무료 온라인 액세스 PECB.ISO-IEC-27001-Lead-Auditor-KR.v2026-04-28.q207 모의 시험 (Page 39)

ISO-IEC-27001-Lead-Auditor-KR 문제 186

1단계를 완료하고 2단계 초기 인증 감사를 준비하면서 감사 대상자는 감사팀장에게 조직이 최근 인수한 두 개의 추가 사이트를 포함하도록 감사 범위를 확장하고자 한다고 알립니다.
이러한 정보를 고려할 때, 감사팀장이 어떤 조치를 취하기를 기대하시나요?

A. 비디오 회의 플랫폼을 사용하여 두 사이트에 대한 원격 1단계 감사를 완료하도록 준비합니다.

B. 추가 사이트를 포함하도록 2단계 감사 기간을 늘리세요.

C. 감사팀장이 요청을 수락했음을 감사 대상자에게 알립니다.

D. 감사 프로그램을 관리하는 개인에게 알리기 위해 추가 사이트에 대한 정보를 얻으십시오.

ISO-IEC-27001-Lead-Auditor-KR 문제 187

귀하는 의료 서비스를 제공하는 주거형 요양원에서 ISMS 감사를 수행하고 있습니다. 감사 계획의 다음 단계는 비즈니스 연속성 관리 프로세스의 정보 보안을 확인하는 것입니다. 감사 중에 조직이 최근 팬데믹 동안 요양 서비스를 계속하기 위해 비즈니스 연속성 계획(BCP) 중 하나를 활성화했다는 사실을 알게 되었습니다. 귀하는 서비스 관리자에게 조직이 비즈니스 연속성 관리 프로세스 동안 정보 보안을 어떻게 관리하는지 설명해 달라고 요청합니다.
서비스 관리자는 전염병에 대비한 간호 서비스 연속성 계획을 제시하고 그 과정을 다음과 같이 요약했습니다.
새로운 거주자의 입국을 중단합니다.
행정 직원의 70%, 의료진의 30%가 재택근무를 하게 됩니다.
직원들이 정기적으로 자가 검사를 실시하며, 사무실에 출근하기 1일 전에 음성 검사 보고서를 제출합니다.
ABC의 의료 모바일 앱을 설치하고, 발자국을 추적하고, 그 자리에서 확인할 수 있는 GREEN 건강 상태 QR 코드를 제시하세요.
서비스 관리자에게 직원이 재택근무할 때 관련 없는 가족 구성원이나 이해 관계자가 거주자의 개인 데이터에 액세스하는 것을 방지하는 방법을 묻습니다. 서비스 관리자는 대답할 수 없고 IT 보안 관리자가 도와야 한다고 제안합니다.
다른 영역을 더 조사하여 더 많은 감사 증거를 수집하고 싶을 것입니다. 감사 추적에 포함되지 않을 세 가지 옵션을 선택하세요.

A. 중단 중 정보 보안 프로토콜이 어떻게 유지되는지에 대한 더 많은 증거 수집(제어 A.5.29와 관련됨)

B. 직원이 재택근무 시 맬웨어로부터 보호된 IT 장비만 사용한다는 추가 증거 수집(통제 A.8.7과 관련)

C. 추가 직원을 인터뷰하여 그들이 때때로 재택근무를 해야 할 필요성을 알고 있는지 확인하기 위해 더 많은 증거를 수집합니다(조항 7.3과 관련됨)

D. 비즈니스 연속성 계획이 어떻게 그리고 언제 테스트되었는지에 대한 더 많은 증거를 수집합니다. (제어 A.5.29와 관련됨)

E. 조직에서 모든 직원이 주기적으로 코로나 양성 검사를 실시하도록 하는 방법에 대한 더 많은 증거를 수집합니다(통제 A.7.2와 관련됨)

F. 조직이 모바일 기기 및 재택근무 중 정보 보안을 관리하는 방법에 대한 더 많은 증거 수집(통제 A.6.7과 관련됨)

G. 조직이 기존 거주자를 요양원에서 얼마나 빨리 퇴원시킬 수 있는지 평가하기 위해 사업 위험 평가를 수행하는 방법에 대한 더 많은 증거를 수집합니다. (조항 6과 관련됨)

H. 조직이 재택근무 직원을 지원하기 위해 제공하는 리소스에 대한 더 많은 증거를 수집합니다. (조항 7.1과 관련됨)

정답: E,G,H

According to ISO/IEC 27001:2022 clause 6.1, the organization must establish, implement and maintain an information security risk management process that includes the following activities:
* establishing and maintaining information security risk criteria;
* ensuring that repeated information security risk assessments produce consistent, valid and comparable results;
* identifying the information security risks;
* analyzing the information security risks;
* evaluating the information security risks;
* treating the information security risks;
* accepting the information security risks and the residual information security risks;
* communicating and consulting with stakeholders throughout the process;
* monitoring and reviewing the information security risks and the risk treatment plan.
According to control A.5.29, the organization must establish, document, implement and maintain processes, procedures and controls to ensure the required level of continuity for information security during a disruptive situation. The organization must also:
* determine its requirements for information security and the continuity of information security management in adverse situations, e.g. during a crisis or disaster;
* establish, document, implement and maintain processes, procedures and controls to ensure the required level of continuity for information security during an adverse situation;
* verify the availability of information processing facilities.
Therefore, the following options will not be in your audit trail, as they are not relevant to the information security risk management process or the information security continuity process:
* E. Collect more evidence on how the organisation makes sure all staff periodically conduct a positive Covid test (Relevant to control A.7.2). This is not relevant to the information security aspects of business continuity management, as it is related to the health and safety of the staff, not the protection of information assets. Control A.7.2 is about screening of personnel prior to employment, not during employment.
* G. Collect more evidence on how the organisation performs a business risk assessment to evaluate how fast the existing residents can be discharged from the nursing home. (Relevant to clause 6). This is not relevant to the information security aspects of business continuity management, as it is related to the operational and financial aspects of the business, not the identification and treatment of information security risks. Clause 6 is about the information security risk management process, not the business risk management process.
* H. Collect more evidence on what resources the organisation provides to support the staff working from home. (Relevant to clause 7.1). This is not relevant to the information security aspects of business continuity management, as it is related to the general provision of resources for the ISMS, not the specific processes, procedures and controls to ensure the continuity of information security during a disruptive situation. Clause 7.1 is about determining and providing the resources needed for the establishment, implementation, maintenance and continual improvement of the ISMS, not the resources needed for the staff working from home.
References:
ISO/IEC 27001:2022, clauses 6.1, 7.1, and Annex A control A.5.29
[PECB Candidate Handbook ISO/IEC 27001 Lead Auditor], pages 14-15, 17, 22-23 ISO 27001:2022 Annex A Control 5.29 - What's New?
ISO 22301 Business Continuity Management System

ISO-IEC-27001-Lead-Auditor-KR 문제 188

시나리오 4: SendPay는 에이전트와 금융 기관 네트워크를 통해 서비스를 제공하는 금융 회사입니다. 주요 서비스 중 하나는 전 세계로 송금하는 것입니다. 신생 회사인 SendPay는 고객에게 최고 품질의 서비스를 제공하고자 합니다. 이 회사는 국제 거래를 제공하기 때문에 고객의 신원, 거래 이유 및 거래를 완료하는 데 필요할 수 있는 기타 세부 정보와 같은 개인 정보를 제공하도록 요구합니다. 따라서 SendPay는 발생할 수 있는 정보 보안 위협을 탐지, 조사 및 대응하는 것을 포함하여 고객의 정보를 보호하기 위한 보안 조치를 구현했습니다. 안전한 서비스를 제공하려는 그들의 노력은 회사가 많은 시간과 리소스를 투자한 ISMS 구현 중에도 반영되었습니다.
작년에 SendPay는 스마트폰이나 노트북과 같은 전자 기기를 통해 추가 수수료 없이 돈을 거래할 수 있는 디지털 플랫폼을 공개했습니다. 이 플랫폼을 통해 SendPay의 고객은 언제 어디서나 돈을 보내고 받을 수 있습니다. 이 디지털 플랫폼은 SendPay가 회사 운영을 간소화하고 사업을 더욱 확장하는 데 도움이 되었습니다. 당시 SendPay는 소프트웨어 운영을 아웃소싱하고 있었기 때문에 이 프로젝트는 아웃소싱된 회사의 소프트웨어 개발 팀에서 완료했습니다.
같은 팀은 SendPay의 기술 인프라 유지관리도 담당했습니다.
최근 이 회사는 ISMS를 거의 1년 동안 도입한 후 ISO/IEC 27001 인증을 신청했습니다. 그들은 기준에 맞는 인증 기관과 계약을 맺었습니다. 얼마 지나지 않아 인증 기관은 SendPay의 ISMS를 감사하기 위해 4명의 감사원 팀을 임명했습니다.
감사 과정에서 다음과 같은 상황이 관찰되었습니다.
1. 아웃소싱 소프트웨어 회사가 사전 통지 없이 SendPay와의 계약을 종료했습니다. 그 결과 SendPay는 즉시 서비스를 사내로 다시 가져올 수 없었고 운영이 5일 동안 중단되었습니다. 감사원은 SendPay의 담당자에게 계약 종료 시 따를 계획이 있다는 증거를 제공해 달라고 요청했습니다. 담당자는 서류 증거를 제공하지 않았지만 면접 중에 감사원에게 SendPay의 최고 경영진이 비슷한 상황이 다시 발생하면 즉시 서비스를 제공할 수 있는 다른 두 소프트웨어 개발 회사를 파악했다고 말했습니다.
2. 소프트웨어 개발 회사에 아웃소싱된 활동의 모니터링과 관련하여 사용 가능한 증거가 없습니다. 다시 한번, SendPay의 대표는 감사원에게 소프트웨어 개발 회사와 정기적으로 소통하고 발생할 수 있는 모든 가능한 변경 사항에 대해 적절하게 정보를 받고 있다고 말했습니다.
3. 방화벽 테스트 중에 불일치 사항이 발견되지 않았습니다. 감사원은 이러한 서비스가 제공하는 보안 수준을 확인하기 위해 방화벽 구성을 테스트했습니다. 그들은 패킷 분석기를 사용하여 방화벽 정책을 테스트하여 실시간으로 전송되거나 수신된 패킷을 확인할 수 있었습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
SendPay의 대표는 회사가 활동을 아웃소싱한 회사와의 계약이 종료될 경우 따를 계획이 없다고 말했습니다. 대신 최고 경영진은 동일한 서비스를 제공할 수 있는 다른 두 개의 소프트웨어 개발 회사를 파악했습니다. 이 상황을 어떻게 설명하시겠습니까?

A. 허용 불가, 대체 소프트웨어 개발 회사를 식별하기 위한 SendPay 증거 및 기준이 부족합니다.

B. 허용 가능, SendPay는 유사한 계약 종료에 대한 계획을 개발할지 여부를 결정할 수 있으므로 추가 증거가 필요하지 않습니다.

C. 허용 불가, SendPay는 회사가 따라야 할 단계를 명시한 복구 계획을 항상 갖고 있어야 합니다.

ISO-IEC-27001-Lead-Auditor-KR 문제 189

다음 상황을 필요한 감사 유형에 맞춰 연결해 주세요.

ISO-IEC-27001-Lead-Auditor-KR 문제 190

마케팅 기관이 ISMS 구현의 일환으로 자체 위험 평가 접근 방식을 개발했습니다. 이것이 허용될 수 있습니까?

A. 예, ISO/IEC 27001 요구 사항을 준수하는 모든 위험 평가 방법론을 사용할 수 있습니다.

B. 예, 위험 평가 방법론이 인정된 위험 평가 방법론과 일치하는 경우에만 해당됩니다.

C. 아니요, ISMS를 구현할 때는 ISO/IEC 27001에서 제공하는 위험 평가 방법론을 사용해야 합니다.