最新的PECB Certified ISO/IEC 27001 Lead Auditor exam (ISO-IEC-27001-Lead-Auditor Korean Version) - ISO-IEC-27001-Lead-Auditor Korean免費考試真題
問題1
시나리오 5: Data Grid Inc.는 전체 정보 기술 인프라에 보안 서비스를 제공하는 잘 알려진 회사입니다. 엔드포인트 보안, 방화벽, 바이러스 백신 소프트웨어를 포함한 사이버 보안 소프트웨어를 제공합니다. Data Grid Inc.는 20년 동안 다양한 회사가 고급 제품과 서비스를 통해 네트워크를 보호하도록 도왔습니다. 정보 및 네트워크 보안 분야에서 명성을 얻은 Data Grid Inc.는 내부 및 고객 자산을 보다 안전하게 보호하고 경쟁 우위를 확보하기 위해 ISO/IEC 27001 인증을 취득하기로 결정했습니다.
Data Grid Inc.는 감사 위임 조건에 동의한 감사팀을 임명했습니다. 또한 Data Grid Inc.는 감사 범위를 정의하고 감사 기준을 명시했으며 5일 이내에 감사를 마감할 것을 제안했습니다. 감사팀은 Data Grid Inc.가 5일 이내에 감사를 실시하겠다는 제안을 거부했습니다. 회사에는 직원이 많고 프로세스가 복잡하기 때문입니다. Data Grid Inc.는 5일 이내에 감사를 완료할 계획이라고 주장했기 때문에 양측은 정의된 기간 내에 감사를 실시하기로 합의했습니다. 감사팀은 위험 기반 감사 방식을 따랐습니다.
주요 비즈니스 프로세스와 통제에 대한 개요를 얻기 위해 감사팀은 프로세스 설명과 조직도에 접근했습니다. 그들은 IT 인프라와 애플리케이션에 대한 접근이 제한되어 IT 위험과 통제에 대한 심층 분석을 수행할 수 없었습니다. 그러나 감사팀은 대부분의 회사 프로세스가 자동화되었기 때문에 Data Grid Inc.의 ISMS에 중대한 결함이 발생할 위험이 낮다고 말했습니다. 따라서 그들은 Data Grid Inc.의 담당자에게 다음 질문을 하여 ISMS가 전체적으로 표준 요구 사항을 준수하는지 평가했습니다.
*IT 및 IT 통제에 대한 책임은 어떻게 정의되고 할당됩니까?
*Data Grid Inc.에서는 통제를 통해 원하는 결과가 달성되었는지 어떻게 평가합니까?
*Data Grid Inc.에서는 운영 환경과 데이터를 악성 소프트웨어로부터 보호하기 위해 어떤 제어 기능을 갖추고 있습니까?
*방화벽 관련 제어 기능이 구현되어 있습니까?
Data Grid Inc.의 대표자는 이러한 모든 질문에 답하기에 충분하고 적절한 증거를 제공했습니다.
감사팀장은 감사 결론을 초안하여 Data Grid Inc.의 최고 경영진에게 보고했습니다.
Data Grid Inc.는 감사원으로부터 인증을 권고받았지만, 감사 목표와 관련하여 Data Grid Inc.와 인증 기관 사이에 오해가 제기되었습니다. Data Grid Inc.는 감사 목표에 잠재적 개선 영역을 식별하는 것이 포함되어 있지만 감사팀은 그러한 정보를 제공하지 않았다고 말했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 5에 따라 감사팀은 ISMS 감사를 위한 Data Grid Inc.의 제안된 감사 기간에 동의하지 않았습니다. 이런 상황을 어떻게 설명하시겠습니까?
Data Grid Inc.는 감사 위임 조건에 동의한 감사팀을 임명했습니다. 또한 Data Grid Inc.는 감사 범위를 정의하고 감사 기준을 명시했으며 5일 이내에 감사를 마감할 것을 제안했습니다. 감사팀은 Data Grid Inc.가 5일 이내에 감사를 실시하겠다는 제안을 거부했습니다. 회사에는 직원이 많고 프로세스가 복잡하기 때문입니다. Data Grid Inc.는 5일 이내에 감사를 완료할 계획이라고 주장했기 때문에 양측은 정의된 기간 내에 감사를 실시하기로 합의했습니다. 감사팀은 위험 기반 감사 방식을 따랐습니다.
주요 비즈니스 프로세스와 통제에 대한 개요를 얻기 위해 감사팀은 프로세스 설명과 조직도에 접근했습니다. 그들은 IT 인프라와 애플리케이션에 대한 접근이 제한되어 IT 위험과 통제에 대한 심층 분석을 수행할 수 없었습니다. 그러나 감사팀은 대부분의 회사 프로세스가 자동화되었기 때문에 Data Grid Inc.의 ISMS에 중대한 결함이 발생할 위험이 낮다고 말했습니다. 따라서 그들은 Data Grid Inc.의 담당자에게 다음 질문을 하여 ISMS가 전체적으로 표준 요구 사항을 준수하는지 평가했습니다.
*IT 및 IT 통제에 대한 책임은 어떻게 정의되고 할당됩니까?
*Data Grid Inc.에서는 통제를 통해 원하는 결과가 달성되었는지 어떻게 평가합니까?
*Data Grid Inc.에서는 운영 환경과 데이터를 악성 소프트웨어로부터 보호하기 위해 어떤 제어 기능을 갖추고 있습니까?
*방화벽 관련 제어 기능이 구현되어 있습니까?
Data Grid Inc.의 대표자는 이러한 모든 질문에 답하기에 충분하고 적절한 증거를 제공했습니다.
감사팀장은 감사 결론을 초안하여 Data Grid Inc.의 최고 경영진에게 보고했습니다.
Data Grid Inc.는 감사원으로부터 인증을 권고받았지만, 감사 목표와 관련하여 Data Grid Inc.와 인증 기관 사이에 오해가 제기되었습니다. Data Grid Inc.는 감사 목표에 잠재적 개선 영역을 식별하는 것이 포함되어 있지만 감사팀은 그러한 정보를 제공하지 않았다고 말했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 5에 따라 감사팀은 ISMS 감사를 위한 Data Grid Inc.의 제안된 감사 기간에 동의하지 않았습니다. 이런 상황을 어떻게 설명하시겠습니까?
正確答案: C
說明:(僅 VCESoft 成員可見)
問題2
시나리오 7: 웹뷰(Webvue)는 일본에 본사를 둔 기술 기업으로, 컴퓨터 소프트웨어 개발, 지원 및 유지보수를 전문으로 합니다. 웹뷰는 다양한 기술 분야와 비즈니스 부문에 걸쳐 솔루션을 제공합니다. 주력 서비스는 스토리지, 네트워킹 및 가상 컴퓨팅 서비스를 제공하는 종합 클라우드 컴퓨팅 플랫폼인 클라우드웹뷰(CloudWebvue)입니다. 기업 및 개인 사용자 모두를 위해 설계된 클라우드웹뷰는 유연성, 확장성 및 안정성으로 잘 알려져 있습니다.
Webvue는 ISO/IEC 27001 인증 범위에 CloudWebvue만 포함하기로 결정했습니다. 따라서 1단계와 2단계 심사는 동시에 진행되었습니다. Webvue는 자산 기밀 유지에 대한 엄격한 기준을 자랑스럽게 생각합니다. CloudWebvue에 저장된 정보는 적절한 암호화 제어를 사용하여 보호됩니다. 내부용, 제한적 또는 기밀 여부에 관계없이 모든 정보는 고유한 해시값으로 암호화된 후 클라우드에 저장됩니다. 심사팀은 Keith, Sean, Layla, Sam, Tina 등 5명으로 구성되었습니다. IT 및 정보 보안 심사팀에서 가장 경험이 풍부한 Keith가 심사팀장을 맡았습니다. 그의 책임은 심사 계획 수립 및 심사팀 관리였습니다. 션과 레일라는 프로젝트 계획, 비즈니스 분석 및 IT 시스템(하드웨어 및 애플리케이션) 분야에서 경험이 풍부했습니다. 이들의 업무에는 웹뷰의 내부 시스템 및 프로세스에 따른 감사 계획 수립이 포함되었습니다. 반면, 최근 교육을 마친 샘과 티나는 감사 역량을 개발하는 동시에 일상적인 업무를 담당했습니다. 감사팀은 관련 직원과의 인터뷰를 통해 ISO/IEC 27001 부록 A의 8.24 통제 항목(암호화 사용) 준수 여부를 검증하는 과정에서 암호화 키가 처음에 난수 생성기(RBG) 및 기타 모범 사례를 기반으로 생성되었음을 확인했습니다. 웹뷰의 암호화 정책을 확인한 결과, 인터뷰에서 얻은 정보가 사실임을 확인했습니다. 그러나 정책에 암호화 키의 사용 및 수명에 대한 내용이 명시되어 있지 않아 암호화 키가 여전히 사용되고 있는 것으로 나타났습니다.
웹뷰와 인증기관 간의 추후 합의에 따라, 심사팀은 인증 범위 및 심사 목표에 맞춰 웹뷰가 ISO/IEC 27001의 8.11항(데이터 마스킹)을 준수하는지 여부를 검증하는 데 중점을 둔 가상 심사를 진행하기로 결정했습니다. 심사팀은 클라우드 웹뷰 내 데이터 보호 관련 프로세스를 검토하고, 회사가 정책 및 규제 표준을 얼마나 잘 준수하는지에 초점을 맞췄습니다. 이 과정에서 심사팀 리더인 키스는 관련 문서와 암호화 키 관리 절차의 스크린샷을 찍어 웹뷰의 데이터 보호 관행의 효과성을 문서화하고 분석했습니다.
Webvue는 테스트 목적으로 생성된 테스트 데이터를 사용합니다. 그러나 QA 부서 관리자와의 인터뷰 및 해당 부서에서 사용하는 절차를 통해 확인된 바와 같이, 경우에 따라 실제 시스템 데이터가 사용되기도 합니다. 이러한 시나리오에서는 더 정확한 결과를 얻을 수 있지만 대량의 데이터가 생성됩니다. 테스트 데이터는 Webvue 직원이 감사 과정에서 수행한 암호화 프로세스 시뮬레이션을 통해 검증된 바와 같이 보호 및 관리됩니다. QA 부서 관리자와의 인터뷰 중 Keith는 보안 교육 부서 직원들이 감사 범위에는 포함되지 않았지만 적절한 절차를 준수하지 않고 있음을 발견했습니다. 감사 범위에서 제외되었음에도 불구하고 보안 교육 부서의 규정 미준수는 감사 범위 내 프로세스, 특히 CloudWebvue의 데이터 보안 및 암호화 관행에 잠재적인 영향을 미칠 수 있습니다. 따라서 Keith는 이 발견 사항을 감사 보고서에 반영하고 피감사자에게 알렸습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
Webvue 담당자는 테스트 데이터 보호 관리 준수 여부를 확인하기 위해 암호화 과정을 시뮬레이션했습니다. 이는 허용 가능한 수준입니까?
Webvue는 ISO/IEC 27001 인증 범위에 CloudWebvue만 포함하기로 결정했습니다. 따라서 1단계와 2단계 심사는 동시에 진행되었습니다. Webvue는 자산 기밀 유지에 대한 엄격한 기준을 자랑스럽게 생각합니다. CloudWebvue에 저장된 정보는 적절한 암호화 제어를 사용하여 보호됩니다. 내부용, 제한적 또는 기밀 여부에 관계없이 모든 정보는 고유한 해시값으로 암호화된 후 클라우드에 저장됩니다. 심사팀은 Keith, Sean, Layla, Sam, Tina 등 5명으로 구성되었습니다. IT 및 정보 보안 심사팀에서 가장 경험이 풍부한 Keith가 심사팀장을 맡았습니다. 그의 책임은 심사 계획 수립 및 심사팀 관리였습니다. 션과 레일라는 프로젝트 계획, 비즈니스 분석 및 IT 시스템(하드웨어 및 애플리케이션) 분야에서 경험이 풍부했습니다. 이들의 업무에는 웹뷰의 내부 시스템 및 프로세스에 따른 감사 계획 수립이 포함되었습니다. 반면, 최근 교육을 마친 샘과 티나는 감사 역량을 개발하는 동시에 일상적인 업무를 담당했습니다. 감사팀은 관련 직원과의 인터뷰를 통해 ISO/IEC 27001 부록 A의 8.24 통제 항목(암호화 사용) 준수 여부를 검증하는 과정에서 암호화 키가 처음에 난수 생성기(RBG) 및 기타 모범 사례를 기반으로 생성되었음을 확인했습니다. 웹뷰의 암호화 정책을 확인한 결과, 인터뷰에서 얻은 정보가 사실임을 확인했습니다. 그러나 정책에 암호화 키의 사용 및 수명에 대한 내용이 명시되어 있지 않아 암호화 키가 여전히 사용되고 있는 것으로 나타났습니다.
웹뷰와 인증기관 간의 추후 합의에 따라, 심사팀은 인증 범위 및 심사 목표에 맞춰 웹뷰가 ISO/IEC 27001의 8.11항(데이터 마스킹)을 준수하는지 여부를 검증하는 데 중점을 둔 가상 심사를 진행하기로 결정했습니다. 심사팀은 클라우드 웹뷰 내 데이터 보호 관련 프로세스를 검토하고, 회사가 정책 및 규제 표준을 얼마나 잘 준수하는지에 초점을 맞췄습니다. 이 과정에서 심사팀 리더인 키스는 관련 문서와 암호화 키 관리 절차의 스크린샷을 찍어 웹뷰의 데이터 보호 관행의 효과성을 문서화하고 분석했습니다.
Webvue는 테스트 목적으로 생성된 테스트 데이터를 사용합니다. 그러나 QA 부서 관리자와의 인터뷰 및 해당 부서에서 사용하는 절차를 통해 확인된 바와 같이, 경우에 따라 실제 시스템 데이터가 사용되기도 합니다. 이러한 시나리오에서는 더 정확한 결과를 얻을 수 있지만 대량의 데이터가 생성됩니다. 테스트 데이터는 Webvue 직원이 감사 과정에서 수행한 암호화 프로세스 시뮬레이션을 통해 검증된 바와 같이 보호 및 관리됩니다. QA 부서 관리자와의 인터뷰 중 Keith는 보안 교육 부서 직원들이 감사 범위에는 포함되지 않았지만 적절한 절차를 준수하지 않고 있음을 발견했습니다. 감사 범위에서 제외되었음에도 불구하고 보안 교육 부서의 규정 미준수는 감사 범위 내 프로세스, 특히 CloudWebvue의 데이터 보안 및 암호화 관행에 잠재적인 영향을 미칠 수 있습니다. 따라서 Keith는 이 발견 사항을 감사 보고서에 반영하고 피감사자에게 알렸습니다.
위 시나리오를 바탕으로 다음 질문에 답하시오.
질문:
Webvue 담당자는 테스트 데이터 보호 관리 준수 여부를 확인하기 위해 암호화 과정을 시뮬레이션했습니다. 이는 허용 가능한 수준입니까?
正確答案: A
說明:(僅 VCESoft 成員可見)
問題3
감사원은 IT 부서 직원 15명 중 2명이 적절한 정보 보안 교육을 받지 못했다는 사실을 발견했습니다. 이는 무엇을 의미합니까?
正確答案: A
說明:(僅 VCESoft 成員可見)
問題4
시나리오 1
핀티브(Fintive)는 온라인 결제 및 보안 솔루션 전문 보안 제공업체입니다. 1999년 토마스 핀(Thomas Fin)이 캘리포니아주 산호세에서 설립한 핀티브는 온라인 사업을 운영하는 기업들이 정보 보안을 강화하고, 사기를 방지하며, 개인 식별 정보(PII)와 같은 사용자 정보를 보호할 수 있도록 다양한 서비스를 제공합니다.
Fintive는 이전 사례를 기반으로 의사 결정 및 운영 프로세스를 수행하며, 고객 데이터를 수집하고, 사례별로 분류하고, 분석합니다.
핀티브는 초기에 이러한 복잡한 분석을 수행하기 위해 많은 수의 직원이 필요했습니다.
하지만 기술이 발전함에 따라 회사는 사기 행위를 실시간으로 예방하기 위한 패턴 분석을 수행할 수 있는 최신 도구인 챗봇을 도입할 기회를 포착했습니다. 이 도구는 고객 서비스 개선에도 도움이 될 것입니다.
초기 아이디어는 소프트웨어 개발팀에 전달되었고, 팀은 이 계획을 지지하며 프로젝트에 배정되었습니다. 그들은 챗봇을 기존 시스템에 통합하기 시작했고, 모든 채팅 문의의 85%에 답변하는 것을 목표로 설정했습니다.
챗봇을 성공적으로 통합한 후, 회사는 고객에게 서비스를 제공했습니다. 그러나 챗봇은 여러 가지 문제를 보였습니다. 학습 단계에서 쿼리 패턴을 학습해야 하는데, 테스트가 부족하고 샘플 데이터가 충분하지 않아 챗봇이 사용자 문의에 효과적으로 응답하지 못했습니다. 또한, 점이나 특수 문자의 불규칙한 조합과 같은 잘못된 입력이 있을 경우 사용자에게 임의의 파일을 전송하는 문제도 발생했습니다.
결과적으로 챗봇은 고객 문의에 효과적으로 답변하지 못했고, 기존 고객 지원팀에 과부하를 초래하여 고객 요청을 처리하는 데 차질을 빚게 했습니다.
잠재적 위험을 인지한 Fintive는 새로운 통제 조치를 시행하기로 결정했습니다. 이러한 조치에는 포괄적인 감사 로깅 활성화, 비정상적인 활동을 감지하는 자동 경고 시스템 구성, 주기적인 접근 권한 검토 수행, 시스템 동작 모니터링을 통한 이상 징후 감지가 포함되었습니다. 목표는 무단 접근, 오류 또는 의심스러운 활동을 적시에 식별하여 잠재적인 문제를 신속하게 파악하고 조사하여 중대한 피해가 발생하기 전에 예방하는 것이었습니다.
질문
시나리오 1에 따르면, 챗봇 문제로 인해 발생할 수 있는 잠재적 영향은 다음 중 무엇입니까?
핀티브(Fintive)는 온라인 결제 및 보안 솔루션 전문 보안 제공업체입니다. 1999년 토마스 핀(Thomas Fin)이 캘리포니아주 산호세에서 설립한 핀티브는 온라인 사업을 운영하는 기업들이 정보 보안을 강화하고, 사기를 방지하며, 개인 식별 정보(PII)와 같은 사용자 정보를 보호할 수 있도록 다양한 서비스를 제공합니다.
Fintive는 이전 사례를 기반으로 의사 결정 및 운영 프로세스를 수행하며, 고객 데이터를 수집하고, 사례별로 분류하고, 분석합니다.
핀티브는 초기에 이러한 복잡한 분석을 수행하기 위해 많은 수의 직원이 필요했습니다.
하지만 기술이 발전함에 따라 회사는 사기 행위를 실시간으로 예방하기 위한 패턴 분석을 수행할 수 있는 최신 도구인 챗봇을 도입할 기회를 포착했습니다. 이 도구는 고객 서비스 개선에도 도움이 될 것입니다.
초기 아이디어는 소프트웨어 개발팀에 전달되었고, 팀은 이 계획을 지지하며 프로젝트에 배정되었습니다. 그들은 챗봇을 기존 시스템에 통합하기 시작했고, 모든 채팅 문의의 85%에 답변하는 것을 목표로 설정했습니다.
챗봇을 성공적으로 통합한 후, 회사는 고객에게 서비스를 제공했습니다. 그러나 챗봇은 여러 가지 문제를 보였습니다. 학습 단계에서 쿼리 패턴을 학습해야 하는데, 테스트가 부족하고 샘플 데이터가 충분하지 않아 챗봇이 사용자 문의에 효과적으로 응답하지 못했습니다. 또한, 점이나 특수 문자의 불규칙한 조합과 같은 잘못된 입력이 있을 경우 사용자에게 임의의 파일을 전송하는 문제도 발생했습니다.
결과적으로 챗봇은 고객 문의에 효과적으로 답변하지 못했고, 기존 고객 지원팀에 과부하를 초래하여 고객 요청을 처리하는 데 차질을 빚게 했습니다.
잠재적 위험을 인지한 Fintive는 새로운 통제 조치를 시행하기로 결정했습니다. 이러한 조치에는 포괄적인 감사 로깅 활성화, 비정상적인 활동을 감지하는 자동 경고 시스템 구성, 주기적인 접근 권한 검토 수행, 시스템 동작 모니터링을 통한 이상 징후 감지가 포함되었습니다. 목표는 무단 접근, 오류 또는 의심스러운 활동을 적시에 식별하여 잠재적인 문제를 신속하게 파악하고 조사하여 중대한 피해가 발생하기 전에 예방하는 것이었습니다.
질문
시나리오 1에 따르면, 챗봇 문제로 인해 발생할 수 있는 잠재적 영향은 다음 중 무엇입니까?
正確答案: B
說明:(僅 VCESoft 成員可見)
問題5
귀하는 의료 서비스를 제공하는 주거형 요양원에서 ISMS 초기 인증 감사를 수행하고 있습니다. 감사 계획의 다음 단계는 마감 회의를 실시하는 것입니다. 최종 감사팀 회의에서 감사팀 리더로서 귀하는 아래와 같이 사소한 불일치 2개와 개선 기회 1개를 보고하는 데 동의합니다.
마감 회의에서 감사 대상자에게 조언할 감사 프로그램 관리자에 대한 권장 사항 중 하나를 선택하세요.
마감 회의에서 감사 대상자에게 조언할 감사 프로그램 관리자에 대한 권장 사항 중 하나를 선택하세요.
正確答案: C
說明:(僅 VCESoft 成員可見)
問題6
시나리오 2: Knight는 미국 북부 캘리포니아의 전자 회사로 비디오 게임 콘솔을 개발합니다. Knight는 전 세계적으로 300명 이상의 직원을 보유하고 있습니다. 설립 5주년을 맞아 전 세계 시장을 겨냥한 차세대 비디오 게임 콘솔인 G-Console을 출시하기로 결정했습니다. G-Console은 플레이어에게 최고의 게임 경험을 선사할 2021년 최고의 미디어 머신으로 여겨집니다.
콘솔 팩에는 VR 헤드셋 한 쌍, 2개가 포함됩니다.
게임 및 기타 선물.
수년에 걸쳐 이 회사는 고객에 대한 성실함, 정직함, 존중심을 보임으로써 좋은 평판을 쌓았습니다. 이 좋은 평판은 대부분의 열정적인 게이머가 Knight's G-콘솔이 시장에 출시되자마자 그것을 갖고 싶어하는 이유 중 하나입니다.
Knight는 고객 중심적인 회사일 뿐만 아니라
개발 중인 품질로 인해 게임 업계에서도 널리 알려졌습니다. 가격은 합리적인 기준이 허용하는 것보다 약간 높습니다.
그럼에도 불구하고 Knight의 충성스러운 고객 대부분에게는 이는 문제가 되지 않습니다. Knight의 품질이 최고 수준이기 때문입니다.
세계 최고의 비디오 게임 콘솔 개발사 중 하나인 Knight는 종종 악의적인 활동의 주목을 받습니다. 이 회사는 1년 이상 운영 ISMS를 보유하고 있습니다. ISMS 범위에는 재무 및 HR 부서를 제외한 Knight의 모든 부서가 포함됩니다.
최근, Knight의 독점 정보가 담긴 여러 파일이 해커에 의해 유출되었습니다. Knight의 사고 대응팀(IRT)은 즉시 시스템의 모든 부분과 사고의 세부 사항을 분석하기 시작했습니다.
IRT의 첫 번째 의심은 Knight의 직원들이 취약한 비밀번호를 사용했고 결과적으로 해커가 계정에 무단으로 접근하여 쉽게 해독되었다는 것이었습니다. 그러나 IRT는 사건을 신중하게 조사한 후 해커가 파일 전송 프로토콜(FTP) 트래픽을 캡처하여 계정에 접근했다는 것을 확인했습니다.
FTP는 계정 간에 파일을 전송하기 위한 네트워크 프로토콜입니다. 인증을 위해 일반 텍스트 비밀번호를 사용합니다.
이 정보 보안 사고의 영향을 파악하고 IRT의 제안에 따라 Knight는 FTP를 Secure Shell(SSH) 프로토콜로 대체하여 트래픽을 캡처하는 모든 사람이 암호화된 데이터만 볼 수 있도록 결정했습니다.
이러한 변화에 따라 Knight는 통제의 구현이 유사한 사고의 위험을 최소화했는지 확인하기 위해 위험 평가를 실시했습니다. 프로세스의 결과는 ISMS 프로젝트 관리자가 승인했으며, 그는 새로운 통제를 구현한 후의 위험 수준이 회사의 위험 수용 수준에 부합한다고 주장했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 2에 따라 Knight는 FTP를 Secure Shell(SSH) 프로토콜로 대체하기로 결정했습니다. 이 경우 적용성 설명서(SoA)를 업데이트해야 합니까?
콘솔 팩에는 VR 헤드셋 한 쌍, 2개가 포함됩니다.
게임 및 기타 선물.
수년에 걸쳐 이 회사는 고객에 대한 성실함, 정직함, 존중심을 보임으로써 좋은 평판을 쌓았습니다. 이 좋은 평판은 대부분의 열정적인 게이머가 Knight's G-콘솔이 시장에 출시되자마자 그것을 갖고 싶어하는 이유 중 하나입니다.
Knight는 고객 중심적인 회사일 뿐만 아니라
개발 중인 품질로 인해 게임 업계에서도 널리 알려졌습니다. 가격은 합리적인 기준이 허용하는 것보다 약간 높습니다.
그럼에도 불구하고 Knight의 충성스러운 고객 대부분에게는 이는 문제가 되지 않습니다. Knight의 품질이 최고 수준이기 때문입니다.
세계 최고의 비디오 게임 콘솔 개발사 중 하나인 Knight는 종종 악의적인 활동의 주목을 받습니다. 이 회사는 1년 이상 운영 ISMS를 보유하고 있습니다. ISMS 범위에는 재무 및 HR 부서를 제외한 Knight의 모든 부서가 포함됩니다.
최근, Knight의 독점 정보가 담긴 여러 파일이 해커에 의해 유출되었습니다. Knight의 사고 대응팀(IRT)은 즉시 시스템의 모든 부분과 사고의 세부 사항을 분석하기 시작했습니다.
IRT의 첫 번째 의심은 Knight의 직원들이 취약한 비밀번호를 사용했고 결과적으로 해커가 계정에 무단으로 접근하여 쉽게 해독되었다는 것이었습니다. 그러나 IRT는 사건을 신중하게 조사한 후 해커가 파일 전송 프로토콜(FTP) 트래픽을 캡처하여 계정에 접근했다는 것을 확인했습니다.
FTP는 계정 간에 파일을 전송하기 위한 네트워크 프로토콜입니다. 인증을 위해 일반 텍스트 비밀번호를 사용합니다.
이 정보 보안 사고의 영향을 파악하고 IRT의 제안에 따라 Knight는 FTP를 Secure Shell(SSH) 프로토콜로 대체하여 트래픽을 캡처하는 모든 사람이 암호화된 데이터만 볼 수 있도록 결정했습니다.
이러한 변화에 따라 Knight는 통제의 구현이 유사한 사고의 위험을 최소화했는지 확인하기 위해 위험 평가를 실시했습니다. 프로세스의 결과는 ISMS 프로젝트 관리자가 승인했으며, 그는 새로운 통제를 구현한 후의 위험 수준이 회사의 위험 수용 수준에 부합한다고 주장했습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
시나리오 2에 따라 Knight는 FTP를 Secure Shell(SSH) 프로토콜로 대체하기로 결정했습니다. 이 경우 적용성 설명서(SoA)를 업데이트해야 합니까?
正確答案: B
說明:(僅 VCESoft 成員可見)
問題7
질문:
인증기관의 자회사인 Finnco는 한 조직에 ISMS 컨설팅 서비스를 제공했습니다.
이러한 시나리오를 고려할 때, 인증 기관은 언제 해당 조직을 인증할 수 있습니까?
인증기관의 자회사인 Finnco는 한 조직에 ISMS 컨설팅 서비스를 제공했습니다.
이러한 시나리오를 고려할 때, 인증 기관은 언제 해당 조직을 인증할 수 있습니까?
正確答案: C
說明:(僅 VCESoft 成員可見)
問題8
ISO/IEC 27001 부속서 A의 제어 8.15 로깅에 대한 적합성을 확인하기 위해 감사팀은 서버 로그 샘플을 검증하여 편집 또는 삭제할 수 있는지 확인했습니다. 어떤 감사 절차를 사용했습니까?
正確答案: B
說明:(僅 VCESoft 成員可見)
