ISO-IEC-27001-Lead-Implementer 문제 111
우리는 다양한 방법으로 정보를 수집하고 제공할 수 있습니다. 정보의 가치는 정보의 신뢰성에 달려 있습니다. 정보의 신뢰성은 어떤 측면을 가지고 있을까요?
ISO-IEC-27001-Lead-Implementer 문제 112
시나리오 1: HealthGenic은 웹 기반 의료 소프트웨어를 사용하여 유아기부터 성인 초기까지 아동의 건강과 성장을 모니터링하는 소아과 병원입니다. 이 소프트웨어는 진료 예약, 맞춤형 의료 보고서 작성, 환자 데이터 및 병력 저장, 그리고 부모, 다른 의사, 그리고 임상병리실 직원을 포함한 모든 관계자와의 소통에도 사용됩니다.
지난달, HealthGenic은 소프트웨어에 접속하는 사용자 수가 늘어나면서 여러 차례 서비스 중단을 겪었습니다. 회사가 소프트웨어를 사용하면서 겪었던 또 다른 문제는 복잡한 사용자 인터페이스였는데, 훈련을 받지 않은 직원은 이를 사용하기 어려워했습니다.
HealthGenic의 최고 경영진은 해당 소프트웨어 개발사에 즉시 문제를 알렸습니다. 소프트웨어 회사는 문제를 해결했지만, 그 과정에서 HealthGenic 환자와 관련된 민감한 정보가 포함된 일부 파일을 수정했습니다. 이러한 수정으로 인해 불완전하고 부정확한 의료 보고서가 작성되었고, 더 중요한 것은 환자의 개인 정보 침해로 이어졌습니다.
위의 시나리오를 바탕으로 다음 질문에 답하세요.
다음 중 정보의 기밀성이 침해되었음을 나타내는 것은 무엇입니까?
지난달, HealthGenic은 소프트웨어에 접속하는 사용자 수가 늘어나면서 여러 차례 서비스 중단을 겪었습니다. 회사가 소프트웨어를 사용하면서 겪었던 또 다른 문제는 복잡한 사용자 인터페이스였는데, 훈련을 받지 않은 직원은 이를 사용하기 어려워했습니다.
HealthGenic의 최고 경영진은 해당 소프트웨어 개발사에 즉시 문제를 알렸습니다. 소프트웨어 회사는 문제를 해결했지만, 그 과정에서 HealthGenic 환자와 관련된 민감한 정보가 포함된 일부 파일을 수정했습니다. 이러한 수정으로 인해 불완전하고 부정확한 의료 보고서가 작성되었고, 더 중요한 것은 환자의 개인 정보 침해로 이어졌습니다.
위의 시나리오를 바탕으로 다음 질문에 답하세요.
다음 중 정보의 기밀성이 침해되었음을 나타내는 것은 무엇입니까?
ISO-IEC-27001-Lead-Implementer 문제 113
시나리오 4: TradeB. 고객 예금을 받고 기본적인 금융 서비스와 투자 대출을 제공하는, 시장에 막 진출한 상업 은행입니다. TradeB는 ISO/IEC 27001 기반 정보보안 관리체계(ISMS)를 구축하기로 결정했습니다. 관리 시스템 구축 경험이 전무했던 TradeB의 최고 경영진은 ISMS 구축 프로젝트를 지휘하고 관리하기 위해 두 명의 전문가를 고용했습니다.
먼저, 프로젝트팀은 ISO/IEC 27001 부속서 A의 93개 통제 항목을 분석하고 회사와 그 목표에 적용 가능한 것으로 판단되는 보안 통제 항목만 나열했습니다. 이 분석을 바탕으로 적용성 설명서(Statement of Applicability)를 작성했습니다. 이후, 위험 평가를 실시하여 하드웨어, 소프트웨어, 네트워크 등 자산과 위협 및 취약성을 파악하고, 잠재적 결과와 발생 가능성을 평가했으며, 세 가지 비수치적 범주(낮음, 보통, 높음)를 기반으로 위험 수준을 결정했습니다. 그들은 위험 평가 기준에 따라 위험을 평가하고 높은 위험 범주만을 처리하기로 결정했습니다.또한 새로운 버전의 액세스 제어 정책을 수립하고, 사용자 액세스를 관리하고 제어하기 위한 제어를 구현하고, 비즈니스 연속성을 위한 ICT 준비에 대한 제어를 구현하여 주로 관리자 권한의 무단 사용과 여러 하드웨어 오류로 인한 시스템 중단에 집중하기로 결정했습니다.마지막으로 그들은 이러한 보안 제어를 구현한 후 위험 수준이 허용 수준보다 낮으면 위험을 수용할 것이라고 기술한 위험 평가 보고서를 초안했습니다.시나리오 4에 따라 TradeB가 세 가지 비숫자 범주에 따라 위험 수준을 정의했다는 사실은 다음을 나타냅니다.
먼저, 프로젝트팀은 ISO/IEC 27001 부속서 A의 93개 통제 항목을 분석하고 회사와 그 목표에 적용 가능한 것으로 판단되는 보안 통제 항목만 나열했습니다. 이 분석을 바탕으로 적용성 설명서(Statement of Applicability)를 작성했습니다. 이후, 위험 평가를 실시하여 하드웨어, 소프트웨어, 네트워크 등 자산과 위협 및 취약성을 파악하고, 잠재적 결과와 발생 가능성을 평가했으며, 세 가지 비수치적 범주(낮음, 보통, 높음)를 기반으로 위험 수준을 결정했습니다. 그들은 위험 평가 기준에 따라 위험을 평가하고 높은 위험 범주만을 처리하기로 결정했습니다.또한 새로운 버전의 액세스 제어 정책을 수립하고, 사용자 액세스를 관리하고 제어하기 위한 제어를 구현하고, 비즈니스 연속성을 위한 ICT 준비에 대한 제어를 구현하여 주로 관리자 권한의 무단 사용과 여러 하드웨어 오류로 인한 시스템 중단에 집중하기로 결정했습니다.마지막으로 그들은 이러한 보안 제어를 구현한 후 위험 수준이 허용 수준보다 낮으면 위험을 수용할 것이라고 기술한 위험 평가 보고서를 초안했습니다.시나리오 4에 따라 TradeB가 세 가지 비숫자 범주에 따라 위험 수준을 정의했다는 사실은 다음을 나타냅니다.
ISO-IEC-27001-Lead-Implementer 문제 114
시나리오 9: OpenTech는 IT 및 통신 서비스를 제공합니다. 데이터 통신 기업과 네트워크 운영자가 다중 서비스 제공자가 될 수 있도록 지원합니다. 내부 감사 과정에서 내부 감사인인 팀은 모니터링 절차와 관련된 부적합 사항을 파악했습니다. 그는 여러 시스템 취약점을 파악하고 평가했습니다.
팀은 민감한 정보를 처리하는 시스템 및 서비스의 사용자 ID가 재사용되고 접근 제어 정책이 준수되지 않았다는 사실을 발견했습니다. ISMS 프로젝트 관리자는 이러한 부적합 사항의 근본 원인을 분석한 후 부적합 사항을 해결하기 위한 가능한 조치 목록을 작성했습니다. 그런 다음 ISMS 프로젝트 관리자는 목록을 분석하여 근본 원인을 제거하고 향후 유사한 상황의 발생을 예방할 수 있는 활동을 선정했습니다. 이러한 활동은 실행 계획에 포함되었습니다. 최고 경영진의 승인을 받은 실행 계획은 다음과 같이 작성되었습니다.
새로운 버전의 액세스 제어 정책이 수립되고, 정보통신기술(ICT) 부서에서 네트워크 액세스를 효과적으로 관리하고 모니터링할 수 있도록 새로운 제한이 생성됩니다. 승인된 실행 계획이 구현되었으며, 계획에 설명된 모든 실행 사항이 문서화되었습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
OpenTech는 새로운 버전의 출입 통제 정책을 수립하기로 결정했습니다. 이러한 변경 사항이 발생하면 회사는 어떻게 해야 합니까?
팀은 민감한 정보를 처리하는 시스템 및 서비스의 사용자 ID가 재사용되고 접근 제어 정책이 준수되지 않았다는 사실을 발견했습니다. ISMS 프로젝트 관리자는 이러한 부적합 사항의 근본 원인을 분석한 후 부적합 사항을 해결하기 위한 가능한 조치 목록을 작성했습니다. 그런 다음 ISMS 프로젝트 관리자는 목록을 분석하여 근본 원인을 제거하고 향후 유사한 상황의 발생을 예방할 수 있는 활동을 선정했습니다. 이러한 활동은 실행 계획에 포함되었습니다. 최고 경영진의 승인을 받은 실행 계획은 다음과 같이 작성되었습니다.
새로운 버전의 액세스 제어 정책이 수립되고, 정보통신기술(ICT) 부서에서 네트워크 액세스를 효과적으로 관리하고 모니터링할 수 있도록 새로운 제한이 생성됩니다. 승인된 실행 계획이 구현되었으며, 계획에 설명된 모든 실행 사항이 문서화되었습니다.
이 시나리오를 바탕으로 다음 질문에 답하세요.
OpenTech는 새로운 버전의 출입 통제 정책을 수립하기로 결정했습니다. 이러한 변경 사항이 발생하면 회사는 어떻게 해야 합니까?
ISO-IEC-27001-Lead-Implementer 문제 115
시나리오 5: Operaze는 전 세계 여러 기업의 애플리케이션을 개발하는 소규모 소프트웨어 개발 회사입니다. 최근 이 회사는 디지털 환경에서 운영 시 발생할 수 있는 정보 보안 위험을 평가하기 위해 위험 평가를 실시했습니다. 침투 테스트(Penetration Resting) 및 코드 검토를 포함한 다양한 테스트 방법을 통해 부적절한 사용자 권한, 잘못 구성된 보안 설정, 안전하지 않은 네트워크 구성 등 ICT 시스템의 몇 가지 문제점을 발견했습니다. 이러한 문제를 해결하고 정보 보안을 강화하기 위해 Operaze는 ISO/IEC 27001 기반 정보 보안 관리 시스템(ISMS)을 구축하기로 결정했습니다.
Operaze는 소규모 회사이기 때문에 전체 IT 팀이 ISMS 구축 프로젝트에 참여했습니다. 초기에 회사는 비즈니스 요구사항과 내외부 환경을 분석하고, 주요 프로세스와 활동을 파악하며, 이해관계자를 파악 및 분석했습니다. 또한 Operaze의 최고 경영진은 회사 내 대부분의 부서를 ISMS 적용 범위에 포함하기로 결정했습니다. 정의된 범위에는 조직적 경계와 물리적 경계가 포함되었습니다. IT 팀은 정보 보안 정책을 수립하여 모든 이해관계자에게 전달했습니다. 또한, 보안 문제를 구체화하기 위한 구체적인 정책을 개발하고 모든 이해관계자에게 역할과 책임을 할당했습니다.
이에 인사담당자는 ISMS로 인해 작성된 서류가 그 가치를 정당화하지 못하며 ISMS 시행은 취소되어야 한다고 주장했습니다. 그러나 최고 경영진은 이러한 주장이 타당하지 않다고 판단하고 모든 이해관계자에게 ISMS의 이점을 설명하는 인식 제고 세션을 개최했습니다.
Operaze는 물리적 서버를 타사 인프라의 가상 서버로 이전하기로 결정했습니다. 새로운 클라우드 컴퓨팅 솔루션은 회사에 추가적인 변화를 가져왔습니다. 반면 Operaze의 최고 경영진은 효과적인 ISMS를 구현하는 것뿐만 아니라 ISMS 운영의 원활한 운영을 목표로 했습니다. 이러한 상황에서 Operaze의 최고 경영진은 정보 보안 전략을 구현하기 위해 외부 전문가의 서비스가 필요하다는 결론을 내렸습니다. 반면 IT 팀은 ISMS 범위를 변경하고 회사 프로세스에 필요한 수정 사항을 적용하기로 결정했습니다.
시나리오 5를 기준으로, 클라우드로 마이그레이션한 후 Operaze의 IT 팀은 ISMS 범위를 변경하고 필요한 모든 수정 사항을 구현했습니다. 이것이 허용 가능할까요?
Operaze는 소규모 회사이기 때문에 전체 IT 팀이 ISMS 구축 프로젝트에 참여했습니다. 초기에 회사는 비즈니스 요구사항과 내외부 환경을 분석하고, 주요 프로세스와 활동을 파악하며, 이해관계자를 파악 및 분석했습니다. 또한 Operaze의 최고 경영진은 회사 내 대부분의 부서를 ISMS 적용 범위에 포함하기로 결정했습니다. 정의된 범위에는 조직적 경계와 물리적 경계가 포함되었습니다. IT 팀은 정보 보안 정책을 수립하여 모든 이해관계자에게 전달했습니다. 또한, 보안 문제를 구체화하기 위한 구체적인 정책을 개발하고 모든 이해관계자에게 역할과 책임을 할당했습니다.
이에 인사담당자는 ISMS로 인해 작성된 서류가 그 가치를 정당화하지 못하며 ISMS 시행은 취소되어야 한다고 주장했습니다. 그러나 최고 경영진은 이러한 주장이 타당하지 않다고 판단하고 모든 이해관계자에게 ISMS의 이점을 설명하는 인식 제고 세션을 개최했습니다.
Operaze는 물리적 서버를 타사 인프라의 가상 서버로 이전하기로 결정했습니다. 새로운 클라우드 컴퓨팅 솔루션은 회사에 추가적인 변화를 가져왔습니다. 반면 Operaze의 최고 경영진은 효과적인 ISMS를 구현하는 것뿐만 아니라 ISMS 운영의 원활한 운영을 목표로 했습니다. 이러한 상황에서 Operaze의 최고 경영진은 정보 보안 전략을 구현하기 위해 외부 전문가의 서비스가 필요하다는 결론을 내렸습니다. 반면 IT 팀은 ISMS 범위를 변경하고 회사 프로세스에 필요한 수정 사항을 적용하기로 결정했습니다.
시나리오 5를 기준으로, 클라우드로 마이그레이션한 후 Operaze의 IT 팀은 ISMS 범위를 변경하고 필요한 모든 수정 사항을 구현했습니다. 이것이 허용 가능할까요?