ISO-IEC-27001-Lead-Implementer 문제 161
시나리오 10: NetworkFuse는 네트워크 하드웨어를 개발, 제조 및 판매합니다. 이 회사는 약 2년 동안 ISO/IEC 27001 요구사항에 기반한 운영 정보보안 관리체계(ISMS)와 ISO 9001에 기반한 품질경영시스템(QMS)을 구축해 왔습니다. 최근 ISO/IEC 27001과 ISO 9001 인증을 획득하기 위해 통합 인증 심사를 신청했습니다.
NetworkFuse는 인증 기관을 선택한 후 직원들이 감사를 준비하도록 했습니다.회사는 최고 경영진에 따르면 필요하지 않기 때문에 감사 전에 자체 평가를 하지 않기로 결정했습니다.또한 내부 감사 보고서와 관리 검토, 도입된 기술, ISMS와 QMS의 일반적인 운영을 포함하여 문서화된 정보의 가용성을 보장했습니다.그러나 회사는 인증 기관에 문서를 외부로 가져갈 수 없다고 요청했습니다.그러나 NetworkFuse가 배정된 감사 팀 리더를 거부하고 교체를 요청했기 때문에 예정된 날짜 내에 감사가 수행되지 않았습니다.회사는 같은 감사 팀 리더가 주요 경쟁업체에 인증을 권장했다고 주장했는데, 회사 최고 경영진에게는 이것이 이해 상충의 가능성이었습니다.인증 기관은 요청을 수락하지 않았습니다.NetworkFuse는 직원들이 감사에 대비하도록 하기 위해_________________해야 합니다.시나리오 10을 참조하세요.
NetworkFuse는 인증 기관을 선택한 후 직원들이 감사를 준비하도록 했습니다.회사는 최고 경영진에 따르면 필요하지 않기 때문에 감사 전에 자체 평가를 하지 않기로 결정했습니다.또한 내부 감사 보고서와 관리 검토, 도입된 기술, ISMS와 QMS의 일반적인 운영을 포함하여 문서화된 정보의 가용성을 보장했습니다.그러나 회사는 인증 기관에 문서를 외부로 가져갈 수 없다고 요청했습니다.그러나 NetworkFuse가 배정된 감사 팀 리더를 거부하고 교체를 요청했기 때문에 예정된 날짜 내에 감사가 수행되지 않았습니다.회사는 같은 감사 팀 리더가 주요 경쟁업체에 인증을 권장했다고 주장했는데, 회사 최고 경영진에게는 이것이 이해 상충의 가능성이었습니다.인증 기관은 요청을 수락하지 않았습니다.NetworkFuse는 직원들이 감사에 대비하도록 하기 위해_________________해야 합니다.시나리오 10을 참조하세요.
ISO-IEC-27001-Lead-Implementer 문제 162
한 회사는 검색 패턴, 인구 통계 등 고객 행동의 다양한 속성을 분석하고 유사한 특성을 기준으로 고객을 그룹화하는 알고리즘을 사용하기로 결정했습니다.
회사는 단골 구매자와 트렌드 추종자 등을 파악할 수 있을 것입니다. 이 회사는 어떤 유형의 머신러닝을 사용하고 있습니까?
회사는 단골 구매자와 트렌드 추종자 등을 파악할 수 있을 것입니다. 이 회사는 어떤 유형의 머신러닝을 사용하고 있습니까?
ISO-IEC-27001-Lead-Implementer 문제 163
시나리오 9: OpenTech는 IT 및 통신 서비스를 제공합니다. 데이터 통신 기업과 네트워크 운영자가 다중 서비스 제공자가 될 수 있도록 지원합니다. 내부 감사 과정에서 내부 감사인인 팀은 모니터링 절차와 관련된 부적합 사항을 파악했습니다. 그는 여러 시스템 취약점을 파악하고 평가했습니다.
팀은 민감한 정보를 처리하는 시스템 및 서비스의 사용자 ID가 재사용되고 접근 제어 정책이 준수되지 않았다는 사실을 발견했습니다. ISMS 프로젝트 관리자는 이러한 부적합 사항의 근본 원인을 분석한 후 부적합 사항을 해결하기 위한 가능한 조치 목록을 작성했습니다. 그런 다음 ISMS 프로젝트 관리자는 목록을 분석하여 근본 원인을 제거하고 향후 유사한 상황의 발생을 예방할 수 있는 활동을 선정했습니다. 이러한 활동은 실행 계획에 포함되었습니다. 최고 경영진의 승인을 받은 실행 계획은 다음과 같이 작성되었습니다.
새로운 버전의 액세스 제어 정책이 수립되고, 정보통신기술(ICT) 부서에서 네트워크 액세스를 효과적으로 관리하고 모니터링할 수 있도록 새로운 제한이 생성됩니다. 승인된 실행 계획이 구현되었으며, 계획에 설명된 모든 실행 사항이 문서화되었습니다.
시나리오 9를 기준으로 ISMS 프로젝트 관리자가 시정 조치 프로세스를 적절하게 완료했습니까?
팀은 민감한 정보를 처리하는 시스템 및 서비스의 사용자 ID가 재사용되고 접근 제어 정책이 준수되지 않았다는 사실을 발견했습니다. ISMS 프로젝트 관리자는 이러한 부적합 사항의 근본 원인을 분석한 후 부적합 사항을 해결하기 위한 가능한 조치 목록을 작성했습니다. 그런 다음 ISMS 프로젝트 관리자는 목록을 분석하여 근본 원인을 제거하고 향후 유사한 상황의 발생을 예방할 수 있는 활동을 선정했습니다. 이러한 활동은 실행 계획에 포함되었습니다. 최고 경영진의 승인을 받은 실행 계획은 다음과 같이 작성되었습니다.
새로운 버전의 액세스 제어 정책이 수립되고, 정보통신기술(ICT) 부서에서 네트워크 액세스를 효과적으로 관리하고 모니터링할 수 있도록 새로운 제한이 생성됩니다. 승인된 실행 계획이 구현되었으며, 계획에 설명된 모든 실행 사항이 문서화되었습니다.
시나리오 9를 기준으로 ISMS 프로젝트 관리자가 시정 조치 프로세스를 적절하게 완료했습니까?
ISO-IEC-27001-Lead-Implementer 문제 164
정보의 신뢰성을 위해 규정 준수가 중요한 이유는 무엇입니까?
ISO-IEC-27001-Lead-Implementer 문제 165
시나리오 8: SunDee는 미국 캘리포니아에 본사를 둔 바이오 제약 회사입니다. 인체 치료 분야에서 선구적인 업적을 쌓아온 SunDee는 특히 심혈관 질환, 종양학, 뼈 건강, 염증 분야에서 중요한 의료 문제 해결에 중점을 두고 있습니다.
SunDee는 지난 2년 동안 ISO/IEC 27001을 기반으로 효과적인 정보 보안 관리 시스템(ISMS)을 유지 관리함으로써 데이터 보안과 무결성에 대한 헌신을 입증해 왔습니다.
SunDee는 재인증 감사를 준비하기 위해 내부 감사를 실시했습니다. 회사 최고 경영진은 지난 6개월 동안 컴플라이언스 부서의 일상 업무를 적극적으로 관리해 온 Alex를 내부 감사관으로 임명했습니다. 이러한 이중 역할을 통해 Alex는 컴플라이언스를 보장하고 운영 효율성 향상을 위한 유용한 권고안을 제공하는 감사를 수행해야 합니다.
내부 감사 과정에서 몇 가지 부적합 사항이 발견되었습니다. 회사는 이러한 부적합 사항을 포괄적으로 해결하기 위해 감사팀장과 긴밀히 협력하여 각 부적합 사항에 대한 실행 계획을 수립했습니다.
SunDee의 고위 경영진은 ISMS의 적절성, 충분성, 그리고 효율성을 평가하기 위해 ISMS에 대한 포괄적인 검토를 수행했습니다. 이 검토는 정기 경영진 회의에 반영되었습니다. 감사 보고서, 실행 계획, 검토 결과 등 필수 문서는 회의 전에 모든 구성원에게 배포되었습니다. 의제에는 이전 검토 활동의 현황, ISMS에 영향을 미치는 변경 사항, 피드백, 이해관계자 의견, 그리고 개선 기회 등이 포함되었습니다. ISMS 개선을 목표로 하는 의사 결정과 조치가 이루어졌으며, ISMS 코디네이터와 내부 감사팀은 후속 실행 계획을 수립하는 데 중요한 역할을 했으며, 이 계획들은 최고 경영진의 승인을 받았습니다.
검토 결과에 따라 SunDee는 시정 조치를 신속하게 시행하여 정보 보안 조치를 강화했습니다. 또한, 조직의 정보 보안 관리 모니터링에 필수적인 핵심 성과 지표(KPI)에 대한 전반적인 개요를 제공하는 대시보드 도구를 도입했습니다. 이러한 지표에는 보안 사고, 사고 발생 비용, 시스템 취약성 테스트, 부적합 사항 탐지 및 해결 시간 관련 지표가 포함되어 모니터링 활동의 효과적인 기록, 보고 및 추적을 용이하게 했습니다. 또한, SunDee는 진행 중인 프로젝트의 진행 상황과 결과를 평가하기 위한 포괄적인 측정 프로세스를 구축하여 모든 프로세스에 걸쳐 광범위한 측정 기준을 적용했습니다. 최고 경영진은 측정에 기여하는 데이터 소유권 외에도 정보 담당자를 이러한 측정 활동 실행에 대한 책임 소재로 지정하기로 결정했습니다.
위의 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 8을 기준으로, 다음 성과 지표 중 SunDee가 설정하지 않은 것은 무엇입니까?
SunDee는 지난 2년 동안 ISO/IEC 27001을 기반으로 효과적인 정보 보안 관리 시스템(ISMS)을 유지 관리함으로써 데이터 보안과 무결성에 대한 헌신을 입증해 왔습니다.
SunDee는 재인증 감사를 준비하기 위해 내부 감사를 실시했습니다. 회사 최고 경영진은 지난 6개월 동안 컴플라이언스 부서의 일상 업무를 적극적으로 관리해 온 Alex를 내부 감사관으로 임명했습니다. 이러한 이중 역할을 통해 Alex는 컴플라이언스를 보장하고 운영 효율성 향상을 위한 유용한 권고안을 제공하는 감사를 수행해야 합니다.
내부 감사 과정에서 몇 가지 부적합 사항이 발견되었습니다. 회사는 이러한 부적합 사항을 포괄적으로 해결하기 위해 감사팀장과 긴밀히 협력하여 각 부적합 사항에 대한 실행 계획을 수립했습니다.
SunDee의 고위 경영진은 ISMS의 적절성, 충분성, 그리고 효율성을 평가하기 위해 ISMS에 대한 포괄적인 검토를 수행했습니다. 이 검토는 정기 경영진 회의에 반영되었습니다. 감사 보고서, 실행 계획, 검토 결과 등 필수 문서는 회의 전에 모든 구성원에게 배포되었습니다. 의제에는 이전 검토 활동의 현황, ISMS에 영향을 미치는 변경 사항, 피드백, 이해관계자 의견, 그리고 개선 기회 등이 포함되었습니다. ISMS 개선을 목표로 하는 의사 결정과 조치가 이루어졌으며, ISMS 코디네이터와 내부 감사팀은 후속 실행 계획을 수립하는 데 중요한 역할을 했으며, 이 계획들은 최고 경영진의 승인을 받았습니다.
검토 결과에 따라 SunDee는 시정 조치를 신속하게 시행하여 정보 보안 조치를 강화했습니다. 또한, 조직의 정보 보안 관리 모니터링에 필수적인 핵심 성과 지표(KPI)에 대한 전반적인 개요를 제공하는 대시보드 도구를 도입했습니다. 이러한 지표에는 보안 사고, 사고 발생 비용, 시스템 취약성 테스트, 부적합 사항 탐지 및 해결 시간 관련 지표가 포함되어 모니터링 활동의 효과적인 기록, 보고 및 추적을 용이하게 했습니다. 또한, SunDee는 진행 중인 프로젝트의 진행 상황과 결과를 평가하기 위한 포괄적인 측정 프로세스를 구축하여 모든 프로세스에 걸쳐 광범위한 측정 기준을 적용했습니다. 최고 경영진은 측정에 기여하는 데이터 소유권 외에도 정보 담당자를 이러한 측정 활동 실행에 대한 책임 소재로 지정하기로 결정했습니다.
위의 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 8을 기준으로, 다음 성과 지표 중 SunDee가 설정하지 않은 것은 무엇입니까?