シナリオ 3: Socket Inc は、主にワイヤレス製品とサービスを提供する通信会社です。同社は、高可用性、スケーラビリティ、柔軟性を提供するドキュメント モデル データベースである MongoDB を使用しています。
先月、Socket Inc. は情報セキュリティ インシデントを報告しました。データベース管理者がデフォルト設定を変更しなかったため、ハッカー グループが MongoDB データベースを侵害し、パスワードが設定されず、誰でもアクセス可能な状態になりました。
幸いなことに、Socket Inc. は MongoDB データベースで定期的に情報のバックアップを行っていたため、インシデント中に情報が失われることはありませんでした。また、Syslog サーバーにより、Socket Inc. はすべてのログを 1 つのサーバーに集中させることができました。同社は、ユーザーの障害や例外を記録するイベント ログを確認した結果、永続的なバックドアは設置されておらず、攻撃は社内の従業員によって開始されたものではないことを突き止めました。
ソケット社は、今後同様の事件が起きないように、権限のある人のみアクセスを許可するアクセス制御システムを導入することを決定しました。また、データベースを不正アクセスから保護するために、暗号鍵管理を含む暗号化の有効利用に関するルールを定義および実装するための制御も導入しました。実装は、関連するすべての契約、法律、規制、および情報分類スキームに基づいて行われました。セキュリティを強化し、管理作業を軽減するために、VPN を使用したネットワーク分離が提案されました。
最後に、ソケット社は、情報セキュリティの脅威に関連する情報を維持、収集、分析し、情報セキュリティをプロジェクト管理に統合するための新しいシステムを導入しました。
Socket Inc. は、ユーザーの障害や例外を記録するイベント ログを確認することで、永続的なバックドアが設置されておらず、社内の従業員から攻撃が開始されたことを確認できますか? シナリオ 3 を参照してください。

企業がコンプライアンスのために 27002 を使用する理由は何ですか。

組織が使用するアプリケーションには複雑なユーザー インターフェイスがあります。この場合、複雑なユーザー インターフェイスは何を表しているのでしょうか。

物理ラベルと ________ は、ISO 27002 に記載されている 2 つの一般的なラベル形式です。

シナリオ 5 に基づきます。クラウドに移行した後、Operaze の IT チームは ISMS の範囲を変更し、必要な変更をすべて実装しました。これは受け入れられますか?