무료 온라인 액세스 PECB.ISO-IEC-27001-Lead-Auditor.v2024-03-27.q128 모의 시험 (Page 16)

ISO-IEC-27001-Lead-Auditor 문제 71

다음 중 인간 상호 작용을 '포함하지 않는' 감사 방법의 예는 무엇입니까?

A. 화상회의 플랫폼을 사용하여 인터뷰 진행

B. 감사 준비를 위해 피감사인 절차 검토 수행

C. 감사 결과에 대한 피감사인의 응답 검토

D. 피감사인의 서버에 원격으로 액세스하여 데이터 분석

E. 원격 감시로 수행되는 작업을 관찰합니다.

F. Confirming the date and time of the audit

ISO-IEC-27001-Lead-Auditor 문제 72

다음 옵션은 자사 감사와 관련된 주요 조치입니다. 작업이 수행되어야 하는 순서를 표시하도록 단계를 정렬합니다.

정답:

설명

올바른 단계 순서는 다음과 같습니다.
감사 체크리스트 준비
객관적인 증거를 수집하라
감사 증거 검토
문서 결과
감사 준비: 이 단계에는 감사 목표, 범위, 기준 및 계획을 정의하는 작업이 포함됩니다. 감사자는 또한 감사 중에 다룰 질문이나 주제의 목록인 감사 체크리스트를 준비합니다. 감사 체크리스트는 감사자가 ISMS의 모든 관련 측면을 다루고 감사 증거가 체계적이고 일관된 방식으로 수집되는지 확인하는 데 도움이 됩니다12.
감사 실행: 이 단계에는 개시 회의, 인터뷰, 관찰, 문서 검토 및 종료 회의와 같은 감사 활동을 수행하는 단계가 포함됩니다. 감사자는 감사 결과와 결론을 뒷받침하는 모든 정보인 객관적인 증거를 수집합니다. 객관적인 증거는 정성적 또는 정량적일 수 있으며 기록, 진술, 물리적 대상 또는 관찰과 같은 다양한 출처에서 얻을 수 있습니다123.
감사 보고: 이 단계에는 감사 증거 검토, 감사 결과 평가, 감사 결과 문서화가 포함됩니다. 감사인은 감사 증거를 검토하여 감사 증거가 감사 결과를 뒷받침하기에 충분하고, 신뢰할 수 있으며, 관련성이 있는지 여부를 결정합니다. 감사인은 ISMS가 감사 기준에 부합하는지 또는 부적합한지 결정하기 위해 감사 결과를 평가합니다. 감사자는 감사 프로세스 및 결과에 대한 공식 기록인 감사 보고서에 감사 결과를 문서화합니다. 감사 보고서에는 일반적으로 다음 요소가 포함됩니다123.
수행된 작업의 범위, 목표, 시기 및 범위를 명확히 하는 서문 주요 결과, 간략한 분석 및 결론을 나타내는 요약서 의도된 보고서 수신자 및 해당되는 경우 분류 및 배포에 대한 지침 자세한 결과 및 분석 개선을 위한 권장 사항 , 해당되는 경우 감사 기준에 대한 적합성 또는 부적합에 대한 진술 감사 범위 또는 증거의 제한 또는 제외 감사 계획 또는 절차로부터의 이탈 감사자와 피감사인 사이의 해결되지 않은 문제 또는 불일치 참고 문헌, 약어 및 불일치 목록 보고서에 사용된 정의 감사계획, 감사체크리스트, 감사증거, 감사팀원 등 부록 목록
감사 후속 조치: 이 단계에는 감사 결과를 해결하기 위해 피감사인이 취한 시정 조치의 구현 및 효율성을 확인하는 작업이 포함됩니다. 감사자는 시정 조치의 진행 상황과 완료를 모니터링하고 시정 조치가 ISMS 성과 및 적합성에 미치는 영향을 평가합니다. 감사자는 현장에서 시정 조치를 확인하기 위해 후속 감사를 실시하거나 문서 검토, 원격 인터뷰 또는 피감사인의 자체 평가와 같은 다른 방법에 의존할 수 있습니다.
감사인은 후속 결과를 문서화하고 이에 따라 감사 보고서를 업데이트합니다123.
참고자료:
PECB 후보자 핸드북 ISO 27001 수석 감사관, 19-25페이지
ISO 19011:2018 - 경영 시스템 감사 지침
ISO 27001 감사 프로세스 | ISMS.온라인

ISO-IEC-27001-Lead-Auditor 문제 73

ISMS 감사를 실시하고 있습니다. 감사 계획의 다음 단계는 조직의 정보 보안 위험 처리 계획이 적절하게 수립 및 구현되었는지 확인하는 것입니다. 당신은 IT 보안 관리자와 인터뷰하기로 결정했습니다.
당신: 조직이 정보 보안 위험 평가 및 처리 프로세스를 어떻게 수행하는지 설명해 주시겠습니까?
IT 보안 관리자: 우리는 위험 처리 계획을 수립하는 정보 보안 위험 관리 절차를 따릅니다.
해설자: 귀하는 요양원의 물리적 보안을 강화하기 위한 전자(보이지 않는) 울타리 설치 계획과 관련된 위험 처리 계획 123번을 검토하고 있습니다. 위험 처리 계획이 IT 보안 관리자에 의해 승인되었음을 확인했습니다.
당신: 물리적 보안 위험에 대한 책임은 누구에게 있습니까?
IT 보안 관리자: 시설 관리자는 물리적 보안 위험을 담당합니다. IT 부서는 경보를 모니터링하는 데 도움을 줍니다. 시설 관리자는 위험 처리 계획 번호 123에 대한 예산을 승인할 권한이 있습니다.
당신: 위험 처리 계획 제123호가 구현된 후 어떤 잔여 정보 보안 위험이 존재합니까?
IT 보안 관리자: 제가 아는 한 잔여 정보 보안 위험을 수용하기 위한 정보가 없습니다.
감사 결과를 준비합니다. 시나리오에 근거가 있는 결과에 대한 세 가지 옵션을 선택합니다.

A. 부적합(NC) - 잔여 정보 보안 위험 수용에 대한 정보는 위험 처리가 구현된 후 업데이트되어야 합니다. 6.1.3.f항

B. 경계 울타리에 대한 보안 점검을 수행하기 위한 개선 기회(OI)가 있습니다.

C. 전자(보이지 않는) 울타리가 설치되면 개선의 기회(OI)가 있습니다.
주민의 물리적 보안이 강화됩니다.

D. 부적합(NC) - 최고 경영진은 ISMS에 필요한 자원을 사용할 수 있는지 확인해야 합니다. 5.1.c항

E. 부적합(NC) - IT 보안 관리자는 자신의 권한과 책임 영역을 인식하고 이해해야 합니다. 7.3항

F. 부적합(NC) - 조직은 ISMS의 지속적인 개선에 필요한 자원을 제공해야 합니다. 7.1항

G. 부적합(NC) - 위험 처리 계획 번호 123은 위험 소유자(이 경우 시설 관리자)의 승인을 받아야 합니다. 6.1.3.f항

H. 지속적인 개선 프로세스의 일부로 최첨단 기술을 채택하는 것이 좋습니다.

정답: A,E,G

설명
시나리오에서 정당화되는 결과에 대한 세 가지 옵션은 다음과 같습니다.
*부적합(NC) - 잔여 정보 보안 위험 수용에 대한 정보는 위험 처리가 구현된 후 업데이트되어야 합니다. 6.1.3.f항
*부적합(NC) - IT 보안 관리자는 자신의 권한과 책임 영역을 인식하고 이해해야 합니다. 7.3항
*부적합(NC) - 위험 처리 계획 No. 123은 위험 소유자(이 경우 시설 관리자)의 승인을 받아야 합니다. 조항 6.1.3.f ISO/IEC 27001:2022, 조항 6.1.3.f에 따라 조직은 잔여 정보 보안 위험을 수용하고 위험 처리 계획을 승인하기 위한 정보를 포함하는 문서화된 정보를 유지해야 합니다. 위험 소유자1. 따라서 옵션 A와 G는 조직이 잔여 위험 수용을 위한 정보를 업데이트하지 못했고 위험 처리 계획이 위험 소유자가 아닌 IT 보안 관리자에 의해 승인되었기 때문에 부적합으로 정당화됩니다.
ISO/IEC 27001:2022, 7.3항에 따르면, 조직은 ISMS에 대한 역할과 책임을 수행하도록 지정된 사람이 유능하고 ISMS 요구 사항을 준수하지 않을 경우의 결과를 인식하고 있음을 보장해야 합니다2. 따라서 옵션 E는 정보 보안 위험 관리 프로세스를 담당하는 IT 보안 관리자가 자신의 권한과 책임 영역을 인식하지 못했기 때문에 부적합으로 정당화됩니다.
다른 옵션은 관련성이 없거나 올바르지 않기 때문에 조사 결과로 정당화되지 않습니다. 예를 들어:
*옵션 B는 감사 대상인 정보보호 위험 처리 계획 제123호와 관련이 없으므로 부적합합니다.
*Option C is incorrect, because it is not an opportunity for improvement, but rather a benefit of the risk treatment plan No. 123, which is already implemented.
*Option D is incorrect, because it is not a nonconformity, but rather a requirement for the organisation to provide the resources needed for the ISMS, which is not the same as the resources needed for the risk treatment plan No. 123.
*Option F is incorrect, because it is not a nonconformity, but rather a requirement for the organisation to provide the resources needed for the continual improvement of the ISMS, which is not the same as the resources needed for the risk treatment plan No. 123.
*Option H is irrelevant, because it is not a finding, but rather a good practice, which is not the objective of the audit.
References: 1: ISO/IEC 27001:2022, 6.1.3.f; 2: ISO/IEC 27001:2022, 7.3; : ISO/IEC 27001:2022; : ISO/IEC
27001:2022

ISO-IEC-27001-Lead-Auditor 문제 74

종종 사람들은 공유 프린터에서 인쇄물을 가져오지 않습니다. 이것이 정보의 기밀성에 어떤 영향을 미칠 수 있습니까?

A. Confidentiality cannot be guaranteed

B. Integrity cannot be guaranteed

C. Authenticity cannot be guaranteed

D. Availability cannot be guaranteed

ISO-IEC-27001-Lead-Auditor 문제 75

You are an experienced audit team leader guiding an auditor in training.
Your team is currently conducting a third-party surveillance audit of an organisation that stores data on behalf of external clients. The auditor in training has been tasked with reviewing the ORGANISATIONAL controls listed in the Statement of Applicability (SoA) and implemented at the site.
Select four controls from the following that would you expect the auditor in training to review.

A. Access to and from the loading bay

B. Confidentiality and nondisclosure agreements

C. How information security has been addressed within supplier agreements

D. How power and data cables enter the building

E. Rules for transferring information within the organisation and to other organisations

F. The development and maintenance of an information asset inventory

G. The operation of the site CCTV and door control systems

H. The organisation's business continuity arrangements

다른 버전: 578PECB.ISO-IEC-27001-Lead-Auditor.v2026-02-23.q122; 1709PECB.ISO-IEC-27001-Lead-Auditor.v2024-05-13.q126; 410PECB.ISO-IEC-27001-Lead-Auditor.v2023-11-24.q34; 712PECB.ISO-IEC-27001-Lead-Auditor.v2022-11-17.q36; 892PECB.ISO-IEC-27001-Lead-Auditor.v2022-06-05.q35; 960PECB.ISO-IEC-27001-Lead-Auditor.v2022-03-26.q36

최근 업로드: 118TheBerylInstitute.CPXP.v2026-06-06.q56; 154ACAMS.CAMS7-KR.v2026-06-05.q213; 166PaloAltoNetworks.XSIAM-Analyst.v2026-06-04.q72; 150NLN.NEX.v2026-06-04.q54; 191Microsoft.AZ-500-KR.v2026-06-04.q213; 179Microsoft.DP-600-KR.v2026-06-04.q98; 194Microsoft.AZ-204-KR.v2026-06-04.q237; 179Microsoft.PL-600-KR.v2026-06-04.q112; 238Microsoft.SC-300-KR.v2026-06-03.q151; 207Microsoft.DP-600-KR.v2026-06-03.q70