표로 했습니다. 감사팀은 인증된 ISMS가 표준의 요구 사항을 계속 충족하고 있음을 확인했습니다. 그럼에도 불구하고 새로운 부서는 관리 시스템을 관리하는 데 상당한 영향을 미쳤습니다. 게다가 인증 기관에는 어떠한 변경 사항도 알리지 않았습니다. 따라서 UpNefs 인증은 중단되었습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
UpNet은 새로운 부서가 ISO/IEC 27001 요구 사항을 준수하도록 보장하면 ISMS 인증 범위가 회사 전체를 포괄한다고 발표했습니다. 시나리오 9에 설명된 이 상황을 어떻게 분류하시겠습니까?
ISO/IEC 27001 인증을 획득한 이후 회사의 인지도가 크게 높아졌습니다. 이 인증은 UpNefs 운영의 성숙도와 널리 인정되고 수용되는 표준을 준수함을 확인했습니다.
하지만 인증 후 모든 것이 끝난 것은 아닙니다. UpNet은 내부 감사를 실시하여 보안 통제와 ISMS의 전반적인 효과성과 효율성을 지속적으로 검토하고 개선했습니다. 최고 경영진은 풀타임 내부 감사팀을 고용할 의향이 없었기 때문에 내부 감사 기능을 아웃소싱하기로 결정했습니다. 이러한 형태의 내부 감사는 독립성, 객관성을 보장했으며 ISMS의 지속적인 개선에 대한 자문 역할을 수행했습니다.
초기 인증 감사 후 얼마 지나지 않아 회사는 데이터 및 스토리지 제품을 전문으로 하는 새로운 부서를 만들었습니다. 그들은 데이터 센터와 네트워크 가상화 및 네트워크 보안 어플라이언스와 같은 소프트웨어 기반 네트워킹 장치에 최적화된 라우터와 스위치를 제공했습니다. 이로 인해 ISMS 인증 범위에 이미 포함된 다른 부서의 운영이 변경되었습니다.
따라서 UpNet은 위험 평가 프로세스와 내부 감사를 시작했습니다. 내부 감사 결과에 따라 회사는 기존 및 새로운 프로세스와 통제의 효과성과 효율성을 확인했습니다.
최고 경영진은 ISO/IEC 27001 요구 사항을 준수하기 때문에 새로운 부서를 인증 범위에 포함하기로 결정했습니다. UpNet은 ISO/IEC 27001 인증을 받았으며 인증 범위가 회사 전체를 포함한다고 발표했습니다.
최초 인증 감사 후 1년 만에, 인증 기관은 UpNefs ISMS에 대한 또 다른 감사를 실시했습니다.
이 감사는 UpNefs ISMS가 지정된 ISO/IEC 27001 요구 사항을 충족하는지 확인하고 ISMS가 지속적으로 개선되고 있는지 확인하는 것을 목표로 했습니다. 감사팀은 인증된 ISMS가 표준의 요구 사항을 계속 충족하고 있음을 확인했습니다. 그럼에도 불구하고 새로운 부서는 관리 시스템을 관리하는 데 상당한 영향을 미쳤습니다. 게다가 인증 기관에는 어떠한 변경 사항도 알리지 않았습니다. 따라서 UpNefs 인증은 중단되었습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
UpNet은 새로운 부서가 ISO/IEC 27001 요구 사항을 준수하도록 보장하면 ISMS 인증 범위가 회사 전체를 포괄한다고 발표했습니다. 시나리오 9에 설명된 이 상황을 어떻게 분류하시겠습니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 103
귀하는 지역 병원과 정부 기관을 포함한 대규모 기관에 운송 서비스를 제공하는 국제 물류 기관의 발송 부서에서 정보 보안 관리 시스템 감사를 실시하고 있습니다.
소포에는 일반적으로 의약품, 생물학적 샘플, 여권, 운전면허증 등의 문서가 들어 있습니다.
회사 기록에 반품된 품목이 매우 많은데, 여기에는 잘못된 주소로 라벨이 붙은 경우와 15%의 경우 한 패키지에 다른 주소로 라벨이 두 개 이상 붙은 경우가 포함됩니다. 배송 관리자(SM)를 인터뷰하고 있습니다.
당신: 상품을 배송하기 전에 확인하시나요?
SM: 명백히 손상된 품목은 배송되기 전에 근무 직원이 제거하지만, 이익 마진이 적기 때문에 정식적인 검사 절차를 시행하는 것은 경제성이 없습니다.
당신: 품목이 반품되면 어떤 조치를 취하시나요?
SM: 이러한 계약의 대부분은 상대적으로 가치가 낮기 때문에 조사를 실시하는 것보다 단순히 라벨을 다시 인쇄하여 개별 소포를 다시 보내는 것이 더 쉽고 편리하다는 결정이 내려졌습니다.
ISO 27001:2022의 조항 8.1에 대해 불일치 사항을 제기합니다.
아래의 옵션 중 귀하가 발견한 불일치 사항을 가장 잘 설명하는 것은 무엇입니까?
소포에는 일반적으로 의약품, 생물학적 샘플, 여권, 운전면허증 등의 문서가 들어 있습니다.
회사 기록에 반품된 품목이 매우 많은데, 여기에는 잘못된 주소로 라벨이 붙은 경우와 15%의 경우 한 패키지에 다른 주소로 라벨이 두 개 이상 붙은 경우가 포함됩니다. 배송 관리자(SM)를 인터뷰하고 있습니다.
당신: 상품을 배송하기 전에 확인하시나요?
SM: 명백히 손상된 품목은 배송되기 전에 근무 직원이 제거하지만, 이익 마진이 적기 때문에 정식적인 검사 절차를 시행하는 것은 경제성이 없습니다.
당신: 품목이 반품되면 어떤 조치를 취하시나요?
SM: 이러한 계약의 대부분은 상대적으로 가치가 낮기 때문에 조사를 실시하는 것보다 단순히 라벨을 다시 인쇄하여 개별 소포를 다시 보내는 것이 더 쉽고 편리하다는 결정이 내려졌습니다.
ISO 27001:2022의 조항 8.1에 대해 불일치 사항을 제기합니다.
아래의 옵션 중 귀하가 발견한 불일치 사항을 가장 잘 설명하는 것은 무엇입니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 104
______로 분류된 정보나 데이터는 라벨을 지정할 필요가 없습니다.
ISO-IEC-27001-Lead-Auditor-KR 문제 105
제3자 인증 감사의 맥락에서, 감사와 감사팀을 관리하는 감사팀장의 관리 책임을 명시한 두 가지 옵션은 무엇입니까?