ISO-IEC-27001-Lead-Auditor-KR 문제 116
인증 기관의 자회사인 Finnco는 한 조직에 ISMS 컨설팅 서비스를 제공했습니다.
이런 시나리오를 고려해 볼 때, 인증 기관은 언제 조직에 인증을 제공할 수 있을까?
이런 시나리오를 고려해 볼 때, 인증 기관은 언제 조직에 인증을 제공할 수 있을까?
ISO-IEC-27001-Lead-Auditor-KR 문제 117
귀하는 의료 서비스를 제공하는 주거형 요양원에서 ISMS 초기 인증 감사를 수행하고 있습니다. 감사 계획의 다음 단계는 마감 회의를 실시하는 것입니다. 최종 감사팀 회의에서 감사팀 리더로서 귀하는 아래와 같이 사소한 불일치 2개와 개선 기회 1개를 보고하는 데 동의합니다.
마감 회의에서 감사 대상자에게 조언할 감사 프로그램 관리자에 대한 권장 사항 중 하나를 선택하세요.
마감 회의에서 감사 대상자에게 조언할 감사 프로그램 관리자에 대한 권장 사항 중 하나를 선택하세요.
ISO-IEC-27001-Lead-Auditor-KR 문제 118
시나리오 4: SendPay는 에이전트와 금융 기관 네트워크를 통해 서비스를 제공하는 금융 회사입니다. 주요 서비스 중 하나는 전 세계로 송금하는 것입니다. 신생 회사인 SendPay는 고객에게 최고 품질의 서비스를 제공하고자 합니다. 이 회사는 국제 거래를 제공하기 때문에 고객의 신원, 거래 이유 및 거래를 완료하는 데 필요할 수 있는 기타 세부 정보와 같은 개인 정보를 제공하도록 요구합니다. 따라서 SendPay는 발생할 수 있는 정보 보안 위협을 탐지, 조사 및 대응하는 것을 포함하여 고객의 정보를 보호하기 위한 보안 조치를 구현했습니다. 안전한 서비스를 제공하려는 그들의 노력은 회사가 많은 시간과 리소스를 투자한 ISMS 구현 중에도 반영되었습니다.
작년에 SendPay는 스마트폰이나 노트북과 같은 전자 기기를 통해 추가 수수료 없이 돈을 거래할 수 있는 디지털 플랫폼을 공개했습니다. 이 플랫폼을 통해 SendPay의 고객은 언제 어디서나 돈을 보내고 받을 수 있습니다. 이 디지털 플랫폼은 SendPay가 회사 운영을 간소화하고 사업을 더욱 확장하는 데 도움이 되었습니다. 당시 SendPay는 소프트웨어 운영을 아웃소싱하고 있었기 때문에 이 프로젝트는 아웃소싱된 회사의 소프트웨어 개발 팀에서 완료했습니다.
같은 팀은 SendPay의 기술 인프라 유지관리도 담당했습니다.
최근 이 회사는 ISMS를 거의 1년 동안 도입한 후 ISO/IEC 27001 인증을 신청했습니다. 그들은 기준에 맞는 인증 기관과 계약을 맺었습니다. 얼마 지나지 않아 인증 기관은 SendPay의 ISMS를 감사하기 위해 4명의 감사원 팀을 임명했습니다.
감사 과정에서 다음과 같은 상황이 관찰되었습니다.
1. 아웃소싱 소프트웨어 회사가 사전 통지 없이 SendPay와의 계약을 종료했습니다. 그 결과 SendPay는 즉시 서비스를 사내로 다시 가져올 수 없었고 운영이 5일 동안 중단되었습니다. 감사원은 SendPay의 담당자에게 계약 종료 시 따를 계획이 있다는 증거를 제공해 달라고 요청했습니다. 담당자는 서류 증거를 제공하지 않았지만 면접 중에 감사원에게 SendPay의 최고 경영진이 비슷한 상황이 다시 발생하면 즉시 서비스를 제공할 수 있는 다른 두 소프트웨어 개발 회사를 파악했다고 말했습니다.
2. 소프트웨어 개발 회사에 아웃소싱된 활동의 모니터링과 관련하여 사용 가능한 증거가 없습니다. 다시 한번, SendPay의 대표는 감사원에게 소프트웨어 개발 회사와 정기적으로 소통하고 발생할 수 있는 모든 가능한 변경 사항에 대해 적절하게 정보를 받고 있다고 말했습니다.
3. 방화벽 테스트 중에 불일치 사항이 발견되지 않았습니다. 감사원은 이러한 서비스가 제공하는 보안 수준을 확인하기 위해 방화벽 구성을 테스트했습니다. 그들은 패킷 분석기를 사용하여 방화벽 정책을 테스트하여 실시간으로 전송되거나 수신된 패킷을 확인할 수 있었습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 4에 따라 감사원은 아웃소싱 운영의 모니터링 프로세스에 대한 서류 증거를 요청했습니다. 이는 무엇을 의미합니까?
작년에 SendPay는 스마트폰이나 노트북과 같은 전자 기기를 통해 추가 수수료 없이 돈을 거래할 수 있는 디지털 플랫폼을 공개했습니다. 이 플랫폼을 통해 SendPay의 고객은 언제 어디서나 돈을 보내고 받을 수 있습니다. 이 디지털 플랫폼은 SendPay가 회사 운영을 간소화하고 사업을 더욱 확장하는 데 도움이 되었습니다. 당시 SendPay는 소프트웨어 운영을 아웃소싱하고 있었기 때문에 이 프로젝트는 아웃소싱된 회사의 소프트웨어 개발 팀에서 완료했습니다.
같은 팀은 SendPay의 기술 인프라 유지관리도 담당했습니다.
최근 이 회사는 ISMS를 거의 1년 동안 도입한 후 ISO/IEC 27001 인증을 신청했습니다. 그들은 기준에 맞는 인증 기관과 계약을 맺었습니다. 얼마 지나지 않아 인증 기관은 SendPay의 ISMS를 감사하기 위해 4명의 감사원 팀을 임명했습니다.
감사 과정에서 다음과 같은 상황이 관찰되었습니다.
1. 아웃소싱 소프트웨어 회사가 사전 통지 없이 SendPay와의 계약을 종료했습니다. 그 결과 SendPay는 즉시 서비스를 사내로 다시 가져올 수 없었고 운영이 5일 동안 중단되었습니다. 감사원은 SendPay의 담당자에게 계약 종료 시 따를 계획이 있다는 증거를 제공해 달라고 요청했습니다. 담당자는 서류 증거를 제공하지 않았지만 면접 중에 감사원에게 SendPay의 최고 경영진이 비슷한 상황이 다시 발생하면 즉시 서비스를 제공할 수 있는 다른 두 소프트웨어 개발 회사를 파악했다고 말했습니다.
2. 소프트웨어 개발 회사에 아웃소싱된 활동의 모니터링과 관련하여 사용 가능한 증거가 없습니다. 다시 한번, SendPay의 대표는 감사원에게 소프트웨어 개발 회사와 정기적으로 소통하고 발생할 수 있는 모든 가능한 변경 사항에 대해 적절하게 정보를 받고 있다고 말했습니다.
3. 방화벽 테스트 중에 불일치 사항이 발견되지 않았습니다. 감사원은 이러한 서비스가 제공하는 보안 수준을 확인하기 위해 방화벽 구성을 테스트했습니다. 그들은 패킷 분석기를 사용하여 방화벽 정책을 테스트하여 실시간으로 전송되거나 수신된 패킷을 확인할 수 있었습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 4에 따라 감사원은 아웃소싱 운영의 모니터링 프로세스에 대한 서류 증거를 요청했습니다. 이는 무엇을 의미합니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 119
귀하는 통신사 공급업체에 대한 제3자 감시 감사를 실시하는 ISMS 감사원입니다. 귀하는 네트워크 스위치가 클라이언트에게 발송되기 전에 사전 프로그래밍되는 장비 스테이징 룸에 있습니다. 최근에 초기 구성 테스트에 실패하고 재프로그래밍을 위해 반환되는 스위치 수가 상당히 증가했다는 것을 알게 되었습니다.
수석 테스터에게 이유를 물었더니, 그녀는 '최근 ISMS 업그레이드의 결과입니다'라고 말했습니다. 업그레이드 전에는 각 기술자가 각자의 하드 카피 작업 지침을 가지고 있었습니다. 지금은 제 팀의 8명의 구성원이 클라이언트의 구성 지침에 온라인으로 액세스하기 위해 노트북 두 대를 공유해야 합니다. 이러한 지연은 기술자에게 압박을 가해 더 많은 실수를 저지르게 됩니다.
위의 정보만을 근거로 하여, ISO의 어느 조항에 대해 부적합 사항을 제기해야 합니까? 하나를 선택하십시오.
수석 테스터에게 이유를 물었더니, 그녀는 '최근 ISMS 업그레이드의 결과입니다'라고 말했습니다. 업그레이드 전에는 각 기술자가 각자의 하드 카피 작업 지침을 가지고 있었습니다. 지금은 제 팀의 8명의 구성원이 클라이언트의 구성 지침에 온라인으로 액세스하기 위해 노트북 두 대를 공유해야 합니다. 이러한 지연은 기술자에게 압박을 가해 더 많은 실수를 저지르게 됩니다.
위의 정보만을 근거로 하여, ISO의 어느 조항에 대해 부적합 사항을 제기해야 합니까? 하나를 선택하십시오.
ISO-IEC-27001-Lead-Auditor-KR 문제 120
귀하는 감사 프로그램을 관리하고 특정 감사에 대한 감사팀의 규모와 구성을 결정하는 책임자입니다. 고려해야 할 두 가지 요소를 선택하십시오.