ISO-IEC-27001-Lead-Auditor-KR 문제 46
귀하는 ICT 회수 서비스를 제공하는 조직에서 제3자 감시 감사를 수행하는 숙련된 ISMS 감사원입니다. 회사에서 더 이상 필요로 하지 않는 ICT 장비는 조직에서 처리합니다. 재위탁 및 재사용되거나 안전하게 파기됩니다.
방 구석의 벤치에 서버 두 대가 있는 것을 보았습니다. 두 대 모두 서버 이름, IP 주소, 관리자 비밀번호가 적힌 스티커가 붙어 있었습니다. ICT 관리자에게 물어보니, 어제 단골 손님에게서 받은 배송품의 일부라고 말했습니다.
어떤 조치를 취해야 할까요?
방 구석의 벤치에 서버 두 대가 있는 것을 보았습니다. 두 대 모두 서버 이름, IP 주소, 관리자 비밀번호가 적힌 스티커가 붙어 있었습니다. ICT 관리자에게 물어보니, 어제 단골 손님에게서 받은 배송품의 일부라고 말했습니다.
어떤 조치를 취해야 할까요?
ISO-IEC-27001-Lead-Auditor-KR 문제 47
CMM은 무엇을 뜻하나요?
ISO-IEC-27001-Lead-Auditor-KR 문제 48
시나리오 5: 런던에 위치한 보험 회사인 Cobt는 다양한 상업, 산업 및 생명 보험 상품을 제공합니다. 최근 몇 년 동안 Cobt의 고객 수는 크게 증가했습니다. 처리해야 할 데이터 양이 방대해짐에 따라, 회사는 ISO/IEC 27001 인증을 획득함으로써 정보 보안을 강화하고 지속적인 개선에 대한 의지를 보여줄 수 있을 것이라고 판단했습니다. 회사는 정기적인 위험 평가를 수행하는 데는 익숙했지만, 정보 보안 관리 시스템(ISMS)을 도입하면서 일상 업무에 상당한 변화가 생겼습니다. 위험 평가 과정에서 조직의 내부 통제 메커니즘을 통해 감지되거나 예방되지 않은 중대한 결함이 발생할 수 있는 위험이 확인되었습니다.
Cobt는 ISMS(정보 보안 관리 시스템) 구현을 위한 방법론을 따랐고, 불과 몇 달 만에 운영 가능한 ISMS를 구축했습니다. ISMS 구현에 성공한 후, Cobt는 ISO/IEC 27001 인증을 신청했습니다. 경험이 풍부한 심사원인 Sarah가 심사팀에 배정되었습니다. Sarah는 심사 제안서를 꼼꼼히 분석한 후 심사팀장으로서의 책임을 수락하고 즉시 Cobt에 대한 일반 정보를 수집하기 시작했습니다. 그녀는 심사 기준과 목표를 설정하고, 심사 계획을 수립하고, 심사팀 구성원들에게 책임을 할당했습니다.
사라는 Cobt가 다양한 상업 및 보험 솔루션을 제공하며 크게 확장했지만 여전히 일부 수동 프로세스에 의존하고 있음을 인지했습니다. 따라서 그녀의 초기 목표는 회사의 정보 보안 위험 관리 방식을 파악하는 것이었습니다. 사라는 Cobt 담당자에게 연락하여 감사 계획의 일부로 당초 합의된 대로 외부 검토를 위해 위험 관리 관련 정보에 대한 접근을 요청했습니다. 그러나 Cobt는 해당 정보가 회사 외부로 접근하기에는 너무 민감하다는 이유로 거부했습니다. 이러한 거부는 감사의 실현 가능성, 특히 피감사자의 협조 및 증거 접근성에 대한 우려를 불러일으켰습니다. 또한 Cobt는 감사 일정이 회사의 최근 변경 사항을 제대로 반영하지 못하고 있다고 지적하며, 감사 과정에서 수행될 조치가 초기 감사 범위에만 적용되고 최근 변경 사항은 포함하지 않는다고 우려를 제기했습니다. 사라는 또한 거부된 정보가 감사 목표에 미치는 중요성을 고려하여 상황의 중요성을 평가했습니다. 이 경우 Cobt의 거부는 감사의 완전성과 합리적인 확신을 제공할 수 있는 능력에 대한 의문을 제기했습니다. 이러한 상황들을 계기로, 사라 씨는 인증 계약 체결 전에 감사를 철회하기로 결정하고 Cobt와 인증 기관에 자신의 결정을 통보했습니다. 이러한 결정은 감사 원칙을 준수하고 투명성을 유지하기 위한 것이며, 사라 씨가 이러한 원칙을 꾸준히 지켜나가겠다는 의지를 보여주는 것입니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
시나리오 5에서 제공된 정보에 따르면, Cobt는 감사인에게 위험 관리 관련 정보를 제공하기를 거부했습니다. 감사인으로서 이러한 상황을 어떻게 해결하시겠습니까?
Cobt는 ISMS(정보 보안 관리 시스템) 구현을 위한 방법론을 따랐고, 불과 몇 달 만에 운영 가능한 ISMS를 구축했습니다. ISMS 구현에 성공한 후, Cobt는 ISO/IEC 27001 인증을 신청했습니다. 경험이 풍부한 심사원인 Sarah가 심사팀에 배정되었습니다. Sarah는 심사 제안서를 꼼꼼히 분석한 후 심사팀장으로서의 책임을 수락하고 즉시 Cobt에 대한 일반 정보를 수집하기 시작했습니다. 그녀는 심사 기준과 목표를 설정하고, 심사 계획을 수립하고, 심사팀 구성원들에게 책임을 할당했습니다.
사라는 Cobt가 다양한 상업 및 보험 솔루션을 제공하며 크게 확장했지만 여전히 일부 수동 프로세스에 의존하고 있음을 인지했습니다. 따라서 그녀의 초기 목표는 회사의 정보 보안 위험 관리 방식을 파악하는 것이었습니다. 사라는 Cobt 담당자에게 연락하여 감사 계획의 일부로 당초 합의된 대로 외부 검토를 위해 위험 관리 관련 정보에 대한 접근을 요청했습니다. 그러나 Cobt는 해당 정보가 회사 외부로 접근하기에는 너무 민감하다는 이유로 거부했습니다. 이러한 거부는 감사의 실현 가능성, 특히 피감사자의 협조 및 증거 접근성에 대한 우려를 불러일으켰습니다. 또한 Cobt는 감사 일정이 회사의 최근 변경 사항을 제대로 반영하지 못하고 있다고 지적하며, 감사 과정에서 수행될 조치가 초기 감사 범위에만 적용되고 최근 변경 사항은 포함하지 않는다고 우려를 제기했습니다. 사라는 또한 거부된 정보가 감사 목표에 미치는 중요성을 고려하여 상황의 중요성을 평가했습니다. 이 경우 Cobt의 거부는 감사의 완전성과 합리적인 확신을 제공할 수 있는 능력에 대한 의문을 제기했습니다. 이러한 상황들을 계기로, 사라 씨는 인증 계약 체결 전에 감사를 철회하기로 결정하고 Cobt와 인증 기관에 자신의 결정을 통보했습니다. 이러한 결정은 감사 원칙을 준수하고 투명성을 유지하기 위한 것이며, 사라 씨가 이러한 원칙을 꾸준히 지켜나가겠다는 의지를 보여주는 것입니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
시나리오 5에서 제공된 정보에 따르면, Cobt는 감사인에게 위험 관리 관련 정보를 제공하기를 거부했습니다. 감사인으로서 이러한 상황을 어떻게 해결하시겠습니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 49
귀하의 조직에서 예정된 정보 보안 감사를 방금 끝낸 순간, IT 관리자가 귀하에게 접근하여 회사의 위험 관리 프로세스를 개정하는 데 도움을 요청했습니다.
그는 다른 관리자들이 이해하기 쉽도록 현재 문서를 업데이트하려고 노력하고 있지만, 여러분의 논의에서 그가 몇 가지 핵심 용어를 혼동하고 있다는 것이 분명해졌습니다.
당신은 그에게 각 설명을 적절한 위험 용어와 매치하라고 요청합니다. 정답은 무엇이어야 할까요?
그는 다른 관리자들이 이해하기 쉽도록 현재 문서를 업데이트하려고 노력하고 있지만, 여러분의 논의에서 그가 몇 가지 핵심 용어를 혼동하고 있다는 것이 분명해졌습니다.
당신은 그에게 각 설명을 적절한 위험 용어와 매치하라고 요청합니다. 정답은 무엇이어야 할까요?
ISO-IEC-27001-Lead-Auditor-KR 문제 50
시나리오 4: 브랜딩은 미국에서 가장 유명한 기업들과 협력하는 마케팅 회사입니다.
내부 비용 절감을 위해 브랜딩(Branding)은 2년 이상 소프트웨어 개발 및 IT 헬프데스크 운영을 테크볼로지(Techvology)에 아웃소싱해 왔습니다. 필요한 전문성을 갖춘 테크볼로지는 브랜딩의 소프트웨어, 네트워크 및 하드웨어 요구 사항을 관리합니다. 브랜딩은 정보 보안 관리 시스템(ISMS)을 구축하고 ISO/IEC 27001 인증을 획득하여 높은 수준의 정보 보안 유지를 위한 노력을 입증하고 있습니다. 또한, 아웃소싱 운영의 보안이 ISO/IEC 27001 인증 요건을 준수하는지 확인하기 위해 테크볼로지에 대한 감사를 적극적으로 실시하고 있습니다.
지난 감사에서 브랜딩의 감사팀은 감사 대상 프로세스와 감사 일정을 정의했습니다. 특히 지난 한 해 동안 테크볼로지가 보고한 두 건의 정보 보안 사고를 고려하여 증거 기반 접근 방식을 채택했습니다. 감사의 초점은 이러한 사고에 대한 대응 방식과 아웃소싱 계약 조건 준수 여부를 평가하는 것이었습니다. 감사는 테크볼로지의 아웃소싱 운영 품질 모니터링 방식에 대한 종합적인 검토로 시작되었으며, 제공된 서비스가 브랜딩의 기대치와 합의된 기준을 충족하는지 평가했습니다. 감사팀은 또한 테크볼로지가 양사 간에 체결된 계약 요건을 준수했는지 여부를 확인했습니다. 이를 위해 아웃소싱 계약의 조항을 철저히 검토하여 정보 보안 조치를 포함한 모든 측면이 준수되고 있는지 확인했습니다.
또한, 이번 감사에는 테크놀로지(Techvology)가 아웃소싱 운영 및 기타 조직을 관리하는 데 사용하는 거버넌스 프로세스에 대한 심층적인 평가가 포함되었습니다. 이는 브랜딩(Branding)이 아웃소싱 계약과 관련된 잠재적 위험을 완화하기 위한 적절한 통제 및 감독 메커니즘이 마련되어 있는지 확인하는 데 매우 중요합니다.
감사팀은 테크볼로지의 다양한 직급 직원들을 대상으로 인터뷰를 진행하고 사고 해결 기록을 분석했습니다. 또한, 테크볼로지는 직원들을 대상으로 사고 관리 관련 인식 교육을 실시했다는 증거 자료를 제출했습니다. 수집된 정보를 바탕으로 감사팀은 두 건의 정보 보안 사고 모두 담당 직원의 역량 부족으로 인해 발생했다고 판단했습니다. 따라서 감사팀은 해당 사고에 연루된 직원들의 인사 파일을 열람하여 관련 경력, 자격증, 교육 이수 기록 등 역량을 입증할 수 있는 자료를 검토하고자 했습니다.
브랜딩의 감사팀은 확보된 증거의 타당성을 면밀히 평가하고, 문서화된 정보의 신뢰성을 의심하게 하거나 모순될 수 있는 증거가 있는지 주의 깊게 살폈습니다. 테크볼로지 감사 과정에서도 감사팀은 이러한 접근 방식을 유지하며, 사건 해결 기록을 면밀히 검토하고 다양한 직급과 직무의 직원들을 대상으로 심층 인터뷰를 진행했습니다. 감사팀은 테크볼로지 담당자의 말을 그대로 사실로 받아들이지 않고, 사건 관리 프로세스에 대한 담당자의 주장을 뒷받침할 구체적인 증거를 적극적으로 모색했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
감사인은 아웃소싱 운영에 대한 감사 절차를 성실히 준수했습니까?
내부 비용 절감을 위해 브랜딩(Branding)은 2년 이상 소프트웨어 개발 및 IT 헬프데스크 운영을 테크볼로지(Techvology)에 아웃소싱해 왔습니다. 필요한 전문성을 갖춘 테크볼로지는 브랜딩의 소프트웨어, 네트워크 및 하드웨어 요구 사항을 관리합니다. 브랜딩은 정보 보안 관리 시스템(ISMS)을 구축하고 ISO/IEC 27001 인증을 획득하여 높은 수준의 정보 보안 유지를 위한 노력을 입증하고 있습니다. 또한, 아웃소싱 운영의 보안이 ISO/IEC 27001 인증 요건을 준수하는지 확인하기 위해 테크볼로지에 대한 감사를 적극적으로 실시하고 있습니다.
지난 감사에서 브랜딩의 감사팀은 감사 대상 프로세스와 감사 일정을 정의했습니다. 특히 지난 한 해 동안 테크볼로지가 보고한 두 건의 정보 보안 사고를 고려하여 증거 기반 접근 방식을 채택했습니다. 감사의 초점은 이러한 사고에 대한 대응 방식과 아웃소싱 계약 조건 준수 여부를 평가하는 것이었습니다. 감사는 테크볼로지의 아웃소싱 운영 품질 모니터링 방식에 대한 종합적인 검토로 시작되었으며, 제공된 서비스가 브랜딩의 기대치와 합의된 기준을 충족하는지 평가했습니다. 감사팀은 또한 테크볼로지가 양사 간에 체결된 계약 요건을 준수했는지 여부를 확인했습니다. 이를 위해 아웃소싱 계약의 조항을 철저히 검토하여 정보 보안 조치를 포함한 모든 측면이 준수되고 있는지 확인했습니다.
또한, 이번 감사에는 테크놀로지(Techvology)가 아웃소싱 운영 및 기타 조직을 관리하는 데 사용하는 거버넌스 프로세스에 대한 심층적인 평가가 포함되었습니다. 이는 브랜딩(Branding)이 아웃소싱 계약과 관련된 잠재적 위험을 완화하기 위한 적절한 통제 및 감독 메커니즘이 마련되어 있는지 확인하는 데 매우 중요합니다.
감사팀은 테크볼로지의 다양한 직급 직원들을 대상으로 인터뷰를 진행하고 사고 해결 기록을 분석했습니다. 또한, 테크볼로지는 직원들을 대상으로 사고 관리 관련 인식 교육을 실시했다는 증거 자료를 제출했습니다. 수집된 정보를 바탕으로 감사팀은 두 건의 정보 보안 사고 모두 담당 직원의 역량 부족으로 인해 발생했다고 판단했습니다. 따라서 감사팀은 해당 사고에 연루된 직원들의 인사 파일을 열람하여 관련 경력, 자격증, 교육 이수 기록 등 역량을 입증할 수 있는 자료를 검토하고자 했습니다.
브랜딩의 감사팀은 확보된 증거의 타당성을 면밀히 평가하고, 문서화된 정보의 신뢰성을 의심하게 하거나 모순될 수 있는 증거가 있는지 주의 깊게 살폈습니다. 테크볼로지 감사 과정에서도 감사팀은 이러한 접근 방식을 유지하며, 사건 해결 기록을 면밀히 검토하고 다양한 직급과 직무의 직원들을 대상으로 심층 인터뷰를 진행했습니다. 감사팀은 테크볼로지 담당자의 말을 그대로 사실로 받아들이지 않고, 사건 관리 프로세스에 대한 담당자의 주장을 뒷받침할 구체적인 증거를 적극적으로 모색했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
감사인은 아웃소싱 운영에 대한 감사 절차를 성실히 준수했습니까?