PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor Korean Version) - ISO-IEC-27001-Lead-Auditor Korean 模擬練習
시나리오 8: EsBank는 9월부터 에스토니아 은행 부문에 은행 및 금융 솔루션을 제공합니다.
2010년. 이 회사는 전국에 100개가 넘는 ATM을 갖춘 30개 지점 네트워크를 보유하고 있습니다.
엄격하게 규제되는 산업에서 운영되는 EsBank는 데이터의 보안 및 개인 정보 보호와 관련된 많은 법률과 규정을 준수해야 합니다. 기술적 및 비기술적 통제를 구현하여 운영 전반에서 정보 보안을 관리해야 합니다. EsBank는 ISO/IEC에 기반한 ISMS를 구현하기로 결정했습니다.
27001은 보안을 강화하고 위험 관리를 강화하며 주요 법률 및 규정 요구 사항을 준수하기 때문에 선택되었습니다.
ISMS를 성공적으로 구현한 지 9개월 후, EsBank는 ISO/IEC 27001에 따라 독립 인증 기관에서 ISMS 인증을 받기로 결정했습니다. 인증 감사에는 EsBank의 모든 시스템, 프로세스, 기술이 포함되었습니다.
1단계와 2단계 감사는 공동으로 수행되었고 여러 가지 불일치 사항이 발견되었습니다. 첫 번째 불일치 사항은 EsBank의 정보 라벨링과 관련이 있었습니다. 이 회사에는 정보 분류 체계가 있었지만 정보 라벨링 절차가 없었습니다. 그 결과, 동일한 수준의 보호가 필요한 문서는 다르게 라벨링되었습니다(때로는 기밀로, 다른 경우에는 시급함).
모든 문서가 전자적으로 저장되었다는 점을 고려하면, 불일치는 미디어 처리에도 영향을 미쳤습니다. 감사팀은 샘플링을 사용하여 200개의 이동식 미디어 중 50개가 실수로 기밀로 분류된 민감한 정보를 저장하고 있다는 결론을 내렸습니다. 정보 분류 체계에 따르면, 기밀 정보는 이동식 미디어에 저장할 수 있지만 민감한 정보를 저장하는 것은 엄격히 금지되어 있습니다. 이는 다른 불일치를 표시했습니다.
그들은 불일치 사항 보고서를 작성하고 EsBank 담당자들과 감사 결론을 논의했으며, EsBank 담당자들은 발견된 불일치 사항에 대한 조치 계획을 2개월 이내에 제출하기로 합의했습니다.
EsBank는 감사팀 리더가 제안한 해결책을 수용했습니다. 그들은 물리적 형식과 전자적 형식 모두에 대한 분류 체계에 기반한 정보 라벨링 절차를 초안하여 불일치 사항을 해결했습니다.
이동식 미디어 절차도 이 절차를 기반으로 업데이트되었습니다.
감사가 완료된 지 2주 후, EsBank는 일반 행동 계획을 제출했습니다. 그곳에서 그들은 발견된 불일치 사항과 취해진 시정 조치를 다루었지만, 영향을 받은 시스템, 통제 또는 운영에 대한 세부 정보는 포함하지 않았습니다. 감사팀은 행동 계획을 평가하고 불일치 사항을 해결할 것이라고 결론지었습니다. 그러나 EsBank는 인증에 대한 불리한 권고를 받았습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 8에 따라 EsBank는 일반 행동 계획을 제출했습니다. 이것이 허용될 수 있습니까?
2010년. 이 회사는 전국에 100개가 넘는 ATM을 갖춘 30개 지점 네트워크를 보유하고 있습니다.
엄격하게 규제되는 산업에서 운영되는 EsBank는 데이터의 보안 및 개인 정보 보호와 관련된 많은 법률과 규정을 준수해야 합니다. 기술적 및 비기술적 통제를 구현하여 운영 전반에서 정보 보안을 관리해야 합니다. EsBank는 ISO/IEC에 기반한 ISMS를 구현하기로 결정했습니다.
27001은 보안을 강화하고 위험 관리를 강화하며 주요 법률 및 규정 요구 사항을 준수하기 때문에 선택되었습니다.
ISMS를 성공적으로 구현한 지 9개월 후, EsBank는 ISO/IEC 27001에 따라 독립 인증 기관에서 ISMS 인증을 받기로 결정했습니다. 인증 감사에는 EsBank의 모든 시스템, 프로세스, 기술이 포함되었습니다.
1단계와 2단계 감사는 공동으로 수행되었고 여러 가지 불일치 사항이 발견되었습니다. 첫 번째 불일치 사항은 EsBank의 정보 라벨링과 관련이 있었습니다. 이 회사에는 정보 분류 체계가 있었지만 정보 라벨링 절차가 없었습니다. 그 결과, 동일한 수준의 보호가 필요한 문서는 다르게 라벨링되었습니다(때로는 기밀로, 다른 경우에는 시급함).
모든 문서가 전자적으로 저장되었다는 점을 고려하면, 불일치는 미디어 처리에도 영향을 미쳤습니다. 감사팀은 샘플링을 사용하여 200개의 이동식 미디어 중 50개가 실수로 기밀로 분류된 민감한 정보를 저장하고 있다는 결론을 내렸습니다. 정보 분류 체계에 따르면, 기밀 정보는 이동식 미디어에 저장할 수 있지만 민감한 정보를 저장하는 것은 엄격히 금지되어 있습니다. 이는 다른 불일치를 표시했습니다.
그들은 불일치 사항 보고서를 작성하고 EsBank 담당자들과 감사 결론을 논의했으며, EsBank 담당자들은 발견된 불일치 사항에 대한 조치 계획을 2개월 이내에 제출하기로 합의했습니다.
EsBank는 감사팀 리더가 제안한 해결책을 수용했습니다. 그들은 물리적 형식과 전자적 형식 모두에 대한 분류 체계에 기반한 정보 라벨링 절차를 초안하여 불일치 사항을 해결했습니다.
이동식 미디어 절차도 이 절차를 기반으로 업데이트되었습니다.
감사가 완료된 지 2주 후, EsBank는 일반 행동 계획을 제출했습니다. 그곳에서 그들은 발견된 불일치 사항과 취해진 시정 조치를 다루었지만, 영향을 받은 시스템, 통제 또는 운영에 대한 세부 정보는 포함하지 않았습니다. 감사팀은 행동 계획을 평가하고 불일치 사항을 해결할 것이라고 결론지었습니다. 그러나 EsBank는 인증에 대한 불리한 권고를 받았습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 8에 따라 EsBank는 일반 행동 계획을 제출했습니다. 이것이 허용될 수 있습니까?
正解: A
解説: (PassTest メンバーにのみ表示されます)
주장된 사건의 발생을 증명할 수 있는 정보의 속성입니다.
正解: A
解説: (PassTest メンバーにのみ表示されます)
감사를 위해 샘플링 계획을 사용하는 데에는 다음 중 어떤 세 가지 이점이 있습니까?
正解: A,C,E
解説: (PassTest メンバーにのみ表示されます)
다음 중 조직의 맥락을 정의하는 것은 무엇입니까?
正解: C
解説: (PassTest メンバーにのみ表示されます)
시나리오 2
Knight는 미국 캘리포니아 북부에 본사를 둔 비디오 게임 콘솔 개발 전자 회사입니다.
전 세계 300명 이상의 직원을 보유한 Knight는 창립 5주년을 기념하여 국제 시장을 겨냥한 차세대 게임 시스템인 G-Console을 출시합니다. G-Console은 2021년 최고의 미디어 기기로 손꼽히며, 플레이어에게 최상의 게임 경험을 선사할 것입니다. 콘솔 패키지에는 VR 헤드셋 한 쌍, 게임 두 개, 그리고 기타 사은품이 포함됩니다.
수년간 이 회사는 성실성, 정직성, 그리고 고객에 대한 존중을 바탕으로 탄탄한 명성을 쌓아왔습니다. 고객 중심적인 기업이라는 점 외에도, Knight는 뛰어난 품질로 게임 업계에서 널리 인정받고 있습니다.
세계적인 비디오 게임 콘솔 개발사인 나이트는 악의적인 공격의 표적이 되는 경우가 많습니다. 이에 나이트는 ISO/IEC 27001을 기반으로 한 정보 보안 관리 시스템(ISMS)을 구축하고, 그 내용을 주간 회의를 통해 전 직원에게 전달하고 있습니다.
하지만 최근 Knight는 해커들이 기밀 정보를 유출하는 보안 침해 사고를 겪었습니다. 이에 대응하여 사고 대응팀(IRT)은 즉시 시스템과 사고 경위에 대한 철저한 조사를 시작했습니다. 초기에는 직원들이 취약한 비밀번호를 사용하여 해커들이 계정에 쉽게 접근할 수 있었을 가능성을 의심했습니다. 그러나 추가 조사 결과, 해커들이 암호화되지 않은 평문 비밀번호를 사용하여 데이터를 전송하는 파일 전송 프로토콜(FTP)의 트래픽을 가로챈 것으로 밝혀졌습니다.
이번 보안 사고를 계기로, IRT의 권고에 따라 Knight는 FTP 프로토콜을 SSH(Secure Shell) 프로토콜로 교체하기로 결정했습니다. 이 변경으로 캡처된 모든 트래픽이 암호화되어 보안이 크게 향상되었습니다.
이러한 변경 사항을 구현한 후, Knight는 위험 평가를 실시하여 통제 조치 시행으로 유사 사건 발생 위험이 최소화되었는지 확인했습니다. 위험 평가 결과를 바탕으로 위험을 처리하기 위한 방안을 선택했습니다.
질문
IRT의 FTP 관련 조사 결과는 정보 보안 측면에서 무엇을 의미합니까?
Knight는 미국 캘리포니아 북부에 본사를 둔 비디오 게임 콘솔 개발 전자 회사입니다.
전 세계 300명 이상의 직원을 보유한 Knight는 창립 5주년을 기념하여 국제 시장을 겨냥한 차세대 게임 시스템인 G-Console을 출시합니다. G-Console은 2021년 최고의 미디어 기기로 손꼽히며, 플레이어에게 최상의 게임 경험을 선사할 것입니다. 콘솔 패키지에는 VR 헤드셋 한 쌍, 게임 두 개, 그리고 기타 사은품이 포함됩니다.
수년간 이 회사는 성실성, 정직성, 그리고 고객에 대한 존중을 바탕으로 탄탄한 명성을 쌓아왔습니다. 고객 중심적인 기업이라는 점 외에도, Knight는 뛰어난 품질로 게임 업계에서 널리 인정받고 있습니다.
세계적인 비디오 게임 콘솔 개발사인 나이트는 악의적인 공격의 표적이 되는 경우가 많습니다. 이에 나이트는 ISO/IEC 27001을 기반으로 한 정보 보안 관리 시스템(ISMS)을 구축하고, 그 내용을 주간 회의를 통해 전 직원에게 전달하고 있습니다.
하지만 최근 Knight는 해커들이 기밀 정보를 유출하는 보안 침해 사고를 겪었습니다. 이에 대응하여 사고 대응팀(IRT)은 즉시 시스템과 사고 경위에 대한 철저한 조사를 시작했습니다. 초기에는 직원들이 취약한 비밀번호를 사용하여 해커들이 계정에 쉽게 접근할 수 있었을 가능성을 의심했습니다. 그러나 추가 조사 결과, 해커들이 암호화되지 않은 평문 비밀번호를 사용하여 데이터를 전송하는 파일 전송 프로토콜(FTP)의 트래픽을 가로챈 것으로 밝혀졌습니다.
이번 보안 사고를 계기로, IRT의 권고에 따라 Knight는 FTP 프로토콜을 SSH(Secure Shell) 프로토콜로 교체하기로 결정했습니다. 이 변경으로 캡처된 모든 트래픽이 암호화되어 보안이 크게 향상되었습니다.
이러한 변경 사항을 구현한 후, Knight는 위험 평가를 실시하여 통제 조치 시행으로 유사 사건 발생 위험이 최소화되었는지 확인했습니다. 위험 평가 결과를 바탕으로 위험을 처리하기 위한 방안을 선택했습니다.
질문
IRT의 FTP 관련 조사 결과는 정보 보안 측면에서 무엇을 의미합니까?
正解: C
解説: (PassTest メンバーにのみ表示されます)
질문
회사 최고 경영진은 정보 보안 관리 시스템(ISMS)의 성과 보고를 담당할 특정 인력을 지정했습니다. 이들은 관련 ISMS 데이터를 수집하고, 보고서를 작성하며, 필요한 정보가 최고 경영진에게 전달되도록 하는 임무를 맡습니다.
이 접근 방식은 ISO/IEC 27001 요구 사항을 충족합니까?
회사 최고 경영진은 정보 보안 관리 시스템(ISMS)의 성과 보고를 담당할 특정 인력을 지정했습니다. 이들은 관련 ISMS 데이터를 수집하고, 보고서를 작성하며, 필요한 정보가 최고 경영진에게 전달되도록 하는 임무를 맡습니다.
이 접근 방식은 ISO/IEC 27001 요구 사항을 충족합니까?
正解: C
解説: (PassTest メンバーにのみ表示されます)
귀하는 감사팀 리더로서 첫 번째 제3자 ISMS 감시 감사를 실시하고 있습니다. 귀하는 현재 감사팀의 다른 멤버와 조직의 가이드와 함께 감사 대상자의 데이터 센터에 있습니다.
조합 잠금 장치와 홍채 스캐너로 보호되는 잠긴 방에 대한 접근을 요청합니다. 이 방에는 무정전 전원 공급 장치가 여러 줄로 있고, 클라이언트가 제공하는 장비, 주로 서버와 스위치가 들어 있는 여러 데이터 캐비닛이 있습니다.
가스 기반 소화 시스템이 설치되어 있다는 것을 알 수 있습니다. 라벨에는 시스템을 6개월마다 테스트해야 한다고 표시되어 있지만 라벨에 기록된 가장 최근의 테스트는 제조업체가 12개월 전에 수행했습니다.
위의 시나리오를 바탕으로, 다음 중 어떤 두 가지 조치를 취하시겠습니까?
조합 잠금 장치와 홍채 스캐너로 보호되는 잠긴 방에 대한 접근을 요청합니다. 이 방에는 무정전 전원 공급 장치가 여러 줄로 있고, 클라이언트가 제공하는 장비, 주로 서버와 스위치가 들어 있는 여러 데이터 캐비닛이 있습니다.
가스 기반 소화 시스템이 설치되어 있다는 것을 알 수 있습니다. 라벨에는 시스템을 6개월마다 테스트해야 한다고 표시되어 있지만 라벨에 기록된 가장 최근의 테스트는 제조업체가 12개월 전에 수행했습니다.
위의 시나리오를 바탕으로, 다음 중 어떤 두 가지 조치를 취하시겠습니까?
正解: A,B
다음 옵션 중 2단계 감사의 목적을 가장 잘 설명하는 것은 무엇입니까?
正解: A
解説: (PassTest メンバーにのみ表示されます)
시나리오 4: 브랜딩은 미국에서 가장 유명한 기업들과 협력하는 마케팅 회사입니다.
내부 비용 절감을 위해 브랜딩(Branding)은 2년 이상 소프트웨어 개발 및 IT 헬프데스크 운영을 테크볼로지(Techvology)에 아웃소싱해 왔습니다. 필요한 전문성을 갖춘 테크볼로지는 브랜딩의 소프트웨어, 네트워크 및 하드웨어 요구 사항을 관리합니다. 브랜딩은 정보 보안 관리 시스템(ISMS)을 구축하고 ISO/IEC 27001 인증을 획득하여 높은 수준의 정보 보안 유지를 위한 노력을 입증하고 있습니다. 또한, 아웃소싱 운영의 보안이 ISO/IEC 27001 인증 요건을 준수하는지 확인하기 위해 테크볼로지에 대한 감사를 적극적으로 실시하고 있습니다.
지난 감사에서 브랜딩의 감사팀은 감사 대상 프로세스와 감사 일정을 정의했습니다. 특히 지난 한 해 동안 테크볼로지가 보고한 두 건의 정보 보안 사고를 고려하여 증거 기반 접근 방식을 채택했습니다. 감사의 초점은 이러한 사고에 대한 대응 방식과 아웃소싱 계약 조건 준수 여부를 평가하는 것이었습니다. 감사는 테크볼로지의 아웃소싱 운영 품질 모니터링 방식에 대한 종합적인 검토로 시작되었으며, 제공된 서비스가 브랜딩의 기대치와 합의된 기준을 충족하는지 평가했습니다. 감사팀은 또한 테크볼로지가 양사 간에 체결된 계약 요건을 준수했는지 여부를 확인했습니다. 이를 위해 아웃소싱 계약의 조항을 철저히 검토하여 정보 보안 조치를 포함한 모든 측면이 준수되고 있는지 확인했습니다.
또한, 이번 감사에는 테크놀로지(Techvology)가 아웃소싱 운영 및 기타 조직을 관리하는 데 사용하는 거버넌스 프로세스에 대한 심층적인 평가가 포함되었습니다. 이는 브랜딩(Branding)이 아웃소싱 계약과 관련된 잠재적 위험을 완화하기 위한 적절한 통제 및 감독 메커니즘이 마련되어 있는지 확인하는 데 매우 중요합니다.
감사팀은 테크볼로지의 다양한 직급 직원들을 대상으로 인터뷰를 진행하고 사고 해결 기록을 분석했습니다. 또한, 테크볼로지는 직원들을 대상으로 사고 관리 관련 인식 교육을 실시했다는 증거 자료를 제출했습니다. 수집된 정보를 바탕으로 감사팀은 두 건의 정보 보안 사고 모두 담당 직원의 역량 부족으로 인해 발생했다고 판단했습니다. 따라서 감사팀은 해당 사고에 연루된 직원들의 인사 파일을 열람하여 관련 경력, 자격증, 교육 이수 기록 등 역량을 입증할 수 있는 자료를 검토하고자 했습니다.
브랜딩의 감사팀은 확보된 증거의 타당성을 면밀히 평가하고, 문서화된 정보의 신뢰성을 의심하게 하거나 모순될 수 있는 증거가 있는지 주의 깊게 살폈습니다. 테크볼로지 감사 과정에서도 감사팀은 이러한 접근 방식을 유지하며, 사건 해결 기록을 면밀히 검토하고 다양한 직급과 직무의 직원들을 대상으로 심층 인터뷰를 진행했습니다. 감사팀은 테크볼로지 담당자의 말을 그대로 사실로 받아들이지 않고, 사건 관리 프로세스에 대한 담당자의 주장을 뒷받침할 구체적인 증거를 적극적으로 모색했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
ISO/IEC 27001 요구사항에 따르면, Techvology가 제공하는 서비스를 지속적으로 관리하기 위해 브랜딩이 필요한가요?
내부 비용 절감을 위해 브랜딩(Branding)은 2년 이상 소프트웨어 개발 및 IT 헬프데스크 운영을 테크볼로지(Techvology)에 아웃소싱해 왔습니다. 필요한 전문성을 갖춘 테크볼로지는 브랜딩의 소프트웨어, 네트워크 및 하드웨어 요구 사항을 관리합니다. 브랜딩은 정보 보안 관리 시스템(ISMS)을 구축하고 ISO/IEC 27001 인증을 획득하여 높은 수준의 정보 보안 유지를 위한 노력을 입증하고 있습니다. 또한, 아웃소싱 운영의 보안이 ISO/IEC 27001 인증 요건을 준수하는지 확인하기 위해 테크볼로지에 대한 감사를 적극적으로 실시하고 있습니다.
지난 감사에서 브랜딩의 감사팀은 감사 대상 프로세스와 감사 일정을 정의했습니다. 특히 지난 한 해 동안 테크볼로지가 보고한 두 건의 정보 보안 사고를 고려하여 증거 기반 접근 방식을 채택했습니다. 감사의 초점은 이러한 사고에 대한 대응 방식과 아웃소싱 계약 조건 준수 여부를 평가하는 것이었습니다. 감사는 테크볼로지의 아웃소싱 운영 품질 모니터링 방식에 대한 종합적인 검토로 시작되었으며, 제공된 서비스가 브랜딩의 기대치와 합의된 기준을 충족하는지 평가했습니다. 감사팀은 또한 테크볼로지가 양사 간에 체결된 계약 요건을 준수했는지 여부를 확인했습니다. 이를 위해 아웃소싱 계약의 조항을 철저히 검토하여 정보 보안 조치를 포함한 모든 측면이 준수되고 있는지 확인했습니다.
또한, 이번 감사에는 테크놀로지(Techvology)가 아웃소싱 운영 및 기타 조직을 관리하는 데 사용하는 거버넌스 프로세스에 대한 심층적인 평가가 포함되었습니다. 이는 브랜딩(Branding)이 아웃소싱 계약과 관련된 잠재적 위험을 완화하기 위한 적절한 통제 및 감독 메커니즘이 마련되어 있는지 확인하는 데 매우 중요합니다.
감사팀은 테크볼로지의 다양한 직급 직원들을 대상으로 인터뷰를 진행하고 사고 해결 기록을 분석했습니다. 또한, 테크볼로지는 직원들을 대상으로 사고 관리 관련 인식 교육을 실시했다는 증거 자료를 제출했습니다. 수집된 정보를 바탕으로 감사팀은 두 건의 정보 보안 사고 모두 담당 직원의 역량 부족으로 인해 발생했다고 판단했습니다. 따라서 감사팀은 해당 사고에 연루된 직원들의 인사 파일을 열람하여 관련 경력, 자격증, 교육 이수 기록 등 역량을 입증할 수 있는 자료를 검토하고자 했습니다.
브랜딩의 감사팀은 확보된 증거의 타당성을 면밀히 평가하고, 문서화된 정보의 신뢰성을 의심하게 하거나 모순될 수 있는 증거가 있는지 주의 깊게 살폈습니다. 테크볼로지 감사 과정에서도 감사팀은 이러한 접근 방식을 유지하며, 사건 해결 기록을 면밀히 검토하고 다양한 직급과 직무의 직원들을 대상으로 심층 인터뷰를 진행했습니다. 감사팀은 테크볼로지 담당자의 말을 그대로 사실로 받아들이지 않고, 사건 관리 프로세스에 대한 담당자의 주장을 뒷받침할 구체적인 증거를 적극적으로 모색했습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
ISO/IEC 27001 요구사항에 따르면, Techvology가 제공하는 서비스를 지속적으로 관리하기 위해 브랜딩이 필요한가요?
正解: B
解説: (PassTest メンバーにのみ表示されます)