ISO-IEC-27001-Lead-Implementer 문제 1
시나리오 4: TradeB. 이제 막 시장에 진출한 상업은행으로 고객으로부터 예금을 받고 기본적인 금융 서비스와 투자 대출을 제공합니다. TradeB는 ISO/IEC 27001을 기반으로 정보보안 관리시스템(ISMS)을 구현하기로 결정했습니다. 관리 경험이 없습니다.
[^시스템 구현, TradeB의 최고 경영진은 ISMS 구현 프로젝트를 지휘하고 관리하기 위해 두 명의 전문가와 계약했습니다.
먼저 프로젝트 팀은 ISO/IEC 27001 Annex A의 93개 통제를 분석하고 회사에 적용 가능한 것으로 간주되는 보안 통제와 그 목표만 나열했습니다. 이 분석을 바탕으로 적용성 기술서 초안을 작성했습니다. 그 후 위험 평가를 실시하여 하드웨어, 소프트웨어, 네트워크 등의 자산과 위협 및 취약성을 식별하고 잠재적 결과 및 가능성을 평가하고 숫자가 아닌 세 가지 범주(낮음, 낮음, 낮음, 낮음, 중간, 높음). 위험 평가 기준에 따라 위험을 평가하고 위험도가 높은 범주만 다루기로 결정했습니다. 또한 새로운 버전의 접근 통제 정책을 수립하여 관리자 권한의 무단 사용 및 여러 하드웨어 장애로 인한 시스템 중단을 중점적으로 다루기로 결정했습니다. , 사용자 액세스를 관리 및 제어하기 위한 제어 구현, 비즈니스 연속성을 위한 ICT 준비 제어 구현 마지막으로 위험 평가 보고서 초안을 작성했습니다. 이 보고서에는 이러한 보안 제어 구현 후 위험 수준이 허용 가능한 수준보다 낮을 경우를 기록했습니다. 수준에 도달하면 위험이 허용됩니다. 시나리오 4에 제시된 조치 중 ISO/IEC 27001의 요구 사항을 준수하지 않는 것은 무엇입니까?
[^시스템 구현, TradeB의 최고 경영진은 ISMS 구현 프로젝트를 지휘하고 관리하기 위해 두 명의 전문가와 계약했습니다.
먼저 프로젝트 팀은 ISO/IEC 27001 Annex A의 93개 통제를 분석하고 회사에 적용 가능한 것으로 간주되는 보안 통제와 그 목표만 나열했습니다. 이 분석을 바탕으로 적용성 기술서 초안을 작성했습니다. 그 후 위험 평가를 실시하여 하드웨어, 소프트웨어, 네트워크 등의 자산과 위협 및 취약성을 식별하고 잠재적 결과 및 가능성을 평가하고 숫자가 아닌 세 가지 범주(낮음, 낮음, 낮음, 낮음, 중간, 높음). 위험 평가 기준에 따라 위험을 평가하고 위험도가 높은 범주만 다루기로 결정했습니다. 또한 새로운 버전의 접근 통제 정책을 수립하여 관리자 권한의 무단 사용 및 여러 하드웨어 장애로 인한 시스템 중단을 중점적으로 다루기로 결정했습니다. , 사용자 액세스를 관리 및 제어하기 위한 제어 구현, 비즈니스 연속성을 위한 ICT 준비 제어 구현 마지막으로 위험 평가 보고서 초안을 작성했습니다. 이 보고서에는 이러한 보안 제어 구현 후 위험 수준이 허용 가능한 수준보다 낮을 경우를 기록했습니다. 수준에 도달하면 위험이 허용됩니다. 시나리오 4에 제시된 조치 중 ISO/IEC 27001의 요구 사항을 준수하지 않는 것은 무엇입니까?
ISO-IEC-27001-Lead-Implementer 문제 2
시나리오 5에 따르면, Operaze의 MR 관리자는 어떤 이해관계자 범주에 속합니까?
ISO-IEC-27001-Lead-Implementer 문제 3
시나리오 1에 설명된 상황 중 HealthGenic에 대한 위협을 나타내는 것은 무엇입니까?
ISO-IEC-27001-Lead-Implementer 문제 4
시나리오 7에 따르면 Anna는 데이터를 수집할 때 무엇을 알아야 합니까?
ISO-IEC-27001-Lead-Implementer 문제 5
시나리오 2: 뷰티(Beauty)는 최근 전통적인 소매업에서 벗어나 전자상거래 모델로 전환한 화장품 회사입니다. 최고 경영진은 자체 맞춤형 플랫폼을 사내에 구축하고 온라인 송금을 지원하는 온라인 결제 시스템을 운영하는 외부 제공업체에 결제 프로세스를 아웃소싱하기로 결정했습니다.
이러한 비즈니스 모델의 변화로 인해 중요 자산과 관련된 식별된 위협 및 취약점을 기반으로 다양한 보안 제어가 구현되었습니다. 고객의 정보를 보호합니다.
뷰티의 직원들은 비밀 유지 계약에 서명해야 했습니다. 또한, 회사는 승인된 직원만이 민감한 파일에 접근할 수 있도록 모든 사용자 접근 권한을 검토하고 새로운 직무 분리 차트 초안을 작성했습니다.
하지만 전자상거래 모델로 전환한 지 얼마 지나지 않아 보안 사고를 처리해야 했던 IT팀에게는 전환이 쉽지 않았습니다. 사건을 조사한 후 팀은 오래된 맬웨어 방지 소프트웨어로 인해 공격자가 파일에 대한 액세스를 조작하고 이름과 집 주소를 포함한 고객의 정보를 노출했다고 결론지었습니다.
IT 팀은 기존 맬웨어 방지 소프트웨어 사용을 중단하고 유사한 사고가 발생할 경우 악성 코드를 자동으로 제거하는 새 소프트웨어를 설치하기로 결정했습니다. 새로운 소프트웨어는 회사 내 모든 워크스테이션에 설치되었습니다. 팀은 새 소프트웨어를 설치한 후 최신 악성 코드 정의로 업데이트하고 자동 업데이트 기능을 활성화하여 항상 최신 상태를 유지했습니다. 또한 민감한 정보에 접근할 때 사용자 ID와 비밀번호를 요구하는 인증 프로세스를 구축했습니다.
또한 뷰티는 시스템 및 네트워크 보안의 중요성에 대한 인식을 제고하기 위해 기밀 정보에 접근할 수 있는 IT팀과 기타 직원을 대상으로 다수의 정보 보안 인식 세션을 실시했습니다.
아래에서 뷰티가 사고 발생을 방지하는 데 도움이 되는 관리적 통제를 구현했음을 시사하는 설명은 무엇입니까? 시나리오 2를 참조하세요.
이러한 비즈니스 모델의 변화로 인해 중요 자산과 관련된 식별된 위협 및 취약점을 기반으로 다양한 보안 제어가 구현되었습니다. 고객의 정보를 보호합니다.
뷰티의 직원들은 비밀 유지 계약에 서명해야 했습니다. 또한, 회사는 승인된 직원만이 민감한 파일에 접근할 수 있도록 모든 사용자 접근 권한을 검토하고 새로운 직무 분리 차트 초안을 작성했습니다.
하지만 전자상거래 모델로 전환한 지 얼마 지나지 않아 보안 사고를 처리해야 했던 IT팀에게는 전환이 쉽지 않았습니다. 사건을 조사한 후 팀은 오래된 맬웨어 방지 소프트웨어로 인해 공격자가 파일에 대한 액세스를 조작하고 이름과 집 주소를 포함한 고객의 정보를 노출했다고 결론지었습니다.
IT 팀은 기존 맬웨어 방지 소프트웨어 사용을 중단하고 유사한 사고가 발생할 경우 악성 코드를 자동으로 제거하는 새 소프트웨어를 설치하기로 결정했습니다. 새로운 소프트웨어는 회사 내 모든 워크스테이션에 설치되었습니다. 팀은 새 소프트웨어를 설치한 후 최신 악성 코드 정의로 업데이트하고 자동 업데이트 기능을 활성화하여 항상 최신 상태를 유지했습니다. 또한 민감한 정보에 접근할 때 사용자 ID와 비밀번호를 요구하는 인증 프로세스를 구축했습니다.
또한 뷰티는 시스템 및 네트워크 보안의 중요성에 대한 인식을 제고하기 위해 기밀 정보에 접근할 수 있는 IT팀과 기타 직원을 대상으로 다수의 정보 보안 인식 세션을 실시했습니다.
아래에서 뷰티가 사고 발생을 방지하는 데 도움이 되는 관리적 통제를 구현했음을 시사하는 설명은 무엇입니까? 시나리오 2를 참조하세요.