최신 ISO-IEC-27001-Lead-Auditor Korean 무료덤프 - PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor Korean Version)
ISO/IEC 27001 인증을 받은 조직의 범위는 편집 및 웹 호스팅 서비스를 제공한다고 명시되어 있습니다. 그러나 조직의 일부 변경으로 인해 웹 호스팅 서비스와 관련된 기술 지원은 아웃소싱되었습니다. 이 경우 범위를 변경해야 합니까?
정답: B
설명: (DumpTOP 회원만 볼 수 있음)
귀하는 고객을 위해 웹사이트를 디자인하는 조직에 대한 제3자 감시 감사를 수행하는 숙련된 감사팀 리더입니다. 현재 조직의 적용성 설명서를 검토하고 있습니다.
ISO/IEC 27001의 요구 사항을 기준으로, 적용성 설명서에 대한 다음 관찰 내용 중 두 가지가 사실입니까?
ISO/IEC 27001의 요구 사항을 기준으로, 적용성 설명서에 대한 다음 관찰 내용 중 두 가지가 사실입니까?
정답: C,E
귀하는 교육 중인 감사원에게 지침을 제공하는 경험이 풍부한 ISMS 감사팀 리더입니다.
교육 중인 감사원은 ISO 27001:2022의 역량 해석에 대해 혼란스러워하는 듯하며, 그의 이해가 맞는지 귀하에게 명확히 해달라고 요청하고 있습니다. 그는 일련의 간단한 시나리오를 제시하고, 이 중 어느 것을 역량 부족으로 돌릴지 귀하에게 묻습니다. 올바른 옵션 4개를 선택하십시오.
교육 중인 감사원은 ISO 27001:2022의 역량 해석에 대해 혼란스러워하는 듯하며, 그의 이해가 맞는지 귀하에게 명확히 해달라고 요청하고 있습니다. 그는 일련의 간단한 시나리오를 제시하고, 이 중 어느 것을 역량 부족으로 돌릴지 귀하에게 묻습니다. 올바른 옵션 4개를 선택하십시오.
정답: A,F,G,H
설명: (DumpTOP 회원만 볼 수 있음)
감사 프로세스에서 감사 테스트 계획의 목적은 무엇입니까?
정답: C
설명: (DumpTOP 회원만 볼 수 있음)
다음 옵션 중 1단계 제3자 감사의 주요 목적을 가장 잘 설명하는 것은 무엇입니까?
정답: B
설명: (DumpTOP 회원만 볼 수 있음)
정보 보안 사고가 발생하는 경우, 다음을 제외하고 시스템 사용자의 역할과 책임을 준수해야 합니다.
정답: B
설명: (DumpTOP 회원만 볼 수 있음)
귀하는 클라이언트의 데이터 센터에서 후속 감사를 수행하는 ISMS 감사팀 리더입니다.
현장에서 2일간의 조사를 거친 후, 후속 감사를 실시하게 된 원래의 12개 사소한 부적합 사항과 1개 중대한 부적합 사항 중 1개만이 아직 해결되지 않은 상태라는 결론을 내렸습니다.
당신이 취할 수 있는 조치에 대한 네 가지 옵션을 선택하세요.
현장에서 2일간의 조사를 거친 후, 후속 감사를 실시하게 된 원래의 12개 사소한 부적합 사항과 1개 중대한 부적합 사항 중 1개만이 아직 해결되지 않은 상태라는 결론을 내렸습니다.
당신이 취할 수 있는 조치에 대한 네 가지 옵션을 선택하세요.
정답: A,B,F,H
설명: (DumpTOP 회원만 볼 수 있음)
시나리오 2:
1990년대에 설립된 Clinic은 심장 관련 질환과 복잡한 수술적 개입에 대한 치료를 전문으로 하는 의료 기기 회사입니다. 유럽에 본사를 두고 있으며 환자와 의료 전문가 모두에게 서비스를 제공합니다. Clinic은 치료를 맞춤화하고 결과를 모니터링하며 기기 기능을 개선하기 위해 환자 데이터를 수집합니다. Clinic은 데이터 보안을 강화하고 신뢰를 구축하기 위해 ISO/IEC 27001을 기반으로 하는 정보 보안 관리 시스템(ISMS)을 구현하고 있습니다. 이 이니셔티브는 Clinic이 민감한 환자 정보와 독점 기술을 안전하게 관리하려는 의지를 보여줍니다.
Clinic은 내부 문제, 인터페이스, 내부 및 아웃소싱 활동 간의 종속성, 이해 관계자의 기대치만을 고려하여 ISMS의 범위를 설정했습니다. 이 범위는 신중하게 문서화되고 접근 가능하게 되었습니다. ISMS를 정의할 때 Clinic은 연구 개발, 환자 데이터 관리, 고객 지원과 같은 중요한 부서 내의 핵심 프로세스에 특히 집중하기로 했습니다.
초기 어려움에도 불구하고 Clinic은 ISMS 구현에 전념하여 고유한 요구 사항에 맞게 보안 제어를 조정했습니다. 프로젝트 팀은 보안을 강화하기 위해 추가적인 부문별 제어를 통합하는 동시에 ISO/IEC 27001에서 특정 Annex A 제어를 제외했습니다. 팀은 내부 및 외부 요인에 대한 이러한 제어의 적용 가능성을 평가하여 제어 선택 및 구현의 근거를 자세히 설명하는 포괄적인 적용성 설명서(SoA)를 개발했습니다.
인증 준비가 진행됨에 따라 팀 리더로 임명된 Brian은 회사의 전략적 문제와 보안 관행을 식별하고 평가하기 위해 자체 주도 위험 평가 방법론을 채택했습니다. 이러한 사전 예방적 접근 방식을 통해 Clinic의 위험 평가가 목표와 사명에 부합하도록 했습니다.
시나리오 2를 기반으로, 클리닉은 ISMS가 핵심 프로세스와 부서만 다루기로 결정했습니다. 이것이 허용될 수 있을까요?
1990년대에 설립된 Clinic은 심장 관련 질환과 복잡한 수술적 개입에 대한 치료를 전문으로 하는 의료 기기 회사입니다. 유럽에 본사를 두고 있으며 환자와 의료 전문가 모두에게 서비스를 제공합니다. Clinic은 치료를 맞춤화하고 결과를 모니터링하며 기기 기능을 개선하기 위해 환자 데이터를 수집합니다. Clinic은 데이터 보안을 강화하고 신뢰를 구축하기 위해 ISO/IEC 27001을 기반으로 하는 정보 보안 관리 시스템(ISMS)을 구현하고 있습니다. 이 이니셔티브는 Clinic이 민감한 환자 정보와 독점 기술을 안전하게 관리하려는 의지를 보여줍니다.
Clinic은 내부 문제, 인터페이스, 내부 및 아웃소싱 활동 간의 종속성, 이해 관계자의 기대치만을 고려하여 ISMS의 범위를 설정했습니다. 이 범위는 신중하게 문서화되고 접근 가능하게 되었습니다. ISMS를 정의할 때 Clinic은 연구 개발, 환자 데이터 관리, 고객 지원과 같은 중요한 부서 내의 핵심 프로세스에 특히 집중하기로 했습니다.
초기 어려움에도 불구하고 Clinic은 ISMS 구현에 전념하여 고유한 요구 사항에 맞게 보안 제어를 조정했습니다. 프로젝트 팀은 보안을 강화하기 위해 추가적인 부문별 제어를 통합하는 동시에 ISO/IEC 27001에서 특정 Annex A 제어를 제외했습니다. 팀은 내부 및 외부 요인에 대한 이러한 제어의 적용 가능성을 평가하여 제어 선택 및 구현의 근거를 자세히 설명하는 포괄적인 적용성 설명서(SoA)를 개발했습니다.
인증 준비가 진행됨에 따라 팀 리더로 임명된 Brian은 회사의 전략적 문제와 보안 관행을 식별하고 평가하기 위해 자체 주도 위험 평가 방법론을 채택했습니다. 이러한 사전 예방적 접근 방식을 통해 Clinic의 위험 평가가 목표와 사명에 부합하도록 했습니다.
시나리오 2를 기반으로, 클리닉은 ISMS가 핵심 프로세스와 부서만 다루기로 결정했습니다. 이것이 허용될 수 있을까요?
정답: A
설명: (DumpTOP 회원만 볼 수 있음)
ISO 19011에 설명된 대로 내부 감사 프로그램을 관리하는 프로세스에 적용될 때 계획-실행-확인-조치 주기의 '확인' 단계와 일치하는 두 가지 활동은 무엇입니까?
정답: C,F
설명: (DumpTOP 회원만 볼 수 있음)
다음 중 1차 감사와 관련된 '목표'는 무엇입니까?
정답: D,F
설명: (DumpTOP 회원만 볼 수 있음)
다음 보기에서 문장을 가장 잘 완성할 수 있는 단어를 선택하세요.
해당 단어로 문장을 완성하려면 완성하려는 빈 섹션을 클릭하여 빨간색으로 강조 표시한 다음 아래 옵션에서 응용 프로그램 텍스트를 클릭합니다. 또는 해당 빈 섹션으로 옵션을 끌어서 놓을 수도 있습니다.
해당 단어로 문장을 완성하려면 완성하려는 빈 섹션을 클릭하여 빨간색으로 강조 표시한 다음 아래 옵션에서 응용 프로그램 텍스트를 클릭합니다. 또는 해당 빈 섹션으로 옵션을 끌어서 놓을 수도 있습니다.
정답:
시나리오 4: SendPay는 에이전트와 금융 기관 네트워크를 통해 서비스를 제공하는 금융 회사입니다. 주요 서비스 중 하나는 전 세계로 송금하는 것입니다. 신생 회사인 SendPay는 고객에게 최고 품질의 서비스를 제공하고자 합니다. 이 회사는 국제 거래를 제공하기 때문에 고객의 신원, 거래 이유 및 거래를 완료하는 데 필요할 수 있는 기타 세부 정보와 같은 개인 정보를 제공하도록 요구합니다. 따라서 SendPay는 발생할 수 있는 정보 보안 위협을 탐지, 조사 및 대응하는 것을 포함하여 고객의 정보를 보호하기 위한 보안 조치를 구현했습니다. 안전한 서비스를 제공하려는 그들의 노력은 회사가 많은 시간과 리소스를 투자한 ISMS 구현 중에도 반영되었습니다.
작년에 SendPay는 스마트폰이나 노트북과 같은 전자 기기를 통해 추가 수수료 없이 돈을 거래할 수 있는 디지털 플랫폼을 공개했습니다. 이 플랫폼을 통해 SendPay의 고객은 언제 어디서나 돈을 보내고 받을 수 있습니다. 이 디지털 플랫폼은 SendPay가 회사 운영을 간소화하고 사업을 더욱 확장하는 데 도움이 되었습니다. 당시 SendPay는 소프트웨어 운영을 아웃소싱하고 있었기 때문에 이 프로젝트는 아웃소싱된 회사의 소프트웨어 개발 팀에서 완료했습니다.
같은 팀은 SendPay의 기술 인프라 유지관리도 담당했습니다.
최근 이 회사는 ISMS를 거의 1년 동안 도입한 후 ISO/IEC 27001 인증을 신청했습니다. 그들은 기준에 맞는 인증 기관과 계약을 맺었습니다. 얼마 지나지 않아 인증 기관은 SendPay의 ISMS를 감사하기 위해 4명의 감사원 팀을 임명했습니다.
감사 과정에서 다음과 같은 상황이 관찰되었습니다.
1. 아웃소싱 소프트웨어 회사가 사전 통지 없이 SendPay와의 계약을 종료했습니다. 그 결과 SendPay는 즉시 서비스를 사내로 다시 가져올 수 없었고 운영이 5일 동안 중단되었습니다. 감사원은 SendPay의 담당자에게 계약 종료 시 따를 계획이 있다는 증거를 제공해 달라고 요청했습니다. 담당자는 서류 증거를 제공하지 않았지만 면접 중에 감사원에게 SendPay의 최고 경영진이 비슷한 상황이 다시 발생하면 즉시 서비스를 제공할 수 있는 다른 두 소프트웨어 개발 회사를 파악했다고 말했습니다.
2. 소프트웨어 개발 회사에 아웃소싱된 활동의 모니터링과 관련하여 사용 가능한 증거가 없습니다. 다시 한번, SendPay의 대표는 감사원에게 소프트웨어 개발 회사와 정기적으로 소통하고 발생할 수 있는 모든 가능한 변경 사항에 대해 적절하게 정보를 받고 있다고 말했습니다.
3. 방화벽 테스트 중에 불일치 사항이 발견되지 않았습니다. 감사원은 이러한 서비스가 제공하는 보안 수준을 확인하기 위해 방화벽 구성을 테스트했습니다. 그들은 패킷 분석기를 사용하여 방화벽 정책을 테스트하여 실시간으로 전송되거나 수신된 패킷을 확인할 수 있었습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
계약 종료 후 SendPay가 내부적으로 서비스를 복구할 수 없는 이유는 무엇입니까? 시나리오 4를 참조하십시오.
작년에 SendPay는 스마트폰이나 노트북과 같은 전자 기기를 통해 추가 수수료 없이 돈을 거래할 수 있는 디지털 플랫폼을 공개했습니다. 이 플랫폼을 통해 SendPay의 고객은 언제 어디서나 돈을 보내고 받을 수 있습니다. 이 디지털 플랫폼은 SendPay가 회사 운영을 간소화하고 사업을 더욱 확장하는 데 도움이 되었습니다. 당시 SendPay는 소프트웨어 운영을 아웃소싱하고 있었기 때문에 이 프로젝트는 아웃소싱된 회사의 소프트웨어 개발 팀에서 완료했습니다.
같은 팀은 SendPay의 기술 인프라 유지관리도 담당했습니다.
최근 이 회사는 ISMS를 거의 1년 동안 도입한 후 ISO/IEC 27001 인증을 신청했습니다. 그들은 기준에 맞는 인증 기관과 계약을 맺었습니다. 얼마 지나지 않아 인증 기관은 SendPay의 ISMS를 감사하기 위해 4명의 감사원 팀을 임명했습니다.
감사 과정에서 다음과 같은 상황이 관찰되었습니다.
1. 아웃소싱 소프트웨어 회사가 사전 통지 없이 SendPay와의 계약을 종료했습니다. 그 결과 SendPay는 즉시 서비스를 사내로 다시 가져올 수 없었고 운영이 5일 동안 중단되었습니다. 감사원은 SendPay의 담당자에게 계약 종료 시 따를 계획이 있다는 증거를 제공해 달라고 요청했습니다. 담당자는 서류 증거를 제공하지 않았지만 면접 중에 감사원에게 SendPay의 최고 경영진이 비슷한 상황이 다시 발생하면 즉시 서비스를 제공할 수 있는 다른 두 소프트웨어 개발 회사를 파악했다고 말했습니다.
2. 소프트웨어 개발 회사에 아웃소싱된 활동의 모니터링과 관련하여 사용 가능한 증거가 없습니다. 다시 한번, SendPay의 대표는 감사원에게 소프트웨어 개발 회사와 정기적으로 소통하고 발생할 수 있는 모든 가능한 변경 사항에 대해 적절하게 정보를 받고 있다고 말했습니다.
3. 방화벽 테스트 중에 불일치 사항이 발견되지 않았습니다. 감사원은 이러한 서비스가 제공하는 보안 수준을 확인하기 위해 방화벽 구성을 테스트했습니다. 그들은 패킷 분석기를 사용하여 방화벽 정책을 테스트하여 실시간으로 전송되거나 수신된 패킷을 확인할 수 있었습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
계약 종료 후 SendPay가 내부적으로 서비스를 복구할 수 없는 이유는 무엇입니까? 시나리오 4를 참조하십시오.
정답: C
설명: (DumpTOP 회원만 볼 수 있음)
-------------------------다른 중요한 비즈니스 자산과 마찬가지로 조직에 가치가 있으므로 보호가 필요합니다.
정답: A
설명: (DumpTOP 회원만 볼 수 있음)
귀하의 조직에서 예정된 정보 보안 감사를 방금 끝낸 순간, IT 관리자가 귀하에게 접근하여 회사의 위험 관리 프로세스를 개정하는 데 도움을 요청했습니다.
그는 다른 관리자들이 이해하기 쉽도록 현재 문서를 업데이트하려고 노력하고 있지만, 여러분의 논의에서 그가 몇 가지 핵심 용어를 혼동하고 있다는 것이 분명해졌습니다.
당신은 그에게 각 설명을 적절한 위험 용어와 매치하라고 요청합니다. 정답은 무엇이어야 할까요?
그는 다른 관리자들이 이해하기 쉽도록 현재 문서를 업데이트하려고 노력하고 있지만, 여러분의 논의에서 그가 몇 가지 핵심 용어를 혼동하고 있다는 것이 분명해졌습니다.
당신은 그에게 각 설명을 적절한 위험 용어와 매치하라고 요청합니다. 정답은 무엇이어야 할까요?
정답:
귀하는 의료 서비스를 제공하는 ABC의 승인을 받은 요양원에서 ISMS 감사를 실시하고 있습니다.
감사 계획의 다음 단계는 지속적 개선 프로세스의 효과를 확인하는 것입니다. 감사 중에 거주자 가족 구성원 대부분(90%)이 ABC의 의료 모바일 앱을 통해 주 1회 이메일과 SMS로 WeCare 의료 기기 홍보 광고를 받는다는 사실을 알게 되었습니다. 그들 모두는 ABC와 체결한 서비스 계약에 따라 수집된 개인 데이터(또는 마케팅 또는 간호 및 의료 이외의 다른 목적)의 사용에 동의하지 않았습니다. 그들은 ABC가 거주자와 가족의 개인 정보를 무관한 제3자에게 유출하고 있다고 믿을 만한 매우 강력한 이유가 있으며 불만을 제기했습니다.
서비스 관리자는 이러한 모든 불만이 불일치로 처리되었으며, 불일치 및 시정 관리 절차에 따라 시정 조치를 계획하고 실행했다고 말했습니다. 시정 조치에는 의료 기기 제조업체인 WeCare와의 작업을 즉시 중단하고 수신한 모든 개인 데이터를 삭제하고 모든 거주자와 그 가족에게 사과 이메일을 보내는 것이 포함되었습니다.
감사 결과를 준비 중입니다. 올바른 결과 중 하나를 선택하세요.
감사 계획의 다음 단계는 지속적 개선 프로세스의 효과를 확인하는 것입니다. 감사 중에 거주자 가족 구성원 대부분(90%)이 ABC의 의료 모바일 앱을 통해 주 1회 이메일과 SMS로 WeCare 의료 기기 홍보 광고를 받는다는 사실을 알게 되었습니다. 그들 모두는 ABC와 체결한 서비스 계약에 따라 수집된 개인 데이터(또는 마케팅 또는 간호 및 의료 이외의 다른 목적)의 사용에 동의하지 않았습니다. 그들은 ABC가 거주자와 가족의 개인 정보를 무관한 제3자에게 유출하고 있다고 믿을 만한 매우 강력한 이유가 있으며 불만을 제기했습니다.
서비스 관리자는 이러한 모든 불만이 불일치로 처리되었으며, 불일치 및 시정 관리 절차에 따라 시정 조치를 계획하고 실행했다고 말했습니다. 시정 조치에는 의료 기기 제조업체인 WeCare와의 작업을 즉시 중단하고 수신한 모든 개인 데이터를 삭제하고 모든 거주자와 그 가족에게 사과 이메일을 보내는 것이 포함되었습니다.
감사 결과를 준비 중입니다. 올바른 결과 중 하나를 선택하세요.
정답: A
설명: (DumpTOP 회원만 볼 수 있음)
시나리오 6: Sinvestment는 주택, 상업 및 생명 보험을 제공하는 보험 회사입니다. 이 회사는 노스캐롤라이나에서 설립되었지만 최근 유럽과 아프리카를 포함한 다른 지역으로 확장되었습니다.
Sinvestment는 해당 산업에 적용되는 법률 및 규정을 준수하고 정보 보안 사고를 예방하기 위해 최선을 다하고 있습니다. 그들은 ISO/IEC 27001을 기반으로 ISMS를 구현했으며 ISO/IEC 27001 인증을 신청했습니다.
인증 기관은 감사를 수행하기 위해 두 명의 감사원을 지정했습니다. Sinvestment와 기밀 유지 계약을 체결한 후 감사 활동을 시작했습니다. 먼저 ISMS 범위 선언, 정보 보안 정책 및 내부 감사 보고서를 포함하여 표준에서 요구하는 문서를 검토했습니다. Sinvestment가 문서화 절차를 갖추고 있다고 말했지만 모든 문서가 동일한 형식을 가지고 있지 않았기 때문에 검토 프로세스가 쉽지 않았습니다.
그런 다음 감사팀은 Sinvestment의 최고 경영진과 여러 차례 인터뷰를 진행하여 ISMS 구현에서 그들의 역할을 파악했습니다. 1단계 감사의 모든 활동은 Sinvestment의 요청에 따라 현장에서 진행된 문서화된 정보 검토를 제외하고 원격으로 수행되었습니다.
이 단계에서 감사원은 정보 보안 교육 및 인식 프로그램과 관련된 문서가 없다는 것을 발견했습니다. 질문을 받았을 때 Sinvestment의 대표는 회사가 모든 직원에게 정보 보안 교육 세션을 제공했다고 말했습니다. 1단계 감사를 통해 감사팀은 Sinvestment의 운영과 ISMS에 대한 일반적인 이해를 얻었습니다.
2단계 감사는 1단계 감사 3주 후에 실시되었습니다. 감사팀은 마케팅 부서(감사 범위에 포함되지 않음)에 직원의 접근 권한을 제어하는 절차가 없다는 것을 관찰했습니다. 직원의 접근 권한을 제어하는 것은 ISO/IEC 27001 요구 사항 중 하나이며 회사의 정보 보안 정책에 포함되었기 때문에 이 문제는 감사 보고서에 포함되었습니다. 또한 2단계 감사 중에 감사팀은 Sinvestment가 사용자 활동 로그를 기록하지 않았다는 것을 관찰했습니다.
회사 절차에는 "사용자 활동을 기록한 로그를 보관하고 정기적으로 검토해야 합니다."라고 명시되어 있지만, 회사는 이러한 절차의 구현에 대한 증거를 제시하지 않았습니다.
모든 감사 활동 동안 감사자는 관찰, 인터뷰, 문서화된 정보 검토, 분석 및 기술적 검증을 사용하여 정보와 증거를 수집했습니다. 1단계와 2단계의 모든 감사 결과를 분석했고 감사팀은 인증에 대한 긍정적인 권장 사항을 발행하기로 결정했습니다.
ISO/IEC 27001 요구 사항에 따르면, 회사는 사용자 활동을 기록하는 로그에 관한 절차 구현에 대한 증거를 제공해야 합니까? 시나리오 6을 참조하십시오.
Sinvestment는 해당 산업에 적용되는 법률 및 규정을 준수하고 정보 보안 사고를 예방하기 위해 최선을 다하고 있습니다. 그들은 ISO/IEC 27001을 기반으로 ISMS를 구현했으며 ISO/IEC 27001 인증을 신청했습니다.
인증 기관은 감사를 수행하기 위해 두 명의 감사원을 지정했습니다. Sinvestment와 기밀 유지 계약을 체결한 후 감사 활동을 시작했습니다. 먼저 ISMS 범위 선언, 정보 보안 정책 및 내부 감사 보고서를 포함하여 표준에서 요구하는 문서를 검토했습니다. Sinvestment가 문서화 절차를 갖추고 있다고 말했지만 모든 문서가 동일한 형식을 가지고 있지 않았기 때문에 검토 프로세스가 쉽지 않았습니다.
그런 다음 감사팀은 Sinvestment의 최고 경영진과 여러 차례 인터뷰를 진행하여 ISMS 구현에서 그들의 역할을 파악했습니다. 1단계 감사의 모든 활동은 Sinvestment의 요청에 따라 현장에서 진행된 문서화된 정보 검토를 제외하고 원격으로 수행되었습니다.
이 단계에서 감사원은 정보 보안 교육 및 인식 프로그램과 관련된 문서가 없다는 것을 발견했습니다. 질문을 받았을 때 Sinvestment의 대표는 회사가 모든 직원에게 정보 보안 교육 세션을 제공했다고 말했습니다. 1단계 감사를 통해 감사팀은 Sinvestment의 운영과 ISMS에 대한 일반적인 이해를 얻었습니다.
2단계 감사는 1단계 감사 3주 후에 실시되었습니다. 감사팀은 마케팅 부서(감사 범위에 포함되지 않음)에 직원의 접근 권한을 제어하는 절차가 없다는 것을 관찰했습니다. 직원의 접근 권한을 제어하는 것은 ISO/IEC 27001 요구 사항 중 하나이며 회사의 정보 보안 정책에 포함되었기 때문에 이 문제는 감사 보고서에 포함되었습니다. 또한 2단계 감사 중에 감사팀은 Sinvestment가 사용자 활동 로그를 기록하지 않았다는 것을 관찰했습니다.
회사 절차에는 "사용자 활동을 기록한 로그를 보관하고 정기적으로 검토해야 합니다."라고 명시되어 있지만, 회사는 이러한 절차의 구현에 대한 증거를 제시하지 않았습니다.
모든 감사 활동 동안 감사자는 관찰, 인터뷰, 문서화된 정보 검토, 분석 및 기술적 검증을 사용하여 정보와 증거를 수집했습니다. 1단계와 2단계의 모든 감사 결과를 분석했고 감사팀은 인증에 대한 긍정적인 권장 사항을 발행하기로 결정했습니다.
ISO/IEC 27001 요구 사항에 따르면, 회사는 사용자 활동을 기록하는 로그에 관한 절차 구현에 대한 증거를 제공해야 합니까? 시나리오 6을 참조하십시오.
정답: A
설명: (DumpTOP 회원만 볼 수 있음)
아래에 제시된 상황 중 위협을 나타내는 것은 무엇입니까?
정답: B
귀하는 통신 서비스 제공업체의 제3자 감시 감사를 수행하는 감사팀 리더입니다. 귀하는 조직의 정보 보안 목표 감사에 대한 책임을 감사팀의 주니어 멤버에게 할당했습니다. 평가를 시작하기 전에 다음 질문을 하여 ISO/IEC 27001:2022 요구 사항에 대한 이해도를 확인합니다.
다음 중 정보 보안 목표가 충족해야 하는 4가지 기준은 무엇입니까?
다음 중 정보 보안 목표가 충족해야 하는 4가지 기준은 무엇입니까?
정답: A,B,F,G
설명: (DumpTOP 회원만 볼 수 있음)