シナリオ 3: Socket Inc は、主にワイヤレス製品とサービスを提供する通信会社です。同社は、高可用性、スケーラビリティ、柔軟性を提供するドキュメント モデル データベースである MongoDB を使用しています。
先月、Socket Inc. は情報セキュリティ インシデントを報告しました。データベース管理者がデフォルト設定を変更しなかったため、ハッカー グループが MongoDB データベースを侵害し、パスワードが設定されず、誰でもアクセス可能な状態になりました。
幸いなことに、Socket Inc. は MongoDB データベースで定期的に情報のバックアップを行っていたため、インシデント中に情報が失われることはありませんでした。また、Syslog サーバーにより、Socket Inc. はすべてのログを 1 つのサーバーに集中させることができました。同社は、ユーザーの障害や例外を記録するイベント ログを確認した結果、永続的なバックドアは設置されておらず、攻撃は社内の従業員によって開始されたものではないことを突き止めました。
ソケット社は、今後同様の事件が起きないように、権限のある人のみアクセスを許可するアクセス制御システムを導入することを決定しました。また、データベースを不正アクセスから保護するために、暗号鍵管理を含む暗号化の有効利用に関するルールを定義および実装するための制御も導入しました。実装は、関連するすべての契約、法律、規制、および情報分類スキームに基づいて行われました。セキュリティを強化し、管理作業を軽減するために、VPN を使用したネットワーク分離が提案されました。
最後に、ソケット社は、情報セキュリティの脅威に関連する情報を維持、収集、分析し、情報セキュリティをプロジェクト管理に統合するための新しいシステムを導入しました。
上記のシナリオに基づいて、次の質問に答えてください。
情報セキュリティインシデントの再発を防止しないセキュリティ制御はどれですか?

情報セキュリティ管理システムの維持と改善を確実にするために、組織は何を割り当てる必要がありますか?

シナリオ 9: OpenTech は IT および通信サービスを提供しています。同社は、データ通信企業とネットワーク オペレーターがマルチサービス プロバイダーになるのを支援しています。内部監査中に、内部監査員の Tim が監視手順に関連する不適合を特定しました。彼は、いくつかのシステムの脆弱性を特定して評価しました。
ティムは、機密情報を処理するシステムおよびサービスのユーザー ID が再利用されており、アクセス制御ポリシーが遵守されていないことを発見しました。この不適合の根本原因を分析した後、ISMS プロジェクト マネージャーは不適合を解決するための可能なアクションのリストを作成しました。次に、ISMS プロジェクト マネージャーはリストを分析し、根本原因を排除し、将来同様の状況を防ぐことができるアクティビティを選択しました。これらのアクティビティはアクション プランに含まれていました。経営陣によって承認されたアクション プランは、次のように記述されています。
アクセス制御ポリシーの新しいバージョンが確立され、新しい制限が作成され、情報通信技術 (ICT) 部門によってネットワーク アクセスが効果的に管理および監視されるようになります。承認されたアクション プランが実行され、プランに記載されているすべてのアクションが文書化されました。
このシナリオに基づいて、次の質問に答えてください。
OpenTech は、アクセス制御ポリシーの新しいバージョンを確立することを決定しました。このような変更が発生した場合、会社はどうすればよいですか?

ISO / IEC 27002: 2013 にはいくつのドメインがありますか?

以下の状況のうち、内部監査プロセスに悪影響を及ぼす可能性があるのはどれですか?