ISO-IEC-27001-Lead-Implementer 문제 231
미드웨스트 보험(Midwest Insurance)은 정보 보호를 위해 여러 가지 조치를 취했습니다. 정보 보안 관리 시스템(ISMS)을 사용하고, 애플리케이션의 데이터 입력 및 출력은 검증되며, 기밀 문서는 암호화된 형태로 전송되고, 직원들은 토큰을 사용하여 정보 시스템에 접근합니다. 다음 중 기술적 조치가 아닌 것은 무엇입니까?
ISO-IEC-27001-Lead-Implementer 문제 232
질문:
경영 평가에 관한 어떤 진술이 맞습니까?
경영 평가에 관한 어떤 진술이 맞습니까?
ISO-IEC-27001-Lead-Implementer 문제 233
조직은 구현한 각 보안 제어를 세부적으로 설명하여 문서화했습니다.
이것은 ISO/IEC 27001을 준수합니까?
이것은 ISO/IEC 27001을 준수합니까?
ISO-IEC-27001-Lead-Implementer 문제 234
시나리오 5: Operaze는 전 세계 여러 기업의 애플리케이션을 개발하는 소규모 소프트웨어 개발 회사입니다. 최근 이 회사는 디지털 환경에서 운영 시 발생할 수 있는 정보 보안 위험을 평가하기 위해 위험 평가를 실시했습니다. 침투 테스트(Penetration Resting) 및 코드 검토를 포함한 다양한 테스트 방법을 통해 부적절한 사용자 권한, 잘못 구성된 보안 설정, 안전하지 않은 네트워크 구성 등 ICT 시스템의 몇 가지 문제점을 발견했습니다. 이러한 문제를 해결하고 정보 보안을 강화하기 위해 Operaze는 ISO/IEC 27001 기반 정보 보안 관리 시스템(ISMS)을 구축하기로 결정했습니다.
Operaze는 소규모 회사이기 때문에 전체 IT 팀이 ISMS 구축 프로젝트에 참여했습니다. 초기에 회사는 비즈니스 요구사항과 내외부 환경을 분석하고, 주요 프로세스와 활동을 파악하며, 이해관계자를 파악 및 분석했습니다. 또한 Operaze의 최고 경영진은 회사 내 대부분의 부서를 ISMS 적용 범위에 포함하기로 결정했습니다. 정의된 범위에는 조직적 경계와 물리적 경계가 포함되었습니다. IT 팀은 정보 보안 정책을 수립하여 모든 이해관계자에게 전달했습니다. 또한, 보안 문제를 구체화하기 위한 구체적인 정책을 개발하고 모든 이해관계자에게 역할과 책임을 할당했습니다.
이에 인사담당자는 ISMS로 인해 작성된 서류가 그 가치를 정당화하지 못하며 ISMS 시행은 취소되어야 한다고 주장했습니다. 그러나 최고 경영진은 이러한 주장이 타당하지 않다고 판단하고 모든 이해관계자에게 ISMS의 이점을 설명하는 인식 제고 세션을 개최했습니다.
Operaze는 물리적 서버를 타사 인프라의 가상 서버로 이전하기로 결정했습니다. 새로운 클라우드 컴퓨팅 솔루션은 회사에 추가적인 변화를 가져왔습니다. 반면 Operaze의 최고 경영진은 효과적인 ISMS를 구현하는 것뿐만 아니라 ISMS 운영의 원활한 운영을 목표로 했습니다. 이러한 상황에서 Operaze의 최고 경영진은 정보 보안 전략을 구현하기 위해 외부 전문가의 서비스가 필요하다는 결론을 내렸습니다. 반면 IT 팀은 ISMS 범위를 변경하고 회사 프로세스에 필요한 수정 사항을 적용하기로 결정했습니다.
시나리오 5를 기준으로, 클라우드로 마이그레이션한 후 Operaze의 IT 팀은 ISMS 범위를 변경하고 필요한 모든 수정 사항을 구현했습니다. 이것이 허용 가능할까요?
Operaze는 소규모 회사이기 때문에 전체 IT 팀이 ISMS 구축 프로젝트에 참여했습니다. 초기에 회사는 비즈니스 요구사항과 내외부 환경을 분석하고, 주요 프로세스와 활동을 파악하며, 이해관계자를 파악 및 분석했습니다. 또한 Operaze의 최고 경영진은 회사 내 대부분의 부서를 ISMS 적용 범위에 포함하기로 결정했습니다. 정의된 범위에는 조직적 경계와 물리적 경계가 포함되었습니다. IT 팀은 정보 보안 정책을 수립하여 모든 이해관계자에게 전달했습니다. 또한, 보안 문제를 구체화하기 위한 구체적인 정책을 개발하고 모든 이해관계자에게 역할과 책임을 할당했습니다.
이에 인사담당자는 ISMS로 인해 작성된 서류가 그 가치를 정당화하지 못하며 ISMS 시행은 취소되어야 한다고 주장했습니다. 그러나 최고 경영진은 이러한 주장이 타당하지 않다고 판단하고 모든 이해관계자에게 ISMS의 이점을 설명하는 인식 제고 세션을 개최했습니다.
Operaze는 물리적 서버를 타사 인프라의 가상 서버로 이전하기로 결정했습니다. 새로운 클라우드 컴퓨팅 솔루션은 회사에 추가적인 변화를 가져왔습니다. 반면 Operaze의 최고 경영진은 효과적인 ISMS를 구현하는 것뿐만 아니라 ISMS 운영의 원활한 운영을 목표로 했습니다. 이러한 상황에서 Operaze의 최고 경영진은 정보 보안 전략을 구현하기 위해 외부 전문가의 서비스가 필요하다는 결론을 내렸습니다. 반면 IT 팀은 ISMS 범위를 변경하고 회사 프로세스에 필요한 수정 사항을 적용하기로 결정했습니다.
시나리오 5를 기준으로, 클라우드로 마이그레이션한 후 Operaze의 IT 팀은 ISMS 범위를 변경하고 필요한 모든 수정 사항을 구현했습니다. 이것이 허용 가능할까요?
ISO-IEC-27001-Lead-Implementer 문제 235
한 조직이 회사의 민감한 구역 및 시설에 대한 보안 접근을 보장하기 위해 새로운 인증 방식을 도입했습니다. 모든 직원은 2단계 인증(비밀번호 및 QR 코드)을 사용해야 합니다. 이 통제 방식은 문서화되고 표준화되어 모든 직원에게 전달되었지만, 그 사용은 "개인의 주도권에 맡겨져 있으며, 실패가 감지될 가능성이 높습니다." 이 통제는 어떤 수준의 성숙도를 의미합니까?