ISO-IEC-27001-Lead-Implementer 문제 221
SecureLynx는 구현된 프로세스와 제어의 결과를 보고하기 위해 어떤 대시보드를 사용했습니까?
ISO-IEC-27001-Lead-Implementer 문제 222
온라인 쇼핑 웹사이트를 운영하는 회사인 카이트(Kyte)는 웹사이트에 Q&A 섹션을 추가했습니다. 하지만 고객 서비스 부서는 사용자 질문에 대한 답변을 거의 제공하지 않습니다. 카이트가 따르지 않은 효과적인 커뮤니케이션 전략 원칙은 무엇일까요?
ISO-IEC-27001-Lead-Implementer 문제 223
한 조직에서 모든 직원을 대상으로 매달 정보 보안 인식 및 교육 세션을 실시하기로 했습니다. 이 세션에 참석한 직원 중 45%만이 시험에 합격했습니다. 이 비율은 얼마입니까?
ISO-IEC-27001-Lead-Implementer 문제 224
직무 분리를 적용하는 가장 중요한 이유는 무엇입니까?
ISO-IEC-27001-Lead-Implementer 문제 225
시나리오 3: Socket Inc는 주로 무선 제품과 서비스를 제공하는 통신 회사입니다. 이 회사는 높은 가용성, 확장성 및 유연성을 제공하는 문서 모델 데이터베이스인 MongoDB를 사용합니다.
지난달, Socket Inc.는 정보 보안 사고를 보고했습니다. 해커 집단이 MongoDB 데이터베이스를 침해했는데, 데이터베이스 관리자가 기본 설정을 변경하지 않아 비밀번호가 없고 공개적으로 접근 가능한 상태가 되었기 때문입니다.
다행히도 Socket Inc.는 MongoDB 데이터베이스에 정기적으로 정보를 백업했기 때문에 사고 발생 시 정보가 손실되지 않았습니다. 또한, 시스템 로그 서버를 통해 Socket Inc.는 모든 로그를 하나의 서버에 중앙 집중화할 수 있었습니다. 회사는 사용자 오류 및 예외 사항을 기록하는 이벤트 로그를 검토하여 지속적인 백도어가 설치되지 않았으며 회사 내부 직원이 공격을 시도한 것이 아니라는 사실을 확인했습니다.
향후 유사한 사고를 방지하기 위해, 소켓(Socket Inc.)은 권한이 있는 직원에게만 접근 권한을 부여하는 접근 제어 시스템을 사용하기로 결정했습니다. 또한, 데이터베이스를 무단 접근으로부터 보호하기 위해 암호화 키 관리를 포함한 암호화의 효과적인 사용을 위한 규칙을 정의하고 구현하기 위한 제어 시스템을 구축했습니다. 이 구현은 모든 관련 계약, 법률 및 규정, 그리고 정보 분류 체계를 기반으로 했습니다. 보안을 강화하고 관리 부담을 줄이기 위해 VPN을 활용한 네트워크 분리가 제안되었습니다.
마지막으로, Socket Inc.는 정보 보안 위협과 관련된 정보를 유지, 수집, 분석하고, 정보 보안을 프로젝트 관리에 통합하기 위한 새로운 시스템을 구현했습니다.
ISO/IEC 27001 부록 A의 시나리오 3을 기준으로 Socket Inc.는 어떤 정보 보안 통제를 수행했습니까?
정보보안 위협과 관련된 정보를 유지, 수집, 분석하는 새로운 시스템을 구축하여 구현하시겠습니까?
지난달, Socket Inc.는 정보 보안 사고를 보고했습니다. 해커 집단이 MongoDB 데이터베이스를 침해했는데, 데이터베이스 관리자가 기본 설정을 변경하지 않아 비밀번호가 없고 공개적으로 접근 가능한 상태가 되었기 때문입니다.
다행히도 Socket Inc.는 MongoDB 데이터베이스에 정기적으로 정보를 백업했기 때문에 사고 발생 시 정보가 손실되지 않았습니다. 또한, 시스템 로그 서버를 통해 Socket Inc.는 모든 로그를 하나의 서버에 중앙 집중화할 수 있었습니다. 회사는 사용자 오류 및 예외 사항을 기록하는 이벤트 로그를 검토하여 지속적인 백도어가 설치되지 않았으며 회사 내부 직원이 공격을 시도한 것이 아니라는 사실을 확인했습니다.
향후 유사한 사고를 방지하기 위해, 소켓(Socket Inc.)은 권한이 있는 직원에게만 접근 권한을 부여하는 접근 제어 시스템을 사용하기로 결정했습니다. 또한, 데이터베이스를 무단 접근으로부터 보호하기 위해 암호화 키 관리를 포함한 암호화의 효과적인 사용을 위한 규칙을 정의하고 구현하기 위한 제어 시스템을 구축했습니다. 이 구현은 모든 관련 계약, 법률 및 규정, 그리고 정보 분류 체계를 기반으로 했습니다. 보안을 강화하고 관리 부담을 줄이기 위해 VPN을 활용한 네트워크 분리가 제안되었습니다.
마지막으로, Socket Inc.는 정보 보안 위협과 관련된 정보를 유지, 수집, 분석하고, 정보 보안을 프로젝트 관리에 통합하기 위한 새로운 시스템을 구현했습니다.
ISO/IEC 27001 부록 A의 시나리오 3을 기준으로 Socket Inc.는 어떤 정보 보안 통제를 수행했습니까?
정보보안 위협과 관련된 정보를 유지, 수집, 분석하는 새로운 시스템을 구축하여 구현하시겠습니까?