ISO-IEC-27001-Lead-Implementer 문제 41
시나리오 10: NetworkFuse는 네트워크 하드웨어를 개발, 제조 및 판매합니다. 회사는 약 2년 동안 ISO/IEC 27001 요구 사항을 기반으로 하는 운영 정보 보안 관리 시스템(ISMS)과 ISO 9001을 기반으로 하는 품질 관리 시스템(QMS)을 보유하고 있습니다. 최근에는 ISO/IEC 27001 및 ISO 9001에 대한 인증을 획득하기 위해 복합인증심사를 신청하였습니다.
인증 기관을 선정한 후, NetworkFuse는 직원들의 감사 준비를 완료했습니다. 회사는 최고 경영진의 의견에 따라 감사 전에 자체 평가를 실시하지 않기로 결정했습니다. 또한 내부 감사 보고서, 경영 검토, 보유 기술, ISMS 및 QMS의 일반 운영 등 문서화된 정보의 가용성을 보장했습니다.
그러나 회사는 인증기관에 문서를 외부로 반출할 수 없다고 요청했으나 NetworkFuse가 배정된 감사팀장을 거부하고 교체를 요청하여 예정된 날짜 내에 감사가 수행되지 않았습니다. 회사는 동일한 감사팀이 있다고 주장했습니다. 리더는 회사의 최고 경영진에게 잠재적인 이해 상충을 야기할 수 있는 주요 경쟁업체에 인증을 권장했습니다. 인증 기관에서 요청을 수락하지 않았습니다. 위의 시나리오를 바탕으로 다음 질문에 답하세요.
NetworkFuse는 인증 감사의 전제 조건을 충족합니까?
인증 기관을 선정한 후, NetworkFuse는 직원들의 감사 준비를 완료했습니다. 회사는 최고 경영진의 의견에 따라 감사 전에 자체 평가를 실시하지 않기로 결정했습니다. 또한 내부 감사 보고서, 경영 검토, 보유 기술, ISMS 및 QMS의 일반 운영 등 문서화된 정보의 가용성을 보장했습니다.
그러나 회사는 인증기관에 문서를 외부로 반출할 수 없다고 요청했으나 NetworkFuse가 배정된 감사팀장을 거부하고 교체를 요청하여 예정된 날짜 내에 감사가 수행되지 않았습니다. 회사는 동일한 감사팀이 있다고 주장했습니다. 리더는 회사의 최고 경영진에게 잠재적인 이해 상충을 야기할 수 있는 주요 경쟁업체에 인증을 권장했습니다. 인증 기관에서 요청을 수락하지 않았습니다. 위의 시나리오를 바탕으로 다음 질문에 답하세요.
NetworkFuse는 인증 감사의 전제 조건을 충족합니까?
ISO-IEC-27001-Lead-Implementer 문제 42
시나리오 2: 뷰티(Beauty)는 최근 전통적인 소매업에서 벗어나 전자상거래 모델로 전환한 화장품 회사입니다. 최고 경영진은 자체 맞춤형 플랫폼을 사내에 구축하고 온라인 송금을 지원하는 온라인 결제 시스템을 운영하는 외부 제공업체에 결제 프로세스를 아웃소싱하기로 결정했습니다.
이러한 비즈니스 모델의 변화로 인해 중요 자산과 관련된 식별된 위협 및 취약점을 기반으로 다양한 보안 제어가 구현되었습니다. 고객의 정보를 보호합니다.
뷰티의 직원들은 비밀 유지 계약에 서명해야 했습니다. 또한, 회사는 승인된 직원만이 민감한 파일에 접근할 수 있도록 모든 사용자 접근 권한을 검토하고 새로운 직무 분리 차트 초안을 작성했습니다.
하지만 전자상거래 모델로 전환한 지 얼마 지나지 않아 보안 사고를 처리해야 했던 IT팀에게는 전환이 쉽지 않았습니다. 사건을 조사한 후 팀은 오래된 맬웨어 방지 소프트웨어로 인해 공격자가 파일에 대한 액세스를 조작하고 이름과 집 주소를 포함한 고객의 정보를 노출했다고 결론지었습니다.
IT 팀은 기존 맬웨어 방지 소프트웨어 사용을 중단하고 유사한 사고가 발생할 경우 악성 코드를 자동으로 제거하는 새 소프트웨어를 설치하기로 결정했습니다. 새로운 소프트웨어는 회사 내 모든 워크스테이션에 설치되었습니다. 팀은 새 소프트웨어를 설치한 후 최신 악성 코드 정의로 업데이트하고 자동 업데이트 기능을 활성화하여 항상 최신 상태를 유지했습니다. 또한 민감한 정보에 접근할 때 사용자 ID와 비밀번호를 요구하는 인증 프로세스를 구축했습니다.
또한 뷰티는 시스템 및 네트워크 보안의 중요성에 대한 인식을 제고하기 위해 기밀 정보에 접근할 수 있는 IT팀과 기타 직원을 대상으로 다수의 정보 보안 인식 세션을 실시했습니다.
위의 시나리오를 바탕으로 다음 질문에 답하세요.
사건을 조사한 후. Beauty는 새로운 맬웨어 방지 소프트웨어를 설치하기로 결정했습니다. 이 경우 어떤 유형의 보안 제어가 구현되었습니까?
이러한 비즈니스 모델의 변화로 인해 중요 자산과 관련된 식별된 위협 및 취약점을 기반으로 다양한 보안 제어가 구현되었습니다. 고객의 정보를 보호합니다.
뷰티의 직원들은 비밀 유지 계약에 서명해야 했습니다. 또한, 회사는 승인된 직원만이 민감한 파일에 접근할 수 있도록 모든 사용자 접근 권한을 검토하고 새로운 직무 분리 차트 초안을 작성했습니다.
하지만 전자상거래 모델로 전환한 지 얼마 지나지 않아 보안 사고를 처리해야 했던 IT팀에게는 전환이 쉽지 않았습니다. 사건을 조사한 후 팀은 오래된 맬웨어 방지 소프트웨어로 인해 공격자가 파일에 대한 액세스를 조작하고 이름과 집 주소를 포함한 고객의 정보를 노출했다고 결론지었습니다.
IT 팀은 기존 맬웨어 방지 소프트웨어 사용을 중단하고 유사한 사고가 발생할 경우 악성 코드를 자동으로 제거하는 새 소프트웨어를 설치하기로 결정했습니다. 새로운 소프트웨어는 회사 내 모든 워크스테이션에 설치되었습니다. 팀은 새 소프트웨어를 설치한 후 최신 악성 코드 정의로 업데이트하고 자동 업데이트 기능을 활성화하여 항상 최신 상태를 유지했습니다. 또한 민감한 정보에 접근할 때 사용자 ID와 비밀번호를 요구하는 인증 프로세스를 구축했습니다.
또한 뷰티는 시스템 및 네트워크 보안의 중요성에 대한 인식을 제고하기 위해 기밀 정보에 접근할 수 있는 IT팀과 기타 직원을 대상으로 다수의 정보 보안 인식 세션을 실시했습니다.
위의 시나리오를 바탕으로 다음 질문에 답하세요.
사건을 조사한 후. Beauty는 새로운 맬웨어 방지 소프트웨어를 설치하기로 결정했습니다. 이 경우 어떤 유형의 보안 제어가 구현되었습니까?
ISO-IEC-27001-Lead-Implementer 문제 43
조직은 기능을 자세히 설명하여 구현한 각 보안 제어를 문서화했습니다.
ISO/IEC 27001을 준수합니까?
ISO/IEC 27001을 준수합니까?
ISO-IEC-27001-Lead-Implementer 문제 44
직원들에게 최소한 60일에 한 번씩 이메일 비밀번호를 변경하도록 요구한 경우 회사 A는 어떤 위험 처리 옵션을 구현했습니까?
ISO-IEC-27001-Lead-Implementer 문제 45
ISO/IEC 27001을 기반으로 ISMS를 구현하는 소규모 조직은 내부 감사 기능을 제3자에게 아웃소싱하기로 결정했습니다. 이것이 허용됩니까?