무료 온라인 액세스 PECB.ISO-IEC-27001-Lead-Auditor.v2024-03-27.q128 모의 시험 (Page 11)

ISO-IEC-27001-Lead-Auditor 문제 46

Which of the following is not a type of Information Security attack?

A. Legal Incidents

B. Vehicular Incidents

C. Technical Vulnerabilities

D. Privacy Incidents

ISO-IEC-27001-Lead-Auditor 문제 47

Which two of the following statements are true?

A. The role of a certification body auditor involves evaluating the organisation's processes for ensuring compliance with their legal requirements

B. Curing a third-party audit, the auditor evaluates how the organisation ensures that 4 6 made aware of changes to the legal requirements

C. As part of a certification body audit the auditor is resporable for verifying the organisation's legal compliance status

ISO-IEC-27001-Lead-Auditor 문제 48

귀하는 거주자가 위치, 심장 박동 및 혈압을 모니터링하기 위해 항상 전자 손목 밴드를 착용하는 요양원에서 ISMS 감사를 수행하고 있습니다. 손목밴드는 직원의 의료 모니터링 및 분석을 위해 이 데이터를 클라우드 서버에 자동으로 업로드합니다.
이제 귀하는 최고 경영진이 정보 보안 정책과 목표를 수립했는지 확인하고자 합니다. 귀하는 모바일 장치 정책을 샘플링하고 있으며 이 정책의 보안 목표가 "재택근무 및 모바일 장치 사용의 보안을 보장하는 것"임을 식별합니다. 정책에서는 이를 달성하기 위해 다음과 같은 제어가 적용될 것이라고 명시합니다.
개인 모바일 장치는 요양원 네트워크에 연결하고 거주자의 데이터를 처리 및 저장하는 것이 금지되어 있습니다.
ISMS 범위에 속하는 회사의 모바일 기기는 자산등록부에 등록됩니다.
회사의 모바일 장치는 장치 잠금을 해제하기 위해 핀 코드로 보호되는 화면 잠금/잠금 해제, 얼굴 또는 지문 등의 물리적 보호를 구현하거나 활성화해야 합니다.
회사의 모바일 기기는 정기적으로 백업되어야 합니다.
모바일 장치 정책과 목표가 구현되고 효과적인지 확인하려면 감사 추적에 대한 세 가지 옵션을 선택하십시오.

A. 리셉션 직원과 인터뷰하여 요양원에 들어가기 전에 모든 방문객과 직원의 가방이 확인되었는지 확인하세요.

B. 방문자 등록부를 검토하여 방문자가 요양원에 개인 휴대전화를 가지고 있을 수 없는지 확인하세요.

C. 내부 감사 보고서를 검토하여 IT 부서가 감사를 받았는지 확인하세요.

D. 자산 등록을 검토하여 모든 개인 모바일 장치가 등록되었는지 확인하세요.

E. 현직 의료진으로부터 일부 모바일 기기를 샘플링하고 자산 등록부를 통해 모바일 기기 정보를 검증합니다.

F. 자산 등록을 검토하여 모든 회사의 모바일 장치가 등록되었는지 확인하세요.

G. 기기 공급업체를 인터뷰하여 ISMS 정책을 인지하고 있는지 확인하세요.

H. 최고 경영진과 인터뷰하여 정보 보안 정책 및 정보 보안 목표 수립에 참여했는지 확인합니다.

정답: C,E,F

정보 보안 관리 시스템(ISMS)의 수립, 구현, 유지 및 지속적인 개선을 위한 요구 사항을 명시한 ISO/IEC 27001:2022에 따르면, 5.2절에서는 최고 경영진이 정보 보안 설정을 위한 프레임워크를 제공하는 정보 보안 정책을 수립하도록 요구합니다. 목표1. 조항 6.2에서는 최고 경영진이 관련 기능 및 수준1에서 정보 보안 목표를 수립하도록 요구합니다. 따라서 정보 보안 정책과 목표가 최고 경영진에 의해 수립되었는지 확인할 때 ISMS 감사자는 최고 경영진의 참여와 의지를 보여주는 관련 문서와 기록을 검토해야 합니다.
모바일 장치 정책과 목표가 구현되고 효과적인지 확인하기 위해 ISMS 감사자는 정책과 목표가 어떻게 전달, 모니터링, 측정, 분석 및 평가되는지 보여주는 관련 문서와 기록을 검토해야 합니다. 감사자는 또한 정책에 명시된 통제 구현을 샘플링하고 검증해야 합니다.
모바일 장치 정책 및 목표 확인과 관련된 감사 추적에 대한 세 가지 옵션은 다음과 같습니다.
* 내부 감사 보고서를 검토하여 IT 부서가 감사를 받았는지 확인하세요. 이 옵션은 모바일 장치 및 보안 관리를 담당하는 IT 부서가 적합성 및 보안에 대해 어떻게 평가되었는지에 대한 증거를 제공할 수 있기 때문에 관련이 있습니다. 모바일 장치 정책 및 목표 구현의 효율성. 내부 감사 보고서는 모바일 장치 정책 및 목표와 관련된 모든 부적합 사항, 시정 조치 또는 개선 기회를 밝힐 수도 있습니다.
* 현직 의료진으로부터 일부 모바일 기기를 샘플링하고 자산 등록부를 통해 모바일 기기 정보를 검증합니다. 이 옵션은 처리 및 관리에 관여하는 의료진이 모바일 기기를 어떻게 사용하는지에 대한 증거를 제공할 수 있기 때문에 관련이 있습니다. 주민정보를 저장하고 있으며, 자산등록부에 등록되어 물리적 보호가 가능합니다. 이를 통해 모바일 장치 정책에 명시된 두 가지 제어 기능의 구현 및 효율성을 확인할 수 있습니다.
* 자산 등록부를 검토하여 모든 회사의 모바일 장치가 등록되었는지 확인하십시오. 이 옵션은 ISMS 범위 내에 있는 회사의 모바일 장치가 어떻게 식별되고 설명되는지에 대한 증거를 제공할 수 있기 때문에 관련이 있습니다. 이를 통해 모바일 장치 정책에 명시된 제어 중 하나의 구현 및 효율성을 확인할 수 있습니다.
감사 추적에 대한 다른 옵션은 정책이나 목표, 구현이나 효율성과 관련이 없으므로 모바일 장치 정책 및 목표를 확인하는 것과 관련이 없습니다. 예를 들어:
* 요양원에 들어가기 전에 리셉션 직원과 면담하여 모든 방문객과 직원의 가방이 확인되었는지 확인하십시오. 이 옵션은 모바일 장치 정책 및 목표가 어떻게 구현되거나 효과적인지에 대한 증거를 제공하지 않으므로 관련이 없습니다. 이는 물리적 보안이나 액세스 제어와 관련된 다른 정책이나 목표와 관련될 수 있지만 모바일 장치에만 국한되는 것은 아닙니다.
* 방문자 등록부를 검토하여 방문자가 요양원에 개인 휴대폰을 가지고 있을 수 없는지 확인하십시오. 이 옵션은 모바일 장치 정책 및 목표가 어떻게 구현되거나 효과적인지에 대한 증거를 제공하지 않으므로 관련이 없습니다. 이는 정보 보안 인식이나 규정 준수와 관련된 다른 정책이나 목표와 관련될 수 있지만 모바일 장치에만 국한되는 것은 아닙니다.
* ISMS 정책을 인지하고 있는지 확인하기 위해 장치 공급업체를 인터뷰합니다. 이 옵션은 모바일 장치 정책 및 목표가 어떻게 구현되거나 효과적인지에 대한 증거를 제공하지 않으므로 관련이 없습니다. 이는 공급업체 관계 내의 정보 보안에 관한 다른 정책이나 목표와 관련될 수 있지만 특히 모바일 장치와 관련될 수는 없습니다.
* 최고 경영진과 인터뷰하여 정보 보안 정책 및 정보 보안 목표 수립에 참여했는지 확인합니다. 이 옵션은 모바일 장치 정책 및 목표가 어떻게 구현되거나 효과적인지에 대한 증거를 제공하지 않으므로 관련이 없습니다. 이는 최고 경영진이 정보 보안 정책 및 목표를 수립했는지 확인하는 것과 관련될 수 있지만 모바일 장치에만 해당되는 것은 아닙니다.
참고 자료: ISO/IEC 27001:2022 - 정보 기술 - 보안 기술 - 정보 보안 관리 시스템 - 요구 사항