シナリオ 3: Socket Inc は、主にワイヤレス製品とサービスを提供する通信会社です。同社は、高可用性、スケーラビリティ、柔軟性を提供するドキュメント モデル データベースである MongoDB を使用しています。
先月、Socket Inc. は情報セキュリティ インシデントを報告しました。データベース管理者がデフォルト設定を変更しなかったため、ハッカー グループが MongoDB データベースを侵害し、パスワードが設定されず、誰でもアクセス可能な状態になりました。
幸いなことに、Socket Inc. は MongoDB データベースで定期的に情報のバックアップを行っていたため、インシデント中に情報が失われることはありませんでした。また、Syslog サーバーにより、Socket Inc. はすべてのログを 1 つのサーバーに集中させることができました。同社は、ユーザーの障害や例外を記録するイベント ログを確認した結果、永続的なバックドアは設置されておらず、攻撃は社内の従業員によって開始されたものではないことを突き止めました。
ソケット社は、今後同様の事件が起きないように、権限のある人のみアクセスを許可するアクセス制御システムを導入することを決定しました。また、データベースを不正アクセスから保護するために、暗号鍵管理を含む暗号化の有効利用に関するルールを定義および実装するための制御も導入しました。実装は、関連するすべての契約、法律、規制、および情報分類スキームに基づいて行われました。セキュリティを強化し、管理作業を軽減するために、VPN を使用したネットワーク分離が提案されました。
最後に、ソケット社は、情報セキュリティの脅威に関連する情報を維持、収集、分析し、情報セキュリティをプロジェクト管理に統合するための新しいシステムを導入しました。
シナリオ 3 に基づき、Socket Inc. は ISO/IEC 27001 の附属書 A のどの情報セキュリティ管理策を実施しましたか。
情報セキュリティの脅威に関連する情報を維持、収集、分析するための新しいシステムを構築することで実装しますか?

______________ などの固有の脆弱性は、資産の特性と関連しています。シナリオ 1 を参照してください。

情報セキュリティリスクに関する次の記述のうち、正しくないものはどれですか?

組織のインシデント管理プロセスにより、情報セキュリティ インシデントに備え、対応することができます。さらに、組織には情報セキュリティ イベントを評価する手順が整備されています。ISO/IEC 27001 によれば、インシデント管理プロセスには他に何が含まれている必要がありますか?

不適合が検出されたときに組織が実行する必要がある ISO/IEC 27001 で要求される手順に含まれないものはどれですか。