PECB - 최신 교육 덤프

질문 68
지역 병원과 관공서 등 대규모 조직에 배송 서비스를 제공하는 국제 물류 조직의 발송 부서에서 ISMS 감사를 수행하고 있습니다. 소포에는 일반적으로 의약품, 생물학적 샘플, 여권 및 운전면허증과 같은 문서가 포함됩니다. 회사 기록에 따르면 잘못된 주소의 라벨을 포함한 원인으로 반송된 물품이 매우 많으며, 151건의 경우 하나의 소포에 대해 서로 다른 주소의 라벨이 두 개 이상 부착되어 있는 것을 확인했습니다. 배송 관리자(SM)를 인터뷰하고 있습니다.
You: 배송 전에 물품이 확인되나요?
SM: 명백하게 파손된 물품은 배송 전에 담당 직원이 제거하지만, 이윤이 적기 때문에 공식적인 확인 절차를 시행하는 것은 비경제적입니다.
You: 상품이 반품되면 어떤 조치가 취해지나요?
SM: 이러한 계약의 대부분은 상대적으로 가치가 낮기 때문에 조사를 실시하는 것보다 단순히 라벨을 다시 인쇄하고 개별 소포를 다시 보내는 것이 더 쉽고 편리하다고 판단했습니다.
부적합 사항을 제기합니다. 시나리오를 참조하여, 후속 심사를 수행할 때 피심사자가 다음 부록 A 통제 중 어떤 세 가지를 이행했을 것으로 예상하십니까?

5.11 자산 반환

5.13 정보 라벨링

5.3 업무 분리

5.32 지적 재산권

5.34 개인정보 및 개인 식별 정보(PII) 보호

5.6 특별 이익 단체와의 접촉

6.3 정보 보안 인식, 교육 및 훈련

6.4 징계 절차

설명
후속 감사를 수행할 때 피감사자가 이행했을 것으로 예상되는 세 가지 부록 A 통제는 다음과 같습니다:
* B. 5.13 정보 표시
* 5.34 개인정보 및 개인식별정보(PII) 보호
* G. 6.3 정보 보안 인식, 교육 및 훈련
* B. 이 통제는 조직이 정보 분류 체계에 따라 정보 자산에 라벨을 붙이고 그에 따라 처리할 것을 요구합니다12. 이 통제는 정보 자산의 기밀성, 무결성 및 가용성을 손상시킬 수 있는 잘못된 라벨 부착 및 잘못된 목적지로 소포를 발송하는 것을 방지하는 데 도움이 될 수 있으므로 피감기관에게 관련성이 있습니다. 또한 감사 대상자는 정보 자산에 정확한 라벨을 부착함으로써 정보 자산이 의도한 수신자에게 전달되고 무단 액세스, 사용 또는 공개로부터 보호될 수 있도록 할 수 있습니다.
* E. 이 통제는 기관이 개인 식별 정보(PII)를 처리하는 개인의 개인정보와 권리를 보호하고 해당 법률 및 계약 의무를 준수할 것을 요구합니다13. 이러한 통제는 공급업체가 거주자와 그 가족의 개인정보와 권리를 침해하고 감사 대상 기관을 법적 및 평판 위험에 노출시킬 수 있는 거주자의 개인 데이터를 무단으로 사용하는 것을 방지하는 데 도움이 될 수 있으므로 감사 대상 기관과 관련이 있습니다. 또한 감사 대상자는 거주자와 그 가족의 PII를 보호함으로써 신뢰와 만족도를 높이고 불만과 분쟁을 피할 수 있습니다.
* G. 이 통제는 조직이 모든 직원과 계약자가 정보 보안 정책, 자신의 역할과 책임, 관련 정보 보안 절차 및 통제14를 인지하도록 요구합니다. 이 통제는 직원의 정보 보안 문화와 행동을 개선하고 정보 보안 사고로 이어질 수 있는 인적 오류와 과실을 줄이는 데 도움이 될 수 있으므로 피감사기관에게 중요합니다. 또한 감사 대상자는 직원에게 정보 보안 인식, 교육 및 훈련을 제공함으로써 직원의 역량과 성과를 높이고 정보 보안 프로세스 및 제어의 효과와 효율성을 보장할 수 있습니다.
참조:
1: ISO/EC 27001:2022 - 정보 기술 - 보안 기술 - 정보 보안 관리 시스템 - 요구 사항, 부록 A 2: ISO/EC 27002:2022 - 정보 기술 - 보안 기술
- 정보 보안 통제에 대한 실천 강령, 8.2.1항 3: ISO/IEC 27002:2022 - 정보 기술 - 보안 기술 - 정보 보안 통제에 대한 실천 강령, 18.1.4항 4:
ISO/IEC 27002:2022 - 정보 기술 - 보안 기술 - 정보 보안 통제에 대한 실행 강령, 7.2.2항

질문 69
정보 보안 관리 시스템은 어떤 순서로 설정되나요?

구현, 운영, 개선, 유지보수

구현, 운영, 유지보수, 구축

구축, 운영, 모니터링, 개선

구축, 구현, 운영, 유지보수

질문 70
조직에 대한 예정된 정보 보안 감사를 막 마쳤을 때 IT 관리자가 다가와 회사의 위험 관리 프로세스 개정에 대한 도움을 요청합니다.
다른 관리자들이 더 쉽게 이해할 수 있도록 현재 문서를 업데이트하려고 시도하고 있지만 몇 가지 주요 용어를 혼동하고 있는 것이 분명합니다.
각 설명을 적절한 위험 용어와 일치시키도록 요청합니다. 정답은 무엇일까요?

질문 71
직원이 메시지를 보낸 사실을 부인할 때 정보의 어떤 신뢰성 측면이 손상되나요?

기밀 유지

무결성

가용성

정확성

질문 72
정보 자산의 허용 가능한 사용에서 모범 사례는 무엇인가요?

정보통신 시스템에 대한 액세스는 업무 목적으로만 제공됩니다.

직원의 호스트가 아닌 다른 사용자의 서비스를 방해하거나 거부하는 행위

근무 시간 중 컴퓨터 게임 플레이

무선 또는 Wi-Fi 전송을 포함한 전화 또는 네트워크 전송 액세스

설명
정보 자산의 허용 가능한 사용에 대한 모범 사례는 A: 정보 및 통신 시스템에 대한 액세스는 업무 목적으로만 제공됩니다. 즉, 조직은 합법적이고 승인된 비즈니스 활동을 위해 정보통신 시스템을 사용해야 하는 승인된 사용자에게만 정보통신 시스템에 대한 액세스 권한을 부여합니다. 조직은 정보 보안을 손상시키거나 정책 또는 법률을 위반하거나 조직 또는 이해관계자에게 손해나 피해를 입힐 수 있는 정보 통신 시스템의 무단, 부적절 또는 개인적인 사용을 허용하거나 용인하지 않습니다. 다른 옵션은 정보 보안 정책 및 절차는 물론 윤리적 또는 법적 기준을 위반할 수 있으므로 정보 자산의 허용 가능한 사용에 있어 모범 사례가 아닙니다. 직원의 호스트(B) 이외의 다른 사용자에 대한 서비스를 방해하거나 거부하는 행위는 다른 사용자 또는 조직의 정보 시스템 또는 서비스의 가용성 또는 성능을 방해할 수 있는 악의적인 행위입니다. 근무 시간 중 컴퓨터 게임을 하는 것은 직원의 업무 집중을 방해하고 리소스와 대역폭을 낭비하거나 시스템을 멀웨어 또는 기타 위험에 노출시킬 수 있는 개인적이고 비전문적인 정보 통신 시스템 사용입니다. 무선 또는 와이파이 전송을 포함한 전화 또는 네트워크 전송에 액세스하는 행위(D)는 다른 사용자 또는 조직이 전송하는 정보를 동의나 승인 없이 가로채거나 모니터링 또는 수정할 수 있는 기밀 또는 개인정보 침해의 가능성이 있는 행위입니다. ISO/IEC 27001:2022는 조직이 자산의 허용 가능한 사용에 대한 규칙을 구현하도록 요구합니다(A.8.1.3항 참조). 참조: CQI 및 IRCA 인증 ISO/IEC 27001:2022 선임 심사원 교육 과정, ISO/IEC 27001:2022 정보 기술
- 보안 기술 - 정보 보안 관리 시스템 - 요구 사항, 허용되는 사용이란 무엇인가요?

질문 73
주중이나 주말에 노트북을 잠긴 쓰레기통에 맡길 수 있습니다.

True

False

질문 74
귀하는 온라인 보험 회사에 대한 제3자 감사를 수행하는 감사 팀 리더입니다. 1단계에서 귀하는 이 조직이 매우 신중한 위험 접근 방식을 취하고 ISO/IEC 27001:2022 부록 A의 모든 정보 보안 통제 사항을 적용 사례에 포함했음을 확인했습니다.
2단계 감사 중에 감사팀은 세 가지 통제(5.3 업무 분리, 6.1 선별, 7.12 케이블 보안)를 이행하기 위한 위험 처리 계획의 증거가 없음을 발견했습니다. ISO 27001:2022의 6.1.3.e항에 대한 부적합을 제기합니다.
종결 회의에서 기술 책임자는 수정된 적용 가능성 진술서(그림과 같이)를 발췌하여 부적합을 철회할 것을 요청합니다.

기술 디렉터의 요청에 대한 감사 팀장의 올바른 답변 중 세 가지 옵션을 선택하세요.

감사인이 시간이 더 생기면 제공된 정보를 검토할 것이라고 경영진에게 알립니다.

기술 이사에게 감사 보고서에 해당 요청이 포함될 것이라고 알려주세요.

기술 책임자에게 부적합이 제기된 후에는 철회할 수 없음을 알려주세요.

기술 책임자에게 부적합에 대한 증거가 명확하므로 부적합이 유지되어야 한다고 조언하세요.

문제를 제기한 감사자에게 요청에 어떻게 대응해야 하는지 의견을 물어보세요.

기술 디렉터에게 부적합 사항이 개선 기회로 변경될 것임을 알립니다.

생성된 문서를 검토하고 부적합을 철회하세요.

업데이트된 적용가능성 설명서의 증거를 검토하기 위해 후속 감사가 필요하다는 점을 명시합니다.

기술 디렉터의 요청에 대한 감사 팀장의 올바른 답변의 세 가지 옵션은 다음과 같습니다:
* B. 기술 이사에게 감사 보고서에 요청 사항이 포함될 것임을 알립니다.
* D. 기술 책임자에게 부적합에 대한 증거가 명확하므로 부적합이 유지되어야 한다고 조언합니다.
* H. 업데이트된 적용 가능성 진술서에 대한 증거를 검토하기 위해 후속 감사가 필요하다는 점을 명시합니다.
* B. 감사 팀장은 기술팀의 요청을 문서화해야 하므로 이 답변은 정답입니다.
* 감독하고 감사 결과 및 결론과 함께 감사 보고서에 포함시킵니다12. 이를 통해 감사 과정과 감사 결과의 투명성과 추적성을 보장할 수 있습니다.
* D. 감사 팀장은 수정된 적용 가능성 선언문만을 근거로 부적합을 철회해서는 안 되므로 이 답변은 옳습니다. 이 부적합은 조직이 선택한 통제와 그 이행 상태를 포함하여 정보 보안 위험을 처리하는 방법을 정의하는 위험 처리 계획을 생성하고 유지해야 하는 ISO 27001:2022의 6.1.3.e항에 대해 제기되었습니다34. 적용 가능성 진술서는 위험 처리 계획의 한 부분일 뿐이며, 통제가 효과적으로 구현되었다는 충분한 증거를 제공하지는 않습니다. 감사 팀장은 감사 대상자의 주관적인 주장이 아니라 감사 중에 얻은 객관적인 증거를 바탕으로 부적합을 판단해야 합니다12.
* H. 감사 팀장은 업데이트된 적용 가능성 진술서에 대한 증거를 검토하기 위해 후속 감사가 필요하다고 명시해야 하므로 이 답변은 정답입니다. 후속 감사는 이전 감사 후 이전 감사 결과 합의된 시정 조치 및/또는 개선 기회에 대한 이행 및 효과를 확인하기 위해 실시하는 감사입니다56. 후속 감사에서는 부적합 사항이 효과적으로 해결되었는지, ISMS가 규정을 준수하고 효과적인지 확인해야 합니다. 또한 후속 감사에서는 ISMS에 영향을 미칠 수 있는 신규 또는 변경된 위험이나 요구사항56도 고려해야 합니다.
참조:
1: PECB 후보 핸드북 - ISO 27001 선임 심사원, 25페이지 2: ISO 19011:2018 - 경영 시스템 감사 지침, 6.7절 3: ISO/IEC 27001:2022 - 정보 기술 - 보안 기술 - 정보 보안 경영 시스템 - 요구 사항, 6.1.3.e절 4: ISO/IEC
27005:2022 - 정보 기술 - 보안 기술 - 정보 보안 위험 관리, 조항
8.3.2 5: PECB 후보 핸드북 - ISO 27001 선임 심사원, 25페이지 6: ISO 19011:2018 - 경영 시스템 감사 지침, 6.7항

질문 75
폐기하고 싶은 고객 디자인 문서의 하드 카피가 있습니다. 어떻게 하시겠습니까?

아무 쓰레기통에나 버리기

분쇄기를 사용하여 파쇄

다른 용도로 재사용할 수 있도록 사무실 직원에게 전달하세요.

환경 친화적이고 글쓰기에 재사용

질문 76
귀하는 인증 기관에서 데이터 센터 고객에 대한 후속 심사를 수행하도록 지정한 ISMS 감사 팀 리더입니다.
ISO 19011:2018에 따르면 후속 감사의 목적은 다음 중 어느 것을 확인하는 것입니까?

관리 시스템의 효율성

ISMS 목표 구현

위험 치료 계획 실행

시정 조치의 완료 및 효과

질문 77
다음 중 1단계 타사 감사의 주요 목적을 가장 잘 설명하는 옵션은 무엇인가요?

감사 팀을 고객에게 소개하려면 다음과 같이 하세요.

조직의 조달에 대해 자세히 알아보기

2단계 감사에 대한 적색도를 확인하려면 다음과 같이 하세요.

조직의 법적 준수 여부를 확인하려면 다음과 같이 하세요.

독립 감사 보고서를 준비하려면

조직의 고객을 파악하기 위해

질문 78
귀하는 교육 중인 심사원에게 교육을 제공하는 숙련된 ISMS 감사 팀 리더입니다. 심사원이 위험 프로세스에 대한 이해가 불분명하여 아래에 설명된 각 프로세스의 예를 제시해 달라고 요청합니다.
제공된 각 설명을 다음 위험 관리 프로세스 중 하나와 일치시키세요.
표를 완성하려면 완성하려는 빈 섹션을 빨간색으로 강조 표시되도록 클릭한 다음 아래 옵션에서 해당 텍스트를 클릭합니다. 또는 각 옵션을 해당 빈 섹션으로 끌어다 놓을 수도 있습니다.

설명:

* 위험 분석은 위험의 성격과 그 확률 및 영향을 결정하는 프로세스입니다. 위험 분석에는 조직의 정보 보안 목표 또는 요구 사항에 영향을 미칠 수 있는 잠재적 사건 또는 상황의 발생 가능성과 결과를 추정하는 작업이 포함됩니다12. 위험 분석은 정성적 또는 정량적 방법을 사용하거나 두 가지 방법을 조합하여 수행할 수 있습니다12.
* 위험 관리는 조직의 정책, 절차 및 관행을 적용하여 위험의 수명 주기의 모든 단계에서 위험을 통제하는 프로세스입니다. 위험 관리에는 조직의 정보 보안 성과 또는 규정 준수에 영향을 미칠 수 있는 위험의 상황 설정, 식별, 분석, 평가, 처리, 모니터링 및 검토가 포함됩니다12. 위험 관리는 적시에 효과적인 방식으로 위험을 식별하고 처리하며 개선 기회를 활용하는 것을 목표로 합니다12.
* 위험 식별은 위험을 인식하고 설명하는 프로세스입니다. 위험 식별에는 조직의 정보 보안 목표 또는 요구 사항에 영향을 미칠 수 있는 위험의 출처, 원인, 이벤트, 시나리오 및 잠재적 영향을 식별하고 문서화하는 작업이 포함됩니다12. 위험 식별에는 브레인스토밍, 인터뷰, 체크리스트, 설문조사 또는 과거 데이터와 같은 다양한 기법이 사용될 수 있습니다12.
* 위험 평가는 위험의 영향 및/또는 확률을 위험 기준과 비교하여 허용 가능한지 여부를 판단하는 프로세스입니다. 위험 평가에는 위험 분석 결과를 조직의 위험 성향, 허용 범위 또는 수용도를 반영하는 사전 정의된 기준과 비교하는 작업이 포함됩니다12. 위험 평가는 순위, 점수, 매트릭스 등 다양한 방법을 사용할 수 있습니다12. 위험 평가는 적절한 위험 처리 옵션의 우선순위를 정하고 결정하는 데 도움이 됩니다12.
* 위험 완화는 통제 적용을 통해 위험의 영향 및/또는 가능성을 줄이는 프로세스입니다. 위험 완화에는 조직의 정보 보안 목표 또는 요구사항에 영향을 미칠 수 있는 위험을 예방, 감소, 이전 또는 수용하도록 설계된 조치를 선택하고 구현하는 것이 포함됩니다12. 위험 완화에는 기술적, 조직적, 법적, 물리적 등 다양한 유형의 통제가 포함될 수 있습니다12. 위험 완화는 비용 편익 분석과 잔여 위험 평가를 기반으로 해야 합니다12.
* 위험 이전이란 적절한 보험 가입 등을 통해 제3자에게 위험을 이전하는 과정을 말합니다. 위험 이전은 위험에 대한 책임 또는 의무의 일부 또는 전부를 위험 관리 능력이나 능력이 더 많은 다른 당사자에게 공유하거나 이전하는 것을 포함합니다12. 위험 이전에는 계약, 계약, 파트너십, 아웃소싱, 보험 등 다양한 방법이 포함될 수 있습니다12. 위험 이전은 조직 내 효과적인 위험 관리의 대체 수단으로 사용되어서는 안 됩니다12.
참조 :=
* ISO/IEC 27001:2022 정보 기술 - 보안 기술 - 정보 보안 관리 시스템 - 요구 사항
* ISO/IEC 27005:2022 정보 기술 - 보안 기술 - 정보 보안 위험 관리

질문 79
워크스테이션에 MP3 파일을 일시적으로 저장하다가 적발된 직원은 IR을 받지 못합니다.

True

False

질문 80
타사 감사에 참여하는 각 참여자에게 정확한 책임을 부여하세요:

설명

타사 감사에 참여하는 각 참여자에게 정확한 책임이 있습니다:
* 감사 보고서를 작성합니다: 감사 팀장. 감사 팀장은 감사 활동을 조율하고 피감사자 및 고객과 소통하며 감사 결과 및 결론을 요약한 감사 보고서를 작성하여 전달하는 역할을 담당합니다1.
* 감사 중에 사용할 감사 체크리스트를 준비합니다: 감사자. 감사인은 감사 체크리스트를 도구로 사용하여 감사 프로세스를 안내하고 감사 기준의 모든 관련 측면을 다룰 수 있도록 감사 중에 객관적인 증거를 수집하고 검증할 책임이 있습니다1.
* 심사원을 지원하고 심사원의 경험에 대한 피드백을 제공합니다: 교육 중인 심사원. 수습 심사원은 숙련된 심사원의 감독 하에 감사 수행 방법을 배우고 있는 사람입니다. 수습 심사원은 심사원의 감사 활동을 관찰하고 참여하여 심사원을 지원하고, 심사원의 기술과 역량 향상을 위해 경험에 대한 피드백을 제공합니다1.
* 합의된 기간 내에 감사 결과에 대한 후속 조치를 취합니다: 피감사자. 피감기관은 고객 또는 고객을 대신하여 제3자가 감사를 받는 조직입니다. 피감사자는 감사인에게 접근 및 협조를 제공하고, 합의된 기간 내에 필요에 따라 시정 조치 또는 개선 조치를 이행하여 감사 결과에 대한 후속 조치를 취할 책임이 있습니다1.
* 감사에 대한 독립적인 계정을 제공하지만 감사에는 참여하지 않습니다: 참관인. 참관인은 감사 팀과 동행하지만 감사 활동에는 참여하지 않는 사람입니다. 참관인은 고객, 규제 기관 또는 기타 이해관계자의 대리인일 수 있습니다. 참관인은 감사에 대한 독립적인 설명을 제공하지만 감사 프로세스나 결과에 간섭하거나 영향을 미치지 않습니다1.
* 감사자를 에스코트하지만 감사에는 참여하지 않습니다: 가이드. 가이드는 피감사자가 감사 중에 감사팀을 보조하기 위해 지정한 사람입니다. 가이드는 감사인을 다른 장소로 안내하거나, 정보 및 인력에 대한 접근을 용이하게 하거나, 감사인의 요청에 따라 설명 또는 해명을 제공할 수 있습니다. 가이드는 감사에 참여하거나 감사 결과에 영향을 미치지 않습니다1.

질문 81
의료 서비스를 제공하는 거주형 요양원(ABC)에서 ISMS 감사를 수행 중입니다. 감사 계획의 다음 단계는 ABC의 의료 모바일 앱 개발, 지원 및 수명 주기 프로세스의 정보 보안을 검증하는 것입니다. 감사 중에 조직이 모바일 앱 개발을 CMMI 레벨 5, ITSM(ISO/IEC
20000-1), BCMS(ISO 22301) 및 ISMS(ISO/IEC 27001) 인증을 받았습니다.
IT 관리자는 소프트웨어 보안 관리 절차를 제시하며 다음과 같이 프로세스를 요약했습니다:
모바일 앱 개발은 최소한 "설계에 의한 보안" 및 "기본값에 의한 보안" 원칙을 채택해야 합니다. 개인 데이터 보호를 위해 다음과 같은 보안 기능을 사용할 수 있어야 합니다:
액세스 제어.
개인 데이터 암호화(예: 고급 암호화 표준(AES) 알고리즘, 키 길이: 256비트) 및 개인 데이터 가명화.
취약점 확인 및 보안 백도어 없음
최신 모바일 앱 테스트 보고서의 세부 내용은 다음과 같습니다:

IT 관리자에게 개인 데이터 암호화 및 가명화 테스트가 실패했는데도 조직이 여전히 모바일 앱을 사용하는 이유를 문의합니다. 또한 서비스 관리자가 테스트를 승인할 권한이 있는지 여부도 물어보세요.
IT 관리자는 소프트웨어 보안 관리 절차에 따라 테스트 결과를 승인해야 한다고 설명합니다.
암호화 및 가명화 기능이 실패한 이유는 이러한 기능으로 인해 시스템 및 서비스 성능이 크게 느려졌기 때문입니다. 이를 해결하기 위해 150%의 리소스가 추가로 필요했습니다. 서비스 관리자는 액세스 제어가 충분하고 수용 가능하다는 데 동의했습니다. 그래서 서비스 관리자가 승인에 서명했습니다.
감사 결과를 준비 중입니다. 올바른 옵션을 선택합니다.

부적합(NC)이 없습니다. 서비스 관리자가 서비스를 계속하기로 결정합니다.
(8.1항, 규정 A.8.30 관련)

부적합(NC)이 있습니다. 조직과 개발자가 승인 테스트를 수행하지 않습니다.
(8.1항, 규정 A.8.29 관련)

부적합(NC)이 있습니다. 조직과 개발자가 보안 테스트를 수행했지만 실패한 경우입니다.
(8.1항, 규정 A.8.29 관련)

부적합(NC)이 있습니다. 서비스 관리자가 소프트웨어 보안 관리 절차를 준수하지 않습니다. (8.1절, 통제 A.8.30 관련)

질문 82
귀하는 제3자 감사 후 마무리 회의를 주재할 준비를 하는 ISMS 감사 팀 리더입니다. 감사 대상자와 논의할 주제를 명시한 마무리 회의 의제 초안을 작성하고 있습니다.
다음 중 어느 것이 포함하기에 적절할까요?

인증 기관의 불만 처리 절차에 대한 자세한 설명

감사 계획 및 감사 목적에 대한 설명

감사 결과는 증거 샘플링을 기반으로 한다는 면책 조항

부적합과 관련된 감사 대상자 이름

이 옵션은 ISMS12를 포함한 관리 시스템 감사에 대한 지침을 제공하는 ISO 19011 표준의 요구 사항이므로 종결 회의 안건에 포함하기에 적절합니다. 이 표준에 따르면 감사 팀장은 감사 범위, 접근 또는 샘플링의 제한과 같이 감사 결론에 대한 신뢰도를 떨어뜨릴 수 있는 상황이 발생하면 피감사자에게 알려야 한다고 명시되어 있습니다3. 또한 이 표준은 감사 보고서에는 감사가 감사 시점에 입수 가능한 정보의 표본을 기반으로 하며, 감사가 감사 대상 경영 시스템의 적합성 또는 효과성에 대한 절대적인 보증을 제공하지 않는다는 진술이 포함되어야 한다고 명시하고 있습니다4. 따라서 감사 팀장은 피감사자에게 감사의 성격과 한계를 알리고 오해나 잘못된 기대를 피하기 위해 면책 조항을 종결 회의 안건에 포함시켜야 합니다. 다른 옵션은 관련성이 없거나 부정확하거나 불완전하므로 종결 회의 안건에 포함하기에 적절하지 않습니다.
예를 들어
*인증기관의 불만 처리 절차에 대한 자세한 설명은 감사 결과 또는 결론과 관련이 없으므로 종결 회의 안건과 관련이 없습니다. 인증기관의 불만 처리 절차는 감사 계약 또는 계약의 일부로 감사 전에 피심사자에게 전달되어야 합니다5.
*감사 계획 및 감사 목적에 대한 설명은 개회 회의 또는 감사 전에 이루어졌어야 하는 것으로 폐회 회의 안건으로 적절하지 않습니다. 감사 계획은 감사의 범위, 목적, 기준, 방법론은 물론 감사 일정, 감사 팀, 감사 장소, 감사 결과물 등을 설명하는 문서입니다. 감사 계획은 피감사자와 사전에 소통하고 합의해야 하며, 감사 중 변경 또는 편차가 있을 경우 이를 통보해야 합니다.
*부적합 사항과 관련된 피감사자의 이름은 부적합 사항의 세부 사항이나 증거를 제공하지 않으므로 종결 회의 안건에 포함되지 않습니다. 감사 팀장은 각 부적합 사항에 대한 설명, 감사 기준 및 감사 증거를 포함한 감사 결과와 감사 결론 및 감사 권고 사항을 제시해야 합니다. 또한 감사 팀장은 개인을 지목하거나 비난하는 것을 피하고 프로세스와 시스템에 초점을 맞춰야 합니다.
참조: = 1: PECB 후보 핸드북 - ISO/IEC 27001 리드 심사원, 222페이지: ISO 19011:2018 경영시스템 심사를 위한 지침, 13항: ISO 19011:2018 경영시스템 심사를 위한 지침, 6.4.94항: ISO 19011:2018 경영시스템 심사를 위한 지침, 7.5.25항: ISO/EC
17021-1:2015 적합성 평가 - 경영 시스템의 심사 및 인증을 제공하는 기관에 대한 요구사항 - 파트 1: 요구사항, 9.8절 : ISO 19011:2018 경영 시스템 심사를 위한 지침, 6.4.1절 : ISO/IEC 27007:2011 정보 기술 - 보안 기술 - 정보 보안 경영 시스템 심사를 위한 지침, 6.2.1절 : ISO 19011:2018 경영 시스템 심사를 위한 지침, 6.4.2절 : ISO 19011:2018 정보 기술 - 보안 기술 - 정보 보안 경영 시스템 심사를 위한 지침, 6.3.3절 : ISO/IEC 27007:2011.

카테고리 PECB

[업데이트 2024] ISO-IEC-27001-리더-심사원 학습 가이드를 글자 그대로 [Q68-Q82] 처음부터 끝까지 읽어보세요.

ISO-9001-리더-감사관 프리미엄 파일 업데이트 7월-2024 연습 유효한 시험 덤프 질문 [Q34-Q51].

시험 덤프 ISO-IEC-27001-Lead-Auditor연습 무료 최신 PECB 모의고사 [Q98-Q120]