ISO-IEC-27001-Lead-Auditor-KR 문제 136
시나리오 3: 리빌디(Rebuildy)는 태국 방콕에 위치한 주거용 건물 설계, 시공 및 유지보수 전문 건설 회사입니다. 민감한 프로젝트 데이터와 고객 정보의 보안을 확보하기 위해 리빌디는 ISO/IEC 27001 기반의 정보 보안 관리 시스템(ISMS)을 도입하기로 결정했습니다. 이 시스템에는 정보 보안 위험에 대한 포괄적인 이해, 명확한 지속적 개선 방안, 그리고 강력한 비즈니스 솔루션이 포함되었습니다.
ISMS 구현 결과는 다음과 같습니다.
정보 보안은 일련의 보안 통제를 적용하고 정책, 프로세스 및 절차를 수립함으로써 달성됩니다.
*보안 통제는 위험 평가를 기반으로 구현되며, 위험을 제거하거나 허용 가능한 수준으로 줄이는 것을 목표로 합니다.
*모든 프로세스는 계획-실행-점검-조정(PDCA) 모델을 기반으로 ISMS의 지속적인 개선을 보장합니다.
*정보 보안 정책은 최상의 보안 사례를 기반으로 작성된 보안 매뉴얼의 일부이므로 독립적인 문서가 아닙니다.
*정보 보안 관련 역할과 책임은 모든 직원의 직무 설명서에 명확하게 명시되어 있습니다.
*정보보안관리시스템(ISMS)에 대한 경영 검토는 계획된 간격으로 실시됩니다.
리빌디는 두 차례의 중간 경영 평가와 한 차례의 연례 내부 감사를 거친 후 인증을 신청했습니다. 인증 감사 직전, 리빌디의 전 직원이 감사팀 구성원 중 한 명에게 리빌디가 은폐하려는 여러 보안 문제가 있다고 제보했습니다. 전 직원은 관련 증거 자료를 감사팀 구성원에게 제출했습니다. 리빌디의 주요 고객사인 일렉트라(Electra) 또한 동일한 문제에 대한 증거를 제출했고, 감사팀은 전 직원의 증거 대신 일렉트라의 증거를 채택했습니다. 감사팀 구성원은 감사가 완료될 때까지 일렉트라와 지속적으로 연락하며 감사 과정에서 발견된 부적합 사항에 대해 논의했습니다. 일렉트라는 이러한 조사 결과를 뒷받침하는 추가 증거를 제공했습니다.
감사 시작 시 감사팀은 회사 최고 경영진을 인터뷰했습니다. 인터뷰에서 최고 경영진의 ISMS 구현 의지에 대해 논의했습니다. 이러한 논의를 통해 얻은 증거는 서면 확인서로 작성되었으며, 이를 바탕으로 Rebuildy가 ISO/IEC 27001의 여러 조항을 준수하는지 여부를 판단했습니다. Electra로부터 얻은 문서화된 증거는 부적합 사항 보고서와 함께 감사 보고서에 첨부되었습니다. 발견된 부적합 사항은 다음과 같습니다.
*회사 재무 보고 시스템에서 사용자 접근 제어 설정이 부적절한 사례가 발견되었습니다.
*별도의 정보 보안 정책은 수립되어 있지 않습니다. 대신, 회사는 최상의 보안 사례를 바탕으로 작성된 보안 매뉴얼을 사용하고 있습니다.
감사팀으로부터 해당 문서를 받은 후, 팀장은 리빌디의 최고 경영진을 만나 감사 결과를 발표했습니다. 감사팀은 재무 보고 시스템과 독립적인 정보 보안 정책의 부재와 관련된 문제점을 보고했습니다. 최고 경영진은 감사 결과에 불만을 표명하며 팀장의 행동이 비전문적이라고 지적했고, 교체를 요구할 수도 있음을 시사했습니다. 압박을 받은 팀장은 최고 경영진과 협력하여 발견된 부적합 사항의 심각성을 축소하기로 결정했습니다. 그 결과, 팀장은 보고서를 수정하여 리빌디의 실제 규정 준수 문제의 심각성을 왜곡했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
시나리오 3에 따르면, 감사팀은 최고 경영진과의 인터뷰를 통해 얻은 정보를 활용하여 Rebuildy가 ISO/IEC 27001의 여러 조항을 준수하는지 여부를 판단했습니다. 이는 적절한가요?
ISMS 구현 결과는 다음과 같습니다.
정보 보안은 일련의 보안 통제를 적용하고 정책, 프로세스 및 절차를 수립함으로써 달성됩니다.
*보안 통제는 위험 평가를 기반으로 구현되며, 위험을 제거하거나 허용 가능한 수준으로 줄이는 것을 목표로 합니다.
*모든 프로세스는 계획-실행-점검-조정(PDCA) 모델을 기반으로 ISMS의 지속적인 개선을 보장합니다.
*정보 보안 정책은 최상의 보안 사례를 기반으로 작성된 보안 매뉴얼의 일부이므로 독립적인 문서가 아닙니다.
*정보 보안 관련 역할과 책임은 모든 직원의 직무 설명서에 명확하게 명시되어 있습니다.
*정보보안관리시스템(ISMS)에 대한 경영 검토는 계획된 간격으로 실시됩니다.
리빌디는 두 차례의 중간 경영 평가와 한 차례의 연례 내부 감사를 거친 후 인증을 신청했습니다. 인증 감사 직전, 리빌디의 전 직원이 감사팀 구성원 중 한 명에게 리빌디가 은폐하려는 여러 보안 문제가 있다고 제보했습니다. 전 직원은 관련 증거 자료를 감사팀 구성원에게 제출했습니다. 리빌디의 주요 고객사인 일렉트라(Electra) 또한 동일한 문제에 대한 증거를 제출했고, 감사팀은 전 직원의 증거 대신 일렉트라의 증거를 채택했습니다. 감사팀 구성원은 감사가 완료될 때까지 일렉트라와 지속적으로 연락하며 감사 과정에서 발견된 부적합 사항에 대해 논의했습니다. 일렉트라는 이러한 조사 결과를 뒷받침하는 추가 증거를 제공했습니다.
감사 시작 시 감사팀은 회사 최고 경영진을 인터뷰했습니다. 인터뷰에서 최고 경영진의 ISMS 구현 의지에 대해 논의했습니다. 이러한 논의를 통해 얻은 증거는 서면 확인서로 작성되었으며, 이를 바탕으로 Rebuildy가 ISO/IEC 27001의 여러 조항을 준수하는지 여부를 판단했습니다. Electra로부터 얻은 문서화된 증거는 부적합 사항 보고서와 함께 감사 보고서에 첨부되었습니다. 발견된 부적합 사항은 다음과 같습니다.
*회사 재무 보고 시스템에서 사용자 접근 제어 설정이 부적절한 사례가 발견되었습니다.
*별도의 정보 보안 정책은 수립되어 있지 않습니다. 대신, 회사는 최상의 보안 사례를 바탕으로 작성된 보안 매뉴얼을 사용하고 있습니다.
감사팀으로부터 해당 문서를 받은 후, 팀장은 리빌디의 최고 경영진을 만나 감사 결과를 발표했습니다. 감사팀은 재무 보고 시스템과 독립적인 정보 보안 정책의 부재와 관련된 문제점을 보고했습니다. 최고 경영진은 감사 결과에 불만을 표명하며 팀장의 행동이 비전문적이라고 지적했고, 교체를 요구할 수도 있음을 시사했습니다. 압박을 받은 팀장은 최고 경영진과 협력하여 발견된 부적합 사항의 심각성을 축소하기로 결정했습니다. 그 결과, 팀장은 보고서를 수정하여 리빌디의 실제 규정 준수 문제의 심각성을 왜곡했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
시나리오 3에 따르면, 감사팀은 최고 경영진과의 인터뷰를 통해 얻은 정보를 활용하여 Rebuildy가 ISO/IEC 27001의 여러 조항을 준수하는지 여부를 판단했습니다. 이는 적절한가요?
ISO-IEC-27001-Lead-Auditor-KR 문제 137
시나리오 6
신베스트먼트는 주택, 상업, 생명 보험을 포함한 다양한 보험 상품을 제공하는 보험사입니다. 북부 캘리포니아에서 설립된 이 회사는 유럽과 아프리카 등지로 사업을 확장해 왔습니다. 신베스트먼트는 성장과 더불어 업계 관련 법규를 준수하고 정보 보안 사고를 예방하는 데에도 힘쓰고 있습니다. 이를 위해 ISO 표준에 기반한 정보 보안 관리 시스템(ISMS)을 구축하여 운영하고 있습니다.
IEC 27001 표준에 따라 인증을 신청했습니다.
인증기관에서 심사팀을 배정하여 심사를 진행했습니다. 심사팀은 신베스트먼트와 기밀유지협약을 체결한 후 심사 활동을 시작했습니다. 1단계 심사 활동은 신베스트먼트의 요청에 따라 문서 정보 검토를 제외하고는 모두 현장에서 진행하기로 했으며, 문서 정보 검토는 원격으로 진행했습니다.
감사팀은 1단계 감사를 시작하면서 ISMS 범위 선언서, 정보 보안 정책, 내부 감사 보고서 등 필요한 문서를 검토했습니다. 문서화된 정보에 대한 평가는 문서화된 정보의 내용과 관리 절차를 기반으로 이루어졌습니다.
또한 감사관들은 정보 보안 교육 및 인식 제고 프로그램 관련 문서가 불완전하고 필수적인 세부 사항이 누락되어 있음을 발견했습니다. 이에 대해 신베스트먼트의 최고 경영진은 모든 직원에게 정보 보안 교육을 제공했다고 답변했습니다.
2단계 감사는 1단계 감사 후 3주 만에 실시되었습니다. 감사팀은 감사 범위에 포함되지 않았던 마케팅 부서에 직원들의 접근 권한을 관리하는 절차가 없다는 사실을 확인했습니다.
직원의 접근 권한 관리는 ISO/IEC 27001 요구사항 중 하나이며 회사 정보 보안 정책에 포함되어 있었기 때문에 해당 사안이 감사 보고서에 포함되었습니다.
질문
신베스트먼트 측에서 요청한 문서 자료 검토는 어느 정도 수용 가능한 것이었습니까?
신베스트먼트는 주택, 상업, 생명 보험을 포함한 다양한 보험 상품을 제공하는 보험사입니다. 북부 캘리포니아에서 설립된 이 회사는 유럽과 아프리카 등지로 사업을 확장해 왔습니다. 신베스트먼트는 성장과 더불어 업계 관련 법규를 준수하고 정보 보안 사고를 예방하는 데에도 힘쓰고 있습니다. 이를 위해 ISO 표준에 기반한 정보 보안 관리 시스템(ISMS)을 구축하여 운영하고 있습니다.
IEC 27001 표준에 따라 인증을 신청했습니다.
인증기관에서 심사팀을 배정하여 심사를 진행했습니다. 심사팀은 신베스트먼트와 기밀유지협약을 체결한 후 심사 활동을 시작했습니다. 1단계 심사 활동은 신베스트먼트의 요청에 따라 문서 정보 검토를 제외하고는 모두 현장에서 진행하기로 했으며, 문서 정보 검토는 원격으로 진행했습니다.
감사팀은 1단계 감사를 시작하면서 ISMS 범위 선언서, 정보 보안 정책, 내부 감사 보고서 등 필요한 문서를 검토했습니다. 문서화된 정보에 대한 평가는 문서화된 정보의 내용과 관리 절차를 기반으로 이루어졌습니다.
또한 감사관들은 정보 보안 교육 및 인식 제고 프로그램 관련 문서가 불완전하고 필수적인 세부 사항이 누락되어 있음을 발견했습니다. 이에 대해 신베스트먼트의 최고 경영진은 모든 직원에게 정보 보안 교육을 제공했다고 답변했습니다.
2단계 감사는 1단계 감사 후 3주 만에 실시되었습니다. 감사팀은 감사 범위에 포함되지 않았던 마케팅 부서에 직원들의 접근 권한을 관리하는 절차가 없다는 사실을 확인했습니다.
직원의 접근 권한 관리는 ISO/IEC 27001 요구사항 중 하나이며 회사 정보 보안 정책에 포함되어 있었기 때문에 해당 사안이 감사 보고서에 포함되었습니다.
질문
신베스트먼트 측에서 요청한 문서 자료 검토는 어느 정도 수용 가능한 것이었습니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 138
주장된 사건의 발생을 증명할 수 있는 정보의 속성입니다.
ISO-IEC-27001-Lead-Auditor-KR 문제 139
귀하는 감사원 교육을 지도하는 숙련된 감사팀 리더입니다. 귀하의 팀은 현재 외부 고객을 대신하여 데이터를 저장하는 조직에 대한 제3자 감시 감사를 실시하고 있습니다. 교육 중인 감사원은 적용성 설명서(SoA)에 나열되어 있고 사이트에 구현된 기술적 통제를 검토하는 업무를 맡았습니다.
다음 중에서 감사자가 훈련을 받으면서 검토해야 할 것으로 생각하는 통제 항목을 네 가지 선택하세요.
다음 중에서 감사자가 훈련을 받으면서 검토해야 할 것으로 생각하는 통제 항목을 네 가지 선택하세요.
ISO-IEC-27001-Lead-Auditor-KR 문제 140
시나리오 6: Cyber ACrypt는 악성코드 방지 및 장치 보안, 자산 수명 주기 관리, 장치 암호화를 제공하여 엔드포인트 보호 서비스를 제공하는 사이버 보안 회사입니다. ISO/IEC 27001에 따라 자사의 ISMS를 검증하고 사이버 보안 우수성에 대한 노력을 입증하기 위해, 이 회사는 임명된 감사팀장인 존이 주도하는 철저한 감사 과정을 거쳤습니다.
감사 위임을 수락한 존은 즉시 감사 계획과 팀 구성원의 역할을 설명하는 회의를 소집했습니다. 이 단계는 팀이 감사의 목표와 범위에 맞춰 나갈 수 있도록 하는 데 매우 중요했습니다. 그러나 사이버 크립트 직원들을 대상으로 한 초기 발표에서 감사의 범위와 목표에 대한 이해에 상당한 격차가 드러났고, 이는 회사 내 준비 부족 가능성을 시사했습니다. 1단계 감사가 시작되면서 팀은 현장 활동을 위한 준비를 시작했습니다. 감사팀은 사이버 어크립트의 정보 보안 정책 및 운영 절차를 포함한 문서화된 정보를 검토하여 각 문서가 작성자, 작성일, 버전 번호 및 승인일을 포함하여 표준화된 형식을 준수하는지 확인했습니다. 또한 각 문서에 표준의 해당 조항에서 요구하는 정보가 포함되어 있는지 확인했습니다. 이 단계에서 작업 실행을 설명하는 문서에 대한 상세 감사는 불필요하다는 점이 밝혀져 프로세스가 간소화되고 감사팀은 핵심 영역에 집중할 수 있었습니다. 현장 활동 단계에서는 사이버 어크립트의 정책에 대한 경영진의 책임을 평가했습니다. 이 철저한 검토는 지속적인 개선과 ISMS 요구 사항 준수 여부를 확인하기 위한 것이었습니다. 이후 1단계 감사 결과 문서 작성 단계에서 감사팀은 1단계 목표 달성과 관련된 결론을 강조하며 감사 결과를 꼼꼼하게 문서화했습니다. 이 문서는 감사팀과 사이버 어크립트가 예비 감사 결과와 개선이 필요한 영역을 이해하는 데 매우 중요했습니다.
감사팀은 주요 이해 관계자들과 인터뷰를 진행하기로 결정했습니다. 이러한 결정은 경영 시스템이 ISO 표준을 준수하는지 검증하기 위한 확실한 감사 증거를 수집하려는 목적에 따른 것이었습니다.
IEC 27001 요구사항을 준수했습니다. 사이버 크립트의 다양한 직급의 이해 관계자들과 소통하면서 감사팀은 귀중한 관점을 얻고 ISMS의 구현 및 효과성을 이해할 수 있었습니다.
1단계 감사 보고서에서 중요한 문제점들이 드러났습니다. 적용 범위 명세서(SoA)와 정보보안관리시스템(ISMS) 정책은 불충분한 위험 평가, 부적절한 접근 제어, 정기적인 정책 검토 부족 등 여러 측면에서 미흡한 것으로 나타났습니다. 이에 사이버 크립트는 이러한 문제점들을 해결하기 위해 즉각적인 조치를 취했습니다. 신속한 대응과 전략 문서 수정은 규정 준수 달성에 대한 강력한 의지를 보여주었습니다.
감사팀의 사이버 보안 지식 격차를 해소하기 위해 투입된 기술 전문가는 위험 평가 방법론의 미비점을 파악하고 네트워크 아키텍처를 검토하는 데 중추적인 역할을 했습니다. 여기에는 방화벽, 침입 탐지 및 방지 시스템, 기타 네트워크 보안 조치 평가뿐만 아니라 Cyber ACrypt가 외부 및 내부 위협을 탐지, 대응 및 복구하는 방식에 대한 평가도 포함되었습니다. 존의 감독 하에 기술 전문가는 감사 결과를 Cyber ACrypt 담당자에게 전달했습니다. 그러나 감사팀은 해당 전문가가 피감사 기업으로부터 컨설팅 비용을 받았기 때문에 객관성이 훼손되었을 가능성이 있다고 판단했습니다. 감사팀장은 감사 과정에서 기술 전문가의 행동을 고려하여 이 문제를 인증 기관과 논의하기로 결정했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
감사팀이 검증하지 않은 문서 정보 평가 기준은 무엇입니까? (시나리오 6 참조)
감사 위임을 수락한 존은 즉시 감사 계획과 팀 구성원의 역할을 설명하는 회의를 소집했습니다. 이 단계는 팀이 감사의 목표와 범위에 맞춰 나갈 수 있도록 하는 데 매우 중요했습니다. 그러나 사이버 크립트 직원들을 대상으로 한 초기 발표에서 감사의 범위와 목표에 대한 이해에 상당한 격차가 드러났고, 이는 회사 내 준비 부족 가능성을 시사했습니다. 1단계 감사가 시작되면서 팀은 현장 활동을 위한 준비를 시작했습니다. 감사팀은 사이버 어크립트의 정보 보안 정책 및 운영 절차를 포함한 문서화된 정보를 검토하여 각 문서가 작성자, 작성일, 버전 번호 및 승인일을 포함하여 표준화된 형식을 준수하는지 확인했습니다. 또한 각 문서에 표준의 해당 조항에서 요구하는 정보가 포함되어 있는지 확인했습니다. 이 단계에서 작업 실행을 설명하는 문서에 대한 상세 감사는 불필요하다는 점이 밝혀져 프로세스가 간소화되고 감사팀은 핵심 영역에 집중할 수 있었습니다. 현장 활동 단계에서는 사이버 어크립트의 정책에 대한 경영진의 책임을 평가했습니다. 이 철저한 검토는 지속적인 개선과 ISMS 요구 사항 준수 여부를 확인하기 위한 것이었습니다. 이후 1단계 감사 결과 문서 작성 단계에서 감사팀은 1단계 목표 달성과 관련된 결론을 강조하며 감사 결과를 꼼꼼하게 문서화했습니다. 이 문서는 감사팀과 사이버 어크립트가 예비 감사 결과와 개선이 필요한 영역을 이해하는 데 매우 중요했습니다.
감사팀은 주요 이해 관계자들과 인터뷰를 진행하기로 결정했습니다. 이러한 결정은 경영 시스템이 ISO 표준을 준수하는지 검증하기 위한 확실한 감사 증거를 수집하려는 목적에 따른 것이었습니다.
IEC 27001 요구사항을 준수했습니다. 사이버 크립트의 다양한 직급의 이해 관계자들과 소통하면서 감사팀은 귀중한 관점을 얻고 ISMS의 구현 및 효과성을 이해할 수 있었습니다.
1단계 감사 보고서에서 중요한 문제점들이 드러났습니다. 적용 범위 명세서(SoA)와 정보보안관리시스템(ISMS) 정책은 불충분한 위험 평가, 부적절한 접근 제어, 정기적인 정책 검토 부족 등 여러 측면에서 미흡한 것으로 나타났습니다. 이에 사이버 크립트는 이러한 문제점들을 해결하기 위해 즉각적인 조치를 취했습니다. 신속한 대응과 전략 문서 수정은 규정 준수 달성에 대한 강력한 의지를 보여주었습니다.
감사팀의 사이버 보안 지식 격차를 해소하기 위해 투입된 기술 전문가는 위험 평가 방법론의 미비점을 파악하고 네트워크 아키텍처를 검토하는 데 중추적인 역할을 했습니다. 여기에는 방화벽, 침입 탐지 및 방지 시스템, 기타 네트워크 보안 조치 평가뿐만 아니라 Cyber ACrypt가 외부 및 내부 위협을 탐지, 대응 및 복구하는 방식에 대한 평가도 포함되었습니다. 존의 감독 하에 기술 전문가는 감사 결과를 Cyber ACrypt 담당자에게 전달했습니다. 그러나 감사팀은 해당 전문가가 피감사 기업으로부터 컨설팅 비용을 받았기 때문에 객관성이 훼손되었을 가능성이 있다고 판단했습니다. 감사팀장은 감사 과정에서 기술 전문가의 행동을 고려하여 이 문제를 인증 기관과 논의하기로 결정했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
감사팀이 검증하지 않은 문서 정보 평가 기준은 무엇입니까? (시나리오 6 참조)