무료 온라인 액세스 PECB.ISO-IEC-27001-Lead-Auditor.v2024-03-27.q128 모의 시험 (Page 13)

ISO-IEC-27001-Lead-Auditor 문제 56

신원이 올바른지 확인하는 보안 관리 용어는 무엇입니까?

A. 확인

B. 식별

C. 승인

D. 인증

ISO-IEC-27001-Lead-Auditor 문제 57

귀하는 거주자가 위치, 심장 박동 및 혈압을 모니터링하기 위해 항상 전자 손목 밴드를 착용하는 요양원에서 ISMS 감사를 수행하고 있습니다. 손목밴드는 직원의 의료 모니터링 및 분석을 위해 이 데이터를 클라우드 서버에 자동으로 업로드합니다.
이제 귀하는 최고 경영진이 정보 보안 정책과 목표를 수립했는지 확인하고자 합니다. 귀하는 모바일 장치 정책을 샘플링하고 있으며 이 정책의 보안 목표가 "재택근무 및 모바일 장치 사용의 보안을 보장하는 것"임을 식별합니다. 정책에서는 이를 달성하기 위해 다음과 같은 제어가 적용될 것이라고 명시합니다.
개인 모바일 장치는 요양원 네트워크에 연결하고 거주자의 데이터를 처리 및 저장하는 것이 금지되어 있습니다.
ISMS 범위에 속하는 회사의 모바일 기기는 자산등록부에 등록됩니다.
회사의 모바일 장치는 장치 잠금을 해제하기 위해 핀 코드로 보호되는 화면 잠금/잠금 해제, 얼굴 또는 지문 등의 물리적 보호를 구현하거나 활성화해야 합니다.
회사의 모바일 기기는 정기적으로 백업되어야 합니다.
모바일 장치 정책과 목표가 구현되고 효과적인지 확인하려면 감사 추적에 대한 세 가지 옵션을 선택하십시오.

A. 리셉션 직원과 인터뷰하여 요양원에 들어가기 전에 모든 방문객과 직원의 가방이 확인되었는지 확인하세요.

B. 방문자 등록부를 검토하여 방문자가 요양원에 개인 휴대전화를 가지고 있을 수 없는지 확인하세요.

C. 내부 감사 보고서를 검토하여 IT 부서가 감사를 받았는지 확인하세요.

D. 자산 등록을 검토하여 모든 개인 모바일 장치가 등록되었는지 확인하세요.

E. 현직 의료진으로부터 일부 모바일 기기를 샘플링하고 자산 등록부를 통해 모바일 기기 정보를 검증합니다.

F. 자산 등록을 검토하여 모든 회사의 모바일 장치가 등록되었는지 확인하세요.

G. 기기 공급업체를 인터뷰하여 ISMS 정책을 인지하고 있는지 확인하세요.

H. 최고 경영진과 인터뷰하여 정보 보안 정책 및 정보 보안 목표 수립에 참여했는지 확인합니다.

정답: C,E,F

설명
정보 보안 관리 시스템(ISMS)의 수립, 구현, 유지 및 지속적인 개선을 위한 요구 사항을 명시한 ISO/IEC 27001:2022에 따르면, 5.2절에서는 최고 경영진이 정보 보안 설정을 위한 프레임워크를 제공하는 정보 보안 정책을 수립하도록 요구합니다. 목표1. 조항 6.2에서는 최고 경영진이 관련 기능 및 수준1에서 정보 보안 목표를 수립하도록 요구합니다. 따라서 정보 보안 정책과 목표가 최고 경영진에 의해 수립되었는지 확인할 때 ISMS 감사자는 최고 경영진의 참여와 의지를 보여주는 관련 문서와 기록을 검토해야 합니다.
모바일 장치 정책과 목표가 구현되고 효과적인지 확인하기 위해 ISMS 감사자는 정책과 목표가 어떻게 전달, 모니터링, 측정, 분석 및 평가되는지 보여주는 관련 문서와 기록을 검토해야 합니다. 감사자는 또한 정책에 명시된 통제 구현을 샘플링하고 검증해야 합니다.
모바일 장치 정책 및 목표 확인과 관련된 감사 추적에 대한 세 가지 옵션은 다음과 같습니다.
* 내부 감사 보고서를 검토하여 IT 부서가 감사를 받았는지 확인하세요. 이 옵션은 모바일 장치 및 보안 관리를 담당하는 IT 부서가 적합성 및 보안에 대해 어떻게 평가되었는지에 대한 증거를 제공할 수 있기 때문에 관련이 있습니다. 모바일 장치 정책 및 목표 구현의 효율성. 내부 감사 보고서는 모바일 장치 정책 및 목표와 관련된 모든 부적합 사항, 시정 조치 또는 개선 기회를 밝힐 수도 있습니다.
* 현직 의료진으로부터 일부 모바일 기기를 샘플링하고 자산 등록부를 통해 모바일 기기 정보를 검증합니다. 이 옵션은 처리 및 관리에 관여하는 의료진이 모바일 기기를 어떻게 사용하는지에 대한 증거를 제공할 수 있기 때문에 관련이 있습니다. 주민정보를 저장하고 있으며, 자산등록부에 등록되어 물리적 보호가 가능합니다. 이를 통해 모바일 장치 정책에 명시된 두 가지 제어 기능의 구현 및 효율성을 확인할 수 있습니다.
* 자산 등록부를 검토하여 모든 회사의 모바일 장치가 등록되었는지 확인하십시오. 이 옵션은 ISMS 범위 내에 있는 회사의 모바일 장치가 어떻게 식별되고 설명되는지에 대한 증거를 제공할 수 있기 때문에 관련이 있습니다. 이를 통해 모바일 장치 정책에 명시된 제어 중 하나의 구현 및 효율성을 확인할 수 있습니다.
감사 추적에 대한 다른 옵션은 정책이나 목표, 구현이나 효율성과 관련이 없으므로 모바일 장치 정책 및 목표를 확인하는 것과 관련이 없습니다. 예를 들어:
* 요양원에 들어가기 전에 리셉션 직원과 면담하여 모든 방문객과 직원의 가방이 확인되었는지 확인하십시오. 이 옵션은 모바일 장치 정책 및 목표가 어떻게 구현되거나 효과적인지에 대한 증거를 제공하지 않으므로 관련이 없습니다. 이는 물리적 보안이나 액세스 제어와 관련된 다른 정책이나 목표와 관련될 수 있지만 모바일 장치에만 국한되는 것은 아닙니다.
* 방문자 등록부를 검토하여 방문자가 요양원에 개인 휴대폰을 가지고 있을 수 없는지 확인하십시오. 이 옵션은 모바일 장치 정책 및 목표가 어떻게 구현되거나 효과적인지에 대한 증거를 제공하지 않으므로 관련이 없습니다. 다른 정책이나 목표와 관련될 수 있음
* 정보 보안 인식 또는 규정 준수에 관한 것이지만 특히 모바일 장치에 관한 것은 아닙니다.
* ISMS 정책을 인지하고 있는지 확인하기 위해 장치 공급업체를 인터뷰합니다. 이 옵션은 모바일 장치 정책 및 목표가 어떻게 구현되거나 효과적인지에 대한 증거를 제공하지 않으므로 관련이 없습니다. 이는 공급업체 관계 내의 정보 보안에 관한 다른 정책이나 목표와 관련될 수 있지만 특히 모바일 장치와 관련될 수는 없습니다.
* 최고 경영진과 인터뷰하여 정보 보안 정책 및 정보 보안 목표 수립에 참여했는지 확인합니다. 이 옵션은 모바일 장치 정책 및 목표가 어떻게 구현되거나 효과적인지에 대한 증거를 제공하지 않으므로 관련이 없습니다. 이는 최고 경영진이 정보 보안 정책 및 목표를 수립했는지 확인하는 것과 관련될 수 있지만 모바일 장치에만 해당되는 것은 아닙니다.
참고 자료: ISO/IEC 27001:2022 - 정보 기술 - 보안 기술 - 정보 보안 관리 시스템 - 요구 사항

ISO-IEC-27001-Lead-Auditor 문제 58

제3자 인증 감사 중에 피감사인이 발행한 문제 목록이 제공됩니다. 다음 중 ISO 27001:2022 관리 시스템의 맥락에서 '내부' 문제를 구성하는 네 가지는 무엇입니까?

A. 인구 노령화로 인한 인건비 상승

B. 높은 인플레이션에 따른 금리 인상

C. 교육 비용 삭감으로 인해 직원 역량 수준이 낮음

D. 직원 휴가 감소로 인해 사기가 저하됨

E. 관리 부실로 인한 결근 증가

F. 정부 정책 변경으로 인한 보조금 감소

G. 노후화된 생산 장비로 인한 생산성 저하

H. 정부 제재로 인해 원자재 조달 불가능

정답: C,D,E,G

설명
ISO 27001:2022 조항 4.1에 따라 조직은 조직의 목적과 관련되고 정보 보안 관리 시스템(ISMS)의 의도된 결과를 달성하는 능력에 영향을 미치는 외부 및 내부 문제를 결정해야 합니다.12 외부 문제는 요인입니다. 통제할 수는 없지만 영향을 미치거나 적응할 수 있는 조직 외부. 여기에는 조직의 정보 보안 목표, 위험 및 기회에 영향을 미칠 수 있는 정치적, 경제적, 사회적, 기술적, 법적 및 환경적 요인이 포함됩니다.12 내부 문제는 조직 내에서 통제하거나 변경할 수 있는 요인입니다. 여기에는 조직의 정보 보안 관리 시스템에 영향을 미칠 수 있는 조직의 구조, 문화, 가치, 정책, 목표, 전략, 능력, 자원, 프로세스, 활동, 관계 및 성과가 포함됩니다.12 따라서 다음 문제는 맥락에서 '내부'로 간주됩니다. ISO 경영시스템의
27001:2022:
훈련 비용 삭감으로 인한 낮은 수준의 직원 역량: 이는 ISMS에 관련된 직원의 역량을 개발하고 유지하는 조직의 역량, 자원, 프로세스와 관련되어 있기 때문에 내부 문제입니다. 조직은 교육 비용과 직원 역량에 미치는 영향을 통제하거나 변경할 수 있습니다.12 직원 휴가 감소로 인한 사기 저하: 이는 조직의 문화, 가치 및 직원과의 관계와 관련이 있기 때문에 내부 문제입니다. 조직은 직원 휴가 정책과 이것이 직원 사기에 미치는 영향을 통제하거나 변경할 수 있습니다.12 부실한 관리로 인한 결근 증가: 이는 조직의 성과, 구조, 경영진의 책임과 관련되어 있기 때문에 내부 문제입니다. 조직은 관리 관행과 직원 결근에 미치는 영향을 통제하거나 변경할 수 있습니다.12 오래된 생산 장비와 관련된 생산성 저하: 이는 조직의 가용성과 적합성을 보장하는 조직의 능력, 자원 및 프로세스와 관련되어 있기 때문에 내부 문제입니다. 생산 장비. 조직은 장비 유지 관리 및 업그레이드와 그것이 생산성에 미치는 영향을 제어하거나 변경할 수 있습니다.12 다음 문제는 ISO 27001:2022 관리 시스템의 맥락에서 '외부'로 간주됩니다.
인구 노령화로 인한 인건비 상승: 이는 시장에서 노동 가용성과 비용에 영향을 미치는 사회적, 인구통계학적 요인과 관련이 있기 때문에 외부 문제입니다. 조직은 인구 노령화를 통제하거나 변화시킬 수는 없지만 인건비에 미치는 영향에 영향을 미치거나 이에 적응할 수 있습니다.12 높은 인플레이션에 따른 금리 상승: 이는 비용에 영향을 미치는 경제적, 금전적 요인과 관련되어 있기 때문에 외부적인 문제입니다. 시장에서의 자본 가용성. 조직은 이자율이나 인플레이션을 통제하거나 변경할 수 없지만 자본 비용에 영향을 미치거나 이에 적응할 수 있습니다.12 정부 정책 변경으로 인한 보조금 감소: 이는 정치적, 법적 문제와 관련되어 있기 때문에 외부 문제입니다. 조직의 공공 자금 가용성 및 조건에 영향을 미치는 요소입니다. 조직은 정부 정책을 통제하거나 변경할 수 없지만 보조금에 미치는 영향에 영향을 주거나 이에 적응할 수 있습니다.12 정부 제재로 인한 원자재 공급 불가능: 이는 가용성과 비용에 영향을 미치는 정치적, 법적 요인과 관련되어 있기 때문에 외부 문제입니다. 시장에 있는 원자재의 종류. 조직은 정부 제재를 통제하거나 변경할 수 없지만 원자재에 미치는 영향에 영향을 미치거나 적응할 수 있습니다12 참고:
1: CQI의 ISO/IEC 27001:2022 수석 감사자(정보 보안 관리 시스템) 과정 및 IRCA 인증 교육 1 2: PECB의 ISO/IEC 27001 수석 감사자 교육 과정 2