무료 온라인 액세스 PECB.ISO-IEC-27001-Lead-Auditor-KR.v2026-04-28.q207 모의 시험 (Page 20)

ISO-IEC-27001-Lead-Auditor-KR 문제 91

시나리오 9
소규모 네트워킹 회사인 클라우드포트는 네트워크 보안, 클라우드 컴퓨팅 및 가상화 솔루션을 제공합니다. 이 회사는 최근 ISO/IEC 27001 표준 기반의 정보 보안 관리 시스템(ISMS) 인증을 획득하여 인지도가 급증했으며, 이는 클라우드포트 운영의 성숙도를 입증하는 결과입니다.
CloudFort는 내부 감사를 통해 보안 통제를 지속적으로 검토하고 강화했으며, ISMS(정보 보안 관리 시스템)의 전반적인 효과성과 효율성을 개선해 왔습니다. 규모가 크고 객관성을 높이고자 하는 경영진의 요구에 따라, 내부 감사 기능을 외부에 위탁하여 감사 대상 활동으로부터 독립성을 유지하고 ISMS의 지속적인 개선에 자문 역할을 수행하도록 했습니다.
초기 인증 심사 후, 회사는 데이터 스토리지 솔루션 전문 부서를 신설했습니다. 이 부서는 데이터 센터에 최적화된 라우터와 스위치, 그리고 네트워크 가상화 및 네트워크 보안 어플라이언스와 같은 소프트웨어 기반 네트워킹 장치를 제공했습니다. 신설 부서로 인해 CloudFort는 위험 평가 프로세스와 내부 감사를 실시했습니다. 내부 감사 결과, 회사는 새로운 프로세스와 통제의 효과성과 효율성을 확인했습니다.
최고 경영진은 신설 부서가 ISO/IEC 27001 요구사항을 완벽하게 준수함을 확인한 후, 해당 부서를 인증 범위에 포함시키기로 결정했습니다. 그리고 부서의 프로세스와 보안 조치가 전체 정보보안관리시스템(ISMS)과 완벽하게 일치하도록 인증 범위 확대를 인증기관에 요청했습니다.
최초 인증 심사 후 1년 만에 인증 기관은 CloudFort의 정보 보안 관리 시스템(ISMS)에 대한 재심사를 실시했습니다. 이 심사는 CloudFort의 ISMS가 ISO/IEC 27001 표준 요구사항을 충족하는지 확인하고 지속적인 개선을 보장하기 위한 것이었습니다. 심사팀은 인증된 ISMS가 표준 요구사항을 충족함을 확인했습니다. 그러나 새로운 부서의 도입으로 전반적인 관리 시스템 운영 방식에 상당한 변화가 발생하여 기존 프로세스 및 통제를 업데이트해야 했습니다.
더욱이, 클라우드포트는 인증 범위 확장을 요청했음에도 불구하고, 신규 부서가 정보 보안 관리 시스템(ISMS)에 미치는 영향에 대한 최신 정보를 인증 기관에 적시에 제공하지 못했습니다. 따라서 클라우드포트의 인증은 정지되었습니다.
질문
시나리오 9에 따르면, CloudFort의 인증이 정지된 이유는 무엇입니까?

A. 승인된 범위를 넘어 인증을 적용했기 때문입니다. 범위 확장을 요청했음에도 불구하고 말입니다.

B. 내부 감사 기능을 외부 업체에 위탁했기 때문입니다.

C. 해당 ISMS가 표준의 요구 사항을 충족하지 못하기 때문입니다.

ISO-IEC-27001-Lead-Auditor-KR 문제 92

다음 중 참인 문장은 두 개입니다.

A. 해당 조직은 정보 보안 관리 시스템과 직접적으로 관련된 법률만 준수하면 됩니다.

B. 제3자 감사 중에 감사인은 조직이 법적 요구 사항의 변경 사항을 인지하도록 어떻게 보장하는지 평가합니다.

C. 조직은 법률 준수를 유지하기 위해 법률 환경을 검토하는 업무를 외부에 위탁할 수 없습니다.

D. 인증기관 심사의 일환으로 심사관은 조직의 법규 준수 여부를 확인할 책임이 있습니다.

E. 인증기관 심사 중에 심사관은 조직이 준수해야 하는 법규를 식별하는 문서화된 정보가 보관되도록 해야 합니다.

F. 인증기관 심사원의 역할은 조직의 프로세스를 평가하여 법적 요구 사항을 준수하는지 확인하는 것입니다.

정답: B,E

From Exact Extract:
Explanation for B (True):
This statement is true because ISO 27001 requires an organization to establish processes for identifying, reviewing, and complying with applicable legal, statutory, regulatory, and contractual obligations. A key part of this is being aware of changes to these requirements to maintain ongoing compliance. An auditor's role is to verify that the organization has such a process in place and that it is effective.
Reference:
ISO/IEC 27001:2022, Clause 6.1.3 "Information security risk treatment": While not directly stating "legal requirements," this clause implies that the organization must determine controls to treat information security risks, and compliance with legal requirements is a significant risk factor.
ISO/IEC 27001:2022, Annex A.5.31 "Legal, statutory, regulatory and contractual requirements": This control states: "The organization should identify, document, and comply with relevant legal, statutory, regulatory, and contractual requirements related to information security." This inherently includes processes for staying aware of changes.
ISO/IEC 27002:2022, 5.31 (Guidance for A.5.31): Provides more detail, emphasizing the need for processes to "identify all relevant legal, statutory, regulatory and contractual requirements, and to ensure that appropriate action is taken to comply with these requirements." This explicitly includes monitoring for changes.
ISO/IEC 17021-1:2015, Clause 9.1.2 "Audit objectives": An audit objective is to determine "the ability of the management system to ensure the client meets applicable statutory, regulatory and contractual requirements." This necessarily involves checking the process for identifying changes.
Explanation for E (True):
ISO 27001 mandates the retention of documented information for various aspects of the ISMS, including the identification of legal requirements. Auditors will look for evidence that the organization has indeed identified and documented the applicable legislation it needs to comply with.
Reference:
ISO/IEC 27001:2022, Clause 7.5.1 "General," 7.5.2 "Creating and updating documented information," and
7.5.3 "Control of documented information": These clauses generally require documented information to be maintained and retained as specified by the standard.
ISO/IEC 27001:2022, Annex A.5.31 "Legal, statutory, regulatory and contractual requirements": As mentioned above, this control explicitly states that the organization should "identify, document, and comply with relevant legal, statutory, regulatory and contractual requirements." The term "document" directly implies
"documented information is retained."
ISO/IEC 27002:2022, 5.31 (Guidance for A.5.31): Further elaborates that the identified requirements should be documented and kept up to date.
Explanation for A (False):
The organization is required to comply with all applicable legal, statutory, and regulatory requirements, as well as contractual obligations. Information security often intersects with broader legal frameworks (e.g., data protection, privacy, industry-specific regulations) that may not directly relate to the ISMS in a narrow sense, but are critical to the organization's overall compliance and its information security posture.
Reference:
ISO/IEC 27001:2022, Annex A.5.31 "Legal, statutory, regulatory and contractual requirements": This control does not limit compliance to only what "directly relates" but to "relevant" requirements. The scope of
"relevant" is determined by the organization's context, operations, and information it handles.
Explanation for C (False):
Organizations can and often do outsource tasks like legal environment reviews to specialized legal firms or subscribe to legal compliance services. The ISO 27001 standard does not prohibit outsourcing. However, the organization remains ultimately accountable for ensuring that these outsourced processes meet the requirements of the ISMS and that legal compliance is maintained. The auditor would verify the organization's oversight of such outsourced activities.
Reference:
ISO/IEC 27001:2022, Clause 8.1 "Operational planning and control": This clause states that organizations should "control planned changes and review the consequences of unintended changes, taking action to mitigate any adverse effects" and "ensure that outsourced processes are controlled." This implicitly allows outsourcing but requires control.
Explanation for D (False):
A certification body auditor's role is not to act as a legal compliance officer or to definitively verify the organization's actual legal compliance status (i.e., whether they are perfectly compliant with every law). That responsibility lies with the organization itself, often supported by its legal counsel. The auditor's role is to verify that the organization has established, implemented, and maintains an effective process for identifying, managing, and complying with legal requirements as required by ISO 27001. They audit the management system's approach to compliance, not the legal compliance outcome itself.
Reference:
ISO/IEC 17021-1:2015, Clause 9.1.2 "Audit objectives": States that the audit is to determine "the ability of the management system to ensure the client meets applicable statutory, regulatory and contractual requirements." It does not state the auditor's role is to legally verify compliance.
ISO/IEC 27001:2022, Introduction: Emphasizes that the standard specifies requirements for establishing, implementing, maintaining, and continually improving an ISMS, not for guaranteeing absolute legal compliance outside the scope of the ISMS processes.
Explanation for F (This statement is generally aligned with the role, but less precise as a 'sole true' statement compared to B and E):
While this statement is generally true about the auditor's role, its phrasing "to ensure compliance with their legal requirements" can be misinterpreted. As explained for D, the auditor evaluates the processes designed to achieve compliance, not the absolute legal compliance itself. However, in the context of multiple-choice questions where you pick the "most true" statements, it conveys a similar intent to B, but B and E are more precise regarding specific auditor actions and ISMS requirements. Given B and E are unequivocally true as specific audit actions/requirements, they are the stronger correct answers.
Reference:
ISO/IEC 17021-1:2015, Clause 9.1.2 "Audit objectives": As noted before, the audit objective includes evaluating the management system's ability to meet requirements. This aligns with evaluating processes.

ISO-IEC-27001-Lead-Auditor-KR 문제 93

시나리오 4: SendPay는 에이전트와 금융 기관 네트워크를 통해 서비스를 제공하는 금융 회사입니다. 주요 서비스 중 하나는 전 세계로 송금하는 것입니다. 신생 회사인 SendPay는 고객에게 최고 품질의 서비스를 제공하고자 합니다. 이 회사는 국제 거래를 제공하기 때문에 고객의 신원, 거래 이유 및 거래를 완료하는 데 필요할 수 있는 기타 세부 정보와 같은 개인 정보를 제공하도록 요구합니다. 따라서 SendPay는 발생할 수 있는 정보 보안 위협을 탐지, 조사 및 대응하는 것을 포함하여 고객의 정보를 보호하기 위한 보안 조치를 구현했습니다. 안전한 서비스를 제공하려는 그들의 노력은 회사가 많은 시간과 리소스를 투자한 ISMS 구현 중에도 반영되었습니다.
작년에 SendPay는 스마트폰이나 노트북과 같은 전자 기기를 통해 추가 수수료 없이 돈을 거래할 수 있는 디지털 플랫폼을 공개했습니다. 이 플랫폼을 통해 SendPay의 고객은 언제 어디서나 돈을 보내고 받을 수 있습니다. 이 디지털 플랫폼은 SendPay가 회사 운영을 간소화하고 사업을 더욱 확장하는 데 도움이 되었습니다. 당시 SendPay는 소프트웨어 운영을 아웃소싱하고 있었기 때문에 이 프로젝트는 아웃소싱된 회사의 소프트웨어 개발 팀에서 완료했습니다.
같은 팀은 SendPay의 기술 인프라 유지관리도 담당했습니다.
최근 이 회사는 ISMS를 거의 1년 동안 도입한 후 ISO/IEC 27001 인증을 신청했습니다. 그들은 기준에 맞는 인증 기관과 계약을 맺었습니다. 얼마 지나지 않아 인증 기관은 SendPay의 ISMS를 감사하기 위해 4명의 감사원 팀을 임명했습니다.
감사 과정에서 다음과 같은 상황이 관찰되었습니다.
1. 아웃소싱 소프트웨어 회사가 사전 통지 없이 SendPay와의 계약을 종료했습니다. 그 결과 SendPay는 즉시 서비스를 사내로 다시 가져올 수 없었고 운영이 5일 동안 중단되었습니다. 감사원은 SendPay의 담당자에게 계약 종료 시 따를 계획이 있다는 증거를 제공해 달라고 요청했습니다. 담당자는 서류 증거를 제공하지 않았지만 면접 중에 감사원에게 SendPay의 최고 경영진이 비슷한 상황이 다시 발생하면 즉시 서비스를 제공할 수 있는 다른 두 소프트웨어 개발 회사를 파악했다고 말했습니다.
2. 소프트웨어 개발 회사에 아웃소싱된 활동의 모니터링과 관련하여 사용 가능한 증거가 없습니다. 다시 한번, SendPay의 대표는 감사원에게 소프트웨어 개발 회사와 정기적으로 소통하고 발생할 수 있는 모든 가능한 변경 사항에 대해 적절하게 정보를 받고 있다고 말했습니다.
3. 방화벽 테스트 중에 불일치 사항이 발견되지 않았습니다. 감사원은 이러한 서비스가 제공하는 보안 수준을 확인하기 위해 방화벽 구성을 테스트했습니다. 그들은 패킷 분석기를 사용하여 방화벽 정책을 테스트하여 실시간으로 전송되거나 수신된 패킷을 확인할 수 있었습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
아웃소싱 운영의 모니터링 프로세스와 관련하여 얻은 증거를 어떻게 평가합니까? 시나리오 4를 참조하십시오.

A. 무관, 아웃소싱된 작업을 모니터링하는 것은 표준의 요구 사항이 아닙니다.

B. 신뢰할 수 없음. SendPay는 아웃소싱 운영 모니터링과 관련하여 구두 증거만 제공했습니다.

C. SendPay 담당자의 적절하고 충분한 구두 확인은 아웃소싱 작업을 모니터링해야 한다는 사실을 알고 있었음을 나타냅니다.

ISO-IEC-27001-Lead-Auditor-KR 문제 94

ISO/IEC 27001 인증을 받은 조직의 범위는 편집 및 웹 호스팅 서비스를 제공한다고 명시되어 있습니다. 그러나 조직의 일부 변경으로 인해 웹 호스팅 서비스와 관련된 기술 지원은 아웃소싱되었습니다. 이 경우 범위를 변경해야 합니까?

A. 예, 외부 환경의 모든 변경은 범위 변경을 시작하기 때문입니다.

B. 아니요, 변경 사항에는 새로운 보안 제어 구현이 필요하지 않습니다.

C. 아니요, 해당 조직은 이미 편집 및 웹 호스팅 서비스에 대한 인증을 받았기 때문입니다.

ISO-IEC-27001-Lead-Auditor-KR 문제 95

시나리오 4: 브랜딩은 미국에서 가장 유명한 기업들과 협력하는 마케팅 회사입니다.
내부 비용 절감을 위해 브랜딩(Branding)은 2년 이상 소프트웨어 개발 및 IT 헬프데스크 운영을 테크볼로지(Techvology)에 아웃소싱해 왔습니다. 필요한 전문성을 갖춘 테크볼로지는 브랜딩의 소프트웨어, 네트워크 및 하드웨어 요구 사항을 관리합니다. 브랜딩은 정보 보안 관리 시스템(ISMS)을 구축하고 ISO/IEC 27001 인증을 획득하여 높은 수준의 정보 보안 유지를 위한 노력을 입증하고 있습니다. 또한, 아웃소싱 운영의 보안이 ISO/IEC 27001 인증 요건을 준수하는지 확인하기 위해 테크볼로지에 대한 감사를 적극적으로 실시하고 있습니다.
지난 감사에서 브랜딩의 감사팀은 감사 대상 프로세스와 감사 일정을 정의했습니다. 특히 지난 한 해 동안 테크볼로지가 보고한 두 건의 정보 보안 사고를 고려하여 증거 기반 접근 방식을 채택했습니다. 감사의 초점은 이러한 사고에 대한 대응 방식과 아웃소싱 계약 조건 준수 여부를 평가하는 것이었습니다. 감사는 테크볼로지의 아웃소싱 운영 품질 모니터링 방식에 대한 종합적인 검토로 시작되었으며, 제공된 서비스가 브랜딩의 기대치와 합의된 기준을 충족하는지 평가했습니다. 감사팀은 또한 테크볼로지가 양사 간에 체결된 계약 요건을 준수했는지 여부를 확인했습니다. 이를 위해 아웃소싱 계약의 조항을 철저히 검토하여 정보 보안 조치를 포함한 모든 측면이 준수되고 있는지 확인했습니다.
또한, 이번 감사에는 테크놀로지(Techvology)가 아웃소싱 운영 및 기타 조직을 관리하는 데 사용하는 거버넌스 프로세스에 대한 심층적인 평가가 포함되었습니다. 이는 브랜딩(Branding)이 아웃소싱 계약과 관련된 잠재적 위험을 완화하기 위한 적절한 통제 및 감독 메커니즘이 마련되어 있는지 확인하는 데 매우 중요합니다.
감사팀은 테크볼로지의 다양한 직급 직원들을 대상으로 인터뷰를 진행하고 사고 해결 기록을 분석했습니다. 또한, 테크볼로지는 직원들을 대상으로 사고 관리 관련 인식 교육을 실시했다는 증거 자료를 제출했습니다. 수집된 정보를 바탕으로 감사팀은 두 건의 정보 보안 사고 모두 담당 직원의 역량 부족으로 인해 발생했다고 판단했습니다. 따라서 감사팀은 해당 사고에 연루된 직원들의 인사 파일을 열람하여 관련 경력, 자격증, 교육 이수 기록 등 역량을 입증할 수 있는 자료를 검토하고자 했습니다.
브랜딩의 감사팀은 확보된 증거의 타당성을 면밀히 평가하고, 문서화된 정보의 신뢰성을 의심하게 하거나 모순될 수 있는 증거가 있는지 주의 깊게 살폈습니다. 테크볼로지 감사 과정에서도 감사팀은 이러한 접근 방식을 유지하며, 사건 해결 기록을 면밀히 검토하고 다양한 직급과 직무의 직원들을 대상으로 심층 인터뷰를 진행했습니다. 감사팀은 테크볼로지 담당자의 말을 그대로 사실로 받아들이지 않고, 사건 관리 프로세스에 대한 담당자의 주장을 뒷받침할 구체적인 증거를 적극적으로 모색했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
ISO/IEC 27001 요구사항에 따르면, Techvology가 제공하는 서비스를 지속적으로 관리하기 위해 브랜딩이 필요한가요?

A. 네, 브랜딩 부서는 테크놀로지 서비스의 품질을 관리하고 모니터링하는 책임을 맡고 있습니다.

B. 네, 두 회사 간의 계약서에 명시된 요건인 경우에만 그렇습니다.

C. 아니요, 브랜딩 부서는 테크볼로지에서 제공하는 서비스를 관리할 책임은 없지만, 해당 서비스를 모니터링할 책임은 있습니다.