ISO-IEC-27001-Lead-Implementer 문제 226
시나리오 1: HealthGenic은 웹 기반 의료 소프트웨어를 사용하여 유아기부터 성인 초기까지 아동의 건강과 성장을 모니터링하는 소아과 병원입니다. 이 소프트웨어는 진료 예약, 맞춤형 의료 보고서 작성, 환자 데이터 및 병력 저장, 그리고 부모, 다른 의사, 그리고 임상병리실 직원을 포함한 모든 관계자와의 소통에도 사용됩니다.
지난달, HealthGenic은 소프트웨어에 접속하는 사용자 수가 늘어나면서 여러 차례 서비스 중단을 겪었습니다. 회사가 소프트웨어를 사용하면서 겪었던 또 다른 문제는 복잡한 사용자 인터페이스였는데, 훈련을 받지 않은 직원은 이를 사용하기 어려워했습니다.
HealthGenic의 최고 경영진은 해당 소프트웨어 개발사에 즉시 문제를 알렸습니다. 소프트웨어 회사는 문제를 해결했지만, 그 과정에서 HealthGenic 환자와 관련된 민감한 정보가 포함된 일부 파일을 수정했습니다. 이러한 수정으로 인해 불완전하고 부정확한 의료 보고서가 작성되었고, 더 중요한 것은 환자의 개인 정보 침해로 이어졌습니다.
위의 시나리오를 바탕으로 다음 질문에 답하세요.
다음 중 정보의 기밀성이 침해되었음을 나타내는 것은 무엇입니까?
지난달, HealthGenic은 소프트웨어에 접속하는 사용자 수가 늘어나면서 여러 차례 서비스 중단을 겪었습니다. 회사가 소프트웨어를 사용하면서 겪었던 또 다른 문제는 복잡한 사용자 인터페이스였는데, 훈련을 받지 않은 직원은 이를 사용하기 어려워했습니다.
HealthGenic의 최고 경영진은 해당 소프트웨어 개발사에 즉시 문제를 알렸습니다. 소프트웨어 회사는 문제를 해결했지만, 그 과정에서 HealthGenic 환자와 관련된 민감한 정보가 포함된 일부 파일을 수정했습니다. 이러한 수정으로 인해 불완전하고 부정확한 의료 보고서가 작성되었고, 더 중요한 것은 환자의 개인 정보 침해로 이어졌습니다.
위의 시나리오를 바탕으로 다음 질문에 답하세요.
다음 중 정보의 기밀성이 침해되었음을 나타내는 것은 무엇입니까?
ISO-IEC-27001-Lead-Implementer 문제 227
한 조직이 저장 매체의 사용, 취득, 운송, 폐기 등 수명 주기 전반에 걸쳐 관리할 수 있는 통제 수단을 구현했습니다. 이 통제 수단은 어떤 통제 범주에 속합니까?
ISO-IEC-27001-Lead-Implementer 문제 228
시나리오 10: NetworkFuse는 네트워크 하드웨어를 개발, 제조 및 판매합니다. 이 회사는 약 2년 동안 ISO/IEC 27001 요구사항에 기반한 운영 정보보안 관리체계(ISMS)와 ISO 9001에 기반한 품질경영시스템(QMS)을 구축해 왔습니다. 최근 ISO/IEC 27001과 ISO 9001 인증을 획득하기 위해 통합 인증 심사를 신청했습니다.
NetworkFuse는 인증 기관을 선택한 후 직원들에게 감사를 준비시켰습니다.회사는 최고 경영진에 따르면 필요하지 않기 때문에 감사 전에 자체 평가를 하지 않기로 결정했습니다.또한 내부 감사 보고서와 관리 검토, 도입된 기술, ISMS와 QMS의 일반적인 운영을 포함하여 문서화된 정보의 가용성을 보장했습니다.그러나 회사는 인증 기관에 문서를 외부로 가져갈 수 없다고 요청했습니다.그러나 NetworkFuse가 배정된 감사 팀 리더를 거부하고 교체를 요청했기 때문에 예정된 날짜 내에 감사가 수행되지 않았습니다.회사는 같은 감사 팀 리더가 주요 경쟁업체에 인증을 권장했는데 회사 최고 경영진에게 이는 잠재적인 이해 상충이었다고 주장했습니다.인증 기관은 요청을 수락하지 않았습니다.위의 시나리오를 기반으로 다음 질문에 답하십시오.
NetworkFuse는 인증 감사에 대한 전제 조건을 충족합니까?
NetworkFuse는 인증 기관을 선택한 후 직원들에게 감사를 준비시켰습니다.회사는 최고 경영진에 따르면 필요하지 않기 때문에 감사 전에 자체 평가를 하지 않기로 결정했습니다.또한 내부 감사 보고서와 관리 검토, 도입된 기술, ISMS와 QMS의 일반적인 운영을 포함하여 문서화된 정보의 가용성을 보장했습니다.그러나 회사는 인증 기관에 문서를 외부로 가져갈 수 없다고 요청했습니다.그러나 NetworkFuse가 배정된 감사 팀 리더를 거부하고 교체를 요청했기 때문에 예정된 날짜 내에 감사가 수행되지 않았습니다.회사는 같은 감사 팀 리더가 주요 경쟁업체에 인증을 권장했는데 회사 최고 경영진에게 이는 잠재적인 이해 상충이었다고 주장했습니다.인증 기관은 요청을 수락하지 않았습니다.위의 시나리오를 기반으로 다음 질문에 답하십시오.
NetworkFuse는 인증 감사에 대한 전제 조건을 충족합니까?
ISO-IEC-27001-Lead-Implementer 문제 229
시나리오 7: InfoSec은 매사추세츠주 보스턴에 본사를 둔 다국적 기업으로, 전문 전자 제품, 게임, 엔터테인먼트 서비스를 제공합니다. 수많은 정보 보안 사고를 겪은 후, InfoSec은 향후 발생할 수 있는 사고를 예방하기 위해 팀을 구성하고 대책을 실행하기로 결정했습니다. Emma, Bob, Anna는 보안 아키텍처팀, 사고 대응팀(IRT), 포렌식팀으로 구성된 InfoSec의 정보 보안팀에 새롭게 합류했습니다. Emma의 업무는 InfoSec이 사고에 효과적으로 대응할 수 있도록 정보 보안 계획, 정책, 프로토콜 및 교육을 수립하는 것입니다. Emma와 Bob은 InfoSec의 정규직 직원이 되고, Anna는 외부 컨설턴트로 계약되었습니다.
네트워크 전문가인 밥은 스크린드 서브넷 네트워크 아키텍처를 구축할 것입니다. 이 아키텍처는 호스팅되는 공공 서비스가 연결된 비무장지대(OMZ)와 정보보안팀의 공개적으로 접근 가능한 리소스를 사설 네트워크에서 분리합니다. 이를 통해 정보보안팀은 잠재적 공격자가 회사 네트워크 내에서 원치 않는 이벤트를 발생시키는 것을 차단할 수 있습니다. 밥은 또한 예상치 못한 이벤트의 특성에 대한 철저한 평가를 수행해야 할 책임이 있으며, 여기에는 이벤트 발생 경위와 이벤트가 누구에게 어떤 영향을 미칠 수 있는지에 대한 세부 정보가 포함됩니다.
안나는 징계 및 법적 조치 목적으로 증거를 보관하고 향후 사고 예방에 활용하기 위해 데이터, 검토, 분석 및 보고서 기록을 작성합니다. 이러한 작업을 수행하기 위해 안나는 회사의 정보 보안 사고 관리 정책을 사전에 숙지해야 합니다. 이 정책에는 생성될 기록의 종류, 보관 장소, 그리고 특정 기록 유형에 따라 가져야 하는 형식과 내용이 명시되어 있습니다.
시나리오 7에 따르면, InfoSec 네트워크 내에 비무장지대(DMZ)가 구축되어 있습니다. 이 경우 InfoSec은 어떤 유형의 통제를 구현했습니까?
네트워크 전문가인 밥은 스크린드 서브넷 네트워크 아키텍처를 구축할 것입니다. 이 아키텍처는 호스팅되는 공공 서비스가 연결된 비무장지대(OMZ)와 정보보안팀의 공개적으로 접근 가능한 리소스를 사설 네트워크에서 분리합니다. 이를 통해 정보보안팀은 잠재적 공격자가 회사 네트워크 내에서 원치 않는 이벤트를 발생시키는 것을 차단할 수 있습니다. 밥은 또한 예상치 못한 이벤트의 특성에 대한 철저한 평가를 수행해야 할 책임이 있으며, 여기에는 이벤트 발생 경위와 이벤트가 누구에게 어떤 영향을 미칠 수 있는지에 대한 세부 정보가 포함됩니다.
안나는 징계 및 법적 조치 목적으로 증거를 보관하고 향후 사고 예방에 활용하기 위해 데이터, 검토, 분석 및 보고서 기록을 작성합니다. 이러한 작업을 수행하기 위해 안나는 회사의 정보 보안 사고 관리 정책을 사전에 숙지해야 합니다. 이 정책에는 생성될 기록의 종류, 보관 장소, 그리고 특정 기록 유형에 따라 가져야 하는 형식과 내용이 명시되어 있습니다.
시나리오 7에 따르면, InfoSec 네트워크 내에 비무장지대(DMZ)가 구축되어 있습니다. 이 경우 InfoSec은 어떤 유형의 통제를 구현했습니까?
ISO-IEC-27001-Lead-Implementer 문제 230
ISMS의 지속적인 개선을 지원하는 것은 무엇입니까?