ISO-IEC-27001-Lead-Implementer 문제 186
시나리오 4: TradeB. 시장에 막 진출한 상업 은행으로, 고객 예금을 받고 기본적인 금융 서비스와 투자 대출을 제공합니다. TradeB는 ISO/IEC 27001 기반 정보보안 관리체계(ISMS)를 구축하기로 결정했습니다. 경영진 경험이 전무한
[^시스템 구현을 위해 TradeB의 최고 경영진은 ISMS 구현 프로젝트를 지휘하고 관리하기 위해 두 명의 전문가와 계약을 맺었습니다.
먼저, 프로젝트팀은 ISO/IEC 27001 부속서 A의 93개 통제 항목을 분석하고 회사와 그 목표에 적용 가능한 것으로 판단되는 보안 통제 항목만 나열했습니다. 이 분석을 바탕으로 적용성 설명서(Statement of Applicability)를 작성했습니다. 이후, 위험 평가를 실시하여 하드웨어, 소프트웨어, 네트워크 등 자산과 위협 및 취약성을 파악하고, 잠재적 결과와 발생 가능성을 평가했으며, 세 가지 비수치적 범주(낮음, 보통, 높음)를 기반으로 위험 수준을 결정했습니다. 그들은 위험 평가 기준에 따라 위험을 평가하고 고위험 범주만을 처리하기로 결정했습니다. 또한 새로운 버전의 액세스 제어 정책을 수립하고, 사용자 액세스를 관리하고 제어하기 위한 제어를 구현하고, 비즈니스 연속성을 위한 ICT 준비에 대한 제어를 구현하여 주로 관리자 권한의 무단 사용과 여러 하드웨어 오류로 인한 시스템 중단에 집중하기로 결정했습니다. 마지막으로, 그들은 이러한 보안 제어를 구현한 후 위험 수준이 허용 수준보다 낮으면 위험을 수용할 것이라고 기술한 위험 평가 보고서를 초안했습니다. 시나리오 4를 기반으로 위험 평가 중에 어떤 유형의 자산이 식별되었습니까?
[^시스템 구현을 위해 TradeB의 최고 경영진은 ISMS 구현 프로젝트를 지휘하고 관리하기 위해 두 명의 전문가와 계약을 맺었습니다.
먼저, 프로젝트팀은 ISO/IEC 27001 부속서 A의 93개 통제 항목을 분석하고 회사와 그 목표에 적용 가능한 것으로 판단되는 보안 통제 항목만 나열했습니다. 이 분석을 바탕으로 적용성 설명서(Statement of Applicability)를 작성했습니다. 이후, 위험 평가를 실시하여 하드웨어, 소프트웨어, 네트워크 등 자산과 위협 및 취약성을 파악하고, 잠재적 결과와 발생 가능성을 평가했으며, 세 가지 비수치적 범주(낮음, 보통, 높음)를 기반으로 위험 수준을 결정했습니다. 그들은 위험 평가 기준에 따라 위험을 평가하고 고위험 범주만을 처리하기로 결정했습니다. 또한 새로운 버전의 액세스 제어 정책을 수립하고, 사용자 액세스를 관리하고 제어하기 위한 제어를 구현하고, 비즈니스 연속성을 위한 ICT 준비에 대한 제어를 구현하여 주로 관리자 권한의 무단 사용과 여러 하드웨어 오류로 인한 시스템 중단에 집중하기로 결정했습니다. 마지막으로, 그들은 이러한 보안 제어를 구현한 후 위험 수준이 허용 수준보다 낮으면 위험을 수용할 것이라고 기술한 위험 평가 보고서를 초안했습니다. 시나리오 4를 기반으로 위험 평가 중에 어떤 유형의 자산이 식별되었습니까?
ISO-IEC-27001-Lead-Implementer 문제 187
한 조직에서 모든 직원을 대상으로 매달 정보 보안 인식 및 교육 세션을 실시하기로 결정했습니다. 이 세션에 참석한 직원 중 45%만이 시험에 합격했습니다.
백분율은 무엇을 나타냅니까?
백분율은 무엇을 나타냅니까?
ISO-IEC-27001-Lead-Implementer 문제 188
ISMS는 XYZ 회사 내 고객 데이터에 접근하는 모든 부서에 적용됩니다. ISMS의 목적은 고객 데이터의 기밀성, 무결성 및 가용성을 보장하고 정보 보안 관련 규제 요건을 준수하는 것입니다. 이 문장은 무엇을 의미합니까?
^"설명하세요?
^"설명하세요?
ISO-IEC-27001-Lead-Implementer 문제 189
대본:
한 제조 회사가 잠재적 공급망 차질로 인해 생산 지연 위험에 직면했습니다. 회사는 잠재적 영향을 평가한 후, 차질이 운영에 큰 영향을 미치지 않을 것으로 판단하여 위험을 감수하기로 결정했습니다.
질문:
이 경우 회사는 어떤 위험 처리 옵션을 선택했습니까?
한 제조 회사가 잠재적 공급망 차질로 인해 생산 지연 위험에 직면했습니다. 회사는 잠재적 영향을 평가한 후, 차질이 운영에 큰 영향을 미치지 않을 것으로 판단하여 위험을 감수하기로 결정했습니다.
질문:
이 경우 회사는 어떤 위험 처리 옵션을 선택했습니까?
ISO-IEC-27001-Lead-Implementer 문제 190
문서 분류를 변경할 권한이 있는 사람은 누구입니까?