ISO-IEC-27001-Lead-Implementer 試験問題 106
シナリオ 5: Operaze は、世界中のさまざまな企業向けにアプリケーションを開発している小規模なソフトウェア開発会社です。最近、同社はリスク評価を実施し、デジタル環境での運用から生じる可能性のある情報セキュリティ リスクを評価しました。侵入テストやコード レビューなどのさまざまなテスト方法を使用して、不適切なユーザー権限、セキュリティ設定の誤り、安全でないネットワーク構成など、ICT システムの問題を特定しました。これらの問題を解決し、情報セキュリティを強化するために、Operaze は ISO/IEC 27001 に基づく情報セキュリティ管理システム (ISMS) を実装することを決定しました。
Operaze は小規模な会社であるため、IT チーム全体が ISMS 実装プロジェクトに関与しました。最初に、同社はビジネス要件と内部および外部環境を分析し、主要なプロセスと活動を特定し、利害関係者を特定して分析しました。さらに、Operaze のトップマネジメントは、会社のほとんどの部門を ISMS の範囲に含めることを決定しました。定義された範囲には、組織的および物理的な境界が含まれていました。IT チームは情報セキュリティ ポリシーを起草し、すべての関連する利害関係者にそれを伝達しました。さらに、セキュリティの問題を詳しく説明するために他の特定のポリシーが開発され、すべての利害関係者に役割と責任が割り当てられました。
その後、人事部長は、ISMS によって作成された書類は ISMS の価値を正当化するものではなく、ISMS の導入を中止すべきだと主張しました。しかし、経営陣はこの主張は無効であると判断し、関係者全員に ISMS の利点を説明する啓発セッションを開催しました。
Operaze は、物理サーバーをサードパーティのインフラストラクチャ上の仮想サーバーに移行することを決定しました。新しいクラウド コンピューティング ソリューションは、会社にさらなる変化をもたらしました。一方、Operaze の経営陣は、効果的な ISMS を実装するだけでなく、ISMS 運用の円滑な実行を確保することも目指していました。このような状況で、Operaze の経営陣は、情報セキュリティ戦略を実行するには外部の専門家のサービスが必要であると結論付けました。一方、IT チームは、ISMS の範囲の変更を開始することを決定し、会社のプロセスに必要な変更を実施しました。
シナリオ 5 に基づくと、Operaze の MR マネージャーは利害関係者のどのカテゴリに属しますか?
Operaze は小規模な会社であるため、IT チーム全体が ISMS 実装プロジェクトに関与しました。最初に、同社はビジネス要件と内部および外部環境を分析し、主要なプロセスと活動を特定し、利害関係者を特定して分析しました。さらに、Operaze のトップマネジメントは、会社のほとんどの部門を ISMS の範囲に含めることを決定しました。定義された範囲には、組織的および物理的な境界が含まれていました。IT チームは情報セキュリティ ポリシーを起草し、すべての関連する利害関係者にそれを伝達しました。さらに、セキュリティの問題を詳しく説明するために他の特定のポリシーが開発され、すべての利害関係者に役割と責任が割り当てられました。
その後、人事部長は、ISMS によって作成された書類は ISMS の価値を正当化するものではなく、ISMS の導入を中止すべきだと主張しました。しかし、経営陣はこの主張は無効であると判断し、関係者全員に ISMS の利点を説明する啓発セッションを開催しました。
Operaze は、物理サーバーをサードパーティのインフラストラクチャ上の仮想サーバーに移行することを決定しました。新しいクラウド コンピューティング ソリューションは、会社にさらなる変化をもたらしました。一方、Operaze の経営陣は、効果的な ISMS を実装するだけでなく、ISMS 運用の円滑な実行を確保することも目指していました。このような状況で、Operaze の経営陣は、情報セキュリティ戦略を実行するには外部の専門家のサービスが必要であると結論付けました。一方、IT チームは、ISMS の範囲の変更を開始することを決定し、会社のプロセスに必要な変更を実施しました。
シナリオ 5 に基づくと、Operaze の MR マネージャーは利害関係者のどのカテゴリに属しますか?
ISO-IEC-27001-Lead-Implementer 試験問題 107
シナリオ 7: InfoSec は、マサチューセッツ州ボストンに本社を置く多国籍企業で、プロフェッショナル向け電子機器、ゲーム、エンターテイメント サービスを提供しています。多数の情報セキュリティ インシデントに直面した後、InfoSec はチームを設立し、将来の潜在的なインシデントを防ぐための対策を実施することを決定しました。Emma、Bob、Anna は、セキュリティ アーキテクチャ チーム、インシデント対応チーム (IRT)、フォレンジック チームで構成される InfoSec の情報セキュリティ チームの新しいメンバーとして採用されました。Emma の仕事は、情報セキュリティ プラン、ポリシー、プロトコル、トレーニングを作成し、InfoSec がインシデントに効果的に対応できるようにすることです。Emma と Bob は InfoSec のフルタイム従業員となり、Anna は外部コンサルタントとして契約されました。
ネットワーク エキスパートの Bob は、スクリーン サブネット ネットワーク アーキテクチャを導入します。このアーキテクチャは、ホストされたパブリック サービスが接続されている非武装地帯 (OMZ) と InfoSec のパブリック アクセス可能なリソースをプライベート ネットワークから分離します。これにより、InfoSec は潜在的な攻撃者が会社のネットワーク内で望ましくないイベントを引き起こすのを阻止できます。Bob は、予期しないイベントの性質について、イベントの発生方法や、イベントが何または誰に影響を与えるかなどの詳細を含め、徹底的な評価が行われるようにする責任も負っています。
アンナは、懲戒処分や法的措置のための証拠を保存し、将来のインシデントを防ぐために、データ、レビュー、分析、レポートの記録を作成します。それに応じて作業を行うには、会社の情報セキュリティインシデント管理ポリシーを事前に認識しておく必要があります。このポリシーでは、作成する記録の種類、記録を保管する場所、特定の記録の種類に必要な形式と内容などが指定されています。
このシナリオに基づいて、次の質問に答えてください。
ボブは、自分の仕事に基づいてどのチームに所属していますか?
ネットワーク エキスパートの Bob は、スクリーン サブネット ネットワーク アーキテクチャを導入します。このアーキテクチャは、ホストされたパブリック サービスが接続されている非武装地帯 (OMZ) と InfoSec のパブリック アクセス可能なリソースをプライベート ネットワークから分離します。これにより、InfoSec は潜在的な攻撃者が会社のネットワーク内で望ましくないイベントを引き起こすのを阻止できます。Bob は、予期しないイベントの性質について、イベントの発生方法や、イベントが何または誰に影響を与えるかなどの詳細を含め、徹底的な評価が行われるようにする責任も負っています。
アンナは、懲戒処分や法的措置のための証拠を保存し、将来のインシデントを防ぐために、データ、レビュー、分析、レポートの記録を作成します。それに応じて作業を行うには、会社の情報セキュリティインシデント管理ポリシーを事前に認識しておく必要があります。このポリシーでは、作成する記録の種類、記録を保管する場所、特定の記録の種類に必要な形式と内容などが指定されています。
このシナリオに基づいて、次の質問に答えてください。
ボブは、自分の仕事に基づいてどのチームに所属していますか?
ISO-IEC-27001-Lead-Implementer 試験問題 108
シナリオ 8: SunDee は、米国カリフォルニア州に本社を置く米国のバイオ医薬品会社です。同社は、心血管疾患、腫瘍学、骨の健康、炎症に焦点を当てた新しいヒト治療薬の開発を専門としています。同社は過去 2 年間、SO/IEC 27001 に基づく情報セキュリティ管理システム (ISMS) を導入していました。しかし、ISMS のパフォーマンスと有効性を監視または測定しておらず、定期的な管理レビューも実施していませんでした。再認証監査の直前に、同社は内部監査を実施することを決定しました。また、ほとんどのスタッフに、各部門の過去 2 年間の個別の書面レポートをまとめるように依頼しました。これにより、製造部門の人員が最適人数を下回り、会社の在庫が減少しました。
テッサはサンディーの内部監査員でした。50 人の従業員が複数のレポートを作成したため、内部監査プロセスは予定よりはるかに時間がかかり、非常に一貫性がなく、質的尺度がまったくありませんでした。テッサは、サンディーが ISMS のパフォーマンスを適切に評価する必要があると結論付けました。彼女は、サンディーの ISMS パフォーマンス評価の怠慢を重大な不適合と定義し、不適合の説明、監査結果、推奨事項を含む不適合レポートを作成しました。さらに、テッサはサンディーがこれらの問題を解決できるようにする新しい計画を作成し、それを経営陣に提示しました。上記のシナリオに基づいて、次の質問に答えてください。
SunDee の労働力の混乱の原因は何ですか?
テッサはサンディーの内部監査員でした。50 人の従業員が複数のレポートを作成したため、内部監査プロセスは予定よりはるかに時間がかかり、非常に一貫性がなく、質的尺度がまったくありませんでした。テッサは、サンディーが ISMS のパフォーマンスを適切に評価する必要があると結論付けました。彼女は、サンディーの ISMS パフォーマンス評価の怠慢を重大な不適合と定義し、不適合の説明、監査結果、推奨事項を含む不適合レポートを作成しました。さらに、テッサはサンディーがこれらの問題を解決できるようにする新しい計画を作成し、それを経営陣に提示しました。上記のシナリオに基づいて、次の質問に答えてください。
SunDee の労働力の混乱の原因は何ですか?
ISO-IEC-27001-Lead-Implementer 試験問題 109
「ISMSは、XYZ社内の顧客データにアクセスできるすべての部門を対象としています。ISMSの目的は、顧客データの機密性、完全性、可用性を確保し、情報セキュリティに関する適用可能な規制要件に準拠することです。」この声明は何を意味しますか?
^「説明しますか?
^「説明しますか?
ISO-IEC-27001-Lead-Implementer 試験問題 110
シナリオ 3: Socket Inc は、主にワイヤレス製品とサービスを提供する通信会社です。同社は、高可用性、スケーラビリティ、柔軟性を提供するドキュメント モデル データベースである MongoDB を使用しています。
先月、Socket Inc. は情報セキュリティ インシデントを報告しました。データベース管理者がデフォルト設定を変更しなかったため、ハッカー グループが MongoDB データベースを侵害し、パスワードが設定されず、誰でもアクセス可能な状態になりました。
幸いなことに、Socket Inc. は MongoDB データベースで定期的に情報のバックアップを行っていたため、インシデント中に情報が失われることはありませんでした。また、Syslog サーバーにより、Socket Inc. はすべてのログを 1 つのサーバーに集中させることができました。同社は、ユーザーの障害や例外を記録するイベント ログを確認した結果、永続的なバックドアは設置されておらず、攻撃は社内の従業員によって開始されたものではないことを突き止めました。
ソケット社は、今後同様の事件が起きないように、権限のある人のみアクセスを許可するアクセス制御システムを導入することを決定しました。また、データベースを不正アクセスから保護するために、暗号鍵管理を含む暗号化の有効利用に関するルールを定義および実装するための制御も導入しました。実装は、関連するすべての契約、法律、規制、および情報分類スキームに基づいて行われました。セキュリティを強化し、管理作業を軽減するために、VPN を使用したネットワーク分離が提案されました。
最後に、ソケット社は、情報セキュリティの脅威に関連する情報を維持、収集、分析し、情報セキュリティをプロジェクト管理に統合するための新しいシステムを導入しました。
シナリオ 3 に基づいて、Socket Inc. が将来同様の情報セキュリティ インシデントに対処するために何が役立つでしょうか?
先月、Socket Inc. は情報セキュリティ インシデントを報告しました。データベース管理者がデフォルト設定を変更しなかったため、ハッカー グループが MongoDB データベースを侵害し、パスワードが設定されず、誰でもアクセス可能な状態になりました。
幸いなことに、Socket Inc. は MongoDB データベースで定期的に情報のバックアップを行っていたため、インシデント中に情報が失われることはありませんでした。また、Syslog サーバーにより、Socket Inc. はすべてのログを 1 つのサーバーに集中させることができました。同社は、ユーザーの障害や例外を記録するイベント ログを確認した結果、永続的なバックドアは設置されておらず、攻撃は社内の従業員によって開始されたものではないことを突き止めました。
ソケット社は、今後同様の事件が起きないように、権限のある人のみアクセスを許可するアクセス制御システムを導入することを決定しました。また、データベースを不正アクセスから保護するために、暗号鍵管理を含む暗号化の有効利用に関するルールを定義および実装するための制御も導入しました。実装は、関連するすべての契約、法律、規制、および情報分類スキームに基づいて行われました。セキュリティを強化し、管理作業を軽減するために、VPN を使用したネットワーク分離が提案されました。
最後に、ソケット社は、情報セキュリティの脅威に関連する情報を維持、収集、分析し、情報セキュリティをプロジェクト管理に統合するための新しいシステムを導入しました。
シナリオ 3 に基づいて、Socket Inc. が将来同様の情報セキュリティ インシデントに対処するために何が役立つでしょうか?