ISO-IEC-27001-Lead-Implementer 문제 1
시나리오 10: NetworkFuse는 네트워크 하드웨어를 개발, 제조 및 판매합니다. 이 회사는 약 2년 동안 ISO/IEC 27001 요구사항에 기반한 운영 정보보안 관리체계(ISMS)와 ISO 9001에 기반한 품질경영시스템(QMS)을 구축해 왔습니다. 최근 ISO/IEC 27001과 ISO 9001 인증을 획득하기 위해 통합 인증 심사를 신청했습니다.
인증기관 선정 후, NetworkFuse는 직원들이 감사에 대비할 수 있도록 준비시켰습니다. 최고 경영진의 의견에 따라 감사 전 자체 평가는 불필요하다는 판단에 따라 자체 평가를 실시하지 않기로 결정했습니다. 또한, 내부 감사 보고서 및 경영진 검토, 도입된 기술, 그리고 ISMS 및 QMS의 전반적인 운영 현황을 포함한 문서화된 정보의 가용성을 확보했습니다.
그러나 회사는 인증 기관에 문서를 외부로 반출할 수 없다고 요청했습니다. 그러나 NetworkFuse가 배정된 감사팀장을 거부하고 교체를 요청했기 때문에 예정된 기간 내에 감사가 실시되지 않았습니다. 회사는 동일한 감사팀장이 주요 경쟁사에 인증을 권고했는데, 이는 회사 최고 경영진에게 잠재적인 이해 상충으로 작용했다고 주장했습니다. 인증 기관은 이 요청을 수락하지 않았습니다. 인증 기관은 NetworkFuse의 감사팀장 교체 요청을 거부했습니다. 이것이 수용 가능할까요?
시나리오 10을 참조하세요.
인증기관 선정 후, NetworkFuse는 직원들이 감사에 대비할 수 있도록 준비시켰습니다. 최고 경영진의 의견에 따라 감사 전 자체 평가는 불필요하다는 판단에 따라 자체 평가를 실시하지 않기로 결정했습니다. 또한, 내부 감사 보고서 및 경영진 검토, 도입된 기술, 그리고 ISMS 및 QMS의 전반적인 운영 현황을 포함한 문서화된 정보의 가용성을 확보했습니다.
그러나 회사는 인증 기관에 문서를 외부로 반출할 수 없다고 요청했습니다. 그러나 NetworkFuse가 배정된 감사팀장을 거부하고 교체를 요청했기 때문에 예정된 기간 내에 감사가 실시되지 않았습니다. 회사는 동일한 감사팀장이 주요 경쟁사에 인증을 권고했는데, 이는 회사 최고 경영진에게 잠재적인 이해 상충으로 작용했다고 주장했습니다. 인증 기관은 이 요청을 수락하지 않았습니다. 인증 기관은 NetworkFuse의 감사팀장 교체 요청을 거부했습니다. 이것이 수용 가능할까요?
시나리오 10을 참조하세요.
ISO-IEC-27001-Lead-Implementer 문제 2
ISMS 구현 관리 방법론과 관련하여 다음 진술 중 올바른 것은 무엇입니까?
ISO-IEC-27001-Lead-Implementer 문제 3
모든 조직에 부과될 수 있는 정보 보안과 관련된 입법 또는 규제 행위는 무엇입니까?
ISO-IEC-27001-Lead-Implementer 문제 4
위험 평가 결과를 바탕으로, Socket Inc.는 다음과 같은 결정을 내렸습니다.
* 대문자, 소문자, 기호, 숫자를 포함하여 최소 12자리의 비밀번호 사용을 요구합니다.
* 최소 60일마다 비밀번호 변경을 요구합니다.
* IT에서 제공하는 네트워크 드라이브에 파일 의 백업 사본을 보관하세요.
* 고객의 개인 데이터가 저장된 클라우드 스토리지 파일에 접근할 수 있는 경우 사용자를 별도의 네트워크에 할당합니다.
클라우드 스토리지 사용과 관련하여 Socket Inc.의 가장 중요한 자산은 무엇입니까? 시나리오 5를 참조하십시오.
* 대문자, 소문자, 기호, 숫자를 포함하여 최소 12자리의 비밀번호 사용을 요구합니다.
* 최소 60일마다 비밀번호 변경을 요구합니다.
* IT에서 제공하는 네트워크 드라이브에 파일 의 백업 사본을 보관하세요.
* 고객의 개인 데이터가 저장된 클라우드 스토리지 파일에 접근할 수 있는 경우 사용자를 별도의 네트워크에 할당합니다.
클라우드 스토리지 사용과 관련하여 Socket Inc.의 가장 중요한 자산은 무엇입니까? 시나리오 5를 참조하십시오.
ISO-IEC-27001-Lead-Implementer 문제 5
시나리오 4: TradeB. 고객 예금을 받고 기본적인 금융 서비스와 투자 대출을 제공하는, 시장에 막 진출한 상업 은행입니다. TradeB는 ISO/IEC 27001 기반 정보보안 관리체계(ISMS)를 구축하기로 결정했습니다. 관리 시스템 구축 경험이 전무했던 TradeB의 최고 경영진은 ISMS 구축 프로젝트를 지휘하고 관리하기 위해 두 명의 전문가를 고용했습니다.
먼저, 프로젝트팀은 ISO/IEC 27001 부속서 A의 93개 통제 항목을 분석하고 회사와 그 목표에 적용 가능한 것으로 판단되는 보안 통제 항목만 나열했습니다. 이 분석을 바탕으로 적용성 설명서(Statement of Applicability)를 작성했습니다. 이후, 위험 평가를 실시하여 하드웨어, 소프트웨어, 네트워크 등 자산과 위협 및 취약성을 파악하고, 잠재적 결과와 발생 가능성을 평가했으며, 세 가지 비수치적 범주(낮음, 보통, 높음)를 기반으로 위험 수준을 결정했습니다. 그들은 위험 평가 기준에 따라 위험을 평가하고 고위험 범주만을 처리하기로 결정했습니다. 또한 새로운 버전의 액세스 제어 정책을 수립하고, 사용자 액세스를 관리하고 제어하기 위한 제어를 구현하고, 비즈니스 연속성을 위한 ICT 준비에 대한 제어를 구현하여 주로 관리자 권한의 무단 사용과 여러 하드웨어 오류로 인한 시스템 중단에 집중하기로 결정했습니다. 마지막으로 그들은 이러한 보안 제어를 구현한 후 위험 수준이 허용 수준보다 낮으면 위험을 수용할 것이라고 기술한 위험 평가 보고서를 작성했습니다. 위의 시나리오를 바탕으로 다음 질문에 답하십시오.
높은 위험으로 분류된 위험만 처리하기로 한 결정은 Trade B가 다음을 가지고 있음을 나타냅니다.
먼저, 프로젝트팀은 ISO/IEC 27001 부속서 A의 93개 통제 항목을 분석하고 회사와 그 목표에 적용 가능한 것으로 판단되는 보안 통제 항목만 나열했습니다. 이 분석을 바탕으로 적용성 설명서(Statement of Applicability)를 작성했습니다. 이후, 위험 평가를 실시하여 하드웨어, 소프트웨어, 네트워크 등 자산과 위협 및 취약성을 파악하고, 잠재적 결과와 발생 가능성을 평가했으며, 세 가지 비수치적 범주(낮음, 보통, 높음)를 기반으로 위험 수준을 결정했습니다. 그들은 위험 평가 기준에 따라 위험을 평가하고 고위험 범주만을 처리하기로 결정했습니다. 또한 새로운 버전의 액세스 제어 정책을 수립하고, 사용자 액세스를 관리하고 제어하기 위한 제어를 구현하고, 비즈니스 연속성을 위한 ICT 준비에 대한 제어를 구현하여 주로 관리자 권한의 무단 사용과 여러 하드웨어 오류로 인한 시스템 중단에 집중하기로 결정했습니다. 마지막으로 그들은 이러한 보안 제어를 구현한 후 위험 수준이 허용 수준보다 낮으면 위험을 수용할 것이라고 기술한 위험 평가 보고서를 작성했습니다. 위의 시나리오를 바탕으로 다음 질문에 답하십시오.
높은 위험으로 분류된 위험만 처리하기로 한 결정은 Trade B가 다음을 가지고 있음을 나타냅니다.