PECB Certified ISO/IEC 27001 Lead Implementer Exam (ISO-IEC-27001-Lead-Implementer Deutsch Version) - ISO-IEC-27001-Lead-Implementer Deutsch무료 덤프문제 풀어보기
Szenario 9: OpenTech bietet IT- und Kommunikationsdienste an. Es unterstützt Datenkommunikationsunternehmen und Netzwerkbetreiber dabei, Multi-Service-Anbieter zu werden. Bei einem internen Audit hat der interne Prüfer Tim Abweichungen im Zusammenhang mit den Überwachungsverfahren festgestellt. Er hat mehrere Schwachstellen des Systems identifiziert und bewertet.
Tim stellte fest, dass Benutzerkennungen für Systeme und Dienste, die vertrauliche Informationen verarbeiten, wiederverwendet wurden und die Zugriffskontrollrichtlinien nicht eingehalten wurden. Nach der Analyse der Ursachen dieser Nichtkonformität erstellte der ISMS-Projektmanager eine Liste möglicher Maßnahmen zur Behebung der Nichtkonformität. Anschließend analysierte der ISMS-Projektmanager die Liste und wählte die Aktivitäten aus, die die Beseitigung der Grundursache und die Vermeidung ähnlicher Situationen in der Zukunft ermöglichen würden. Diese Aktivitäten wurden in einen Aktionsplan aufgenommen. Der von der Geschäftsleitung genehmigte Aktionsplan lautete wie folgt:
Es wird eine neue Version der Zugriffskontrollrichtlinie eingeführt und es werden neue Beschränkungen geschaffen, um sicherzustellen, dass der Netzwerkzugriff von der Abteilung für Informations- und Kommunikationstechnologie (IKT) effektiv verwaltet und überwacht wird. Der genehmigte Aktionsplan wurde umgesetzt und alle im Plan beschriebenen Maßnahmen wurden dokumentiert.
Hat der ISMS-Projektmanager den Korrekturmaßnahmenprozess basierend auf Szenario 9 angemessen abgeschlossen?
Tim stellte fest, dass Benutzerkennungen für Systeme und Dienste, die vertrauliche Informationen verarbeiten, wiederverwendet wurden und die Zugriffskontrollrichtlinien nicht eingehalten wurden. Nach der Analyse der Ursachen dieser Nichtkonformität erstellte der ISMS-Projektmanager eine Liste möglicher Maßnahmen zur Behebung der Nichtkonformität. Anschließend analysierte der ISMS-Projektmanager die Liste und wählte die Aktivitäten aus, die die Beseitigung der Grundursache und die Vermeidung ähnlicher Situationen in der Zukunft ermöglichen würden. Diese Aktivitäten wurden in einen Aktionsplan aufgenommen. Der von der Geschäftsleitung genehmigte Aktionsplan lautete wie folgt:
Es wird eine neue Version der Zugriffskontrollrichtlinie eingeführt und es werden neue Beschränkungen geschaffen, um sicherzustellen, dass der Netzwerkzugriff von der Abteilung für Informations- und Kommunikationstechnologie (IKT) effektiv verwaltet und überwacht wird. Der genehmigte Aktionsplan wurde umgesetzt und alle im Plan beschriebenen Maßnahmen wurden dokumentiert.
Hat der ISMS-Projektmanager den Korrekturmaßnahmenprozess basierend auf Szenario 9 angemessen abgeschlossen?
정답: A
설명: (Fast2test 회원만 볼 수 있음)
Welche der folgenden Situationen können sich negativ auf den internen Auditprozess auswirken?
정답: A
설명: (Fast2test 회원만 볼 수 있음)
Szenario 9: OpenTech bietet IT- und Kommunikationsdienste an. Es unterstützt Datenkommunikationsunternehmen und Netzwerkbetreiber dabei, Multi-Service-Anbieter zu werden. Bei einem internen Audit hat der interne Prüfer Tim Abweichungen im Zusammenhang mit den Überwachungsverfahren festgestellt. Er hat mehrere Schwachstellen des Systems identifiziert und bewertet.
Tim stellte fest, dass Benutzerkennungen für Systeme und Dienste, die vertrauliche Informationen verarbeiten, wiederverwendet wurden und die Zugriffskontrollrichtlinien nicht eingehalten wurden. Nach der Analyse der Ursachen dieser Nichtkonformität erstellte der ISMS-Projektmanager eine Liste möglicher Maßnahmen zur Behebung der Nichtkonformität. Anschließend analysierte der ISMS-Projektmanager die Liste und wählte die Aktivitäten aus, die die Beseitigung der Grundursache und die Vermeidung ähnlicher Situationen in der Zukunft ermöglichen würden. Diese Aktivitäten wurden in einen Aktionsplan aufgenommen. Der von der Geschäftsleitung genehmigte Aktionsplan lautete wie folgt:
Es wird eine neue Version der Zugriffskontrollrichtlinie eingeführt und es werden neue Beschränkungen geschaffen, um sicherzustellen, dass der Netzwerkzugriff von der Abteilung für Informations- und Kommunikationstechnologie (IKT) effektiv verwaltet und überwacht wird. Der genehmigte Aktionsplan wurde umgesetzt und alle im Plan beschriebenen Maßnahmen wurden dokumentiert.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
OpenTech hat beschlossen, eine neue Version seiner Zugriffskontrollrichtlinie einzuführen. Was sollte das Unternehmen bei solchen Änderungen tun?
Tim stellte fest, dass Benutzerkennungen für Systeme und Dienste, die vertrauliche Informationen verarbeiten, wiederverwendet wurden und die Zugriffskontrollrichtlinien nicht eingehalten wurden. Nach der Analyse der Ursachen dieser Nichtkonformität erstellte der ISMS-Projektmanager eine Liste möglicher Maßnahmen zur Behebung der Nichtkonformität. Anschließend analysierte der ISMS-Projektmanager die Liste und wählte die Aktivitäten aus, die die Beseitigung der Grundursache und die Vermeidung ähnlicher Situationen in der Zukunft ermöglichen würden. Diese Aktivitäten wurden in einen Aktionsplan aufgenommen. Der von der Geschäftsleitung genehmigte Aktionsplan lautete wie folgt:
Es wird eine neue Version der Zugriffskontrollrichtlinie eingeführt und es werden neue Beschränkungen geschaffen, um sicherzustellen, dass der Netzwerkzugriff von der Abteilung für Informations- und Kommunikationstechnologie (IKT) effektiv verwaltet und überwacht wird. Der genehmigte Aktionsplan wurde umgesetzt und alle im Plan beschriebenen Maßnahmen wurden dokumentiert.
Beantworten Sie anhand dieses Szenarios die folgende Frage:
OpenTech hat beschlossen, eine neue Version seiner Zugriffskontrollrichtlinie einzuführen. Was sollte das Unternehmen bei solchen Änderungen tun?
정답: A
설명: (Fast2test 회원만 볼 수 있음)
Szenario:
Ein Mitarbeiter von Reyae Ltd. hat versehentlich eine E-Mail mit wichtigen Geschäftsstrategien an einen Konkurrenten gesendet. Grund dafür war ein Fehler in den automatischen E-Mail-Vorschlägen. Die E-Mail enthielt Geschäftsgeheimnisse und vertrauliche Kundendaten. Der Konkurrent veränderte die Informationen und versuchte, Kunden damit zum Wechsel des Anbieters zu bewegen.
Frage:
Welche der folgenden Aussagen beschreibt die in dieser Situation betroffenen Sicherheitsprinzipien korrekt?
Ein Mitarbeiter von Reyae Ltd. hat versehentlich eine E-Mail mit wichtigen Geschäftsstrategien an einen Konkurrenten gesendet. Grund dafür war ein Fehler in den automatischen E-Mail-Vorschlägen. Die E-Mail enthielt Geschäftsgeheimnisse und vertrauliche Kundendaten. Der Konkurrent veränderte die Informationen und versuchte, Kunden damit zum Wechsel des Anbieters zu bewegen.
Frage:
Welche der folgenden Aussagen beschreibt die in dieser Situation betroffenen Sicherheitsprinzipien korrekt?
정답: B
설명: (Fast2test 회원만 볼 수 있음)
Szenario 9:
OpenTech mit Hauptsitz in San Francisco ist auf Lösungen im Bereich Informations- und Kommunikationstechnologie (IKT) spezialisiert. Zu den Kunden zählen vor allem Datenkommunikationsunternehmen und Netzbetreiber. Das Kernziel des Unternehmens besteht darin, seinen Kunden den reibungslosen Übergang zu Multi-Service-Providern zu ermöglichen und ihre Geschäftsprozesse an die komplexen Anforderungen der digitalen Landschaft anzupassen.
Kürzlich führte Tim, der interne Prüfer von OpenTech, ein internes Audit durch, bei dem Abweichungen bei den Überwachungsverfahren und Systemschwachstellen aufgedeckt wurden. Als Reaktion auf diese Abweichungen entschied sich OpenTech für einen umfassenden Problemlösungsansatz, um die Probleme systematisch anzugehen. Diese Methode umfasst einen teamorientierten Ansatz mit dem Ziel, die Ursachen der Probleme zu identifizieren, zu beheben und zu beseitigen. Der Ansatz umfasst mehrere Schritte: Zunächst wird eine Gruppe von Experten mit fundierten Prozess- und Kontrollkenntnissen zusammengestellt. Anschließend wird die Abweichung in messbare Komponenten zerlegt und vorläufige Eindämmungsmaßnahmen implementiert. Anschließend werden mögliche Ursachen identifiziert und dauerhafte Korrekturmaßnahmen ausgewählt und überprüft. Schließlich werden diese Maßnahmen in die Praxis umgesetzt, validiert, Schritte zur Verhinderung eines erneuten Auftretens unternommen und die Bemühungen des Teams anerkannt und gewürdigt.
Nach der Analyse der Ursachen der Abweichungen entwickelte Julia, ISMS-Projektmanagerin bei OpenTech, eine Liste mit möglichen Maßnahmen zur Behebung der festgestellten Abweichungen. Julia prüfte die Liste sorgfältig, um sicherzustellen, dass jede Maßnahme die Ursache der jeweiligen Abweichung effektiv beseitigte. Bei der Bewertung möglicher Korrekturmaßnahmen identifizierte Julia ein Problem als signifikant und schätzte dessen Wiederholungswahrscheinlichkeit als hoch ein. Daher entschied sie sich für die Umsetzung temporärer Korrekturmaßnahmen. Anschließend fasste Julia alle Abweichungen in einem Aktionsplan zusammen und holte die Genehmigung der Geschäftsleitung ein. Der vorgelegte Aktionsplan hatte folgenden Wortlaut:
„Es wird eine neue Version der Zugriffskontrollrichtlinie eingeführt und neue Beschränkungen eingeführt, um sicherzustellen, dass der Netzwerkzugriff von der Abteilung für Informations- und Kommunikationstechnologie (IKT) effektiv verwaltet und überwacht wird.“ Julias eingereichter Aktionsplan wurde jedoch nicht von der Geschäftsleitung genehmigt. Als Grund wurde angegeben, dass ein allgemeiner Aktionsplan, der alle Nichtkonformitäten beheben sollte, als inakzeptabel erachtet wurde. Daher überarbeitete Julia den Aktionsplan und reichte separate Pläne zur Genehmigung ein. Leider hielt sich Julia nicht an die vom Unternehmen vorgegebene Einreichungsfrist, was zu einer Verzögerung des Korrekturmaßnahmenprozesses führte. Darüber hinaus fehlte den überarbeiteten Aktionsplänen ein definierter Zeitplan für die Umsetzung.
War es auf der Grundlage von Szenario 9 akzeptabel, dass das Topmanagement den von Julia vorgelegten Aktionsplan ablehnte?
OpenTech mit Hauptsitz in San Francisco ist auf Lösungen im Bereich Informations- und Kommunikationstechnologie (IKT) spezialisiert. Zu den Kunden zählen vor allem Datenkommunikationsunternehmen und Netzbetreiber. Das Kernziel des Unternehmens besteht darin, seinen Kunden den reibungslosen Übergang zu Multi-Service-Providern zu ermöglichen und ihre Geschäftsprozesse an die komplexen Anforderungen der digitalen Landschaft anzupassen.
Kürzlich führte Tim, der interne Prüfer von OpenTech, ein internes Audit durch, bei dem Abweichungen bei den Überwachungsverfahren und Systemschwachstellen aufgedeckt wurden. Als Reaktion auf diese Abweichungen entschied sich OpenTech für einen umfassenden Problemlösungsansatz, um die Probleme systematisch anzugehen. Diese Methode umfasst einen teamorientierten Ansatz mit dem Ziel, die Ursachen der Probleme zu identifizieren, zu beheben und zu beseitigen. Der Ansatz umfasst mehrere Schritte: Zunächst wird eine Gruppe von Experten mit fundierten Prozess- und Kontrollkenntnissen zusammengestellt. Anschließend wird die Abweichung in messbare Komponenten zerlegt und vorläufige Eindämmungsmaßnahmen implementiert. Anschließend werden mögliche Ursachen identifiziert und dauerhafte Korrekturmaßnahmen ausgewählt und überprüft. Schließlich werden diese Maßnahmen in die Praxis umgesetzt, validiert, Schritte zur Verhinderung eines erneuten Auftretens unternommen und die Bemühungen des Teams anerkannt und gewürdigt.
Nach der Analyse der Ursachen der Abweichungen entwickelte Julia, ISMS-Projektmanagerin bei OpenTech, eine Liste mit möglichen Maßnahmen zur Behebung der festgestellten Abweichungen. Julia prüfte die Liste sorgfältig, um sicherzustellen, dass jede Maßnahme die Ursache der jeweiligen Abweichung effektiv beseitigte. Bei der Bewertung möglicher Korrekturmaßnahmen identifizierte Julia ein Problem als signifikant und schätzte dessen Wiederholungswahrscheinlichkeit als hoch ein. Daher entschied sie sich für die Umsetzung temporärer Korrekturmaßnahmen. Anschließend fasste Julia alle Abweichungen in einem Aktionsplan zusammen und holte die Genehmigung der Geschäftsleitung ein. Der vorgelegte Aktionsplan hatte folgenden Wortlaut:
„Es wird eine neue Version der Zugriffskontrollrichtlinie eingeführt und neue Beschränkungen eingeführt, um sicherzustellen, dass der Netzwerkzugriff von der Abteilung für Informations- und Kommunikationstechnologie (IKT) effektiv verwaltet und überwacht wird.“ Julias eingereichter Aktionsplan wurde jedoch nicht von der Geschäftsleitung genehmigt. Als Grund wurde angegeben, dass ein allgemeiner Aktionsplan, der alle Nichtkonformitäten beheben sollte, als inakzeptabel erachtet wurde. Daher überarbeitete Julia den Aktionsplan und reichte separate Pläne zur Genehmigung ein. Leider hielt sich Julia nicht an die vom Unternehmen vorgegebene Einreichungsfrist, was zu einer Verzögerung des Korrekturmaßnahmenprozesses führte. Darüber hinaus fehlte den überarbeiteten Aktionsplänen ein definierter Zeitplan für die Umsetzung.
War es auf der Grundlage von Szenario 9 akzeptabel, dass das Topmanagement den von Julia vorgelegten Aktionsplan ablehnte?
정답: B
Welche der folgenden Aussagen zur Methodik für die Verwaltung der Implementierung eines ISMS ist richtig?
정답: B
Szenario 1: HealthGenic ist eine Kinderklinik, die mithilfe einer webbasierten medizinischen Software die Gesundheit und das Wachstum von Kindern vom Säuglingsalter bis ins frühe Erwachsenenalter überwacht. Die Software wird auch zur Terminvereinbarung, zur Erstellung individueller medizinischer Berichte, zur Speicherung von Patientendaten und der Krankengeschichte sowie zur Kommunikation mit allen Beteiligten, einschließlich Eltern, anderen Ärzten und dem medizinischen Laborpersonal, verwendet.
Im letzten Monat kam es bei HealthGenic aufgrund der steigenden Zahl von Benutzern, die auf die Software zugriffen, zu mehreren Dienstunterbrechungen. Ein weiteres Problem, mit dem das Unternehmen bei der Verwendung der Software konfrontiert war, war die komplizierte Benutzeroberfläche, deren Verwendung für ungeschultes Personal eine Herausforderung darstellte.
Die Geschäftsleitung von HealthGenic informierte umgehend das Unternehmen, das die Software entwickelt hatte, über das Problem. Das Softwareunternehmen behob das Problem, veränderte dabei jedoch einige Dateien mit vertraulichen Patienteninformationen. Die Änderungen führten zu unvollständigen und fehlerhaften medizinischen Berichten und verletzten – was noch schlimmer war – die Privatsphäre der Patienten.
Welche in Szenario 1 beschriebene Situation stellt eine Bedrohung für HealthGenic dar?
Im letzten Monat kam es bei HealthGenic aufgrund der steigenden Zahl von Benutzern, die auf die Software zugriffen, zu mehreren Dienstunterbrechungen. Ein weiteres Problem, mit dem das Unternehmen bei der Verwendung der Software konfrontiert war, war die komplizierte Benutzeroberfläche, deren Verwendung für ungeschultes Personal eine Herausforderung darstellte.
Die Geschäftsleitung von HealthGenic informierte umgehend das Unternehmen, das die Software entwickelt hatte, über das Problem. Das Softwareunternehmen behob das Problem, veränderte dabei jedoch einige Dateien mit vertraulichen Patienteninformationen. Die Änderungen führten zu unvollständigen und fehlerhaften medizinischen Berichten und verletzten – was noch schlimmer war – die Privatsphäre der Patienten.
Welche in Szenario 1 beschriebene Situation stellt eine Bedrohung für HealthGenic dar?
정답: C
설명: (Fast2test 회원만 볼 수 있음)
Welches Feedback bezieht sich speziell auf die Leistung im Bereich Informationssicherheit während der Managementüberprüfung?
정답: C
설명: (Fast2test 회원만 볼 수 있음)
Welches Tool wird zur Identifikation, Analyse und Betreuung von Interessenten eingesetzt?
정답: A
설명: (Fast2test 회원만 볼 수 있음)
Szenario 8: SunDee ist ein amerikanisches Biopharmaunternehmen mit Hauptsitz in Kalifornien, USA. Es ist auf die Entwicklung neuartiger Humantherapeutika spezialisiert, mit Schwerpunkt auf Herz-Kreislauf-Erkrankungen, Onkologie, Knochengesundheit und Entzündungen. Das Unternehmen verfügt seit zwei Jahren über ein Informationssicherheits-Managementsystem (ISMS) auf Grundlage von SO/IEC 27001. Allerdings wurden Leistung und Effektivität des ISMS nicht überwacht oder gemessen und es wurden keine regelmäßigen Managementbewertungen durchgeführt. Kurz vor dem Rezertifizierungsaudit entschied sich das Unternehmen für ein internes Audit. Außerdem wurden die meisten Mitarbeiter gebeten, die schriftlichen Einzelberichte der letzten zwei Jahre für ihre Abteilungen zusammenzustellen. Dadurch verfügte die Produktionsabteilung nicht über die optimale Belegschaft, was den Lagerbestand des Unternehmens schmälerte.
Tessa war SunDees interne Auditorin. Mit mehreren Berichten von 50 verschiedenen Mitarbeitern dauerte der interne Auditprozess viel länger als geplant, war sehr inkonsistent und enthielt keinerlei qualitative Maßnahmen. Tessa kam zu dem Schluss, dass SunDee die Leistung des ISMS angemessen bewerten müsse. Sie definierte SunDees Nachlässigkeit bei der ISMS-Leistungsbewertung als schwerwiegende Nichtkonformität und verfasste einen Nichtkonformitätsbericht mit einer Beschreibung der Nichtkonformität, den Auditergebnissen und Empfehlungen. Darüber hinaus erstellte Tessa einen neuen Plan zur Lösung dieser Probleme und stellte ihn der Geschäftsleitung vor. Erfüllt SunDee basierend auf Szenario 8 die Anforderungen der ISO/IEC 27001 hinsichtlich des Überwachungs- und Messprozesses?
Tessa war SunDees interne Auditorin. Mit mehreren Berichten von 50 verschiedenen Mitarbeitern dauerte der interne Auditprozess viel länger als geplant, war sehr inkonsistent und enthielt keinerlei qualitative Maßnahmen. Tessa kam zu dem Schluss, dass SunDee die Leistung des ISMS angemessen bewerten müsse. Sie definierte SunDees Nachlässigkeit bei der ISMS-Leistungsbewertung als schwerwiegende Nichtkonformität und verfasste einen Nichtkonformitätsbericht mit einer Beschreibung der Nichtkonformität, den Auditergebnissen und Empfehlungen. Darüber hinaus erstellte Tessa einen neuen Plan zur Lösung dieser Probleme und stellte ihn der Geschäftsleitung vor. Erfüllt SunDee basierend auf Szenario 8 die Anforderungen der ISO/IEC 27001 hinsichtlich des Überwachungs- und Messprozesses?
정답: C
설명: (Fast2test 회원만 볼 수 있음)
NoAVision ist ein mittelständischer Anbieter von Cybersicherheitslösungen mit Hauptsitz in Tartu, Estland, und Niederlassungen in Stockholm und Berlin. Das Unternehmen ist spezialisiert auf sicheres Cloud-Hosting, Identitäts- und Zugriffsmanagement (IAM) sowie das Lebenszyklusmanagement digitaler Zertifikate. Zu seinen Kunden zählen Unternehmen aus dem öffentlichen Sektor, dem Finanzdienstleistungssektor und dem Gesundheitswesen. Um sensible Informationen strukturiert zu schützen, entschied sich NoAVision für die Implementierung eines Informationssicherheitsmanagementsystems (ISMS) gemäß ISO/IEC 27001. Im Rahmen der Risikoanalyse identifizierte das Sicherheitsteam von NoAVision zwei kritische Schwachstellen: unzureichende Wartung und fehlerhafte Installation von Datenspeichermedien sowie das Fehlen von Mechanismen zur Bestätigung der erfolgreichen Übertragung und des Empfangs interner Kommunikation. Diese Schwächen gefährdeten die Datenintegrität und -verfügbarkeit, weshalb das Unternehmen deren Behebung priorisierte.
Welche Kategorie von Schwachstellen hat NoAVision bei seiner Risikobewertung identifiziert?
Welche Kategorie von Schwachstellen hat NoAVision bei seiner Risikobewertung identifiziert?
정답: A
설명: (Fast2test 회원만 볼 수 있음)
Szenario 3: Socket Inc. ist ein Telekommunikationsunternehmen, das hauptsächlich drahtlose Produkte und Dienste anbietet. Es verwendet MongoDB, eine Dokumentmodelldatenbank, die hohe Verfügbarkeit, Skalierbarkeit und Flexibilität bietet.
Im vergangenen Monat meldete Socket Inc. einen Vorfall im Bereich der Informationssicherheit. Eine Gruppe von Hackern hatte die MongoDB-Datenbank kompromittiert, weil die Datenbankadministratoren die Standardeinstellungen nicht geändert hatten. Dadurch war die Datenbank ohne Passwort und öffentlich zugänglich.
Glücklicherweise führte Socket Inc. regelmäßige Backups seiner MongoDB-Datenbank durch, sodass während des Vorfalls keine Informationen verloren gingen. Ein Syslog-Server ermöglichte es Socket Inc. zudem, alle Protokolle auf einem Server zu zentralisieren. Durch die Überprüfung der Ereignisprotokolle, die Benutzerfehler und Ausnahmen aufzeichnen, stellte das Unternehmen fest, dass keine persistente Hintertür vorhanden war und der Angriff nicht von einem internen Mitarbeiter initiiert wurde.
Um ähnliche Vorfälle in Zukunft zu verhindern, entschied sich Socket Inc. für ein Zugangskontrollsystem, das nur autorisiertem Personal Zugriff gewährt. Das Unternehmen implementierte außerdem eine Kontrolle, um Regeln für den effektiven Einsatz von Kryptografie, einschließlich der Verwaltung kryptografischer Schlüssel, zu definieren und umzusetzen, um die Datenbank vor unbefugtem Zugriff zu schützen. Die Implementierung basierte auf allen relevanten Vereinbarungen, Gesetzen und Vorschriften sowie dem Informationsklassifizierungsschema. Um die Sicherheit zu verbessern und den Verwaltungsaufwand zu reduzieren, wurde eine Netzwerktrennung mittels VPNs vorgeschlagen.
Schließlich hat Socket Inc. ein neues System zur Pflege, Erfassung und Analyse von Informationen im Zusammenhang mit Bedrohungen der Informationssicherheit und zur Integration der Informationssicherheit in das Projektmanagement implementiert.
Basierend auf Szenario 3: Welche Informationssicherheitskontrolle aus Anhang A der ISO/IEC 27001 hat Socket Inc. durch die Einrichtung eines neuen Systems zur Pflege, Erfassung und Analyse von Informationen im Zusammenhang mit Bedrohungen der Informationssicherheit implementiert?
Im vergangenen Monat meldete Socket Inc. einen Vorfall im Bereich der Informationssicherheit. Eine Gruppe von Hackern hatte die MongoDB-Datenbank kompromittiert, weil die Datenbankadministratoren die Standardeinstellungen nicht geändert hatten. Dadurch war die Datenbank ohne Passwort und öffentlich zugänglich.
Glücklicherweise führte Socket Inc. regelmäßige Backups seiner MongoDB-Datenbank durch, sodass während des Vorfalls keine Informationen verloren gingen. Ein Syslog-Server ermöglichte es Socket Inc. zudem, alle Protokolle auf einem Server zu zentralisieren. Durch die Überprüfung der Ereignisprotokolle, die Benutzerfehler und Ausnahmen aufzeichnen, stellte das Unternehmen fest, dass keine persistente Hintertür vorhanden war und der Angriff nicht von einem internen Mitarbeiter initiiert wurde.
Um ähnliche Vorfälle in Zukunft zu verhindern, entschied sich Socket Inc. für ein Zugangskontrollsystem, das nur autorisiertem Personal Zugriff gewährt. Das Unternehmen implementierte außerdem eine Kontrolle, um Regeln für den effektiven Einsatz von Kryptografie, einschließlich der Verwaltung kryptografischer Schlüssel, zu definieren und umzusetzen, um die Datenbank vor unbefugtem Zugriff zu schützen. Die Implementierung basierte auf allen relevanten Vereinbarungen, Gesetzen und Vorschriften sowie dem Informationsklassifizierungsschema. Um die Sicherheit zu verbessern und den Verwaltungsaufwand zu reduzieren, wurde eine Netzwerktrennung mittels VPNs vorgeschlagen.
Schließlich hat Socket Inc. ein neues System zur Pflege, Erfassung und Analyse von Informationen im Zusammenhang mit Bedrohungen der Informationssicherheit und zur Integration der Informationssicherheit in das Projektmanagement implementiert.
Basierend auf Szenario 3: Welche Informationssicherheitskontrolle aus Anhang A der ISO/IEC 27001 hat Socket Inc. durch die Einrichtung eines neuen Systems zur Pflege, Erfassung und Analyse von Informationen im Zusammenhang mit Bedrohungen der Informationssicherheit implementiert?
정답: A
설명: (Fast2test 회원만 볼 수 있음)