ISO-IEC-27001-Lead-Auditor-KR 문제 1
이메일 계정을 계속 사용하려면 이름, 이메일, 비밀번호와 같은 정보를 보내야 한다는 내용의 이메일을 받았습니다. 이러한 정보를 보내지 않으면 이메일 계정이 비활성화됩니다. 이 시나리오는 무엇을 제공합니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 2
귀하는 클라이언트의 ISMS에 대한 제3자 감시 감사를 실시하고 있습니다. 귀하는 현재 데이터 센터의 안전한 보관 구역에 있으며, 조직의 고객은 사이트로 들어오거나 나가는 장비를 일시적으로 찾을 수 있습니다. 장비는 잠긴 캐비닛에 보관되어 있으며 각 캐비닛은 단일 특정 클라이언트에게 할당됩니다.
눈꼬치로 창고의 외부 문 근처에서 움직임이 보입니다. 그 후 큰 소리가 납니다. 가이드에게 무슨 일인지 묻습니다. 그들은 최근의 많은 비가 내려 지역 강 수위가 상승했고 쥐가 들끓었다고 말합니다. 소리는 전문 해충 구제 기절 장치가 작동되는 소리였습니다. 모서리에 있는 장치를 확인하니 그 안에 큰 움직이지 않는 쥐가 들어 있습니다.
다음으로 취해야 할 세 가지 조치는 무엇일까요?
눈꼬치로 창고의 외부 문 근처에서 움직임이 보입니다. 그 후 큰 소리가 납니다. 가이드에게 무슨 일인지 묻습니다. 그들은 최근의 많은 비가 내려 지역 강 수위가 상승했고 쥐가 들끓었다고 말합니다. 소리는 전문 해충 구제 기절 장치가 작동되는 소리였습니다. 모서리에 있는 장치를 확인하니 그 안에 큰 움직이지 않는 쥐가 들어 있습니다.
다음으로 취해야 할 세 가지 조치는 무엇일까요?
ISO-IEC-27001-Lead-Auditor-KR 문제 3
다음 중 감사를 위해 샘플링 계획을 사용하는 데 이점이 있는 두 가지 옵션은 무엇입니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 4
시나리오 8: EsBank는 9월부터 에스토니아 은행 부문에 은행 및 금융 솔루션을 제공합니다.
2010년. 이 회사는 전국에 100개가 넘는 ATM을 갖춘 30개 지점 네트워크를 보유하고 있습니다.
엄격하게 규제되는 산업에서 운영되는 EsBank는 데이터의 보안 및 개인 정보 보호와 관련된 많은 법률과 규정을 준수해야 합니다. 기술적 및 비기술적 통제를 구현하여 운영 전반에서 정보 보안을 관리해야 합니다. EsBank는 ISO/IEC에 기반한 ISMS를 구현하기로 결정했습니다.
27001은 보안을 강화하고 위험 관리를 강화하며 주요 법률 및 규정 요구 사항을 준수하기 때문에 선택되었습니다.
ISMS를 성공적으로 구현한 지 9개월 후, EsBank는 ISO/IEC 27001에 따라 독립 인증 기관에서 ISMS 인증을 받기로 결정했습니다. 인증 감사에는 EsBank의 모든 시스템, 프로세스, 기술이 포함되었습니다.
1단계와 2단계 감사는 공동으로 수행되었고 여러 가지 불일치 사항이 발견되었습니다. 첫 번째 불일치 사항은 EsBank의 정보 라벨링과 관련이 있었습니다. 이 회사에는 정보 분류 체계가 있었지만 정보 라벨링 절차가 없었습니다. 그 결과, 동일한 수준의 보호가 필요한 문서는 다르게 라벨링되었습니다(때로는 기밀로, 다른 경우에는 시급함).
모든 문서가 전자적으로 저장되었다는 점을 고려하면, 불일치는 미디어 처리에도 영향을 미쳤습니다. 감사팀은 샘플링을 사용하여 200개의 이동식 미디어 중 50개가 실수로 기밀로 분류된 민감한 정보를 저장하고 있다는 결론을 내렸습니다. 정보 분류 체계에 따르면, 기밀 정보는 이동식 미디어에 저장할 수 있지만 민감한 정보를 저장하는 것은 엄격히 금지되어 있습니다. 이는 다른 불일치를 표시했습니다.
그들은 불일치 사항 보고서를 작성하고 EsBank 담당자들과 감사 결론을 논의했으며, EsBank 담당자들은 발견된 불일치 사항에 대한 조치 계획을 2개월 이내에 제출하기로 합의했습니다.
EsBank는 감사팀 리더가 제안한 해결책을 수용했습니다. 그들은 물리적 형식과 전자적 형식 모두에 대한 분류 체계에 기반한 정보 라벨링 절차를 초안하여 불일치 사항을 해결했습니다.
이동식 미디어 절차도 이 절차를 기반으로 업데이트되었습니다.
감사가 완료된 지 2주 후, EsBank는 일반 행동 계획을 제출했습니다. 그곳에서 그들은 발견된 불일치 사항과 취해진 시정 조치를 다루었지만, 영향을 받은 시스템, 통제 또는 운영에 대한 세부 정보는 포함하지 않았습니다. 감사팀은 행동 계획을 평가하고 불일치 사항을 해결할 것이라고 결론지었습니다. 그러나 EsBank는 인증에 대한 불리한 권고를 받았습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 8에 따라 EsBank는 일반 행동 계획을 제출했습니다. 이것이 허용될 수 있습니까?
2010년. 이 회사는 전국에 100개가 넘는 ATM을 갖춘 30개 지점 네트워크를 보유하고 있습니다.
엄격하게 규제되는 산업에서 운영되는 EsBank는 데이터의 보안 및 개인 정보 보호와 관련된 많은 법률과 규정을 준수해야 합니다. 기술적 및 비기술적 통제를 구현하여 운영 전반에서 정보 보안을 관리해야 합니다. EsBank는 ISO/IEC에 기반한 ISMS를 구현하기로 결정했습니다.
27001은 보안을 강화하고 위험 관리를 강화하며 주요 법률 및 규정 요구 사항을 준수하기 때문에 선택되었습니다.
ISMS를 성공적으로 구현한 지 9개월 후, EsBank는 ISO/IEC 27001에 따라 독립 인증 기관에서 ISMS 인증을 받기로 결정했습니다. 인증 감사에는 EsBank의 모든 시스템, 프로세스, 기술이 포함되었습니다.
1단계와 2단계 감사는 공동으로 수행되었고 여러 가지 불일치 사항이 발견되었습니다. 첫 번째 불일치 사항은 EsBank의 정보 라벨링과 관련이 있었습니다. 이 회사에는 정보 분류 체계가 있었지만 정보 라벨링 절차가 없었습니다. 그 결과, 동일한 수준의 보호가 필요한 문서는 다르게 라벨링되었습니다(때로는 기밀로, 다른 경우에는 시급함).
모든 문서가 전자적으로 저장되었다는 점을 고려하면, 불일치는 미디어 처리에도 영향을 미쳤습니다. 감사팀은 샘플링을 사용하여 200개의 이동식 미디어 중 50개가 실수로 기밀로 분류된 민감한 정보를 저장하고 있다는 결론을 내렸습니다. 정보 분류 체계에 따르면, 기밀 정보는 이동식 미디어에 저장할 수 있지만 민감한 정보를 저장하는 것은 엄격히 금지되어 있습니다. 이는 다른 불일치를 표시했습니다.
그들은 불일치 사항 보고서를 작성하고 EsBank 담당자들과 감사 결론을 논의했으며, EsBank 담당자들은 발견된 불일치 사항에 대한 조치 계획을 2개월 이내에 제출하기로 합의했습니다.
EsBank는 감사팀 리더가 제안한 해결책을 수용했습니다. 그들은 물리적 형식과 전자적 형식 모두에 대한 분류 체계에 기반한 정보 라벨링 절차를 초안하여 불일치 사항을 해결했습니다.
이동식 미디어 절차도 이 절차를 기반으로 업데이트되었습니다.
감사가 완료된 지 2주 후, EsBank는 일반 행동 계획을 제출했습니다. 그곳에서 그들은 발견된 불일치 사항과 취해진 시정 조치를 다루었지만, 영향을 받은 시스템, 통제 또는 운영에 대한 세부 정보는 포함하지 않았습니다. 감사팀은 행동 계획을 평가하고 불일치 사항을 해결할 것이라고 결론지었습니다. 그러나 EsBank는 인증에 대한 불리한 권고를 받았습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 8에 따라 EsBank는 일반 행동 계획을 제출했습니다. 이것이 허용될 수 있습니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 5
다음 중 두 가지 문구가 비즈니스 프로세스의 계획-실행-확인-조치 주기와 관련하여 "계획"에 적용될까요?