CISA Simple 23 Questions

 

리스크 관리의 목적은 무엇입니까?
A: 리스크 관리의 목적은 조직에 대한 리스크를 파악, 평가 및 우선순위를 정하고 이러한 리스크를 완화하기 위한 제어를 구현하는 것입니다.

조직 내 정보 보안 기능의 주요 책임은 무엇입니까?
A: 조직 내 정보 보안 기능의 주요 책임은 정보의 기밀성, 무결성 및 가용성을 보장하는 것입니다.

기밀성, 무결성 및 가용성의 차이점은 무엇입니까?
A: 기밀성이란 권한을 가진 개인만이 정보에 접근할 수 있도록 보장하는 것을 말합니다. 무결성은 정보가 정확하고 완전함을 보장하는 것을 의미한다. 가용성은 권한을 부여받은 개인이 필요할 때 정보에 접근할 수 있도록 보장하는 것을 의미한다.

예방, 탐지 및 교정 제어의 차이점은 무엇입니까?
A: 예방적 통제는 사고가 발생하는 것을 방지하는 것을 목표로 한다. 탐지 통제는 이미 발생한 사건을 탐지하는 것을 목표로 한다. 교정 제어는 이미 발생한 사고를 수정하고 다시 발생하지 않도록 하는 것을 목표로 합니다.

보안 정책의 목적은 무엇입니까?
A: 보안 정책의 목적은 보안에 대한 조직의 입장을 정의하고 직원들이 정보의 보안을 유지하기 위해 어떻게 행동해야 하는지에 대한 지침을 제공하는 것입니다.

위협과 위험의 차이점은 무엇입니까?
A: 위협은 잠재적인 위험이나 불리한 사건이다. 위험은 특정 위협이 현실화되어 조직에 영향을 미칠 가능성입니다.

감사 프로그램의 목적은 무엇입니까?
A: 감사 프로그램의 목적은 조직의 통제 효과를 평가하고 개선해야 할 부분을 파악하는 것입니다.

취약성 평가와 침투 테스트의 차이점은 무엇입니까?
A: 취약성 평가는 조직의 시스템과 네트워크를 체계적으로 조사하여 취약성을 파악하는 것입니다. 침투 테스트는 취약점을 식별하고 조직의 방어를 평가하기 위해 조직의 시스템과 네트워크에 대한 실제 공격을 시뮬레이션하는 것이다.

재해 복구 계획의 목적은 무엇입니까?
A: 재해 복구 계획의 목적은 재해 발생 시 조직이 중요한 시스템과 데이터를 복구할 수 있도록 보장하는 것입니다.

비즈니스 영향 분석의 목적은 무엇입니까?
A: 비즈니스 영향 분석의 목적은 재해가 조직에 미칠 수 있는 잠재적 영향을 파악하고 시스템과 데이터의 중요도에 따라 복구 작업의 우선 순위를 정하는 것입니다.

 

보안 감사와 개인 정보 감사의 차이점은 무엇입니까?
A: 보안 감사는 정보 시스템과 데이터의 보안에 초점을 맞추고 있습니다. 개인 정보 감사는 개인 정보의 수집, 저장 및 사용에 중점을 둡니다.

취약성 평가와 위험 평가의 차이점은 무엇입니까?
A: 취약점 평가는 조직의 시스템과 네트워크의 취약점을 식별합니다. 위험 평가는 조직과 조직의 정보 시스템에 대한 잠재적 위협의 가능성과 영향을 평가합니다.

사고 대응 계획의 목적은 무엇입니까?
A: 사고대응계획의 목적은 취해야 할 조치, 개인의 역할과 책임, 의사소통 및 보고 절차 등 보안사고에 대응하기 위한 틀을 제공하는 것입니다.

액세스 제어와 인증의 차이점은 무엇입니까?
A: 접근 제어는 누가 자원과 정보에 접근할 수 있는지를 결정합니다. 인증은 리소스 및 정보에 대한 액세스를 요청하는 개인의 신원을 확인합니다.

암호화와 해시의 차이점은 무엇입니까?
A: 암호화는 정보의 기밀성을 보호하기 위해 일반 텍스트를 코드화된 표현으로 변환하는 과정입니다. 해싱은 일반 텍스트를 고정된 길이의 문자열로 변환하는 프로세스로, 일반적으로 데이터 무결성을 확인하는 데 사용됩니다.

방화벽과 침입 감지 시스템의 차이점은 무엇입니까?
A: 방화벽은 미리 정해진 보안 규칙에 따라 들어오고 나가는 네트워크 트래픽을 모니터링하고 제어하는 네트워크 보안 장치입니다. 침입 탐지 시스템(, IDS)은 보안 사고의 징후가 있는지 네트워크 및 시스템 로그를 분석하는 소프트웨어 응용 프로그램입니다.

보안 인식 프로그램의 목적은 무엇입니까?
A: 보안 의식 프로그램의 목적은 직원들에게 보안 정책, 절차 및 모범 사례에 대해 교육하고, 작업장에서 보안의 중요성에 대한 인식을 높이는 것입니다.

기밀성, 개인 정보 보호 및 보안의 차이점은 무엇입니까?
A: 기밀성이란 민감한 정보를 무단 액세스로부터 보호하는 것을 말합니다. 개인 정보 보호는 개인 정보를 무단 수집, 사용 및 공개로부터 보호하는 것을 의미합니다. 보안은 무단 액세스, 사용, 공개, 중단, 수정 또는 파괴로부터 정보 시스템 및 데이터를 보호하는 것을 의미합니다.

취약성과 위협의 차이점은 무엇입니까?
A: 취약성은 위협에 의해 악용될 수 있는 시스템 또는 네트워크의 취약성입니다. 위협은 시스템 또는 네트워크에 해를 끼칠 수 있는 잠재적 위험 또는 유해한 이벤트입니다.

보안 사고 보고서의 목적은 무엇입니까?
A: 보안 사고 보고서의 목적은 보안 사고의 유형, 영향을 받는 시스템 및 데이터, 보안 사고의 영향을 억제하고 완화하기 위해 취한 조치를 포함한 보안 사고의 세부 사항을 문서화하는 것입니다.

내부 감사와 외부 감사의 차이점은 무엇입니까?
A: 내부 감사는 조직의 시스템과 통제를 직원들이 평가하는 것입니다. 외부 감사는 독립적인 제3자 감사에 의해 조직의 시스템과 통제를 평가하는 것이다.

보안 평가와 보안 감사의 차이점은 무엇입니까?
A: 보안 평가는 잠재적인 취약성과 위험을 식별하기 위해 조직의 시스템과 통제를 검토하는 것입니다. 보안 감사는 조직의 시스템과 통제를 심층적으로 평가하여 보안 정책 및 표준의 효과와 준수 여부를 결정하는 것입니다.

보안 제어 프레임워크의 목적은 무엇입니까?
A: 보안 통제 프레임워크의 목적은 보안 통제의 식별, 선택 및 구현을 포함한 정보 보안 관리에 대한 표준화된 접근 방식을 제공하는 것입니다.