Lead-Cybersecurity-Manager 試験問題 21
シナリオ 3: EsteeMed は、フロリダ州オーランドにある心臓血管研究所です。同研究所は、優れた心臓血管および胸部サービスで知られ、血管手術、心臓弁手術、不整脈およびアブレーション、リード線抜去など、さまざまな高度な処置を提供しています。30 名を超える心臓専門医と心臓血管外科医の献身的なチームと、100 名を超える IUU 専門の看護師および技術者がサポートする EsteeMed は、毎年、命を救うという崇高な使命を掲げ、世界中の 50,000 名を超える患者にサービスを提供しています。
評判が高まるにつれ、EsteeMed は重要な資産を保護することの重要性を認識しました。同社はこれらの資産を特定し、情報セキュリティ ガバナンスに広く採用されているアプローチを採用して、そのセキュリティを確保するために必要な対策を実施しました。EsteeMed は、IT 部門の下でサイバーセキュリティ チームと情報セキュリティ部門を結び付ける組織構造を確立しました。
これらの変更の直後、権限のない従業員が厳しく制限された患者データをクラウドに転送するというインシデントが発生しました。このインシデントは、IT スペシャリストの Tony によって検出されました。このようなありそうもないシナリオに対処するための具体的なガイドラインがなかったため、Tony はすぐに同僚にインシデントを報告し、協力して取締役会に警告しました。その後、EsteeMed の経営陣は、状況に対処するためにクラウド プロバイダーとの会議を設定しました。
会議中、クラウド プロバイダーの代表者は、EsteeMed の経営陣に対し、状況は効果的に管理されると保証しました。クラウド プロバイダーは、転送されたデータの機密性、整合性、可用性を確保するには既存のセキュリティ対策で十分であると判断しました。さらに、この種の資産の保護を強化できるプレミアム クラウド セキュリティ パッケージを提案しました。
その後、EsteeMed の経営陣はクラウド プロバイダーとの話し合いを経て社内会議を開催しました。
経営陣は、十分な議論を行った結果、現時点ではさらなるセキュリティ対策を実施するための関連コストが潜在的なリスクを上回ると判断し、当面は実際のリスクレベルを受け入れることに決定しました。将来的に同様のインシデントが発生する可能性は低いと考えられました。
さらに、クラウドプロバイダーはすでに強力なセキュリティプロトコルを実装していました。
効果的なリスク管理を確実にするために、EsteeMed は、適切なメカニズムを通じてリスク管理プロセスと結果を文書化し、報告しましたが、文書化された情報の作成、保持、および取り扱いに関する決定にはさまざまな要素を考慮する必要があることを認識していました。これらの要素には、情報の意図された使用、その機密性、およびそれが運営される外部および内部の状況などの側面が含まれます。
最後に、EsteeMed は資産を確実に保護するために、資産を識別してインベントリに記録しました。インベントリには、資産の種類、サイズ、場所、所有者、バックアップ情報などの詳細情報が含まれていました。
上記のシナリオに基づいて、次の質問に答えてください。
事故発生後、エスティメッドの重要な資産を保護するためのアプローチ10には何が含まれていましたか?シナリオ3を参照してください
評判が高まるにつれ、EsteeMed は重要な資産を保護することの重要性を認識しました。同社はこれらの資産を特定し、情報セキュリティ ガバナンスに広く採用されているアプローチを採用して、そのセキュリティを確保するために必要な対策を実施しました。EsteeMed は、IT 部門の下でサイバーセキュリティ チームと情報セキュリティ部門を結び付ける組織構造を確立しました。
これらの変更の直後、権限のない従業員が厳しく制限された患者データをクラウドに転送するというインシデントが発生しました。このインシデントは、IT スペシャリストの Tony によって検出されました。このようなありそうもないシナリオに対処するための具体的なガイドラインがなかったため、Tony はすぐに同僚にインシデントを報告し、協力して取締役会に警告しました。その後、EsteeMed の経営陣は、状況に対処するためにクラウド プロバイダーとの会議を設定しました。
会議中、クラウド プロバイダーの代表者は、EsteeMed の経営陣に対し、状況は効果的に管理されると保証しました。クラウド プロバイダーは、転送されたデータの機密性、整合性、可用性を確保するには既存のセキュリティ対策で十分であると判断しました。さらに、この種の資産の保護を強化できるプレミアム クラウド セキュリティ パッケージを提案しました。
その後、EsteeMed の経営陣はクラウド プロバイダーとの話し合いを経て社内会議を開催しました。
経営陣は、十分な議論を行った結果、現時点ではさらなるセキュリティ対策を実施するための関連コストが潜在的なリスクを上回ると判断し、当面は実際のリスクレベルを受け入れることに決定しました。将来的に同様のインシデントが発生する可能性は低いと考えられました。
さらに、クラウドプロバイダーはすでに強力なセキュリティプロトコルを実装していました。
効果的なリスク管理を確実にするために、EsteeMed は、適切なメカニズムを通じてリスク管理プロセスと結果を文書化し、報告しましたが、文書化された情報の作成、保持、および取り扱いに関する決定にはさまざまな要素を考慮する必要があることを認識していました。これらの要素には、情報の意図された使用、その機密性、およびそれが運営される外部および内部の状況などの側面が含まれます。
最後に、EsteeMed は資産を確実に保護するために、資産を識別してインベントリに記録しました。インベントリには、資産の種類、サイズ、場所、所有者、バックアップ情報などの詳細情報が含まれていました。
上記のシナリオに基づいて、次の質問に答えてください。
事故発生後、エスティメッドの重要な資産を保護するためのアプローチ10には何が含まれていましたか?シナリオ3を参照してください
Lead-Cybersecurity-Manager 試験問題 22
シナリオ 4: SynthiTech は、金融、ヘルスケア、通信など、さまざまな業界の企業に革新的なソフトウェア ソリューションとサイバー セキュリティ サービスを提供する、巨大なグローバル テクノロジー企業です。顧客のデジタル資産のセキュリティと保護を最優先しながら、最先端のテクノロジー ソリューションを提供することに注力しています。同社は、効率的な運用を確保し、世界中のさまざまな市場セグメントの特定のニーズを満たすように設計されたモードを採用しました。この構造内で、同社の部門は、金融サービス、ヘルスケア ソリューション、通信、研究開発に分かれています。堅牢なサイバー セキュリティ プログラムを確立するために、SymhiTech は、デジタル資産を保護し、情報の可用性、整合性、機密性を確保し、発生するリスクに対処するためにサイバー セキュリティ マネージャーに助言し、戦略的決定を支援する、数名の専門家で構成されるサイバー セキュリティ プログラム チームを設立しました。さらに、チームはプログラムが適切に実装され、維持されるようにする責任もありました。運用効率を確保し、重要なリソースを保護するために会社の資産を効果的に管理することの重要性を理解し、チームは SynthiTech の資産のインベントリを作成しました。チームは最初にすべての資産とその場所およびステータスを特定しました。資産はインベントリに含まれ、組織の変更を反映するために定期的に更新されました。さらに、チームは各デジタル資産に関連するリスクを定期的に評価しました。
SynthiTech は、潜在的なリスクを特定、評価、軽減するための体系的なアプローチを採用しています。これには、資産や業務に影響を及ぼす可能性のある脆弱性や潜在的な脅威を特定するためのリスク評価の実施が含まれます。同社のサイバーセキュリティ プログラム チームは、脅威源の観点から SynthiTech の ICT システムをテストし、IC1 システム保護スキームの潜在的な障害を特定しました。また、他の部門と協力してリスクの影響と可能性を評価し、適切なリスク軽減戦略を開発しました。次に、チームは、特定されたリスクに対する保護を確実にするために、ファイアウォール、侵入検知システム、暗号化などのセキュリティ制御を実装しました。実施されるリスク処理計画のアクティビティは、リスクのレベルと処理の緊急性に基づいてランク付けされました。
当社は、効果的なリスク管理は継続的なプロセスであると認識しており、セキュリティ上の課題や技術の進歩に適応するためにサイバーセキュリティ プログラムの監視、評価、継続的な改善を確実に実施しています。
上記のシナリオに基づいて、次の質問に答えてください。
SynthiTech は脆弱性を特定するためにどのようなテスト方法を使用しましたか? シナリオ 4 を参照してください
SynthiTech は、潜在的なリスクを特定、評価、軽減するための体系的なアプローチを採用しています。これには、資産や業務に影響を及ぼす可能性のある脆弱性や潜在的な脅威を特定するためのリスク評価の実施が含まれます。同社のサイバーセキュリティ プログラム チームは、脅威源の観点から SynthiTech の ICT システムをテストし、IC1 システム保護スキームの潜在的な障害を特定しました。また、他の部門と協力してリスクの影響と可能性を評価し、適切なリスク軽減戦略を開発しました。次に、チームは、特定されたリスクに対する保護を確実にするために、ファイアウォール、侵入検知システム、暗号化などのセキュリティ制御を実装しました。実施されるリスク処理計画のアクティビティは、リスクのレベルと処理の緊急性に基づいてランク付けされました。
当社は、効果的なリスク管理は継続的なプロセスであると認識しており、セキュリティ上の課題や技術の進歩に適応するためにサイバーセキュリティ プログラムの監視、評価、継続的な改善を確実に実施しています。
上記のシナリオに基づいて、次の質問に答えてください。
SynthiTech は脆弱性を特定するためにどのようなテスト方法を使用しましたか? シナリオ 4 を参照してください
Lead-Cybersecurity-Manager 試験問題 23
次の例のうち、COBIT 2019 の原則ではないものはどれですか?
Lead-Cybersecurity-Manager 試験問題 24
内部監査中に、ある会社の IT チームがネットワーク ログに不審な矛盾を発見しました。ネットワーク ログを分析した結果、ユーザー アクセスとアクティビティに関連するログの一部が不完全であることがわかりました。特定のイベントとアクションが欠落していたため、会社のセキュリティ システムに懸念が生じました。この場合、どの情報セキュリティ原則に違反したのでしょうか。
Lead-Cybersecurity-Manager 試験問題 25
シナリオ 2: Euro Tech Solutions は、信頼性と卓越性で高い評価を得ている革新的な IT ソリューションの提供を専門とする、ヨーロッパで事業を展開する大手テクノロジー企業です。EuroTech Solutions は、ソフトウェア開発、クラウド コンピューティング、IT コンサルティングなど、さまざまなサービスを提供しています。同社は、デジタル変革を推進し、顧客の業務効率を向上させる最先端のテクノロジー ソリューションを提供することに注力しています。
最近、当社はサイバー攻撃を受け、業務に大きな支障をきたし、評判に悪影響を及ぼしました。サイバー攻撃により大規模なデータ侵害が発生し、顧客のデータや機密情報が漏洩しました。そのため、EuroTech Solutions はサイバーセキュリティ対策を改善する必要があると判断し、包括的なサイバーセキュリティ プログラムを導入することを決定しました。
EuroTech Solutions は、ISO/IEC 27032 および NIST サイバーセキュリティ フレームワークを参考にし、その原則と推奨事項をサイバーセキュリティ プログラムに組み込むことを決定しました。同社は、これら 2 つの標準のガイドラインに準拠することでサイバーセキュリティ プログラムを迅速に実装し、継続的な改善を進めることを決定しました (以下、改善計画)。
同社はまず、自社の強み、弱み、機会、脅威を包括的に分析し、サイバーセキュリティ対策を評価しました。この分析により、同社はサイバーセキュリティ管理の望ましい状態を特定できました。次に、実施されているプロセスとサイバーセキュリティ管理を特定し、ギャップ分析を実施して、サイバーセキュリティ管理の望ましい状態と現在の状態とのギャップを効果的に判断しました。サイバーセキュリティ プログラムには、ビジネスと IT 関連の機能が含まれ、3 つのフェーズに分かれています。
1. サイバーセキュリティプログラムとガバナンス
2. セキュリティ運用とインシデント対応
3. テスト、監視、改善
このプログラムにより、同社は高度な脅威検出、リアルタイム監視、プロアクティブなインシデント対応を通じて、デジタル インフラストラクチャの回復力を強化することを目指しました。さらに、全体的なサイバー セキュリティ プログラムの一環として、包括的で明確なサイバー セキュリティ ポリシーを策定することを決定しました。起草プロセスでは、既存のサイバー セキュリティ フレームワークの徹底的な調査と分析を実施しました。最初の草案が作成されると、ポリシーがレビューされ、上級管理職によって承認されました。サイバー セキュリティ ポリシーが完成した後、EuroTech Solutions は最初の公開に対してプロアクティブなアプローチを取りました。ポリシーは、社内コミュニケーション、従業員トレーニング セッション、会社のイントラネット ネットワークなど、さまざまなチャネルを通じて全従業員に伝達されました。
上記のシナリオに基づいて、次の質問に答えてください。
EuroTech Solutions はギャップ分析を実施する際に、適切な手順に従いましたか?
最近、当社はサイバー攻撃を受け、業務に大きな支障をきたし、評判に悪影響を及ぼしました。サイバー攻撃により大規模なデータ侵害が発生し、顧客のデータや機密情報が漏洩しました。そのため、EuroTech Solutions はサイバーセキュリティ対策を改善する必要があると判断し、包括的なサイバーセキュリティ プログラムを導入することを決定しました。
EuroTech Solutions は、ISO/IEC 27032 および NIST サイバーセキュリティ フレームワークを参考にし、その原則と推奨事項をサイバーセキュリティ プログラムに組み込むことを決定しました。同社は、これら 2 つの標準のガイドラインに準拠することでサイバーセキュリティ プログラムを迅速に実装し、継続的な改善を進めることを決定しました (以下、改善計画)。
同社はまず、自社の強み、弱み、機会、脅威を包括的に分析し、サイバーセキュリティ対策を評価しました。この分析により、同社はサイバーセキュリティ管理の望ましい状態を特定できました。次に、実施されているプロセスとサイバーセキュリティ管理を特定し、ギャップ分析を実施して、サイバーセキュリティ管理の望ましい状態と現在の状態とのギャップを効果的に判断しました。サイバーセキュリティ プログラムには、ビジネスと IT 関連の機能が含まれ、3 つのフェーズに分かれています。
1. サイバーセキュリティプログラムとガバナンス
2. セキュリティ運用とインシデント対応
3. テスト、監視、改善
このプログラムにより、同社は高度な脅威検出、リアルタイム監視、プロアクティブなインシデント対応を通じて、デジタル インフラストラクチャの回復力を強化することを目指しました。さらに、全体的なサイバー セキュリティ プログラムの一環として、包括的で明確なサイバー セキュリティ ポリシーを策定することを決定しました。起草プロセスでは、既存のサイバー セキュリティ フレームワークの徹底的な調査と分析を実施しました。最初の草案が作成されると、ポリシーがレビューされ、上級管理職によって承認されました。サイバー セキュリティ ポリシーが完成した後、EuroTech Solutions は最初の公開に対してプロアクティブなアプローチを取りました。ポリシーは、社内コミュニケーション、従業員トレーニング セッション、会社のイントラネット ネットワークなど、さまざまなチャネルを通じて全従業員に伝達されました。
上記のシナリオに基づいて、次の質問に答えてください。
EuroTech Solutions はギャップ分析を実施する際に、適切な手順に従いましたか?