ISO-IEC-27001-Lead-Auditor-KR 문제 96
귀하는 거주자가 항상 위치, 심박수, 혈압을 모니터링하기 위해 전자 손목 밴드를 착용하는 요양원에서 ISMS 감사를 수행하고 있습니다. 손목 밴드는 직원이 건강 관리를 모니터링하고 분석할 수 있도록 이 데이터를 클라우드 서버에 자동으로 업로드합니다.
이제 최고 경영진이 정보 보안 정책과 목표를 수립했는지 확인하고자 합니다. 모바일 기기 정책을 샘플링하고 이 정책의 보안 목표를 "원격근무 및 모바일 기기 사용의 보안을 보장하는 것"으로 식별합니다. 이 정책은 이를 달성하기 위해 다음과 같은 통제가 적용될 것이라고 명시합니다.
개인 모바일 기기는 요양원 네트워크에 연결하거나 거주자 데이터를 처리, 저장하는 것이 금지됩니다.
ISMS 범위에 해당하는 회사의 모바일 기기는 자산등록부에 등록되어야 합니다.
회사의 모바일 기기는 핀코드로 보호된 화면 잠금/잠금 해제, 얼굴 인식 또는 지문 인식을 통한 기기 잠금 해제 등 물리적 보호 기능을 구현하거나 활성화해야 합니다.
회사의 모바일 기기는 정기적으로 백업되어야 합니다.
모바일 기기 정책과 목표가 구현되어 효과적인지 확인하려면 감사 추적을 위한 세 가지 옵션을 선택하세요.
이제 최고 경영진이 정보 보안 정책과 목표를 수립했는지 확인하고자 합니다. 모바일 기기 정책을 샘플링하고 이 정책의 보안 목표를 "원격근무 및 모바일 기기 사용의 보안을 보장하는 것"으로 식별합니다. 이 정책은 이를 달성하기 위해 다음과 같은 통제가 적용될 것이라고 명시합니다.
개인 모바일 기기는 요양원 네트워크에 연결하거나 거주자 데이터를 처리, 저장하는 것이 금지됩니다.
ISMS 범위에 해당하는 회사의 모바일 기기는 자산등록부에 등록되어야 합니다.
회사의 모바일 기기는 핀코드로 보호된 화면 잠금/잠금 해제, 얼굴 인식 또는 지문 인식을 통한 기기 잠금 해제 등 물리적 보호 기능을 구현하거나 활성화해야 합니다.
회사의 모바일 기기는 정기적으로 백업되어야 합니다.
모바일 기기 정책과 목표가 구현되어 효과적인지 확인하려면 감사 추적을 위한 세 가지 옵션을 선택하세요.
ISO-IEC-27001-Lead-Auditor-KR 문제 97
질문
ISO/IEC 27001 인증을 받은 소프트웨어 개발 회사인 XYZ사가 인증 후 1년 만에 예정된 사후 심사 준비가 되어 있지 않다며 심사를 거부했습니다. 이러한 상황에서 즉각적인 결과는 무엇일까요?
ISO/IEC 27001 인증을 받은 소프트웨어 개발 회사인 XYZ사가 인증 후 1년 만에 예정된 사후 심사 준비가 되어 있지 않다며 심사를 거부했습니다. 이러한 상황에서 즉각적인 결과는 무엇일까요?
ISO-IEC-27001-Lead-Auditor-KR 문제 98
질문
보안 분석가가 조직의 내부 네트워크에 대한 침투 테스트를 수행하고 있습니다. 취약점 스캔 도구가 중요 서버에서 원격 코드 실행이 가능할 수 있는 고위험 취약점을 탐지했습니다. 그러나 시스템 구성 및 패치 수준에 대한 정보 부족으로 침투 테스터는 해당 취약점을 성공적으로 악용하지 못했습니다.
회사는 이 취약점을 확정된 보안 위험으로 즉시 간주해야 할까요?
보안 분석가가 조직의 내부 네트워크에 대한 침투 테스트를 수행하고 있습니다. 취약점 스캔 도구가 중요 서버에서 원격 코드 실행이 가능할 수 있는 고위험 취약점을 탐지했습니다. 그러나 시스템 구성 및 패치 수준에 대한 정보 부족으로 침투 테스터는 해당 취약점을 성공적으로 악용하지 못했습니다.
회사는 이 취약점을 확정된 보안 위험으로 즉시 간주해야 할까요?
ISO-IEC-27001-Lead-Auditor-KR 문제 99
시나리오 9: 테크매닉(Techmanic)은 1995년에 설립되어 현재 브뤼셀에서 운영 중인 벨기에 기업입니다. IT 컨설팅, 소프트웨어 설계, 하드웨어/소프트웨어 서비스(배포 및 유지보수 포함)를 제공합니다. 공공 서비스, 금융, 통신, 에너지, 의료, 교육 등 다양한 분야에 서비스를 제공하며, 고객 중심 기업으로서 강력한 고객 관계 구축과 최고 수준의 보안 관행을 최우선으로 생각합니다.
Techmanic은 ISO/IEC 27001 인증을 획득한 지 1년이 되었으며, 이 인증을 매우 자랑스럽게 생각합니다. 인증 심사 과정에서 심사관은 Techmanic의 ISMS 구현에 있어 몇 가지 불일치 사항을 발견했습니다. 하지만 이러한 사항들이 ISMS의 목표 달성 능력에 영향을 미치지 않았기 때문에, 심사관은 근본 원인 분석 및 시정 조치를 원격으로 진행한 후 Techmanic에 인증을 부여했습니다. 같은 해, Techmanic은 서비스 목록에 호스팅을 추가하고 해당 분야까지 인증 범위를 확장해 줄 것을 요청했습니다. 담당 심사관은 이 요청을 승인하고 Techmanic에 사후 심사 중에 확장 심사를 진행할 것이라고 통보했습니다. Techmanic은 사후 심사를 통해 자사의 ISMS가 ISO/IEC 27001을 준수하고 있으며, 지속적인 효과성을 유지하고 있는지 확인했습니다. 이번 사후 심사는 최근 추가된 호스팅 서비스를 포함한 Techmanic의 보안 관행이 인증의 엄격한 요구 사항을 완벽하게 충족하는지 확인하는 데 중점을 두었습니다. 심사관은 특히 IT 컨설팅 부문에서 추가 재인증 심사의 필요성을 없애기 위해 이전 사후 심사 보고서의 결과를 전략적으로 활용하여 재인증 절차를 진행했습니다. 지속적인 개선과 과거 평가로부터 배우는 것의 가치를 인식합니다.
테크매닉은 이전 사후 심사 보고서를 검토하는 관행을 도입했습니다. 이러한 선제적 접근 방식은 잠재적인 부적합 사항을 파악하고 해결하는 데 도움이 되었을 뿐만 아니라 IT 컨설팅 분야의 재인증 절차를 간소화하는 데에도 기여했습니다.
사후 심사 과정에서 몇 가지 부적합 사항이 발견되었습니다. 하지만 ISMS는 ISO/IEC 기준을 계속해서 충족했습니다.
테크매닉은 ISO/IEC 27001 요구사항을 충족했지만, 내부 감사자가 보고한 호스팅 서비스 관련 부적합 사항을 해결하지 못했습니다. 또한, 내부 감사 보고서에는 여러 가지 불일치가 있어 호스팅 서비스 감사 과정에서 내부 감사자의 독립성에 의문이 제기되었습니다. 이러한 이유로 확장 인증이 부여되지 않았습니다. 결과적으로 테크매닉은 다른 인증 기관으로의 이전을 요청했습니다. 이와 동시에 테크매닉은 고객들에게 ISO/IEC 27001 인증이 호스팅 서비스뿐만 아니라 IT 서비스까지 포함한다는 내용의 성명을 발표했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
시나리오 9에 따르면, 감사인은 사후감사 중에 추가감사를 실시하기로 결정했습니다.
이 상황을 어떻게 정의하시겠습니까?
Techmanic은 ISO/IEC 27001 인증을 획득한 지 1년이 되었으며, 이 인증을 매우 자랑스럽게 생각합니다. 인증 심사 과정에서 심사관은 Techmanic의 ISMS 구현에 있어 몇 가지 불일치 사항을 발견했습니다. 하지만 이러한 사항들이 ISMS의 목표 달성 능력에 영향을 미치지 않았기 때문에, 심사관은 근본 원인 분석 및 시정 조치를 원격으로 진행한 후 Techmanic에 인증을 부여했습니다. 같은 해, Techmanic은 서비스 목록에 호스팅을 추가하고 해당 분야까지 인증 범위를 확장해 줄 것을 요청했습니다. 담당 심사관은 이 요청을 승인하고 Techmanic에 사후 심사 중에 확장 심사를 진행할 것이라고 통보했습니다. Techmanic은 사후 심사를 통해 자사의 ISMS가 ISO/IEC 27001을 준수하고 있으며, 지속적인 효과성을 유지하고 있는지 확인했습니다. 이번 사후 심사는 최근 추가된 호스팅 서비스를 포함한 Techmanic의 보안 관행이 인증의 엄격한 요구 사항을 완벽하게 충족하는지 확인하는 데 중점을 두었습니다. 심사관은 특히 IT 컨설팅 부문에서 추가 재인증 심사의 필요성을 없애기 위해 이전 사후 심사 보고서의 결과를 전략적으로 활용하여 재인증 절차를 진행했습니다. 지속적인 개선과 과거 평가로부터 배우는 것의 가치를 인식합니다.
테크매닉은 이전 사후 심사 보고서를 검토하는 관행을 도입했습니다. 이러한 선제적 접근 방식은 잠재적인 부적합 사항을 파악하고 해결하는 데 도움이 되었을 뿐만 아니라 IT 컨설팅 분야의 재인증 절차를 간소화하는 데에도 기여했습니다.
사후 심사 과정에서 몇 가지 부적합 사항이 발견되었습니다. 하지만 ISMS는 ISO/IEC 기준을 계속해서 충족했습니다.
테크매닉은 ISO/IEC 27001 요구사항을 충족했지만, 내부 감사자가 보고한 호스팅 서비스 관련 부적합 사항을 해결하지 못했습니다. 또한, 내부 감사 보고서에는 여러 가지 불일치가 있어 호스팅 서비스 감사 과정에서 내부 감사자의 독립성에 의문이 제기되었습니다. 이러한 이유로 확장 인증이 부여되지 않았습니다. 결과적으로 테크매닉은 다른 인증 기관으로의 이전을 요청했습니다. 이와 동시에 테크매닉은 고객들에게 ISO/IEC 27001 인증이 호스팅 서비스뿐만 아니라 IT 서비스까지 포함한다는 내용의 성명을 발표했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
시나리오 9에 따르면, 감사인은 사후감사 중에 추가감사를 실시하기로 결정했습니다.
이 상황을 어떻게 정의하시겠습니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 100
다음 중 두 가지 문구가 비즈니스 프로세스의 계획-실행-확인-조치 주기와 관련하여 "조치"에 적용될까요?