ISO-IEC-27001-Lead-Auditor-KR 문제 106
귀하는 의료 서비스를 제공하는 ABC라는 요양원에서 ISMS 감사를 수행하고 있습니다.
감사 계획의 다음 단계는 ABC의 헬스케어 모바일 앱 개발, 지원 및 라이프사이클 프로세스의 정보 보안을 확인하는 것입니다. 감사 중에 조직이 모바일 앱 개발을 CMMI 레벨 5, ITSM(ISO/IEC 20000-1), BCMS(ISO 22301) 및 ISMS(ISO/IEC 27001) 인증을 받은 전문 소프트웨어 개발 조직에 아웃소싱했다는 사실을 알게 되었습니다.
IT 관리자는 소프트웨어 보안 관리 절차를 제시하고 프로세스를 다음과 같이 요약합니다.
모바일 앱 개발은 최소한 "보안 설계" 및 "보안 기본" 원칙을 채택해야 합니다. 개인 데이터 보호를 위한 다음 보안 기능을 사용할 수 있어야 합니다.
액세스 제어.
개인 데이터 암호화, 즉, 고급 암호화 표준(AES) 알고리즘, 키 길이: 256비트; 개인 데이터 가명화.
취약점 확인 및 보안 백도어 없음
최신 모바일 앱 테스트 보고서 샘플 - 참조 ID: 0098, 세부 사항은 다음과 같습니다.
다른 영역을 더 조사하여 더 많은 감사 증거를 수집하고 싶을 것입니다. 감사 추적에 포함되지 않을 세 가지 옵션을 선택하세요.
감사 계획의 다음 단계는 ABC의 헬스케어 모바일 앱 개발, 지원 및 라이프사이클 프로세스의 정보 보안을 확인하는 것입니다. 감사 중에 조직이 모바일 앱 개발을 CMMI 레벨 5, ITSM(ISO/IEC 20000-1), BCMS(ISO 22301) 및 ISMS(ISO/IEC 27001) 인증을 받은 전문 소프트웨어 개발 조직에 아웃소싱했다는 사실을 알게 되었습니다.
IT 관리자는 소프트웨어 보안 관리 절차를 제시하고 프로세스를 다음과 같이 요약합니다.
모바일 앱 개발은 최소한 "보안 설계" 및 "보안 기본" 원칙을 채택해야 합니다. 개인 데이터 보호를 위한 다음 보안 기능을 사용할 수 있어야 합니다.
액세스 제어.
개인 데이터 암호화, 즉, 고급 암호화 표준(AES) 알고리즘, 키 길이: 256비트; 개인 데이터 가명화.
취약점 확인 및 보안 백도어 없음
최신 모바일 앱 테스트 보고서 샘플 - 참조 ID: 0098, 세부 사항은 다음과 같습니다.
다른 영역을 더 조사하여 더 많은 감사 증거를 수집하고 싶을 것입니다. 감사 추적에 포함되지 않을 세 가지 옵션을 선택하세요.
ISO-IEC-27001-Lead-Auditor-KR 문제 107
시나리오 9: 네트워킹 회사인 UpNet은 ISO/IEC 27001 인증을 받았습니다. 이 회사는 네트워크 보안, 가상화, 클라우드 컴퓨팅, 네트워크 하드웨어, 네트워크 관리 소프트웨어 및 네트워킹 기술을 제공합니다.
ISO/IEC 27001 인증을 획득한 이후 회사의 인지도가 크게 높아졌습니다. 이 인증은 UpNefs 운영의 성숙도와 널리 인정되고 수용되는 표준을 준수함을 확인했습니다.
하지만 인증 후 모든 것이 끝난 것은 아닙니다. UpNet은 내부 감사를 실시하여 보안 통제와 ISMS의 전반적인 효과성과 효율성을 지속적으로 검토하고 개선했습니다. 최고 경영진은 풀타임 내부 감사팀을 고용할 의향이 없었기 때문에 내부 감사 기능을 아웃소싱하기로 결정했습니다. 이러한 형태의 내부 감사는 독립성, 객관성을 보장했으며 ISMS의 지속적인 개선에 대한 자문 역할을 수행했습니다.
초기 인증 감사 후 얼마 지나지 않아 회사는 데이터 및 스토리지 제품을 전문으로 하는 새로운 부서를 만들었습니다. 그들은 데이터 센터와 네트워크 가상화 및 네트워크 보안 어플라이언스와 같은 소프트웨어 기반 네트워킹 장치에 최적화된 라우터와 스위치를 제공했습니다. 이로 인해 ISMS 인증 범위에 이미 포함된 다른 부서의 운영이 변경되었습니다.
따라서 UpNet은 위험 평가 프로세스와 내부 감사를 시작했습니다. 내부 감사 결과에 따라 회사는 기존 및 새로운 프로세스와 통제의 효과성과 효율성을 확인했습니다.
최고 경영진은 ISO/IEC 27001 요구 사항을 준수하기 때문에 새로운 부서를 인증 범위에 포함하기로 결정했습니다. UpNet은 ISO/IEC 27001 인증을 받았으며 인증 범위가 회사 전체를 포함한다고 발표했습니다.
최초 인증 감사 후 1년 만에, 인증 기관은 UpNefs ISMS에 대한 또 다른 감사를 실시했습니다.
이 감사는 UpNefs ISMS가 지정된 ISO/IEC 27001 요구 사항을 충족하는지 확인하고 ISMS가 지속적으로 개선되고 있는지 확인하는 것을 목표로 했습니다. 감사팀은 인증된 ISMS가 표준의 요구 사항을 계속 충족하고 있음을 확인했습니다. 그럼에도 불구하고 새로운 부서는 관리 시스템을 관리하는 데 상당한 영향을 미쳤습니다. 게다가 인증 기관에는 어떠한 변경 사항도 알리지 않았습니다. 따라서 UpNefs 인증은 중단되었습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
UpNet은 내부 감사로부터 독립성, 객관성 및 자문 활동을 보장했습니다. 이 조치가 허용될 수 있습니까?
ISO/IEC 27001 인증을 획득한 이후 회사의 인지도가 크게 높아졌습니다. 이 인증은 UpNefs 운영의 성숙도와 널리 인정되고 수용되는 표준을 준수함을 확인했습니다.
하지만 인증 후 모든 것이 끝난 것은 아닙니다. UpNet은 내부 감사를 실시하여 보안 통제와 ISMS의 전반적인 효과성과 효율성을 지속적으로 검토하고 개선했습니다. 최고 경영진은 풀타임 내부 감사팀을 고용할 의향이 없었기 때문에 내부 감사 기능을 아웃소싱하기로 결정했습니다. 이러한 형태의 내부 감사는 독립성, 객관성을 보장했으며 ISMS의 지속적인 개선에 대한 자문 역할을 수행했습니다.
초기 인증 감사 후 얼마 지나지 않아 회사는 데이터 및 스토리지 제품을 전문으로 하는 새로운 부서를 만들었습니다. 그들은 데이터 센터와 네트워크 가상화 및 네트워크 보안 어플라이언스와 같은 소프트웨어 기반 네트워킹 장치에 최적화된 라우터와 스위치를 제공했습니다. 이로 인해 ISMS 인증 범위에 이미 포함된 다른 부서의 운영이 변경되었습니다.
따라서 UpNet은 위험 평가 프로세스와 내부 감사를 시작했습니다. 내부 감사 결과에 따라 회사는 기존 및 새로운 프로세스와 통제의 효과성과 효율성을 확인했습니다.
최고 경영진은 ISO/IEC 27001 요구 사항을 준수하기 때문에 새로운 부서를 인증 범위에 포함하기로 결정했습니다. UpNet은 ISO/IEC 27001 인증을 받았으며 인증 범위가 회사 전체를 포함한다고 발표했습니다.
최초 인증 감사 후 1년 만에, 인증 기관은 UpNefs ISMS에 대한 또 다른 감사를 실시했습니다.
이 감사는 UpNefs ISMS가 지정된 ISO/IEC 27001 요구 사항을 충족하는지 확인하고 ISMS가 지속적으로 개선되고 있는지 확인하는 것을 목표로 했습니다. 감사팀은 인증된 ISMS가 표준의 요구 사항을 계속 충족하고 있음을 확인했습니다. 그럼에도 불구하고 새로운 부서는 관리 시스템을 관리하는 데 상당한 영향을 미쳤습니다. 게다가 인증 기관에는 어떠한 변경 사항도 알리지 않았습니다. 따라서 UpNefs 인증은 중단되었습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
UpNet은 내부 감사로부터 독립성, 객관성 및 자문 활동을 보장했습니다. 이 조치가 허용될 수 있습니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 108
피싱은 어떤 유형의 정보 보안 사고입니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 109
시나리오 8: EsBank는 9월부터 에스토니아 은행 부문에 은행 및 금융 솔루션을 제공합니다.
2010년. 이 회사는 전국에 100개가 넘는 ATM을 갖춘 30개 지점 네트워크를 보유하고 있습니다.
엄격하게 규제되는 산업에서 운영되는 EsBank는 데이터의 보안 및 개인 정보 보호와 관련된 많은 법률과 규정을 준수해야 합니다. 기술적 및 비기술적 통제를 구현하여 운영 전반에서 정보 보안을 관리해야 합니다. EsBank는 ISO/IEC에 기반한 ISMS를 구현하기로 결정했습니다.
27001은 보안을 강화하고 위험 관리를 강화하며 주요 법률 및 규정 요구 사항을 준수하기 때문에 선택되었습니다.
ISMS를 성공적으로 구현한 지 9개월 후, EsBank는 ISO/IEC 27001에 따라 독립 인증 기관에서 ISMS 인증을 받기로 결정했습니다. 인증 감사에는 EsBank의 모든 시스템, 프로세스, 기술이 포함되었습니다.
1단계와 2단계 감사는 공동으로 수행되었고 여러 가지 불일치 사항이 발견되었습니다. 첫 번째 불일치 사항은 EsBank의 정보 라벨링과 관련이 있었습니다. 이 회사에는 정보 분류 체계가 있었지만 정보 라벨링 절차가 없었습니다. 그 결과, 동일한 수준의 보호가 필요한 문서는 다르게 라벨링되었습니다(때로는 기밀로, 다른 경우에는 시급함).
모든 문서가 전자적으로 저장되었다는 점을 고려하면, 불일치는 미디어 처리에도 영향을 미쳤습니다. 감사팀은 샘플링을 사용하여 200개의 이동식 미디어 중 50개가 실수로 기밀로 분류된 민감한 정보를 저장하고 있다는 결론을 내렸습니다. 정보 분류 체계에 따르면, 기밀 정보는 이동식 미디어에 저장할 수 있지만 민감한 정보를 저장하는 것은 엄격히 금지되어 있습니다. 이는 다른 불일치를 표시했습니다.
그들은 불일치 사항 보고서를 작성하고 EsBank 담당자들과 감사 결론을 논의했으며, EsBank 담당자들은 발견된 불일치 사항에 대한 조치 계획을 2개월 이내에 제출하기로 합의했습니다.
EsBank는 감사팀 리더가 제안한 해결책을 수용했습니다. 그들은 물리적 형식과 전자적 형식 모두에 대한 분류 체계에 기반한 정보 라벨링 절차를 초안하여 불일치 사항을 해결했습니다.
이동식 미디어 절차도 이 절차를 기반으로 업데이트되었습니다.
감사가 완료된 지 2주 후, EsBank는 일반 행동 계획을 제출했습니다. 그곳에서 그들은 발견된 불일치 사항과 취해진 시정 조치를 다루었지만, 영향을 받은 시스템, 통제 또는 운영에 대한 세부 정보는 포함하지 않았습니다. 감사팀은 행동 계획을 평가하고 불일치 사항을 해결할 것이라고 결론지었습니다. 그러나 EsBank는 인증에 대한 불리한 권고를 받았습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
EsBank는 정보 라벨링 절차를 초안함으로써 다음을 달성했습니다.
2010년. 이 회사는 전국에 100개가 넘는 ATM을 갖춘 30개 지점 네트워크를 보유하고 있습니다.
엄격하게 규제되는 산업에서 운영되는 EsBank는 데이터의 보안 및 개인 정보 보호와 관련된 많은 법률과 규정을 준수해야 합니다. 기술적 및 비기술적 통제를 구현하여 운영 전반에서 정보 보안을 관리해야 합니다. EsBank는 ISO/IEC에 기반한 ISMS를 구현하기로 결정했습니다.
27001은 보안을 강화하고 위험 관리를 강화하며 주요 법률 및 규정 요구 사항을 준수하기 때문에 선택되었습니다.
ISMS를 성공적으로 구현한 지 9개월 후, EsBank는 ISO/IEC 27001에 따라 독립 인증 기관에서 ISMS 인증을 받기로 결정했습니다. 인증 감사에는 EsBank의 모든 시스템, 프로세스, 기술이 포함되었습니다.
1단계와 2단계 감사는 공동으로 수행되었고 여러 가지 불일치 사항이 발견되었습니다. 첫 번째 불일치 사항은 EsBank의 정보 라벨링과 관련이 있었습니다. 이 회사에는 정보 분류 체계가 있었지만 정보 라벨링 절차가 없었습니다. 그 결과, 동일한 수준의 보호가 필요한 문서는 다르게 라벨링되었습니다(때로는 기밀로, 다른 경우에는 시급함).
모든 문서가 전자적으로 저장되었다는 점을 고려하면, 불일치는 미디어 처리에도 영향을 미쳤습니다. 감사팀은 샘플링을 사용하여 200개의 이동식 미디어 중 50개가 실수로 기밀로 분류된 민감한 정보를 저장하고 있다는 결론을 내렸습니다. 정보 분류 체계에 따르면, 기밀 정보는 이동식 미디어에 저장할 수 있지만 민감한 정보를 저장하는 것은 엄격히 금지되어 있습니다. 이는 다른 불일치를 표시했습니다.
그들은 불일치 사항 보고서를 작성하고 EsBank 담당자들과 감사 결론을 논의했으며, EsBank 담당자들은 발견된 불일치 사항에 대한 조치 계획을 2개월 이내에 제출하기로 합의했습니다.
EsBank는 감사팀 리더가 제안한 해결책을 수용했습니다. 그들은 물리적 형식과 전자적 형식 모두에 대한 분류 체계에 기반한 정보 라벨링 절차를 초안하여 불일치 사항을 해결했습니다.
이동식 미디어 절차도 이 절차를 기반으로 업데이트되었습니다.
감사가 완료된 지 2주 후, EsBank는 일반 행동 계획을 제출했습니다. 그곳에서 그들은 발견된 불일치 사항과 취해진 시정 조치를 다루었지만, 영향을 받은 시스템, 통제 또는 운영에 대한 세부 정보는 포함하지 않았습니다. 감사팀은 행동 계획을 평가하고 불일치 사항을 해결할 것이라고 결론지었습니다. 그러나 EsBank는 인증에 대한 불리한 권고를 받았습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
EsBank는 정보 라벨링 절차를 초안함으로써 다음을 달성했습니다.
ISO-IEC-27001-Lead-Auditor-KR 문제 110
내부 감사와 외부 감사는 어떤 관련이 있나요?