ISO-IEC-27001-Lead-Auditor-KR 문제 26
빅데이터와 같은 새로운 기술을 사용하면 감사에 어떤 영향을 미치나요?
ISO-IEC-27001-Lead-Auditor-KR 문제 27
귀하는 지역 병원과 정부 기관을 포함한 대규모 조직에 운송 서비스를 제공하는 국제 물류 기관의 발송 부서에서 ISMS 감사를 실시하고 있습니다. 소포에는 일반적으로 의약품, 생물학적 샘플, 여권 및 운전 면허증과 같은 문서가 들어 있습니다. 귀하는 회사 기록에 잘못된 주소로 라벨이 부착되어 있고 15%의 경우 한 패키지에 두 개 이상의 다른 주소로 라벨이 부착되어 있는 등 매우 많은 수의 반품 품목이 표시되어 있음을 확인합니다. 귀하는 운송 관리자(SM)를 인터뷰하고 있습니다.
당신: 상품을 배송하기 전에 확인하시나요?
SM: 명백히 손상된 품목은 배송되기 전에 근무 직원이 제거하지만, 이익 마진이 적기 때문에 정식적인 검사 절차를 시행하는 것은 경제성이 없습니다.
당신: 품목이 반품되면 어떤 조치를 취하시나요?
SM: 이러한 계약의 대부분은 상대적으로 가치가 낮기 때문에 조사를 실시하는 것보다 단순히 라벨을 다시 인쇄하여 개별 소포를 다시 보내는 것이 더 쉽고 편리하다는 결정이 내려졌습니다.
귀사는 라벨링 프로세스의 통제 부족을 근거로 ISO 27001:2022에 대한 부적합 사항을 제기했습니다.
마감 회의에서 운송 관리자는 자신의 의견이 오해되었을 수 있다는 사과를 합니다. 그는 올바른 라벨이 올바른 소포에 부착되었는지 자동으로 확인하는 백그라운드 IT 프로세스가 있다는 것을 몰랐다고 말합니다. 그렇지 않으면 라벨링 시 소포가 배출됩니다. 그는 귀하의 불일치를 철회해 달라고 요청합니다.
배송 관리자의 요청에 대해 감사팀 리더로서 내릴 수 있는 올바른 응답 중 세 가지를 선택하세요.
당신: 상품을 배송하기 전에 확인하시나요?
SM: 명백히 손상된 품목은 배송되기 전에 근무 직원이 제거하지만, 이익 마진이 적기 때문에 정식적인 검사 절차를 시행하는 것은 경제성이 없습니다.
당신: 품목이 반품되면 어떤 조치를 취하시나요?
SM: 이러한 계약의 대부분은 상대적으로 가치가 낮기 때문에 조사를 실시하는 것보다 단순히 라벨을 다시 인쇄하여 개별 소포를 다시 보내는 것이 더 쉽고 편리하다는 결정이 내려졌습니다.
귀사는 라벨링 프로세스의 통제 부족을 근거로 ISO 27001:2022에 대한 부적합 사항을 제기했습니다.
마감 회의에서 운송 관리자는 자신의 의견이 오해되었을 수 있다는 사과를 합니다. 그는 올바른 라벨이 올바른 소포에 부착되었는지 자동으로 확인하는 백그라운드 IT 프로세스가 있다는 것을 몰랐다고 말합니다. 그렇지 않으면 라벨링 시 소포가 배출됩니다. 그는 귀하의 불일치를 철회해 달라고 요청합니다.
배송 관리자의 요청에 대해 감사팀 리더로서 내릴 수 있는 올바른 응답 중 세 가지를 선택하세요.
ISO-IEC-27001-Lead-Auditor-KR 문제 28
귀하는 주거형 요양원인 ABC Healthcare Services에서 ISO 27001 ISMS 감시 감사를 실시하고 있습니다. ABC는 공급업체인 WeCare가 설계하고 유지 관리하는 의료 모바일 앱을 사용하여 거주자의 웰빙을 모니터링합니다. 감사 중에 거주자 가족 중 90%가 WeCare에서 일주일에 한 번 이메일과 SMS로 의료 기기 광고를 정기적으로 받는다는 사실을 알게 되었습니다. ABC와 WeCare 간의 서비스 계약은 공급업체가 거주자의 개인 데이터를 사용하는 것을 금지합니다. ABC는 거주자와 그 가족으로부터 많은 불만을 접수했습니다.
서비스 관리자는 불만 사항을 정보 보안 사고로 조사했으며, 불만 사항이 정당하다고 판단했다고 말했습니다.
부적합 및 시정조치 관리 절차에 따라 시정조치를 계획하고 실행하였습니다.
"ABC는 거주자와 그 가족의 개인 데이터와 관련된 정보 보안 제어 A.5.34(개인 정보 보호 및 PII 보호)를 준수하지 못했습니다. 공급업체인 WeCare는 거주자의 개인 정보를 사용하여 가족에게 광고를 보냈습니다."라는 불일치 사항을 작성합니다. 불일치 사항에 대응하여 ABC가 취할 것으로 기대하는 나열된 수정 및 시정 조치 중 세 가지 옵션을 선택합니다.
서비스 관리자는 불만 사항을 정보 보안 사고로 조사했으며, 불만 사항이 정당하다고 판단했다고 말했습니다.
부적합 및 시정조치 관리 절차에 따라 시정조치를 계획하고 실행하였습니다.
"ABC는 거주자와 그 가족의 개인 데이터와 관련된 정보 보안 제어 A.5.34(개인 정보 보호 및 PII 보호)를 준수하지 못했습니다. 공급업체인 WeCare는 거주자의 개인 정보를 사용하여 가족에게 광고를 보냈습니다."라는 불일치 사항을 작성합니다. 불일치 사항에 대응하여 ABC가 취할 것으로 기대하는 나열된 수정 및 시정 조치 중 세 가지 옵션을 선택합니다.
ISO-IEC-27001-Lead-Auditor-KR 문제 29
당신은 경험이 풍부한 ISMS 내부 감사원입니다.
귀사는 방금 조직의 예정된 정보 보안 감사를 마쳤는데, IT 관리자가 귀하에게 접근하여 회사의 적용성 설명서를 개정하는 데 도움을 요청했습니다.
IT 관리자는 ISO/IEC 27001:2022에 존재하는 4가지 통제 주제(조직 통제, 인적 통제, 물리적 통제, 기술적 통제)에 맞춰 ISO/IEC 27001:2013 기반 적용성 설명서를 업데이트하려고 시도하고 있습니다.
IT 관리자는 다음 예외를 제외하고 제어 재할당에 만족합니다. 그는 다음 각각이 4가지 제어 범주 중 어느 범주에 속해야 하는지 묻습니다.
귀사는 방금 조직의 예정된 정보 보안 감사를 마쳤는데, IT 관리자가 귀하에게 접근하여 회사의 적용성 설명서를 개정하는 데 도움을 요청했습니다.
IT 관리자는 ISO/IEC 27001:2022에 존재하는 4가지 통제 주제(조직 통제, 인적 통제, 물리적 통제, 기술적 통제)에 맞춰 ISO/IEC 27001:2013 기반 적용성 설명서를 업데이트하려고 시도하고 있습니다.
IT 관리자는 다음 예외를 제외하고 제어 재할당에 만족합니다. 그는 다음 각각이 4가지 제어 범주 중 어느 범주에 속해야 하는지 묻습니다.
ISO-IEC-27001-Lead-Auditor-KR 문제 30
비적합 및 법적 및 계약적 요구 사항 준수 실패와 관련된 비용은 다음을 정의할 때 평가됩니다.