ISO-IEC-27001-Lead-Implementer 문제 216
시나리오 10: NetworkFuse는 네트워크 하드웨어를 개발, 제조 및 판매합니다. 이 회사는 약 2년 동안 ISO/IEC 27001 요구사항에 기반한 운영 정보보안 관리체계(ISMS)와 ISO 9001에 기반한 품질경영시스템(QMS)을 구축해 왔습니다. 최근 ISO/IEC 27001과 ISO 9001 인증을 획득하기 위해 통합 인증 심사를 신청했습니다.
인증기관 선정 후, NetworkFuse는 직원들이 감사에 대비할 수 있도록 준비시켰습니다. 최고 경영진의 의견에 따라 감사 전 자체 평가는 불필요하다는 판단에 따라 자체 평가를 실시하지 않기로 결정했습니다. 또한, 내부 감사 보고서 및 경영진 검토, 도입된 기술, 그리고 ISMS 및 QMS의 전반적인 운영 현황을 포함한 문서화된 정보의 가용성을 확보했습니다.
그러나 회사는 인증 기관에 문서를 현장 밖으로 반출할 수 없다고 요청했습니다.그러나 NetworkFuse가 배정된 감사팀 리더를 거부하고 교체를 요청했기 때문에 예정된 날짜 내에 감사가 수행되지 않았습니다.회사는 동일한 감사팀 리더가 주요 경쟁사에 인증을 권고했는데, 회사 최고 경영진에게 이는 잠재적인 이해 상충이라고 주장했습니다.인증 기관은 이 요청을 수락하지 않았습니다.시나리오 10에 따라 NetworkFuse는 인증 기관에 모든 문서를 현장에서만 검토해 달라고 요청했습니다.이것이 허용될 수 있습니까?
인증기관 선정 후, NetworkFuse는 직원들이 감사에 대비할 수 있도록 준비시켰습니다. 최고 경영진의 의견에 따라 감사 전 자체 평가는 불필요하다는 판단에 따라 자체 평가를 실시하지 않기로 결정했습니다. 또한, 내부 감사 보고서 및 경영진 검토, 도입된 기술, 그리고 ISMS 및 QMS의 전반적인 운영 현황을 포함한 문서화된 정보의 가용성을 확보했습니다.
그러나 회사는 인증 기관에 문서를 현장 밖으로 반출할 수 없다고 요청했습니다.그러나 NetworkFuse가 배정된 감사팀 리더를 거부하고 교체를 요청했기 때문에 예정된 날짜 내에 감사가 수행되지 않았습니다.회사는 동일한 감사팀 리더가 주요 경쟁사에 인증을 권고했는데, 회사 최고 경영진에게 이는 잠재적인 이해 상충이라고 주장했습니다.인증 기관은 이 요청을 수락하지 않았습니다.시나리오 10에 따라 NetworkFuse는 인증 기관에 모든 문서를 현장에서만 검토해 달라고 요청했습니다.이것이 허용될 수 있습니까?
ISO-IEC-27001-Lead-Implementer 문제 217
TradeB는 잔여 위험을 처리하기 위해 어떻게 해야 합니까? 시나리오 4를 참조하십시오.
ISO-IEC-27001-Lead-Implementer 문제 218
시나리오 4: TradeB. 시장에 막 진출한 상업 은행으로, 고객 예금을 받고 기본적인 금융 서비스와 투자 대출을 제공합니다. TradeB는 ISO/IEC 27001 기반 정보보안 관리체계(ISMS)를 구축하기로 결정했습니다. 경영진 경험이 전무한
[^시스템 구현을 위해 TradeB의 최고 경영진은 ISMS 구현 프로젝트를 지휘하고 관리하기 위해 두 명의 전문가와 계약을 맺었습니다.
먼저, 프로젝트팀은 ISO/IEC 27001 부속서 A의 93개 통제 항목을 분석하고 회사와 그 목표에 적용 가능한 것으로 판단되는 보안 통제 항목만 나열했습니다. 이 분석을 바탕으로 적용성 설명서(Statement of Applicability)를 작성했습니다. 이후, 위험 평가를 실시하여 하드웨어, 소프트웨어, 네트워크 등 자산과 위협 및 취약성을 파악하고, 잠재적 결과와 발생 가능성을 평가했으며, 세 가지 비수치적 범주(낮음, 보통, 높음)를 기반으로 위험 수준을 결정했습니다. 그들은 위험 평가 기준에 따라 위험을 평가하고 고위험 범주만을 처리하기로 결정했습니다. 또한 새로운 버전의 액세스 제어 정책을 수립하고, 사용자 액세스를 관리하고 제어하기 위한 제어를 구현하고, 비즈니스 연속성을 위한 ICT 준비에 대한 제어를 구현하여 주로 관리자 권한의 무단 사용과 여러 하드웨어 오류로 인한 시스템 중단에 집중하기로 결정했습니다. 마지막으로, 그들은 이러한 보안 제어를 구현한 후 위험 수준이 허용 수준보다 낮으면 위험을 수용할 것이라고 기술한 위험 평가 보고서를 초안했습니다. 시나리오 4를 기반으로 위험 평가 중에 어떤 유형의 자산이 식별되었습니까?
[^시스템 구현을 위해 TradeB의 최고 경영진은 ISMS 구현 프로젝트를 지휘하고 관리하기 위해 두 명의 전문가와 계약을 맺었습니다.
먼저, 프로젝트팀은 ISO/IEC 27001 부속서 A의 93개 통제 항목을 분석하고 회사와 그 목표에 적용 가능한 것으로 판단되는 보안 통제 항목만 나열했습니다. 이 분석을 바탕으로 적용성 설명서(Statement of Applicability)를 작성했습니다. 이후, 위험 평가를 실시하여 하드웨어, 소프트웨어, 네트워크 등 자산과 위협 및 취약성을 파악하고, 잠재적 결과와 발생 가능성을 평가했으며, 세 가지 비수치적 범주(낮음, 보통, 높음)를 기반으로 위험 수준을 결정했습니다. 그들은 위험 평가 기준에 따라 위험을 평가하고 고위험 범주만을 처리하기로 결정했습니다. 또한 새로운 버전의 액세스 제어 정책을 수립하고, 사용자 액세스를 관리하고 제어하기 위한 제어를 구현하고, 비즈니스 연속성을 위한 ICT 준비에 대한 제어를 구현하여 주로 관리자 권한의 무단 사용과 여러 하드웨어 오류로 인한 시스템 중단에 집중하기로 결정했습니다. 마지막으로, 그들은 이러한 보안 제어를 구현한 후 위험 수준이 허용 수준보다 낮으면 위험을 수용할 것이라고 기술한 위험 평가 보고서를 초안했습니다. 시나리오 4를 기반으로 위험 평가 중에 어떤 유형의 자산이 식별되었습니까?
ISO-IEC-27001-Lead-Implementer 문제 219
정보 보안 위험에 관한 다음 진술 중 옳지 않은 것은 무엇입니까?
ISO-IEC-27001-Lead-Implementer 문제 220
시나리오 5: Operaze는 전 세계 여러 기업의 애플리케이션을 개발하는 소규모 소프트웨어 개발 회사입니다. 최근 이 회사는 디지털 환경에서 운영 시 발생할 수 있는 정보 보안 위험을 평가하기 위해 위험 평가를 실시했습니다. 침투 테스트(Penetration Resting) 및 코드 검토를 포함한 다양한 테스트 방법을 통해 부적절한 사용자 권한, 잘못 구성된 보안 설정, 안전하지 않은 네트워크 구성 등 ICT 시스템의 몇 가지 문제점을 발견했습니다. 이러한 문제를 해결하고 정보 보안을 강화하기 위해 Operaze는 ISO/IEC 27001 기반 정보 보안 관리 시스템(ISMS)을 구축하기로 결정했습니다.
Operaze는 소규모 회사이기 때문에 전체 IT 팀이 ISMS 구축 프로젝트에 참여했습니다. 초기에 회사는 비즈니스 요구사항과 내외부 환경을 분석하고, 주요 프로세스와 활동을 파악하며, 이해관계자를 파악 및 분석했습니다. 또한 Operaze의 최고 경영진은 회사 내 대부분의 부서를 ISMS 적용 범위에 포함하기로 결정했습니다. 정의된 범위에는 조직적 경계와 물리적 경계가 포함되었습니다. IT 팀은 정보 보안 정책을 수립하여 모든 이해관계자에게 전달했습니다. 또한, 보안 문제를 구체화하기 위한 구체적인 정책을 개발하고 모든 이해관계자에게 역할과 책임을 할당했습니다.
이에 인사담당자는 ISMS로 인해 작성된 서류가 그 가치를 정당화하지 못하며 ISMS 시행은 취소되어야 한다고 주장했습니다. 그러나 최고 경영진은 이러한 주장이 타당하지 않다고 판단하고 모든 이해관계자에게 ISMS의 이점을 설명하는 인식 제고 세션을 개최했습니다.
Operaze는 물리적 서버를 타사 인프라의 가상 서버로 이전하기로 결정했습니다. 새로운 클라우드 컴퓨팅 솔루션은 회사에 추가적인 변화를 가져왔습니다. 반면 Operaze의 최고 경영진은 효과적인 ISMS를 구현하는 것뿐만 아니라 ISMS 운영의 원활한 운영을 목표로 했습니다. 이러한 상황에서 Operaze의 최고 경영진은 정보 보안 전략을 구현하기 위해 외부 전문가의 서비스가 필요하다는 결론을 내렸습니다. 반면 IT 팀은 ISMS 범위를 변경하고 회사 프로세스에 필요한 수정 사항을 적용하기로 결정했습니다.
위의 시나리오를 바탕으로 다음 질문에 답하세요.
Operaze가 ISMS를 구현하게 된 계기는 무엇입니까?
Operaze는 소규모 회사이기 때문에 전체 IT 팀이 ISMS 구축 프로젝트에 참여했습니다. 초기에 회사는 비즈니스 요구사항과 내외부 환경을 분석하고, 주요 프로세스와 활동을 파악하며, 이해관계자를 파악 및 분석했습니다. 또한 Operaze의 최고 경영진은 회사 내 대부분의 부서를 ISMS 적용 범위에 포함하기로 결정했습니다. 정의된 범위에는 조직적 경계와 물리적 경계가 포함되었습니다. IT 팀은 정보 보안 정책을 수립하여 모든 이해관계자에게 전달했습니다. 또한, 보안 문제를 구체화하기 위한 구체적인 정책을 개발하고 모든 이해관계자에게 역할과 책임을 할당했습니다.
이에 인사담당자는 ISMS로 인해 작성된 서류가 그 가치를 정당화하지 못하며 ISMS 시행은 취소되어야 한다고 주장했습니다. 그러나 최고 경영진은 이러한 주장이 타당하지 않다고 판단하고 모든 이해관계자에게 ISMS의 이점을 설명하는 인식 제고 세션을 개최했습니다.
Operaze는 물리적 서버를 타사 인프라의 가상 서버로 이전하기로 결정했습니다. 새로운 클라우드 컴퓨팅 솔루션은 회사에 추가적인 변화를 가져왔습니다. 반면 Operaze의 최고 경영진은 효과적인 ISMS를 구현하는 것뿐만 아니라 ISMS 운영의 원활한 운영을 목표로 했습니다. 이러한 상황에서 Operaze의 최고 경영진은 정보 보안 전략을 구현하기 위해 외부 전문가의 서비스가 필요하다는 결론을 내렸습니다. 반면 IT 팀은 ISMS 범위를 변경하고 회사 프로세스에 필요한 수정 사항을 적용하기로 결정했습니다.
위의 시나리오를 바탕으로 다음 질문에 답하세요.
Operaze가 ISMS를 구현하게 된 계기는 무엇입니까?