ISO-IEC-27001-Lead-Auditor-KR 문제 6
다음 진술을 검토하고 거짓인 두 가지를 판별하십시오.
ISO-IEC-27001-Lead-Auditor-KR 문제 7
초기 접촉 시에 물질성을 고려해야 하는 이유는 무엇입니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 8
귀하는 의료 서비스를 제공하는 주거형 요양원에서 ISMS 감사를 수행하고 있습니다. 감사 계획의 다음 단계는 정보 보안 사고 관리 프로세스를 확인하는 것입니다. IT 보안 관리자가 정보 보안 사고 관리 절차(문서 참조 ID:
ISMS_L2_16, 버전 4).
문서를 검토하고 "모든 정보 보안 취약점, 이벤트 및 사고는 식별 후 1시간 이내에 연락처(PoC)에 보고해야 합니다"라는 문구를 발견했습니다. 직원을 인터뷰할 때 "약점, 이벤트 및 사고"라는 문구의 의미에 대한 이해에 차이가 있음을 발견했습니다.
IT 보안 관리자는 6개월 전에 온라인 "정보 보안 처리" 교육 세미나를 실시했다고 설명했습니다. 인터뷰에 응한 모든 사람이 보고 연습과 과정 평가에 참여하여 통과했습니다.
다른 영역을 더 조사하여 더 많은 감사 증거를 수집하고 싶을 것입니다. 유효한 감사 추적이 아닌 세 가지 옵션을 선택하십시오.
ISMS_L2_16, 버전 4).
문서를 검토하고 "모든 정보 보안 취약점, 이벤트 및 사고는 식별 후 1시간 이내에 연락처(PoC)에 보고해야 합니다"라는 문구를 발견했습니다. 직원을 인터뷰할 때 "약점, 이벤트 및 사고"라는 문구의 의미에 대한 이해에 차이가 있음을 발견했습니다.
IT 보안 관리자는 6개월 전에 온라인 "정보 보안 처리" 교육 세미나를 실시했다고 설명했습니다. 인터뷰에 응한 모든 사람이 보고 연습과 과정 평가에 참여하여 통과했습니다.
다른 영역을 더 조사하여 더 많은 감사 증거를 수집하고 싶을 것입니다. 유효한 감사 추적이 아닌 세 가지 옵션을 선택하십시오.
ISO-IEC-27001-Lead-Auditor-KR 문제 9
시나리오 6: Sinvestment는 주택, 상업 및 생명 보험을 제공하는 보험 회사입니다. 이 회사는 노스캐롤라이나에서 설립되었지만 최근 유럽과 아프리카를 포함한 다른 지역으로 확장되었습니다.
Sinvestment는 해당 산업에 적용되는 법률 및 규정을 준수하고 정보 보안 사고를 예방하기 위해 최선을 다하고 있습니다. 그들은 ISO/IEC 27001을 기반으로 ISMS를 구현했으며 ISO/IEC 27001 인증을 신청했습니다.
인증 기관은 감사를 수행하기 위해 두 명의 감사원을 지정했습니다. Sinvestment와 기밀 유지 계약을 체결한 후 감사 활동을 시작했습니다. 먼저 ISMS 범위 선언, 정보 보안 정책 및 내부 감사 보고서를 포함하여 표준에서 요구하는 문서를 검토했습니다. Sinvestment가 문서화 절차를 갖추고 있다고 말했지만 모든 문서가 동일한 형식을 가지고 있지 않았기 때문에 검토 프로세스가 쉽지 않았습니다.
그런 다음 감사팀은 Sinvestment의 최고 경영진과 여러 차례 인터뷰를 진행하여 ISMS 구현에서 그들의 역할을 파악했습니다. 1단계 감사의 모든 활동은 Sinvestment의 요청에 따라 현장에서 진행된 문서화된 정보 검토를 제외하고 원격으로 수행되었습니다.
이 단계에서 감사원은 정보 보안 교육 및 인식 프로그램과 관련된 문서가 없다는 것을 발견했습니다. 질문을 받았을 때 Sinvestment의 대표는 회사가 모든 직원에게 정보 보안 교육 세션을 제공했다고 말했습니다. 1단계 감사를 통해 감사팀은 Sinvestment의 운영과 ISMS에 대한 일반적인 이해를 얻었습니다.
2단계 감사는 1단계 감사 3주 후에 실시되었습니다. 감사팀은 마케팅 부서(감사 범위에 포함되지 않음)에 직원의 접근 권한을 제어하는 절차가 없다는 것을 관찰했습니다. 직원의 접근 권한을 제어하는 것은 ISO/IEC 27001 요구 사항 중 하나이며 회사의 정보 보안 정책에 포함되었기 때문에 이 문제는 감사 보고서에 포함되었습니다. 또한 2단계 감사 중에 감사팀은 Sinvestment가 사용자 활동 로그를 기록하지 않았다는 것을 관찰했습니다.
회사 절차에는 "사용자 활동을 기록한 로그를 보관하고 정기적으로 검토해야 합니다."라고 명시되어 있지만, 회사는 이러한 절차의 구현에 대한 증거를 제시하지 않았습니다.
모든 감사 활동 동안 감사자는 관찰, 인터뷰, 문서화된 정보 검토, 분석 및 기술적 검증을 사용하여 정보와 증거를 수집했습니다. 1단계와 2단계의 모든 감사 결과를 분석했고 감사팀은 인증에 대한 긍정적인 권장 사항을 발행하기로 결정했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
감사팀은 회사의 요청에 따라 Sinvestment의 문서화된 정보를 현장에서 검토했습니다. 이것이 허용 가능할까요?
Sinvestment는 해당 산업에 적용되는 법률 및 규정을 준수하고 정보 보안 사고를 예방하기 위해 최선을 다하고 있습니다. 그들은 ISO/IEC 27001을 기반으로 ISMS를 구현했으며 ISO/IEC 27001 인증을 신청했습니다.
인증 기관은 감사를 수행하기 위해 두 명의 감사원을 지정했습니다. Sinvestment와 기밀 유지 계약을 체결한 후 감사 활동을 시작했습니다. 먼저 ISMS 범위 선언, 정보 보안 정책 및 내부 감사 보고서를 포함하여 표준에서 요구하는 문서를 검토했습니다. Sinvestment가 문서화 절차를 갖추고 있다고 말했지만 모든 문서가 동일한 형식을 가지고 있지 않았기 때문에 검토 프로세스가 쉽지 않았습니다.
그런 다음 감사팀은 Sinvestment의 최고 경영진과 여러 차례 인터뷰를 진행하여 ISMS 구현에서 그들의 역할을 파악했습니다. 1단계 감사의 모든 활동은 Sinvestment의 요청에 따라 현장에서 진행된 문서화된 정보 검토를 제외하고 원격으로 수행되었습니다.
이 단계에서 감사원은 정보 보안 교육 및 인식 프로그램과 관련된 문서가 없다는 것을 발견했습니다. 질문을 받았을 때 Sinvestment의 대표는 회사가 모든 직원에게 정보 보안 교육 세션을 제공했다고 말했습니다. 1단계 감사를 통해 감사팀은 Sinvestment의 운영과 ISMS에 대한 일반적인 이해를 얻었습니다.
2단계 감사는 1단계 감사 3주 후에 실시되었습니다. 감사팀은 마케팅 부서(감사 범위에 포함되지 않음)에 직원의 접근 권한을 제어하는 절차가 없다는 것을 관찰했습니다. 직원의 접근 권한을 제어하는 것은 ISO/IEC 27001 요구 사항 중 하나이며 회사의 정보 보안 정책에 포함되었기 때문에 이 문제는 감사 보고서에 포함되었습니다. 또한 2단계 감사 중에 감사팀은 Sinvestment가 사용자 활동 로그를 기록하지 않았다는 것을 관찰했습니다.
회사 절차에는 "사용자 활동을 기록한 로그를 보관하고 정기적으로 검토해야 합니다."라고 명시되어 있지만, 회사는 이러한 절차의 구현에 대한 증거를 제시하지 않았습니다.
모든 감사 활동 동안 감사자는 관찰, 인터뷰, 문서화된 정보 검토, 분석 및 기술적 검증을 사용하여 정보와 증거를 수집했습니다. 1단계와 2단계의 모든 감사 결과를 분석했고 감사팀은 인증에 대한 긍정적인 권장 사항을 발행하기로 결정했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
감사팀은 회사의 요청에 따라 Sinvestment의 문서화된 정보를 현장에서 검토했습니다. 이것이 허용 가능할까요?
ISO-IEC-27001-Lead-Auditor-KR 문제 10
귀하는 온라인 보험 회사의 제3자 감사를 수행하는 감사팀 리더입니다. 1단계에서 귀하는 조직이 매우 신중한 위험 접근 방식을 취하고 적용성 설명서에 ISO/IEC 27001:2022 부록 A의 모든 정보 보안 제어를 포함했다는 것을 발견했습니다.
2단계 감사 중에 감사팀은 3가지 통제(5.3 업무 분리, 6.1 스크리닝, 7.12 케이블 보안)의 구현을 위한 위험 처리 계획의 증거가 없다는 것을 발견했습니다. ISO 27001:2022의 조항 6.1.3.e에 대한 불일치를 제기합니다.
마감 회의에서 기술 책임자는 수정된 적용성 설명서에서 발췌한 내용(표시된 대로)을 발행하고 불일치 사항을 철회할 것을 요청합니다.
기술 책임자의 요청에 대한 감사팀 리더의 올바른 응답 중 세 가지를 선택하세요.
2단계 감사 중에 감사팀은 3가지 통제(5.3 업무 분리, 6.1 스크리닝, 7.12 케이블 보안)의 구현을 위한 위험 처리 계획의 증거가 없다는 것을 발견했습니다. ISO 27001:2022의 조항 6.1.3.e에 대한 불일치를 제기합니다.
마감 회의에서 기술 책임자는 수정된 적용성 설명서에서 발췌한 내용(표시된 대로)을 발행하고 불일치 사항을 철회할 것을 요청합니다.
기술 책임자의 요청에 대한 감사팀 리더의 올바른 응답 중 세 가지를 선택하세요.