ISO-IEC-27001-Lead-Auditor-KR 문제 201
시나리오 7: 웹뷰(Webvue)는 일본에 본사를 둔 기술 기업으로, 컴퓨터 소프트웨어 개발, 지원 및 유지보수를 전문으로 합니다. 웹뷰는 다양한 기술 분야와 비즈니스 부문에 걸쳐 솔루션을 제공합니다. 주력 서비스는 스토리지, 네트워킹 및 가상 컴퓨팅 서비스를 제공하는 종합 클라우드 컴퓨팅 플랫폼인 클라우드웹뷰(CloudWebvue)입니다. 기업 및 개인 사용자 모두를 위해 설계된 클라우드웹뷰는 유연성, 확장성 및 안정성으로 잘 알려져 있습니다.
Webvue는 ISO/IEC 27001 인증 범위에 CloudWebvue만 포함하기로 결정했습니다. 따라서 1단계와 2단계 심사는 동시에 진행되었습니다. Webvue는 자산 기밀 유지에 대한 엄격한 기준을 자랑스럽게 생각합니다. CloudWebvue에 저장된 정보는 적절한 암호화 제어를 사용하여 보호됩니다. 내부용, 제한적 또는 기밀 여부에 관계없이 모든 정보는 고유한 해시값으로 암호화된 후 클라우드에 저장됩니다. 심사팀은 Keith, Sean, Layla, Sam, Tina 등 5명으로 구성되었습니다. IT 및 정보 보안 심사팀에서 가장 경험이 풍부한 Keith가 심사팀장을 맡았습니다. 그의 책임은 심사 계획 수립 및 심사팀 관리였습니다. 션과 레일라는 프로젝트 계획, 비즈니스 분석 및 IT 시스템(하드웨어 및 애플리케이션) 분야에서 경험이 풍부했습니다. 이들의 업무에는 웹뷰의 내부 시스템 및 프로세스에 따른 감사 계획 수립이 포함되었습니다. 반면, 최근 교육을 마친 샘과 티나는 감사 역량을 개발하는 동시에 일상적인 업무를 담당했습니다. 감사팀은 관련 직원과의 인터뷰를 통해 ISO/IEC 27001 부록 A의 8.24 통제 항목(암호화 사용) 준수 여부를 검증하는 과정에서 암호화 키가 처음에 난수 생성기(RBG) 및 기타 모범 사례를 기반으로 생성되었음을 확인했습니다. 웹뷰의 암호화 정책을 확인한 결과, 인터뷰에서 얻은 정보가 사실임을 확인했습니다. 그러나 정책에 암호화 키의 사용 및 수명에 대한 내용이 명시되어 있지 않아 암호화 키가 여전히 사용되고 있는 것으로 나타났습니다.
웹뷰와 인증기관 간의 추후 합의에 따라, 심사팀은 인증 범위 및 심사 목표에 맞춰 웹뷰가 ISO/IEC 27001의 8.11항(데이터 마스킹)을 준수하는지 여부를 검증하는 데 중점을 둔 가상 심사를 진행하기로 결정했습니다. 심사팀은 클라우드 웹뷰 내 데이터 보호 관련 프로세스를 검토하고, 회사가 정책 및 규제 표준을 얼마나 잘 준수하는지에 초점을 맞췄습니다. 이 과정에서 심사팀 리더인 키스는 관련 문서와 암호화 키 관리 절차의 스크린샷을 찍어 웹뷰의 데이터 보호 관행의 효과성을 문서화하고 분석했습니다.
Webvue는 테스트 목적으로 생성된 테스트 데이터를 사용합니다. 그러나 QA 부서 관리자와의 인터뷰 및 해당 부서에서 사용하는 절차를 통해 확인된 바와 같이, 경우에 따라 실제 시스템 데이터가 사용되기도 합니다. 이러한 시나리오에서는 더 정확한 결과를 얻을 수 있지만 대량의 데이터가 생성됩니다. 테스트 데이터는 Webvue 직원이 감사 과정에서 수행한 암호화 프로세스 시뮬레이션을 통해 검증된 바와 같이 보호 및 관리됩니다. QA 부서 관리자와의 인터뷰 중 Keith는 보안 교육 부서 직원들이 감사 범위에는 포함되지 않았지만 적절한 절차를 준수하지 않고 있음을 발견했습니다. 감사 범위에서 제외되었음에도 불구하고 보안 교육 부서의 규정 미준수는 감사 범위 내 프로세스, 특히 CloudWebvue의 데이터 보안 및 암호화 관행에 잠재적인 영향을 미칠 수 있습니다. 따라서 Keith는 이 발견 사항을 감사 보고서에 반영하고 피감사자에게 알렸습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
시나리오 7에 따라 감사팀은 인터뷰를 통해 얻은 정보에 대한 합리적인 확신을 얻기 위해 Webvue의 암호화 정책을 점검했습니다. 어떤 유형의 감사 절차가 사용되었습니까?
Webvue는 ISO/IEC 27001 인증 범위에 CloudWebvue만 포함하기로 결정했습니다. 따라서 1단계와 2단계 심사는 동시에 진행되었습니다. Webvue는 자산 기밀 유지에 대한 엄격한 기준을 자랑스럽게 생각합니다. CloudWebvue에 저장된 정보는 적절한 암호화 제어를 사용하여 보호됩니다. 내부용, 제한적 또는 기밀 여부에 관계없이 모든 정보는 고유한 해시값으로 암호화된 후 클라우드에 저장됩니다. 심사팀은 Keith, Sean, Layla, Sam, Tina 등 5명으로 구성되었습니다. IT 및 정보 보안 심사팀에서 가장 경험이 풍부한 Keith가 심사팀장을 맡았습니다. 그의 책임은 심사 계획 수립 및 심사팀 관리였습니다. 션과 레일라는 프로젝트 계획, 비즈니스 분석 및 IT 시스템(하드웨어 및 애플리케이션) 분야에서 경험이 풍부했습니다. 이들의 업무에는 웹뷰의 내부 시스템 및 프로세스에 따른 감사 계획 수립이 포함되었습니다. 반면, 최근 교육을 마친 샘과 티나는 감사 역량을 개발하는 동시에 일상적인 업무를 담당했습니다. 감사팀은 관련 직원과의 인터뷰를 통해 ISO/IEC 27001 부록 A의 8.24 통제 항목(암호화 사용) 준수 여부를 검증하는 과정에서 암호화 키가 처음에 난수 생성기(RBG) 및 기타 모범 사례를 기반으로 생성되었음을 확인했습니다. 웹뷰의 암호화 정책을 확인한 결과, 인터뷰에서 얻은 정보가 사실임을 확인했습니다. 그러나 정책에 암호화 키의 사용 및 수명에 대한 내용이 명시되어 있지 않아 암호화 키가 여전히 사용되고 있는 것으로 나타났습니다.
웹뷰와 인증기관 간의 추후 합의에 따라, 심사팀은 인증 범위 및 심사 목표에 맞춰 웹뷰가 ISO/IEC 27001의 8.11항(데이터 마스킹)을 준수하는지 여부를 검증하는 데 중점을 둔 가상 심사를 진행하기로 결정했습니다. 심사팀은 클라우드 웹뷰 내 데이터 보호 관련 프로세스를 검토하고, 회사가 정책 및 규제 표준을 얼마나 잘 준수하는지에 초점을 맞췄습니다. 이 과정에서 심사팀 리더인 키스는 관련 문서와 암호화 키 관리 절차의 스크린샷을 찍어 웹뷰의 데이터 보호 관행의 효과성을 문서화하고 분석했습니다.
Webvue는 테스트 목적으로 생성된 테스트 데이터를 사용합니다. 그러나 QA 부서 관리자와의 인터뷰 및 해당 부서에서 사용하는 절차를 통해 확인된 바와 같이, 경우에 따라 실제 시스템 데이터가 사용되기도 합니다. 이러한 시나리오에서는 더 정확한 결과를 얻을 수 있지만 대량의 데이터가 생성됩니다. 테스트 데이터는 Webvue 직원이 감사 과정에서 수행한 암호화 프로세스 시뮬레이션을 통해 검증된 바와 같이 보호 및 관리됩니다. QA 부서 관리자와의 인터뷰 중 Keith는 보안 교육 부서 직원들이 감사 범위에는 포함되지 않았지만 적절한 절차를 준수하지 않고 있음을 발견했습니다. 감사 범위에서 제외되었음에도 불구하고 보안 교육 부서의 규정 미준수는 감사 범위 내 프로세스, 특히 CloudWebvue의 데이터 보안 및 암호화 관행에 잠재적인 영향을 미칠 수 있습니다. 따라서 Keith는 이 발견 사항을 감사 보고서에 반영하고 피감사자에게 알렸습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
시나리오 7에 따라 감사팀은 인터뷰를 통해 얻은 정보에 대한 합리적인 확신을 얻기 위해 Webvue의 암호화 정책을 점검했습니다. 어떤 유형의 감사 절차가 사용되었습니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 202
통신회사는 기밀 정보가 보호되도록 AES 방식을 사용합니다.
이는 암호화를 위해 단일 키를 사용한다는 것을 의미합니다.
정보를 해독합니다. 회사는 어떤 종류의 통제를 사용합니까?
이는 암호화를 위해 단일 키를 사용한다는 것을 의미합니다.
정보를 해독합니다. 회사는 어떤 종류의 통제를 사용합니까?
ISO-IEC-27001-Lead-Auditor-KR 문제 203
귀하는 감사원의 교육을 지도하는 경험이 풍부한 감사팀 리더입니다.
귀하의 팀은 현재 외부 고객을 대신하여 데이터를 저장하는 조직에 대한 제3자 감시 감사를 실시하고 있습니다. 교육 중인 감사자는 적용성 설명서(SoA)에 나열되어 있고 사이트에서 구현된 물리적 통제를 검토하는 업무를 맡았습니다.
다음 중에서 감사자가 훈련을 받으면서 검토해야 할 것으로 생각하는 통제 항목을 네 가지 선택하세요.
귀하의 팀은 현재 외부 고객을 대신하여 데이터를 저장하는 조직에 대한 제3자 감시 감사를 실시하고 있습니다. 교육 중인 감사자는 적용성 설명서(SoA)에 나열되어 있고 사이트에서 구현된 물리적 통제를 검토하는 업무를 맡았습니다.
다음 중에서 감사자가 훈련을 받으면서 검토해야 할 것으로 생각하는 통제 항목을 네 가지 선택하세요.
ISO-IEC-27001-Lead-Auditor-KR 문제 204
OrgXY는 ISO/IEC 27001 인증을 받은 소프트웨어 개발 회사입니다. 인증을 받은 지 1년 후, OrgXY의 최고 경영진은 인증 기관에 회사가 감시 감사를 실시할 준비가 되지 않았다고 알렸습니다. 이 경우 어떻게 되나요?
ISO-IEC-27001-Lead-Auditor-KR 문제 205
이메일 계정을 계속 사용하려면 이름, 이메일, 비밀번호와 같은 정보를 보내야 한다는 내용의 이메일을 받았습니다. 이러한 정보를 보내지 않으면 이메일 계정이 비활성화됩니다. 이 시나리오는 무엇을 제공합니까?