ISO-IEC-27001-Lead-Implementer 試験問題 71
シナリオ 1: HealthGenic は、Web ベースの医療ソフトウェアを使用して、乳児から成人初期までの個人の健康と成長を監視する小児科クリニックです。このソフトウェアは、予約のスケジュール設定、カスタマイズされた医療レポートの作成、患者のデータと病歴の保存、親、他の医師、医療検査スタッフなど、すべての関係者とのコミュニケーションにも使用されます。
先月、HealthGenic 社はソフトウェアにアクセスするユーザー数の増加により、サービスが中断されることが何度かありました。同社がソフトウェアの使用中に直面したもう 1 つの問題は、ユーザー インターフェイスが複雑で、訓練を受けていない従業員が使用しにくいことでした。
HealthGenic の経営陣は、すぐにソフトウェアを開発した会社にこの問題を報告しました。ソフトウェア会社は問題を修正しましたが、その過程で、HealthGenic の患者に関する機密情報を含むいくつかのファイルを変更しました。変更の結果、医療レポートが不完全かつ不正確になり、さらに重要なことに、患者のプライバシーが侵害されました。
シナリオ 1 で説明されている状況のうち、HealthGenic にとって脅威となるのはどれですか?
先月、HealthGenic 社はソフトウェアにアクセスするユーザー数の増加により、サービスが中断されることが何度かありました。同社がソフトウェアの使用中に直面したもう 1 つの問題は、ユーザー インターフェイスが複雑で、訓練を受けていない従業員が使用しにくいことでした。
HealthGenic の経営陣は、すぐにソフトウェアを開発した会社にこの問題を報告しました。ソフトウェア会社は問題を修正しましたが、その過程で、HealthGenic の患者に関する機密情報を含むいくつかのファイルを変更しました。変更の結果、医療レポートが不完全かつ不正確になり、さらに重要なことに、患者のプライバシーが侵害されました。
シナリオ 1 で説明されている状況のうち、HealthGenic にとって脅威となるのはどれですか?
ISO-IEC-27001-Lead-Implementer 試験問題 72
シナリオ1: HealthGenicは、ウェブベースの医療ソフトウェアを使用して、乳児から成人初期までの個人の健康と成長を監視する小児科クリニックです。このソフトウェアは、予約のスケジュール設定、カスタマイズされた医療レポートの作成、患者のデータと病歴の保存、すべての患者とのコミュニケーションにも使用されます。
[^関係者、両親、他の医師、臨床検査スタッフなど。
先月、HealthGenic 社はソフトウェアにアクセスするユーザー数の増加により、サービスが中断されることが何度かありました。同社がソフトウェアの使用中に直面したもう 1 つの問題は、ユーザー インターフェイスが複雑で、訓練を受けていない従業員が使用しにくいことでした。
HealthGenic の経営陣は、すぐにソフトウェアを開発した会社にこの問題を報告しました。ソフトウェア会社は問題を修正しましたが、その過程で、HealthGenic の患者に関する機密情報を含むいくつかのファイルを変更しました。変更の結果、医療レポートが不完全かつ不正確になり、さらに重要なことに、患者のプライバシーが侵害されました。
シナリオ 1 で説明されている状況のうち、HealthGenic にとって脅威となるのはどれですか?
[^関係者、両親、他の医師、臨床検査スタッフなど。
先月、HealthGenic 社はソフトウェアにアクセスするユーザー数の増加により、サービスが中断されることが何度かありました。同社がソフトウェアの使用中に直面したもう 1 つの問題は、ユーザー インターフェイスが複雑で、訓練を受けていない従業員が使用しにくいことでした。
HealthGenic の経営陣は、すぐにソフトウェアを開発した会社にこの問題を報告しました。ソフトウェア会社は問題を修正しましたが、その過程で、HealthGenic の患者に関する機密情報を含むいくつかのファイルを変更しました。変更の結果、医療レポートが不完全かつ不正確になり、さらに重要なことに、患者のプライバシーが侵害されました。
シナリオ 1 で説明されている状況のうち、HealthGenic にとって脅威となるのはどれですか?
ISO-IEC-27001-Lead-Implementer 試験問題 73
情報セキュリティ管理を実施する必要がないようにユーザーから情報を収集しないことを決定した場合、A 社はどのようなリスク処理オプションを実施しましたか?
ISO-IEC-27001-Lead-Implementer 試験問題 74
シナリオ 4: TradeB。市場に参入したばかりの商業銀行で、顧客から預金を受け入れ、基本的な金融サービスと投資用ローンを提供しています。TradeB は、ISO/IEC 27001 に基づく情報セキュリティ管理システム (ISMS) を実装することを決定しました。管理システムの実装経験がなかったため、TradeB の上級管理職は、ISMS 実装プロジェクトの指揮と管理を行うために 2 人の専門家と契約しました。
まず、プロジェクト チームは ISO/IEC 27001 付属書 A の 93 のコントロールを分析し、会社に適用可能と思われるセキュリティ コントロールとその目的のみをリストしました。この分析に基づいて、適用性ステートメントを起草しました。その後、リスク評価を実施し、ハードウェア、ソフトウェア、ネットワークなどの資産、脅威、脆弱性を特定し、潜在的な結果と可能性を評価し、3 つの非数値カテゴリ (低、中、高) に基づいてリスク レベルを決定しました。彼らはリスク評価基準に基づいてリスクを評価し、高リスクカテゴリーのみを扱うことを決定しました。また、アクセス制御ポリシーの新しいバージョンを確立し、ユーザーアクセスを管理および制御するための制御を実装し、ビジネス継続性のためのICT準備のための制御を実装することにより、管理者権限の不正使用といくつかのハードウェア障害によるシステム中断に主に焦点を当てることも決定しました。最後に、彼らはリスク評価レポートを起草し、その中で、これらのセキュリティ制御の実装後にリスクレベルが許容レベルを下回る場合、リスクは受け入れられると記述しました。シナリオ4に基づいて、リスク評価中にどのような種類の資産が特定されましたか?
まず、プロジェクト チームは ISO/IEC 27001 付属書 A の 93 のコントロールを分析し、会社に適用可能と思われるセキュリティ コントロールとその目的のみをリストしました。この分析に基づいて、適用性ステートメントを起草しました。その後、リスク評価を実施し、ハードウェア、ソフトウェア、ネットワークなどの資産、脅威、脆弱性を特定し、潜在的な結果と可能性を評価し、3 つの非数値カテゴリ (低、中、高) に基づいてリスク レベルを決定しました。彼らはリスク評価基準に基づいてリスクを評価し、高リスクカテゴリーのみを扱うことを決定しました。また、アクセス制御ポリシーの新しいバージョンを確立し、ユーザーアクセスを管理および制御するための制御を実装し、ビジネス継続性のためのICT準備のための制御を実装することにより、管理者権限の不正使用といくつかのハードウェア障害によるシステム中断に主に焦点を当てることも決定しました。最後に、彼らはリスク評価レポートを起草し、その中で、これらのセキュリティ制御の実装後にリスクレベルが許容レベルを下回る場合、リスクは受け入れられると記述しました。シナリオ4に基づいて、リスク評価中にどのような種類の資産が特定されましたか?
ISO-IEC-27001-Lead-Implementer 試験問題 75
シナリオ 6: Skyver は、ゲーム機、薄型テレビ、コンピューター、プリンターなどの電子製品を世界中に発送しています。情報セキュリティを確保するために、同社は ISO/IEC 27001 の要件に基づいて情報セキュリティ管理システム (ISMS) を実装することを決定しました。
同社の最も優れた情報セキュリティ専門家であるコリンは、情報セキュリティの課題やその他の情報セキュリティ関連の制御について、同社の従業員向けにトレーニングと意識啓発セッションを開催することを決定しました。セッションには、Skyver の情報セキュリティ アプローチやフィッシングやマルウェアを軽減する手法などのトピックが含まれていました。
セッションの参加者の 1 人は、人事部門で働く Lisa です。Colin は Skyver の既存の情報セキュリティ ポリシーと手順を正直かつ公平に説明していますが、議論されている問題の一部は技術的すぎるため、セッションを完全に理解していません。そのため、多くの場合、彼女はトレーナーと同僚に追加の支援を求めます。シナリオ 6 に基づきます。Colin は次のトレーニングと意識向上セッションをいつ実施すべきでしょうか。
同社の最も優れた情報セキュリティ専門家であるコリンは、情報セキュリティの課題やその他の情報セキュリティ関連の制御について、同社の従業員向けにトレーニングと意識啓発セッションを開催することを決定しました。セッションには、Skyver の情報セキュリティ アプローチやフィッシングやマルウェアを軽減する手法などのトピックが含まれていました。
セッションの参加者の 1 人は、人事部門で働く Lisa です。Colin は Skyver の既存の情報セキュリティ ポリシーと手順を正直かつ公平に説明していますが、議論されている問題の一部は技術的すぎるため、セッションを完全に理解していません。そのため、多くの場合、彼女はトレーナーと同僚に追加の支援を求めます。シナリオ 6 に基づきます。Colin は次のトレーニングと意識向上セッションをいつ実施すべきでしょうか。