이 페이지는 시험 연구소 브레인덤프 [ http://blog.examslabs.com ]에서 내보낸 페이지입니다.

내보내기 날짜:Sat Jan 4 4:20:40 2025 / +0000 GMT

___________________________________________________


제목: [업데이트 2024] 인증된 전문가가 검증한 CTPRP 덤프 무료 테스트 엔진 [Q62-Q83]

---------------------------------------------------



 [UPDATED 2024] 인증된 전문가가 검증한 CTPRP덤프 무료 테스트 엔진
실제 시험에서 경험한 실제와 같은 정확하고 검증된 CTPRP 답안!


새로운 질문 62제3자 위험 평가 중 실사를 수행하는 방법을 가장 잘 설명하는 것은?
 시설 견학을 통해 물리적 및 환경적 보안 통제를 검사한다.
 설문지 결과의 상태를 검토하고 개선 계획을 정의합니다.
 주제별 전문가 또는 제어 소유자와의 인터뷰, 규정 준수 아티팩트 검토 및 제어 검증
 계약에 구체적으로 정의된 의무만 검토하고 평가합니다.
제3자 위험 평가 시 실사를 수행하는 것은 제3자가 제공한 정보를 확인 및 검증하고 해당 관계에서 발생할 수 있는 잠재적 위험이나 문제를 식별 및 평가하는 프로세스입니다. 실사 방법은 제3자 참여의 유형, 범위, 복잡성에 따라 달라질 수 있지만 일반적으로 다음 단계를 포함합니다123:* 주제 전문가 또는 통제 소유자와의 인터뷰: 이 방법에는 비즈니스 소유자, 프로젝트 관리자, 법률 고문, 규정 준수 책임자, 보안 분석가 등 조직과 제3자 모두의 관련 이해관계자와의 면담이 포함됩니다. 인터뷰의 목적은 제3자의 역량, 프로세스, 정책, 성과 및 과제에 대한 자세한 정보를 수집하고 설문지 또는 기타 출처에서 발생할 수 있는 질문이나 우려 사항을 명확히 하기 위한 것입니다. 또한 면담은 당사자 간의 관계와 신뢰를 구축하고 제공된 정보의 격차나 불일치를 파악하는 데 도움이 될 수 있습니다.* 규정 준수 아티팩트 검토: 이 방법에는 인증, 인증, 감사 보고서, 정책, 절차, 계약, SLA 등과 같이 제3자의 주장이나 주장을 뒷받침하는 증거 또는 문서를 검토하는 것이 포함됩니다. 검토의 목적은 아티팩트의 정확성, 완전성 및 유효성을 확인하고 해당 표준, 규정 및 모범 사례의 준수 수준을 평가하는 것입니다. 또한 이 검토는 제3자의 통제 또는 프로세스에서 개선이 필요하거나 취약한 부분을 파악하는 데 도움이 될 수 있습니다.* 통제 검증: 이 방법에는 보안 조치, 품질 보증, 데이터 보호, 사고 대응 등과 같은 제3자의 통제 또는 프로세스의 실제 구현 및 효과를 테스트하거나 검사하는 것이 포함됩니다. 검증의 목적은 제어가 의도하고 예상한 대로 작동하는지, 그리고 평가에서 확인된 위험이나 문제를 완화하기에 충분한지 확인하는 것입니다. 검증은 또한 타사의 통제 또는 프로세스의 취약점이나 공백을 식별하는 데 도움이 될 수 있으며, 다른 옵션은 타사 위험 평가의 모든 측면이나 차원을 다루지 않거나 불완전하거나 오래된 정보에 의존할 수 있으므로 위에서 설명한 방법만큼 포괄적이거나 정확하지 않을 수 있습니다. 시설 견학을 통해 물리적 및 환경적 보안 통제를 검사하는 것은 검증 방법의 일부일 뿐이며 클라우드 서비스 제공업체나 원격 근무자와 같은 모든 유형의 제3자에게 적용되거나 실행 가능하지 않을 수 있습니다. 설문지 결과의 상태를 검토하고 개선 계획을 정의하는 것은 설문지가 이미 작성되고 분석되었다고 가정하기 때문에 실사 방법이라기보다는 후속 조치 또는 모니터링 활동에 가깝습니다. 계약서에 구체적으로 정의된 의무만을 검토하고 평가하는 것은 제3자 관계의 전체 범위나 복잡성, 관련 위험이나 문제의 역동적이고 변화하는 특성을 포착하지 못할 수 있으므로 협소하고 제한적인 접근 방식입니다. 참고자료:* 제3자 실사 - 중요하지만 까다로운 프로세스* 위험 기반 제3자 실사 가이드 - VinciWorks* 제3자 위험 평가 - 체크리스트 및 모범 사례새 질문 63다음 중 웹 애플리케이션 보안을 위한 방법이 아닌 것은?
 액세스 및 이벤트에 대한 적절한 로깅 및 검토를 보장합니다.
 주기적인 침투 테스트 수행
 웹 콘텐츠 접근성 가이드라인 준수
 사이트 간 스크립팅 및 SOL 삽입에 대한 유효성 검사를 SDLC에 포함합니다.
웹 콘텐츠 접근성 지침(WCAG)은 시각, 청각, 인지 또는 운동 장애와 같은 장애가 있는 사람들이 웹 콘텐츠에 더 쉽게 액세스할 수 있도록 하는 것을 목표로 하는 일련의 표준입니다. WCAG는 웹 개발 및 사용성을 위한 좋은 관행이지만 웹 애플리케이션 보안과는 직접적인 관련이 없으며, 주입, 인증 실패, 잘못된 구성 또는 취약한 구성 요소와 같이 웹 애플리케이션이 직면하는 일반적인 보안 위험을 해결하지 못합니다. 따라서 WCAG를 준수하는 것은 다른 옵션과 달리 웹 애플리케이션을 보호하는 방법이 아닙니다. 참고자료:* 4: 웹 애플리케이션 보안에 대한 표준 인식 문서인 OWASP Top 10은 웹 애플리케이션의 가장 중요한 보안 위험을 나열하고 이를 예방하거나 완화하기 위한 모범 사례를 제공합니다.* 5: 사이버 보안 교육 및 인증을 제공하는 선도적인 업체인 SANS Institute는 오류 처리, 데이터 보호, 구성, 인증, 세션 관리, 입출력 처리, 액세스 제어에 대한 모범 사례를 다루는 웹 애플리케이션 기술(SWAT)을 위한 보안 체크리스트를 제공합니다.* 6: 기술 전문가를 위한 플랫폼인 Built In에서는 웹 애플리케이션 방화벽 사용, API 추적, 예상 애플리케이션 동작 시행, OWASP 상위 10가지 준수 등 13가지 웹 애플리케이션 보안 모범 사례를 제공합니다.새로운 질문 64다음 중 '섀도 IT' 기능의 위험을 가장 잘 반영하는 것은 무엇인가요?
 '섀도 IT' 기능은 종종 정보 자산의 무단 사용을 탐지하지 못합니다.
 '섀도 IT' 기능에 거버넌스 및 보안 감독이 부족한 경우가 많습니다.
 '섀도 IT' 기능이 승인되지 않은 소프트웨어 솔루션을 사용하는 것을 방지하지 못함
 IT가 원격으로 실행되기 때문에 강력한 보안 제어를 구현하지 못함
섀도 IT는 공식 IT 부서의 승인, 승인 또는 지원을 받지 않은 IT 시스템, 서비스 또는 디바이스를 사용하는 것을 말합니다. 섀도 IT는 조직의 데이터 보안, 규정 준수, 성능 및 평판에 심각한 위험을 초래할 수 있습니다. 섀도 IT의 주요 위험 중 하나는 거버넌스 및 보안 감독이 부족한 경우가 많다는 것입니다. 즉, 섀도 IT 기능이 데이터 보호, 액세스 제어, 암호화, 백업, 패치, 감사, 보고 등 IT 관리를 위해 확립된 정책, 표준 및 모범 사례를 따르지 않을 수 있습니다. 이로 인해 조직은 데이터 유출, 사이버 공격, 멀웨어 감염, 법적 책임, 규제 벌금, 평판 손상 등 다양한 위협에 노출될 수 있습니다. 또한 섀도 IT는 운영 비효율성, 호환성 문제, 노력의 중복, 조직의 비용 증가를 초래할 수 있으며, 검색_웹 도구의 웹 검색 결과에 따르면 섀도 IT는 특히 클라우드 기반 서비스 및 애플리케이션의 확산으로 인해 많은 조직에서 일반화되고 증가하는 현상입니다. 이 문서 중 일부는 섀도 IT 위험을 관리하고 완화하기 위한 다음과 같은 모범 사례를 제시합니다123:* 섀도 IT를 사전에 탐지하기 위한 SaaS 평가 수행* 사용자 경험(UX) 우선순위 지정 및 도구 통합 지원* 사용자 계정 및 ID 관리 간소화* 직원들이 익숙한 운영 체제 및 기기 사용* 섀도 IT 위험 최소화를 위한 사용자와의 타협 및 협업* 섀도 IT의 보안 위험 및 결과에 대한 사용자 교육 및 훈련* IT 조달 및 사용에 대한 명확한 정책 및 가이드라인 수립* IT와 비즈니스 부서 간의 신뢰 및 투명성 문화 조성 따라서 이 질문에 대한 정답은 B입니다. "섀도 IT" 기능에는 거버넌스 및 보안 감독이 부족한 경우가 많습니다.참고: * 섀도 IT 설명: 위험과 기회 - BMC Software* 3단계로 조직의 섀도 IT 위험 줄이기 시작하기* 섀도 IT란 무엇입니까? - 문서 | SailPoint새 질문 65공급업체 위험 평가 결과 분석에 관한 다음 중 거짓은 무엇입니까?
 공급업체 재평가 수행 주기는 규제 의무에 의해 정의됩니다.
 공급업체 위험 평가의 결과는 법인 수준에서 정의될 수 있으며 다음을 기반으로 합니다. 특정 주제 또는 통제
 공급업체 위험 평가의 결과 확인은 계약 라이프사이클의 모든 단계에서 발생할 수 있습니다.
 통제 테스트 또는 검증을 통해 식별된 위험 평가 결과는 정보 수집 설문지 및 합의된 프레임워크에 다시 매핑되어야 합니다.
공급업체 재평가 수행 주기는 반드시 규제 의무에 의해 정의되는 것이 아니라 공급업체의 위험 등급과 중요도, 공급업체의 환경, 성과 및 통제 변경에 따라 결정됩니다. 규제 의무는 공급업체 재평가에 대한 일부 지침이나 최소 요건을 제공할 수 있지만 재평가 빈도를 결정하는 유일한 요인은 아닙니다. 공유 평가 프로그램 도구 사용자 가이드에 따르면 "재평가 빈도는 공급업체의 위험 등급 및 중요도뿐만 아니라 공급업체의 환경, 성능 또는 제어의 변경 사항을 기반으로 해야 합니다. 규제 지침도 재평가 빈도에 영향을 미칠 수 있습니다."1 마찬가지로 CTPRP 연구 가이드에서는 "재평가 빈도는 공급업체의 위험 등급과 중요도, 공급업체의 환경, 성능 또는 통제에 대한 변경 사항을 기반으로 해야 합니다."라고 명시하고 있습니다. 규제 지침도 재평가 주기에 영향을 미칠 수 있습니다."2 참조: * 공유 평가 프로그램 도구 사용자 가이드* CTPRP 학습 가이드새 질문 66IT 자산 수명 종료(EOL) 프로세스에 포함되지 않는 요건은 무엇인가요?
 수명 종료를 결정하기 위해 주기적인 위험 평가를 수행해야 하는 요구 사항
 변경 시작 요청 양식을 사용하여 상태를 추적해야 하는 요구 사항
 계획된 수명 종료 지원을 위해 타사에서 제공하는 시스템 또는 애플리케이션에 대한 업데이트를 추적해야 하는 요구 사항
 자산 일몰 시 안전한 파기를 위한 정의된 절차를 수립해야 하는 요건
IT 자산 수명 종료(EOL) 프로세스에서는 일반적으로 수명 종료를 결정하기 위한 정기적인 위험 평가를 수행해야 하는 요건은 포함되지 않습니다. EOL 프로세스는 일반적으로 사용 수명 또는 지원 기간이 끝난 IT 자산의 해체 및 안전한 폐기를 관리하는 데 중점을 둡니다. 여기에는 자산의 상태 추적, 타사 시스템 및 애플리케이션의 업데이트 및 지원 관리, 일몰 시 자산의 안전한 폐기를 위한 절차 수립이 포함됩니다. 위험 평가는 전반적인 IT 자산 관리에서 매우 중요하지만, 일반적으로 운영 효율성, 제조업체 지원, 기술 노후화에 따라 자산의 EOL 상태를 결정하는 직접적인 요소는 아닙니다.참고:* NIST 미디어 살균 지침(NIST SP 800-88)에 설명된 것과 같은 IT 자산 관리 및 폐기 모범 사례는 EOL 결정을 위한 주기적인 위험 평가를 특별히 의무화하지 않고 IT 자산의 안전하고 환경 친화적인 폐기에 초점을 맞추고 있습니다.* 국제 IT 자산 관리자 협회(IAITAM)의 "IT 자산 폐기(ITAD) 모범 사례 가이드"는 IT 자산 추적, 업데이트 및 안전한 폐기를 포함한 효과적인 EOL 프로세스에 대한 통찰력을 제공합니다.신규 질문 67물리적 액세스 절차 및 활동 로그에는 다음을 제외한 모든 항목이 필요합니다:
 서버실 및 데이터 센터에 대한 다중 액세스 제어 필요
 감사 목적으로 물리적 액세스 로그를 무기한 보관해야 합니다.
 실패한 액세스 시도에 대한 조사를 포함하여 성공 및 실패한 시도를 기록해야 합니다.
 보안 이벤트 발생 후 로그 검토를 트리거하는 프로세스 포함
물리적 액세스 절차 및 활동 로그는 조직과 제3자의 물리적 자산 및 데이터의 보안과 무결성을 보장하는 데 도움이 되므로 제3자 위험 관리의 중요한 구성 요소이지만 감사 목적으로 물리적 액세스 로그를 무기한 보관하도록 요구하는 것은 법적, 규제 및 운영상의 문제를 야기할 수 있으므로 모범 사례는 아닙니다. 제3자 관계의 위험 관리를 위한 추가 심사 절차에 따르면 물리적 액세스 로그는 조직의 정책 및 절차에 부합하고 관련 법률 및 규정을 준수하여 합리적인 기간 동안 보관해야 합니다1. 물리적 액세스 로그를 무기한 보관하면 무단 액세스, 데이터 침해, 개인정보 침해 및 소송의 위험이 증가할 수 있습니다2. 따라서 물리적 액세스 절차 및 활동 로그에 대한 모범 사례를 반영하지 않는 유일한 답은 B 문장이 정답입니다.* 참조: 1: 타사 위험 관리(TPRM) 정책 및 절차 작성 방법 - SecurityScorecard 블로그* 2: 타사 위험 관리 및 제어를 위한 5가지 모범 사례 - Broadcom Inc.* 3: 타사 위험 관리 플랫폼 체크리스트 - Crowe LLP* 4: 타사 관계의 위험 관리를 위한 추가 검토 절차* 5: 타사 위험 관리: 중요한 이유와 살펴봐야 할 기능 - 전문가 인사이트새로운 질문 68다음 중 규정과 표준의 차이점을 가장 잘 설명하는 것은 무엇입니까?
 규정은 해당 요건에 해당하는 모든 기업이 준수해야 하지만, 표준은 기업이 '자발적으로 따를 수 있습니다.
 규정과 표준은 구분이 없으며, 규정과 표준은 동일하며 동일한 영향을 미칩니다.
 표준은 항상 규정의 하위 집합입니다.
 표준은 기업이 속한 산업에 따라 반드시 준수해야 하는 반면, 규정은 자발적인 것입니다.
규정은 상급 기관 또는 권한 있는 기관에서 규정하는 법의 효력을 갖는 질서 규칙으로, 해당 기관의 통제 하에 있는 사람들의 행동과 관련이 있습니다. 규정은 해당 관할권의 입법부가 제정한 법률의 취지를 수행하기 위해 다양한 정부 부처 및 기관에서 발행합니다. 규정은 또한 법의 일관된 적용을 보장하는 기능도 합니다. 표준은 일반적으로 민간 부문 기관에서 제정하며 민간 또는 정부의 모든 개인이나 조직이 사용할 수 있는 지침입니다. 이 용어에는 일반적으로 '업계 표준'이라고 불리는 것뿐만 아니라 '합의 표준'도 포함됩니다. 표준은 제조업체, 소비자, 규제기관, 전문가 등 이해관계자 간의 자발적인 협력과 합의 과정을 통해 개발됩니다. 표준에는 모범 사례, 기술 사양, 성능 기준 또는 품질 요구 사항이 반영될 수 있습니다. 표준은 규정에서 채택하거나 참조하지 않는 한 법의 효력을 갖지 않습니다. 따라서 규정은 그 요건에 해당하는 모든 기업이 준수해야 하지만, 기업은 운영, 제품 또는 서비스에 관련성이 있고 유익한 표준을 자발적으로 선택할 수 있습니다. 참고자료: * 규정과 표준의 차이점* 규정 대 표준: 혼란 정리 - AEM* 표준과 규정* 공인 제3자 위험 전문가(CTPRP) 학습 가이드새 질문 69자산 관리 프로그램에서 일반적으로 정의되지 않는 정책 요건은 무엇입니까?
 정책에는 물리적 미디어(예: 장치, 서버, 디스크 드라이브 등)의 재사용에 대한 요건이 명시되어 있습니다.
 정책은 직원과 계약자가 고용, 계약 또는 계약 종료 시 모든 회사 데이터와 자산을 반환하도록 요구합니다.
 이 정책은 장비 "및/또는 물리적 미디어"의 재고, 식별 및 폐기에 대한 요건을 정의합니다.
 정책은 방문자(다른 임차인 및 유지보수 직원 포함)가 시설에 로그인 및 로그아웃하고 항상 에스코트를 받도록 요구합니다.
자산 관리 프로그램은 물리적, 재무적, 인적 또는 정보 자산과 같은 조직 자산의 가치, 성능 및 수명 주기를 최적화하는 것을 목표로 하는 일련의 정책, 절차 및 관행입니다123. 자산 관리 프로그램은 일반적으로 자산 관리의 다음 측면에 대한 정책 요건을 정의합니다.* 정책에는 물리적 미디어(예: 장치, 서버, 디스크 드라이브 등)의 재사용에 대한 요건이 명시되어 있습니다:이 요건은 조직이 민감한 데이터나 기밀 데이터가 포함된 물리적 미디어를 재사용, 재활용 또는 폐기하기 전에 적절한 절차를 따라 살균, 삭제 또는 파기하도록 보장합니다123. 이 요건은 데이터 유출, 도난 또는 분실을 방지하고 조직의 평판과 규정 준수를 보호합니다123.* 이 정책은 직원과 계약자가 고용, 계약 또는 계약 종료 시 모든 회사 데이터와 자산을 반환하도록 요구합니다: 이 요건은 조직이 고용, 계약 또는 계약 기간 동안 직원 및 계약자가 할당, 대여 또는 액세스한 모든 데이터와 자산을 회수하도록 보장합니다123. 이 요건은 조직의 데이터 및 자산의 보안, 무결성, 가용성을 유지하고 무단 또는 부적절한 사용이나 공개를 방지합니다123.* 이 정책은 장비 및/또는 물리적 미디어의 재고, 식별 및 폐기에 대한 요건을 정의합니다: 이 요건은 조직이 소유, 임대 또는 사용하는 모든 장비 및 물리적 미디어에 대한 정확한 최신* 기록을 유지하고 고유 식별자를 할당하도록 보장합니다123. 또한 이 요건은 조직이 더 이상 필요하지 않거나 유용하지 않은 장비 및 물리적 미디어를 폐기할 때 적절한 절차를 따르도록 보장합니다123. 이 요건은 조직의 자산 관리 프로세스의 효율성, 효과성 및 책임성을 개선하고 조직의 자원 낭비, 사기 또는 오용 위험을 줄이는 데 도움이 됩니다123.그러나 방문객(다른 입주자 및 유지보수 담당자 포함)이 시설에 로그인 및 로그아웃하고 항상 에스코트를 받아야 하는 정책 요건인 옵션 D는 일반적으로 자산 관리 프로그램에서 정의되지 않습니다. 오히려 이 요건은 조직의 구내, 자산 및 인력을 무단 접근, 손상 또는 위험으로부터 보호하기 위한 일련의 정책, 절차 및 관행인 물리적 보안 프로그램에 정의될 가능성이 더 높습니다. 물리적 보안 프로그램은 일반적으로 다음과 같은 물리적 보안 측면에 대한 정책 요건을 정의합니다.* 이 정책은 방문자(다른 입주자 및 유지보수 담당자 포함)가 시설에 로그인 및 로그아웃하고 항상 에스코트를 받도록 요구합니다: 이 요건은 조직이 시설에 대한 방문자의 접근을 통제 및 모니터링하고 신원, 목적 및 권한을 확인하도록 보장합니다 .이 요건은 또한 조직이 방문자가 제한되거나 민감한 영역, 장비 또는 정보에 접근하지 못하도록 하고 방문 내내 방문자를 에스코트하도록 보장합니다 . 이 요건은 조직의 시설, 자산 및 인력의 보안, 안전 및 규정 준수를 강화하고 잠재적인 위협, 사고 또는 위반을 방지하는 데 도움이 됩니다 .* 이 정책은 시설 및 출입구의 잠금, 경보 및 감시에 대한 요건을 정의합니다: 이 요건은 조직이 시설의 경계와 내부를 보호하고 무단 또는 의심스러운 활동이나 침입을 감지하고 대응하도록 보장합니다. 또한 이 요건은 조직이 잠금 장치, 경보, 카메라, 경비원 또는 차단벽과 같은 적절하고 효과적인 물리적 보안 조치를 사용하여 무단 액세스를 억제, 방지 또는 지연하도록 보장합니다. 이 요건은 도난, 기물 파손, 방해 행위 또는 공격으로부터 조직의 시설, 자산 및 인력을 보호하는 데 도움이 됩니다.* 이 정책은 시설 및 거주자의 비상 대비 및 대응에 대한 요건을 명시합니다: 이 요건은 조직이 시설과 거주자에게 영향을 미칠 수 있는 화재, 홍수, 지진, 정전 또는 총기 난사범과 같은 비상 사태에 대처하기 위한 절차를 계획하고 실행하도록 보장합니다. 이 요건은 또한 조직이 소화기, 응급처치 키트, 대피 경로, 비상 연락처 또는 훈련과 같은 비상 대비 및 대응을 위한 적절하고 접근 가능한 장비, 자원 및 교육을 제공하도록 보장합니다. 이 요건은 조직의 시설, 자산 및 인력의 안전, 건강 및 연속성을 보장하고 비상 사태의 영향과 피해를 최소화하는 데 도움이 됩니다. 따라서 옵션 D는 자산 관리 프로그램에 일반적으로 정의된 정책 요건을 반영하지 않는 유일한 요건이므로 정답이 맞습니다. 참고 자료: 다음 리소스에서 검증된 정답과 설명을 확인할 수 있습니다.* 1: 자산 관리 정책 가이드 + 무료 템플릿 | Fiix* 2: 자산 관리 정책: 처음부터 구축하는 방법 - Limble CMMS* 3: 자산 관리 정책, 전략 및 거버넌스 프레임워크를 개발하는 방법: 지자체에서 자산 관리에 대한 일관된 접근 방식을 설정하세요* : 물리적 보안 정책 - SANS* : 물리적 보안 정책 - IT 거버넌스새로운 질문 70아웃소싱업체의 공급업체 위험 평가 프로세스에는 다음을 제외한 모든 것이 포함됩니다:
 회사 정책에 따른 위험 평가 기준 수립
 위험 단계별 실사 기준 개발
 발견 사항의 심각도 수준에 따른 해결 일정 설정
 리소스 용량에 따른 평가 빈도 정의
아웃소싱 업체의 공급업체 위험 평가 프로세스에는 옵션 A, B, C에 언급된 모든 단계가 포함되어야 하며, 이는 공급업체의 성과, 규정 준수 및 위험 프로필에 대한 일관되고 포괄적이며 효과적인 평가를 보장하는 데 필수적이기 때문입니다. 그러나 옵션 D는 공급업체의 실제 위험 수준이 아니라 아웃소싱 업체 조직 내의 리소스 가용성을 반영하므로 공급업체 위험 평가 프로세스에서 필수 또는 권장되는 부분은 아닙니다. 리소스 역량을 기준으로 평가 주기를 정의하면 아웃소싱업체의 업무량, 예산, 직원 수에 따라 공급업체를 과소 평가하거나 과대 평가할 수 있습니다. 이로 인해 중요한 문제를 놓치거나 시간과 비용이 낭비되거나 공급업체 감독 프로그램에 공백이 생길 수 있습니다. 따라서 벤더 위험 평가 프로세스에 속하지 않는 유일한 옵션이므로 옵션 D가 정답입니다. 참고 자료: 다음 리소스는 검증된 정답과 설명을 뒷받침합니다.* 공유 평가의 CTPRP 업무 가이드 10페이지, 섹션 2.1.1에는 "평가 빈도는 리소스 가용성이 아닌 제3자의 위험 등급에 따라 결정해야 한다."* 공급업체 위험 평가 가이드, 섹션 "3단계: 공급업체 위험 평가 빈도 결정"에는 "공급업체 위험 평가 빈도는 리소스 가용성이나 편의성이 아닌 각 공급업체가 조직에 미치는 위험 수준에 따라 결정해야 한다."고 설명되어 있습니다."9단계로 성공적인 공급업체 위험 평가를 수행하는 방법"의 "8단계: 공급업체 위험 평가 빈도 결정" 섹션에서는 "공급업체 위험 평가의 빈도는 리소스 가용성이나 편의성이 아니라 각 공급업체가 조직에 미치는 위험 수준을 기반으로 해야 한다"고 조언합니다."새로운 질문 71하드웨어 장비 관리에 중점을 둔 클라우드 배포 모델은 무엇입니까?
 서비스형 기능
 서비스형 플랫폼
 서비스형 소프트웨어
 서비스형 인프라
서비스형 인프라(IaaS)는 사용자에게 서버, 스토리지 및 네트워크 장치와 같은 가상화된 하드웨어 리소스에 대한 액세스를 제공하는 클라우드 배포 모델입니다. 사용자는 클라우드 인프라에서 자체 운영 체제 및 애플리케이션을 설치 및 실행할 수 있으며, 하드웨어 장비의 구성 및 관리를 완전히 제어할 수 있습니다. IaaS는 클라우드 환경의 높은 확장성, 유연성 및 사용자 정의가 필요한 조직에 적합합니다. IaaS는 사용자에게 더 높은 수준의 서비스를 제공하고 기본 하드웨어 세부 사항을 추상화하는 FaaS(기능형 서비스), PaaS(서비스형 플랫폼), SaaS(서비스형 소프트웨어)와 같은 다른 클라우드 배포 모델과 다릅니다. 참조:* 클라우드 인프라: 4가지 주요 구성 요소 및 배포 모델* 클라우드 배포 모델 - GeeksforGeeks* 온프레미스 클라우드 배포 모델: 조직 소유 하드웨어 설명새 질문 72TPRM 프로그램 메트릭의 변경이 드물고 예외적인 보고 수준은 어느 수준인가요?
 사업부
 경영진
 위험 위원회
 이사회
TPRM 프로그램 지표는 TPRM 프로그램의 성과, 효과성 및 성숙도를 측정하는 지표입니다. 이를 통해 사업부, 경영진, 리스크 위원회, 이사회 등 다양한 이해관계자에게 TPRM 프로그램의 진행 상황, 성과, 과제를 모니터링하고 전달하는 데 도움이 됩니다. 그러나 이해관계자의 역할, 책임, 관심사123:* 사업부 등에 따라 TPRM 프로그램 지표의 보고 수준과 변경 빈도는 달라집니다: 이 수준의 보고는 공급업체 평가 현황, 시정 조치, 문제 및 사고와 같은 TPRM 프로그램의 운영 측면에 중점을 둡니다. 이 수준에서는 TPRM 프로그램의 일상적인 활동과 결과를 반영하기 때문에 TPRM 프로그램 지표의 변경이 빈번하고 세분화됩니다.* 경영진: 이 수준의 보고는 비즈니스 목표와의 연계, 규제 요건 준수, 주요 위험 관리, 리소스 및 비용 최적화 등 TPRM 프로그램의 전략적 측면에 초점을 맞춥니다. 이 수준에서 TPRM 프로그램 지표의 변경은 TPRM 프로그램의 전반적인 방향과 성과를 반영하기 때문에 빈도가 적고 집계가 더 많습니다.* 리스크 위원회: 이 수준의 보고는 위험 성향 평가, 위험 프로필 검토, 위험 정책 승인, 위험 문제 에스컬레이션 등 TPRM 프로그램의 감독 측면에 중점을 둡니다. 이 수준에서 TPRM 프로그램 지표의 변경은 TPRM 프로그램의 거버넌스 및 보증을 반영하기 때문에 가끔씩 더 분석적으로 이루어집니다.* 이사회: 이 수준의 보고는 위험 전략의 승인, 위험 동향에 대한 인식, 위험 문화에 대한 지침, 위험 이니셔티브의 지원 등 TPRM 프로그램의 자문 측면에 중점을 두고 있습니다. 이 수준에서 TPRM 프로그램 지표의 변화는 TPRM 프로그램의 높은 수준의 장기적인 비전과 가치를 반영하기 때문에 드물고 예외적인 보고 수준이므로, 정답은 D. 이사회입니다(이 수준에서 TPRM 프로그램 지표의 변화는 드물고 예외적이므로). 참고자료:* 1: TPRM 프로그램의 성공을 측정하는 15가지 KPI 및 지표 | UpGuard* 2: 타사 위험 관리 지표: 개선하기 위한 모범 사례 | Diligent* 3: TPRM 지표 - 위험 스토리 전달 - 공유 평가 | 공유 평가새로운 질문 73각 당사자가 정보 보안 위험의 양을 공유할 수 있는 계약 조항을 무엇이라고 하나요?
 책임의 제한
 사이버 보험
 불가항력
 상호 면책
면책은 한 당사자가 특정 사건이나 상황으로 인해 발생할 수 있는 손실이나 손해에 대해 다른 당사자에게 보상하기로 합의하는 계약상의 의무입니다. 상호 면책은 계약 위반, 과실 또는 법률 위반으로 인한 손실이나 손해 등 특정 손실이나 손해에 대해 양 당사자가 서로 배상하기로 합의하는 것을 의미합니다. 상호 면책은 각 당사자 또는 고객에게 영향을 미칠 수 있는 보안 사고 또는 위반에 대한 책임과 의무를 배분하는 메커니즘을 제공할 수 있으므로 각 당사자가 정보 보안 위험의 양을 공유할 수 있습니다. 상호 면책은 또한 각 당사자가 적절한 보안 통제 및 관행을 유지하고 보안 사고 또는 침해 발생 시 효과적으로 협력하고 소통하도록 장려할 수 있습니다.* A. 책임 제한은 계약 위반 또는 기타 법적 조치 발생 시 한 당사자가 다른 당사자에게 청구할 수 있는 손해의 금액 또는 유형을 제한하는 계약 조항으로, 각 당사자가 정보 보안 위험의 양을 공유할 수 있는 계약 조항이 아닙니다. 책임 제한은 한 당사자의 책임을 줄이거나 제한할 수는 있지만 반드시 양 당사자 간에 위험을 분산하거나 균형을 맞추지는 못하므로 각 당사자가 정보 보안 위험의 양을 공유할 수는 없습니다.* B. 사이버 보험은 사이버 공격, 데이터 침해 또는 기타 사이버 사고로 인한 비용과 손실을 보장하는 일종의 보험 정책입니다. 사이버 보험은 제3자 보험사에 위험을 이전하거나 완화할 수는 있지만 양 당사자 간에 위험을 배분하거나 공유할 수는 없기 때문에 각 당사자가 정보 보안 위험을 공유*할 수는 없습니다.* C. 불가항력은 자연재해, 전쟁, 팬데믹 등 예측할 수 없거나 불가피한 사건이나 상황이 발생할 경우 한쪽 또는 양 당사자가 계약 의무를 이행하지 않아도 되는 계약 조항을 말합니다. 불가항력 발생 시 계약을 일시 중단하거나 해지할 수는 있지만 반드시 양 당사자 간에 위험을 분산하거나 균형을 맞출 수는 없으므로 각 당사자가 정보 보안 위험의 양을 공유할 수는 없습니다.참고: * 공동 평가 CTPRP 학습 가이드, 62페이지, 5.2.2항: 계약 조건* 제3자 위험 관리: 공급업체 계약 약관, 섹션: 면책* 타사 공급업체의 사이버 보안 위험: PwC, 섹션: 계약 조건* [제3자 위험 관리: 제3자 생태계 혜택을 유지하면서 위험을 관리하는 방법], 섹션: 계약 약관새로운 질문 74회사 데이터를 처리하는 데 사용하던 노트북 두 대와 태블릿 한 대가 사라졌다는 공급업체의 전화를 받았습니다. 자산 분실은 2년 전에 발생했지만 최근에야 발견되었습니다. 이러한 진술은 이 공급업체에 적절한 자산 관리 프로그램이 부족하다는 것을 의미할 수 있습니다:
 자산 관리 프로그램
 물리적 및 환경적 보안 프로그램
 데이터 손실 방지 프로그램
 정보 보안 인시던트 알림 정책
설명된 시나리오는 공급업체의 자산 관리 프로그램이 부족함을 나타냅니다. 효과적인 자산 관리 프로그램에는 하드웨어 및 디바이스의 정확한 인벤토리 유지, 상태 모니터링, 분실 또는 불일치 시 즉각적인 식별 및 대응이 포함됩니다. 2년 동안 회사 데이터를 처리하던 노트북과 태블릿의 분실을 발견하지 못한 것은 물리적 자산의 추적 및 관리에 결함이 있음을 시사합니다. 이러한 소홀함은 데이터 보안, 규정 준수 및 운영 무결성과 관련된 위험으로 이어질 수 있습니다. 강력한 자산 관리 프로그램을 통해 모든 자산을 파악하고, 사용 현황을 모니터링하며, 이상 징후나 손실을 신속하게 파악하고 해결해야 합니다.참고:* ISO/IEC 27001(정보 보안 관리)과 같은 IT 자산 관리 표준은 자산 목록을 유지하고 조직 자산을 보호하기 위한 적절한 통제*를 구현하는 것이 중요하다고 강조합니다.* 국제 IT 자산 관리자 협회(IAITAM)의 "IT 자산 관리 핸드북"은 자산 추적, 모니터링 및 손실 방지를 위한 모범 사례를 포함하여 종합적인 자산 관리 프로그램 수립에 대한 지침을 제공합니다.신규 문제 75귀사는 회사의 연간 위험 평가 중에 TPRM 프로그램에 영향을 미치는 규정의 목록을 업데이트하고 있습니다. 다음 중 규정의 우선 순위를 정하는 최적의 접근 방식을 제공하는 것은 무엇입니까?
 서비스 제공업체에 대한 특정 의무의 확장을 요구하는 해당 규정을 식별한다.
 개인 정보에 직접 적용되는 규정으로만 초점을 좁힌다.
 집행 또는 벌금/과징금을 유발할 위험이 더 큰 규정을 포함시킵니다.
 연방 규정이 주 규정보다 우선하므로 연방 규정을 강조합니다.
제3자 위험 관리(TPRM)는 비즈니스 활동 또는 기능을 외부 업체에 아웃소싱하는 것과 관련된 위험을 식별, 평가 및 완화하는 프로세스입니다. TPRM은 타사의 장애나 위법 행위로 인한 잠재적 피해로부터 고객, 이해관계자, 규제기관의 이익을 보호하기 위한 다양한 규정의 영향을 받습니다. 이러한 규정은 산업, 관할권, 제3자 관계의 성격에 따라 달라질 수 있습니다. 따라서 조직은 연례 위험 평가 시 TPRM 프로그램에 영향을 미치는 규정 목록을 업데이트하고 비즈니스 목표와 위험 성향에 가장 관련성이 높고 중요한 규정의 우선순위를 정하는 것이 중요합니다. 규정의 우선순위를 정하는 최적의 접근 방식은 서비스 제공업체에 대한 특정 의무의 확장을 요구하는 해당 규정을 식별하는 것입니다. 즉, 조직은 데이터 보호, 보안, 규정 준수, 보고, 감사 또는 성과 표준과 같이 조직과 타사 파트너에게 특정 요구 사항이나 기대치를 부과하는 규정에 집중해야 합니다. 또한 이러한 규정에는 조직과 서비스 제공업체의 역할과 책임, 실사 및 모니터링 활동의 범위와 빈도, 계약 조항 및 조건, 시정 및 해지 절차가 명시되어 있을 수 있습니다. 이러한 규정을 파악함으로써 조직은 TPRM 프로그램이 규제 기대치 및 의무에 부합하는지 확인하고 제3자 관계와 관련된 위험을 효과적으로 관리하고 완화할 수 있습니다.* 서비스 제공업체에 대한 특정 의무의 확장을 요구하는 규정의 예로는 일반 개인정보 보호 규정(GDPR)이 있습니다: 이는 유럽연합 내 개인의 개인 데이터 수집, 처리 및 전송을 규율하는 유럽연합 규정입니다. GDPR은 조직이 개인 데이터를 보호하기 위해 적절한 기술적 및 조직적 조치를 구현하고 데이터 보호를 충분히 보장할 수 있는 서비스 제공업체와만 거래하도록 요구하며, 조직은 서비스 제공업체와 데이터 처리의 주제, 기간, 성격 및 목적과 양 당사자의 권리 및 의무를 명시한 서면 계약을 체결하도록 요구합니다. 또한 GDPR은 데이터 침해 또는 위반 시 엄격한 통지 및 보고 요건을 부과합니다.* 건강보험 이동성 및 책임에 관한 법률(HIPAA): 이는 개인의 건강 정보에 대한 개인정보 보호 및 보안을 규제하는 미국 연방법입니다. HIPAA는 의료 서비스 제공자, 의료 플랜, 의료 정보 센터 등 적용 대상 기관이 환자의 건강 정보를 보호하고 권한이 있는 당사자에게만 공개하거나 공유하도록 요구합니다. 또한 HIPAA는 적용 대상 기업이 자신을 대신하여 건강 정보를 처리하거나 액세스하는 서비스 제공업체와 비즈니스 파트너 계약을 체결하도록 요구합니다. 이러한 계약에는 건강 정보의 허용 및 필수 사용과 공개, 건강 정보 보호를 위한 안전장치 및 조치, 위반 또는 사고 발생 시 보고 및 통지 의무가 명시되어야 합니다.* 사베인스-옥슬리법(SOX): 기업 재무 보고 및 공시의 정확성과 신뢰성 향상을 목표로 하는 미국 연방법입니다. SOX에 따라 상장 기업은 재무 보고 프로세스에 대한 내부 통제를 수립 및 유지하고, 이러한 통제의 효과를 평가하고 보고해야 합니다. 또한 SOX는 상장기업이 외부 감사인의 독립성과 자격을 보장하고 내부 통제의 중대한 약점이나 결함을 공개할 것을 요구합니다. SOX는 회계법인, 정보 기술 공급업체, 컨설턴트 등 상장기업의 재무 보고 기능을 수행하거나 지원하는 서비스 제공업체에도 적용됩니다. SOX에 따라 상장 기업은 서비스 제공업체의 내부 통제를 평가 및 모니터링하고 감사 및 보고 범위에 포함시켜야 합니다.참고자료:* 타사 위험 관리 및 완화 | Gartner* 타사 위험 관리 프로그램을 시작하기 위한 모범 사례* 타사 위험 관리 모범 사례 및 중요한 이유* GDPR 및 타사 위험 관리* 비즈니스 파트너 및 타사 서비스 제공업체를 위한 HIPAA 규정 준수* 타사 서비스 제공업체를 위한 SOX 규정 준수 요구사항새 질문 76웹 애플리케이션을 호스팅하는 공급업체 집합에 대한 실사 요건을 정의할 때 일반적으로 공급업체의 패치 관리 통제에 대한 평가에 포함되지 않는 것은 다음 중 어느 것입니까?
 고위험 시스템의 우선 순위 패치를 적용할 수 있는 공급업체의 역량
 설치 전 패치, 서비스 팩 및 핫픽스 테스트를 위한 확립된 절차
 오픈 소스 애플리케이션 사용에 대한 승인을 얻기 위한 문서화된 프로세스
 알려진 취약점의 평가 및 우선순위 지정을 위한 공식적인 프로세스가 존재합니다.
오픈 소스 애플리케이션 사용에 대한 승인을 얻기 위한 문서화된 프로세스는 일반적으로 패치 적용 프로세스와 직접 관련이 없기 때문에 공급업체의 패치 관리 제어를 평가하는 데 포함되지 않습니다. 패치 관리 통제는 조직이 소프트웨어 취약성에 대한 패치를 식별, 획득, 설치 및 검증할 수 있도록 하는 정책, 절차 및 도구입니다. 패치 관리 통제는 알려진 소프트웨어 결함의 악용 위험을 줄이고 패치된 시스템의 기능 및 호환성을 보장하는 것을 목표로 합니다. 오픈 소스 애플리케이션 사용에 대한 승인을 얻기 위한 문서화된 프로세스는 공급업체의 제품 또는 서비스에 오픈 소스 소프트웨어 구성 요소를 사용할 경우의 법적, 보안 및 운영상의 영향을 평가하는 것을 포함하므로 소프트웨어 개발 및 조달 프로세스와 더 관련이 있습니다. 오픈 소스 소프트웨어는 독점 소프트웨어와 라이선스 조건, 품질 표준, 지원 수준이 다를 수 있으며 관리해야 할 추가적인 취약점이나 종속성이 발생할 수 있습니다. 따라서 오픈 소스 애플리케이션 사용에 대한 승인을 얻기 위한 문서화된 프로세스는 공급업체에게 좋은 관행이지만, 그 자체로 패치 관리 제어는 아닙니다. 참조:* 기업 패치 관리 계획 가이드* 시스템 패치 관리의 주요 측면 거버넌스* 공인 써드파티 위험 전문가(CTPRP) 학습 가이드새 질문 77다음 중 일반적으로 클라우드 호스팅 공급업체 평가 프로그램에 포함되지 않는 구성 요소는 무엇입니까?
 엔티티의 이미지 스냅샷 승인 및 관리 프로세스 검토
 보안 서비스 문서 및 감사 증명 보고서 요구
 패치 책임의 정의를 제공하는 규정 준수 증거 요구
 고객 수행 침투 테스트 실시
클라우드 호스팅 공급업체 평가 프로그램은 조직의 데이터 또는 애플리케이션을 호스팅하는 클라우드 서비스 제공업체(CSP)의 보안, 규정 준수 및 성능을 평가하는 프로세스입니다. 클라우드 호스팅 공급업체 평가 프로그램에는 일반적으로 다음과 같은 구성 요소123가 포함됩니다.* 기업의 이미지 스냅샷 승인 및 관리 프로세스 검토: 이 구성 요소에는 CSP가 조직의 워크로드를 실행하는 가상 머신 또는 컨테이너의 이미지 스냅샷을 생성, 승인, 저장 및 삭제하는 방법을 검증하는 것이 포함됩니다. 이미지 스냅샷에는 무단 액세스 또는 수정으로부터 보호해야 하는 민감한 데이터 또는 구성 설정이 포함될 수 있습니다.* 보안 서비스 문서 및 감사 증명 보고서가 필요합니다: 이 구성 요소에는 CSP가 조직의 데이터와 애플리케이션을 보호하기 위해 구현하는 보안 제어 및 관행을 입증하는 CSP의 문서와 보고서를 요청하고 검토하는 것이 포함됩니다. 여기에는 서비스 수준 계약(SLA), 보안 정책 및 절차, 보안 인증 및 표준, 취약성 검사 및 패치 보고서, 사고 대응 및 재해 복구 계획, SOC 2 또는 ISO 27001과 같은 독립 감사 보고서 등이 포함될 수 있습니다.* 패치 책임에 대한 정의를 제공하는 규정 준수 증거가 필요합니다: 이 구성 요소에는 클라우드 인프라에서 실행되는 운영 체제, 애플리케이션, 라이브러리의 패치를 CSP가 어떻게 처리하는지 묻고 확인하는 것이 포함됩니다. 패치는 보안 침해를 방지하고 규정 요건을 준수하기 위한 중요한 활동입니다. 조직은 클라우드 환경 패치에 대한 CSP와 조직의 역할과 책임, 패치 활동의 빈도와 범위를 이해해야 하며, 일반적으로 클라우드 호스팅 공급업체 평가 프로그램에 포함되지 않는 구성 요소는 고객이 수행하는 침투 테스트 수행입니다. 모의 침투 테스트는 시스템이나 네트워크에 대한 사이버 공격을 시뮬레이션하여 취약점 및 약점을 식별하고 악용하는 방법입니다. 모의 침투 테스트는 CSP의 보안 상태를 평가하는 데 유용한 도구가 될 수 있지만, 다음과 같은 이유로 일반적으로 클라우드 호스팅 공급업체 평가 프로그램에는 포함되지 않습니다: * 모의 침투 테스트는 고객이 클라우드 인프라에서 무단 또는 방해 활동을 수행하는 것을 금지하거나 제한할 수 있는 CSP의 서비스 약관 또는 사용 제한 정책을 위반할 수 있습니다. 고객이 CSP의 동의나 지식 없이 모의 침투 테스트를 수행할 경우 법적 또는 계약상 결과에 직면할 수 있습니다.* 모의 침투 테스트는 CSP의 정상적인 운영을 방해하거나 다른 고객을 위한 클라우드 서비스의 가용성과 성능에 영향을 미칠 수 있습니다. 고객은 CSP의 시스템 또는 네트워크에 의도하지 않은 손상이나 중단을 일으키거나, 잘못된 경보 또는 경고를 유발하여 CSP의 리소스나 주의를 돌릴 수 있습니다.* 고객이 CSP의 내부 시스템 또는 네트워크에 대한 가시성 또는 액세스 권한이 제한되거나 모의 침투 테스트 활동을 방지 또는 제한하는 보안 메커니즘 또는 대응책에 직면할 수 있으므로 모의 침투 테스트는 CSP의 보안에 대한 포괄적이거나 정확한 평가를 제공하지 못할 수 있습니다. 또한 고객이 다른 고객이나 CSP의 데이터 또는 시스템에 액세스하거나 손상시킬 경우 윤리적 또는 법적 문제에 직면할 수 있으므로 질문에 대한 검증된 답변은 D. 고객이 모의 침투 테스트를 수행합니다.참고자료:* 클라우드 공급업체 평가를 위한 4가지 중요한 모범 사례* 2024년 IT 공급업체 평가를 위한 상위 11개 설문지* 클라우드 공급업체 평가, 올바른 방법으로 수행* [클라우드 침투 테스트: 알아야 할 사항]* [클라우드 침투 테스트: 과제 및 모범 사례]새로운 문제 78위험도가 낮은 공급업체의 실사 수행을 가장 잘 설명하는 활동은 무엇인가요?
 서비스 공급업체의 자체 평가 설문지 응답 수락
 제3자 위험 관리 및 개선 활동 현황에 관한 경영진에 대한 보고서 작성
 서비스 제공업체의 자체 평가 설문지 및 외부 감사 보고서 검토
 향후 참조를 위해 서비스 제공업체의 외부 감사 보고서 요청 및 제출
실사는 잠재적 또는 기존 타사 공급업체와 관련된 위험과 기회를 평가하는 프로세스입니다. 실사는 공급업체가 조직에 미치는 위험 수준에 따라 범위와 깊이가 달라질 수 있습니다. 위험도가 낮은 벤더는 조직의 운영, 평판 또는 규정 준수에 미치는 영향이 미미하고 민감한 데이터나 기밀 데이터 또는 시스템을 취급하지 않는 벤더를 말합니다. 위험도가 낮은 공급업체의 경우 실사를 수행할 때 서비스 공급업체의 자체 평가 설문지 응답을 역량, 성과 및 규정 준수에 대한 충분한 증거로 받아들일 수 있습니다. 자체 평가 설문지는 공급업체가 자신의 조직, 서비스, 프로세스, 통제 및 정책에 대한 정보를 제공할 수 있는 도구입니다. 조직은 이 설문지를 사용하여 벤더의 신원, 자격, 참조 및 인증을 확인하고 벤더가 조직의 표준 및 기대치에 부합하는지 평가할 수 있습니다. 공급업체의 자체 평가 설문지 응답을 실사의 주요 자료로 받아들이면 조직의 시간과 리소스를 절약하고 공급업체에 대한 신뢰와 확신을 보여줄 수 있습니다. 그러나 조직은 설문지가 포괄적이고 관련성이 있으며 최신 상태인지, 공급업체의 답변이 정확하고 완전하며 일관성이 있는지 확인해야 하며, 필요한 경우 공급업체에 추가 정보 또는 문서를 요청하고 공급업체의 성과 및 규정 준수에 대한 주기적인 검토 또는 감사를 수행할 수 있는 권한도 보유해야 합니다.다른 옵션은 더 광범위하거나 엄격한 실사 방법을 포함하거나 실사와 직접 관련이 없기 때문에 위험이 낮은 벤더의 실사를 수행하는 데 적합하지 않으며, 제3자 위험 관리 및 시정 활동 상태에 관한 보고서를 경영진에게 준비하는 것은 벤더 관계를 모니터링하고 관리하는 데 중요한 부분이지만 그 자체로 실사 활동은 아닙니다. 서비스 공급업체의 자체 평가 설문지와 외부 감사 보고서를 검토하는 것이 보다 철저한 실사 방법이지만, 특히 외부 감사 보고서를 쉽게 구할 수 없거나 관련성이 낮은 공급업체의 경우에는 필요하거나 실행 가능하지 않을 수 있습니다. 향후 참조를 위해 서비스 공급업체의 외부 감사 보고서를 요청하고 제출하는 것은 실사에 대한 문서와 증거를 유지하는 좋은 관행이지만 실사 활동 자체는 아닙니다.참고자료:* 제3자 위험 관리(TPRM) | 공유 평가* 공급업체 실사 전략 가이드 및 체크리스트 | 일반* 공급업체 실사: 실무 가이드 및 체크리스트새 질문 79로 정의되는 위험 유형은 무엇입니까? "제3자가 부적절한 시스템 또는 프로세스로 인해 의무를 이행하지 못할 수 있다"로 정의된 위험 유형을 선택하세요.
 신뢰성 위험
 성과 위험
 역량 위험
 가용성 위험
이행 위험은 제3자가 부적절한 시스템이나 프로세스로 인해 의무를 이행하지 못할 수 있는 위험으로 정의되며, 상황을 정확하게 설명합니다. 이러한 유형의 위험에는 기술 인프라, 운영 절차 또는 관리 관행의 한계로 인해 제3자가 필요한 성능 수준으로 서비스 또는 제품을 제공할 수 있는 능력에 대한 우려가 포함됩니다. 성능 위험을 식별하고 관리하는 것은 제3자 위험 관리(TPRM)에서 필수적이며, 이를 통해 제3자 공급업체가 계약 및 서비스 수준 계약을 안정적으로 이행하여 조직의 운영과 서비스 제공에 미치는 영향을 최소화할 수 있습니다.참고:* 통화감독국(OCC) 및 연방금융기관감독위원회(FFIEC)의 지침과 같은 TPRM 지침은 제3자 관계와 관련된 성능 위험을 평가하고* 관리하는 것이 중요함을 강조하고 있습니다.* ISACA의 "제3자 위험 관리 가이드"는 제3자 서비스 제공업체와 관련된 성과 위험을 포함한 다양한 유형의 위험에 대해 논의하며 철저한 실사와 지속적인 모니터링의 필요성을 강조합니다.신규 문제 80산업 프레임워크를 사용하여 통제 평가를 수행할 때 제3자 위험 평가자의 역할을 설명하는 문장은 다음 중 어느 것이 거짓입니까?
 평가자의 역할은 통제 환경을 이해하기 위해 주제 전문가와 함께 발견을 수행하는 것이다.
 평가자의 역할은 통제를 테스트하거나 검증하여 위험 평가 설문지의 응답을 발견하고 검증하는 것입니다.
 평가자의 역할은 일정 기간 동안 수행된 통제의 효과에 대한 의견을 보고서에 제공하는 것입니다.
 평가자의 역할은 규정 준수 아티팩트를 검토하고 통제 속성의 존재 여부에 대한 평가를 기반으로 잠재적인 통제 격차를 식별하는 것입니다.
공유 평가 공인 제3자 위험 전문가(CTPRP) 연구 가이드에 따르면, 제3자 위험 평가자의 역할은 ISO, NIST, COBIT 또는 COSO1 등의 업계 프레임워크를 기반으로 제3자 제어의 설계 및 운영 효과를 평가하는 것입니다. 평가자의 역할은 통제 효과에 대한 의견을 제시하는 것이 아니라 사실적이고 객관적인 방식으로 평가 결과를 보고하는 것입니다2. 또한 평가자의 역할은 통제 환경을 이해하기 위해 주제 전문가와 함께 발견을 수행하고, 통제 속성을 테스트 또는 검증하여 위험 평가 설문지의 응답을 발견 및 검증하며, 규정 준수 아티팩트를 검토하고 통제 속성의 존재 여부에 대한 평가를 기반으로 잠재적인 통제 격차를 식별하는 것입니다1. 이는 모두 업계 프레임워크를 사용하여 통제 평가를 수행할 때 평가자의 역할을 설명하는 사실입니다.* 참조: 1: 공유 평가 공인 제3자 위험 전문가(CTPRP) 학습 가이드, 29페이지* 2: 제3자 위험 평가란 무엇인가요? - 리스크옵틱스새 질문 81다음 중 사고 대응 시 알림 의무를 유발할 가능성이 가장 낮은 요인은 무엇입니까?
 규제 요건
 데이터 분류 또는 민감도
 데이터 암호화
 계약 조건
사고 대응 시 알림 의무는 데이터 또는 시스템에 영향을 미치는 보안 침해 또는 사고에 대해 관련 당사자에게 알려야 하는 법적 또는 계약상의 의무를 말합니다. 이러한 의무는 사고의 유형, 범위 및 영향뿐만 아니라 관련된 관할권, 업계 및 계약 계약에 따라 달라질 수 있습니다. 통지 의무를 유발할 가능성이 가장 높은 요인은 다음과 같습니다.* 규제 요건: 보안 인시던트를 경험하거나 유발한 조직에 대해 각기 다른 법률 및 규정에서 서로 다른 통지 의무를 부과할 수 있습니다. 예를 들어 일반 개인정보 보호 규정(GDPR)에 따르면 데이터 컨트롤러는 개인정보 침해 사실을 인지한 후 72시간 이내에 감독 기관에 통지해야 하며, 침해로 인해 해당 데이터 주체의 권리와 자유에 높은 위험이 발생할 경우 부당한 지체 없이 영향을 받는 데이터 주체에게 통지해야 합니다1. 마찬가지로 컴퓨터 보안 사고 통지 규칙에 따라 은행과 서비스 제공업체는 운영, 서비스 또는 고객에 중대한 장애, 성능 저하 또는 손상을 초래하는 컴퓨터 보안 사고가 발생한 후 가능한 한 빨리, 늦어도 36시간 이내에 주 연방 규제 당국에 통지해야 합니다2.* 데이터 분류 또는 민감도: 보안 사고와 관련된 데이터의 유형과 민감도도 통지 의무에 영향을 미칠 수 있습니다. 예를 들어 데이터에 개인 식별 정보(PII), 건강 정보, 재무 정보 또는 기타 기밀 또는 민감한 정보가 포함된 경우 조직은 데이터 소유자, 규제 기관, 법 집행 기관 또는 기타 이해관계자에게 사고와 개인정보 또는 보안에 대한 잠재적 위험에 대해 알려야 할 수 있습니다3. 데이터 분류 또는 민감도에 따라 통지의 내용과 시기, 사용할 적절한 커뮤니케이션 채널이 결정될 수도 있습니다.* 계약 조건: 조직과 제3자 공급업체 또는 서비스 제공업체 간의 계약 조건에도 보안 사고 발생 시 통지 의무가 명시되어 있을 수 있습니다. 예를 들어, 계약서에는 각 당사자의 역할과 책임, 통지 절차 및 일정, 공유할 정보, 취해야 할 시정 조치, 계약 위반에 대한 처벌 또는 책임이 정의되어 있을 수 있습니다. 계약 조건에는 조직 또는 제3자에게 적용되는 규제 요건이나 업계 표준도 반영될 수 있으며, 통지 의무를 유발할 가능성이 가장 낮은 요소는 다음과 같습니다.* 데이터의 암호화입니다: 데이터 암호화는 무단 액세스, 수정 또는 공개로부터 데이터를 보호하는 보안 조치입니다. 데이터 암호화는 악의적인 행위자에게 데이터가 노출되는 것을 방지하거나 제한할 수 있으므로 보안 사고의 영향이나 심각성을 줄일 수 있습니다. 그러나 조직은 여전히 사고의 성격과 범위를 평가하고 암호화의 효과 또는 침해 여부를 판단해야 하므로 데이터를 암호화한다고 해서 통지 의무가 없어지는 것은 아닙니다. 또한 데이터 암호화만으로는 삭제, 손상 또는 랜섬웨어와 같은 다른 유형의 위협으로부터 데이터를 보호하기에 충분하지 않을 수 있습니다. 따라서 데이터 암호화는 사고 대응 시 통지 의무에 영향을 미치는 요인이 아닙니다.* 참고: GDPR 제33조 1: 감독 기관에 대한 개인 데이터 침해 통지* 2: 컴퓨터 보안 사고 통지 규칙* 3: 제3자 인시던트 관리(TPIM): IRP와 써드파티의 균형을 맞추는 방법* : [써드파티 사고 대응 개선]* : [써드파티 인시던트 대응 플레이북]* : [써드파티 인시던트 대응 플레이북] : [암호화가 데이터 유출로부터 기업을 보호할 수 있나요?]새로운 질문 82제4자 위험을 관리하는 가장 좋은 방법은 다음과 같습니다:
 서비스를 아웃소싱하기 전에 공급업체가 통지를 제공하고 서면 동의를 받도록 요구하는 조항을 공급업체 계약에 포함시킵니다.
 공급업체가 기밀 데이터 또는 시스템에 대한 액세스를 포함하는 서비스를 아웃소싱하는 것을 금지하는 조항을 계약서에 포함시킵니다.
 TPRM 프로그램에 정의된 대로 실사 증거가 필요한 하도급에 대한 통지 및 승인 계약 조항을 포함시킵니다.
 기밀 데이터 또는 시스템에 대한 액세스가 포함된 모든 아웃소싱 서비스에 대해 공급업체가 사이버 보험 정책을 유지하도록 요구합니다.
제4자 위험은 조직의 직접적인 제3자 파트너의 하청업체, 공급업체 또는 서비스 제공업체와 관련된 잠재적 위협 및 취약성을 말합니다. 이로 인해 조직의 보안, 데이터 보호 및 비즈니스 복원력에 영향을 미칠 수 있는 복잡한 종속성 및 노출 네트워크가 형성될 수 있습니다. 이러한 위험을 효과적으로 관리하려면 조직은 확장된 벤더 및 공급업체 네트워크에 대한 포괄적인 실사를 수행하고 모든 하도급 활동에 대한 통지 및 승인을 요구하는 계약 규정을 포함해야 합니다. 이를 통해 조직은 하청업체가 직접적인 제3자 파트너와 동일한 기준과 기대치를 충족하고 조직의 데이터와 시스템을 보호하기 위한 적절한 통제 및 안전장치를 갖추고 있는지 확인할 수 있습니다. 또한 조직은 하청업체의 성과와 규정 준수를 정기적으로 모니터링 및 평가하고 위험 환경의 변화를 반영하여 필요에 따라 계약 조항을 업데이트해야 합니다. 참고자료:* 제4자 및 제3자 위험의 이해: 알아야 할 사항* 제4자 및 제3자 관리를 위한 모범 사례* 제4자 위험 관리: 모범 사례새 질문 83시스템 및 애플리케이션과 관련된 사이버 보안 사고 후 분석을 수행할 때 패치 관리에서 가장 중요한 요소는 무엇인가요?
 구성
 로그 보존
 승인
 테스트
패치 관리에서 시스템 및 애플리케이션과 관련된 사이버 보안 사고 후 분석을 수행할 때 가장 중요한 요소는 테스트입니다. 패치를 배포하기 전에 적절한 테스트를 수행하면 시스템 기능이나 보안에 영향을 줄 수 있는 새로운 문제나 비호환성을 초래하지 않고 취약성을 효과적으로 해결할 수 있습니다. 테스트를 통해 조직은 패치가 시스템이나 애플리케이션의 성능에 부정적인 영향을 미치지 않고 식별된 보안 문제를 해결하는지 확인할 수 있습니다. 또한 기존 구성 또는 종속성과의 잠재적인 충돌을 식별하는 데에도 도움이 됩니다. 효과적인 테스트 전략에는 회귀 테스트, 성능 테스트, 보안 테스트가 포함되어 패치를 광범위하게 배포하기 전에 패치의 효과와 안전성을 종합적으로 검증할 수 있습니다. 이러한 접근 방식은 패치 관리 모범 사례와 일치하며, 의도하지 않은 결과의 위험을 완화하고 시스템과 애플리케이션의 지속적인 보안과 안정성을