ISO-IEC-27001-Lead-Implementer 문제 61
시나리오 8: SunDee는 미국 캘리포니아에 본사를 둔 미국의 바이오제약 회사입니다. 심혈관 질환, 종양학, 뼈 건강 및 염증에 중점을 두고 새로운 인간 치료법 개발을 전문으로 합니다. 회사는 지난 2년간 SO/IEC 27001을 기반으로 한 정보보안관리시스템(ISMS)을 구축해 왔습니다. 그러나 ISMS의 성과와 효율성을 모니터링하거나 측정하지 않았으며 정기적으로 경영 검토를 실시했습니다. 재인증 심사 직전에 회사는 내부 심사를 실시하기로 결정했습니다. 또한 대부분의 직원에게 해당 부서의 지난 2년간의 개인별 보고서를 작성하도록 요청했습니다. 이로 인해 생산 부서에는 최적의 인력이 부족해졌고, 이로 인해 회사의 재고가 감소했습니다.
Tessa는 SunDee의 내부 감사관이었습니다. 50명의 직원이 여러 보고서를 작성했기 때문에 내부 감사 프로세스는 계획보다 훨씬 오래 걸렸고 일관성이 매우 없었으며 Tessa가 SunDee가 ISMS의 성과를 적절하게 평가해야 한다고 결론을 내린 정성적 측정 방법도 없었습니다. 그녀는 SunDee의 ISMS 성과 평가 부주의를 주요 부적합으로 정의하여 부적합에 대한 설명, 감사 결과 및 권장 사항을 포함하는 부적합 보고서를 작성했습니다. 또한 Tessa는 SunDee가 이러한 문제를 해결할 수 있는 새로운 계획을 작성하여 시나리오 8을 기반으로 최고 경영진에게 제시했습니다. 부적합 보고서에 필요한 모든 측면이 포함되어 있습니까?
Tessa는 SunDee의 내부 감사관이었습니다. 50명의 직원이 여러 보고서를 작성했기 때문에 내부 감사 프로세스는 계획보다 훨씬 오래 걸렸고 일관성이 매우 없었으며 Tessa가 SunDee가 ISMS의 성과를 적절하게 평가해야 한다고 결론을 내린 정성적 측정 방법도 없었습니다. 그녀는 SunDee의 ISMS 성과 평가 부주의를 주요 부적합으로 정의하여 부적합에 대한 설명, 감사 결과 및 권장 사항을 포함하는 부적합 보고서를 작성했습니다. 또한 Tessa는 SunDee가 이러한 문제를 해결할 수 있는 새로운 계획을 작성하여 시나리오 8을 기반으로 최고 경영진에게 제시했습니다. 부적합 보고서에 필요한 모든 측면이 포함되어 있습니까?
ISO-IEC-27001-Lead-Implementer 문제 62
시나리오 1: HealthGenic은 웹 기반 의료 소프트웨어를 사용하여 유아기부터 성인기 초기까지 개인의 건강과 성장을 모니터링하는 소아과 진료소입니다. 이 소프트웨어는 또한 약속을 예약하고, 맞춤형 의료 보고서를 작성하고, 환자의 데이터와 병력을 저장하고, 모든 의료인과 의사소통하는 데에도 사용됩니다.
[^부모, 다른 의사, 의료 실험실 직원을 포함한 관련 당사자.
지난 달 HealthGenic은 소프트웨어에 액세스하는 사용자의 증가로 인해 여러 차례 서비스 중단을 경험했습니다. 회사가 소프트웨어를 사용하는 동안 직면한 또 다른 문제는 복잡한 사용자 인터페이스로, 훈련받지 않은 직원이 사용하기 어렵다고 느꼈습니다.
HealthGenic의 최고 경영진은 이 문제에 대해 소프트웨어를 개발한 회사에 즉시 알렸습니다. 소프트웨어 회사가 문제를 해결했습니다. 그러나 그 과정에서 HealthGenic의 환자와 관련된 민감한 정보로 구성된 일부 파일을 수정했습니다. 수정된 내용으로 인해 불완전하고 부정확한 의료 보고서가 작성되었으며, 더 중요하게는 환자의 개인정보가 침해되었습니다.
시나리오 1에 따르면 HealthGenic의 정보 무결성 손실로 인한 잠재적인 영향은 무엇입니까?
[^부모, 다른 의사, 의료 실험실 직원을 포함한 관련 당사자.
지난 달 HealthGenic은 소프트웨어에 액세스하는 사용자의 증가로 인해 여러 차례 서비스 중단을 경험했습니다. 회사가 소프트웨어를 사용하는 동안 직면한 또 다른 문제는 복잡한 사용자 인터페이스로, 훈련받지 않은 직원이 사용하기 어렵다고 느꼈습니다.
HealthGenic의 최고 경영진은 이 문제에 대해 소프트웨어를 개발한 회사에 즉시 알렸습니다. 소프트웨어 회사가 문제를 해결했습니다. 그러나 그 과정에서 HealthGenic의 환자와 관련된 민감한 정보로 구성된 일부 파일을 수정했습니다. 수정된 내용으로 인해 불완전하고 부정확한 의료 보고서가 작성되었으며, 더 중요하게는 환자의 개인정보가 침해되었습니다.
시나리오 1에 따르면 HealthGenic의 정보 무결성 손실로 인한 잠재적인 영향은 무엇입니까?
ISO-IEC-27001-Lead-Implementer 문제 63
시나리오 9: OpenTech는 IT 및 통신 서비스를 제공합니다. 이는 데이터 통신 기업과 네트워크 운영자가 다중 서비스 제공자가 되도록 지원합니다. 내부 감사 중에 내부 감사자인 Tim은 모니터링 절차와 관련된 부적합 사항을 식별했습니다. 그는 여러 시스템 취약성을 식별하고 평가했습니다.
Tim은 민감한 정보를 처리하는 시스템 및 서비스의 사용자 ID가 재사용되었으며 액세스 제어 정책이 준수되지 않았음을 발견했습니다. 이 부적합의 근본 원인을 분석한 후 ISMS 프로젝트 관리자는 부적합을 해결하기 위해 가능한 조치 목록을 개발했습니다. 그런 다음 ISMS 프로젝트 관리자는 목록을 분석하고 근본 원인을 제거하고 향후 유사한 상황을 예방할 수 있는 활동을 선택했습니다. 이러한 활동은 실행 계획에 포함되었습니다. 최고 경영진이 승인한 실행 계획은 다음과 같이 작성되었습니다.
정보통신기술(ICT) 부서에서 네트워크 액세스를 효과적으로 관리하고 모니터링할 수 있도록 새로운 버전의 액세스 제어 정책이 수립되고 새로운 제한 사항이 생성됩니다. 승인된 실행 계획이 구현되었으며 모든 실행이 계획에 설명되어 있습니다. 문서화되었습니다.
시나리오 9에 따르면, 식별된 부적합에 대한 조치 계획이 발견된 부적합을 제거하기에 충분합니까?
Tim은 민감한 정보를 처리하는 시스템 및 서비스의 사용자 ID가 재사용되었으며 액세스 제어 정책이 준수되지 않았음을 발견했습니다. 이 부적합의 근본 원인을 분석한 후 ISMS 프로젝트 관리자는 부적합을 해결하기 위해 가능한 조치 목록을 개발했습니다. 그런 다음 ISMS 프로젝트 관리자는 목록을 분석하고 근본 원인을 제거하고 향후 유사한 상황을 예방할 수 있는 활동을 선택했습니다. 이러한 활동은 실행 계획에 포함되었습니다. 최고 경영진이 승인한 실행 계획은 다음과 같이 작성되었습니다.
정보통신기술(ICT) 부서에서 네트워크 액세스를 효과적으로 관리하고 모니터링할 수 있도록 새로운 버전의 액세스 제어 정책이 수립되고 새로운 제한 사항이 생성됩니다. 승인된 실행 계획이 구현되었으며 모든 실행이 계획에 설명되어 있습니다. 문서화되었습니다.
시나리오 9에 따르면, 식별된 부적합에 대한 조치 계획이 발견된 부적합을 제거하기에 충분합니까?
ISO-IEC-27001-Lead-Implementer 문제 64
시나리오 4에 따르면 TradeB가 숫자가 아닌 세 가지 범주를 기반으로 위험 수준을 정의했다는 사실은 다음을 나타냅니다.
ISO-IEC-27001-Lead-Implementer 문제 65
시나리오 6: Skyver는 게임 콘솔, 평면 TV를 포함한 전자 제품의 전 세계 배송을 제공합니다. 컴퓨터, 프린터. 정보 보안을 보장하기 위해 회사는 ISO/IEC 27001의 요구 사항을 기반으로 정보 보안 관리 시스템(ISMS)을 구현하기로 결정했습니다.
회사 최고의 정보 보안 전문가인 Colin은 정보 보안 과제 및 기타 정보 보안 관련 통제에 관해 회사 직원을 대상으로 교육 및 인식 세션을 개최하기로 결정했습니다. 세션에는 Skyver의 정보 보안 접근 방식과 피싱 및 악성 코드를 완화하기 위한 기술 등의 주제가 포함되었습니다.
세션 참가자 중 한 명은 HR 부서에서 근무하는 Lisa입니다. Colin은 기존 Skyver의 정보 보안 정책 및 절차를 정직하고 공정하게 설명하지만, 논의되는 일부 문제는 너무 기술적이고 세션을 완전히 이해하지 못한다고 생각합니다. 따라서 그녀는 시나리오 6을 기반으로 트레이너와 동료에게 추가 도움을 요청하는 경우가 많습니다. Lisa는 교육 및 인식 세션에서 논의되는 일부 문제가 너무 기술적이어서 세션을 완전히 이해하지 못한다는 사실을 발견했습니다. 이것은 무엇을 의미합니까?
회사 최고의 정보 보안 전문가인 Colin은 정보 보안 과제 및 기타 정보 보안 관련 통제에 관해 회사 직원을 대상으로 교육 및 인식 세션을 개최하기로 결정했습니다. 세션에는 Skyver의 정보 보안 접근 방식과 피싱 및 악성 코드를 완화하기 위한 기술 등의 주제가 포함되었습니다.
세션 참가자 중 한 명은 HR 부서에서 근무하는 Lisa입니다. Colin은 기존 Skyver의 정보 보안 정책 및 절차를 정직하고 공정하게 설명하지만, 논의되는 일부 문제는 너무 기술적이고 세션을 완전히 이해하지 못한다고 생각합니다. 따라서 그녀는 시나리오 6을 기반으로 트레이너와 동료에게 추가 도움을 요청하는 경우가 많습니다. Lisa는 교육 및 인식 세션에서 논의되는 일부 문제가 너무 기술적이어서 세션을 완전히 이해하지 못한다는 사실을 발견했습니다. 이것은 무엇을 의미합니까?