ISO-IEC-27001-Lead-Implementer 문제 196
시나리오 3: Socket Inc는 주로 무선 제품과 서비스를 제공하는 통신 회사입니다. 이 회사는 높은 가용성, 확장성 및 유연성을 제공하는 문서 모델 데이터베이스인 MongoDB를 사용합니다.
지난달, Socket Inc.는 정보 보안 사고를 보고했습니다. 해커 집단이 MongoDB 데이터베이스를 침해했는데, 데이터베이스 관리자가 기본 설정을 변경하지 않아 비밀번호가 없고 공개적으로 접근 가능한 상태가 되었기 때문입니다.
다행히도 Socket Inc.는 MongoDB 데이터베이스에 정기적으로 정보를 백업했기 때문에 사고 발생 시 정보가 손실되지 않았습니다. 또한, 시스템 로그 서버를 통해 Socket Inc.는 모든 로그를 하나의 서버에 중앙 집중화할 수 있었습니다. 회사는 사용자 오류 및 예외 사항을 기록하는 이벤트 로그를 검토하여 지속적인 백도어가 설치되지 않았으며 회사 내부 직원이 공격을 시도한 것이 아니라는 사실을 확인했습니다.
향후 유사한 사고를 방지하기 위해, 소켓(Socket Inc.)은 권한이 있는 직원에게만 접근 권한을 부여하는 접근 제어 시스템을 사용하기로 결정했습니다. 또한, 데이터베이스를 무단 접근으로부터 보호하기 위해 암호화 키 관리를 포함한 암호화의 효과적인 사용을 위한 규칙을 정의하고 구현하기 위한 제어 시스템을 구축했습니다. 이 구현은 모든 관련 계약, 법률 및 규정, 그리고 정보 분류 체계를 기반으로 했습니다. 보안을 강화하고 관리 부담을 줄이기 위해 VPN을 활용한 네트워크 분리가 제안되었습니다.
마지막으로, Socket Inc.는 정보 보안 위협과 관련된 정보를 유지, 수집, 분석하고, 정보 보안을 프로젝트 관리에 통합하기 위한 새로운 시스템을 구현했습니다.
위의 시나리오를 바탕으로 다음 질문에 답하세요.
어떤 보안 제어가 정보 보안 사고의 재발을 방지하지 못합니까?
지난달, Socket Inc.는 정보 보안 사고를 보고했습니다. 해커 집단이 MongoDB 데이터베이스를 침해했는데, 데이터베이스 관리자가 기본 설정을 변경하지 않아 비밀번호가 없고 공개적으로 접근 가능한 상태가 되었기 때문입니다.
다행히도 Socket Inc.는 MongoDB 데이터베이스에 정기적으로 정보를 백업했기 때문에 사고 발생 시 정보가 손실되지 않았습니다. 또한, 시스템 로그 서버를 통해 Socket Inc.는 모든 로그를 하나의 서버에 중앙 집중화할 수 있었습니다. 회사는 사용자 오류 및 예외 사항을 기록하는 이벤트 로그를 검토하여 지속적인 백도어가 설치되지 않았으며 회사 내부 직원이 공격을 시도한 것이 아니라는 사실을 확인했습니다.
향후 유사한 사고를 방지하기 위해, 소켓(Socket Inc.)은 권한이 있는 직원에게만 접근 권한을 부여하는 접근 제어 시스템을 사용하기로 결정했습니다. 또한, 데이터베이스를 무단 접근으로부터 보호하기 위해 암호화 키 관리를 포함한 암호화의 효과적인 사용을 위한 규칙을 정의하고 구현하기 위한 제어 시스템을 구축했습니다. 이 구현은 모든 관련 계약, 법률 및 규정, 그리고 정보 분류 체계를 기반으로 했습니다. 보안을 강화하고 관리 부담을 줄이기 위해 VPN을 활용한 네트워크 분리가 제안되었습니다.
마지막으로, Socket Inc.는 정보 보안 위협과 관련된 정보를 유지, 수집, 분석하고, 정보 보안을 프로젝트 관리에 통합하기 위한 새로운 시스템을 구현했습니다.
위의 시나리오를 바탕으로 다음 질문에 답하세요.
어떤 보안 제어가 정보 보안 사고의 재발을 방지하지 못합니까?
ISO-IEC-27001-Lead-Implementer 문제 197
X사는 기밀 유지를 고려하여 내부 감사자가 일부 문서에 접근하는 것을 제한했습니다. 이것이 허용될 수 있을까요?
ISO-IEC-27001-Lead-Implementer 문제 198
시나리오 3: Socket Inc는 주로 무선 제품과 서비스를 제공하는 통신 회사입니다. 이 회사는 높은 가용성, 확장성 및 유연성을 제공하는 문서 모델 데이터베이스인 MongoDB를 사용합니다.
지난달, Socket Inc.는 정보 보안 사고를 보고했습니다. 해커 집단이 MongoDB 데이터베이스를 침해했는데, 데이터베이스 관리자가 기본 설정을 변경하지 않아 비밀번호가 없고 공개적으로 접근 가능한 상태가 되었기 때문입니다.
다행히도 Socket Inc.는 MongoDB 데이터베이스에 정기적으로 정보를 백업했기 때문에 사고 발생 시 정보가 손실되지 않았습니다. 또한, 시스템 로그 서버를 통해 Socket Inc.는 모든 로그를 하나의 서버에 집중시킬 수 있었습니다. 회사는 사용자 오류 및 예외 사항을 기록하는 이벤트 로그를 검토하여 지속적인 백도어가 설치되지 않았으며, 회사 내부 직원이 공격을 시도한 것이 아니라는 사실을 확인했습니다.
향후 유사한 사고를 방지하기 위해, 소켓(Socket Inc.)은 권한이 있는 직원에게만 접근 권한을 부여하는 접근 제어 시스템을 사용하기로 결정했습니다. 또한, 데이터베이스를 무단 접근으로부터 보호하기 위해 암호화 키 관리를 포함한 암호화의 효과적인 사용을 위한 규칙을 정의하고 구현하기 위한 제어 시스템을 구축했습니다. 이 구현은 모든 관련 계약, 법률 및 규정, 그리고 정보 분류 체계를 기반으로 했습니다. 보안을 강화하고 관리 부담을 줄이기 위해 VPN을 활용한 네트워크 분리가 제안되었습니다.
마지막으로, Socket Inc.는 정보 보안 위협과 관련된 정보를 유지, 수집, 분석하고, 정보 보안을 프로젝트 관리에 통합하기 위한 새로운 시스템을 구현했습니다.
ISO/IEC 27001 부록 A의 시나리오 3을 기준으로 Socket Inc.는 어떤 정보 보안 통제를 수행했습니까?
정보보안 위협과 관련된 정보를 유지, 수집, 분석하는 새로운 시스템을 구축하여 구현하시겠습니까?
지난달, Socket Inc.는 정보 보안 사고를 보고했습니다. 해커 집단이 MongoDB 데이터베이스를 침해했는데, 데이터베이스 관리자가 기본 설정을 변경하지 않아 비밀번호가 없고 공개적으로 접근 가능한 상태가 되었기 때문입니다.
다행히도 Socket Inc.는 MongoDB 데이터베이스에 정기적으로 정보를 백업했기 때문에 사고 발생 시 정보가 손실되지 않았습니다. 또한, 시스템 로그 서버를 통해 Socket Inc.는 모든 로그를 하나의 서버에 집중시킬 수 있었습니다. 회사는 사용자 오류 및 예외 사항을 기록하는 이벤트 로그를 검토하여 지속적인 백도어가 설치되지 않았으며, 회사 내부 직원이 공격을 시도한 것이 아니라는 사실을 확인했습니다.
향후 유사한 사고를 방지하기 위해, 소켓(Socket Inc.)은 권한이 있는 직원에게만 접근 권한을 부여하는 접근 제어 시스템을 사용하기로 결정했습니다. 또한, 데이터베이스를 무단 접근으로부터 보호하기 위해 암호화 키 관리를 포함한 암호화의 효과적인 사용을 위한 규칙을 정의하고 구현하기 위한 제어 시스템을 구축했습니다. 이 구현은 모든 관련 계약, 법률 및 규정, 그리고 정보 분류 체계를 기반으로 했습니다. 보안을 강화하고 관리 부담을 줄이기 위해 VPN을 활용한 네트워크 분리가 제안되었습니다.
마지막으로, Socket Inc.는 정보 보안 위협과 관련된 정보를 유지, 수집, 분석하고, 정보 보안을 프로젝트 관리에 통합하기 위한 새로운 시스템을 구현했습니다.
ISO/IEC 27001 부록 A의 시나리오 3을 기준으로 Socket Inc.는 어떤 정보 보안 통제를 수행했습니까?
정보보안 위협과 관련된 정보를 유지, 수집, 분석하는 새로운 시스템을 구축하여 구현하시겠습니까?
ISO-IEC-27001-Lead-Implementer 문제 199
시나리오 6: Skyver는 게임 콘솔, 평면 TV, 컴퓨터, 프린터 등 전자 제품을 전 세계로 배송합니다. 정보 보안을 강화하기 위해 회사는 ISO/IEC 27001 요건을 기반으로 정보 보안 관리 시스템(ISMS)을 구축하기로 결정했습니다.
회사 최고 정보 보안 전문가인 콜린은 회사 직원들을 대상으로 정보 보안 과제 및 기타 정보 보안 관련 통제 방안에 대한 교육 및 인식 제고 세션을 개최하기로 결정했습니다. 이 세션에는 Skyver의 정보 보안 접근 방식과 피싱 및 맬웨어 완화 기법 등의 주제가 포함되었습니다.
이 세션에 참여한 사람 중 한 명은 인사부에서 근무하는 리사입니다. 콜린은 스카이버의 기존 정보 보안 정책과 절차를 정직하고 공정하게 설명했지만, 논의되는 일부 내용은 너무 기술적이고 세션의 내용을 완전히 이해하지 못한다고 느꼈습니다. 따라서 많은 경우 리사는 강사와 동료들에게 추가적인 도움을 요청합니다. 위 시나리오를 바탕으로 다음 질문에 답하십시오.
콜린은 리사와의 상황을 어떻게 처리해야 했을까?
회사 최고 정보 보안 전문가인 콜린은 회사 직원들을 대상으로 정보 보안 과제 및 기타 정보 보안 관련 통제 방안에 대한 교육 및 인식 제고 세션을 개최하기로 결정했습니다. 이 세션에는 Skyver의 정보 보안 접근 방식과 피싱 및 맬웨어 완화 기법 등의 주제가 포함되었습니다.
이 세션에 참여한 사람 중 한 명은 인사부에서 근무하는 리사입니다. 콜린은 스카이버의 기존 정보 보안 정책과 절차를 정직하고 공정하게 설명했지만, 논의되는 일부 내용은 너무 기술적이고 세션의 내용을 완전히 이해하지 못한다고 느꼈습니다. 따라서 많은 경우 리사는 강사와 동료들에게 추가적인 도움을 요청합니다. 위 시나리오를 바탕으로 다음 질문에 답하십시오.
콜린은 리사와의 상황을 어떻게 처리해야 했을까?
ISO-IEC-27001-Lead-Implementer 문제 200
시나리오 9: OpenTech는 IT 및 통신 서비스를 제공합니다. 데이터 통신 기업과 네트워크 운영자가 다중 서비스 제공자가 될 수 있도록 지원합니다. 내부 감사 과정에서 내부 감사인인 팀은 모니터링 절차와 관련된 부적합 사항을 파악했습니다. 그는 여러 시스템 취약점을 파악하고 평가했습니다.
팀은 민감한 정보를 처리하는 시스템 및 서비스의 사용자 ID가 재사용되고 접근 제어 정책이 준수되지 않았다는 사실을 발견했습니다. ISMS 프로젝트 관리자는 이러한 부적합 사항의 근본 원인을 분석한 후 부적합 사항을 해결하기 위한 가능한 조치 목록을 작성했습니다. 그런 다음 ISMS 프로젝트 관리자는 목록을 분석하여 근본 원인을 제거하고 향후 유사한 상황의 발생을 예방할 수 있는 활동을 선정했습니다. 이러한 활동은 실행 계획에 포함되었습니다. 최고 경영진의 승인을 받은 실행 계획은 다음과 같이 작성되었습니다.
새로운 버전의 액세스 제어 정책이 수립되고, 정보통신기술(ICT) 부서에서 네트워크 액세스를 효과적으로 관리하고 모니터링할 수 있도록 새로운 제한이 생성됩니다. 승인된 실행 계획이 구현되었으며, 계획에 설명된 모든 실행 사항이 문서화되었습니다.
시나리오 9를 기반으로 OpenTech는 ____________를 제외한 모든 필요한 조치를 취했습니다.
팀은 민감한 정보를 처리하는 시스템 및 서비스의 사용자 ID가 재사용되고 접근 제어 정책이 준수되지 않았다는 사실을 발견했습니다. ISMS 프로젝트 관리자는 이러한 부적합 사항의 근본 원인을 분석한 후 부적합 사항을 해결하기 위한 가능한 조치 목록을 작성했습니다. 그런 다음 ISMS 프로젝트 관리자는 목록을 분석하여 근본 원인을 제거하고 향후 유사한 상황의 발생을 예방할 수 있는 활동을 선정했습니다. 이러한 활동은 실행 계획에 포함되었습니다. 최고 경영진의 승인을 받은 실행 계획은 다음과 같이 작성되었습니다.
새로운 버전의 액세스 제어 정책이 수립되고, 정보통신기술(ICT) 부서에서 네트워크 액세스를 효과적으로 관리하고 모니터링할 수 있도록 새로운 제한이 생성됩니다. 승인된 실행 계획이 구현되었으며, 계획에 설명된 모든 실행 사항이 문서화되었습니다.
시나리오 9를 기반으로 OpenTech는 ____________를 제외한 모든 필요한 조치를 취했습니다.