[CISA 문제풀이] 틀린문제 (9)

문제1: IS 감사원이 조직의 IT 거버넌스를 개선하기 위한 조치를 권고하도록 요청받았습니다. 다음 중 가장 적합한 권고 사항은 무엇입니까?
• A. 연례 제3자 감사를 구현한다.
• B. 경영진이 IT 전략을 수립하도록 요구한다.
• C. 조직 성과를 업계 동료들과 비교 분석한다.
• D. 핵심 성과 지표(KPIs)를 구현한다. (정답)

👉 핵심 성과 지표(KPIs)를 구현하는 것이 가장 적합한 권고 사항입니다. KPIs는 IT 활동의 성과를 측정하고, 조직의 비즈니스 목표와 IT 목표가 얼마나 잘 정렬되고 있는지를 평가할 수 있는 체계적인 방법을 제공합니다. 이를 통해 IT 거버넌스가 효과적으로 작동하는지 지속적으로 모니터링하고 개선할 수 있습니다.

나머지 항목이 오답인 이유:
• A. 연례 제3자 감사를 구현한다: 제3자 감사는 유용한 도구지만, 주기적으로 수행되므로 실시간 IT 거버넌스 성과를 모니터링하거나 개선하는 데는 적합하지 않습니다.
• B. 경영진이 IT 전략을 수립하도록 요구한다: 경영진이 IT 전략을 수립하는 것은 중요하지만, 전략이 성과로 이어지는지를 확인하려면 KPIs 같은 지속적인 평가 메커니즘이 필요합니다.
• C. 조직 성과를 업계 동료들과 비교 분석한다: 벤치마킹은 유용한 참고 자료가 될 수 있지만, IT 거버넌스 개선을 위한 구체적인 실행 지침을 제공하지는 않습니다.

---

문제2: 시스템 개발 프로젝트의 이슈 관리 프로세스 중 발생하는 활동은 무엇입니까?
• A. 구성 관리(Configuration management)
• B. 헬프 데스크 관리(Help desk management)
• C. 비상 계획(Contingency planning)
• D. 영향 평가(Impact assessment) (정답)

👉 **영향 평가(Impact assessment)**는 이슈 관리 프로세스의 핵심 단계 중 하나입니다. 이슈 관리 프로세스에서는 프로젝트의 문제나 이슈가 발생했을 때, 이를 해결하기 위해 이슈가 프로젝트에 미치는 영향을 분석하고 적절한 조치를 결정합니다. 이는 프로젝트의 일정, 비용, 품질, 범위 등에 대한 잠재적 영향을 평가하는 데 필수적입니다.

나머지 항목이 오답인 이유:
• A. 구성 관리: 구성 관리는 시스템 구성 요소의 변경을 관리하는 프로세스로, 이슈 관리와 직접적인 연관은 없습니다.
• B. 헬프 데스크 관리: 헬프 데스크 관리는 사용자 지원 및 문제 해결을 다루며, 시스템 개발 프로젝트의 이슈 관리 프로세스와는 별개의 활동입니다.
• C. 비상 계획: 비상 계획은 주로 재해 복구 또는 사업 연속성 관리와 관련되며, 이슈 관리 프로세스의 활동과는 다릅니다.

---

문제3: 대규모 금융 기관에서 **연속 감사(Continuous Auditing)**를 위한 가장 적합한 프로세스는 무엇입니까?
• A. 헬프 데스크 성능 지표를 검증한다.
• B. 재해 복구 시스템의 암호화 표준을 테스트한다.
• C. 시스템 간 병렬 테스트를 수행한다.
• D. 실시간 데이터 시스템에 대한 접근 통제를 검증한다. (정답)

👉 실시간 데이터 시스템에 대한 접근 통제를 검증하는 것이 연속 감사의 가장 적합한 프로세스입니다. 연속 감사는 중요한 비즈니스 프로세스와 데이터 시스템의 실시간 모니터링을 통해 지속적으로 위험과 통제 상태를 평가하는 데 초점을 맞춥니다. 접근 통제 검증은 데이터 보안을 유지하고, 비인가 액세스 및 데이터 무결성 위협을 방지하는 핵심 활동입니다.

나머지 항목이 오답인 이유:
• A. 헬프 데스크 성능 지표를 검증한다: 헬프 데스크 성능 검증은 IT 서비스 품질에 중요한 요소이지만, 연속 감사의 주요 목표와는 직접적으로 연관되지 않습니다.
• B. 재해 복구 시스템의 암호화 표준을 테스트한다: 재해 복구 시스템 테스트는 주기적인 활동으로, 연속 감사의 지속적인 모니터링과는 차이가 있습니다.
• C. 시스템 간 병렬 테스트를 수행한다: 병렬 테스트는 시스템 이행 또는 변경 중에 사용하는 방법으로, 연속 감사의 실시간 데이터 모니터링과는 관련이 적습니다.

---

문제4: IS 감사인이 IT 관리에게 균형 성과표(Balanced Scorecard) 사용을 가장 추천할 가능성이 높은 이유는 무엇입니까?
• A. IT 기능 및 프로세스를 평가하기 위해서 (정답)
• B. 조직이 품질 표준을 충족하는지 확인하기 위해서
• C. IT 직원을 훈련 및 교육하기 위해서
• D. IT 직원이 성과 요구를 충족하도록 보장하기 위해서

👉 IT 기능 및 프로세스를 평가하기 위해 균형 성과표를 사용하는 것이 가장 적합합니다. 균형 성과표는 재무, 고객, 내부 프로세스, 학습 및 성장을 포함한 여러 관점에서 IT 성과를 측정하고 평가하는 데 사용됩니다. 이를 통해 IT가 조직의 전략적 목표와 어떻게 연계되는지를 이해할 수 있습니다.

나머지 항목이 오답인 이유:
• B. 조직이 품질 표준을 충족하는지 확인하기 위해서: 균형 성과표는 품질 표준 충족을 직접적으로 평가하기보다는 전반적인 IT 성과를 측정하는 데 사용됩니다.
• C. IT 직원을 훈련 및 교육하기 위해서: 훈련 및 교육은 균형 성과표의 목표가 아니며, 이는 인적 자원 관리와 관련됩니다.
• D. IT 직원이 성과 요구를 충족하도록 보장하기 위해서: 균형 성과표는 개별 직원의 성과보다는 조직 전체의 IT 성과와 전략적 목표를 평가하는 데 초점이 맞춰져 있습니다.

---

문제5: 다음 중 **계정 지급 시스템의 예방 통제(Preventative Control)**의 예는 무엇입니까?
• A. 시스템 및 데이터의 백업이 매일 밤 수행되고 주기적으로 테스트된다.
• B. 정책 및 절차가 계정 지급 부서의 모든 구성원에게 명확히 전달된다.
• C. 시스템이 마스터 벤더 목록에 포함된 공급업체에게만 결제를 허용한다. (정답)
• D. 시스템이 매일 결제 요약 보고서를 생성하며, 직원이 이를 송장 합계와 비교한다.

👉 시스템이 마스터 벤더 목록에 포함된 공급업체에게만 결제를 허용하는 것이 예방 통제의 예입니다. 예방 통제는 문제가 발생하기 전에 이를 방지하는 데 초점을 맞추며, 이 경우 승인되지 않은 벤더로의 부적절한 결제를 미리 차단합니다.

나머지 항목이 오답인 이유:
• A. 시스템 및 데이터의 백업이 매일 밤 수행되고 주기적으로 테스트된다: 백업은 복구를 위한 탐지 또는 교정 통제에 해당하며, 예방 통제가 아닙니다.
• B. 정책 및 절차가 계정 지급 부서의 모든 구성원에게 명확히 전달된다: 이는 교육 및 인식을 높이는 활동으로, 직접적인 예방 통제는 아닙니다.
• D. 시스템이 매일 결제 요약 보고서를 생성하며, 직원이 이를 송장 합계와 비교한다: 이는 탐지 통제의 예로, 발생한 문제를 식별하는 데 사용됩니다.

---

문제6: 감사 준비 시 감사 목표를 문서화하는 주요 목적은 무엇입니까?
• A. 중대한 문제 발생 가능성이 상대적으로 높은 영역을 식별하기 위해서
• B. 감사 자원의 최대 활용을 보장하기 위해서 (정답)
• C. 감사 대상자와의 미팅을 우선순위화하고 일정에 반영하기 위해서
• D. 검토 중인 활동과 관련된 전반적인 위험을 다루기 위해서

👉 감사 자원의 최대 활용을 보장하기 위해 감사 목표를 문서화하는 것이 주요 목적입니다. 명확히 정의된 감사 목표는 감사 활동을 체계적으로 진행하도록 돕고, 자원이 효율적으로 사용되도록 하며, 시간과 노력을 중요한 영역에 집중할 수 있게 합니다.

나머지 항목이 오답인 이유:
• A. 중대한 문제 발생 가능성이 상대적으로 높은 영역을 식별하기 위해서: 문제 발생 가능성이 높은 영역을 식별하는 것은 감사 계획의 일부일 수 있지만, 감사 목표를 문서화하는 주요 목적은 아닙니다.
• C. 감사 대상자와의 미팅을 우선순위화하고 일정에 반영하기 위해서: 미팅 계획은 감사 준비의 중요한 요소이지만, 감사 목표 문서화의 주된 목적은 아닙니다.
• D. 검토 중인 활동과 관련된 전반적인 위험을 다루기 위해서: 감사 목표는 위험을 다루기 위한 틀을 제공하지만, 이는 전반적인 감사 계획의 일부 결과일 뿐입니다.

---

문제7: IS 감사인이 다음 중 가장 높은 민감도 수준으로 분류되도록 보장해야 할 것은 무엇입니까?
• A. 비상 변경 기록
• B. 침투 테스트 결과 (정답)
• C. IT 보안 사건
• D. 서버룸 접근 기록

👉 침투 테스트 결과는 가장 높은 민감도 수준으로 분류되어야 합니다. 침투 테스트 결과는 조직의 보안 취약점과 약점을 식별하고 있으므로, 부적절한 액세스나 노출 시 공격자가 이를 악용하여 조직의 보안을 심각하게 위협할 수 있습니다.

나머지 항목이 오답인 이유:
• A. 비상 변경 기록: 비상 변경 기록은 중요하지만, 침투 테스트 결과에 비해 민감도가 낮습니다.
• C. IT 보안 사건: 보안 사건도 민감한 정보지만, 침투 테스트 결과가 악용될 경우 더 심각한 결과를 초래할 수 있습니다.
• D. 서버룸 접근 기록: 서버룸 접근 기록은 물리적 보안에 중요한 데이터지만, 조직의 전체적인 보안 위험에 비해 상대적으로 덜 민감합니다.

---

문제9: 감사 대상자가 초안 보고서에 있는 시정 조치 권고사항에 동의하지 않습니다. 최종 보고서를 준비할 때 IS 감사원이 취할 가장 적합한 조치는 무엇입니까?
• A. 최종 보고서를 발행하기 전에 합의에 도달한다.
• B. 감사 대상자의 의견을 작업 문서에 포함시킨다.
• C. 논란이 된 권고 사항을 최종 감사 보고서에서 제외한다.
• D. 고위 경영진이 지지하는 입장을 최종 감사 보고서에 포함한다. (정답)

👉 고위 경영진이 지지하는 입장을 최종 감사 보고서에 포함하는 것이 가장 적합합니다. 감사 보고서는 조직의 전체적인 리스크 관리와 거버넌스를 지원하기 위해 작성됩니다. 감사 대상자의 의견이 포함될 수 있지만, 최종적인 권고사항은 고위 경영진의 승인을 받은 내용을 반영해야 조직의 목표와 우선순위를 따를 수 있습니다.

나머지 항목이 오답인 이유:
• A. 최종 보고서를 발행하기 전에 합의에 도달한다: 합의는 이상적이지만, 합의가 이루어지지 않을 경우 보고서 작성이 지연될 수 있으며, 이는 감사 활동의 독립성을 약화시킬 수 있습니다.
• B. 감사 대상자의 의견을 작업 문서에 포함시킨다: 감사 대상자의 의견을 문서화하는 것은 유용하지만, 최종 보고서의 내용과 직접적인 관련은 없습니다.
• C. 논란이 된 권고 사항을 최종 감사 보고서에서 제외한다: 권고 사항을 제외하는 것은 감사 활동의 신뢰성을 저하시킬 수 있습니다.

---

문제10: 구현된 데이터 분류 프로그램의 효과성에 대한 감사인의 결론을 뒷받침하는 데 가장 도움이 되는 것은 무엇입니까?
• A. 데이터 분류 체계에 따라 접근 권한이 부여되었다. (정답)
• B. 상세한 데이터 분류 체계
• C. 정보 관리 도구의 구매
• D. 비즈니스 사용 사례 및 시나리오

👉 데이터 분류 체계에 따라 접근 권한이 부여되었다는 증거가 프로그램의 효과성을 입증하는 데 가장 유용합니다. 이는 데이터 분류가 실제로 조직의 보안 정책과 통합되어 있고, 민감도에 따라 데이터에 적절한 접근 제어가 적용되고 있음을 보여줍니다.

나머지 항목이 오답인 이유:
• B. 상세한 데이터 분류 체계: 체계 자체는 중요하지만, 그 체계가 실제로 효과적으로 구현되고 있는지를 보여주는 증거는 아닙니다.
• C. 정보 관리 도구의 구매: 도구를 구매했다고 해서 데이터 분류 프로그램이 효과적으로 작동하고 있음을 보장하지는 않습니다.
• D. 비즈니스 사용 사례 및 시나리오: 사용 사례는 데이터 분류의 필요성을 보여줄 수 있지만, 프로그램의 실행 효과를 입증하지는 않습니다.

---

문제11: 데이터 복구 프로세스의 효과성을 검증하는 가장 좋은 방법은 무엇입니까?
• A. 백업 미디어에 대한 물리적 접근을 주기적으로 검토한다.
• B. 소프트웨어 유틸리티를 사용하여 오프라인 백업을 검증한다.
• C. 데이터 복구 정책을 매년 검토 및 업데이트한다.
• D. 주기적으로 전체 데이터 복구를 수행한다. (정답)

👉 주기적으로 전체 데이터 복구를 수행하는 것이 가장 좋은 방법입니다. 실제 복구 테스트를 통해 데이터 복구 프로세스가 예상대로 작동하고 백업 데이터가 손상되지 않았는지 확인할 수 있습니다. 이 방법은 복구 절차의 정확성과 효과를 보장하며, 복구 시간과 문제점을 파악할 수 있는 실질적인 검증 방법입니다.

나머지 항목이 오답인 이유:
• A. 백업 미디어에 대한 물리적 접근을 주기적으로 검토한다: 물리적 접근 통제는 중요한 보안 조치이지만, 복구 프로세스의 효과성을 직접적으로 검증하지는 않습니다.
• B. 소프트웨어 유틸리티를 사용하여 오프라인 백업을 검증한다: 소프트웨어 유틸리티 검증은 데이터 무결성을 확인할 수 있지만, 실제 복구 프로세스의 성공 여부를 보장하지 못합니다.
• C. 데이터 복구 정책을 매년 검토 및 업데이트한다: 정책 검토는 유용하지만, 복구 프로세스의 실제 작동 여부를 확인하는 실질적인 테스트는 아닙니다.

---

문제12: IS 감사원이 여러 직원이 업무 시간에 소셜 미디어를 과도하게 사용하는 것을 발견했습니다. 감사원이 먼저 추천해야 할 조치는 무엇입니까?
• A. 근무 시간 중 소셜 미디어의 허용 가능한 사용에 대한 정책을 구현한다. (정답)
• B. 소셜 미디어 사용을 포함하도록 네트워크 사용 예산을 조정한다.
• C. 소셜 네트워킹 사이트의 게시물을 적극적으로 모니터링하는 프로세스를 구현한다.
• D. 엔드포인트에 데이터 손실 방지(DLP) 도구를 사용한다.

👉 근무 시간 중 소셜 미디어의 허용 가능한 사용에 대한 정책을 구현하는 것이 첫 번째로 수행되어야 합니다. 명확한 정책은 직원들이 소셜 미디어 사용에 대한 기대와 허용 가능한 행동을 이해하도록 돕고, 조직의 네트워크 리소스를 보호하며, 생산성을 유지하는 데 기초가 됩니다.

나머지 항목이 오답인 이유:
• B. 소셜 미디어 사용을 포함하도록 네트워크 사용 예산을 조정한다: 네트워크 예산 조정은 문제를 해결하는 근본적인 방법이 아니며, 소셜 미디어 사용을 관리하거나 제한하지 않습니다.
• C. 소셜 네트워킹 사이트의 게시물을 적극적으로 모니터링하는 프로세스를 구현한다: 게시물 모니터링은 프라이버시 문제를 일으킬 수 있으며, 소셜 미디어 사용 시간의 제한과는 직접적으로 관련이 없습니다.
• D. 엔드포인트에 데이터 손실 방지(DLP) 도구를 사용한다: DLP 도구는 데이터 유출 방지에 초점을 맞추며, 개인적인 소셜 미디어 사용 시간을 제한하는 데 효과적이지 않습니다.

---

문제13: 새로운 소프트웨어 애플리케이션을 신속히 개발하기 위한 애자일 프로젝트의 효과성을 가장 잘 보장하는 것은 무엇입니까?
• A. 작업이 단계별로 분리된다.
• B. 작업이 스프린트로 분리된다. (정답)
• C. 프로젝트 마일스톤이 생성된다.
• D. 프로젝트 세그먼트가 설정된다.

👉 작업이 스프린트로 분리되는 것이 애자일 프로젝트의 효과성을 가장 잘 보장합니다. 스프린트는 애자일 방법론의 핵심 요소로, 짧은 주기로 작업을 계획하고, 실행하며, 피드백을 통해 점진적으로 개선할 수 있는 환경을 제공합니다. 이를 통해 신속한 개발과 유연한 요구사항 변경이 가능합니다.

나머지 항목이 오답인 이유:
• A. 작업이 단계별로 분리된다: 단계별 접근은 전통적인 워터폴 모델에 더 적합하며, 애자일 방식의 유연성과 반복적인 개선을 제한할 수 있습니다.
• C. 프로젝트 마일스톤이 생성된다: 마일스톤은 프로젝트 관리에서 중요한 요소이지만, 애자일의 핵심은 작업을 반복적이고 점진적으로 완성하는 스프린트에 있습니다.
• D. 프로젝트 세그먼트가 설정된다: 세그먼트는 더 큰 프로젝트를 나누는 일반적인 개념으로, 애자일 방식에서 강조하는 반복적이고 짧은 작업 주기를 반영하지 않습니다.

---

문제14: 다국적 은행의 폐기 절차를 감사하는 동안 IS 감사원이 여러 문제를 발견했습니다. 다음 중 감사원의 가장 큰 우려가 되어야 하는 것은 무엇입니까?
• A. 백업 매체가 폐기 전에 검토되지 않는다.
• B. 물리적 파쇄 대신 소거(degaussing)가 사용된다.
• C. 백업 매체가 보존 기간이 끝나기 전에 폐기된다. (정답)
• D. 하드웨어가 인증된 업체에 의해 파괴되지 않는다.

👉 백업 매체가 보존 기간이 끝나기 전에 폐기되는 것이 가장 큰 우려입니다. 이는 데이터 손실, 규정 위반, 또는 법적/규제 요구 사항을 충족하지 못할 위험을 초래할 수 있습니다. 보존 기간은 비즈니스 연속성, 법적 요구사항, 또는 규제 준수의 중요한 요소이므로 이를 준수하지 않으면 심각한 문제를 야기할 수 있습니다.

나머지 항목이 오답인 이유:
• A. 백업 매체가 폐기 전에 검토되지 않는다: 검토가 필요할 수 있지만, 보존 기간 내 폐기 문제보다는 덜 심각합니다.
• B. 물리적 파쇄 대신 소거(degaussing)가 사용된다: 소거는 적절한 방식으로 수행되면 유효한 폐기 방법으로 간주될 수 있습니다.
• D. 하드웨어가 인증된 업체에 의해 파괴되지 않는다: 인증된 업체를 사용하는 것이 이상적이지만, 보존 기간 내 폐기 문제보다 덜 중요한 우려입니다.

---

문제15: IS 감사인이 특정 작업을 수행하는 직원의 감독 책임자를 확인하기 위해 조직의 RACI 차트를 참조하고 있습니다. 다음 중 이 정보를 제공하는 역할은 무엇입니까?
• A. 최종 책임(Accountable) (정답)
• B. 상담(Consulted)
• C. 실행 책임(Responsible)
• D. 통보(Informed)

👉 최종 책임(Accountable) 역할이 특정 작업의 감독 책임자를 나타냅니다. RACI 차트에서 “Accountable”은 작업 결과에 대한 최종 책임을 지며, 이를 통해 감독 및 의사결정 권한이 있는 사람이 누구인지 확인할 수 있습니다.

나머지 항목이 오답인 이유:
• B. 상담(Consulted): 이 역할은 작업과 관련된 정보를 제공하거나 조언을 하는 역할로, 감독 책임과는 관련이 없습니다.
• C. 실행 책임(Responsible): 이 역할은 작업을 실제로 수행하는 사람을 나타내며, 감독 책임을 나타내지 않습니다.
• D. 통보(Informed): 이 역할은 작업 결과에 대해 알림을 받는 사람을 의미하며, 감독이나 책임과 관련이 없습니다.