ISO-IEC-27001-Lead-Implementer 試験問題 46
シナリオ 6: Skyver は、ゲーム機、薄型テレビ、コンピューター、プリンターなどの電子製品を世界中に発送しています。情報セキュリティを確保するために、同社は ISO/IEC 27001 の要件に基づいて情報セキュリティ管理システム (ISMS) を実装することを決定しました。
同社の最も優れた情報セキュリティ専門家であるコリンは、情報セキュリティの課題やその他の情報セキュリティ関連の制御について、同社の従業員向けにトレーニングと意識啓発セッションを開催することを決定しました。セッションには、Skyver の情報セキュリティ アプローチやフィッシングやマルウェアを軽減する手法などのトピックが含まれていました。
セッションの参加者の 1 人は、人事部門で働く Lisa です。Colin は Skyver の既存の情報セキュリティ ポリシーと手順を正直かつ公平に説明していますが、議論されている問題の一部は技術的すぎるため、セッションを完全に理解していません。そのため、多くの場合、彼女はトレーナーと同僚に追加の支援を求めます。シナリオ 6 に基づきます。Lisa は、トレーニングと意識向上セッションで議論されている問題の一部は技術的すぎるため、セッションを完全に理解していないと感じました。これは何を示していますか。
同社の最も優れた情報セキュリティ専門家であるコリンは、情報セキュリティの課題やその他の情報セキュリティ関連の制御について、同社の従業員向けにトレーニングと意識啓発セッションを開催することを決定しました。セッションには、Skyver の情報セキュリティ アプローチやフィッシングやマルウェアを軽減する手法などのトピックが含まれていました。
セッションの参加者の 1 人は、人事部門で働く Lisa です。Colin は Skyver の既存の情報セキュリティ ポリシーと手順を正直かつ公平に説明していますが、議論されている問題の一部は技術的すぎるため、セッションを完全に理解していません。そのため、多くの場合、彼女はトレーナーと同僚に追加の支援を求めます。シナリオ 6 に基づきます。Lisa は、トレーニングと意識向上セッションで議論されている問題の一部は技術的すぎるため、セッションを完全に理解していないと感じました。これは何を示していますか。
ISO-IEC-27001-Lead-Implementer 試験問題 47
リスク分析の最も適切な説明は何ですか?
ISO-IEC-27001-Lead-Implementer 試験問題 48
シナリオ 3: Socket Inc は、主にワイヤレス製品とサービスを提供する通信会社です。同社は、高可用性、スケーラビリティ、柔軟性を提供するドキュメント モデル データベースである MongoDB を使用しています。
先月、Socket Inc. は情報セキュリティ インシデントを報告しました。データベース管理者がデフォルト設定を変更しなかったため、ハッカー グループが MongoDB データベースを侵害し、パスワードが設定されず、誰でもアクセス可能な状態になりました。
幸いなことに、Socket Inc. は MongoDB データベースで定期的に情報のバックアップを行っていたため、インシデント中に情報が失われることはありませんでした。また、Syslog サーバーにより、Socket Inc. はすべてのログを 1 つのサーバーに集中させることができました。同社は、ユーザーの障害や例外を記録するイベント ログを確認した結果、永続的なバックドアは設置されておらず、攻撃は社内の従業員によって開始されたものではないことを突き止めました。
ソケット社は、今後同様の事件が起きないように、権限のある人のみアクセスを許可するアクセス制御システムを導入することを決定しました。また、データベースを不正アクセスから保護するために、暗号鍵管理を含む暗号化の有効利用に関するルールを定義および実装するための制御も導入しました。実装は、関連するすべての契約、法律、規制、および情報分類スキームに基づいて行われました。セキュリティを強化し、管理作業を軽減するために、VPN を使用したネットワーク分離が提案されました。
最後に、ソケット社は、情報セキュリティの脅威に関連する情報を維持、収集、分析し、情報セキュリティをプロジェクト管理に統合するための新しいシステムを導入しました。
上記のシナリオに基づいて、次の質問に答えてください。
情報セキュリティインシデントの再発を防止しないセキュリティ制御はどれですか?
先月、Socket Inc. は情報セキュリティ インシデントを報告しました。データベース管理者がデフォルト設定を変更しなかったため、ハッカー グループが MongoDB データベースを侵害し、パスワードが設定されず、誰でもアクセス可能な状態になりました。
幸いなことに、Socket Inc. は MongoDB データベースで定期的に情報のバックアップを行っていたため、インシデント中に情報が失われることはありませんでした。また、Syslog サーバーにより、Socket Inc. はすべてのログを 1 つのサーバーに集中させることができました。同社は、ユーザーの障害や例外を記録するイベント ログを確認した結果、永続的なバックドアは設置されておらず、攻撃は社内の従業員によって開始されたものではないことを突き止めました。
ソケット社は、今後同様の事件が起きないように、権限のある人のみアクセスを許可するアクセス制御システムを導入することを決定しました。また、データベースを不正アクセスから保護するために、暗号鍵管理を含む暗号化の有効利用に関するルールを定義および実装するための制御も導入しました。実装は、関連するすべての契約、法律、規制、および情報分類スキームに基づいて行われました。セキュリティを強化し、管理作業を軽減するために、VPN を使用したネットワーク分離が提案されました。
最後に、ソケット社は、情報セキュリティの脅威に関連する情報を維持、収集、分析し、情報セキュリティをプロジェクト管理に統合するための新しいシステムを導入しました。
上記のシナリオに基づいて、次の質問に答えてください。
情報セキュリティインシデントの再発を防止しないセキュリティ制御はどれですか?
ISO-IEC-27001-Lead-Implementer 試験問題 49
利害関係者を特定、分析、管理するために使用されるツールはどれですか?
ISO-IEC-27001-Lead-Implementer 試験問題 50
シナリオ 5: Operaze は、世界中のさまざまな企業向けにアプリケーションを開発している小規模なソフトウェア開発会社です。最近、同社はリスク評価を実施し、デジタル環境での運用から生じる可能性のある情報セキュリティ リスクを評価しました。侵入テストやコード レビューなどのさまざまなテスト方法を使用して、不適切なユーザー権限、セキュリティ設定の誤り、安全でないネットワーク構成など、ICT システムの問題を特定しました。これらの問題を解決し、情報セキュリティを強化するために、Operaze は ISO/IEC 27001 に基づく情報セキュリティ管理システム (ISMS) を実装することを決定しました。
Operaze は小規模な会社であるため、IT チーム全体が ISMS 実装プロジェクトに関与しました。最初に、同社はビジネス要件と内部および外部環境を分析し、主要なプロセスと活動を特定し、利害関係者を特定して分析しました。さらに、Operaze のトップマネジメントは、会社のほとんどの部門を ISMS の範囲に含めることを決定しました。定義された範囲には、組織的および物理的な境界が含まれていました。IT チームは情報セキュリティ ポリシーを起草し、すべての関連する利害関係者にそれを伝達しました。さらに、セキュリティの問題を詳しく説明するために他の特定のポリシーが開発され、すべての利害関係者に役割と責任が割り当てられました。
その後、人事部長は、ISMS によって作成された書類は ISMS の価値を正当化するものではなく、ISMS の導入を中止すべきだと主張しました。しかし、経営陣はこの主張は無効であると判断し、関係者全員に ISMS の利点を説明する啓発セッションを開催しました。
Operaze は、物理サーバーをサードパーティのインフラストラクチャ上の仮想サーバーに移行することを決定しました。新しいクラウド コンピューティング ソリューションは、会社にさらなる変化をもたらしました。一方、Operaze の経営陣は、効果的な ISMS を実装するだけでなく、ISMS 運用の円滑な実行を確保することも目指していました。このような状況で、Operaze の経営陣は、情報セキュリティ戦略を実行するには外部の専門家のサービスが必要であると結論付けました。一方、IT チームは、ISMS の範囲の変更を開始することを決定し、会社のプロセスに必要な変更を実施しました。
シナリオ 5 に基づくと、Operaze の MR マネージャーは利害関係者のどのカテゴリに属しますか?
Operaze は小規模な会社であるため、IT チーム全体が ISMS 実装プロジェクトに関与しました。最初に、同社はビジネス要件と内部および外部環境を分析し、主要なプロセスと活動を特定し、利害関係者を特定して分析しました。さらに、Operaze のトップマネジメントは、会社のほとんどの部門を ISMS の範囲に含めることを決定しました。定義された範囲には、組織的および物理的な境界が含まれていました。IT チームは情報セキュリティ ポリシーを起草し、すべての関連する利害関係者にそれを伝達しました。さらに、セキュリティの問題を詳しく説明するために他の特定のポリシーが開発され、すべての利害関係者に役割と責任が割り当てられました。
その後、人事部長は、ISMS によって作成された書類は ISMS の価値を正当化するものではなく、ISMS の導入を中止すべきだと主張しました。しかし、経営陣はこの主張は無効であると判断し、関係者全員に ISMS の利点を説明する啓発セッションを開催しました。
Operaze は、物理サーバーをサードパーティのインフラストラクチャ上の仮想サーバーに移行することを決定しました。新しいクラウド コンピューティング ソリューションは、会社にさらなる変化をもたらしました。一方、Operaze の経営陣は、効果的な ISMS を実装するだけでなく、ISMS 運用の円滑な実行を確保することも目指していました。このような状況で、Operaze の経営陣は、情報セキュリティ戦略を実行するには外部の専門家のサービスが必要であると結論付けました。一方、IT チームは、ISMS の範囲の変更を開始することを決定し、会社のプロセスに必要な変更を実施しました。
シナリオ 5 に基づくと、Operaze の MR マネージャーは利害関係者のどのカテゴリに属しますか?