ISO-IEC-27001-Lead-Implementer 문제 16
시나리오 2: 뷰티(Beauty)는 최근 전통적인 소매업에서 벗어나 전자상거래 모델로 전환한 화장품 회사입니다. 최고 경영진은 자체 맞춤형 플랫폼을 사내에 구축하고 온라인 송금을 지원하는 온라인 결제 시스템을 운영하는 외부 제공업체에 결제 프로세스를 아웃소싱하기로 결정했습니다.
이러한 비즈니스 모델의 변화로 인해 중요 자산과 관련된 식별된 위협 및 취약점을 기반으로 다양한 보안 제어가 구현되었습니다. 고객의 정보를 보호합니다.
뷰티의 직원들은 비밀 유지 계약에 서명해야 했습니다. 또한, 회사는 승인된 직원만이 민감한 파일에 접근할 수 있도록 모든 사용자 접근 권한을 검토하고 새로운 직무 분리 차트 초안을 작성했습니다.
하지만 전자상거래 모델로 전환한 지 얼마 지나지 않아 보안 사고를 처리해야 했던 IT팀에게는 전환이 쉽지 않았습니다. 사건을 조사한 후 팀은 오래된 맬웨어 방지 소프트웨어로 인해 공격자가 파일에 대한 액세스를 조작하고 이름과 집 주소를 포함한 고객의 정보를 노출했다고 결론지었습니다.
IT 팀은 기존 맬웨어 방지 소프트웨어 사용을 중단하고 유사한 사고가 발생할 경우 악성 코드를 자동으로 제거하는 새 소프트웨어를 설치하기로 결정했습니다. 새로운 소프트웨어는 회사 내 모든 워크스테이션에 설치되었습니다. 팀은 새 소프트웨어를 설치한 후 최신 악성 코드 정의로 업데이트하고 자동 업데이트 기능을 활성화하여 항상 최신 상태를 유지했습니다. 또한 민감한 정보에 접근할 때 사용자 ID와 비밀번호를 요구하는 인증 프로세스를 구축했습니다.
또한 뷰티는 시스템 및 네트워크 보안의 중요성에 대한 인식을 제고하기 위해 기밀 정보에 접근할 수 있는 IT팀과 기타 직원을 대상으로 다수의 정보 보안 인식 세션을 실시했습니다.
시나리오 2를 바탕으로, IT 팀은 민감한 정보에 접근할 때 사용자 ID와 비밀번호를 요구하는 사용자 인증 프로세스를 구축하여 어떤 정보 보안 원칙을 보장하려고 합니까?
이러한 비즈니스 모델의 변화로 인해 중요 자산과 관련된 식별된 위협 및 취약점을 기반으로 다양한 보안 제어가 구현되었습니다. 고객의 정보를 보호합니다.
뷰티의 직원들은 비밀 유지 계약에 서명해야 했습니다. 또한, 회사는 승인된 직원만이 민감한 파일에 접근할 수 있도록 모든 사용자 접근 권한을 검토하고 새로운 직무 분리 차트 초안을 작성했습니다.
하지만 전자상거래 모델로 전환한 지 얼마 지나지 않아 보안 사고를 처리해야 했던 IT팀에게는 전환이 쉽지 않았습니다. 사건을 조사한 후 팀은 오래된 맬웨어 방지 소프트웨어로 인해 공격자가 파일에 대한 액세스를 조작하고 이름과 집 주소를 포함한 고객의 정보를 노출했다고 결론지었습니다.
IT 팀은 기존 맬웨어 방지 소프트웨어 사용을 중단하고 유사한 사고가 발생할 경우 악성 코드를 자동으로 제거하는 새 소프트웨어를 설치하기로 결정했습니다. 새로운 소프트웨어는 회사 내 모든 워크스테이션에 설치되었습니다. 팀은 새 소프트웨어를 설치한 후 최신 악성 코드 정의로 업데이트하고 자동 업데이트 기능을 활성화하여 항상 최신 상태를 유지했습니다. 또한 민감한 정보에 접근할 때 사용자 ID와 비밀번호를 요구하는 인증 프로세스를 구축했습니다.
또한 뷰티는 시스템 및 네트워크 보안의 중요성에 대한 인식을 제고하기 위해 기밀 정보에 접근할 수 있는 IT팀과 기타 직원을 대상으로 다수의 정보 보안 인식 세션을 실시했습니다.
시나리오 2를 바탕으로, IT 팀은 민감한 정보에 접근할 때 사용자 ID와 비밀번호를 요구하는 사용자 인증 프로세스를 구축하여 어떤 정보 보안 원칙을 보장하려고 합니까?
ISO-IEC-27001-Lead-Implementer 문제 17
시나리오 4: TradeB. 이제 막 시장에 진출한 상업은행으로 고객으로부터 예금을 받고 기본적인 금융 서비스와 투자 대출을 제공합니다. TradeB는 ISO/IEC 27001을 기반으로 정보보안 관리시스템(ISMS)을 구현하기로 결정했습니다. 관리 경험이 없습니다.
[^시스템 구현, TradeB의 최고 경영진은 ISMS 구현 프로젝트를 지휘하고 관리하기 위해 두 명의 전문가와 계약했습니다.
먼저 프로젝트 팀은 ISO/IEC 27001 Annex A의 93개 통제를 분석하고 회사에 적용 가능한 것으로 간주되는 보안 통제와 그 목표만 나열했습니다. 이 분석을 바탕으로 적용성 기술서 초안을 작성했습니다. 그 후 위험 평가를 실시하여 하드웨어, 소프트웨어, 네트워크 등의 자산과 위협 및 취약성을 식별하고 잠재적 결과 및 가능성을 평가하고 숫자가 아닌 세 가지 범주(낮음, 낮음, 낮음, 낮음, 중간, 높음). 위험 평가 기준에 따라 위험을 평가하고 위험도가 높은 범주만 다루기로 결정했습니다. 또한 새로운 버전의 접근 통제 정책을 수립하여 관리자 권한의 무단 사용 및 여러 하드웨어 장애로 인한 시스템 중단을 중점적으로 다루기로 결정했습니다. , 사용자 액세스를 관리 및 제어하기 위한 제어 구현, 비즈니스 연속성을 위한 ICT 준비 제어 구현 마지막으로 위험 평가 보고서 초안을 작성했습니다. 이 보고서에는 이러한 보안 제어 구현 후 위험 수준이 허용 가능한 수준보다 낮을 경우를 기록했습니다. 수준이면 위험이 허용됩니다. 위의 시나리오를 바탕으로 다음 질문에 답하십시오.
높은 위험으로 분류된 위험만 처리하기로 한 결정은 Trade B가 다음을 갖는다는 것을 나타냅니다.
[^시스템 구현, TradeB의 최고 경영진은 ISMS 구현 프로젝트를 지휘하고 관리하기 위해 두 명의 전문가와 계약했습니다.
먼저 프로젝트 팀은 ISO/IEC 27001 Annex A의 93개 통제를 분석하고 회사에 적용 가능한 것으로 간주되는 보안 통제와 그 목표만 나열했습니다. 이 분석을 바탕으로 적용성 기술서 초안을 작성했습니다. 그 후 위험 평가를 실시하여 하드웨어, 소프트웨어, 네트워크 등의 자산과 위협 및 취약성을 식별하고 잠재적 결과 및 가능성을 평가하고 숫자가 아닌 세 가지 범주(낮음, 낮음, 낮음, 낮음, 중간, 높음). 위험 평가 기준에 따라 위험을 평가하고 위험도가 높은 범주만 다루기로 결정했습니다. 또한 새로운 버전의 접근 통제 정책을 수립하여 관리자 권한의 무단 사용 및 여러 하드웨어 장애로 인한 시스템 중단을 중점적으로 다루기로 결정했습니다. , 사용자 액세스를 관리 및 제어하기 위한 제어 구현, 비즈니스 연속성을 위한 ICT 준비 제어 구현 마지막으로 위험 평가 보고서 초안을 작성했습니다. 이 보고서에는 이러한 보안 제어 구현 후 위험 수준이 허용 가능한 수준보다 낮을 경우를 기록했습니다. 수준이면 위험이 허용됩니다. 위의 시나리오를 바탕으로 다음 질문에 답하십시오.
높은 위험으로 분류된 위험만 처리하기로 한 결정은 Trade B가 다음을 갖는다는 것을 나타냅니다.
ISO-IEC-27001-Lead-Implementer 문제 18
Diana는 대규모 전자상거래 회사에서 고객 서비스 담당자로 일하고 있습니다. 어느 날, 그녀는 실수로 고객의 허락 없이 주문 세부정보를 수정했습니다. 이 오류로 인해 고객은 잘못된 제품을 받았습니다. 이 사건에서 위반된 정보보안 원칙은 무엇입니까?7
ISO-IEC-27001-Lead-Implementer 문제 19
시나리오 1에 따르면 HealthGenic의 정보 무결성 손실로 인한 잠재적인 영향은 무엇입니까?
ISO-IEC-27001-Lead-Implementer 문제 20
다음 중 내부 감사 프로세스에 부정적인 영향을 미칠 수 있는 상황은 무엇입니까?