CISA Domain02 기출문제 #02

CISA Domain02 기출문제 #02

 

Q01. 특정 위협에 대한 전반적인 비즈니스 위험은 다음과 같이 표현될 수 있습니다.

A. 위협이 취약성을 성공적으로 악용하는 경우 영향의 확률과 규모의 곱
B. 위협 소스가 취약성을 성공적으로 악용할 경우의 영향 규모
C. 주어진 취약성을 악용하는 주어진 위협 소스의 가능성
D. 위해성 평가 차의 집단적 판단

 

정답

답: A
설명:
선택 A는 영향의 가능성과 규모를 고려하고 자산에 대한 위험에 대한 최상의 척도를 제공합니다. 선택 B는 자산의 취약성을 악용하는 위협의 가능성만 제공하지만 자산에 대한 가능한 손상의 규모는 제공하지 않습니다. 유사하게, 선택 C는 취약점을 악용하는 위협의 가능성이 아닌 손상의 규모만 고려합니다. 선택 D는 임의적인 기준으로 위험을 정의하며 과학적 위험 관리 프로세스에 적합하지 않습니다.

 

Q02. 다음 중 규정 준수를 테스트할 때 가장 유용한 샘플링 방법은 무엇입니까?
A. 속성 샘플링
B. 가변 샘플링
C. 단위당 계층화 평균
D. 차이 추정

 

정답

답: A
설명:
속성 샘플링은 적합성 테스트에 사용되는 기본 샘플링 방법입니다. 속성 샘플링은 모집단에서 특정 품질(속성)의 발생률을 추정하는 데 사용되는 샘플링 모델이며 품질이 존재하는지 확인하기 위한 적합성 테스트에 사용됩니다. 다른 선택은 세부 사항 또는 수량의 테스트를 포함하는 실질적인 테스트에 사용됩니다.

 

Q03. 지속적인 감사 접근 방식의 주요 이점은 다음과 같습니다.
A. 처리가 진행되는 동안 IS 감사인이 시스템 신뢰성에 대한 증거를 수집하도록 요구하지 않습니다.
B. IS 감사인이 수집한 모든 정보를 즉시 검토하고 후속 조치를 취하도록 요구합니다.
C. 많은 트랜잭션을 처리하는 시분할 환경에서 사용할 경우 시스템 보안을 향상시킬 수 있다.
D. 조직의 컴퓨터 시스템의 복잡성에 의존하지 않습니다.

 

정답

답: C
설명:
지속적인 감사 기술을 사용하면 많은 수의 트랜잭션을 처리하지만 문서 흔적이 부족한 시분할 환경에서 사용할 때 시스템 보안을 향상시킬 수 있습니다. 지속적인 감사 접근 방식에서는 처리가 진행되는 동안 IS 감사인이 시스템 안정성에 대한 증거를 수집해야 하기 때문에 선택 A는 올바르지 않습니다. IS 감사인은 일반적으로 중요한 결함이나 감지된 오류에 대해서만 검토하고 후속 조치를 취하기 때문에 선택 B는 올바르지 않습니다. 지속적인 감사 기술의 사용은 조직의 컴퓨터 시스템의 복잡성에 따라 달라지므로 선택 D는 올바르지 않습니다.

 

Q04. 논리적 액세스 제어를 평가하는 IS 감사인은 먼저 다음을 수행해야 합니다.
A. 시스템에 대한 잠재적인 액세스 경로에 적용된 제어를 문서화합니다.
B. 액세스 경로에 대한 테스트 제어를 통해 액세스 경로가 작동하는지 확인
C. 문서화된 정책 및 관행과 관련된 보안 환경 평가
D. 정보 처리에 대한 보안 위험에 대한 이해를 얻습니다.

 

정답

답: D

 

Q05. IT 포렌식 감사의 주요 목적은 다음과 같습니다.
A. 기업비리 관련 수사 참여
B. 제도 부정행위 이후의 체계적인 증거 수집
C. 조직의 재무제표의 정확성을 평가하기 위해
D. 범죄 행위가 있었는지 확인하기 위해

 

정답

답: B

Q06. 여러 중요 서버에 대한 IS 감사에서 IS 감사자는 감사 추적을 분석하여 사용자 또는 시스템 동작의 잠재적인 이상을 발견하려고 합니다. 다음 중 해당 작업을 수행하는 데 가장 적합한 도구는 무엇입니까?
A. CASE 도구
B. 임베디드 데이터 수집 도구
C. 휴리스틱 스캐닝 도구
D. 추세/변동 감지 도구

 

정답

답: D
설명:추세/차이 감지 도구는 사용자 또는 시스템 동작의 이상을 찾습니다. CASE 도구는 소프트웨어 개발을 지원하는 데 사용됩니다. 임베디드(감사) 데이터 수집 소프트웨어는 샘플링 및 생산 통계 제공에 사용됩니다. 발견적 검색 도구를 사용하여 바이러스를 검색하여 감염 가능성이 있는 코드를 표시할 수 있습니다.

 

Q07. 인사 담당 부사장은 전년도 급여 초과 지급을 확인하기 위해 감사를 요청했습니다. 이 상황에서 사용하는 가장 좋은 감사 기술은 무엇입니까?
A. 테스트 데이터
B. 일반화된 감사 소프트웨어
C. 통합시험시설
D. 내장된 감사 모듈

 

정답

답: B

Q08. 위험 분석을 수행하는 과정에서 IS 감사인은 위협과 잠재적 영향을 식별했습니다. 다음으로 IS 감사인은 다음을 수행해야 합니다.
A. 관리자가 사용하는 위험 평가 프로세스 식별 및 평가
B. 정보 자산 및 기본 시스템 식별
C. 경영진에게 위협 및 영향 공개
D. 기존 통제 식별 및 평가

 

정답

답: D

IS 감사인은 잠재적 위협과 가능한 영향이 식별되면 기존 제어 및 보안을 식별하고 평가하는 것이 중요합니다. 감사가 완료되면 IS 감사인은 자산에 대한 위협 및 잠재적 영향을 설명하고 경영진과 논의해야 합니다.

 

Q09.IS 감사인이 네트워크 운영 체제의 감사를 수행하고 있습니다. 다음 중 IS 감사인이 검토해야 하는 사용자 기능은 무엇입니까?
A. 온라인 네트워크 문서의 가용성
B. 원격 호스트에 대한 터미널 액세스 지원
C. 호스트 간의 파일 전송 및 사용자 간 통신 처리
D. 성과 관리, 감사 및 통제

 

정답

답: A

네트워크 운영 체제 사용자 기능에는 네트워크 문서의 온라인 가용성이 포함됩니다. 다른 기능으로는 네트워크 호스트의 다양한 리소스에 대한 사용자 액세스, 특정 리소스에 액세스하기 위한 사용자 권한 부여, 특별한 사용자 작업이나 명령 없이 사용되는 네트워크 및 호스트 컴퓨터 등이 있습니다. 선택 B, C 및 D는 네트워크 운영 체제 기능의 예입니다.

 

Q10. 감사를 수행하는 동안 IS 감사자는 바이러스의 존재를 감지합니다. IS 감사인의 다음 단계는 무엇입니까?
A. 반응 메커니즘 관찰
B. 네트워크에서 바이러스 제거
C. 즉시 해당 담당자에게 알립니다.
D. 바이러스 삭제 확인

 

정답

답: C

IS 감사인이 바이러스를 탐지한 후 가장 먼저 해야 할 일은 조직에 바이러스의 존재를 알리고 응답을 기다리는 것입니다. 선택 C 다음에 선택 A를 선택해야 합니다. 이렇게 하면 IS 감사인이 응답 시스템의 실제 작업 가능성과 효율성을 조사할 수 있습니다. IS 감사인은 감사 중인 시스템을 변경해서는 안 되며 바이러스 삭제를 확인하는 것은 관리 책임입니다.

 

Q11. IS 감사자는 경계 네트워크 게이트웨이에 방화벽 보호 기능이 없음을 지적하는 감사 보고서를 발행하고 이 취약점을 해결하기 위해 공급업체 제품을 권장합니다. IS 감사인이 다음을 수행하지 못했습니다.
A. 직업적 독립성
B. 조직적 독립성
C. 기술능력
D. 전문 역량

 

정답

답: A

IS 감사인이 특정 공급업체를 추천하면 전문적인 독립성이 손상됩니다. 조직의 독립성은 감사 보고서의 내용과 관련이 없으며 업무를 수락할 때 고려되어야 합니다. 기술 및 전문 역량은 독립성 요구 사항과 관련이 없습니다.

Q12. 프로그램 변경 제어를 평가하는 과정에서 IS 감사인은 소스 코드 비교 소프트웨어를 사용하여 다음을 수행합니다.
A. IS 직원의 정보 없이 소스 프로그램 변경 사항을 조사합니다.
B. 소스 사본 획득과 비교 ru 사이의 소스 프로그램 변경 감지
C. 제어 사본이 프로덕션 프로그램의 현재 버전인지 확인
D. 현재 소스 복사본의 모든 변경 사항이 감지되는지 확인합니다.

 

정답

답: A

소스 코드 비교를 통해 변경 사항을 식별할 수 있기 때문에 IS 감사인은 프로그램 변경 사항에 대해 객관적이고 독립적이며 비교적 완전한 확신을 갖고 있습니다. 사본 취득 이후에 변경된 사항이 소프트웨어 사본에 포함되어 있지 않기 때문에 선택 B는 올바르지 않습니다. IS 감사인이 별도로 이 보증을 받아야 하므로 선택 C는 올바르지 않습니다. 제어 복사본을 얻은 시간과 소스 코드 비교가 이루어진 시간 사이에 이루어진 변경 사항이 감지되지 않기 때문에 선택 D는 올바르지 않습니다.

 

Q13. 감사 보고서에 중요한 발견 사항을 포함하기 위한 최종 결정은 다음에 의해 내려져야 합니다.
A. 감사위원회
B. 피감사인의 관리
C. IS 감사
D. 조직의 대표이사

 

정답

답: C

IS 감사인이 특정 공급업체를 추천하면 전문적인 독립성이 손상됩니다. 조직의 독립성은 감사 보고서의 내용과 관련이 없으며 업무를 수락할 때 고려되어야 합니다. 기술 및 전문 역량은 독립성 요구 사항과 관련이 없습니다.

 

Q14.다음 중 CSA(Control Self-Assessment) 접근 방식의 속성으로 옳지 않은 것은?
A. 광범위한 이해관계자 참여
B. 감사인은 주요 통제 분석가입니다.
C. 제한된 직원 참여
D. 정책 주도

 

정답

답: A

CSA(제어 자체 평가) 접근 방식은 조직의 비즈니스 프로세스 제어를 개발하고 모니터링하는 데 대한 관리와 책임을 강조합니다. CSA의 속성에는 권한 있는 직원, 지속적인 개선, 광범위한 직원 참여 및 교육이 포함됩니다. 그 중 광범위한 이해 관계자 참여의 표현입니다. 선택 B, C 및 D는 전통적인 감사 접근 방식의 속성입니다.

Q15. 고위 경영진의 참여는 다음 개발에 가장 중요합니다.
A. 전략계획
B. IS 정책
C. IS 절차
D. 기준 및 지침

 

정답

답: A

전략적 계획은 기업이 목표와 목표를 달성할 수 있도록 하기 위한 기반을 제공합니다. 계획이 수립된 목표와 목적을 적절하게 다루도록 하려면 고위 경영진의 참여가 중요합니다. IS 정책, 절차, 표준 및 지침은 모두 전체 전략 계획을 지원하도록 구성되어 있습니다.

 

Q16. 다음 IT 거버넌스 모범 사례 중 전략적 조정을 개선하는 것은 무엇입니까?
A. 공급업체 및 파트너 위험 관리
B. 고객, 제품, 시장 및 프로세스에 대한 지식 기반이 제자리에 있습니다.
C. 사업정보의 생성 및 공유가 용이한 구조를 제공한다.
D. 최고 경영진은 비즈니스와 기술의 필수 요소 사이를 중재합니다.

 

정답

답: D

비즈니스와 기술의 필수 요소 사이를 중재하는 최고 경영진은 IT 전략적 조정 모범 사례입니다. 관리되는 공급업체 및 파트너 위험은 위험 관리 모범 사례입니다. 고객, 제품, 시장 및 프로세스에 대한 지식 기반은 IT 가치 제공 모범 사례입니다. 비즈니스 정보의 생성 및 공유를 용이하게 하기 위해 제공되는 인프라는 IT 가치 전달 및 위험 관리 모범 사례입니다.

 

Q17. 다음 중 IT 거버넌스의 성공적인 구현을 위해 가장 중요한 요소는 무엇입니까?
A. IT 성과 기록표 구현
B. 조직 전략의 식별
다. 위해성 평가 수행
D. 공식적인 보안 정책 수립

 

정답

답: B
설명:
IT 거버넌스 프로그램의 주요 목표는 비즈니스를 지원하는 것이므로 IT와 기업 거버넌스 간의 조정을 보장하기 위해 조직 전략의 식별이 필요합니다. 조직 전략을 식별하지 않으면 나머지 선택은 구현하더라도 효과가 없습니다.

Q18.조직의 IT 프로젝트 포트폴리오를 검토하는 IS 감사인의 주요 고려 사항은 다음과 같습니다.
A. IT 예산
B. 기존 IT 환경
C. 사업계획서
D. 투자계획

 

정답

답: C
설명:
프로젝트에 자금이 지원되는 가장 중요한 이유 중 하나는 프로젝트가 조직의 전략적 목표를 얼마나 잘 충족하는지입니다. 포트폴리오 관리는 회사의 전체 IT 전략에 대한 전체적인 관점을 취합니다. IT 전략은 비즈니스 전략과 일치해야 하므로 비즈니스 계획을 검토하는 것이 주요 고려 사항이어야 합니다. 선택 A, B, D는 중요하지만 사업 계획 검토의 중요성에 부차적입니다.

 

Q19. IT 거버넌스의 궁극적인 목적은 다음과 같습니다.
A. IT의 최적 사용 장려
B. IT 비용 절감
C. 조직 전체에 IT 리소스 분산
D. 중앙 집중식 IT 제어

 

정답

답: A
설명: IT 거버넌스는 기업에 가장 적합한 의사 결정 권한과 책임의 조합을 지정하기 위한 것입니다. 기업마다 다릅니다. IT 비용 절감은 기업을 위한 최상의 IT 거버넌스 결과가 아닐 수 있습니다. 조직 전체에 걸쳐 IT 리소스를 분산시키는 것이 항상 바람직한 것은 아니지만 분산된 환경에서는 바람직할 수 있습니다. IT 제어를 중앙 집중화하는 것이 항상 바람직한 것은 아닙니다. 원하는 곳의 예는 단일 고객 접점을 원하는 기업입니다.

Q20. IT 균형 성과표가 있는 IT 거버넌스 성숙도 모델의 가장 낮은 수준은 무엇입니까?
A. 반복 가능하지만 직관적인
B. 정의
C. 관리 및 측정 가능
D. 최적화

 

정답

답: B
설명: Defined (level 3) is the lowest level at which an IT balanced scorecard is defined.

 

Q21.IT 거버넌스에 대한 책임은 다음에 있습니다.
A. IT전략위원회
B. 최고 정보 책임자(CIO).
C. 감사위원회
D. 이사회

 

정답

답: D
설명: 거버넌스는 전략적 방향을 제공하고, 목표가 달성되고, 위험이 적절하게 관리되고 있는지 확인하고, 기업의 자원이 책임감 있게 사용되는지 확인하는 것을 목표로 이사회와 경영진이 실행하는 일련의 책임과 관행입니다. 감사 위원회, 최고 정보 책임자(CIO) 및 IT 전략 위원회는 모두 조직 내에서 IT 거버넌스를 성공적으로 구현하는 데 중요한 역할을 하지만 궁극적인 책임은 이사회에 있습니다.

 

Q22. 조직의 목표를 지원하기 위해 IS 부서는 다음을 갖추어야 합니다.
A. 저비용 철학
B. 장단기 계획
C. 첨단기술
D. 새로운 하드웨어 및 소프트웨어 구입 계획

 

정답

답: B
설명: 조직의 전체 목표를 실현하는 데 기여할 수 있도록 IS 부서는 목표 달성을 위한 조직의 광범위한 계획과 일치하는 장단기 계획을 세워야 합니다. 선택 A와 C는 목표이며 각 목표를 달성하는 방법을 설명하는 계획이 필요합니다. 선택 D는 전체 계획의 일부일 수 있지만 조직 목표를 달성하기 위해 하드웨어나 소프트웨어가 필요한 경우에만 필요합니다.

 

Q23. 조직의 IT 전략 계획을 검토하는 IS 감사인은 먼저 다음을 검토해야 합니다.
A. 기존 IT 환경
나. 사업계획서
C. 현재 IT 예산
D. 현재 기술 동향

 

정답

답: B
설명: IT 전략 계획은 조직의 비즈니스 계획을 지원하기 위해 존재합니다. IT 전략 계획을 평가하려면 IS 감사인이 먼저 비즈니스 계획을 숙지해야 합니다.

 

Q24. 조직에서는 IT 보안에 대한 책임이 명확하게 할당 및 시행되고 IT 보안 위험 및 영향 분석이 일관되게 수행됩니다. 이것은 정보 보안 거버넌스 성숙도 모델에서 어느 수준의 순위를 나타냅니까?

A. 최적화
B. 관리
C. 정의
D. 반복 가능

 

정답

답: B
설명: 이사회와 경영진은 정보 보안 거버넌스 성숙도 모델을 사용하여 조직의 보안 순위를 설정할 수 있습니다. 순위는 존재하지 않고, 초기이고, 반복 가능하고, 정의되고, 관리되고, 최적화되어 있습니다. 조직 내 IT 보안에 대한 책임이 명확하게 할당 및 집행되고 IT 보안 위험 및 영향 분석이 일관되게 수행될 때 이를 '관리 및 측정 가능'이라고 합니다.

 

Q25. IS 감사인은 모든 직원이 기업의 정보 보안 정책을 알고 있는 것은 아니라는 사실을 알게 되었습니다. IS 감사인은 다음과 같이 결론을 내려야 합니다.
A. 이러한 지식 부족은 민감한 정보의 의도하지 않은 공개로 이어질 수 있습니다.
B. 정보 보안이 모든 기능에 중요한 것은 아닙니다.
C. IS 감사는 직원에게 보안 교육을 제공해야 합니다.
D. 감사 결과는 경영진이 직원에게 지속적인 교육을 제공하도록 합니다.

 

정답

답: A
설명: 모든 직원은 민감한 정보의 의도하지 않은 공개를 방지하기 위해 기업의 정보 보안 정책을 알고 있어야 합니다. 훈련은 예방적 통제입니다. 직원을 위한 보안 인식 프로그램은 민감한 정보가 외부인에게 의도하지 않게 공개되는 것을 방지할 수 있습니다.

Q26. IS 보안 정책의 개발은 궁극적으로 다음의 책임입니다.
A. IS 부서
B. 보안위원회
C. 보안 관리자
D. 이사회

 

정답

답: D
설명: 일반적으로 정보 시스템 보안 정책의 설계는 최고 경영진이나 이사회의 책임입니다. IS 부서는 정책 실행에 대한 책임이 있으며 정책 구성에 대한 권한이 없습니다. 보안 위원회는 또한 이사회가 구성한 광범위한 보안 정책 내에서 기능합니다. 보안 관리자는 경영진이 설정하고 승인한 보안 규칙을 구현, 모니터링 및 시행할 책임이 있습니다.

 

Q27. 다음 중 의심되는 침입을 처리하기 위해 건전한 정보 보안 정책에 가장 포함될 가능성이 있는 프로그램은 무엇입니까?
A. 응답
B. 수정
C. 탐지
D. 모니터링

 

정답

답: A
설명: 건전한 IS 보안 정책은 의심되는 침입을 처리하기 위한 대응 프로그램을 개략적으로 설명할 것입니다. 수정, 탐지 및 모니터링 프로그램은 정보 보안의 모든 측면이지만 IS 보안 정책 설명에는 포함되지 않을 것입니다.

 

Q28. 조직의 경영진이 보안 인식 프로그램을 수립하기로 결정했습니다. 다음 중 프로그램의 일부가 될 가능성이 가장 높은 것은?
가. 침해사고 보고를 위한 침입탐지시스템 활용
B. 모든 소프트웨어에 액세스하기 위해 암호 사용 의무화
다. 각 사용자의 행동을 추적하기 위한 효율적인 사용자 로그 시스템 설치
D. 전 직원 및 신규 직원을 대상으로 정기적으로 제공되는 교육

 

정답

답: D
설명: 침입탐지시스템을 활용하여 발생한 사건에 대해 보고하는 것은 보안프로그램의 구현이며 보안인식프로그램 구축에 효과적이지 못하다. 선택 B와 C는 인식을 다루지 않습니다. 교육은 보안 인식을 위한 유일한 선택입니다.

 

Q29. IT 보안 기준이 정의된 조직에서 IS 감사인은 먼저 다음을 확인해야 합니다.
A. 구현
B. 준수
C. 문서
D. 충분함

 

정답

답: D
설명: IS 감사인은 먼저 통제의 충분성을 확인하여 최소 기준 수준의 정의를 평가해야 합니다. 문서화, 구현 및 규정 준수는 추가 단계입니다.

Q30. 소매점에서는 모든 제품에 고유한 일련 번호를 생성하기 위해 RFID(무선 주파수 식별) 태그를 도입했습니다. 다음 중 이 이니셔티브와 관련된 주요 관심사는 무엇입니까?
A. 프라이버시 문제
B. 파장은 인체에 의해 흡수될 수 있습니다
C. RFID 태그는 제거할 수 없습니다.
D. RFID는 가시선 판독을 제거합니다.

 

정답

답: A
설명: 항목의 구매자는 반드시 태그의 존재를 인식하지 못할 것입니다. 태그가 지정된 항목이 신용 카드로 지불되는 경우 해당 항목의 고유 ID를 구매자의 ID와 연결할 수 있습니다. RFID는 고유한 식별자 번호를 전달할 수 있기 때문에 개인 정보 침해는 심각한 문제입니다. 원하는 경우 회사에서 RFID가 포함된 항목을 구매하는 개인을 추적할 수 있습니다. 선택 B와 C는 덜 중요한 관심사입니다. 선택 D는 문제가 되지 않습니다.