ISO-IEC-27001-Lead-Auditor-KR 문제 156
시나리오 6: Sinvestment는 주택, 상업 및 생명 보험을 제공하는 보험 회사입니다. 이 회사는 노스캐롤라이나에서 설립되었지만 최근 유럽과 아프리카를 포함한 다른 지역으로 확장되었습니다.
Sinvestment는 해당 산업에 적용되는 법률 및 규정을 준수하고 정보 보안 사고를 예방하기 위해 최선을 다하고 있습니다. 그들은 ISO/IEC 27001을 기반으로 ISMS를 구현했으며 ISO/IEC 27001 인증을 신청했습니다.
인증 기관은 감사를 수행하기 위해 두 명의 감사원을 지정했습니다. Sinvestment와 기밀 유지 계약을 체결한 후 감사 활동을 시작했습니다. 먼저 ISMS 범위 선언, 정보 보안 정책 및 내부 감사 보고서를 포함하여 표준에서 요구하는 문서를 검토했습니다. Sinvestment가 문서화 절차를 갖추고 있다고 말했지만 모든 문서가 동일한 형식을 가지고 있지 않았기 때문에 검토 프로세스가 쉽지 않았습니다.
그런 다음 감사팀은 Sinvestment의 최고 경영진과 여러 차례 인터뷰를 진행하여 ISMS 구현에서 그들의 역할을 파악했습니다. 1단계 감사의 모든 활동은 Sinvestment의 요청에 따라 현장에서 진행된 문서화된 정보 검토를 제외하고 원격으로 수행되었습니다.
이 단계에서 감사원은 정보 보안 교육 및 인식 프로그램과 관련된 문서가 없다는 것을 발견했습니다. 질문을 받았을 때 Sinvestment의 대표는 회사가 모든 직원에게 정보 보안 교육 세션을 제공했다고 말했습니다. 1단계 감사를 통해 감사팀은 Sinvestment의 운영과 ISMS에 대한 일반적인 이해를 얻었습니다.
2단계 감사는 1단계 감사 3주 후에 실시되었습니다. 감사팀은 마케팅 부서(감사 범위에 포함되지 않음)에 직원의 접근 권한을 제어하는 절차가 없다는 것을 관찰했습니다. 직원의 접근 권한을 제어하는 것은 ISO/IEC 27001 요구 사항 중 하나이며 회사의 정보 보안 정책에 포함되었기 때문에 이 문제는 감사 보고서에 포함되었습니다. 또한 2단계 감사 중에 감사팀은 Sinvestment가 사용자 활동 로그를 기록하지 않았다는 것을 관찰했습니다.
회사 절차에는 "사용자 활동을 기록한 로그를 보관하고 정기적으로 검토해야 합니다."라고 명시되어 있지만, 회사는 이러한 절차의 구현에 대한 증거를 제시하지 않았습니다.
모든 감사 활동 동안 감사자는 관찰, 인터뷰, 문서화된 정보 검토, 분석 및 기술적 검증을 사용하여 정보와 증거를 수집했습니다. 1단계와 2단계의 모든 감사 결과를 분석했고 감사팀은 인증에 대한 긍정적인 권장 사항을 발행하기로 결정했습니다.
ISO/IEC 27001 요구 사항에 따르면, 회사는 사용자 활동을 기록하는 로그에 관한 절차 구현에 대한 증거를 제공해야 합니까? 시나리오 6을 참조하십시오.
Sinvestment는 해당 산업에 적용되는 법률 및 규정을 준수하고 정보 보안 사고를 예방하기 위해 최선을 다하고 있습니다. 그들은 ISO/IEC 27001을 기반으로 ISMS를 구현했으며 ISO/IEC 27001 인증을 신청했습니다.
인증 기관은 감사를 수행하기 위해 두 명의 감사원을 지정했습니다. Sinvestment와 기밀 유지 계약을 체결한 후 감사 활동을 시작했습니다. 먼저 ISMS 범위 선언, 정보 보안 정책 및 내부 감사 보고서를 포함하여 표준에서 요구하는 문서를 검토했습니다. Sinvestment가 문서화 절차를 갖추고 있다고 말했지만 모든 문서가 동일한 형식을 가지고 있지 않았기 때문에 검토 프로세스가 쉽지 않았습니다.
그런 다음 감사팀은 Sinvestment의 최고 경영진과 여러 차례 인터뷰를 진행하여 ISMS 구현에서 그들의 역할을 파악했습니다. 1단계 감사의 모든 활동은 Sinvestment의 요청에 따라 현장에서 진행된 문서화된 정보 검토를 제외하고 원격으로 수행되었습니다.
이 단계에서 감사원은 정보 보안 교육 및 인식 프로그램과 관련된 문서가 없다는 것을 발견했습니다. 질문을 받았을 때 Sinvestment의 대표는 회사가 모든 직원에게 정보 보안 교육 세션을 제공했다고 말했습니다. 1단계 감사를 통해 감사팀은 Sinvestment의 운영과 ISMS에 대한 일반적인 이해를 얻었습니다.
2단계 감사는 1단계 감사 3주 후에 실시되었습니다. 감사팀은 마케팅 부서(감사 범위에 포함되지 않음)에 직원의 접근 권한을 제어하는 절차가 없다는 것을 관찰했습니다. 직원의 접근 권한을 제어하는 것은 ISO/IEC 27001 요구 사항 중 하나이며 회사의 정보 보안 정책에 포함되었기 때문에 이 문제는 감사 보고서에 포함되었습니다. 또한 2단계 감사 중에 감사팀은 Sinvestment가 사용자 활동 로그를 기록하지 않았다는 것을 관찰했습니다.
회사 절차에는 "사용자 활동을 기록한 로그를 보관하고 정기적으로 검토해야 합니다."라고 명시되어 있지만, 회사는 이러한 절차의 구현에 대한 증거를 제시하지 않았습니다.
모든 감사 활동 동안 감사자는 관찰, 인터뷰, 문서화된 정보 검토, 분석 및 기술적 검증을 사용하여 정보와 증거를 수집했습니다. 1단계와 2단계의 모든 감사 결과를 분석했고 감사팀은 인증에 대한 긍정적인 권장 사항을 발행하기로 결정했습니다.
ISO/IEC 27001 요구 사항에 따르면, 회사는 사용자 활동을 기록하는 로그에 관한 절차 구현에 대한 증거를 제공해야 합니까? 시나리오 6을 참조하십시오.
ISO-IEC-27001-Lead-Auditor-KR 문제 157
시나리오 6
신베스트먼트는 주택, 상업, 생명 보험을 포함한 다양한 보험 상품을 제공하는 보험사입니다. 북부 캘리포니아에서 설립된 이 회사는 유럽과 아프리카 등지로 사업을 확장해 왔습니다. 신베스트먼트는 성장과 더불어 업계 관련 법규를 준수하고 정보 보안 사고를 예방하는 데에도 힘쓰고 있습니다. 이를 위해 ISO 표준에 기반한 정보 보안 관리 시스템(ISMS)을 구축하여 운영하고 있습니다.
IEC 27001 표준에 따라 인증을 신청했습니다.
인증기관에서 심사팀을 배정하여 심사를 진행했습니다. 심사팀은 신베스트먼트와 기밀유지협약을 체결한 후 심사 활동을 시작했습니다. 1단계 심사 활동은 신베스트먼트의 요청에 따라 문서 정보 검토를 제외하고는 모두 현장에서 진행하기로 했으며, 문서 정보 검토는 원격으로 진행했습니다.
감사팀은 1단계 감사를 시작하면서 ISMS 범위 선언서, 정보 보안 정책, 내부 감사 보고서 등 필요한 문서를 검토했습니다. 문서화된 정보에 대한 평가는 문서화된 정보의 내용과 관리 절차를 기반으로 이루어졌습니다.
또한 감사관들은 정보 보안 교육 및 인식 제고 프로그램 관련 문서가 불완전하고 필수적인 세부 사항이 누락되어 있음을 발견했습니다. 이에 대해 신베스트먼트의 최고 경영진은 모든 직원에게 정보 보안 교육을 제공했다고 답변했습니다.
2단계 감사는 1단계 감사 후 3주 만에 실시되었습니다. 감사팀은 감사 범위에 포함되지 않았던 마케팅 부서에 직원들의 접근 권한을 관리하는 절차가 없다는 사실을 확인했습니다.
직원의 접근 권한 관리는 ISO/IEC 27001 요구사항 중 하나이며 회사 정보 보안 정책에 포함되어 있었기 때문에 해당 사안이 감사 보고서에 포함되었습니다.
질문
시나리오 6을 바탕으로, 감사팀은 Sinvestment의 ISMS 감사 과정에서 증거 수집 및 분석을 위해 어떤 방법을 사용했습니까?
신베스트먼트는 주택, 상업, 생명 보험을 포함한 다양한 보험 상품을 제공하는 보험사입니다. 북부 캘리포니아에서 설립된 이 회사는 유럽과 아프리카 등지로 사업을 확장해 왔습니다. 신베스트먼트는 성장과 더불어 업계 관련 법규를 준수하고 정보 보안 사고를 예방하는 데에도 힘쓰고 있습니다. 이를 위해 ISO 표준에 기반한 정보 보안 관리 시스템(ISMS)을 구축하여 운영하고 있습니다.
IEC 27001 표준에 따라 인증을 신청했습니다.
인증기관에서 심사팀을 배정하여 심사를 진행했습니다. 심사팀은 신베스트먼트와 기밀유지협약을 체결한 후 심사 활동을 시작했습니다. 1단계 심사 활동은 신베스트먼트의 요청에 따라 문서 정보 검토를 제외하고는 모두 현장에서 진행하기로 했으며, 문서 정보 검토는 원격으로 진행했습니다.
감사팀은 1단계 감사를 시작하면서 ISMS 범위 선언서, 정보 보안 정책, 내부 감사 보고서 등 필요한 문서를 검토했습니다. 문서화된 정보에 대한 평가는 문서화된 정보의 내용과 관리 절차를 기반으로 이루어졌습니다.
또한 감사관들은 정보 보안 교육 및 인식 제고 프로그램 관련 문서가 불완전하고 필수적인 세부 사항이 누락되어 있음을 발견했습니다. 이에 대해 신베스트먼트의 최고 경영진은 모든 직원에게 정보 보안 교육을 제공했다고 답변했습니다.
2단계 감사는 1단계 감사 후 3주 만에 실시되었습니다. 감사팀은 감사 범위에 포함되지 않았던 마케팅 부서에 직원들의 접근 권한을 관리하는 절차가 없다는 사실을 확인했습니다.
직원의 접근 권한 관리는 ISO/IEC 27001 요구사항 중 하나이며 회사 정보 보안 정책에 포함되어 있었기 때문에 해당 사안이 감사 보고서에 포함되었습니다.
질문
시나리오 6을 바탕으로, 감사팀은 Sinvestment의 ISMS 감사 과정에서 증거 수집 및 분석을 위해 어떤 방법을 사용했습니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 158
시나리오 2
Knight는 미국 캘리포니아 북부에 본사를 둔 비디오 게임 콘솔 개발 전자 회사입니다.
전 세계 300명 이상의 직원을 보유한 Knight는 창립 5주년을 기념하여 국제 시장을 겨냥한 차세대 게임 시스템인 G-Console을 출시합니다. G-Console은 2021년 최고의 미디어 기기로 손꼽히며, 플레이어에게 최상의 게임 경험을 선사할 것입니다. 콘솔 패키지에는 VR 헤드셋 한 쌍, 게임 두 개, 그리고 기타 사은품이 포함됩니다.
수년간 이 회사는 성실성, 정직성, 그리고 고객에 대한 존중을 바탕으로 탄탄한 명성을 쌓아왔습니다. 고객 중심적인 기업이라는 점 외에도, Knight는 뛰어난 품질로 게임 업계에서 널리 인정받고 있습니다.
세계적인 비디오 게임 콘솔 개발사인 나이트는 악의적인 공격의 표적이 되는 경우가 많습니다. 이에 나이트는 ISO/IEC 27001을 기반으로 한 정보 보안 관리 시스템(ISMS)을 구축하고, 그 내용을 주간 회의를 통해 전 직원에게 전달하고 있습니다.
하지만 최근 Knight는 해커들이 기밀 정보를 유출하는 보안 침해 사고를 겪었습니다. 이에 대응하여 사고 대응팀(IRT)은 즉시 시스템과 사고 경위에 대한 철저한 조사를 시작했습니다. 초기에는 직원들이 취약한 비밀번호를 사용하여 해커들이 계정에 쉽게 접근할 수 있었을 가능성을 의심했습니다. 그러나 추가 조사 결과, 해커들이 암호화되지 않은 평문 비밀번호를 사용하여 데이터를 전송하는 파일 전송 프로토콜(FTP)의 트래픽을 가로챈 것으로 밝혀졌습니다.
이번 보안 사고를 계기로, IRT의 권고에 따라 Knight는 FTP 프로토콜을 SSH(Secure Shell) 프로토콜로 교체하기로 결정했습니다. 이 변경으로 캡처된 모든 트래픽이 암호화되어 보안이 크게 향상되었습니다.
이러한 변경 사항을 구현한 후, Knight는 위험 평가를 실시하여 통제 조치 시행으로 유사 사건 발생 위험이 최소화되었는지 확인했습니다. 위험 평가 결과를 바탕으로 위험을 처리하기 위한 방안을 선택했습니다.
질문
시나리오 2에 따르면, 위험 처리 옵션은 위험 평가 결과를 기반으로 결정되었습니다. 이는 허용 가능한 것입니까?
Knight는 미국 캘리포니아 북부에 본사를 둔 비디오 게임 콘솔 개발 전자 회사입니다.
전 세계 300명 이상의 직원을 보유한 Knight는 창립 5주년을 기념하여 국제 시장을 겨냥한 차세대 게임 시스템인 G-Console을 출시합니다. G-Console은 2021년 최고의 미디어 기기로 손꼽히며, 플레이어에게 최상의 게임 경험을 선사할 것입니다. 콘솔 패키지에는 VR 헤드셋 한 쌍, 게임 두 개, 그리고 기타 사은품이 포함됩니다.
수년간 이 회사는 성실성, 정직성, 그리고 고객에 대한 존중을 바탕으로 탄탄한 명성을 쌓아왔습니다. 고객 중심적인 기업이라는 점 외에도, Knight는 뛰어난 품질로 게임 업계에서 널리 인정받고 있습니다.
세계적인 비디오 게임 콘솔 개발사인 나이트는 악의적인 공격의 표적이 되는 경우가 많습니다. 이에 나이트는 ISO/IEC 27001을 기반으로 한 정보 보안 관리 시스템(ISMS)을 구축하고, 그 내용을 주간 회의를 통해 전 직원에게 전달하고 있습니다.
하지만 최근 Knight는 해커들이 기밀 정보를 유출하는 보안 침해 사고를 겪었습니다. 이에 대응하여 사고 대응팀(IRT)은 즉시 시스템과 사고 경위에 대한 철저한 조사를 시작했습니다. 초기에는 직원들이 취약한 비밀번호를 사용하여 해커들이 계정에 쉽게 접근할 수 있었을 가능성을 의심했습니다. 그러나 추가 조사 결과, 해커들이 암호화되지 않은 평문 비밀번호를 사용하여 데이터를 전송하는 파일 전송 프로토콜(FTP)의 트래픽을 가로챈 것으로 밝혀졌습니다.
이번 보안 사고를 계기로, IRT의 권고에 따라 Knight는 FTP 프로토콜을 SSH(Secure Shell) 프로토콜로 교체하기로 결정했습니다. 이 변경으로 캡처된 모든 트래픽이 암호화되어 보안이 크게 향상되었습니다.
이러한 변경 사항을 구현한 후, Knight는 위험 평가를 실시하여 통제 조치 시행으로 유사 사건 발생 위험이 최소화되었는지 확인했습니다. 위험 평가 결과를 바탕으로 위험을 처리하기 위한 방안을 선택했습니다.
질문
시나리오 2에 따르면, 위험 처리 옵션은 위험 평가 결과를 기반으로 결정되었습니다. 이는 허용 가능한 것입니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 159
시나리오 9: 테크매닉(Techmanic)은 1995년에 설립되어 현재 브뤼셀에서 운영 중인 벨기에 기업입니다. IT 컨설팅, 소프트웨어 설계, 하드웨어/소프트웨어 서비스(배포 및 유지보수 포함)를 제공합니다. 공공 서비스, 금융, 통신, 에너지, 의료, 교육 등 다양한 분야에 서비스를 제공하며, 고객 중심 기업으로서 강력한 고객 관계 구축과 최고 수준의 보안 관행을 최우선으로 생각합니다.
Techmanic은 ISO/IEC 27001 인증을 획득한 지 1년이 되었으며, 이 인증을 매우 자랑스럽게 생각합니다. 인증 심사 과정에서 심사관은 Techmanic의 ISMS 구현에 있어 몇 가지 불일치 사항을 발견했습니다. 하지만 이러한 사항들이 ISMS의 목표 달성 능력에 영향을 미치지 않았기 때문에, 심사관은 근본 원인 분석 및 시정 조치를 원격으로 진행한 후 Techmanic에 인증을 부여했습니다. 같은 해, Techmanic은 서비스 목록에 호스팅을 추가하고 해당 분야까지 인증 범위를 확장해 줄 것을 요청했습니다. 담당 심사관은 이 요청을 승인하고 Techmanic에 사후 심사 중에 확장 심사를 진행할 것이라고 통보했습니다. Techmanic은 사후 심사를 통해 자사의 ISMS가 ISO/IEC 27001을 준수하고 있으며, 지속적인 효과성을 유지하고 있는지 확인했습니다. 이번 사후 심사는 최근 추가된 호스팅 서비스를 포함한 Techmanic의 보안 관행이 인증의 엄격한 요구 사항을 완벽하게 충족하는지 확인하는 데 중점을 두었습니다. 심사관은 특히 IT 컨설팅 부문에서 추가 재인증 심사의 필요성을 없애기 위해 이전 사후 심사 보고서의 결과를 전략적으로 활용하여 재인증 절차를 진행했습니다. 지속적인 개선과 과거 평가로부터 배우는 것의 가치를 인식합니다.
테크매닉은 이전 사후 심사 보고서를 검토하는 관행을 도입했습니다. 이러한 선제적 접근 방식은 잠재적인 부적합 사항을 파악하고 해결하는 데 도움이 되었을 뿐만 아니라 IT 컨설팅 분야의 재인증 절차를 간소화하는 데에도 기여했습니다.
사후 심사 과정에서 몇 가지 부적합 사항이 발견되었습니다. 하지만 ISMS는 ISO/IEC 기준을 계속해서 충족했습니다.
테크매닉은 ISO/IEC 27001 요구사항을 충족했지만, 내부 감사자가 보고한 호스팅 서비스 관련 부적합 사항을 해결하지 못했습니다. 또한, 내부 감사 보고서에는 여러 가지 불일치가 있어 호스팅 서비스 감사 과정에서 내부 감사자의 독립성에 의문이 제기되었습니다. 이러한 이유로 확장 인증이 부여되지 않았습니다. 결과적으로 테크매닉은 다른 인증 기관으로의 이전을 요청했습니다. 이와 동시에 테크매닉은 고객들에게 ISO/IEC 27001 인증이 호스팅 서비스뿐만 아니라 IT 서비스까지 포함한다는 내용의 성명을 발표했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
ISO/IEC 17021-1에 따르면 사후 심사의 목적은 무엇입니까?
Techmanic은 ISO/IEC 27001 인증을 획득한 지 1년이 되었으며, 이 인증을 매우 자랑스럽게 생각합니다. 인증 심사 과정에서 심사관은 Techmanic의 ISMS 구현에 있어 몇 가지 불일치 사항을 발견했습니다. 하지만 이러한 사항들이 ISMS의 목표 달성 능력에 영향을 미치지 않았기 때문에, 심사관은 근본 원인 분석 및 시정 조치를 원격으로 진행한 후 Techmanic에 인증을 부여했습니다. 같은 해, Techmanic은 서비스 목록에 호스팅을 추가하고 해당 분야까지 인증 범위를 확장해 줄 것을 요청했습니다. 담당 심사관은 이 요청을 승인하고 Techmanic에 사후 심사 중에 확장 심사를 진행할 것이라고 통보했습니다. Techmanic은 사후 심사를 통해 자사의 ISMS가 ISO/IEC 27001을 준수하고 있으며, 지속적인 효과성을 유지하고 있는지 확인했습니다. 이번 사후 심사는 최근 추가된 호스팅 서비스를 포함한 Techmanic의 보안 관행이 인증의 엄격한 요구 사항을 완벽하게 충족하는지 확인하는 데 중점을 두었습니다. 심사관은 특히 IT 컨설팅 부문에서 추가 재인증 심사의 필요성을 없애기 위해 이전 사후 심사 보고서의 결과를 전략적으로 활용하여 재인증 절차를 진행했습니다. 지속적인 개선과 과거 평가로부터 배우는 것의 가치를 인식합니다.
테크매닉은 이전 사후 심사 보고서를 검토하는 관행을 도입했습니다. 이러한 선제적 접근 방식은 잠재적인 부적합 사항을 파악하고 해결하는 데 도움이 되었을 뿐만 아니라 IT 컨설팅 분야의 재인증 절차를 간소화하는 데에도 기여했습니다.
사후 심사 과정에서 몇 가지 부적합 사항이 발견되었습니다. 하지만 ISMS는 ISO/IEC 기준을 계속해서 충족했습니다.
테크매닉은 ISO/IEC 27001 요구사항을 충족했지만, 내부 감사자가 보고한 호스팅 서비스 관련 부적합 사항을 해결하지 못했습니다. 또한, 내부 감사 보고서에는 여러 가지 불일치가 있어 호스팅 서비스 감사 과정에서 내부 감사자의 독립성에 의문이 제기되었습니다. 이러한 이유로 확장 인증이 부여되지 않았습니다. 결과적으로 테크매닉은 다른 인증 기관으로의 이전을 요청했습니다. 이와 동시에 테크매닉은 고객들에게 ISO/IEC 27001 인증이 호스팅 서비스뿐만 아니라 IT 서비스까지 포함한다는 내용의 성명을 발표했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
ISO/IEC 17021-1에 따르면 사후 심사의 목적은 무엇입니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 160
시나리오 3: 리빌디(Rebuildy)는 태국 방콕에 위치한 주거용 건물 설계, 시공 및 유지보수 전문 건설 회사입니다. 민감한 프로젝트 데이터와 고객 정보의 보안을 확보하기 위해 리빌디는 ISO/IEC 27001 기반의 정보 보안 관리 시스템(ISMS)을 도입하기로 결정했습니다. 이 시스템에는 정보 보안 위험에 대한 포괄적인 이해, 명확한 지속적 개선 방안, 그리고 강력한 비즈니스 솔루션이 포함되었습니다.
ISMS 구현 결과는 다음과 같습니다.
정보 보안은 일련의 보안 통제를 적용하고 정책, 프로세스 및 절차를 수립함으로써 달성됩니다.
*보안 통제는 위험 평가를 기반으로 구현되며, 위험을 제거하거나 허용 가능한 수준으로 줄이는 것을 목표로 합니다.
*모든 프로세스는 계획-실행-점검-조정(PDCA) 모델을 기반으로 ISMS의 지속적인 개선을 보장합니다.
*정보 보안 정책은 최상의 보안 사례를 기반으로 작성된 보안 매뉴얼의 일부이므로 독립적인 문서가 아닙니다.
*정보 보안 관련 역할과 책임은 모든 직원의 직무 설명서에 명확하게 명시되어 있습니다.
*정보보안관리시스템(ISMS)에 대한 경영 검토는 계획된 간격으로 실시됩니다.
리빌디는 두 차례의 중간 경영 평가와 한 차례의 연례 내부 감사를 거친 후 인증을 신청했습니다. 인증 감사 직전, 리빌디의 전 직원이 감사팀 구성원 중 한 명에게 리빌디가 은폐하려는 여러 보안 문제가 있다고 제보했습니다. 전 직원은 관련 증거 자료를 감사팀 구성원에게 제출했습니다. 리빌디의 주요 고객사인 일렉트라(Electra) 또한 동일한 문제에 대한 증거를 제출했고, 감사팀은 전 직원의 증거 대신 일렉트라의 증거를 채택했습니다. 감사팀 구성원은 감사가 완료될 때까지 일렉트라와 지속적으로 연락하며 감사 과정에서 발견된 부적합 사항에 대해 논의했습니다. 일렉트라는 이러한 조사 결과를 뒷받침하는 추가 증거를 제공했습니다.
감사 시작 시 감사팀은 회사 최고 경영진을 인터뷰했습니다. 인터뷰에서 최고 경영진의 ISMS 구현 의지에 대해 논의했습니다. 이러한 논의를 통해 얻은 증거는 서면 확인서로 작성되었으며, 이를 바탕으로 Rebuildy가 ISO/IEC 27001의 여러 조항을 준수하는지 여부를 판단했습니다. Electra로부터 얻은 문서화된 증거는 부적합 사항 보고서와 함께 감사 보고서에 첨부되었습니다. 발견된 부적합 사항은 다음과 같습니다.
*회사 재무 보고 시스템에서 사용자 접근 제어 설정이 부적절한 사례가 발견되었습니다.
*별도의 정보 보안 정책은 수립되어 있지 않습니다. 대신, 회사는 최상의 보안 사례를 바탕으로 작성된 보안 매뉴얼을 사용하고 있습니다.
감사팀으로부터 해당 문서를 받은 후, 팀장은 리빌디의 최고 경영진을 만나 감사 결과를 발표했습니다. 감사팀은 재무 보고 시스템과 독립적인 정보 보안 정책의 부재와 관련된 문제점을 보고했습니다. 최고 경영진은 감사 결과에 불만을 표명하며 팀장의 행동이 비전문적이라고 지적했고, 교체를 요구할 수도 있음을 시사했습니다. 압박을 받은 팀장은 최고 경영진과 협력하여 발견된 부적합 사항의 심각성을 축소하기로 결정했습니다. 그 결과, 팀장은 보고서를 수정하여 리빌디의 실제 규정 준수 문제의 심각성을 왜곡했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
시나리오 3의 마지막 단락을 바탕으로, 감사팀장은 어떤 행위를 저질렀습니까?
ISMS 구현 결과는 다음과 같습니다.
정보 보안은 일련의 보안 통제를 적용하고 정책, 프로세스 및 절차를 수립함으로써 달성됩니다.
*보안 통제는 위험 평가를 기반으로 구현되며, 위험을 제거하거나 허용 가능한 수준으로 줄이는 것을 목표로 합니다.
*모든 프로세스는 계획-실행-점검-조정(PDCA) 모델을 기반으로 ISMS의 지속적인 개선을 보장합니다.
*정보 보안 정책은 최상의 보안 사례를 기반으로 작성된 보안 매뉴얼의 일부이므로 독립적인 문서가 아닙니다.
*정보 보안 관련 역할과 책임은 모든 직원의 직무 설명서에 명확하게 명시되어 있습니다.
*정보보안관리시스템(ISMS)에 대한 경영 검토는 계획된 간격으로 실시됩니다.
리빌디는 두 차례의 중간 경영 평가와 한 차례의 연례 내부 감사를 거친 후 인증을 신청했습니다. 인증 감사 직전, 리빌디의 전 직원이 감사팀 구성원 중 한 명에게 리빌디가 은폐하려는 여러 보안 문제가 있다고 제보했습니다. 전 직원은 관련 증거 자료를 감사팀 구성원에게 제출했습니다. 리빌디의 주요 고객사인 일렉트라(Electra) 또한 동일한 문제에 대한 증거를 제출했고, 감사팀은 전 직원의 증거 대신 일렉트라의 증거를 채택했습니다. 감사팀 구성원은 감사가 완료될 때까지 일렉트라와 지속적으로 연락하며 감사 과정에서 발견된 부적합 사항에 대해 논의했습니다. 일렉트라는 이러한 조사 결과를 뒷받침하는 추가 증거를 제공했습니다.
감사 시작 시 감사팀은 회사 최고 경영진을 인터뷰했습니다. 인터뷰에서 최고 경영진의 ISMS 구현 의지에 대해 논의했습니다. 이러한 논의를 통해 얻은 증거는 서면 확인서로 작성되었으며, 이를 바탕으로 Rebuildy가 ISO/IEC 27001의 여러 조항을 준수하는지 여부를 판단했습니다. Electra로부터 얻은 문서화된 증거는 부적합 사항 보고서와 함께 감사 보고서에 첨부되었습니다. 발견된 부적합 사항은 다음과 같습니다.
*회사 재무 보고 시스템에서 사용자 접근 제어 설정이 부적절한 사례가 발견되었습니다.
*별도의 정보 보안 정책은 수립되어 있지 않습니다. 대신, 회사는 최상의 보안 사례를 바탕으로 작성된 보안 매뉴얼을 사용하고 있습니다.
감사팀으로부터 해당 문서를 받은 후, 팀장은 리빌디의 최고 경영진을 만나 감사 결과를 발표했습니다. 감사팀은 재무 보고 시스템과 독립적인 정보 보안 정책의 부재와 관련된 문제점을 보고했습니다. 최고 경영진은 감사 결과에 불만을 표명하며 팀장의 행동이 비전문적이라고 지적했고, 교체를 요구할 수도 있음을 시사했습니다. 압박을 받은 팀장은 최고 경영진과 협력하여 발견된 부적합 사항의 심각성을 축소하기로 결정했습니다. 그 결과, 팀장은 보고서를 수정하여 리빌디의 실제 규정 준수 문제의 심각성을 왜곡했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
시나리오 3의 마지막 단락을 바탕으로, 감사팀장은 어떤 행위를 저질렀습니까?