ISO-IEC-27001-Lead-Auditor Korean 無料問題集「PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor Korean Version)」
시나리오 1: Fintive는 온라인 결제 및 보호 솔루션을 제공하는 뛰어난 보안 제공업체입니다. 1999년 캘리포니아주 산호세에서 Thomas Fin이 설립한 Fintive는 온라인에서 운영되고 정보 보안을 개선하고 사기를 방지하며 PII와 같은 사용자 정보를 보호하려는 회사에 서비스를 제공합니다. Fintive는 이전 사례를 기반으로 의사 결정 및 운영 프로세스를 중심으로 합니다. 그들은 고객 데이터를 수집하여 사례에 따라 분류하고 분석합니다. 이 회사는 이러한 복잡한 분석을 수행할 수 있도록 많은 직원이 필요했습니다. 그러나 몇 년 후 이러한 분석을 수행하는 데 도움이 되는 기술도 발전했습니다. 현재 Fintive는 실시간으로 사기를 방지하기 위한 패턴 분석을 수행하기 위해 최신 도구인 챗봇을 사용할 계획입니다. 이 도구는 또한 고객 서비스 개선을 지원하는 데 사용될 것입니다.
이 초기 아이디어는 소프트웨어 개발 팀에 전달되었고, 그들은 이를 지원했으며 이 프로젝트를 진행하도록 배정되었습니다. 그들은 기존 시스템에 챗봇을 통합하기 시작했습니다. 또한, 팀은 챗봇에 대한 목표를 설정했는데, 모든 채팅 문의의 85%에 답하는 것이었습니다.
챗봇을 성공적으로 통합한 후, 회사는 즉시 고객에게 공개하여 사용할 수 있도록 했습니다.
그러나 챗봇에는 몇 가지 문제가 있는 것으로 나타났습니다.
훈련 단계에서 챗봇에 제공된 샘플이 부족하고 테스트가 충분하지 않아 챗봇은 쿼리 패턴을 "학습"해야 했고, 챗봇은 사용자 쿼리를 처리하고 올바른 답변을 제공하지 못했습니다. 게다가 챗봇은 이상한 점 패턴과 특수 문자와 같은 잘못된 입력을 받으면 사용자에게 무작위 파일을 보냈습니다. 따라서 챗봇은 고객 쿼리에 제대로 답변할 수 없었고, 기존 고객 지원은 채팅 쿼리로 인해 압도되어 고객의 요청을 도울 수 없었습니다.
결과적으로 Fintive는 소프트웨어 개발 정책을 수립했습니다. 이 정책은 소프트웨어가 사내에서 개발되든 아웃소싱되든 운영 시스템에 구현되기 전에 블랙박스 테스트를 거치도록 명시했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
1. Fintive 챗봇의 훈련 단계에서 테스트가 부족하고 샘플이 제공되지 않은 것이 1점으로 간주됩니다.
시나리오를 참조하세요
이 초기 아이디어는 소프트웨어 개발 팀에 전달되었고, 그들은 이를 지원했으며 이 프로젝트를 진행하도록 배정되었습니다. 그들은 기존 시스템에 챗봇을 통합하기 시작했습니다. 또한, 팀은 챗봇에 대한 목표를 설정했는데, 모든 채팅 문의의 85%에 답하는 것이었습니다.
챗봇을 성공적으로 통합한 후, 회사는 즉시 고객에게 공개하여 사용할 수 있도록 했습니다.
그러나 챗봇에는 몇 가지 문제가 있는 것으로 나타났습니다.
훈련 단계에서 챗봇에 제공된 샘플이 부족하고 테스트가 충분하지 않아 챗봇은 쿼리 패턴을 "학습"해야 했고, 챗봇은 사용자 쿼리를 처리하고 올바른 답변을 제공하지 못했습니다. 게다가 챗봇은 이상한 점 패턴과 특수 문자와 같은 잘못된 입력을 받으면 사용자에게 무작위 파일을 보냈습니다. 따라서 챗봇은 고객 쿼리에 제대로 답변할 수 없었고, 기존 고객 지원은 채팅 쿼리로 인해 압도되어 고객의 요청을 도울 수 없었습니다.
결과적으로 Fintive는 소프트웨어 개발 정책을 수립했습니다. 이 정책은 소프트웨어가 사내에서 개발되든 아웃소싱되든 운영 시스템에 구현되기 전에 블랙박스 테스트를 거치도록 명시했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
1. Fintive 챗봇의 훈련 단계에서 테스트가 부족하고 샘플이 제공되지 않은 것이 1점으로 간주됩니다.
시나리오를 참조하세요
正解:A
解答を投票する
시나리오 6: Sinvestment는 주택, 상업 및 생명 보험을 제공하는 보험 회사입니다. 이 회사는 노스캐롤라이나에서 설립되었지만 최근 유럽과 아프리카를 포함한 다른 지역으로 확장되었습니다.
Sinvestment는 해당 산업에 적용되는 법률 및 규정을 준수하고 정보 보안 사고를 예방하기 위해 최선을 다하고 있습니다. 그들은 ISO/IEC 27001을 기반으로 ISMS를 구현했으며 ISO/IEC 27001 인증을 신청했습니다.
인증 기관은 감사를 수행하기 위해 두 명의 감사원을 지정했습니다. Sinvestment와 기밀 유지 계약을 체결한 후 감사 활동을 시작했습니다. 먼저 ISMS 범위 선언, 정보 보안 정책 및 내부 감사 보고서를 포함하여 표준에서 요구하는 문서를 검토했습니다. Sinvestment가 문서화 절차를 갖추고 있다고 말했지만 모든 문서가 동일한 형식을 가지고 있지 않았기 때문에 검토 프로세스가 쉽지 않았습니다.
그런 다음 감사팀은 Sinvestment의 최고 경영진과 여러 차례 인터뷰를 진행하여 ISMS 구현에서 그들의 역할을 파악했습니다. 1단계 감사의 모든 활동은 Sinvestment의 요청에 따라 현장에서 진행된 문서화된 정보 검토를 제외하고 원격으로 수행되었습니다.
이 단계에서 감사원은 정보 보안 교육 및 인식 프로그램과 관련된 문서가 없다는 것을 발견했습니다. 질문을 받았을 때 Sinvestment의 대표는 회사가 모든 직원에게 정보 보안 교육 세션을 제공했다고 말했습니다. 1단계 감사를 통해 감사팀은 Sinvestment의 운영과 ISMS에 대한 일반적인 이해를 얻었습니다.
2단계 감사는 1단계 감사 3주 후에 실시되었습니다. 감사팀은 마케팅 부서(감사 범위에 포함되지 않음)에 직원의 접근 권한을 제어하는 절차가 없다는 것을 관찰했습니다. 직원의 접근 권한을 제어하는 것은 ISO/IEC 27001 요구 사항 중 하나이며 회사의 정보 보안 정책에 포함되었기 때문에 이 문제는 감사 보고서에 포함되었습니다. 또한 2단계 감사 중에 감사팀은 Sinvestment가 사용자 활동 로그를 기록하지 않았다는 것을 관찰했습니다.
회사 절차에는 "사용자 활동을 기록한 로그를 보관하고 정기적으로 검토해야 합니다."라고 명시되어 있지만, 회사는 이러한 절차의 구현에 대한 증거를 제시하지 않았습니다.
모든 감사 활동 동안 감사자는 관찰, 인터뷰, 문서화된 정보 검토, 분석 및 기술적 검증을 사용하여 정보와 증거를 수집했습니다. 1단계와 2단계의 모든 감사 결과를 분석했고 감사팀은 인증에 대한 긍정적인 권장 사항을 발행하기로 결정했습니다.
시나리오 6에 따르면, 1단계 감사 중에 감사원은 ISMS에 관한 일부 문서가 다른 형식을 가지고 있다는 것을 발견했습니다. 이 경우 감사원은 어떻게 해야 합니까?
Sinvestment는 해당 산업에 적용되는 법률 및 규정을 준수하고 정보 보안 사고를 예방하기 위해 최선을 다하고 있습니다. 그들은 ISO/IEC 27001을 기반으로 ISMS를 구현했으며 ISO/IEC 27001 인증을 신청했습니다.
인증 기관은 감사를 수행하기 위해 두 명의 감사원을 지정했습니다. Sinvestment와 기밀 유지 계약을 체결한 후 감사 활동을 시작했습니다. 먼저 ISMS 범위 선언, 정보 보안 정책 및 내부 감사 보고서를 포함하여 표준에서 요구하는 문서를 검토했습니다. Sinvestment가 문서화 절차를 갖추고 있다고 말했지만 모든 문서가 동일한 형식을 가지고 있지 않았기 때문에 검토 프로세스가 쉽지 않았습니다.
그런 다음 감사팀은 Sinvestment의 최고 경영진과 여러 차례 인터뷰를 진행하여 ISMS 구현에서 그들의 역할을 파악했습니다. 1단계 감사의 모든 활동은 Sinvestment의 요청에 따라 현장에서 진행된 문서화된 정보 검토를 제외하고 원격으로 수행되었습니다.
이 단계에서 감사원은 정보 보안 교육 및 인식 프로그램과 관련된 문서가 없다는 것을 발견했습니다. 질문을 받았을 때 Sinvestment의 대표는 회사가 모든 직원에게 정보 보안 교육 세션을 제공했다고 말했습니다. 1단계 감사를 통해 감사팀은 Sinvestment의 운영과 ISMS에 대한 일반적인 이해를 얻었습니다.
2단계 감사는 1단계 감사 3주 후에 실시되었습니다. 감사팀은 마케팅 부서(감사 범위에 포함되지 않음)에 직원의 접근 권한을 제어하는 절차가 없다는 것을 관찰했습니다. 직원의 접근 권한을 제어하는 것은 ISO/IEC 27001 요구 사항 중 하나이며 회사의 정보 보안 정책에 포함되었기 때문에 이 문제는 감사 보고서에 포함되었습니다. 또한 2단계 감사 중에 감사팀은 Sinvestment가 사용자 활동 로그를 기록하지 않았다는 것을 관찰했습니다.
회사 절차에는 "사용자 활동을 기록한 로그를 보관하고 정기적으로 검토해야 합니다."라고 명시되어 있지만, 회사는 이러한 절차의 구현에 대한 증거를 제시하지 않았습니다.
모든 감사 활동 동안 감사자는 관찰, 인터뷰, 문서화된 정보 검토, 분석 및 기술적 검증을 사용하여 정보와 증거를 수집했습니다. 1단계와 2단계의 모든 감사 결과를 분석했고 감사팀은 인증에 대한 긍정적인 권장 사항을 발행하기로 결정했습니다.
시나리오 6에 따르면, 1단계 감사 중에 감사원은 ISMS에 관한 일부 문서가 다른 형식을 가지고 있다는 것을 발견했습니다. 이 경우 감사원은 어떻게 해야 합니까?
正解:A
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
귀하는 의료 서비스를 제공하는 주거형 요양원에서 ISMS 감사를 수행하고 있습니다. 감사 계획의 다음 단계는 정보 보안 사고 관리 프로세스를 확인하는 것입니다. IT 보안 관리자는 정보 보안 사고 관리 절차를 제시하고 프로세스가 ISO/IEC 27035-1:2016에 기반한다고 설명합니다.
문서를 검토하고 "정보 보안 취약점, 이벤트 및 사고는 식별 후 1시간 이내에 Point of Contact(PoC)에 보고해야 합니다"라는 문구를 발견했습니다. 직원을 인터뷰할 때 "약점, 이벤트 및 사고"의 의미에 대한 이해에 차이가 있음을 발견했습니다.
다음 표에는 최근 6개월 동안의 이벤트 추적 시스템에서 사고 보고 기록을 샘플링하여 요약한 결과가 나와 있습니다.
다른 영역을 더 조사하여 더 많은 감사 증거를 수집하고 싶을 것입니다. 감사 추적에 포함되지 않을 두 가지 옵션을 선택하세요.
문서를 검토하고 "정보 보안 취약점, 이벤트 및 사고는 식별 후 1시간 이내에 Point of Contact(PoC)에 보고해야 합니다"라는 문구를 발견했습니다. 직원을 인터뷰할 때 "약점, 이벤트 및 사고"의 의미에 대한 이해에 차이가 있음을 발견했습니다.
다음 표에는 최근 6개월 동안의 이벤트 추적 시스템에서 사고 보고 기록을 샘플링하여 요약한 결과가 나와 있습니다.
다른 영역을 더 조사하여 더 많은 감사 증거를 수집하고 싶을 것입니다. 감사 추적에 포함되지 않을 두 가지 옵션을 선택하세요.
正解:F、G
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
시나리오 3: Rebuildy는 태국 방콕에 위치한 건설 회사로, 주거용 건물을 설계, 건설 및 유지 관리하는 데 특화되어 있습니다. 민감한 프로젝트 데이터와 고객 정보의 보안을 보장하기 위해 Rebuildy는 ISO/IEC 27001을 기반으로 ISMS를 구현하기로 결정했습니다. 여기에는 정보 보안 위험에 대한 포괄적인 이해, 정의된 지속적인 개선 접근 방식 및 강력한 비즈니스 솔루션이 포함되었습니다.
ISMS 구현 결과는 아래와 같습니다.
* 정보 보안은 일련의 보안 통제 수단을 적용하고 정책, 프로세스, 절차를 수립하여 달성됩니다.
* 보안 통제는 위험 평가에 기초하여 구현되며 위험을 제거하거나 허용 가능한 수준으로 낮추는 것을 목표로 합니다.
* 모든 프로세스는 PDCA(Plan-Do-Check-Act) 모델을 기반으로 ISMS의 지속적인 개선을 보장합니다.
* 정보 보안 정책은 모범 보안 사례를 기반으로 작성된 보안 매뉴얼의 일부입니다. 따라서 독립적인 문서가 아닙니다.
* 정보 보안 역할 및 책임은 모든 직원의 직무 설명에 명확하게 명시되어 있습니다.
* ISMS에 대한 경영 검토는 계획된 간격으로 수행됩니다.
Rebuildy는 중간 경영 평가 2회와 연례 내부 감사 1회 이후 인증을 신청했습니다.인증 감사 전에 Rebuildy의 전직 직원 중 한 명이 감사팀 구성원 중 한 명에게 접근하여 Rebuildy에 회사가 은폐하려고 하는 여러 가지 보안 문제가 있다고 말했습니다.전직 직원은 문서화된 증거를 감사팀 구성원에게 제시했습니다.Rebuildy의 주요 고객인 Electra도 동일한 문제에 대한 증거를 제출했고 감사원은 전직 직원의 증거 대신 이 증거를 보관하기로 결정했습니다.감사팀 구성원은 감사가 완료될 때까지 Electra와 연락을 유지하여 감사 중에 발견된 불일치 사항에 대해 논의했습니다.Electra는 이러한 결과를 뒷받침하는 추가 증거를 제공했습니다.
감사 시작 시 감사팀은 회사 최고 경영진을 인터뷰했습니다. 그들은 다른 것들 중에서도 최고 경영진의 ISMS 구현에 대한 의지를 논의했습니다. 이러한 논의에서 얻은 증거는 서면 확인으로 문서화되었으며, 이는 Rebuildy가 ISO/IEC 27001의 여러 조항에 대한 적합성을 결정하는 데 사용되었습니다. Electra에서 얻은 문서화된 증거는 불일치 보고서와 함께 감사 보고서에 첨부되었습니다. 그 중에서도 다음과 같은 불일치가 감지되었습니다.
* 회사의 재무 보고 시스템 내에서 부적절한 사용자 접근 제어 설정이 감지되었습니다.
* 독립형 정보 보안 정책은 수립되지 않았습니다. 대신 회사는 최상의 보안 관행을 기반으로 작성된 보안 매뉴얼을 사용합니다.
감사팀으로부터 이러한 문서를 받은 후, 팀 리더는 Rebuildy의 최고 경영진을 만나 감사 결과를 제시했습니다. 감사팀은 재무 보고 시스템과 독립적인 정보 보안 정책의 부족과 관련된 결과를 보고했습니다. 최고 경영진은 결과에 불만을 표시했고 감사팀 리더의 행동이 비전문적이어서 교체를 요청할 수도 있다고 암시했습니다. 압박을 받은 감사팀 리더는 최고 경영진과 협력하여 탐지된 불일치 사항의 중요성을 축소하기로 결정했습니다. 결과적으로 감사팀 리더는 보고서를 조정하여 더 유리한 견해를 제시했고, 따라서 Rebuildy의 규정 준수 문제의 진정한 범위를 잘못 표현했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 3에 설명된 어떤 행동이 감사팀 리더가 독립성 원칙을 위반했음을 나타냅니까?
ISMS 구현 결과는 아래와 같습니다.
* 정보 보안은 일련의 보안 통제 수단을 적용하고 정책, 프로세스, 절차를 수립하여 달성됩니다.
* 보안 통제는 위험 평가에 기초하여 구현되며 위험을 제거하거나 허용 가능한 수준으로 낮추는 것을 목표로 합니다.
* 모든 프로세스는 PDCA(Plan-Do-Check-Act) 모델을 기반으로 ISMS의 지속적인 개선을 보장합니다.
* 정보 보안 정책은 모범 보안 사례를 기반으로 작성된 보안 매뉴얼의 일부입니다. 따라서 독립적인 문서가 아닙니다.
* 정보 보안 역할 및 책임은 모든 직원의 직무 설명에 명확하게 명시되어 있습니다.
* ISMS에 대한 경영 검토는 계획된 간격으로 수행됩니다.
Rebuildy는 중간 경영 평가 2회와 연례 내부 감사 1회 이후 인증을 신청했습니다.인증 감사 전에 Rebuildy의 전직 직원 중 한 명이 감사팀 구성원 중 한 명에게 접근하여 Rebuildy에 회사가 은폐하려고 하는 여러 가지 보안 문제가 있다고 말했습니다.전직 직원은 문서화된 증거를 감사팀 구성원에게 제시했습니다.Rebuildy의 주요 고객인 Electra도 동일한 문제에 대한 증거를 제출했고 감사원은 전직 직원의 증거 대신 이 증거를 보관하기로 결정했습니다.감사팀 구성원은 감사가 완료될 때까지 Electra와 연락을 유지하여 감사 중에 발견된 불일치 사항에 대해 논의했습니다.Electra는 이러한 결과를 뒷받침하는 추가 증거를 제공했습니다.
감사 시작 시 감사팀은 회사 최고 경영진을 인터뷰했습니다. 그들은 다른 것들 중에서도 최고 경영진의 ISMS 구현에 대한 의지를 논의했습니다. 이러한 논의에서 얻은 증거는 서면 확인으로 문서화되었으며, 이는 Rebuildy가 ISO/IEC 27001의 여러 조항에 대한 적합성을 결정하는 데 사용되었습니다. Electra에서 얻은 문서화된 증거는 불일치 보고서와 함께 감사 보고서에 첨부되었습니다. 그 중에서도 다음과 같은 불일치가 감지되었습니다.
* 회사의 재무 보고 시스템 내에서 부적절한 사용자 접근 제어 설정이 감지되었습니다.
* 독립형 정보 보안 정책은 수립되지 않았습니다. 대신 회사는 최상의 보안 관행을 기반으로 작성된 보안 매뉴얼을 사용합니다.
감사팀으로부터 이러한 문서를 받은 후, 팀 리더는 Rebuildy의 최고 경영진을 만나 감사 결과를 제시했습니다. 감사팀은 재무 보고 시스템과 독립적인 정보 보안 정책의 부족과 관련된 결과를 보고했습니다. 최고 경영진은 결과에 불만을 표시했고 감사팀 리더의 행동이 비전문적이어서 교체를 요청할 수도 있다고 암시했습니다. 압박을 받은 감사팀 리더는 최고 경영진과 협력하여 탐지된 불일치 사항의 중요성을 축소하기로 결정했습니다. 결과적으로 감사팀 리더는 보고서를 조정하여 더 유리한 견해를 제시했고, 따라서 Rebuildy의 규정 준수 문제의 진정한 범위를 잘못 표현했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 3에 설명된 어떤 행동이 감사팀 리더가 독립성 원칙을 위반했음을 나타냅니까?
正解:C
解答を投票する
解説: (JPNTest メンバーにのみ表示されます)
귀하는 의료 서비스를 제공하는 주거형 요양원(ABC)에서 ISMS 감사를 수행하고 있습니다. 감사 계획의 다음 단계는 ABC의 의료 모바일 앱 개발, 지원 및 수명 주기 프로세스의 정보 보안을 확인하는 것입니다. 감사 중에 귀하는 조직이 모바일 앱 개발을 CMMI 레벨 5, ITSM(ISO/IEC 20000-1), BCMS(ISO
22301) 및
ISMS(ISO/IEC 27001) 인증을 받았습니다.
IT 관리자는 소프트웨어 보안 관리 절차를 설명하고 프로세스를 다음과 같이 요약했습니다.
모바일 앱 개발은 최소한 "설계 시 보안 강화" 및 "기본 보안 강화" 원칙을 채택해야 합니다.
개인정보 보호를 위해 다음과 같은 보안기능을 갖추어야 합니다.
액세스 제어.
개인 데이터 암호화, 즉, 고급 암호화 표준(AES) 알고리즘, 키 길이: 256비트; 개인 데이터 가명화.
취약점 확인 및 보안 백도어 없음
최신 모바일 앱 테스트 보고서의 샘플은 다음과 같습니다.
IT 관리자는 테스트 결과가 소프트웨어 보안 관리 절차에 따라 승인되어야 한다고 설명합니다. 암호화 및 가명화 기능이 실패한 이유는 이러한 기능이 시스템과 서비스 성능을 크게 저하시켰기 때문입니다. 이를 처리하려면 150%의 추가 리소스가 필요합니다. 서비스 관리자는 액세스 제어가 충분히 좋고 수용 가능하다는 데 동의했습니다. 그래서 서비스 관리자가 승인에 서명했습니다.
감사 결과를 준비 중입니다. 올바른 옵션을 선택하세요.
22301) 및
ISMS(ISO/IEC 27001) 인증을 받았습니다.
IT 관리자는 소프트웨어 보안 관리 절차를 설명하고 프로세스를 다음과 같이 요약했습니다.
모바일 앱 개발은 최소한 "설계 시 보안 강화" 및 "기본 보안 강화" 원칙을 채택해야 합니다.
개인정보 보호를 위해 다음과 같은 보안기능을 갖추어야 합니다.
액세스 제어.
개인 데이터 암호화, 즉, 고급 암호화 표준(AES) 알고리즘, 키 길이: 256비트; 개인 데이터 가명화.
취약점 확인 및 보안 백도어 없음
최신 모바일 앱 테스트 보고서의 샘플은 다음과 같습니다.
IT 관리자는 테스트 결과가 소프트웨어 보안 관리 절차에 따라 승인되어야 한다고 설명합니다. 암호화 및 가명화 기능이 실패한 이유는 이러한 기능이 시스템과 서비스 성능을 크게 저하시켰기 때문입니다. 이를 처리하려면 150%의 추가 리소스가 필요합니다. 서비스 관리자는 액세스 제어가 충분히 좋고 수용 가능하다는 데 동의했습니다. 그래서 서비스 관리자가 승인에 서명했습니다.
감사 결과를 준비 중입니다. 올바른 옵션을 선택하세요.
正解:C
解答を投票する
감사인은 감사 대상자와 효과적으로 소통해야 합니다. 따라서 감사 대상자의 개인적 행동은 성공적인 감사를 보장하는 데 필요한 핵심 특성입니다. 아래에 특성과 간단한 관련 설명이 있습니다. 특성을 설명과 매치하세요.
正解:
시나리오 8: EsBank는 9월부터 에스토니아 은행 부문에 은행 및 금융 솔루션을 제공합니다.
2010년. 이 회사는 전국에 100개가 넘는 ATM을 갖춘 30개 지점 네트워크를 보유하고 있습니다.
엄격하게 규제되는 산업에서 운영되는 EsBank는 데이터의 보안 및 개인 정보 보호와 관련된 많은 법률과 규정을 준수해야 합니다. 기술적 및 비기술적 통제를 구현하여 운영 전반에서 정보 보안을 관리해야 합니다. EsBank는 ISO/IEC에 기반한 ISMS를 구현하기로 결정했습니다.
27001은 보안을 강화하고 위험 관리를 강화하며 주요 법률 및 규정 요구 사항을 준수하기 때문에 선택되었습니다.
ISMS를 성공적으로 구현한 지 9개월 후, EsBank는 ISO/IEC 27001에 따라 독립 인증 기관에서 ISMS 인증을 받기로 결정했습니다. 인증 감사에는 EsBank의 모든 시스템, 프로세스, 기술이 포함되었습니다.
1단계와 2단계 감사는 공동으로 수행되었고 여러 가지 불일치 사항이 발견되었습니다. 첫 번째 불일치 사항은 EsBank의 정보 라벨링과 관련이 있었습니다. 이 회사에는 정보 분류 체계가 있었지만 정보 라벨링 절차가 없었습니다. 그 결과, 동일한 수준의 보호가 필요한 문서는 다르게 라벨링되었습니다(때로는 기밀로, 다른 경우에는 시급함).
모든 문서가 전자적으로 저장되었다는 점을 고려하면, 불일치는 미디어 처리에도 영향을 미쳤습니다. 감사팀은 샘플링을 사용하여 200개의 이동식 미디어 중 50개가 실수로 기밀로 분류된 민감한 정보를 저장하고 있다는 결론을 내렸습니다. 정보 분류 체계에 따르면, 기밀 정보는 이동식 미디어에 저장할 수 있지만 민감한 정보를 저장하는 것은 엄격히 금지되어 있습니다. 이는 다른 불일치를 표시했습니다.
그들은 불일치 사항 보고서를 작성하고 EsBank 담당자들과 감사 결론을 논의했으며, EsBank 담당자들은 발견된 불일치 사항에 대한 조치 계획을 2개월 이내에 제출하기로 합의했습니다.
EsBank는 감사팀 리더가 제안한 해결책을 수용했습니다. 그들은 물리적 형식과 전자적 형식 모두에 대한 분류 체계에 기반한 정보 라벨링 절차를 초안하여 불일치 사항을 해결했습니다.
이동식 미디어 절차도 이 절차를 기반으로 업데이트되었습니다.
감사가 완료된 지 2주 후, EsBank는 일반 행동 계획을 제출했습니다. 그곳에서 그들은 발견된 불일치 사항과 취해진 시정 조치를 다루었지만, 영향을 받은 시스템, 통제 또는 운영에 대한 세부 정보는 포함하지 않았습니다. 감사팀은 행동 계획을 평가하고 불일치 사항을 해결할 것이라고 결론지었습니다. 그러나 EsBank는 인증에 대한 불리한 권고를 받았습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 8에 나와 있는 어떤 행위가 외부 감사에서 허용되지 않습니까?
2010년. 이 회사는 전국에 100개가 넘는 ATM을 갖춘 30개 지점 네트워크를 보유하고 있습니다.
엄격하게 규제되는 산업에서 운영되는 EsBank는 데이터의 보안 및 개인 정보 보호와 관련된 많은 법률과 규정을 준수해야 합니다. 기술적 및 비기술적 통제를 구현하여 운영 전반에서 정보 보안을 관리해야 합니다. EsBank는 ISO/IEC에 기반한 ISMS를 구현하기로 결정했습니다.
27001은 보안을 강화하고 위험 관리를 강화하며 주요 법률 및 규정 요구 사항을 준수하기 때문에 선택되었습니다.
ISMS를 성공적으로 구현한 지 9개월 후, EsBank는 ISO/IEC 27001에 따라 독립 인증 기관에서 ISMS 인증을 받기로 결정했습니다. 인증 감사에는 EsBank의 모든 시스템, 프로세스, 기술이 포함되었습니다.
1단계와 2단계 감사는 공동으로 수행되었고 여러 가지 불일치 사항이 발견되었습니다. 첫 번째 불일치 사항은 EsBank의 정보 라벨링과 관련이 있었습니다. 이 회사에는 정보 분류 체계가 있었지만 정보 라벨링 절차가 없었습니다. 그 결과, 동일한 수준의 보호가 필요한 문서는 다르게 라벨링되었습니다(때로는 기밀로, 다른 경우에는 시급함).
모든 문서가 전자적으로 저장되었다는 점을 고려하면, 불일치는 미디어 처리에도 영향을 미쳤습니다. 감사팀은 샘플링을 사용하여 200개의 이동식 미디어 중 50개가 실수로 기밀로 분류된 민감한 정보를 저장하고 있다는 결론을 내렸습니다. 정보 분류 체계에 따르면, 기밀 정보는 이동식 미디어에 저장할 수 있지만 민감한 정보를 저장하는 것은 엄격히 금지되어 있습니다. 이는 다른 불일치를 표시했습니다.
그들은 불일치 사항 보고서를 작성하고 EsBank 담당자들과 감사 결론을 논의했으며, EsBank 담당자들은 발견된 불일치 사항에 대한 조치 계획을 2개월 이내에 제출하기로 합의했습니다.
EsBank는 감사팀 리더가 제안한 해결책을 수용했습니다. 그들은 물리적 형식과 전자적 형식 모두에 대한 분류 체계에 기반한 정보 라벨링 절차를 초안하여 불일치 사항을 해결했습니다.
이동식 미디어 절차도 이 절차를 기반으로 업데이트되었습니다.
감사가 완료된 지 2주 후, EsBank는 일반 행동 계획을 제출했습니다. 그곳에서 그들은 발견된 불일치 사항과 취해진 시정 조치를 다루었지만, 영향을 받은 시스템, 통제 또는 운영에 대한 세부 정보는 포함하지 않았습니다. 감사팀은 행동 계획을 평가하고 불일치 사항을 해결할 것이라고 결론지었습니다. 그러나 EsBank는 인증에 대한 불리한 권고를 받았습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 8에 나와 있는 어떤 행위가 외부 감사에서 허용되지 않습니까?
正解:C
解答を投票する