ISO-IEC-27001-Lead-Implementer 문제 171
시나리오 10: ProEBank
ProEBank는 포괄적인 은행 서비스로 유명한 오스트리아 금융 기관입니다.
비엔나에 본사를 두고 있는 이 은행은 이 도시의 첨단 기술 및 금융 생태계를 활용합니다. 보안 태세를 강화하기 위해 ProEBank는 ISO/IEC 27001을 기반으로 정보 보안 관리 시스템(ISMS)을 구현했습니다. ISMS를 도입한 지 1년이 지난 후, 이 회사는 ISO/IEC 27001 인증을 받기 위해 인증 감사를 신청하기로 결정했습니다.
감사를 준비하기 위해 회사는 먼저 직원들에게 감사 대상을 알리고 교육을 실시했습니다. 또한 외부 감사인이 검토를 요청할 경우를 대비하여 문서화된 정보를 사전에 준비했습니다. 또한, 외부 감사인이 프로세스를 이해하고 평가할 수 있도록 관련 지식을 갖춘 직원을 파악했습니다.
감사 계획 단계에서 ProEBank는 인증 기관에서 제공한 지정된 감사인 목록을 검토했습니다.목록을 검토한 후 ProEBank는 이전에 은행 업계에서 ProEBank의 주요 경쟁사에서 근무한 감사인 중 한 명과 잠재적인 이해 상충이 있음을 발견했습니다.감사 프로세스의 무결성을 보장하기 위해 ProEBank는 완전히 새로운 감사팀이 할당될 때까지 감사를 거부했습니다.이에 따라 인증 기관은 이해 상충을 인정하고 감사팀의 공정성을 보장하기 위해 필요한 조정을 했습니다.이 문제가 해결된 후 감사팀은 ISMS가 표준 요구 사항과 회사의 목표를 모두 충족하는지 평가했습니다.이 프로세스 동안 감사팀은 문서화된 정보 검토에 집중했습니다.
3주 후, 감사팀은 감사 대상 기관의 현장 방문을 통해 ISMS가 ISO/IEC 27001 요건을 준수하는지 평가했습니다. ISMS가 효과적으로 이행되어 감사 대상 기관이 정보 보안 목표를 달성할 수 있도록 지원했습니다. 현장 방문 후 감사팀은 감사 결론을 작성하고 감사 대상 기관에 경미한 부적합 사항이 발견되었음을 알렸습니다. 감사팀장은 인증 권고안을 발표했습니다.
인증기관은 심사팀장의 추천을 받은 후, 인증 결정을 위한 위원회를 구성했습니다. 위원회에는 심사팀 위원 1명과 인증기관 소속 전문가 2명이 포함되었습니다.
인증 기관의 최종 인증 결정은 감사팀의 감사원 1명과 다른 전문가 2명이 포함된 위원회에서 내렸습니다.
질문:
이게 허용되는가요?
ProEBank는 포괄적인 은행 서비스로 유명한 오스트리아 금융 기관입니다.
비엔나에 본사를 두고 있는 이 은행은 이 도시의 첨단 기술 및 금융 생태계를 활용합니다. 보안 태세를 강화하기 위해 ProEBank는 ISO/IEC 27001을 기반으로 정보 보안 관리 시스템(ISMS)을 구현했습니다. ISMS를 도입한 지 1년이 지난 후, 이 회사는 ISO/IEC 27001 인증을 받기 위해 인증 감사를 신청하기로 결정했습니다.
감사를 준비하기 위해 회사는 먼저 직원들에게 감사 대상을 알리고 교육을 실시했습니다. 또한 외부 감사인이 검토를 요청할 경우를 대비하여 문서화된 정보를 사전에 준비했습니다. 또한, 외부 감사인이 프로세스를 이해하고 평가할 수 있도록 관련 지식을 갖춘 직원을 파악했습니다.
감사 계획 단계에서 ProEBank는 인증 기관에서 제공한 지정된 감사인 목록을 검토했습니다.목록을 검토한 후 ProEBank는 이전에 은행 업계에서 ProEBank의 주요 경쟁사에서 근무한 감사인 중 한 명과 잠재적인 이해 상충이 있음을 발견했습니다.감사 프로세스의 무결성을 보장하기 위해 ProEBank는 완전히 새로운 감사팀이 할당될 때까지 감사를 거부했습니다.이에 따라 인증 기관은 이해 상충을 인정하고 감사팀의 공정성을 보장하기 위해 필요한 조정을 했습니다.이 문제가 해결된 후 감사팀은 ISMS가 표준 요구 사항과 회사의 목표를 모두 충족하는지 평가했습니다.이 프로세스 동안 감사팀은 문서화된 정보 검토에 집중했습니다.
3주 후, 감사팀은 감사 대상 기관의 현장 방문을 통해 ISMS가 ISO/IEC 27001 요건을 준수하는지 평가했습니다. ISMS가 효과적으로 이행되어 감사 대상 기관이 정보 보안 목표를 달성할 수 있도록 지원했습니다. 현장 방문 후 감사팀은 감사 결론을 작성하고 감사 대상 기관에 경미한 부적합 사항이 발견되었음을 알렸습니다. 감사팀장은 인증 권고안을 발표했습니다.
인증기관은 심사팀장의 추천을 받은 후, 인증 결정을 위한 위원회를 구성했습니다. 위원회에는 심사팀 위원 1명과 인증기관 소속 전문가 2명이 포함되었습니다.
인증 기관의 최종 인증 결정은 감사팀의 감사원 1명과 다른 전문가 2명이 포함된 위원회에서 내렸습니다.
질문:
이게 허용되는가요?
ISO-IEC-27001-Lead-Implementer 문제 172
시나리오 3: Socket Inc는 주로 무선 제품과 서비스를 제공하는 통신 회사입니다. 이 회사는 높은 가용성, 확장성 및 유연성을 제공하는 문서 모델 데이터베이스인 MongoDB를 사용합니다.
지난달, Socket Inc.는 정보 보안 사고를 보고했습니다. 해커 집단이 MongoDB 데이터베이스를 침해했는데, 데이터베이스 관리자가 기본 설정을 변경하지 않아 비밀번호가 없고 공개적으로 접근 가능한 상태가 되었기 때문입니다.
다행히도 Socket Inc.는 MongoDB 데이터베이스에 정기적으로 정보를 백업했기 때문에 사고 발생 시 정보가 손실되지 않았습니다. 또한, 시스템 로그 서버를 통해 Socket Inc.는 모든 로그를 하나의 서버에 중앙 집중화할 수 있었습니다. 회사는 사용자 오류 및 예외 사항을 기록하는 이벤트 로그를 검토하여 지속적인 백도어가 설치되지 않았으며 회사 내부 직원이 공격을 시도한 것이 아니라는 사실을 확인했습니다.
향후 유사한 사고를 방지하기 위해, 소켓(Socket Inc.)은 권한이 있는 직원에게만 접근 권한을 부여하는 접근 제어 시스템을 사용하기로 결정했습니다. 또한, 데이터베이스를 무단 접근으로부터 보호하기 위해 암호화 키 관리를 포함한 암호화의 효과적인 사용을 위한 규칙을 정의하고 구현하기 위한 제어 시스템을 구축했습니다. 이 구현은 모든 관련 계약, 법률 및 규정, 그리고 정보 분류 체계를 기반으로 했습니다. 보안을 강화하고 관리 부담을 줄이기 위해 VPN을 활용한 네트워크 분리가 제안되었습니다.
마지막으로, Socket Inc.는 정보 보안 위협과 관련된 정보를 유지, 수집, 분석하고, 정보 보안을 프로젝트 관리에 통합하기 위한 새로운 시스템을 구현했습니다.
위의 시나리오를 바탕으로 다음 질문에 답하세요.
어떤 보안 제어가 정보 보안 사고의 재발을 방지하지 못합니까?
지난달, Socket Inc.는 정보 보안 사고를 보고했습니다. 해커 집단이 MongoDB 데이터베이스를 침해했는데, 데이터베이스 관리자가 기본 설정을 변경하지 않아 비밀번호가 없고 공개적으로 접근 가능한 상태가 되었기 때문입니다.
다행히도 Socket Inc.는 MongoDB 데이터베이스에 정기적으로 정보를 백업했기 때문에 사고 발생 시 정보가 손실되지 않았습니다. 또한, 시스템 로그 서버를 통해 Socket Inc.는 모든 로그를 하나의 서버에 중앙 집중화할 수 있었습니다. 회사는 사용자 오류 및 예외 사항을 기록하는 이벤트 로그를 검토하여 지속적인 백도어가 설치되지 않았으며 회사 내부 직원이 공격을 시도한 것이 아니라는 사실을 확인했습니다.
향후 유사한 사고를 방지하기 위해, 소켓(Socket Inc.)은 권한이 있는 직원에게만 접근 권한을 부여하는 접근 제어 시스템을 사용하기로 결정했습니다. 또한, 데이터베이스를 무단 접근으로부터 보호하기 위해 암호화 키 관리를 포함한 암호화의 효과적인 사용을 위한 규칙을 정의하고 구현하기 위한 제어 시스템을 구축했습니다. 이 구현은 모든 관련 계약, 법률 및 규정, 그리고 정보 분류 체계를 기반으로 했습니다. 보안을 강화하고 관리 부담을 줄이기 위해 VPN을 활용한 네트워크 분리가 제안되었습니다.
마지막으로, Socket Inc.는 정보 보안 위협과 관련된 정보를 유지, 수집, 분석하고, 정보 보안을 프로젝트 관리에 통합하기 위한 새로운 시스템을 구현했습니다.
위의 시나리오를 바탕으로 다음 질문에 답하세요.
어떤 보안 제어가 정보 보안 사고의 재발을 방지하지 못합니까?
ISO-IEC-27001-Lead-Implementer 문제 173
한 조직은 조직의 기밀 데이터를 보호하기 위해 암호화 솔루션을 효과적으로 구축하는 데 필요한 정보를 직원에게 제공하는 정책을 수립했습니다. 이 정책은 어떤 유형입니까?
ISO-IEC-27001-Lead-Implementer 문제 174
유명 은행인 Org Y는 고객이 은행 계좌에 쉽고 안전하게 접속할 수 있도록 하는 온라인 뱅킹 플랫폼을 사용합니다. 로그인하려면 스마트폰으로 전송된 일회용 승인 코드를 입력해야 합니다. 이 시나리오에서 어떤 결론을 내릴 수 있을까요?
ISO-IEC-27001-Lead-Implementer 문제 175
시나리오 1: HealthGenic은 웹 기반 의료 소프트웨어를 사용하여 유아기부터 성인 초기까지 아동의 건강과 성장을 모니터링하는 소아과 병원입니다. 이 소프트웨어는 진료 예약, 맞춤형 의료 보고서 작성, 환자 데이터 및 병력 저장, 그리고 부모, 다른 의사, 그리고 임상병리실 직원을 포함한 모든 관계자와의 소통에도 사용됩니다.
지난달, HealthGenic은 소프트웨어에 접속하는 사용자 수가 늘어나면서 여러 차례 서비스 중단을 겪었습니다. 회사가 소프트웨어를 사용하면서 겪었던 또 다른 문제는 복잡한 사용자 인터페이스였는데, 훈련을 받지 않은 직원은 이를 사용하기 어려워했습니다.
HealthGenic의 최고 경영진은 해당 소프트웨어 개발사에 즉시 문제를 알렸습니다. 소프트웨어 회사는 문제를 해결했지만, 그 과정에서 HealthGenic 환자와 관련된 민감한 정보가 포함된 일부 파일을 수정했습니다. 이러한 수정으로 인해 불완전하고 부정확한 의료 보고서가 작성되었고, 더 중요한 것은 환자의 개인 정보 침해로 이어졌습니다.
시나리오 1을 기준으로 HealthGenic에서 정보 무결성이 손실되면 어떤 잠재적 영향이 있을까요?
지난달, HealthGenic은 소프트웨어에 접속하는 사용자 수가 늘어나면서 여러 차례 서비스 중단을 겪었습니다. 회사가 소프트웨어를 사용하면서 겪었던 또 다른 문제는 복잡한 사용자 인터페이스였는데, 훈련을 받지 않은 직원은 이를 사용하기 어려워했습니다.
HealthGenic의 최고 경영진은 해당 소프트웨어 개발사에 즉시 문제를 알렸습니다. 소프트웨어 회사는 문제를 해결했지만, 그 과정에서 HealthGenic 환자와 관련된 민감한 정보가 포함된 일부 파일을 수정했습니다. 이러한 수정으로 인해 불완전하고 부정확한 의료 보고서가 작성되었고, 더 중요한 것은 환자의 개인 정보 침해로 이어졌습니다.
시나리오 1을 기준으로 HealthGenic에서 정보 무결성이 손실되면 어떤 잠재적 영향이 있을까요?