ISO-IEC-27001-Lead-Auditor-KR 문제 191
귀하는 유럽에 위치한 의료 서비스를 제공하는 ABC라는 요양원에서 정보 보안 관리 시스템(ISMS) 감사를 수행하고 있습니다.
감사 과정에서 ABC사가 서명된 계약에도 불구하고 마케팅 목적으로 거주자 가족 구성원의 개인 정보를 제3자에게 유출했을 가능성을 시사하는 증거를 발견했습니다.
불만 사항은 부적합 사항으로 처리되었으며, 시정 조치는 ISMS L2 10.1 절차에 따라 문서화되었습니다.
당신은 부적합 사항을 작성하기로 결정했습니다. 부적합 사항에 가장 적합한 문장을 선택하세요.
감사 과정에서 ABC사가 서명된 계약에도 불구하고 마케팅 목적으로 거주자 가족 구성원의 개인 정보를 제3자에게 유출했을 가능성을 시사하는 증거를 발견했습니다.
불만 사항은 부적합 사항으로 처리되었으며, 시정 조치는 ISMS L2 10.1 절차에 따라 문서화되었습니다.
당신은 부적합 사항을 작성하기로 결정했습니다. 부적합 사항에 가장 적합한 문장을 선택하세요.
ISO-IEC-27001-Lead-Auditor-KR 문제 192
귀하는 주거형 요양원인 ABC Healthcare Services에서 ISO 27001 ISMS 감시 감사를 실시하고 있습니다. ABC는 공급업체인 WeCare가 설계하고 유지 관리하는 의료 모바일 앱을 사용하여 거주자의 웰빙을 모니터링합니다. 감사 중에 거주자 가족 중 90%가 WeCare에서 일주일에 한 번 이메일과 SMS로 의료 기기 광고를 정기적으로 받는다는 사실을 알게 되었습니다. ABC와 WeCare 간의 서비스 계약은 공급업체가 거주자의 개인 데이터를 사용하는 것을 금지합니다. ABC는 거주자와 그 가족으로부터 많은 불만을 접수했습니다.
서비스 관리자는 불만 사항이 정보 보안 사고로 조사되었으며 정당하다고 판단되었다고 말했습니다. 시정 조치는 불일치 및 시정 조치 관리 절차에 따라 계획되고 실행되었습니다.
"ABC는 거주자와 그 가족의 개인 데이터와 관련된 정보 보안 제어 A.5.34(개인 정보 보호 및 PII 보호)를 준수하지 못했습니다. 공급업체인 WeCare는 거주자의 개인 정보를 사용하여 가족에게 광고를 보냈습니다." 불일치에 대한 대응으로 ABC가 취할 것으로 기대하는 수정 및 시정 조치 중 세 가지 옵션을 선택하십시오.
서비스 관리자는 불만 사항이 정보 보안 사고로 조사되었으며 정당하다고 판단되었다고 말했습니다. 시정 조치는 불일치 및 시정 조치 관리 절차에 따라 계획되고 실행되었습니다.
"ABC는 거주자와 그 가족의 개인 데이터와 관련된 정보 보안 제어 A.5.34(개인 정보 보호 및 PII 보호)를 준수하지 못했습니다. 공급업체인 WeCare는 거주자의 개인 정보를 사용하여 가족에게 광고를 보냈습니다." 불일치에 대한 대응으로 ABC가 취할 것으로 기대하는 수정 및 시정 조치 중 세 가지 옵션을 선택하십시오.
ISO-IEC-27001-Lead-Auditor-KR 문제 193
질문:
여러 감사팀이 참여하는 합동 감사에서 일반적으로 감사당 몇 명의 감사팀장이 지정됩니까?
여러 감사팀이 참여하는 합동 감사에서 일반적으로 감사당 몇 명의 감사팀장이 지정됩니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 194
귀하는 교육 중인 감사원에게 지침을 제공하는 경험이 풍부한 ISMS 감사팀 리더입니다.
교육 중인 감사원은 ISO 27001:2022의 역량 해석에 대해 혼란스러워하는 듯하며, 그의 이해가 맞는지 귀하에게 명확히 해달라고 요청하고 있습니다. 그는 일련의 간단한 시나리오를 제시하고, 이 중 어느 것을 역량 부족으로 돌릴지 귀하에게 묻습니다. 올바른 옵션 4개를 선택하십시오.
교육 중인 감사원은 ISO 27001:2022의 역량 해석에 대해 혼란스러워하는 듯하며, 그의 이해가 맞는지 귀하에게 명확히 해달라고 요청하고 있습니다. 그는 일련의 간단한 시나리오를 제시하고, 이 중 어느 것을 역량 부족으로 돌릴지 귀하에게 묻습니다. 올바른 옵션 4개를 선택하십시오.
ISO-IEC-27001-Lead-Auditor-KR 문제 195
시나리오 9: 테크매닉(Techmanic)은 1995년에 설립되어 현재 브뤼셀에서 운영 중인 벨기에 기업입니다. IT 컨설팅, 소프트웨어 설계, 하드웨어/소프트웨어 서비스(배포 및 유지보수 포함)를 제공합니다. 공공 서비스, 금융, 통신, 에너지, 의료, 교육 등 다양한 분야에 서비스를 제공하며, 고객 중심 기업으로서 강력한 고객 관계 구축과 최고 수준의 보안 관행을 최우선으로 생각합니다.
Techmanic은 ISO/IEC 27001 인증을 획득한 지 1년이 되었으며, 이 인증을 매우 자랑스럽게 생각합니다. 인증 심사 과정에서 심사관은 Techmanic의 ISMS 구현에 있어 몇 가지 불일치 사항을 발견했습니다. 하지만 이러한 사항들이 ISMS의 목표 달성 능력에 영향을 미치지 않았기 때문에, 심사관은 근본 원인 분석 및 시정 조치를 원격으로 진행한 후 Techmanic에 인증을 부여했습니다. 같은 해, Techmanic은 서비스 목록에 호스팅을 추가하고 해당 분야까지 인증 범위를 확장해 줄 것을 요청했습니다. 담당 심사관은 이 요청을 승인하고 Techmanic에 사후 심사 중에 확장 심사를 진행할 것이라고 통보했습니다. Techmanic은 사후 심사를 통해 자사의 ISMS가 ISO/IEC 27001을 준수하고 있으며, 지속적인 효과성을 유지하고 있는지 확인했습니다. 이번 사후 심사는 최근 추가된 호스팅 서비스를 포함한 Techmanic의 보안 관행이 인증의 엄격한 요구 사항을 완벽하게 충족하는지 확인하는 데 중점을 두었습니다. 심사관은 특히 IT 컨설팅 부문에서 추가 재인증 심사의 필요성을 없애기 위해 이전 사후 심사 보고서의 결과를 전략적으로 활용하여 재인증 절차를 진행했습니다. 지속적인 개선과 과거 평가로부터 배우는 것의 가치를 인식합니다.
테크매닉은 이전 사후 심사 보고서를 검토하는 관행을 도입했습니다. 이러한 선제적 접근 방식은 잠재적인 부적합 사항을 파악하고 해결하는 데 도움이 되었을 뿐만 아니라 IT 컨설팅 분야의 재인증 절차를 간소화하는 데에도 기여했습니다.
사후 심사 과정에서 몇 가지 부적합 사항이 발견되었습니다. 하지만 ISMS는 ISO/IEC 기준을 계속해서 충족했습니다.
테크매닉은 ISO/IEC 27001 요구사항을 충족했지만, 내부 감사자가 보고한 호스팅 서비스 관련 부적합 사항을 해결하지 못했습니다. 또한, 내부 감사 보고서에는 여러 가지 불일치가 있어 호스팅 서비스 감사 과정에서 내부 감사자의 독립성에 의문이 제기되었습니다. 이러한 이유로 확장 인증이 부여되지 않았습니다. 결과적으로 테크매닉은 다른 인증 기관으로의 이전을 요청했습니다. 이와 동시에 테크매닉은 고객들에게 ISO/IEC 27001 인증이 호스팅 서비스뿐만 아니라 IT 서비스까지 포함한다는 내용의 성명을 발표했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
내부 감사자는 외부 감사 결과에 따른 조치 계획을 후속 조치할 책임이 있습니까?
Techmanic은 ISO/IEC 27001 인증을 획득한 지 1년이 되었으며, 이 인증을 매우 자랑스럽게 생각합니다. 인증 심사 과정에서 심사관은 Techmanic의 ISMS 구현에 있어 몇 가지 불일치 사항을 발견했습니다. 하지만 이러한 사항들이 ISMS의 목표 달성 능력에 영향을 미치지 않았기 때문에, 심사관은 근본 원인 분석 및 시정 조치를 원격으로 진행한 후 Techmanic에 인증을 부여했습니다. 같은 해, Techmanic은 서비스 목록에 호스팅을 추가하고 해당 분야까지 인증 범위를 확장해 줄 것을 요청했습니다. 담당 심사관은 이 요청을 승인하고 Techmanic에 사후 심사 중에 확장 심사를 진행할 것이라고 통보했습니다. Techmanic은 사후 심사를 통해 자사의 ISMS가 ISO/IEC 27001을 준수하고 있으며, 지속적인 효과성을 유지하고 있는지 확인했습니다. 이번 사후 심사는 최근 추가된 호스팅 서비스를 포함한 Techmanic의 보안 관행이 인증의 엄격한 요구 사항을 완벽하게 충족하는지 확인하는 데 중점을 두었습니다. 심사관은 특히 IT 컨설팅 부문에서 추가 재인증 심사의 필요성을 없애기 위해 이전 사후 심사 보고서의 결과를 전략적으로 활용하여 재인증 절차를 진행했습니다. 지속적인 개선과 과거 평가로부터 배우는 것의 가치를 인식합니다.
테크매닉은 이전 사후 심사 보고서를 검토하는 관행을 도입했습니다. 이러한 선제적 접근 방식은 잠재적인 부적합 사항을 파악하고 해결하는 데 도움이 되었을 뿐만 아니라 IT 컨설팅 분야의 재인증 절차를 간소화하는 데에도 기여했습니다.
사후 심사 과정에서 몇 가지 부적합 사항이 발견되었습니다. 하지만 ISMS는 ISO/IEC 기준을 계속해서 충족했습니다.
테크매닉은 ISO/IEC 27001 요구사항을 충족했지만, 내부 감사자가 보고한 호스팅 서비스 관련 부적합 사항을 해결하지 못했습니다. 또한, 내부 감사 보고서에는 여러 가지 불일치가 있어 호스팅 서비스 감사 과정에서 내부 감사자의 독립성에 의문이 제기되었습니다. 이러한 이유로 확장 인증이 부여되지 않았습니다. 결과적으로 테크매닉은 다른 인증 기관으로의 이전을 요청했습니다. 이와 동시에 테크매닉은 고객들에게 ISO/IEC 27001 인증이 호스팅 서비스뿐만 아니라 IT 서비스까지 포함한다는 내용의 성명을 발표했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
내부 감사자는 외부 감사 결과에 따른 조치 계획을 후속 조치할 책임이 있습니까?