ISO-IEC-27001-Lead-Implementer 문제 61
시나리오 1: HealthGenic은 웹 기반 의료 소프트웨어를 사용하여 유아기부터 성인 초기까지 아동의 건강과 성장을 모니터링하는 소아과 병원입니다. 이 소프트웨어는 진료 예약, 맞춤형 의료 보고서 작성, 환자 데이터 및 병력 저장, 그리고 부모, 다른 의사, 그리고 임상병리실 직원을 포함한 모든 관계자와의 소통에도 사용됩니다.
지난달, HealthGenic은 소프트웨어에 접속하는 사용자 수가 늘어나면서 여러 차례 서비스 중단을 겪었습니다. 회사가 소프트웨어를 사용하면서 겪었던 또 다른 문제는 복잡한 사용자 인터페이스였는데, 훈련을 받지 않은 직원은 이를 사용하기 어려워했습니다.
HealthGenic의 최고 경영진은 해당 소프트웨어 개발사에 즉시 문제를 알렸습니다. 소프트웨어 회사는 문제를 해결했지만, 그 과정에서 HealthGenic 환자와 관련된 민감한 정보가 포함된 일부 파일을 수정했습니다. 이러한 수정으로 인해 불완전하고 부정확한 의료 보고서가 작성되었고, 더 중요한 것은 환자의 개인 정보 침해로 이어졌습니다.
시나리오 1에서 HealthGenic은 소프트웨어 기능 장애로 인해 여러 차례 서비스 중단을 경험했습니다. 이 경우 어떤 정보 보안 원칙이 영향을 받았습니까?
지난달, HealthGenic은 소프트웨어에 접속하는 사용자 수가 늘어나면서 여러 차례 서비스 중단을 겪었습니다. 회사가 소프트웨어를 사용하면서 겪었던 또 다른 문제는 복잡한 사용자 인터페이스였는데, 훈련을 받지 않은 직원은 이를 사용하기 어려워했습니다.
HealthGenic의 최고 경영진은 해당 소프트웨어 개발사에 즉시 문제를 알렸습니다. 소프트웨어 회사는 문제를 해결했지만, 그 과정에서 HealthGenic 환자와 관련된 민감한 정보가 포함된 일부 파일을 수정했습니다. 이러한 수정으로 인해 불완전하고 부정확한 의료 보고서가 작성되었고, 더 중요한 것은 환자의 개인 정보 침해로 이어졌습니다.
시나리오 1에서 HealthGenic은 소프트웨어 기능 장애로 인해 여러 차례 서비스 중단을 경험했습니다. 이 경우 어떤 정보 보안 원칙이 영향을 받았습니까?
ISO-IEC-27001-Lead-Implementer 문제 62
공격자가 시스템에 접근할 수 없음을 확인한 후, 보안 관리자들은 포렌식 분석을 진행하기로 결정했습니다. 그들은 접근 보안 시스템이 향후 공격의 원인이 될 수 있는 악성 파일 탐지를 포함한 위협 탐지에 적합하도록 설계되지 않았다는 결론을 내렸습니다.
이러한 결과를 바탕으로 Texas H$H Inc.는 향후 사고 발생을 방지하기 위해 출입 보안 시스템을 수정하고, 직원들이 유사 사고에 어떻게 대응해야 하는지에 대한 지침으로 활용할 수 있는 사고 관리 정책을 정보 보안 정책에 통합하기로 결정했습니다.
위의 시나리오를 바탕으로 다음 질문에 답하세요.
Texas M&H Inc.는 사고 관리 정책을 기존 정보 보안 정책에 통합하기로 결정했습니다. 이 상황을 어떻게 정의하시겠습니까?
이러한 결과를 바탕으로 Texas H$H Inc.는 향후 사고 발생을 방지하기 위해 출입 보안 시스템을 수정하고, 직원들이 유사 사고에 어떻게 대응해야 하는지에 대한 지침으로 활용할 수 있는 사고 관리 정책을 정보 보안 정책에 통합하기로 결정했습니다.
위의 시나리오를 바탕으로 다음 질문에 답하세요.
Texas M&H Inc.는 사고 관리 정책을 기존 정보 보안 정책에 통합하기로 결정했습니다. 이 상황을 어떻게 정의하시겠습니까?
ISO-IEC-27001-Lead-Implementer 문제 63
시나리오 10: NetworkFuse는 네트워크 하드웨어를 개발, 제조 및 판매합니다. 이 회사는 약 2년 동안 ISO/IEC 27001 요구사항에 기반한 운영 정보보안 관리체계(ISMS)와 ISO 9001에 기반한 품질경영시스템(QMS)을 구축해 왔습니다. 최근 ISO/IEC 27001과 ISO 9001 인증을 획득하기 위해 통합 인증 심사를 신청했습니다.
NetworkFuse는 인증 기관을 선택한 후 직원들이 감사를 준비하도록 준비시켰습니다.회사는 최고 경영진에 따르면 필요하지 않기 때문에 감사 전에 자체 평가를 하지 않기로 결정했습니다.또한 내부 감사 보고서와 관리 검토, 도입된 기술, ISMS와 QMS의 일반적인 운영을 포함하여 문서화된 정보의 가용성을 보장했습니다.그러나 회사는 인증 기관에 문서를 외부로 가져갈 수 없다고 요청했습니다.그러나 NetworkFuse가 배정된 감사 팀 리더를 거부하고 교체를 요청했기 때문에 예정된 날짜 내에 감사가 실시되지 않았습니다.회사는 같은 감사 팀 리더가 주요 경쟁업체에 인증을 권장했는데 회사 최고 경영진에게 잠재적인 이해 상충이 될 수 있다고 주장했습니다.인증 기관은 요청을 수락하지 않았습니다.시나리오 10에 따라 NetworkFuse는 감사 전에 ISMS에 대한 자체 평가를 하지 않았습니다.이것이 ISO/IEC 27001을 준수합니까?
NetworkFuse는 인증 기관을 선택한 후 직원들이 감사를 준비하도록 준비시켰습니다.회사는 최고 경영진에 따르면 필요하지 않기 때문에 감사 전에 자체 평가를 하지 않기로 결정했습니다.또한 내부 감사 보고서와 관리 검토, 도입된 기술, ISMS와 QMS의 일반적인 운영을 포함하여 문서화된 정보의 가용성을 보장했습니다.그러나 회사는 인증 기관에 문서를 외부로 가져갈 수 없다고 요청했습니다.그러나 NetworkFuse가 배정된 감사 팀 리더를 거부하고 교체를 요청했기 때문에 예정된 날짜 내에 감사가 실시되지 않았습니다.회사는 같은 감사 팀 리더가 주요 경쟁업체에 인증을 권장했는데 회사 최고 경영진에게 잠재적인 이해 상충이 될 수 있다고 주장했습니다.인증 기관은 요청을 수락하지 않았습니다.시나리오 10에 따라 NetworkFuse는 감사 전에 ISMS에 대한 자체 평가를 하지 않았습니다.이것이 ISO/IEC 27001을 준수합니까?
ISO-IEC-27001-Lead-Implementer 문제 64
클라우드 스토리지 사용과 관련하여 Socket Inc.의 가장 중요한 자산은 무엇입니까? 시나리오 5를 참조하십시오.
ISO-IEC-27001-Lead-Implementer 문제 65
시나리오 5: Operaze는 전 세계 여러 기업의 애플리케이션을 개발하는 소규모 소프트웨어 개발 회사입니다. 최근 이 회사는 디지털 환경에서 운영 시 발생할 수 있는 정보 보안 위험을 평가하기 위해 위험 평가를 실시했습니다. 침투 테스트(Penetration Resting) 및 코드 검토를 포함한 다양한 테스트 방법을 통해 부적절한 사용자 권한, 잘못 구성된 보안 설정, 안전하지 않은 네트워크 구성 등 ICT 시스템의 몇 가지 문제점을 발견했습니다. 이러한 문제를 해결하고 정보 보안을 강화하기 위해 Operaze는 ISO/IEC 27001 기반 정보 보안 관리 시스템(ISMS)을 구축하기로 결정했습니다.
Operaze는 소규모 회사이기 때문에 전체 IT 팀이 ISMS 구축 프로젝트에 참여했습니다. 초기에 회사는 비즈니스 요구사항과 내외부 환경을 분석하고, 주요 프로세스와 활동을 파악하며, 이해관계자를 파악 및 분석했습니다. 또한 Operaze의 최고 경영진은 회사 내 대부분의 부서를 ISMS 적용 범위에 포함하기로 결정했습니다. 정의된 범위에는 조직적 경계와 물리적 경계가 포함되었습니다. IT 팀은 정보 보안 정책을 수립하여 모든 이해관계자에게 전달했습니다. 또한, 보안 문제를 구체화하기 위한 구체적인 정책을 개발하고 모든 이해관계자에게 역할과 책임을 할당했습니다.
이에 인사담당자는 ISMS로 인해 작성된 서류가 그 가치를 정당화하지 못하며 ISMS 시행은 취소되어야 한다고 주장했습니다. 그러나 최고 경영진은 이러한 주장이 타당하지 않다고 판단하고 모든 이해관계자에게 ISMS의 이점을 설명하는 인식 제고 세션을 개최했습니다.
Operaze는 물리적 서버를 타사 인프라의 가상 서버로 이전하기로 결정했습니다. 새로운 클라우드 컴퓨팅 솔루션은 회사에 추가적인 변화를 가져왔습니다. 반면 Operaze의 최고 경영진은 효과적인 ISMS를 구현하는 것뿐만 아니라 ISMS 운영의 원활한 운영을 목표로 했습니다. 이러한 상황에서 Operaze의 최고 경영진은 정보 보안 전략을 구현하기 위해 외부 전문가의 서비스가 필요하다는 결론을 내렸습니다. 반면 IT 팀은 ISMS 범위를 변경하고 회사 프로세스에 필요한 수정 사항을 적용하기로 결정했습니다.
시나리오 5를 기준으로 ISMS의 원활한 운영을 보장하기 위해 Operaze는 어떤 위원회를 구성해야 합니까?
Operaze는 소규모 회사이기 때문에 전체 IT 팀이 ISMS 구축 프로젝트에 참여했습니다. 초기에 회사는 비즈니스 요구사항과 내외부 환경을 분석하고, 주요 프로세스와 활동을 파악하며, 이해관계자를 파악 및 분석했습니다. 또한 Operaze의 최고 경영진은 회사 내 대부분의 부서를 ISMS 적용 범위에 포함하기로 결정했습니다. 정의된 범위에는 조직적 경계와 물리적 경계가 포함되었습니다. IT 팀은 정보 보안 정책을 수립하여 모든 이해관계자에게 전달했습니다. 또한, 보안 문제를 구체화하기 위한 구체적인 정책을 개발하고 모든 이해관계자에게 역할과 책임을 할당했습니다.
이에 인사담당자는 ISMS로 인해 작성된 서류가 그 가치를 정당화하지 못하며 ISMS 시행은 취소되어야 한다고 주장했습니다. 그러나 최고 경영진은 이러한 주장이 타당하지 않다고 판단하고 모든 이해관계자에게 ISMS의 이점을 설명하는 인식 제고 세션을 개최했습니다.
Operaze는 물리적 서버를 타사 인프라의 가상 서버로 이전하기로 결정했습니다. 새로운 클라우드 컴퓨팅 솔루션은 회사에 추가적인 변화를 가져왔습니다. 반면 Operaze의 최고 경영진은 효과적인 ISMS를 구현하는 것뿐만 아니라 ISMS 운영의 원활한 운영을 목표로 했습니다. 이러한 상황에서 Operaze의 최고 경영진은 정보 보안 전략을 구현하기 위해 외부 전문가의 서비스가 필요하다는 결론을 내렸습니다. 반면 IT 팀은 ISMS 범위를 변경하고 회사 프로세스에 필요한 수정 사항을 적용하기로 결정했습니다.
시나리오 5를 기준으로 ISMS의 원활한 운영을 보장하기 위해 Operaze는 어떤 위원회를 구성해야 합니까?