ISO-IEC-27001-Lead-Auditor-KR 문제 116
시나리오 6: Cyber ACrypt는 악성코드 방지 및 장치 보안, 자산 수명 주기 관리, 장치 암호화를 제공하여 엔드포인트 보호 서비스를 제공하는 사이버 보안 회사입니다. ISO/IEC 27001에 따라 자사의 ISMS를 검증하고 사이버 보안 우수성에 대한 노력을 입증하기 위해, 이 회사는 임명된 감사팀장인 존이 주도하는 철저한 감사 과정을 거쳤습니다.
감사 위임을 수락한 존은 즉시 감사 계획과 팀 구성원의 역할을 설명하는 회의를 소집했습니다. 이 단계는 팀이 감사의 목표와 범위에 맞춰 나갈 수 있도록 하는 데 매우 중요했습니다. 그러나 사이버 크립트 직원들을 대상으로 한 초기 발표에서 감사의 범위와 목표에 대한 이해에 상당한 격차가 드러났고, 이는 회사 내 준비 부족 가능성을 시사했습니다. 1단계 감사가 시작되면서 팀은 현장 활동을 위한 준비를 시작했습니다. 감사팀은 사이버 어크립트의 정보 보안 정책 및 운영 절차를 포함한 문서화된 정보를 검토하여 각 문서가 작성자, 작성일, 버전 번호 및 승인일을 포함하여 표준화된 형식을 준수하는지 확인했습니다. 또한 각 문서에 표준의 해당 조항에서 요구하는 정보가 포함되어 있는지 확인했습니다. 이 단계에서 작업 실행을 설명하는 문서에 대한 상세 감사는 불필요하다는 점이 밝혀져 프로세스가 간소화되고 감사팀은 핵심 영역에 집중할 수 있었습니다. 현장 활동 단계에서는 사이버 어크립트의 정책에 대한 경영진의 책임을 평가했습니다. 이 철저한 검토는 지속적인 개선과 ISMS 요구 사항 준수 여부를 확인하기 위한 것이었습니다. 이후 1단계 감사 결과 문서 작성 단계에서 감사팀은 1단계 목표 달성과 관련된 결론을 강조하며 감사 결과를 꼼꼼하게 문서화했습니다. 이 문서는 감사팀과 사이버 어크립트가 예비 감사 결과와 개선이 필요한 영역을 이해하는 데 매우 중요했습니다.
감사팀은 주요 이해 관계자들과 인터뷰를 진행하기로 결정했습니다. 이러한 결정은 경영 시스템이 ISO 표준을 준수하는지 검증하기 위한 확실한 감사 증거를 수집하려는 목적에 따른 것이었습니다.
IEC 27001 요구사항을 준수했습니다. 사이버 크립트의 다양한 직급의 이해 관계자들과 소통하면서 감사팀은 귀중한 관점을 얻고 ISMS의 구현 및 효과성을 이해할 수 있었습니다.
1단계 감사 보고서에서 중요한 문제점들이 드러났습니다. 적용 범위 명세서(SoA)와 정보보안관리시스템(ISMS) 정책은 불충분한 위험 평가, 부적절한 접근 제어, 정기적인 정책 검토 부족 등 여러 측면에서 미흡한 것으로 나타났습니다. 이에 사이버 크립트는 이러한 문제점들을 해결하기 위해 즉각적인 조치를 취했습니다. 신속한 대응과 전략 문서 수정은 규정 준수 달성에 대한 강력한 의지를 보여주었습니다.
감사팀의 사이버 보안 지식 격차를 해소하기 위해 투입된 기술 전문가는 위험 평가 방법론의 미비점을 파악하고 네트워크 아키텍처를 검토하는 데 중추적인 역할을 했습니다. 여기에는 방화벽, 침입 탐지 및 방지 시스템, 기타 네트워크 보안 조치 평가뿐만 아니라 Cyber ACrypt가 외부 및 내부 위협을 탐지, 대응 및 복구하는 방식에 대한 평가도 포함되었습니다. 존의 감독 하에 기술 전문가는 감사 결과를 Cyber ACrypt 담당자에게 전달했습니다. 그러나 감사팀은 해당 전문가가 피감사 기업으로부터 컨설팅 비용을 받았기 때문에 객관성이 훼손되었을 가능성이 있다고 판단했습니다. 감사팀장은 감사 과정에서 기술 전문가의 행동을 고려하여 이 문제를 인증 기관과 논의하기로 결정했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
1단계 감사 과정에서 감사팀이 올바르게 수행하지 않은 활동은 무엇입니까?
감사 위임을 수락한 존은 즉시 감사 계획과 팀 구성원의 역할을 설명하는 회의를 소집했습니다. 이 단계는 팀이 감사의 목표와 범위에 맞춰 나갈 수 있도록 하는 데 매우 중요했습니다. 그러나 사이버 크립트 직원들을 대상으로 한 초기 발표에서 감사의 범위와 목표에 대한 이해에 상당한 격차가 드러났고, 이는 회사 내 준비 부족 가능성을 시사했습니다. 1단계 감사가 시작되면서 팀은 현장 활동을 위한 준비를 시작했습니다. 감사팀은 사이버 어크립트의 정보 보안 정책 및 운영 절차를 포함한 문서화된 정보를 검토하여 각 문서가 작성자, 작성일, 버전 번호 및 승인일을 포함하여 표준화된 형식을 준수하는지 확인했습니다. 또한 각 문서에 표준의 해당 조항에서 요구하는 정보가 포함되어 있는지 확인했습니다. 이 단계에서 작업 실행을 설명하는 문서에 대한 상세 감사는 불필요하다는 점이 밝혀져 프로세스가 간소화되고 감사팀은 핵심 영역에 집중할 수 있었습니다. 현장 활동 단계에서는 사이버 어크립트의 정책에 대한 경영진의 책임을 평가했습니다. 이 철저한 검토는 지속적인 개선과 ISMS 요구 사항 준수 여부를 확인하기 위한 것이었습니다. 이후 1단계 감사 결과 문서 작성 단계에서 감사팀은 1단계 목표 달성과 관련된 결론을 강조하며 감사 결과를 꼼꼼하게 문서화했습니다. 이 문서는 감사팀과 사이버 어크립트가 예비 감사 결과와 개선이 필요한 영역을 이해하는 데 매우 중요했습니다.
감사팀은 주요 이해 관계자들과 인터뷰를 진행하기로 결정했습니다. 이러한 결정은 경영 시스템이 ISO 표준을 준수하는지 검증하기 위한 확실한 감사 증거를 수집하려는 목적에 따른 것이었습니다.
IEC 27001 요구사항을 준수했습니다. 사이버 크립트의 다양한 직급의 이해 관계자들과 소통하면서 감사팀은 귀중한 관점을 얻고 ISMS의 구현 및 효과성을 이해할 수 있었습니다.
1단계 감사 보고서에서 중요한 문제점들이 드러났습니다. 적용 범위 명세서(SoA)와 정보보안관리시스템(ISMS) 정책은 불충분한 위험 평가, 부적절한 접근 제어, 정기적인 정책 검토 부족 등 여러 측면에서 미흡한 것으로 나타났습니다. 이에 사이버 크립트는 이러한 문제점들을 해결하기 위해 즉각적인 조치를 취했습니다. 신속한 대응과 전략 문서 수정은 규정 준수 달성에 대한 강력한 의지를 보여주었습니다.
감사팀의 사이버 보안 지식 격차를 해소하기 위해 투입된 기술 전문가는 위험 평가 방법론의 미비점을 파악하고 네트워크 아키텍처를 검토하는 데 중추적인 역할을 했습니다. 여기에는 방화벽, 침입 탐지 및 방지 시스템, 기타 네트워크 보안 조치 평가뿐만 아니라 Cyber ACrypt가 외부 및 내부 위협을 탐지, 대응 및 복구하는 방식에 대한 평가도 포함되었습니다. 존의 감독 하에 기술 전문가는 감사 결과를 Cyber ACrypt 담당자에게 전달했습니다. 그러나 감사팀은 해당 전문가가 피감사 기업으로부터 컨설팅 비용을 받았기 때문에 객관성이 훼손되었을 가능성이 있다고 판단했습니다. 감사팀장은 감사 과정에서 기술 전문가의 행동을 고려하여 이 문제를 인증 기관과 논의하기로 결정했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
1단계 감사 과정에서 감사팀이 올바르게 수행하지 않은 활동은 무엇입니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 117
시나리오 7: 웹뷰(Webvue)는 일본에 본사를 둔 기술 기업으로, 컴퓨터 소프트웨어 개발, 지원 및 유지보수를 전문으로 합니다. 웹뷰는 다양한 기술 분야와 비즈니스 부문에 걸쳐 솔루션을 제공합니다. 주력 서비스는 스토리지, 네트워킹 및 가상 컴퓨팅 서비스를 제공하는 종합 클라우드 컴퓨팅 플랫폼인 클라우드웹뷰(CloudWebvue)입니다. 기업 및 개인 사용자 모두를 위해 설계된 클라우드웹뷰는 유연성, 확장성 및 안정성으로 잘 알려져 있습니다.
Webvue는 ISO/IEC 27001 인증 범위에 CloudWebvue만 포함하기로 결정했습니다. 따라서 1단계와 2단계 심사는 동시에 진행되었습니다. Webvue는 자산 기밀 유지에 대한 엄격한 기준을 자랑스럽게 생각합니다. CloudWebvue에 저장된 정보는 적절한 암호화 제어를 사용하여 보호됩니다. 내부용, 제한적 또는 기밀 여부에 관계없이 모든 정보는 고유한 해시값으로 암호화된 후 클라우드에 저장됩니다. 심사팀은 Keith, Sean, Layla, Sam, Tina 등 5명으로 구성되었습니다. IT 및 정보 보안 심사팀에서 가장 경험이 풍부한 Keith가 심사팀장을 맡았습니다. 그의 책임은 심사 계획 수립 및 심사팀 관리였습니다. 션과 레일라는 프로젝트 계획, 비즈니스 분석 및 IT 시스템(하드웨어 및 애플리케이션) 분야에서 경험이 풍부했습니다. 이들의 업무에는 웹뷰의 내부 시스템 및 프로세스에 따른 감사 계획 수립이 포함되었습니다. 반면, 최근 교육을 마친 샘과 티나는 감사 역량을 개발하는 동시에 일상적인 업무를 담당했습니다. 감사팀은 관련 직원과의 인터뷰를 통해 ISO/IEC 27001 부록 A의 8.24 통제 항목(암호화 사용) 준수 여부를 검증하는 과정에서 암호화 키가 처음에 난수 생성기(RBG) 및 기타 모범 사례를 기반으로 생성되었음을 확인했습니다. 웹뷰의 암호화 정책을 확인한 결과, 인터뷰에서 얻은 정보가 사실임을 확인했습니다. 그러나 정책에 암호화 키의 사용 및 수명에 대한 내용이 명시되어 있지 않아 암호화 키가 여전히 사용되고 있는 것으로 나타났습니다.
웹뷰와 인증기관 간의 추후 합의에 따라, 심사팀은 인증 범위 및 심사 목표에 맞춰 웹뷰가 ISO/IEC 27001의 8.11항(데이터 마스킹)을 준수하는지 여부를 검증하는 데 중점을 둔 가상 심사를 진행하기로 결정했습니다. 심사팀은 클라우드 웹뷰 내 데이터 보호 관련 프로세스를 검토하고, 회사가 정책 및 규제 표준을 얼마나 잘 준수하는지에 초점을 맞췄습니다. 이 과정에서 심사팀 리더인 키스는 관련 문서와 암호화 키 관리 절차의 스크린샷을 찍어 웹뷰의 데이터 보호 관행의 효과성을 문서화하고 분석했습니다.
Webvue는 테스트 목적으로 생성된 테스트 데이터를 사용합니다. 그러나 QA 부서 관리자와의 인터뷰 및 해당 부서에서 사용하는 절차를 통해 확인된 바와 같이, 경우에 따라 실제 시스템 데이터가 사용되기도 합니다. 이러한 시나리오에서는 더 정확한 결과를 얻을 수 있지만 대량의 데이터가 생성됩니다. 테스트 데이터는 Webvue 직원이 감사 과정에서 수행한 암호화 프로세스 시뮬레이션을 통해 검증된 바와 같이 보호 및 관리됩니다. QA 부서 관리자와의 인터뷰 중 Keith는 보안 교육 부서 직원들이 감사 범위에는 포함되지 않았지만 적절한 절차를 준수하지 않고 있음을 발견했습니다. 감사 범위에서 제외되었음에도 불구하고 보안 교육 부서의 규정 미준수는 감사 범위 내 프로세스, 특히 CloudWebvue의 데이터 보안 및 암호화 관행에 잠재적인 영향을 미칠 수 있습니다. 따라서 Keith는 이 발견 사항을 감사 보고서에 반영하고 피감사자에게 알렸습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
시나리오 7을 바탕으로, 보안 교육 부서를 감사 보고서에 포함시킨 키이스의 선택은 적절했습니까?
Webvue는 ISO/IEC 27001 인증 범위에 CloudWebvue만 포함하기로 결정했습니다. 따라서 1단계와 2단계 심사는 동시에 진행되었습니다. Webvue는 자산 기밀 유지에 대한 엄격한 기준을 자랑스럽게 생각합니다. CloudWebvue에 저장된 정보는 적절한 암호화 제어를 사용하여 보호됩니다. 내부용, 제한적 또는 기밀 여부에 관계없이 모든 정보는 고유한 해시값으로 암호화된 후 클라우드에 저장됩니다. 심사팀은 Keith, Sean, Layla, Sam, Tina 등 5명으로 구성되었습니다. IT 및 정보 보안 심사팀에서 가장 경험이 풍부한 Keith가 심사팀장을 맡았습니다. 그의 책임은 심사 계획 수립 및 심사팀 관리였습니다. 션과 레일라는 프로젝트 계획, 비즈니스 분석 및 IT 시스템(하드웨어 및 애플리케이션) 분야에서 경험이 풍부했습니다. 이들의 업무에는 웹뷰의 내부 시스템 및 프로세스에 따른 감사 계획 수립이 포함되었습니다. 반면, 최근 교육을 마친 샘과 티나는 감사 역량을 개발하는 동시에 일상적인 업무를 담당했습니다. 감사팀은 관련 직원과의 인터뷰를 통해 ISO/IEC 27001 부록 A의 8.24 통제 항목(암호화 사용) 준수 여부를 검증하는 과정에서 암호화 키가 처음에 난수 생성기(RBG) 및 기타 모범 사례를 기반으로 생성되었음을 확인했습니다. 웹뷰의 암호화 정책을 확인한 결과, 인터뷰에서 얻은 정보가 사실임을 확인했습니다. 그러나 정책에 암호화 키의 사용 및 수명에 대한 내용이 명시되어 있지 않아 암호화 키가 여전히 사용되고 있는 것으로 나타났습니다.
웹뷰와 인증기관 간의 추후 합의에 따라, 심사팀은 인증 범위 및 심사 목표에 맞춰 웹뷰가 ISO/IEC 27001의 8.11항(데이터 마스킹)을 준수하는지 여부를 검증하는 데 중점을 둔 가상 심사를 진행하기로 결정했습니다. 심사팀은 클라우드 웹뷰 내 데이터 보호 관련 프로세스를 검토하고, 회사가 정책 및 규제 표준을 얼마나 잘 준수하는지에 초점을 맞췄습니다. 이 과정에서 심사팀 리더인 키스는 관련 문서와 암호화 키 관리 절차의 스크린샷을 찍어 웹뷰의 데이터 보호 관행의 효과성을 문서화하고 분석했습니다.
Webvue는 테스트 목적으로 생성된 테스트 데이터를 사용합니다. 그러나 QA 부서 관리자와의 인터뷰 및 해당 부서에서 사용하는 절차를 통해 확인된 바와 같이, 경우에 따라 실제 시스템 데이터가 사용되기도 합니다. 이러한 시나리오에서는 더 정확한 결과를 얻을 수 있지만 대량의 데이터가 생성됩니다. 테스트 데이터는 Webvue 직원이 감사 과정에서 수행한 암호화 프로세스 시뮬레이션을 통해 검증된 바와 같이 보호 및 관리됩니다. QA 부서 관리자와의 인터뷰 중 Keith는 보안 교육 부서 직원들이 감사 범위에는 포함되지 않았지만 적절한 절차를 준수하지 않고 있음을 발견했습니다. 감사 범위에서 제외되었음에도 불구하고 보안 교육 부서의 규정 미준수는 감사 범위 내 프로세스, 특히 CloudWebvue의 데이터 보안 및 암호화 관행에 잠재적인 영향을 미칠 수 있습니다. 따라서 Keith는 이 발견 사항을 감사 보고서에 반영하고 피감사자에게 알렸습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
시나리오 7을 바탕으로, 보안 교육 부서를 감사 보고서에 포함시킨 키이스의 선택은 적절했습니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 118
질문
판단 기반 표본 추출 시 감사인은 무엇을 고려해야 할까요?
판단 기반 표본 추출 시 감사인은 무엇을 고려해야 할까요?
ISO-IEC-27001-Lead-Auditor-KR 문제 119
시나리오 1: Fintive는 온라인 결제 및 보호 솔루션을 제공하는 뛰어난 보안 제공업체입니다. 1999년 캘리포니아주 산호세에서 Thomas Fin이 설립한 Fintive는 온라인에서 운영되고 정보 보안을 개선하고 사기를 방지하며 PII와 같은 사용자 정보를 보호하려는 회사에 서비스를 제공합니다. Fintive는 이전 사례를 기반으로 의사 결정 및 운영 프로세스를 중심으로 합니다. 그들은 고객 데이터를 수집하여 사례에 따라 분류하고 분석합니다. 이 회사는 이러한 복잡한 분석을 수행할 수 있도록 많은 직원이 필요했습니다. 그러나 몇 년 후 이러한 분석을 수행하는 데 도움이 되는 기술도 발전했습니다. 현재 Fintive는 실시간으로 사기를 방지하기 위한 패턴 분석을 수행하기 위해 최신 도구인 챗봇을 사용할 계획입니다. 이 도구는 또한 고객 서비스 개선을 지원하는 데 사용될 것입니다.
이 초기 아이디어는 소프트웨어 개발 팀에 전달되었고, 그들은 이를 지원했으며 이 프로젝트를 진행하도록 배정되었습니다. 그들은 기존 시스템에 챗봇을 통합하기 시작했습니다. 또한, 팀은 챗봇에 대한 목표를 설정했는데, 모든 채팅 문의의 85%에 답하는 것이었습니다.
챗봇을 성공적으로 통합한 후, 회사는 즉시 고객에게 공개하여 사용할 수 있도록 했습니다.
그러나 챗봇에는 몇 가지 문제가 있는 것으로 나타났습니다.
훈련 단계에서 챗봇에 제공된 샘플이 부족하고 테스트가 충분하지 않아 챗봇은 쿼리 패턴을 "학습"해야 했고, 챗봇은 사용자 쿼리를 처리하고 올바른 답변을 제공하지 못했습니다. 게다가 챗봇은 이상한 점 패턴과 특수 문자와 같은 잘못된 입력을 받으면 사용자에게 무작위 파일을 보냈습니다. 따라서 챗봇은 고객 쿼리에 제대로 답변할 수 없었고, 기존 고객 지원은 채팅 쿼리로 인해 압도되어 고객의 요청을 도울 수 없었습니다.
결과적으로 Fintive는 소프트웨어 개발 정책을 수립했습니다. 이 정책은 소프트웨어가 사내에서 개발되든 아웃소싱되든 운영 시스템에 구현되기 전에 블랙박스 테스트를 거치도록 명시했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 1에 따르면, 챗봇은 고객 문의에 제대로 답변하지 못했습니다. 이 경우 어떤 정보 보안 원칙이 영향을 받았습니까?
이 초기 아이디어는 소프트웨어 개발 팀에 전달되었고, 그들은 이를 지원했으며 이 프로젝트를 진행하도록 배정되었습니다. 그들은 기존 시스템에 챗봇을 통합하기 시작했습니다. 또한, 팀은 챗봇에 대한 목표를 설정했는데, 모든 채팅 문의의 85%에 답하는 것이었습니다.
챗봇을 성공적으로 통합한 후, 회사는 즉시 고객에게 공개하여 사용할 수 있도록 했습니다.
그러나 챗봇에는 몇 가지 문제가 있는 것으로 나타났습니다.
훈련 단계에서 챗봇에 제공된 샘플이 부족하고 테스트가 충분하지 않아 챗봇은 쿼리 패턴을 "학습"해야 했고, 챗봇은 사용자 쿼리를 처리하고 올바른 답변을 제공하지 못했습니다. 게다가 챗봇은 이상한 점 패턴과 특수 문자와 같은 잘못된 입력을 받으면 사용자에게 무작위 파일을 보냈습니다. 따라서 챗봇은 고객 쿼리에 제대로 답변할 수 없었고, 기존 고객 지원은 채팅 쿼리로 인해 압도되어 고객의 요청을 도울 수 없었습니다.
결과적으로 Fintive는 소프트웨어 개발 정책을 수립했습니다. 이 정책은 소프트웨어가 사내에서 개발되든 아웃소싱되든 운영 시스템에 구현되기 전에 블랙박스 테스트를 거치도록 명시했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 1에 따르면, 챗봇은 고객 문의에 제대로 답변하지 못했습니다. 이 경우 어떤 정보 보안 원칙이 영향을 받았습니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 120
시나리오 7: Lawsy는 뉴저지와 뉴욕시에 사무실을 둔 선도적인 로펌입니다. 50명 이상의 변호사가 기업 및 상법, 지적 재산권, 은행 및 금융 서비스 분야에서 고객에게 정교한 법률 서비스를 제공합니다. 그들은 정보 보안 모범 사례를 구현하고 기술 개발에 대한 최신 정보를 유지하려는 노력 덕분에 시장에서 편안한 입지를 확보했다고 믿습니다.
Lawsy는 지난 2년간 ISMS에 대한 내부 감사를 엄격하게 시행, 평가하고 수행해 왔습니다.
이제 그들은 널리 알려지고 신뢰받는 인증기관인 ISMA에 ISO/IEC 27001 인증을 신청했습니다.
1단계 감사 동안 감사팀은 구현 중에 작성된 모든 ISMS 문서를 검토했습니다.
또한 그들은 경영진 검토와 내부 감사의 기록을 검토하고 평가했습니다.
Lawsy는 필요한 경우 불일치에 대한 시정 조치가 수행되었다는 증거 기록을 제출했으므로 감사팀은 내부 감사자를 인터뷰했습니다. 인터뷰는 내부 감사 계획 및 절차에 대한 자세한 통찰력을 제공하여 내부 감사의 적절성과 빈도를 검증했습니다.
감사팀은 정보 보안 정책 및 위험 평가 기준을 포함한 전략적 문서의 검증을 계속했습니다. 정보 보안 정책 검토 중에 팀은 거버넌스 프레임워크(즉, 정보 보안 정책)를 설명하는 문서화된 정보와 절차 사이에 불일치가 있음을 발견했습니다.
직원들이 노트북을 직장 밖으로 가지고 나갈 수 있었지만 Lawsy는 그러한 경우 노트북 사용에 대한 절차를 마련하지 않았습니다. 정책은 노트북 사용에 대한 일반적인 정보만 제공했습니다. 회사는 직원들의 상식에 의존하여 노트북에 저장된 정보의 기밀성과 무결성을 보호했습니다. 이 문제는 1단계 감사 보고서에 기록되었습니다.
1단계 감사를 완료한 후 감사팀장은 감사 목표, 범위, 기준, 절차 등을 다룬 감사 계획을 준비했습니다.
2단계 감사에서 감사팀은 정보 보안 정책을 초안한 정보 보안 관리자를 인터뷰했습니다. 그는 Lawsy가 3개월마다 의무적인 정보 보안 교육 및 인식 세션을 실시한다는 말로 1단계에서 발견된 문제를 정당화했습니다.
인터뷰 후 감사팀은 15개의 직원 교육 기록(50개 중)을 검토하고 Lawsy가 교육 및 인식과 관련된 ISO/IEC 27001 요구 사항을 충족한다는 결론을 내렸습니다. 이 결론을 뒷받침하기 위해 감사팀은 검토한 직원 교육 기록을 복사했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
감사팀은 검토한 직원 교육 기록을 복사하여 결론을 뒷받침했습니다. 감사팀은 이 조치를 취하기 전에 Lawsy의 승인을 받아야 합니까? 시나리오 7을 참조하십시오.
Lawsy는 지난 2년간 ISMS에 대한 내부 감사를 엄격하게 시행, 평가하고 수행해 왔습니다.
이제 그들은 널리 알려지고 신뢰받는 인증기관인 ISMA에 ISO/IEC 27001 인증을 신청했습니다.
1단계 감사 동안 감사팀은 구현 중에 작성된 모든 ISMS 문서를 검토했습니다.
또한 그들은 경영진 검토와 내부 감사의 기록을 검토하고 평가했습니다.
Lawsy는 필요한 경우 불일치에 대한 시정 조치가 수행되었다는 증거 기록을 제출했으므로 감사팀은 내부 감사자를 인터뷰했습니다. 인터뷰는 내부 감사 계획 및 절차에 대한 자세한 통찰력을 제공하여 내부 감사의 적절성과 빈도를 검증했습니다.
감사팀은 정보 보안 정책 및 위험 평가 기준을 포함한 전략적 문서의 검증을 계속했습니다. 정보 보안 정책 검토 중에 팀은 거버넌스 프레임워크(즉, 정보 보안 정책)를 설명하는 문서화된 정보와 절차 사이에 불일치가 있음을 발견했습니다.
직원들이 노트북을 직장 밖으로 가지고 나갈 수 있었지만 Lawsy는 그러한 경우 노트북 사용에 대한 절차를 마련하지 않았습니다. 정책은 노트북 사용에 대한 일반적인 정보만 제공했습니다. 회사는 직원들의 상식에 의존하여 노트북에 저장된 정보의 기밀성과 무결성을 보호했습니다. 이 문제는 1단계 감사 보고서에 기록되었습니다.
1단계 감사를 완료한 후 감사팀장은 감사 목표, 범위, 기준, 절차 등을 다룬 감사 계획을 준비했습니다.
2단계 감사에서 감사팀은 정보 보안 정책을 초안한 정보 보안 관리자를 인터뷰했습니다. 그는 Lawsy가 3개월마다 의무적인 정보 보안 교육 및 인식 세션을 실시한다는 말로 1단계에서 발견된 문제를 정당화했습니다.
인터뷰 후 감사팀은 15개의 직원 교육 기록(50개 중)을 검토하고 Lawsy가 교육 및 인식과 관련된 ISO/IEC 27001 요구 사항을 충족한다는 결론을 내렸습니다. 이 결론을 뒷받침하기 위해 감사팀은 검토한 직원 교육 기록을 복사했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
감사팀은 검토한 직원 교육 기록을 복사하여 결론을 뒷받침했습니다. 감사팀은 이 조치를 취하기 전에 Lawsy의 승인을 받아야 합니까? 시나리오 7을 참조하십시오.