최신 ISO-IEC-27001-Lead-Auditor Korean 무료덤프 - PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor Korean Version)
감사자로서, 귀하는 ABC Inc.가 이동식 저장 매체를 관리하는 절차를 수립했다는 것을 알아차렸습니다. 이 절차는 ABC Inc.에서 채택한 분류 체계에 기반합니다. 따라서 저장된 정보가 "기밀"로 분류된 경우 이 절차가 적용됩니다. 반면, "공개"로 분류된 정보에는 기밀 요구 사항이 없습니다. 따라서 무결성과 가용성을 보장하는 절차만 적용됩니다. 이는 어떤 유형의 감사 결과입니까?
정답: B
설명: (DumpTOP 회원만 볼 수 있음)
당신은 모바일 통신 제공업체에 대한 제3자 감사를 방금 마친 감사팀 리더입니다. 당신은 감사 보고서를 준비하고 있으며 '비밀 유지'라는 제목의 섹션을 완료하려고 합니다.
귀하의 팀에서 교육 중인 감사자가 기밀 보고서가 제3자에게 공개될 수 있는 상황이 있는지 묻습니다.
다음 중 4가지 응답이 거짓인 것은 무엇입니까?
귀하의 팀에서 교육 중인 감사자가 기밀 보고서가 제3자에게 공개될 수 있는 상황이 있는지 묻습니다.
다음 중 4가지 응답이 거짓인 것은 무엇입니까?
정답: B,E,F,G
설명: (DumpTOP 회원만 볼 수 있음)
시나리오 7: Lawsy는 뉴저지와 뉴욕시에 사무실을 둔 선도적인 로펌입니다. 50명 이상의 변호사가 기업 및 상법, 지적 재산권, 은행 및 금융 서비스 분야에서 고객에게 정교한 법률 서비스를 제공합니다. 그들은 정보 보안 모범 사례를 구현하고 기술 개발에 대한 최신 정보를 유지하려는 노력 덕분에 시장에서 편안한 입지를 확보했다고 믿습니다.
Lawsy는 지난 2년간 ISMS에 대한 내부 감사를 엄격하게 시행, 평가하고 수행해 왔습니다.
이제 그들은 널리 알려지고 신뢰받는 인증기관인 ISMA에 ISO/IEC 27001 인증을 신청했습니다.
1단계 감사 동안 감사팀은 구현 중에 작성된 모든 ISMS 문서를 검토했습니다.
또한 그들은 경영진 검토와 내부 감사의 기록을 검토하고 평가했습니다.
Lawsy는 필요한 경우 불일치에 대한 시정 조치가 수행되었다는 증거 기록을 제출했으므로 감사팀은 내부 감사자를 인터뷰했습니다. 인터뷰는 내부 감사 계획 및 절차에 대한 자세한 통찰력을 제공하여 내부 감사의 적절성과 빈도를 검증했습니다.
감사팀은 정보 보안 정책 및 위험 평가 기준을 포함한 전략적 문서의 검증을 계속했습니다. 정보 보안 정책 검토 중에 팀은 거버넌스 프레임워크(즉, 정보 보안 정책)를 설명하는 문서화된 정보와 절차 사이에 불일치가 있음을 발견했습니다.
직원들이 노트북을 직장 밖으로 가지고 나갈 수 있었지만 Lawsy는 그러한 경우 노트북 사용에 대한 절차를 마련하지 않았습니다. 정책은 노트북 사용에 대한 일반적인 정보만 제공했습니다. 회사는 직원들의 상식에 의존하여 노트북에 저장된 정보의 기밀성과 무결성을 보호했습니다. 이 문제는 1단계 감사 보고서에 기록되었습니다.
1단계 감사를 완료한 후 감사팀장은 감사 목표, 범위, 기준, 절차 등을 다룬 감사 계획을 준비했습니다.
2단계 감사에서 감사팀은 정보 보안 정책을 초안한 정보 보안 관리자를 인터뷰했습니다. 그는 Lawsy가 3개월마다 의무적인 정보 보안 교육 및 인식 세션을 실시한다는 말로 1단계에서 발견된 문제를 정당화했습니다.
인터뷰 후 감사팀은 15개의 직원 교육 기록(50개 중)을 검토하고 Lawsy가 교육 및 인식과 관련된 ISO/IEC 27001 요구 사항을 충족한다는 결론을 내렸습니다. 이 결론을 뒷받침하기 위해 감사팀은 검토한 직원 교육 기록을 복사했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 7을 기준으로, Lawsy는 2단계 감사를 시작하기 전에 무엇을 해야 합니까?
Lawsy는 지난 2년간 ISMS에 대한 내부 감사를 엄격하게 시행, 평가하고 수행해 왔습니다.
이제 그들은 널리 알려지고 신뢰받는 인증기관인 ISMA에 ISO/IEC 27001 인증을 신청했습니다.
1단계 감사 동안 감사팀은 구현 중에 작성된 모든 ISMS 문서를 검토했습니다.
또한 그들은 경영진 검토와 내부 감사의 기록을 검토하고 평가했습니다.
Lawsy는 필요한 경우 불일치에 대한 시정 조치가 수행되었다는 증거 기록을 제출했으므로 감사팀은 내부 감사자를 인터뷰했습니다. 인터뷰는 내부 감사 계획 및 절차에 대한 자세한 통찰력을 제공하여 내부 감사의 적절성과 빈도를 검증했습니다.
감사팀은 정보 보안 정책 및 위험 평가 기준을 포함한 전략적 문서의 검증을 계속했습니다. 정보 보안 정책 검토 중에 팀은 거버넌스 프레임워크(즉, 정보 보안 정책)를 설명하는 문서화된 정보와 절차 사이에 불일치가 있음을 발견했습니다.
직원들이 노트북을 직장 밖으로 가지고 나갈 수 있었지만 Lawsy는 그러한 경우 노트북 사용에 대한 절차를 마련하지 않았습니다. 정책은 노트북 사용에 대한 일반적인 정보만 제공했습니다. 회사는 직원들의 상식에 의존하여 노트북에 저장된 정보의 기밀성과 무결성을 보호했습니다. 이 문제는 1단계 감사 보고서에 기록되었습니다.
1단계 감사를 완료한 후 감사팀장은 감사 목표, 범위, 기준, 절차 등을 다룬 감사 계획을 준비했습니다.
2단계 감사에서 감사팀은 정보 보안 정책을 초안한 정보 보안 관리자를 인터뷰했습니다. 그는 Lawsy가 3개월마다 의무적인 정보 보안 교육 및 인식 세션을 실시한다는 말로 1단계에서 발견된 문제를 정당화했습니다.
인터뷰 후 감사팀은 15개의 직원 교육 기록(50개 중)을 검토하고 Lawsy가 교육 및 인식과 관련된 ISO/IEC 27001 요구 사항을 충족한다는 결론을 내렸습니다. 이 결론을 뒷받침하기 위해 감사팀은 검토한 직원 교육 기록을 복사했습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 7을 기준으로, Lawsy는 2단계 감사를 시작하기 전에 무엇을 해야 합니까?
정답: B
설명: (DumpTOP 회원만 볼 수 있음)
귀하는 감사원의 교육을 지도하는 경험이 풍부한 감사팀 리더입니다.
귀하의 팀은 현재 외부 고객을 대신하여 데이터를 저장하는 조직에 대한 제3자 감시 감사를 실시하고 있습니다. 교육 중인 감사자는 적용성 설명서(SoA)에 나열되어 있고 사이트에 구현된 PEOPLE 통제를 검토하는 업무를 맡았습니다.
다음 중에서 감사자가 훈련을 받으면서 검토해야 할 것으로 생각하는 통제 항목을 네 가지 선택하세요.
귀하의 팀은 현재 외부 고객을 대신하여 데이터를 저장하는 조직에 대한 제3자 감시 감사를 실시하고 있습니다. 교육 중인 감사자는 적용성 설명서(SoA)에 나열되어 있고 사이트에 구현된 PEOPLE 통제를 검토하는 업무를 맡았습니다.
다음 중에서 감사자가 훈련을 받으면서 검토해야 할 것으로 생각하는 통제 항목을 네 가지 선택하세요.
정답: A,C,D,H
설명: (DumpTOP 회원만 볼 수 있음)
시나리오 2: Knight는 미국 북부 캘리포니아의 전자 회사로 비디오 게임 콘솔을 개발합니다. Knight는 전 세계적으로 300명 이상의 직원을 보유하고 있습니다. 설립 5주년을 맞아 전 세계 시장을 겨냥한 차세대 비디오 게임 콘솔인 G-Console을 출시하기로 결정했습니다. G-Console은 플레이어에게 최고의 게임 경험을 선사할 2021년 최고의 미디어 머신으로 여겨집니다.
콘솔 팩에는 VR 헤드셋 한 쌍, 2개가 포함됩니다.
게임 및 기타 선물.
수년에 걸쳐 이 회사는 고객에 대한 성실함, 정직함, 존중심을 보임으로써 좋은 평판을 쌓았습니다. 이 좋은 평판은 대부분의 열정적인 게이머가 Knight's G-콘솔이 시장에 출시되자마자 그것을 갖고 싶어하는 이유 중 하나입니다.
Knight는 고객 중심적인 회사일 뿐만 아니라
개발 중인 품질로 인해 게임 업계에서도 널리 알려졌습니다. 가격은 합리적인 기준이 허용하는 것보다 약간 높습니다.
그럼에도 불구하고 Knight의 충성스러운 고객 대부분에게는 이는 문제가 되지 않습니다. Knight의 품질이 최고 수준이기 때문입니다.
세계 최고의 비디오 게임 콘솔 개발사 중 하나인 Knight는 종종 악의적인 활동의 주목을 받습니다. 이 회사는 1년 이상 운영 ISMS를 보유하고 있습니다. ISMS 범위에는 재무 및 HR 부서를 제외한 Knight의 모든 부서가 포함됩니다.
최근, Knight의 독점 정보가 담긴 여러 파일이 해커에 의해 유출되었습니다. Knight의 사고 대응팀(IRT)은 즉시 시스템의 모든 부분과 사고의 세부 사항을 분석하기 시작했습니다.
IRT의 첫 번째 의심은 Knight의 직원들이 취약한 비밀번호를 사용했고 결과적으로 해커가 계정에 무단으로 접근하여 쉽게 해독되었다는 것이었습니다. 그러나 IRT는 사건을 신중하게 조사한 후 해커가 파일 전송 프로토콜(FTP) 트래픽을 캡처하여 계정에 접근했다는 것을 확인했습니다.
FTP는 계정 간에 파일을 전송하기 위한 네트워크 프로토콜입니다. 인증을 위해 일반 텍스트 비밀번호를 사용합니다.
이 정보 보안 사고의 영향을 파악하고 IRT의 제안에 따라 Knight는 FTP를 Secure Shell(SSH) 프로토콜로 대체하여 트래픽을 캡처하는 모든 사람이 암호화된 데이터만 볼 수 있도록 결정했습니다.
이러한 변화에 따라 Knight는 통제의 구현이 유사한 사고의 위험을 최소화했는지 확인하기 위해 위험 평가를 실시했습니다. 프로세스의 결과는 ISMS 프로젝트 관리자가 승인했으며, 그는 새로운 통제를 구현한 후의 위험 수준이 회사의 위험 수용 수준에 부합한다고 주장했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 2에 따라 ISMS 프로젝트 관리자가 위험 평가 결과를 승인했습니다. 이것이 허용 가능할까요?
콘솔 팩에는 VR 헤드셋 한 쌍, 2개가 포함됩니다.
게임 및 기타 선물.
수년에 걸쳐 이 회사는 고객에 대한 성실함, 정직함, 존중심을 보임으로써 좋은 평판을 쌓았습니다. 이 좋은 평판은 대부분의 열정적인 게이머가 Knight's G-콘솔이 시장에 출시되자마자 그것을 갖고 싶어하는 이유 중 하나입니다.
Knight는 고객 중심적인 회사일 뿐만 아니라
개발 중인 품질로 인해 게임 업계에서도 널리 알려졌습니다. 가격은 합리적인 기준이 허용하는 것보다 약간 높습니다.
그럼에도 불구하고 Knight의 충성스러운 고객 대부분에게는 이는 문제가 되지 않습니다. Knight의 품질이 최고 수준이기 때문입니다.
세계 최고의 비디오 게임 콘솔 개발사 중 하나인 Knight는 종종 악의적인 활동의 주목을 받습니다. 이 회사는 1년 이상 운영 ISMS를 보유하고 있습니다. ISMS 범위에는 재무 및 HR 부서를 제외한 Knight의 모든 부서가 포함됩니다.
최근, Knight의 독점 정보가 담긴 여러 파일이 해커에 의해 유출되었습니다. Knight의 사고 대응팀(IRT)은 즉시 시스템의 모든 부분과 사고의 세부 사항을 분석하기 시작했습니다.
IRT의 첫 번째 의심은 Knight의 직원들이 취약한 비밀번호를 사용했고 결과적으로 해커가 계정에 무단으로 접근하여 쉽게 해독되었다는 것이었습니다. 그러나 IRT는 사건을 신중하게 조사한 후 해커가 파일 전송 프로토콜(FTP) 트래픽을 캡처하여 계정에 접근했다는 것을 확인했습니다.
FTP는 계정 간에 파일을 전송하기 위한 네트워크 프로토콜입니다. 인증을 위해 일반 텍스트 비밀번호를 사용합니다.
이 정보 보안 사고의 영향을 파악하고 IRT의 제안에 따라 Knight는 FTP를 Secure Shell(SSH) 프로토콜로 대체하여 트래픽을 캡처하는 모든 사람이 암호화된 데이터만 볼 수 있도록 결정했습니다.
이러한 변화에 따라 Knight는 통제의 구현이 유사한 사고의 위험을 최소화했는지 확인하기 위해 위험 평가를 실시했습니다. 프로세스의 결과는 ISMS 프로젝트 관리자가 승인했으며, 그는 새로운 통제를 구현한 후의 위험 수준이 회사의 위험 수용 수준에 부합한다고 주장했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 2에 따라 ISMS 프로젝트 관리자가 위험 평가 결과를 승인했습니다. 이것이 허용 가능할까요?
정답: C
설명: (DumpTOP 회원만 볼 수 있음)
1단계 감사 개시 회의에서 경영 시스템 담당자(MSR)는 인증 신청 이후 확장한 해외의 새로운 현장을 포함하도록 감사 범위를 확대해 달라고 요청했습니다.
감사자가 어떻게 대응해야 할지 두 가지 옵션을 선택하세요.
감사자가 어떻게 대응해야 할지 두 가지 옵션을 선택하세요.
정답: C,F
설명: (DumpTOP 회원만 볼 수 있음)
조직의 정보 보안 관리 시스템(ISMS)과 관련된 문서화된 정보를 보관하는 목적을 가장 잘 설명하는 옵션은 무엇입니까?
정답: B
설명: (DumpTOP 회원만 볼 수 있음)
시나리오 9: 네트워킹 회사인 UpNet은 ISO/IEC 27001 인증을 받았습니다. 이 회사는 네트워크 보안, 가상화, 클라우드 컴퓨팅, 네트워크 하드웨어, 네트워크 관리 소프트웨어 및 네트워킹 기술을 제공합니다.
ISO/IEC 27001 인증을 획득한 이후 회사의 인지도가 크게 높아졌습니다. 이 인증은 UpNefs 운영의 성숙도와 널리 인정되고 수용되는 표준을 준수함을 확인했습니다.
하지만 인증 후 모든 것이 끝난 것은 아닙니다. UpNet은 내부 감사를 실시하여 보안 통제와 ISMS의 전반적인 효과성과 효율성을 지속적으로 검토하고 개선했습니다. 최고 경영진은 풀타임 내부 감사팀을 고용할 의향이 없었기 때문에 내부 감사 기능을 아웃소싱하기로 결정했습니다. 이러한 형태의 내부 감사는 독립성, 객관성을 보장했으며 ISMS의 지속적인 개선에 대한 자문 역할을 수행했습니다.
초기 인증 감사 후 얼마 지나지 않아 회사는 데이터 및 스토리지 제품을 전문으로 하는 새로운 부서를 만들었습니다. 그들은 데이터 센터와 네트워크 가상화 및 네트워크 보안 어플라이언스와 같은 소프트웨어 기반 네트워킹 장치에 최적화된 라우터와 스위치를 제공했습니다. 이로 인해 ISMS 인증 범위에 이미 포함된 다른 부서의 운영이 변경되었습니다.
따라서 UpNet은 위험 평가 프로세스와 내부 감사를 시작했습니다. 내부 감사 결과에 따라 회사는 기존 및 새로운 프로세스와 통제의 효과성과 효율성을 확인했습니다.
최고 경영진은 ISO/IEC 27001 요구 사항을 준수하기 때문에 새로운 부서를 인증 범위에 포함하기로 결정했습니다. UpNet은 ISO/IEC 27001 인증을 받았으며 인증 범위가 회사 전체를 포함한다고 발표했습니다.
최초 인증 감사 후 1년 만에, 인증 기관은 UpNefs ISMS에 대한 또 다른 감사를 실시했습니다.
이 감사는 UpNefs ISMS가 지정된 ISO/IEC 27001 요구 사항을 충족하는지 확인하고 ISMS가 지속적으로 개선되고 있는지 확인하는 것을 목표로 했습니다. 감사팀은 인증된 ISMS가 표준의 요구 사항을 계속 충족하고 있음을 확인했습니다. 그럼에도 불구하고 새로운 부서는 관리 시스템을 관리하는 데 상당한 영향을 미쳤습니다. 게다가 인증 기관에는 어떠한 변경 사항도 알리지 않았습니다. 따라서 UpNefs 인증은 중단되었습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 9의 마지막 문단에서는 어떤 유형의 감사가 설명되어 있습니까?
ISO/IEC 27001 인증을 획득한 이후 회사의 인지도가 크게 높아졌습니다. 이 인증은 UpNefs 운영의 성숙도와 널리 인정되고 수용되는 표준을 준수함을 확인했습니다.
하지만 인증 후 모든 것이 끝난 것은 아닙니다. UpNet은 내부 감사를 실시하여 보안 통제와 ISMS의 전반적인 효과성과 효율성을 지속적으로 검토하고 개선했습니다. 최고 경영진은 풀타임 내부 감사팀을 고용할 의향이 없었기 때문에 내부 감사 기능을 아웃소싱하기로 결정했습니다. 이러한 형태의 내부 감사는 독립성, 객관성을 보장했으며 ISMS의 지속적인 개선에 대한 자문 역할을 수행했습니다.
초기 인증 감사 후 얼마 지나지 않아 회사는 데이터 및 스토리지 제품을 전문으로 하는 새로운 부서를 만들었습니다. 그들은 데이터 센터와 네트워크 가상화 및 네트워크 보안 어플라이언스와 같은 소프트웨어 기반 네트워킹 장치에 최적화된 라우터와 스위치를 제공했습니다. 이로 인해 ISMS 인증 범위에 이미 포함된 다른 부서의 운영이 변경되었습니다.
따라서 UpNet은 위험 평가 프로세스와 내부 감사를 시작했습니다. 내부 감사 결과에 따라 회사는 기존 및 새로운 프로세스와 통제의 효과성과 효율성을 확인했습니다.
최고 경영진은 ISO/IEC 27001 요구 사항을 준수하기 때문에 새로운 부서를 인증 범위에 포함하기로 결정했습니다. UpNet은 ISO/IEC 27001 인증을 받았으며 인증 범위가 회사 전체를 포함한다고 발표했습니다.
최초 인증 감사 후 1년 만에, 인증 기관은 UpNefs ISMS에 대한 또 다른 감사를 실시했습니다.
이 감사는 UpNefs ISMS가 지정된 ISO/IEC 27001 요구 사항을 충족하는지 확인하고 ISMS가 지속적으로 개선되고 있는지 확인하는 것을 목표로 했습니다. 감사팀은 인증된 ISMS가 표준의 요구 사항을 계속 충족하고 있음을 확인했습니다. 그럼에도 불구하고 새로운 부서는 관리 시스템을 관리하는 데 상당한 영향을 미쳤습니다. 게다가 인증 기관에는 어떠한 변경 사항도 알리지 않았습니다. 따라서 UpNefs 인증은 중단되었습니다.
위의 시나리오를 토대로 다음 질문에 답하세요.
시나리오 9의 마지막 문단에서는 어떤 유형의 감사가 설명되어 있습니까?
정답: B
설명: (DumpTOP 회원만 볼 수 있음)
ISMS의 정보 보안 위험 평가 프로세스에 대한 올바른 순서를 선택하세요.
시퀀스를 완료하려면 완료하려는 빈 섹션을 클릭하여 빨간색으로 강조 표시한 다음 아래 옵션에서 해당 텍스트를 클릭합니다. 또는 옵션을 적절한 빈 섹션으로 끌어서 놓을 수 있습니다.
시퀀스를 완료하려면 완료하려는 빈 섹션을 클릭하여 빨간색으로 강조 표시한 다음 아래 옵션에서 해당 텍스트를 클릭합니다. 또는 옵션을 적절한 빈 섹션으로 끌어서 놓을 수 있습니다.
정답:
Explanation:
According to ISO 27001:2022, the standard for information security management systems (ISMS), the correct sequence for the information security risk assessment process is as follows:
* Establish information security criteria
* Identify the information security risks
* Analyse the information security risks
* Evaluate the information security risks
The first step is to establish the information security criteria, which include the risk assessment methodology, the risk acceptance criteria, and the risk evaluation criteria. These criteria define how the organization will perform the risk assessment, what level of risk is acceptable, and how the risks will be compared and prioritized.
The second step is to identify the information security risks, which involve identifying the assets, threats, vulnerabilities, and existing controls that are relevant to the ISMS. The organization should also identify the potential consequences and likelihood of each risk scenario.
The third step is to analyse the information security risks, which involve estimating the level of risk for each risk scenario based on the criteria established in the first step. The organization should also consider the sources of uncertainty and the confidence level of the risk estimation.
The fourth step is to evaluate the information security risks, which involve comparing the estimated risk levels with the risk acceptance criteria and determining whether the risks are acceptable or need treatment.
The organization should also prioritize the risks based on the risk evaluation criteria and the objectives of the ISMS.
References: ISO 27001:2022 Clause 6.1.2 Information security risk assessment, ISO 27001 Risk Assessment
& Risk Treatment: The Complete Guide - Advisera, ISO 27001 Risk Assessment: 7 Step Guide - IT Governance UK Blog
'교정 조치'라는 용어는 무엇을 의미합니까? 하나를 선택하십시오.
정답: C
설명: (DumpTOP 회원만 볼 수 있음)
정보 보안은 ________를 구축하고 유지하는 문제입니다.
정답: A
설명: (DumpTOP 회원만 볼 수 있음)
인증 감사의 감사 계획에 필요하지 않은 정보에 대한 다음 두 가지 옵션은 무엇입니까?
정답: A,D
설명: (DumpTOP 회원만 볼 수 있음)
내부 감사와 외부 감사는 어떤 관련이 있나요?
정답: B
설명: (DumpTOP 회원만 볼 수 있음)