Wondershare EdrawMind
마인드 맵 갤러리 CISSP 연구 노트 - 영역 1(보안 및 위험 관리)
- 31
CISSP 연구 노트 - 영역 1(보안 및 위험 관리)
CISSP 시험 검토, 도메인 1 보안 및 위험 관리에 대한 지식 포인트 및 중요 연습 요약, 유용한 정보가 가득합니다. 도움이 필요한 친구들은 서둘러 수집하세요!
2024-02-12 08:29:54에 편집됨
- (III) 저산소 유도 인자 프롤릴 하이드 록 실라 제 억제제
이것은 (III) 저산소증-유도 인자 프롤릴 하이드 록 실라 제 억제제에 대한 마인드 맵이며, 주요 함량은 다음을 포함한다 : 저산소증-유도 인자 프롤릴 하이드 록 실라 제 억제제 (HIF-PHI)는 신장 빈혈의 치료를위한 새로운 소형 분자 경구 약물이다. 1. HIF-PHI 복용량 선택 및 조정. Rosalasstat의 초기 용량, 2. HIF-PHI 사용 중 모니터링, 3. 부작용 및 예방 조치.
- Kuka 산업용 로봇의 개발 및 Kuka 산업 로봇의 모션 제어 명령
이것은 Kuka Industrial Robots의 개발 및 Kuka Industrial Robot의 모션 제어 지침에 대한 마인드 맵입니다. 주요 내용에는 쿠카 산업 로봇의 역사, 쿠카 산업 로봇의 특성, 쿠카 산업 로봇의 응용 분야, 2. 포장 프로세스에서 쿠카 로봇은 빠르고 일관된 포장 작업을 달성하고 포장 효율성을 높이며 인건비를 줄입니다. 2. 인건비 감소 : 자동화는 운영자에 대한 의존성을 줄입니다. 3. 조립 품질 향상 : 정확한 제어는 인간 오류를 줄입니다.
- 1.1 컴퓨터 네트워크 요약
408 컴퓨터 네트워크가 너무 어렵습니까? 두려워하지 마세요! 나는 피를 구토하고 지식 맥락을 명확히하는 데 도움이되는 매우 실용적인 마인드 맵을 분류했습니다. 컨텐츠는 매우 완전합니다. 네트워크 아키텍처에서 응용 프로그램 계층, TCP/IP 프로토콜, 서브넷 디비전 및 기타 핵심 포인트에 이르기까지 원칙을 철저히 이해하는 데 도움이 될 수 있습니다. 📈 명확한 논리 : Mindmas 보물, 당신은 드문 기회가 있습니다. 서둘러! 이 마인드 맵을 사용하여 408 컴퓨터 네트워크의 학습 경로에서 바람과 파도를 타고 성공적으로 해변을 얻으십시오! 도움이 필요한 친구들과 공유해야합니다!
CISSP 연구 노트 - 영역 1(보안 및 위험 관리)
- (III) 저산소 유도 인자 프롤릴 하이드 록 실라 제 억제제
이것은 (III) 저산소증-유도 인자 프롤릴 하이드 록 실라 제 억제제에 대한 마인드 맵이며, 주요 함량은 다음을 포함한다 : 저산소증-유도 인자 프롤릴 하이드 록 실라 제 억제제 (HIF-PHI)는 신장 빈혈의 치료를위한 새로운 소형 분자 경구 약물이다. 1. HIF-PHI 복용량 선택 및 조정. Rosalasstat의 초기 용량, 2. HIF-PHI 사용 중 모니터링, 3. 부작용 및 예방 조치.
- Kuka 산업용 로봇의 개발 및 Kuka 산업 로봇의 모션 제어 명령
이것은 Kuka Industrial Robots의 개발 및 Kuka Industrial Robot의 모션 제어 지침에 대한 마인드 맵입니다. 주요 내용에는 쿠카 산업 로봇의 역사, 쿠카 산업 로봇의 특성, 쿠카 산업 로봇의 응용 분야, 2. 포장 프로세스에서 쿠카 로봇은 빠르고 일관된 포장 작업을 달성하고 포장 효율성을 높이며 인건비를 줄입니다. 2. 인건비 감소 : 자동화는 운영자에 대한 의존성을 줄입니다. 3. 조립 품질 향상 : 정확한 제어는 인간 오류를 줄입니다.
- 1.1 컴퓨터 네트워크 요약
408 컴퓨터 네트워크가 너무 어렵습니까? 두려워하지 마세요! 나는 피를 구토하고 지식 맥락을 명확히하는 데 도움이되는 매우 실용적인 마인드 맵을 분류했습니다. 컨텐츠는 매우 완전합니다. 네트워크 아키텍처에서 응용 프로그램 계층, TCP/IP 프로토콜, 서브넷 디비전 및 기타 핵심 포인트에 이르기까지 원칙을 철저히 이해하는 데 도움이 될 수 있습니다. 📈 명확한 논리 : Mindmas 보물, 당신은 드문 기회가 있습니다. 서둘러! 이 마인드 맵을 사용하여 408 컴퓨터 네트워크의 학습 경로에서 바람과 파도를 타고 성공적으로 해변을 얻으십시오! 도움이 필요한 친구들과 공유해야합니다!
- 추천 사항
- 개요
CISSP 연구 노트 - 영역 1(보안 및 위험 관리)
지식 포인트
1.2.CIA 삼중항
기밀성
기밀성은 사람이든 프로세스이든 권한이 없는 개체가 정보 자산에 액세스하는 것을 방지하는 것을 의미합니다.
무결성(Intearitv)
무결성 보호는 데이터의 무단 변경을 방지합니다.
유효성
가용성은 투자 주체에게 객체에 대한 시기적절하고 중단 없는 액세스 권한이 부여됨을 의미합니다.
진정성 (Authenticitv)
진정성은 데이터가 포함되어 있다고 주장하는 소스(무결성 및 부인 방지)로부터 데이터가 진짜인지 확인하는 보안 개념입니다.
부인방지
부인방지는 활동의 주체나 사건을 일으킨 사람이 사건이 발생했다는 사실을 부인할 수 없도록 보장합니다.
균형 잡힌 보안
각 조직은 각자의 상황에 따라 CIA를 고려하는 우선순위가 다릅니다.
1.3 보안 거버넌스 원칙 평가 및 적용
보안 기능은 비즈니스 전략 및 목표에 맞춰 조정됩니다.
조직의 보안 기능을 구축할 때는 먼저 조직의 전반적인 비즈니스 전략 및 사명 선언문과 일치하는 보안 전략을 설계해야 합니다. 귀하는 조직의 비즈니스 목표 및 목표 달성 능력을 손상시키지 않으면서 회사 시스템 및 정보의 기밀성, 무결성 및 가용성을 효과적으로 유지하는 데 도움이 되는 구체적이고 측정 가능하며 달성 가능하고 관련성이 있으며 시간 제한이 있는 일련의 목표 및 목표를 개발해야 합니다.
효과적인 보안 프로그램을 실행하려면 비즈니스 요구 사항과 조직의 전투 경로는 물론 법률 및 규정 준수 요구 사항을 신중하게 고려해야 하며, 보안 기능의 효율성을 관리하기 위해 조직 전체의 거버넌스가 필요합니다.
1.3.1. 조직 프로세스
보안 거버넌스
거버넌스 위원회
거버넌스 위원회는 조직의 보안 기능에 대한 감독을 제공하는 동시에 보안 기능이 조직과 이해관계자 모두의 요구를 지속적으로 충족하도록 보장하는 것을 주요 목표로 하여 조직의 모든 위험을 관리하는 책임을 맡은 임원으로 구성됩니다. 그들은 진행 중이거나 계획된 프로젝트, 원격 지표 및 전체 기업과 관련될 수 있는 기타 보안 문제를 검토합니다.
합병 및 인수(M&A)
모든 인수에는 고유한 상황이 발생하므로 두 조직의 보안 전문가가 함께 모여 각 조직의 보안 제어를 평가하고 중복을 제거하고 시스템의 격리를 보장하는 방법을 파악해야 합니다.
가능한 위험 지점:
•알 수 없는 콘텐츠: IT 시설, 보안 제어 및 프로세스가 기존 시스템과 어떻게 통합됩니까?
• 새로운 공격 벡터: 현재 조직이 Windows 및 Linux 시스템만 사용하는 경우 인수된 조직은 Macos 시스템을 사용합니다.
•자원에 대한 영향: 기존 인력이 기존 기능의 정상적인 운영을 보장할 수 있는지 여부. 새로운 시스템을 성공적으로 받을 수 있나요?
•불만족한 직원: 불만을 품은 직원은 심각한 내부 위협입니다.
대책:
•회사의 정보보호 정책 및 절차를 검토합니다.
•회사의 데이터 자산을 검토합니다. 적용 가능한 규제 또는 규정 준수 요구 사항(예: PCl, HIPAA, GDPR 등)을 식별합니다.
•조직의 인사보안 정책을 검토한다.
•회사에서 관리하는 독점 또는 맞춤형 애플리케이션을 식별하고 보안 상태를 입증하기 위해 정적 및 동적 애플리케이션 보안 테스트를 요구합니다.
•Zhouqiu는 네트워크, 운영 체제, 애플리케이션 및 데이터베이스 테스트를 포함한 최근 침투 테스트(pentest) 결과를 제공합니다.
•조직의 제3자 및 오픈 소스 소프트웨어 사용을 검토하여 소프트웨어가 안전하고 적절한 라이선스가 부여되었는지 확인합니다.
1.3.2. 매각
매각은 사업의 일부를 독립적인 조직으로 분리하는 것입니다.
취할 수 있는 조치:
•철회와 관련된 모든 자산을 식별하고 분류합니다. 여기에는 하드웨어, 소프트웨어 및 정보 자산이 포함됩니다.
•영향을 받는 시스템을 나머지 인프라에서 분리합니다.
•모든 접근권한을 검토하세요.
• 법률 및 규정 준수 팀에 문의하여 데이터 보존, 삭제 등과 관련된 모든 필수 규제 및 규정 준수 요구 사항을 준수하고 있는지 확인하세요.
1.3.3. 조직의 역할과 책임
1.3.3.1 최고 정보 보안 책임자(CISO)
최고 정보 보안 책임자(CIO)는 조직 내 정보 보안 프로그램의 전반적인 관리 및 감독을 담당하는 고위 간부입니다.
최고 정보 보안 책임자(CIO)는 조직의 보안 전략과 비전을 주도하고 궁극적으로 회사 시스템과 정보의 보안을 책임집니다.
1.3.3.2 최고 보안 책임자(CSO)
CSO는 조직 내 고위 간부이며 일반적으로 모든 물리적 보안 및 개인 보안 문제를 담당합니다.
많은 조직에서 CSO의 책임을 CISO의 역할로 통합했습니다.
1.3.4. 보안 통제 프레임워크
1.3.4.1 보안 통제 프레임워크
보안 위협을 예방, 감지, 감소 또는 대응하기 위해 조직에서 사용하는 기술적, 운영적 또는 관리적 보호 조치입니다.
1.3.4.2 보안 통제 유형:
기술적 통제: 방화벽, I1DS/PS, 데이터 손실 방지(DLP) 등 시스템 기반 보호 및 대응책 •
운영 통제: 경비원 등 주로 사람이 수행하는 보호 조치 및 대응 조치입니다.
관리 통제: 정보 보안 위험을 통제하기 위한 정책, 절차 및 기타 대책을 포함합니다.
1.3.4.3 공통 보안 통제 프레임워크:
1.3.5. 신중하고 책임감을 가지세요.
1.3.5.1 정당한 주의
주의의 원칙은 정보의 기밀성, 무결성 및 가용성 유지를 포함하여 정보 보안을 보호하기 위한 합리적이고 신중한 행동을 의미하며 모든 사람에게 적용됩니다. 이 원칙은 정보 보안에 대한 전문 지식 수준에 관계없이 모든 개인이나 조직에 적용됩니다.
1.3.5.2 실사
실사는 합리적인 보안 조치가 구현되고 효과적으로 작동하는지 확인하기 위해 정보 보안에 취해지는 일련의 조치를 의미합니다. 여기에는 공식적인 보안 프레임워크 개발, 보안 정책, 표준, 기준선, 지침 및 절차 개발 등이 포함됩니다. 이와 관련하여 실사를 수행하는지 확인하는 것은 고위 경영진의 책임입니다.
1.4 규정 준수 및 기타 요구 사항 결정
1.4.1. 계약, 법률, 산업 표준 및 규제 요구 사항
CISSP는 규정 준수를 조직이 모든 해당 법률, 규제 요구 사항, 산업 표준 및 계약 합의를 이해하고 충족하기 위해 수행하는 일련의 활동을 포함하여 의무 사항을 준수하는 것으로 정의합니다. 보안 전문가는 자신의 비즈니스에 적용되는 다양한 국가, 지역 및 주 법률을 이해해야 합니다.
1.4.1.1 "컴퓨터 보안법"
1987년 미국 의회를 통과한 후 FISMA로 대체되었습니다.
1.4.1.2 "피스마"
연방 정보 보안 관리법에 따라 이러한 기관에 정보 서비스를 제공하는 모든 미국 연방 정부 기관 및 비정부 조직은 NIST 위험 관리 프레임워크(RMF)에 따라 위험 기반 보안 평가를 수행해야 합니다.
1.4.1.3 "SOX"
상장회사의 자금조달에 관한 규정
1.4.1.4 "PCI DSS"
결제 카드 산업 규정
1.4.1.5 "SOC"
시스템 및 조직 제어를 나타내며 일반적으로 사용되는 세 가지 SOC 감사 및 보고 유형(SOC1, SOC2 및 SOC3)이 포함된 감사 프레임워크입니다.
SOC1: 재무제표 관련 감사
SOC2: 자세한 감사 및 규정 준수 보고서는 일반적으로 대중에게 공개되지 않습니다.
SOC3: 대중에게 제공되는 SOC2의 단순화된 버전입니다.
1.4.2. 개인정보 보호 요구사항
개인 정보 보호 요구 사항은 정보 처리 과정에서 개인 정보의 보안 및 기밀성을 보호하고 개인 정보에 대한 접근을 승인된 당사자의 승인된 사용 범위로 제한하는 것을 의미합니다. 본질적으로 프라이버시란 개인의 프라이버시 권리를 보호하기 위해 개인 식별 정보를 보호하는 것을 의미합니다.
1.4.2.1PII
개인식별정보(PII)는 이름, 주소, 전화번호, 은행카드번호, 운전면허증, 주민등록번호(ID 카드) 등 개인을 식별할 수 있는 모든 정보입니다.
1.5. 정보 보안과 관련된 법적 및 규제 문제를 전체적으로 이해합니다.
1.5.1. 사이버 범죄 및 데이터 침해
1.5.1.1 사이버 범죄
사이버 범죄는 컴퓨터나 인터넷과 직접적으로 관련된 범죄 행위를 의미하며 주로 다음과 같습니다.
1. 신원 도용 등 타인에 대한 범죄
2 컴퓨터를 훼손하거나 지적재산권을 도용하는 등 재산을 침해하는 행위
3. 기밀정보 도용 등 정부에 대한 범죄
1.5.1.2 데이터 유출
데이터 유출은 사이버 범죄자가 허가 없이 정보에 접근하거나 도난당하는 특별한 유형의 사이버 범죄입니다. 데이터 침해로 피해를 입은 조직은 명예 훼손, 신원 도용 사고, 벌금 또는 도난으로 인한 지적 재산 손실을 당할 수 있습니다. 암호화는 데이터 침해로부터 조직을 보호하는 간단한 방법입니다.
1.5.1.3 관련 미국 법률:
컴퓨터 사기 및 남용법(CFAA): 사이버 범죄를 겨냥한 미국 최초의 형법으로, 다양한 유형의 해킹을 연방 범죄로 규정합니다. CFAA 개정안은 저항에 부딪혔습니다.
전자통신개인정보보호법(ECPA): 미국 정부가 통신을 가로채고 정보를 저장하는 것을 제한하며, 정부는 전자 통신에 대한 수색 영장을 받기 위해 엄격한 요구 사항을 충족해야 합니다.
신원 도용 및 억제 추정법: 개인의 가치를 도용하는 것을 연방 범죄로 규정합니다.
1.5.2. 라이선스 및 지적재산권(IP) 요구사항
1.5.2.1 소프트웨어 라이선스
소프트웨어는 지적 재산의 중요한 형태입니다. 조직에서는 소프트웨어를 개발하고 라이선스 계약을 통해 소프트웨어를 보호하는 데 상당한 재정 및 인적 자원을 투자합니다. 라이선스 계약에는 네 가지 일반적인 유형이 있습니다.
1계약 라이선스: 소프트웨어 공급업체와 고객 간의 각자의 책임을 설명하는 서면 계약을 사용합니다.
2 개봉 시 유효: 사용자가 포장의 밀봉을 뜯으면 유효해집니다.
3. 동의 클릭: 고객은 소프트웨어 구매 또는 서비스 등록 시 "동의함" 버튼만 클릭하면 됩니다.
4. 클라우드 서비스 라이선스: 클라우드 마이그레이션을 위한 클릭스루 계약
1.5.2.2 지적재산권
정보 보안 전문가의 매우 중요한 책임은 조직에 속한 지적 재산을 무단 사용이나 공개로부터 보호하는 것입니다.
1.저작권
저작권은 창작물이 남용되지 않도록 보호합니다. 이러한 저작물에는 도서, 영화, 노래, 시, 예술 창작물, 컴퓨터 소프트웨어 등의 카테고리가 포함될 수 있습니다.
저작권 보호는 창작 당시 창작자에게 자동으로 부여되지만, 재직 중에 발생한 창작물은 고용주에게 귀속된다는 점을 유의하시기 바랍니다. 저작권 보호는 저작자 사망 후 70년간 지속됩니다. 저작권은 여기에 표시된 C 다이어그램 기호로 표시됩니다.
2.상표
상표는 귀하가 귀하의 제품과 서비스를 식별하는 데 사용하는 단어와 기호를 보호하는 데 사용됩니다. 상표로 보호되는 정보에는 브랜드 이름, 로고 및 슬로건이 포함됩니다. 상표는 무기한 존재할 수 있지만 등록은 10년마다 갱신되어야 합니다. 상표는 ™M 기호로 표시되며, 정부로부터 등록 상태를 부여받은 후에는 원 안의 R 기호로 표시될 수 있습니다.
3.특허
특허는 발명품을 보호하고 발명가에게 일정 기간 동안 자신의 발명품을 사용할 수 있는 독점적 권리를 제공합니다. 일단 부여된 특허권은 일반적으로 출원일로부터 20년 동안 지속됩니다. 특허를 얻으려면 발명가는 자신의 아이디어가 세 가지 기준을 충족한다는 것을 입증해야 합니다.
첫째, 참신해야 합니다.
둘째, 유용해야 합니다.
마지막으로, 명확하지 않은 것이어야 합니다.
4. 영업비밀
영업 비밀의 경우 소유자는 발명품에 대해 아무에게도 알리지 않고 세부 사항을 비밀로 유지합니다. 조직이 비밀을 보호할 수 있는 한, 해당 발명에 대한 독점권을 누립니다. 단점은 다른 사람들이 발명품의 작동 방식을 발견하면 자유롭게 사용할 수 있다는 것입니다. NDA(비공개 계약)를 통해 영업 비밀을 알고 있는 조직 내 사람들의 지식을 제한합니다.
1.5.3. 수입 및 수출 통제
많은 국가에는 국경을 넘을 수 있는 정보 및 상품 유형에 대한 요구 사항이 있습니다. 정보 보안 전문가는 해당 산업에 적용되는 다양한 수입 및 수출 통제를 이해하고 자신의 활동이 이러한 규정을 준수하는지 확인해야 합니다.
1.5.3.1 미국 수입/수출 통제
무기거래규정(TAR)은 국방물자품목과 관련된 모든 것입니다.
EAR(수출 관리 규정)은 민감한 전자 장치 및 컴퓨터, 레이저, 네비게이션, 해양 기술 등을 포함한 다양한 기술 범주를 다루고 있습니다.
1.5.4. 국경 간 데이터 흐름
국경 간 데이터 흐름은 특정 데이터가 특정 지리적 위치나 관할권에 들어오거나 나가는 것을 제한하는 국가 요구 사항을 우회하는 데 중점을 둡니다. 예를 들어, 중국의 '사이버 보안법'에서는 중국에서 수집된 중국 시민의 데이터를 중국에 보관해야 하며 중국 정부의 허가 없이 해외로 전송할 수 없도록 규정하고 있습니다.
1.5.5. 개인정보 보호
개인 정보의 가장 일반적인 두 가지 요소는 개인 식별 정보(Pll)와 보호 대상 건강 정보(PHl)입니다.
1.5.5.1 미국의 관련 개인정보 보호법
1. "개인정보보호법"
주로 미국 정부 기관의 PII 수집, 유지 관리, 사용 및 배포를 규제하고 관리합니다.
2. 건강 보험 이전 및 책임에 관한 법률(HIPAA)
PHI 정보를 취급하거나 저장하는 병원, 의사, 보험회사 및 기타 조직은 엄격한 보안 조치를 채택해야 합니다.
3.아동온라인개인정보보호법(COPPA)
온라인 비즈니스에는 13세 미만 어린이의 개인정보를 보호하기 위한 엄격한 지침이 마련되어 있습니다.
4. 금융서비스현대화법(GLBA)
금융기관이 고객 정보를 교환하기 위한 규제 요구사항을 제안합니다. 기관은 고객의 개인 데이터를 보호하기 위해 적절한 보안 제어를 구현해야 합니다.
5. 경제적 및 임상적 건강을 위한 건강정보기술(HITECH)법
이 법안은 HIPAA의 개인 정보 보호를 확대하고 더 엄격한 처벌을 부과합니다. 위반 알림 규칙도 도입되어 위반 후 60일 이내에 영향을 받는 당사자에게 공개해야 합니다.
1.5.5.2 관련 EU 개인정보 보호법
1. 《데이터 보호 지침(DPD)》
이는 유럽 시민의 개인 데이터 처리를 규제하며 유럽 연합에서 최초의 중요한 개인 정보 보호법이며 유럽 전역에서 기본적인 개인 정보 보호 규정으로 간주됩니다. 후속 GDPR로 대체되었습니다.
2. 일반 데이터 보호 규정(GDPR)
이는 개인 데이터 처리에 대한 7가지 원칙을 제시합니다.
1) 합법성, 공정성 및 투명성: 해당 법률에 따라 개인 데이터를 획득 및 처리하고, 데이터가 어떻게 사용되는지 사용자에게 완전히 알립니다.
2) 목적 제한: 데이터 수집에 대한 "구체적이고 명확하며 적법한" 목적을 결정하고 해당 목적을 알립니다.
3) 데이터 최소화: 합의된 서비스를 제공하기 위해 필요한 최소한의 데이터를 수집하고 처리합니다.
4) 정확성: 개인 데이터가 "정확하고 필요한 경우 업데이트"되도록 보장합니다.
5) 저장 제한: 개인정보는 동의된 서비스 제공에 필요한 기간 동안만 저장됩니다. '잊혀질 권리'를 지켜주세요
6) 무결성 및 기밀성
7) 책임: 데이터 관리자(즉, 개인 데이터를 저장하고 처리하는 당사자)는 모든 요구 사항을 준수함을 입증할 수 있어야 합니다.
참고: 귀하의 조직이 EU 시민 또는 거주자의 개인 데이터를 저장하거나 처리하는 경우 귀하의 회사가 EU에 있는지 여부에 관계없이 GDPR이 귀하에게 적용됩니다. 또한 데이터 관리자는 개인 데이터 침해를 인지한 후 72시간 이내에 관련 당사자에게 이를 통보해야 합니다. 국경 간 정보 공유를 위해서는 표준 계약 조항이나 구속력 있는 기업 규칙을 사용해야 합니다.
3. "세이프 하버(Safe Harbor)" 및 "프라이버시 쉴드(Privacy Shield)"는 미국과 유럽연합 간의 개인정보 보호 계약으로, 둘 다 만료되었습니다.
1.6. 설문조사 유형의 요구 사항을 이해합니다.
1.6.1. 조정 유형
1.6.1.1 행정조사(행정)
문제의 근본 원인을 찾고 이를 해결하여 비즈니스가 정상적인 운영을 재개할 수 있도록 조직 내에서 조사하는 것입니다.
1.6.1.2 범죄수사(범죄)
형법 위반을 조사하기 위해 정부 기관이 실시하는 조사입니다.
최고 수준의 입증: 합리적인 의심의 여지가 없습니다.
1.6.1.3 민사조사(민사)
형법 위반을 조사하기 위해 정부 기관이 실시하는 조사입니다.
최고 수준의 입증: 합리적인 의심의 여지가 없습니다.
1.6.1.4 규제
잠재적인 행정법 위반에 대한 정부 기관의 조사 또는 업계 표준 위반에 대한 독립 규제 기관의 조사.
규제 조사는 성격상 민사 또는 형사로 진행될 수 있습니다.
1.7. 보안 정책, 표준, 절차 및 지침을 개발, 문서화 및 구현합니다.
1.7.1. 보안 정책 프레임워크
17.1.1 보안 정책(정책)
보안 정책은 조직의 장기적인 보안 기대치를 매우 신중하게 설명하고 조직의 정보 시스템 및 데이터 보호를 관리하는 원칙과 규칙을 식별하는 일련의 진술입니다.
•정책 준수는 필수이며 정책은 일반적으로 조직의 최고 수준에서 승인됩니다.
몇 가지 일반적인 보안 정책: 허용 가능한 사용 정책, 액세스 제어 정책, 변경 관리 정책, 원격 액세스 정책, 재해 복구 정책
1.7.1.2안전기준(표준)
보안 표준은 조직이 승인한 암호화 프로토콜, 데이터가 저장되는 위치, 구성 매개변수, 기타 기술 및 운영 세부 사항 등 조직이 따라야 하는 보안 제어의 특정 세부 사항을 지정합니다. 복잡한 구성 표준의 경우 Center for Internet Security에서 제공하는 보안 구성 가이드와 같은 업계 표준을 사용하는 경우가 많습니다.
안전기준 준수는 필수입니다. 보안 기준은 시스템, 네트워크 또는 장치에 대한 최소 보안 수준을 설정하는 표준과 관련되어 있습니다. 기준 요구 사항이 충족되지 않으면 온라인 상태가 될 수 없습니다.
1.7.1.3 안전 절차(Procedures)
안전 절차는 직원이 특정 안전 작업을 수행할 때 따를 수 있는 단계별 지침입니다.
1.7.1.4안전지침(가이드라인)
가이드는 보안 전문가가 정보 보안 모범 사례를 포함하여 조직의 다른 구성원에게 조언을 제공하는 곳입니다. 안전 지침을 준수하는 것은 선택 사항입니다.
1.8 비즈니스 연속성(BC) 요구 사항 식별, 분석 및 우선 순위 지정
1.8.1. 비즈니스 영향 분석(BIA)
비즈니스 영향 분석은 조직이 정량적 또는 정성적 위험 평가를 사용하여 필수 비즈니스 기능을 식별하고 각 기능에 대한 재해의 영향을 이해하는 데 도움이 됩니다. 비즈니스 영향 분석은 비즈니스 연속성 계획(BCP) 및 해당 요구 사항에 대한 기본 기반을 제공합니다.
BlA는 조직이 어떤 비즈니스 기능이 더 탄력적이고 어떤 것이 더 취약한지 판단하는 데 도움이 됩니다.
1.8.1.1 프로세스:
1. BC 프로젝트 팀, 범위 및 예산을 수립하는 것부터 시작하세요.
2. 다음을 포함한 중요한 비즈니스 기반(CBF) 및 기타 필수 비즈니스 요소를 식별합니다.
인원
비즈니스 프로세스
정보 시스템 및 애플리케이션
기타 자산
삼. 주요 사업에 대한 리스크 분석 수행:
존재하는 취약점을 식별합니다.
•부작용 가능성
영향력 수준
1.8.1.2 영향 정도를 결정하는 방법
1. 최대 허용 가능한 가동 중지 시간(MTD) 또는 최대 허용 가능한 가동 중지 시간(MAO)은 중요한 비즈니스 기능을 사용할 수 없는 총 시간을 나타냅니다. MTD는 조직의 CBF가 제대로 작동하도록 하는 궁극적인 책임이 있는 시스템 소유자가 결정해야 합니다.
2. RTO(복구 시간 목표)는 허용할 수 없는 비즈니스 결과를 방지하기 위해 가동 중단 후 중요한 비즈니스가 재개되어야 하는 최대 기간입니다. RTO는 MTD보다 작거나 같아야 합니다.
3. RPO(복구 시점 목표)는 허용 가능한 데이터 손실을 측정한 값으로, 기간으로 표시됩니다.
1.8.2. 범위와 계획을 개발하고 문서화합니다.
1.8.2.1 비즈니스 연속성 계획(BCP)
비즈니스 연속성 계획은 조직의 중요한 비즈니스 기능과 고객을 보호하고 조직이 지정된 서비스 수준 및 기간 내에서 효과적으로 운영되어 법적 및 규제 요구 사항은 물론 MTD, RTO 및 RPO 세트를 충족할 수 있도록 설계되었습니다. 조직에 의해.
비즈니스 연속성 계획 BCP 단계
프로젝트 범위 및 계획
조직 분석
BCP 프로세스에 이해관계가 있는 부서와 사람을 식별합니다.
핵심사업을 고객에게 전달하는 업무를 담당하는 운영부서
IT, 시설 및 유지관리 직원, 기타 팀 등 주요 지원 서비스
물리적 보안을 담당하는 기업 보안팀
조직의 지속적인 운영에 중요한 고위 관리자 및 사람
이러한 분석은 BCP 팀 선정의 기초가 되며, BCP 팀의 확인 후 BCP 개발의 후속 단계를 안내하는 데 사용됩니다.
BCP 팀을 선택하세요
부서의 기술 전문가, BCP 기술을 갖춘 물리적 및 IT 보안 담당자, 회사의 법률, 규제 및 계약 책임을 잘 알고 있는 법적 대표, 고위 경영진 대표. 다른 팀 구성원은 조직의 구조와 성격에 따라 다릅니다.
리소스 요구 사항
법률 및 규제 요구 사항
비즈니스 영향 분석
BIA는 BCP의 핵심부분으로 5단계로 나누어진다.
우선순위
비즈니스 기능 우선 순위 목록
MTD, 최대 허용 중단 시간 결정
RTO, RTO<MTD 결정
복구 지점 목표, RPO
위험 식별
가능성 평가
각 위험에 대한 ARO 결정
영향 분석
자원 우선순위
연속성 계획
전략 개발
준비 및 처리
인원
건물/시설
하부 구조
계획 승인 및 구현
계획 승인
계획 실행
훈련과 교육
BCP 문서
1.8.2.2 BCP의 일반적인 범위
보편적인 BCP 표준은 없지만 대부분의 계획에는 일반적으로 다음이 포함됩니다.
중요한 비즈니스 기능
위협, 취약점 및 위험
데이터 백업 및 복구 계획
FBCP 관련 인력
의사소통 계획
BCP 테스트 요구 사항
1.8.2.3 사람, 프로세스 및 기술을 보호하기 위한 요구 사항 및 기술
1. 인원:
긴급 상황 발생 시 조직 내부와 외부 사람들의 안전을 보장하는 것이 BCP의 주요 목표입니다. 직원들이 비상 상황 시 대처 방법을 알 수 있도록 적절한 훈련과 교육을 제공합니다.
2 •프로세스:
중요한 비즈니스 기능을 평가하고 재해 발생 시 필요한 리소스를 결정합니다. 지속적인 운영을 보장하기 위해 중요한 데이터 처리 시설 및 기능에 대한 백업 사이트 계획을 개발합니다.
3. 기술:
소프트웨어 및 하드웨어 오류를 예측하고 위험을 줄이기 위한 제어 기능을 개발합니다. 전력, 물, 통신 및 네트워크 연결과 같은 인프라를 포함하여 데이터 백업 및 중복 시스템을 구현합니다.
1.9 직원 안전 정책 및 절차를 홍보하고 시행합니다.
1.9.1 후보자 심사 및 모집
직원은 안전망에서 가장 취약한 연결고리일 수 있습니다. 모든 직원이 조직의 이익을 최우선으로 생각하는 것은 아니라는 점을 기억하는 것이 중요합니다. 내부자 공격은 종종 심각한 보안 위반으로 이어집니다. 따라서 인사 보안은 사이버 보안 계획의 중요한 기반이 되어야 합니다.
• 채용 관리자는 인사부와 협력하여 직무 책임과 설명을 명확하고 정확하게 문서화해야 합니다.
•적절한 권한을 할당하기 위해 역할의 민감도나 분류를 결정합니다.
1.9.1.1 신원조사
교육 배경
업무 경험
-시민권
-범죄 기록
약물 테스트
등급
신용 및 재무 이력
소셜 미디어 활동
참고: 외국계 기업은 일반적으로 신체검사(일반 신체건강검진)에 관심을 기울이지 않습니다.
1.9.2. 고용 계약 및 정책
1.9.2.1 기밀 유지 계약 및 경쟁 계약
가장 일반적인 직원 계약은 비공개 계약(NDA)과 비경쟁 계약(NCA)입니다.
1• 비공개 계약(NDA)
직원이나 계약자(또는 민감한 정보에 노출될 수 있는 기타 사람)가 고용 과정이나 조직과의 관계에서 획득한 민감한 정보의 공개를 제한하는 계약입니다. 비공개 계약은 조직 데이터(예: 영업 비밀 또는 고객 정보)의 기밀을 유지하기 위해 고안되었으며 일반적으로 직원이 회사를 떠난 후에도 평생 계약입니다.
2 • 비경쟁 계약(NCA)
직원이 재직하는 동안, 그리고 대부분의 경우 퇴사 후 일정 기간 동안 조직과 직접 경쟁하는 것을 제한하는 불공정 경쟁입니다. 경쟁 계약. 비경쟁 계약은 이전 직원이나 계약자로부터 조직을 보호하기 위해 고안된 일방적 계약입니다.
1.9.2.2 조직 요구사항
NDA 및 NCA 외에도 직원은 AUP(허용 가능한 사용 정책), 행동 강령 또는 이해 상충 정책과 같은 조직의 다른 요구 사항에 서명해야 할 수도 있습니다.
1.9.2.3 온보딩: 고용 계약 및 전략
입사 후에는 먼저 고용 계약을 체결해야 하며, 직위에 따라 NDA(비공개 계약) 및 NCA(비경쟁 계약)에 서명해야 할 수도 있습니다. 위치. 그런 다음 조직 문화, 전략, 프로세스, 기술 등을 포함하여 직원에게 교육을 제공합니다.
1.9.2.4 직원 감독
관리자는 직원의 직위 전반에 걸쳐 각 직원의 직무 설명, 작업, 권한 및 책임을 정기적으로 검토하거나 평가하여 직위의 요구 사항을 충족하는지 확인해야 합니다.
•권한 크리프(권한 드리프트): 직원의 업무 내용이 증가함에 따라 직위 요구 사항을 초과하는 권한을 획득할 수 있습니다.
• 의무 휴가: 직원에게 1~2주 동안 직장을 떠나도록 요구하고 학대, 사기 또는 과실을 적발하기 위해 다른 직원으로 교체합니다.
•담합: 적발 위험이 높기 때문에 업무 분리, 강제 휴가, 직무 순환, 교차 교육 등의 조치를 통해 직원이 불법적이거나 폭력적인 계획에 협력할 가능성을 줄입니다.
•UEBA(사용자 및 엔터티 행동 분석): 인력 관리 계획을 최적화하는 데 도움이 되는 사용자 및 엔터티 분석입니다.
1.9.2.5 사직, 전직 및 해고 절차
직원이 퇴사할 경우 다음 사항에 주의해야 합니다.
• 직원이 감사 목적으로 해고 통지를 받기 전 또는 동시에 직원의 사용자 계정을 비활성화하되 삭제하지는 마십시오.
•퇴사 인터뷰 중 NDA 및 NCA 책임을 강조합니다.
. 직원들이 열쇠, 출입 카드, 휴대폰, 컴퓨터 등을 포함하되 이에 국한되지 않는 회사 자산을 반환하도록 합니다.
•개인 소지품을 재활용하기 위해 작업장에 동행할 보안요원을 배치한다.
•해당 직원의 이직 사실을 모든 관련자에게 알린다.
1.9.2.6 공급업체, 컨설턴트, 계약업체 계약 및 통제
공급업체, 컨설턴트, 계약업체 계약 및 통제 여러 단체나 조직이 프로젝트에 참여할 때 다자간 위험이 존재합니다. 서비스 수준 계약(SLA)은 공급업체의 제품 또는 서비스 수준이 기대치를 충족하지 못할 경우 서비스 품질을 보장하기 위해 보상을 제공합니다. 공급업체, 컨설턴트 및 계약업체를 아웃소싱이라고도 합니다. 또한 조직은 공급업체 관리 시스템(VMS)을 통해 아웃소싱 관리의 효율성을 향상시킬 수 있습니다.
1.9.2.7 규정 준수 정책 요구 사항
개인 보안 관리는 PCI DSS와 같은 법적 및 규제 요구 사항을 충족해야 합니다.
1.9.2.8 개인정보 보호정책 요구사항
인사 보안 관리는 GDPR과 같은 개인 정보 보호 정책의 요구 사항도 충족해야 합니다.
1.9.3.인사, 전직 및 퇴직절차
채용, 이동, 이직은 고용의 3단계이며, 각 단계마다 보안 고려사항이 다릅니다.
1.9.3.1 온보딩 교육
직원들에게 정보를 보호하고 위협으로부터 보호할 의무가 있음을 상기시키고, 그들의 행동이 면밀히 조사될 수 있다는 점을 인식해야 합니다.
1.9.3.2 직무 이전
재할당 시 더 이상 필요하지 않은 접근 권한을 제거하고, 최소 권한의 원칙을 따릅니다.
1.9.3.3 사임
사직은 자발적인 사직과 비자발적인 사직으로 구분됩니다. 직원이 좋은 조건으로 퇴사하는 경우 조직의 이직 절차를 거치면 충분합니다.
비자발적인 분리인 경우 조직의 자산을 보호하기 위해 적절한 조치를 취해야 합니다.
•인터뷰 종료, 서명된 NDA 및 기타 관련 계약 알림
• 직원 해고 통보 및 이직 체크리스트 점검을 실시하면서 시스템 접근을 차단한다.
•해고된 직원은 더 이상 조직에 들어갈 수 없음을 나머지 직원에게 알립니다.
분리 체크리스트에는 액세스 권한 취소, 키, 배지, 장비 및 문서 복구가 포함됩니다.
1.9.4. 공급업체, 컨설턴트, 계약업체 계약 및 통제
조직은 종종 데이터 센터 호스팅 및 애플리케이션 개발과 같은 기능을 아웃소싱합니다. 이러한 아웃소싱 또는 파트너 조직과 NDA 및 기타 계약을 체결하면 규정 준수 부담이 증가하고 제3자가 민감한 정보를 유출하는 것을 방지할 수 있습니다. 다음은 몇 가지 제안 사항입니다.
-접근 제어 구현
문서 교환 구두 검토
유지 관리 후크(백도어) 관리 및 모니터링
현장평가 실시
프로세스 및 정책 검토
서비스 수준 계약 개발
19.5.2 정책 교육 및 처벌
•직원 교육: 정책 준수를 보장하기 위해 직원 및 기타 관련 인력에게 초기 및 반복 교육을 제공합니다.
•보안 인식: 정보 보안에 대한 관심과 이해를 향상시킵니다.
•직무 관련 교육 : 직원의 직무 요구 사항에 따라 구체적인 교육을 제공합니다.
•정책 결과를 명확하게 합니다. 징계 조치, 정학 또는 해고와 같은 비준수로 인한 잠재적 결과를 정책에 명시합니다.
1.9.5. 정책 요구 사항을 준수합니다.
1.9.5.1 조직 정책 요구사항
•법률 및 규정 준수: 조직 정책이 해당 법률, 규정 및 기타 법적 의무를 준수하는지 확인합니다.
•정책 일관성: 조직의 요구 사항, 통제 및 절차는 정책과 일치해야 합니다.
1.9.6. 개인정보 보호정책 요구사항
조직은 민감한 정보를 처리할 때 직원의 개인정보를 보호하기 위해 법적, 윤리적 책임을 따라야 합니다. 이 정보에는 신원 조사, 사회 보장 번호(ID 번호), 급여 정보 및 건강 정보가 포함될 수 있습니다. 정보를 보장하기 위해
보안을 위해 조직은 개인정보 보호정책에서 다음 원칙을 다루어야 합니다.
•최소화 원칙: 적법한 채용 절차를 완료하는 데 필요한 정보만 수집합니다.
• 접근 제한: 해당 정보를 알아야 하는 사람에게만 접근을 제공합니다.
•암호화 사용 : 비정상적인 채널을 통해 정보가 읽히는 것을 방지하기 위해 암호화 기술을 최대한 사용합니다.
1.10 위험 관리 개념 이해 및 적용
1. 10.1 위협 및 취약점 식별
위험은 잠재적인 위협이 취약성을 악용하여 조직, 목표 또는 사람, 시스템 및 데이터를 포함한 자산에 부정적인 영향을 미칠 가능성입니다.
1.10.1.1 위험 분류
•내재적 위험은 통제 조치가 시행되기 전에 존재하는 위험입니다.
•잔류 위험은 통제가 시행된 후에도 남아 있는 위험 수준입니다.
1.10.1.2 위협:
해커, 불만을 품은 직원, 자연재해 등 의도적으로 또는 의도하지 않게 자산의 보안을 침해할 수 있는 개인 또는 단체입니다.
1.10.1.3 취약점
시스템의 약점이나 취약점을 위협 행위자가 악용할 경우 위험이 발생할 수 있습니다.
1.10.1.4 자산
자산은 사람, 재산, 정보 등 가치 있는 모든 것을 의미합니다.
1.10.2.위험 평가 및 분석
1.10.2.1 위험 평가의 정의
위험은 위협, 취약성 및 자산의 교차점입니다. 위험 평가는 잠재적인 위협과 취약성을 식별하고 식별된 취약성을 악용하는 위협의 영향과 가능성을 결정하는 것을 포함하는 일련의 활동입니다.
1.10.2.2 위험 평가 단계:
1. 위험 식별: 자산과 조직에 대한 가치 식별
2. 위험 분석: 위협이 취약점을 악용할 가능성을 판단합니다.
3. 위험 평가: 이러한 잠재적 위협이 비즈니스에 미치는 영향을 판단합니다.
4. 위험 처리: 위협의 영향과 대응 비용 간의 경제적 균형을 제공합니다.
1.10.2.3 위험 식별
이는 조직의 자산을 식별하고 해당 자산의 가치를 결정한 다음 자산에 위험을 초래하는 취약성과 위협을 식별하고 설명하는 것부터 시작됩니다.
1.10.2.4 위험 분석
위험 분석은 취약성 평가 및 위협 분석으로 시작하여 위험 발생 가능성을 계산하고 영향에 따라 순위를 매깁니다.
1.10.2.4.1 정성적 위험 분석
많은 경우 조직의 평판, 데이터의 가치 등 가치를 정량화할 수 없기 때문에 내 두뇌로만 판단할 수 있습니다. 자산 가치, 위험 수준 등의 내용은 높음, 위험 수준 등의 수준으로 식별됩니다. 중간, 낮음, 0-10, 100점 시스템 등
정성적 위험 분석 기술에는 브레인스토밍, 스토리보드, 포커스 그룹, 설문 조사, 설문지, 인터뷰, 시나리오 및 델파이 기술이 포함됩니다.
1.10.2.4.2 정량적 위험 분석
정량적 위험 분석의 주요 프로세스:
•재고자산, 가치할당(AV)
•자산을 위협과 일치시킵니다.
•특정 위협이 침해될 경우 자산이 겪게 될 손실 비율인 각 자산-위협 쌍에 대한 노출 계수(EF)를 계산합니다.
• 자산을 파괴한 후 특정 위협으로 인해 손실된 금액인 각 자산 위협 쌍에 대한 단일 손실 기대치(SLE)를 계산합니다(SLE=AV*EF).
•각 위협에 대한 연간 발생률(ARO)을 계산합니다. 즉, 1년 이내에 자산에 특정 위협이 발생할 확률
• 각 자산-위협 조합에 대한 연간 손실 예상(ALE)을 계산합니다. 즉, 특정 위협으로 인해 1년 이내에 자산이 입은 피해입니다.
돈 손실(ALE=SLE*ARO)
•각 자산 위협 쌍에 대해 가능한 대응책을 개발하고 연간 보호 비용(ACS), ARO, EF 및 ALE의 변화를 계산합니다.
•각 대책에 대한 비용/이익 평가를 실시한다. 각 위협에 대해 가장 적절한 대응(예: ALE_per-ALE_post-ACS)을 선택합니다. 결과적으로 일반 보호 조치는 가치가 있고 책임 있는 보호 조치는 가치가 없습니다.
1.10.3.리스크 대응
위험 처리에는 네 가지 주요 범주가 있습니다.
1.10.3.1 위험 회피(Avoid)
위험에 기여하는 활동이나 기술을 중지하거나 제거하여 식별된 위험을 제거합니다.
1.10.3.2 위험 완화(Mitgate)
정책적, 기술적 조치를 시행하여 위험으로 인해 발생할 수 있는 피해를 줄입니다.
1.10.3.3 위험 이전(이전)
리스크 할당(Risk Assignmen0)이라고도 하며, 리스크와 관련된 책임과 잠재적 손실이 제3자에게 이전됩니다.
일반적인 방법: 보험에 가입하세요.
1.10.3.4 위험 수용(Accept)
위험을 회피, 완화 또는 이전하는 데 드는 비용이 실현된 위협으로 인해 예상되는 손실을 초과하는 경우 위험을 수용하는 것이 선택 사항이 됩니다.
1.10.4.대책의 선택 및 실행
1.10.4.1 대책 고려사항:
•인사 관련:
채용(또는 해고), 조직 구조 조정 및 인식 교육은 사람과 관련된 일반적인 반응입니다. 배경 조사, 고용 관행, 보안 인식 및 교육 등
•경영관련
정책, 절차 및 기타 "작업 흐름 기반" 완화 조치는 일반적으로 이 범주에 속합니다. 수량, 절차, 데이터 분류 및 라벨링, 보고 및 검토, 작업 감독.
•관련 기술:
암호화, 구성 변경, 기타 하드웨어 또는 소프트웨어 변경 등 인증 방법, 암호화, 제한된 인터페이스, 액세스 제어 목록, 프로토콜, 방화벽, 라우터, 침입 탐지 시스템 및 정리 수준.
•물리학 관련:
경비원, 국가 장벽, 동작 감지기, 잠긴 문, 밀봉된 창문, 조명, 케이블 보호, 노트북 잠금 장치, 배지, 스와이프 카드, 개, 카메라, 출입 통제 로비 및 경보.
1.10.42 대책의 유효성
위험 대책의 효율성을 보장하기 위해 예방, 탐지, 수정의 관점에서 인식을 조사합니다. 예를 들어 암호화로 특정 위험을 해결할 수 없는 경우 백업을 고려하는 등 다른 접근 방식을 시도해 보세요.
1.10.4.3 대책의 비용 효율성
보안 조치 비용이 보호되는 자산의 가치에 상응하는지 확인하십시오.
1.10.4.4 비즈니스 영향
잘못된 사용으로 인한 위험 증가를 피하기에는 대응책의 구현 및 사용이 너무 어려운지 고려하십시오.
1.10.5. 적용 가능한 제어 유형
1.10.5.1 제어 유형
•예방 : 방화벽, 시스템 백업, IPS 등의 사고가 발생하지 않도록 예방합니다.
•탐지: 1DS와 같은 이벤트 활동 및 잠재적인 침입자를 식별합니다.
•수정: 패치 등 사고가 발생한 후 구성요소나 시스템을 수리하는 것입니다.
• 위협: 울타리, 경찰견과 같은 잠재적인 공격자를 설득합니다.
•복구: 시스템 및 데이터 백업, 재해 복구 사이트 등 환경을 정상적인 작동 상태로 되돌립니다.
•보상: 대체 통제 조치를 제공합니다.
1.10.6. 통제 평가(보안 및 개인 정보 보호)
조직은 정기적인 보안 제어 평가(SCA)를 수행하여 보안 및 개인 정보 보호 제어가 효과적인지 확인해야 합니다.
SCA는 자체 평가 또는 제3자에 의한 외부 평가를 사용할 수 있습니다.
1.10.6.1 SCA 평가 방법
• 검사: 평가자는 일반적으로 조직에 검토, 검토, 관찰, 연구 또는 분석을 위한 보안 정책, 구성 파일 등의 목록을 제공하고 예비 의견을 형성하도록 요구합니다.
•인터뷰: 평가자는 주요 이해관계자와 만나 현재 시행 중인 보안 통제와 그 운영 방식에 대해 자세히 알아봅니다.
. 테스트: 테스트를 통해 보안 제어가 문서화된 대로 구현되고, 효과적이며, 예상대로 작동하는지 확인합니다.
1.10.7. 모니터링 및 측정
•보안통제의 효율성을 측정하고 개선을 위한 제안을 제공하기 위해 지속적으로 모니터링하고 정량화해야 합니다.
- 장기적인 성과를 정량화하고 통제하기 위해 일련의 핵심성과지표(KPI)를 개발해야 합니다.
1.10.8. 보고
평가된 각 통제에 대한 결과를 자세히 설명하는 주요 결과 또는 지표를 임원, 규제 기관 및 기타 이해관계자에게 보고하는 공식 보고서를 작성합니다. 보고서에는 다음이 포함될 수 있습니다.
내부 감사(예: 자체 평가)
•외부 감사(예: 규제 기관 또는 기타 제3자 감사)
•조직의 위험 프로필에 중요한 변화가 있습니다.
•보안 또는 개인 정보 보호 제어에 대한 주요 변경 사항
•관련되거나 확인된 보안 침해(또는 기타 사고)
1.10.9. 지속적인 개선
위협과 취약성이 변화함에 따라 보안 프로그램은 지속적인 개선을 유지하고 통제를 강화하며 조직의 전반적인 정보 보안 태세를 개선해야 합니다. ERM(엔터프라이즈 위험 관리)은 RMM(위험 성숙도 모델)을 사용하여 성숙하고 지속 가능하며 반복 가능한 위험 관리 프로세스를 평가할 수 있습니다.
1.10.9.1 위험 성숙도 모델(RMM)
일반적으로 5가지 수준으로 구성됩니다.
. 임시(Ad Hoc): 통제력이 부족한 임시 관행을 사용합니다.
•예비: 위험 관리 프로세스를 따르려고 시도하지만 각 부서에서 독립적으로 위험 평가를 수행할 수도 있습니다.
•정의: 조직 전체에 공통 또는 표준화된 위험 프레임워크를 채택합니다.
•통합: 위험 관리 운영은 비즈니스 프로세스에 통합되어 지표를 사용하여 효율성 데이터를 수집하고 위험을 전략적 비즈니스 결정의 요소로 처리합니다.
•최적화: 단순히 외부 위협에 대응하는 것이 아니라 목표 달성을 위한 위험 관리에 집중합니다. 단순히 사고를 피하기 위한 것이 아니라 비즈니스 성공을 달성하기 위한 전략 계획을 강화합니다. 학습한 교훈을 위험 관리 프로세스에 다시 통합합니다.
1.10.10.위험 프레임워크
1.10.10.1NIST 위험 관리 프레임워크
NIST800-37Rev.2의 위험 관리 프레임워크(RMF)의 6단계:
•분류:
기밀성, 무결성 및 가용성 측면에서 조직에 대한 잠재적 영향을 기반으로 모든 정보 시스템을 분류합니다.
선택하다:
분류 및 영향을 기준으로 기본 통제 세트를 선택합니다.
•구현하다
선택한 컨트롤을 구현합니다.
•평가하다:
제어가 올바르게 구현되었는지, 계획대로 작동하는지, 예상되는 안전 요구 결과를 생성하는지 평가합니다.
•승인:
평가 후, 조직의 리더십은 위험 허용 범위 내에서 시스템을 운영하는 통제 능력과 잔여 위험 허용 여부를 기반으로 시스템 사용을 승인할지 여부를 결정합니다.
•감시 장치:
시스템이 조직의 위험 허용 범위 내에서 작동하는지 확인하기 위해 통제 효과를 지속적으로 모니터링합니다. 심각한 문제가 발견되면 주기가 1단계부터 다시 시작될 수 있습니다.
1.11. 위협 모델링 개념과 방법론을 이해하고 적용합니다.
1.11.1. 위협 모델링
1.11.1.1 위협 모델링 방법
위협 모델링을 일찍 수행할수록 비용 효율성이 높아집니다. 일반적으로 다음 세 가지 측면에서
•공격자 중심
잠재적인 공격자의 특성, 기술 세트 및 동기를 파악하고 특정 공격을 수행할 수 있는 공격자를 식별합니다. 방어 전략을 개발하십시오.
•자산 중심:
조직과 잠재적인 공격자에게 가치 있는 자산을 식별하고 공격자가 자산을 손상시킬 수 있는 방법을 평가합니다.
•소프트웨어 중심:
아키텍처 다이어그램(예: 데이터 흐름 다이어그램 또는 구성 다이어그램)을 사용하여 시스템을 표현하고, 각 구성 요소에 대한 잠재적인 공격을 평가하고, 보안 제어의 필요성, 존재 및 효과를 결정합니다.
1.11.1.2 위협 모델링 프레임워크
1.
스트라이드(마이크로소프트)
2.
PASTA(공격 시뮬레이션 및 위협 분석 프로세스)
삼.
NIST 800-154(데이터 중심 시스템의 위협 모델링에 대한 지침)
4. DREAD(손상, 복제 가능성, 악용 가능성, 영향을 받는 사용자, 발견 가능성으로 인한 취약성의 더 이상 사용되지 않는 정량적 위험 순위)
5. 기타 위협 모델링 방법
•OCTAVE: 조직의 운영 위험, 보안 제어 및 보안 기술에 중점을 둡니다.
•Trike: 위협 모델을 위험 관리 도구로 사용하는 데 중점을 둔 오픈 소스 위협 모델링 방법 및 도구입니다.
•CORAS: 오픈 소스이기도 하며 주로 UML(Unified Modeling Language)을 사용하여 프런트 엔드의 위협을 시각화합니다.
•VAST: 민첩한 개념을 활용하는 접근 방식인 시각적, 민첩하고 단순한 위협 모델링
1.11.1.3 STRIDE 상세 설명
•신원 스푸핑
공격자는 애플리케이션이나 시스템에 접근하기 위해 다른 사람의 신원을 가장하여 무단 접근 권한을 얻습니다.
•데이터 변조(Tampering with data)
공격자는 예상치 못한 또는 악의적인 결과를 유발하기 위해 응용 프로그램이나 시스템의 데이터를 변경하거나 손상시키려고 시도합니다.
•포기
공격자는 책임을 회피하거나 분쟁을 일으키기 위해 시스템에서 수행되는 특정 작업이나 거래를 거부합니다.
•정보 공개
공격자는 사용자 비밀번호, 신용 카드 정보, 회사 비밀 등을 포함하여 시스템의 기밀 정보를 훔치거나 액세스할 수 있습니다.
•서비스 거부
공격자는 시스템을 사용할 수 없게 만들거나 충돌을 일으켜 시스템에 대한 일반 사용자 액세스를 방지하거나 속도를 늦추려고 시도합니다.
•권한 승격
공격자는 응용 프로그램이나 시스템 취약성을 악용하여 일반 사용자에서 관리자 또는 기타 권한 있는 사용자로 권한을 높일 수 있습니다.
1.11.1.4 파스타 상세설명
PASTA는 비즈니스 목표와 기술 요구 사항을 결합하여 결과를 고위 경영진이 더 쉽게 이해할 수 있도록 하는 위협 모델링에 대한 위험 기반 접근 방식입니다. STRIDE와 달리 PASTA 접근 방식은 위협을 식별하고 완화하기 위한 강력한 프로세스를 제공하는 위협 식별 프레임워크입니다.
파스타 프로세스는 다음과 같은 7단계로 구성됩니다.
1. 목표 설정
조직의 전반적인 위험 허용 범위와 위험에 처할 수 있는 중요한 비즈니스 프로세스 및 자산을 더 잘 이해하기 위해 비즈니스 목표와 요구 사항이 식별됩니다.
2. 기술 범위 결정
공격에 취약할 수 있는 시스템과 구성 요소를 이해하기 위해 기술 범위와 애플리케이션 아키텍처를 정의합니다.
3. 애플리케이션 분해
애플리케이션은 각 구성 요소의 기능, 데이터 흐름 및
4. 위협 분석
그리고 다른 구성요소와의 관계. 이는 가능한 공격 경로와 잠재적인 위협을 식별하는 데 도움이 됩니다. 내부 및 외부 위협을 포함하여 조직에 영향을 미칠 수 있는 위협을 분석합니다. 여기에는 잠재적인 공격자, 그들의 동기와 능력, 가능한 공격 수단을 식별하는 것이 포함될 수 있습니다.
5. 취약점 분석
시스템의 취약성 분석을 수행하여 잠재적인 약점과 보안 취약성을 식별합니다. 여기에는 보안 문제를 찾아 수정하기 위한 코드 검토, 침투 테스트 및 기타 보안 평가 방법이 포함될 수 있습니다.
6. 공격 열거
이전 분석에 따르면 Lieyang이 시스템을 공격할 수도 있습니다. 이는 공격자가 악용할 수 있는 공격 벡터와 경로를 더 잘 이해하는 데 도움이 됩니다.
7. 위험 및 영향 분석
각 잠재적 위협의 위험과 영향을 평가하여 적절한 완화 조치와 보안 정책의 우선순위를 정하고 개발합니다. 이를 통해 조직은 위험을 완화하면서 리소스를 효과적으로 할당하고 중점 영역에 집중할 수 있습니다.
1.12 공급망 위험 관리(SCRM) 개념 적용
1.12.1. 하드웨어, 소프트웨어 및 서비스와 관련된 위험
공급업체는 조직의 정보 기술 운영에서 중요한 역할을 합니다. 하드웨어, 소프트웨어 또는 클라우드 컴퓨팅 서비스를 제공함으로써 고객의 공장 서비스에 없어서는 안될 요소입니다. 보안 전문가는 조직의 정보 및 시스템의 기밀성, 무결성 및 가용성을 보호하기 위해 공급업체와의 비즈니스 파트너십에 세심한 주의를 기울여야 합니다. 공급업체 실사라고 하는 이 프로세스는 하드웨어 조달과 관련된 문제를 회피하도록 설계되었습니다. 소프트웨어 및 서비스와 관련된 위험.
1.12.1.1 하드웨어의 가능한 위험:
결함이 있는 부품이나 규격에 맞지 않는 부품의 이미지
위조 또는 위조 부품
펌웨어 수준 악성 코드가 포함된 전자 구성 요소 이미지
1.12.1.2 소프트웨어의 가능한 위험:
트로이 목마가 이식되었습니다.
사용된 구성 요소 라이브러리에 취약점이 있습니다.
1.12.1.3 서비스에서 발생할 수 있는 위험:
데이터 유출
1.12.2. 제3자 평가 및 모니터링
거버넌스 및 감독 활동에는 현장 보안 조사, 제3자 시스템에 대한 공식 보안 감사, 가능한 경우 침투 테스트가 포함되어야 합니다. 새로운 타사 파트너의 경우 조직의 보안 요구 사항을 기준으로 평가하는 것이 중요하며, 격차를 문서화하고 면밀히 모니터링해야 합니다.
1.12.3.최소 보안 요구사항
기준과 마찬가지로 조직은 공급업체와 공급망의 기타 참가자가 충족해야 하는 최소 허용 보안 표준을 결정하기 위해 최소 보안 요구 사항(MSRS)을 설정해야 합니다.
MSRS는 해당하는 모든 법적, 계약 또는 규제 요구 사항을 다룹니다. 동시에 확립되고 전달된 MSRS를 준수하는 제3자의 성과를 감사하고 평가하는 것이 중요합니다.
1.12.4. 서비스 수준 요구사항
서비스 수준 계약(SLA)은 서비스 공급자가 다음과 같은 특정 수준의 서비스를 보장하도록 규정하는 계약상 계약입니다.
성능 지표, 서비스 가용성, 응답 시간 및 기타 관련 품질 기준. 서비스가 합의된 수준으로 제공되지 않으면 서비스 제공자에게 결과(보통 재정적)가 발생합니다.
1.12.5.프레임워크
1.12.5.1 공급망 위험을 해결하기 위한 프레임워크:
1.NIST IR 7622
이 문서에서는 공급망 위험을 처리할 때 고려해야 할 10가지 주요 관행을 간략하게 설명합니다.
2.ISO 28000
15028000.2007 안전 관리 시스템을 최적화하고 조직의 안전 관행 준수를 보장하기 위해 주로 PDCA(Plan-Do-Check-Act)를 기반으로 하는 프로세스 개선 모델입니다.
3. 영국 국립사이버보안센터(NCSC) 지침
4단계로 구분(12개 원칙 포함)
•위험 평가
•통제 확립
•기존 약정 확인
•계속 개선하다
1.13. 보안 인식, 교육 및 훈련 프로그램을 수립하고 유지합니다.
1.13.1. 인식 및 훈련 방법과 기법을 제안한다.
보안 인식 프로그램은 일반적으로 신입 사원 교육, 강의, 컴퓨터 지원 교육 및 인쇄 자료를 포함하고 사회 공학 시뮬레이션, 보안을 통해 조직의 정보 및 시스템에 대한 잠재적인 위협을 식별하고 대응하도록 사용자를 교육하기 위해 설계된 공식 프로그램입니다. 지지자들과 게임화를 통해 중요한 안전 문제에 대한 관심을 높입니다.
1.13.1.1 사회 공학
사회 공학은 공격자가 민감한 정보를 얻기 위해 다른 사람인 것처럼 가장하는 조작 전술입니다.
피싱은 사회 공학의 가장 일반적인 형태이자 보안 위험의 주요 원인입니다.
1.13.1.2 경비원
안전 챔피언은 안전 모범 사례를 옹호하는 사람으로, 안전을 주요 업무로 삼지 않는 직원입니다.
1.13.1.3 게임화
게이미피케이션(Gamification)은 게임이 아닌 상황에 게임 요소를 적용하여 대상 고객의 참여를 유도하고 교육하는 것입니다.
1.13.2. 정기 콘텐츠 검토
정보 보안은 위협과 취약점이 끊임없이 변화하는 진화하는 분야입니다. 따라서 콘텐츠의 관련성을 보장하려면 안전 인식, 교육 및 훈련 프로그램의 콘텐츠를 정기적으로 검토하고 업데이트해야 합니다. 오래되거나 관련 없는 기술 및 용어를 피하기 위해 최소한 매년 검토하고 업데이트하는 것이 좋습니다.
1.13.3. 프로그램 효과성 평가
1.13.3.1 훈련 지표
교육 완료율, 참가자 수 및 기타 간략한 지표 등이 있습니다.
1.13.3.2 퀴즈
퀴즈는 훈련의 효과를 평가하는 효과적인 방법입니다.
1.13.3.3 보안 인식의 날
보안 인식의 날은 익명의 설문지를 통해 보안 프로그램에 대한 직원의 의견과 제안을 수집하는 동시에 보안 인식을 높이기 위해 고안되었습니다.
1.13.3.4 내부 평가
평가 방법에는 교육 후 보안 사고 수의 증가 또는 감소 또는 보고된 피싱 의심 사고 수의 수집이 포함됩니다.
주요 연습
귀하는 조직의 보안 인식 프로그램에 대한 책임이 있습니다. 기술 변화로 인해 콘텐츠가 쓸모 없게 될 수 있으므로 이러한 위험을 방지하기 위해 어떤 통제 조치를 취할 수 있습니까? 게임화 B 컴퓨터 기반 교육 C 콘텐츠 검토 D 교육 실시
정답: C 교과서 1권 P76 유효성 평가
Froneme-은 미국 온라인 서비스 제공업체의 보안 전문가입니다. 그녀는 최근 자신의 서비스에 제3자의 저작권을 침해하는 정보를 저장한 저작권 소유자로부터 불만 사항을 접수했습니다. 프랜신이 취해야 하는 조치를 규정하는 법은 무엇입니까? 가. 저작권법 B. 램의 법칙 다. 디지털 밀레니엄 저작권법 D. Gramm-Leach-Bulley 법
정답: C P115 저작권 및 디지털 밀레니엄 저작권법, 각 법률의 상세 명칭을 기억해야 합니다.
지금 질문 하나만요
FyAway Travel은 유럽 연합(EU)과 미국에 사무소를 두고 있으며 이러한 사무소 간에 개인 정보를 자주 전송합니다. 그들은 최근 EU 고객으로부터 계정을 종료해 달라는 요청을 받았습니다. 일반 데이터 보호 규정(GDPR)에 따른 개인 정보 처리에 대한 요구 사항은 개인이 자신의 데이터가 더 이상 유포되거나 처리되지 않도록 요청할 수 있다고 규정하고 있습니까? 가. 접근권한 B. 개인정보 보호 설계 다. 잊혀질 권리 D. 데이터 이동성에 대한 권리
정답: C 찾지 못했다
Remee는 이사회에서 사이버 보안 통제 검토에 대한 책임을 설명하고 있으며, 이 규칙에 따라 고위 경영진은 정보 보안 문제에 대해 개인적으로 책임을 집니다. A. 실사 규칙 B.개인 책임 규칙 C.신중한 사람의 통치 D. 적법절차 규칙
정답: C 찾지 못했다 신중한 사람의 규칙은 고위 관리자에게 일상 업무에서 적절한 주의가 유지되도록 하는 책임을 부여합니다.
Zhang San은 최근 CISSP 시험 준비를 위해 동료를 도왔습니다. 이 과정에서 Zhang San은 윤리 기준: 직업 발전 및 보호 제4조를 위반하여 시험에 대한 기밀 정보를 유출했습니다. A 누구나 고소할 수 있습니다. B 자격증이나 자격증을 보유한 전문가라면 누구나 고소를 제기할 수 있습니다. C 오직 Zhang San의 고용주만이 고소할 수 있습니다. D 영향을 받은 직원만이 푸시백을 제출할 수 있습니다.
정답: B 찾지 못했다
Yolanda는 금융 기관의 최고 개인 정보 보호 책임자이며 고객 당좌 예금 계좌와 관련된 개인 및 공공 요구 사항을 조사하고 있습니다. 다음 중 이 상황에 적용될 가능성이 가장 높은 법률은 무엇입니까? AGLBA법 B. SOX법 C.HIPAA법 D.FERPA법
정답: A 찾지 못했다 신중한 사람의 규칙은 고위 관리자에게 일상 업무에서 적절한 주의가 유지되도록 하는 책임을 부여합니다.
수출 통제법 및 규정을 유발하기 위해 수출될 가능성이 가장 높은 기술은 무엇입니까? 가. 메모리칩 B. 사무용 프로덕션 애플리케이션 C 하드 드라이브 D 암호화 소프트웨어
정답 : D P119
비즈니스 연속성 계획 노력을 완료하고 위험 중 하나를 수용하기로 결정한 후에는 다음으로 보고해야 합니다. 무엇? A 위험 수준을 낮추기 위해 새로운 보안 제어를 구현합니다. B 재해 복구 계획을 설계합니다. 다. 사업영향평가를 재수행한다. D 의사결정 과정을 문서화하세요.
정답 : D
조직의 미디어 저장 시설에서 사용되는 통제를 검토할 때 현재 시행 중인 각 통제를 적절하게 분류하려고 합니다. 다음 중 시설 주변의 울타리를 정확하게 설명하는 제어 범주는 무엇입니까? (해당되는 모든 것들을 고르세요.) 가. 물리적 통제 B. 탐지 제어 다. 억제통제 D. 예방적 관리
정답 : ACD
다음 중 어떤 원칙이 합리적인 사람이 특정 상황에서 기대할 수 있는 수준의 진료 표준을 개인에게 부과합니까? A. 실사 나. 업무분장 C. 적절한 주의 D. 최소 권한
정답: C
Kelly는 직원이 승인 없이 부차적인 프로젝트에 컴퓨팅 리소스를 사용했다고 믿습니다. 관리와 함께 무엇? 협의 끝에 그녀는 행정 조사를 시작하기로 결정했습니다. 이번 조사에서 그녀가 감당해야 할 입증책임은 다음과 같다. 가. 증거의 우세 B. 합리적인 의심의 여지가 없습니다. 다. 의심의 여지가 없다 D. 기준이 없다
정답 : D 행정조사는 민사, 형사, 행정법이 아니어서 기준이 없다.
Keenan Systems는 최근 새로운 마이크로프로세서 제조 공정을 개발했습니다. 회사는 해당 기술을 다른 회사에 라이센스하기를 원하지만 해당 기술의 무단 사용을 방지하려고 합니다. 이 세금 상황에 가장 적합한 지적재산권 보호 유형은 무엇입니까? 가.특허 나. 영업비밀 다.저작권 D. 상표
정답: A
Wike는 최근 조직에 대한 일반적인 사이버 공격을 방지하는 데 영향을 미치는 침입 방지 시스템을 구현했습니다. Mike는 어떤 유형의 위험 관리 전략을 추구하고 있나요? A. 위험 수용 B. 위험 회피 C. 위험 완화 D. 위험 이전
씨
Carl은 컴퓨터 범죄를 수사하는 연방 요원입니다. 그는 불법 행위에 연루된 공격자를 식별하고 해당 개인을 상대로 징역형을 선고받을 수 있는 소송을 제기하기를 원했습니다. Carl은 어떤 입증 표준을 충족해야 합니까? A. 의심의 여지가 없습니다 나. 증거의 우세 C. 합리적인 의심을 넘어서 D. 증거의 우세
씨
전자 거래에 참여하는 다음 조직에는 HIPAA의 개인 정보 보호 및 보안 요구 사항이 자동으로 적용되지 않습니다. 의료 서비스 제공자 B 건강 및 피트니스 앱 개발자 C 건강정보정보센터 D 건강 보험 플랜
비 개인 의료 정보를 처리하거나 저장하는 병원, 의사, 보험 회사 및 기타 조직이 필요합니다. 프로그램 개발자 없음
Acme Bridges는 회계 부서를 위한 새로운 제어 장치를 개발하고 있습니다. 경영진은 비뚤어진 회계법인이 허위 공급업체를 만들어 수행되지 않은 서비스에 대한 대가로 해당 공급업체에 수표를 발행할 수 있다는 점을 우려했습니다. 어떤 보안 제어가 이러한 일이 발생하는 것을 방지하는 데 가장 도움이 됩니까? 가. 강제휴가 나. 업무분장 C. 심층 방어 D. 직무순환
ㅏ P35
다음 중 데이터 무결성 확인, 프로비저닝 테스트, 보안 정책 관리 등 고위 경영진이 위임한 운영 데이터 보호 책임을 수행하는 책임을 맡은 개인은 일반적으로 누구입니까? 가. 데이터 키퍼 나. 데이터 소유자 C.사용자 라. 감사인
ㅏ P157
Alan은 전자상거래 회사에서 근무하고 있으며 최근 다른 웹사이트에서 일부 콘텐츠를 훔쳐 허가 없이 다시 게시했습니다. 폴리시드 유형의 지적재산권 보호는 Alen의 회사 수입을 보호하는 가장 좋은 방법입니다. A. 영업비밀 나. 저작권 다. 상표 D.특허
비
Tom은 다양한 유형의 애플리케이션 공격을 방지하도록 설계된 클라우드 인프라 서비스 제공업체의 애플리케이션 방화벽을 활성화했습니다. 위험 관리 관점에서 Tom은 이 대책을 통해 어떤 지표를 줄이려고 합니까? A.영향력 나. RPO 다. MTO D. 가능성
디
인사 전문가인 Beth는 직원 해고를 지원하기 위해 준비하고 있습니다. 다음은 일반적으로 해고 프로세스의 일부가 아닌 몇 가지 사항입니다. A 퇴사 인터뷰 B 재산회복 C 계정 해지 D NCA(비경쟁 계약)에 서명합니다.
디
두리틀 인더스트리(Doolittle Industries)의 회계사무원이 최근 횡령 계획에 연루된 혐의로 체포되었습니다. 해당 직원은 디지털 사기 사건을 은폐하기 위해 몇 달 동안 전쟁 자금을 개인 계좌로 이체한 뒤 매일 다른 계좌 간에 자금을 이체했습니다. 다음 중 이 사기 행위를 사전에 가장 잘 감지할 수 있는 통제 수단은 무엇입니까? 업무의 분리 B. 최소 권한 C 수비깊이 D 강제휴가
디
조직에서 초기 비즈니스 연속성 계획 교육을 받아야 하는 사람은 누구입니까? A. 고위 간부 B. 특정 비즈니스 연속성 역할을 담당하는 인력 C. 조직의 모든 사람 D. 응급처치요원
씨
James는 조직에 대한 위험 평가를 수행하고 데이터 센터의 서버에 자산 가치를 할당하려고 합니다. 조직의 주요 관심사는 데이터 센터가 손상되거나 파괴되는 경우 재건을 위해 충분한 자금을 확보하는 것입니다. 이 상황에서 다음 자산 평가 방법 중 가장 적절한 것은 무엇입니까? 가. 구매비용 나. 감가상각비 다. 교체비용 D.기회비용
씨
Roger의 조직은 고객 신용카드 기록이 유출되는 피해를 입었습니다. 다음 중 PCIDSS 조건에 따라 이 문제를 조사하기로 선택할 수 있는 조직은 무엇입니까? A. 연방수사국(FBI) B. 현지 법 집행 기관 C은행 D PCI SSC
씨
John은 보안 인식 프로그램을 지원하기 위해 각 사업부의 주요 직원을 초대했습니다. 그들은 동료들과 보안 정보를 공유하고 사이버 보안과 관련된 질문에 답할 책임이 있습니다. 이 관계를 가장 잘 설명하는 용어는 무엇입니까? 안전 챔피언 ㄴ 보안 전문가 다. 여행잔류 D. 동료 검토
ㅏ
Silanco는 회사 CEO의 노트북에 숨겨진 키로거를 발견했습니다. 키패드가 훼손되도록 설계되었을 가능성이 가장 높은 정보 보안 원칙은 무엇입니까? 기밀 유지 나. 완전성 다. 가용성 D. 거부
ㅏ
Alice는 조직이 새로운 클라우드 기반 HR 관리를 평가하고 채택할 준비를 하도록 돕고 있습니다. (HRM)) 시스템 제공자. 가능한 공급업체의 요구 사항에 가장 적합한 최소 보안 표준은 무엇입니까? A 모든 법률 및 규정을 준수합니다. 나. 기관과 동일하게 정보를 처리합니다. 씨. 식별된 모든 보안 위험 제거 D. 공급업체 자체 정책을 준수합니다.
비
.HAL Systems는 최근 NTP 서버가 대규모 DDOS 공격을 증폭시키는 데 사용될 수 있다는 우려로 인해 공용 NTP 서비스 제공을 중단하기로 결정했습니다. HAL은 NTP 서비스에 어떤 유형의 위험 관리 접근 방식을 채택했습니까? A. 위험 완화 B. 위험 수용 다.위험전가 D. 위험 회피
디 위험 대응 방법인 위험 회피는 위험의 영향으로부터 대상을 보호하기 위한 계획의 변경을 통해 위험이나 위험 발생 조건을 제거하는 것을 의미합니다. 위험 회피는 위험을 완전히 제거하는 것을 의미하지 않습니다. 우리가 피하고 싶은 것은 위험으로 인해 발생할 수 있는 손실입니다. 위험 완화, 즉 위험 손실을 통제하는 것은 손실 가능성을 줄여 손실 정도를 줄이는 것입니다. 위험 발생 확률을 줄이고, 위험 발생으로 인한 결과를 완화하며, 위험 심각도를 허용 가능한 수준으로 낮추는 조치를 채택합니다.
다음 중 조직의 비상 대응 지침에 포함되어야 하는 구성 요소는 무엇입니까? 가. 통보를 받아야 할 응급요원 목록 나. 장기 사업 연속성 계약 C 콜드 대기 사이트 구성 프로세스를 시작합니다. D 장비 주문을 위한 연락처 정보
ㅏ 비상 대응 가이드: 1. 해당 절차 2. 사건을 통보받은 자의 명단(임원, BCP 회원) 3. BCP팀 집합을 기다리는 동안 최초 대응자를 위한 2차 대응 절차
Becka는 재해 발생 시 회사에 공간을 제공하기 위해 최근 백업 데이터 처리 시설과 계약을 체결했습니다. 이 시설에는 HVAC, 전기 및 통신 회로가 포함되어 있지만 예비 부품 장비는 없습니다. Becka는 어떤 유형의 시설을 사용하나요? 콜드 대기 사이트 B. 웜 스탠바이 사이트 C 상시 대기 사이트 D 모바일 백업 사이트
ㅏ
Greg의 회사는 최근 많은 고객의 개인 데이터와 관련된 대규모 데이터 침해를 경험했습니다. 적절한 조치가 취해지도록 하려면 어떤 위반 규정을 검토해야 합니까? A 본사가 위치한 주의 공시 규정. B. 사업을 수행하는 주의 공개 규정. C. 연방 공개 규정에만 해당됩니다. D. 위반 규정은 민간 기업이 아닌 정부 기관에만 적용됩니다.
비
Ben은 전 세계적으로 널리 수용되고 정보 보안 제어에 초점을 맞춘 제어 목표 프레임워크를 찾고 있습니다. 다음 프레임워크 중 그의 요구 사항을 충족하는 데 가장 적합한 프레임워크는 무엇입니까? A.ITIL 나. ISO 27002 C CMM D PMBOK
비 CMM과 RMM 간의 혼란
ISC2의 윤리 강령은 모든 cissP 인증 직원에게 적용됩니다. 다음 중 기준이 아닌 것은? ?의 네 가지 필수 코드 중 하나입니다. A. 사회, 공익, 필요한 공적 신뢰 및 인프라를 보호합니다. B. 개인 정보 보호, 신뢰 및 윤리 위반에 대한 공개. C 고객에게 성실하고 유능한 서비스를 제공합니다. D. 직업을 발전시키고 보호합니다.
비
조직이 가능할 때마다 중복되는 보안 제어를 구현해야 한다고 명시하는 정보 보안 원칙은 무엇입니까? A 최소 권한의 원칙 나 업무분장 C. 심층 방어 D. 난독화를 통한 보안
씨
Ryan은 비영리 조직에서 일하는 CIssP 인증 사이버 보안 전문가입니다. 다음 중 그의 직업에 적용되는 윤리적 의무는 무엇입니까? (해당되는 모든 것들을 고르세요) A.(SC)2 윤리강령 나. 조직 윤리강령 C. 연방윤리강령 D. RFC 1087
AB
Ben은 데이터베이스에 저장된 결제 카드 정보의 보안을 보호할 책임이 있습니다. 정책에 따라 데이터베이스에서 정보를 강제로 삭제해야 했지만 운영상의 이유로 그렇게 할 수 없었습니다. 그는 정책에 대한 예외를 획득했으며 위험을 완화하기 위해 적절한 보상 통제를 찾고 있습니다. 그의 최선의 선택은 무엇입니까? 가. 보험가입 B. 데이터베이스 콘텐츠 암호화 다. 데이터 삭제 D. 예외 반대
비
온라인 뱅킹 개발자로서 Lisa는 테스트 및 검토를 위해 코드를 제출해야 했습니다. 이 과정을 거쳐 승인을 받은 후 다른 직원이 코드를 프로덕션으로 옮깁니다. 이 약어는 어떤 종류의 보안 관리를 설명합니까? A. 회귀 테스트 B. 코드 검토 다.변경관리 D. 퍼즈 테스트
씨
다음 중 채용 전 심사 과정에 일반적으로 포함되지 않는 것은 무엇입니까? A. 약물 테스트 B. 신원조사 C. 소셜 미디어 검열 D. 건강 평가
디 P34 기술챌린지, 약물검사, 신용조회, 운전기록조회 및 인성검사/평가
다음 중 일반적으로 공급망 위험으로 간주되는 것은 무엇입니까? (해당되는 모든 것들을 고르세요.) A. 최종 고객에게 배송되기 전에 악의적인 하드웨어 변조 B. 공격자는 LAAS 환경에서 실행되는 조직의 웹 서버를 손상시킵니다. C 공격자는 소셜 엔지니어링 공격을 사용하여 ompromisoa Saas 공급업체의 직원을 표적으로 삼아 고객 계정에 액세스했습니다. D 공격자는 봇넷을 사용하여 서비스 거부 공격을 수행합니다.
교류