ISO-IEC-27001-Lead-Auditor-KR 문제 161
시나리오 6: Cyber ACrypt는 악성코드 방지 및 장치 보안, 자산 수명 주기 관리, 장치 암호화를 제공하여 엔드포인트 보호 서비스를 제공하는 사이버 보안 회사입니다. ISO/IEC 27001에 따라 자사의 ISMS를 검증하고 사이버 보안 우수성에 대한 노력을 입증하기 위해, 이 회사는 임명된 감사팀장인 존이 주도하는 철저한 감사 과정을 거쳤습니다.
감사 위임을 수락한 존은 즉시 감사 계획과 팀 구성원의 역할을 설명하는 회의를 소집했습니다. 이 단계는 팀이 감사의 목표와 범위에 맞춰 나갈 수 있도록 하는 데 매우 중요했습니다. 그러나 사이버 크립트 직원들을 대상으로 한 초기 발표에서 감사의 범위와 목표에 대한 이해에 상당한 격차가 드러났고, 이는 회사 내 준비 부족 가능성을 시사했습니다. 1단계 감사가 시작되면서 팀은 현장 활동을 위한 준비를 시작했습니다. 감사팀은 사이버 어크립트의 정보 보안 정책 및 운영 절차를 포함한 문서화된 정보를 검토하여 각 문서가 작성자, 작성일, 버전 번호 및 승인일을 포함하여 표준화된 형식을 준수하는지 확인했습니다. 또한 각 문서에 표준의 해당 조항에서 요구하는 정보가 포함되어 있는지 확인했습니다. 이 단계에서 작업 실행을 설명하는 문서에 대한 상세 감사는 불필요하다는 점이 밝혀져 프로세스가 간소화되고 감사팀은 핵심 영역에 집중할 수 있었습니다. 현장 활동 단계에서는 사이버 어크립트의 정책에 대한 경영진의 책임을 평가했습니다. 이 철저한 검토는 지속적인 개선과 ISMS 요구 사항 준수 여부를 확인하기 위한 것이었습니다. 이후 1단계 감사 결과 문서 작성 단계에서 감사팀은 1단계 목표 달성과 관련된 결론을 강조하며 감사 결과를 꼼꼼하게 문서화했습니다. 이 문서는 감사팀과 사이버 어크립트가 예비 감사 결과와 개선이 필요한 영역을 이해하는 데 매우 중요했습니다.
감사팀은 주요 이해 관계자들과 인터뷰를 진행하기로 결정했습니다. 이러한 결정은 경영 시스템이 ISO 표준을 준수하는지 검증하기 위한 확실한 감사 증거를 수집하려는 목적에 따른 것이었습니다.
IEC 27001 요구사항을 준수했습니다. 사이버 크립트의 다양한 직급의 이해 관계자들과 소통하면서 감사팀은 귀중한 관점을 얻고 ISMS의 구현 및 효과성을 이해할 수 있었습니다.
1단계 감사 보고서에서 중요한 문제점들이 드러났습니다. 적용 범위 명세서(SoA)와 정보보안관리시스템(ISMS) 정책은 불충분한 위험 평가, 부적절한 접근 제어, 정기적인 정책 검토 부족 등 여러 측면에서 미흡한 것으로 나타났습니다. 이에 사이버 크립트는 이러한 문제점들을 해결하기 위해 즉각적인 조치를 취했습니다. 신속한 대응과 전략 문서 수정은 규정 준수 달성에 대한 강력한 의지를 보여주었습니다.
감사팀의 사이버 보안 지식 격차를 해소하기 위해 투입된 기술 전문가는 위험 평가 방법론의 미비점을 파악하고 네트워크 아키텍처를 검토하는 데 중추적인 역할을 했습니다. 여기에는 방화벽, 침입 탐지 및 방지 시스템, 기타 네트워크 보안 조치 평가뿐만 아니라 Cyber ACrypt가 외부 및 내부 위협을 탐지, 대응 및 복구하는 방식에 대한 평가도 포함되었습니다. 존의 감독 하에 기술 전문가는 감사 결과를 Cyber ACrypt 담당자에게 전달했습니다. 그러나 감사팀은 해당 전문가가 피감사 기업으로부터 컨설팅 비용을 받았기 때문에 객관성이 훼손되었을 가능성이 있다고 판단했습니다. 감사팀장은 감사 과정에서 기술 전문가의 행동을 고려하여 이 문제를 인증 기관과 논의하기로 결정했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
시나리오 6을 바탕으로, 1단계 감사 과정에서 진행된 인터뷰의 목표는 감사팀에 의해 적절하게 설정되었습니까?
감사 위임을 수락한 존은 즉시 감사 계획과 팀 구성원의 역할을 설명하는 회의를 소집했습니다. 이 단계는 팀이 감사의 목표와 범위에 맞춰 나갈 수 있도록 하는 데 매우 중요했습니다. 그러나 사이버 크립트 직원들을 대상으로 한 초기 발표에서 감사의 범위와 목표에 대한 이해에 상당한 격차가 드러났고, 이는 회사 내 준비 부족 가능성을 시사했습니다. 1단계 감사가 시작되면서 팀은 현장 활동을 위한 준비를 시작했습니다. 감사팀은 사이버 어크립트의 정보 보안 정책 및 운영 절차를 포함한 문서화된 정보를 검토하여 각 문서가 작성자, 작성일, 버전 번호 및 승인일을 포함하여 표준화된 형식을 준수하는지 확인했습니다. 또한 각 문서에 표준의 해당 조항에서 요구하는 정보가 포함되어 있는지 확인했습니다. 이 단계에서 작업 실행을 설명하는 문서에 대한 상세 감사는 불필요하다는 점이 밝혀져 프로세스가 간소화되고 감사팀은 핵심 영역에 집중할 수 있었습니다. 현장 활동 단계에서는 사이버 어크립트의 정책에 대한 경영진의 책임을 평가했습니다. 이 철저한 검토는 지속적인 개선과 ISMS 요구 사항 준수 여부를 확인하기 위한 것이었습니다. 이후 1단계 감사 결과 문서 작성 단계에서 감사팀은 1단계 목표 달성과 관련된 결론을 강조하며 감사 결과를 꼼꼼하게 문서화했습니다. 이 문서는 감사팀과 사이버 어크립트가 예비 감사 결과와 개선이 필요한 영역을 이해하는 데 매우 중요했습니다.
감사팀은 주요 이해 관계자들과 인터뷰를 진행하기로 결정했습니다. 이러한 결정은 경영 시스템이 ISO 표준을 준수하는지 검증하기 위한 확실한 감사 증거를 수집하려는 목적에 따른 것이었습니다.
IEC 27001 요구사항을 준수했습니다. 사이버 크립트의 다양한 직급의 이해 관계자들과 소통하면서 감사팀은 귀중한 관점을 얻고 ISMS의 구현 및 효과성을 이해할 수 있었습니다.
1단계 감사 보고서에서 중요한 문제점들이 드러났습니다. 적용 범위 명세서(SoA)와 정보보안관리시스템(ISMS) 정책은 불충분한 위험 평가, 부적절한 접근 제어, 정기적인 정책 검토 부족 등 여러 측면에서 미흡한 것으로 나타났습니다. 이에 사이버 크립트는 이러한 문제점들을 해결하기 위해 즉각적인 조치를 취했습니다. 신속한 대응과 전략 문서 수정은 규정 준수 달성에 대한 강력한 의지를 보여주었습니다.
감사팀의 사이버 보안 지식 격차를 해소하기 위해 투입된 기술 전문가는 위험 평가 방법론의 미비점을 파악하고 네트워크 아키텍처를 검토하는 데 중추적인 역할을 했습니다. 여기에는 방화벽, 침입 탐지 및 방지 시스템, 기타 네트워크 보안 조치 평가뿐만 아니라 Cyber ACrypt가 외부 및 내부 위협을 탐지, 대응 및 복구하는 방식에 대한 평가도 포함되었습니다. 존의 감독 하에 기술 전문가는 감사 결과를 Cyber ACrypt 담당자에게 전달했습니다. 그러나 감사팀은 해당 전문가가 피감사 기업으로부터 컨설팅 비용을 받았기 때문에 객관성이 훼손되었을 가능성이 있다고 판단했습니다. 감사팀장은 감사 과정에서 기술 전문가의 행동을 고려하여 이 문제를 인증 기관과 논의하기로 결정했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
시나리오 6을 바탕으로, 1단계 감사 과정에서 진행된 인터뷰의 목표는 감사팀에 의해 적절하게 설정되었습니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 162
시나리오 2: Knight는 미국 북부 캘리포니아의 전자 회사로 비디오 게임 콘솔을 개발합니다. Knight는 전 세계적으로 300명 이상의 직원을 보유하고 있습니다. 설립 5주년을 맞아 전 세계 시장을 겨냥한 차세대 비디오 게임 콘솔인 G-Console을 출시하기로 결정했습니다. G-Console은 플레이어에게 최고의 게임 경험을 선사할 2021년 최고의 미디어 머신으로 여겨집니다.
콘솔 팩에는 VR 헤드셋 한 쌍, 2개가 포함됩니다.
게임 및 기타 선물.
수년에 걸쳐 이 회사는 고객에 대한 성실함, 정직함, 존중심을 보임으로써 좋은 평판을 쌓았습니다. 이 좋은 평판은 대부분의 열정적인 게이머가 Knight's G-콘솔이 시장에 출시되자마자 그것을 갖고 싶어하는 이유 중 하나입니다.
Knight는 고객 중심적인 회사일 뿐만 아니라
개발 중인 품질로 인해 게임 업계에서도 널리 알려졌습니다. 가격은 합리적인 기준이 허용하는 것보다 약간 높습니다.
그럼에도 불구하고 Knight의 충성스러운 고객 대부분에게는 이는 문제가 되지 않습니다. Knight의 품질이 최고 수준이기 때문입니다.
세계 최고의 비디오 게임 콘솔 개발사 중 하나인 Knight는 종종 악의적인 활동의 주목을 받습니다. 이 회사는 1년 이상 운영 ISMS를 보유하고 있습니다. ISMS 범위에는 재무 및 HR 부서를 제외한 Knight의 모든 부서가 포함됩니다.
최근, Knight의 독점 정보가 담긴 여러 파일이 해커에 의해 유출되었습니다. Knight의 사고 대응팀(IRT)은 즉시 시스템의 모든 부분과 사고의 세부 사항을 분석하기 시작했습니다.
IRT의 첫 번째 의심은 Knight의 직원들이 취약한 비밀번호를 사용했고 결과적으로 해커가 계정에 무단으로 접근하여 쉽게 해독되었다는 것이었습니다. 그러나 IRT는 사건을 신중하게 조사한 후 해커가 파일 전송 프로토콜(FTP) 트래픽을 캡처하여 계정에 접근했다는 것을 확인했습니다.
FTP는 계정 간에 파일을 전송하기 위한 네트워크 프로토콜입니다. 인증을 위해 일반 텍스트 비밀번호를 사용합니다.
이 정보 보안 사고의 영향을 파악하고 IRT의 제안에 따라 Knight는 FTP를 Secure Shell(SSH) 프로토콜로 대체하여 트래픽을 캡처하는 모든 사람이 암호화된 데이터만 볼 수 있도록 결정했습니다.
이러한 변화에 따라 Knight는 통제의 구현이 유사한 사고의 위험을 최소화했는지 확인하기 위해 위험 평가를 실시했습니다. 프로세스의 결과는 ISMS 프로젝트 관리자가 승인했으며, 그는 새로운 통제를 구현한 후의 위험 수준이 회사의 위험 수용 수준에 부합한다고 주장했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 2에 따라 Knight는 FTP를 Secure Shell(SSH) 프로토콜로 대체하기로 결정했습니다. 이 경우 적용성 설명서(SoA)를 업데이트해야 합니까?
콘솔 팩에는 VR 헤드셋 한 쌍, 2개가 포함됩니다.
게임 및 기타 선물.
수년에 걸쳐 이 회사는 고객에 대한 성실함, 정직함, 존중심을 보임으로써 좋은 평판을 쌓았습니다. 이 좋은 평판은 대부분의 열정적인 게이머가 Knight's G-콘솔이 시장에 출시되자마자 그것을 갖고 싶어하는 이유 중 하나입니다.
Knight는 고객 중심적인 회사일 뿐만 아니라
개발 중인 품질로 인해 게임 업계에서도 널리 알려졌습니다. 가격은 합리적인 기준이 허용하는 것보다 약간 높습니다.
그럼에도 불구하고 Knight의 충성스러운 고객 대부분에게는 이는 문제가 되지 않습니다. Knight의 품질이 최고 수준이기 때문입니다.
세계 최고의 비디오 게임 콘솔 개발사 중 하나인 Knight는 종종 악의적인 활동의 주목을 받습니다. 이 회사는 1년 이상 운영 ISMS를 보유하고 있습니다. ISMS 범위에는 재무 및 HR 부서를 제외한 Knight의 모든 부서가 포함됩니다.
최근, Knight의 독점 정보가 담긴 여러 파일이 해커에 의해 유출되었습니다. Knight의 사고 대응팀(IRT)은 즉시 시스템의 모든 부분과 사고의 세부 사항을 분석하기 시작했습니다.
IRT의 첫 번째 의심은 Knight의 직원들이 취약한 비밀번호를 사용했고 결과적으로 해커가 계정에 무단으로 접근하여 쉽게 해독되었다는 것이었습니다. 그러나 IRT는 사건을 신중하게 조사한 후 해커가 파일 전송 프로토콜(FTP) 트래픽을 캡처하여 계정에 접근했다는 것을 확인했습니다.
FTP는 계정 간에 파일을 전송하기 위한 네트워크 프로토콜입니다. 인증을 위해 일반 텍스트 비밀번호를 사용합니다.
이 정보 보안 사고의 영향을 파악하고 IRT의 제안에 따라 Knight는 FTP를 Secure Shell(SSH) 프로토콜로 대체하여 트래픽을 캡처하는 모든 사람이 암호화된 데이터만 볼 수 있도록 결정했습니다.
이러한 변화에 따라 Knight는 통제의 구현이 유사한 사고의 위험을 최소화했는지 확인하기 위해 위험 평가를 실시했습니다. 프로세스의 결과는 ISMS 프로젝트 관리자가 승인했으며, 그는 새로운 통제를 구현한 후의 위험 수준이 회사의 위험 수용 수준에 부합한다고 주장했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 2에 따라 Knight는 FTP를 Secure Shell(SSH) 프로토콜로 대체하기로 결정했습니다. 이 경우 적용성 설명서(SoA)를 업데이트해야 합니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 163
귀하는 감사원의 교육을 지도하는 경험이 풍부한 감사팀 리더입니다.
귀하의 팀은 현재 외부 고객을 대신하여 데이터를 저장하는 조직에 대한 제3자 감시 감사를 실시하고 있습니다. 교육 중인 감사자는 적용성 설명서(SoA)에 나열되어 있고 사이트에 구현된 기술적 통제를 검토하는 업무를 맡았습니다.
다음 중에서 감사자가 훈련을 받으면서 검토해야 할 것으로 생각하는 통제 항목을 네 가지 선택하세요.
귀하의 팀은 현재 외부 고객을 대신하여 데이터를 저장하는 조직에 대한 제3자 감시 감사를 실시하고 있습니다. 교육 중인 감사자는 적용성 설명서(SoA)에 나열되어 있고 사이트에 구현된 기술적 통제를 검토하는 업무를 맡았습니다.
다음 중에서 감사자가 훈련을 받으면서 검토해야 할 것으로 생각하는 통제 항목을 네 가지 선택하세요.
ISO-IEC-27001-Lead-Auditor-KR 문제 164
질문
법적 및 계약적 의무 불이행 시 발생하는 부적합 비용이나 벌금과 같은 요소는 다음 중 어느 것을 정의할 때 평가됩니까?
법적 및 계약적 의무 불이행 시 발생하는 부적합 비용이나 벌금과 같은 요소는 다음 중 어느 것을 정의할 때 평가됩니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 165
귀하는 기밀 문서와 이동식 미디어의 안전한 폐기를 전문으로 하는 조직의 제3자 인증 감사를 수행하는 ISMS 감사팀 리더입니다. 문서와 미디어는 모두 군사 등급의 장치에서 분쇄되므로 원본을 재구성하는 것이 불가능합니다.
감사는 잘 진행되었고, 당신은 마감 회의 30분 전에 감사 보고서를 작성하려고 합니다. 이때 조직의 직원 중 한 명이 당신의 문을 두드리고 당신과 통화할 수 있는지 묻습니다. 그들은 일이 바쁠 때 그녀의 관리자가 조직에 더 많은 산업용 분쇄기가 있고 더 빨리 작동하기 때문에 대신 낮은 등급의 산업용 분쇄기를 사용하라고 말했다고 말합니다. 감사 대상자는 당신에게 이러한 기계의 존재나 사용에 대해 알리지 않았습니다.
이 정보에 어떻게 대응해야 할지 세 가지 옵션을 선택하세요.
감사는 잘 진행되었고, 당신은 마감 회의 30분 전에 감사 보고서를 작성하려고 합니다. 이때 조직의 직원 중 한 명이 당신의 문을 두드리고 당신과 통화할 수 있는지 묻습니다. 그들은 일이 바쁠 때 그녀의 관리자가 조직에 더 많은 산업용 분쇄기가 있고 더 빨리 작동하기 때문에 대신 낮은 등급의 산업용 분쇄기를 사용하라고 말했다고 말합니다. 감사 대상자는 당신에게 이러한 기계의 존재나 사용에 대해 알리지 않았습니다.
이 정보에 어떻게 대응해야 할지 세 가지 옵션을 선택하세요.