정보보안기사 필기 독학 / 정보보안 관리 및 법규 / 1. 정보보호 위험 평가
위험 대응 전략
- 위험 수용 : 위험을 받아들이고 비용을 감수합니다.
- 위험 감소 : 위험을 감소시킬 수 있는 대책을 채택하여 구현합니다. => 솔루션 구매
- 위험 회피 : 위험이 존재하는 프로세스나 사업을 포기합니다.
- 위험 전가 : 잠재적 비용을 제3자에게 이전하거나 할당합니다. => 보험, 외주
위험분석 기법
- 기준선 접근법(Base Line Approach) : 모든 시스템에 대하여 보호으 기준 수준을 정하고 이를 달성하기 위하여 일련의 보호 대책을 선택하고, 시간 및 비용이 적고 모든 조직에서 기본적으로 필요한 보호 대책 선택이 가능합니다.
- 전문가 판단(Informal Approach) - 델파이법 : 정형화된 방법을 사용하지 않고 전문가의 지식과 경험에 따라서 위험을 분석합니다. 위험 분석을 짧은 기간에 도출할 수 있어 시간과 비용을 절약할 수 있지만, 추정의 정확도가 낮습니다.
- 상세위험분석(Detailed Risk Analysis) : 자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 분석하는 것을 말합니다.
- 확률분포법 : 미지의 사건을 추정하는 데 사용되는 방법입니다.
- 시나리오법 : 그 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에서 위협에 대한 발생 가능한 결과를 추정하는 방법입니다.
관련 문제
14회 다음 지문에 해당하는 위험관리 방법으로 옳은 것은?2
정보보호 점검 과정에서 기업내 자료 전송간 유출 위험이 탐지되었다. 이에 암호화 솔루션을 구매하여 전송 구간을 암호화하였다.
①위험 수용
②위험 감소
③위험 회피
④위험 전가
12회 10회 도출된 위험이 해당 사업에 심각한 영향을 주는 관계로 보험에 가입하였다.
이런 식으로 위험을 경감 또는 완화시키는 처리 유형은 무엇인가?2
① 위험 감소(reduction)
② 위험 전가(transfer)
③ 위험 수용(acceptance)
④ 위험 회피(avoidance)
11회 현재 존재하는 위험이 조직에서 수용할 수 있는 수준을 넘어 선다면, 이 위험을 어떤 방식으로든 처리해야 된다. 다음의 지문이 설명하고 있는 위험 처리 방식은?4
[보기]
보험이나 외주 등으로 위험 처리에 소요될 잠재적 비용을 제 3자에게 이전하거나 할당하는 위험처리방식
① 위험 수용
② 위험 감소
③ 위험 회피
④ 위험 전가
14회 다음 중 정량적 위험분석 기법으로 보기 어려운 것은?4
①과거자료분석법
②수학공식접근법
③확률분포법
④델파이법
12회 위험분석 방법론으로 적절히 짝지은 것은?2
[보기]
가 :그 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에서 위협에 대한 발생 가능한 결과를 추정하는 방법
나: 시스템에 관한 전문적인 지식을 가진 전문가 집단을 구성하고 위협을 분석 및 평가하여 정보시스템이 직면한 다양 한 위협과 취약성을 토론을 통해 분석하는 방법
① 가:확률분포법 나: 순위결정법
② 가:시나리오법 나:델파이법
③ 가:델파이법 나:확률분포법
④ 가:순위결정법 나:시나리오법
12회 다음 지문이 설명하는 위험분석방법론은?3
[보기]
- 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법이다.
- 위험 분석을 짧은 기간에 도출할 수 있어 시간과 비용을 절약할 수 있지만, 추정의 정확도가 낮다.
① 과거자료 분석법
② 확률 분포법
③ 델파이법
④ 시나리오법
12회 9회 위험분석 방법론으로 적절히 짝지은 것은?2
[보기]
가 :그 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에서 위협에 대한 발생 가능한 결과를 추정하는 방법
나: 시스템에 관한 전문적인 지식을 가진 전문가 집단을 구성하고 위협을 분석 및 평가하여 정보시스템이 직면한 다양 한 위협과 취약성을 토론을 통해 분석하는 방법
① 가:확률분포법 나: 순위결정법
② 가:시나리오법 나:델파이법
③ 가:델파이법 나:확률분포법
④ 가:순위결정법 나:시나리오법
12회 8회 다음 지문이 설명하는 위험분석방법론은?3
[보기]
- 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고 위험을 분석 및 평가하여 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법이다.
- 위험 분석을 짧은 기간에 도출할 수 있어 시간과 비용을 절약할 수 있지만, 추정의 정확도가 낮다.
① 과거자료 분석법
② 확률 분포법
③ 델파이법
④ 시나리오법
11회 다음 보기가 설명하는 위험분석 방법은?4
[보기]
- 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건 하에 위협에 대한 발생 가능한 결과들을 추정하
는 방법 - 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고
위험분석과 관리층 간의 원활한 의사소통을 가능하게 한 다. 그러나 발생 가능한 사건의 이론적인 추측에 불과하고 정확도, 완성도, 이용기술의 수준 등이 낮을 수 있음.
① 과거자료 분석법
② 확률 분포법
③ 델파이법
④ 시나리오법
9회 정량적 위험분석 기법에 해당하는 것은?4
① 델파이법
② 시나리오법
③ 순위결정법
④ 확률분포법
14회 다음 중 자동화된 위험분석도구의 특성으로 볼 수 없는 것은?3
①일반적인 위험 분석 요구사항과 절차를 자동화한 도구를 말한다.
②인력만으로 분석하는 것에 비해 시간과 비용을 감소시킬 수 있다.
③인적 분석에 비해 실수로 인한 오차 줄일수 있어 신뢰도가 높다.
④분석에 필요한 입력값을 정확히 넣지 않으면 잘못된 결과가 도출된다.
10회 다음 중 위험 분석에 포함된 핵심 개념이 아닌 것은?4
① 자산
② 위협
③ 취약점
④ 손실
10회 8회 정량적 위험 분석과 정성적 위험 분석에 대한 다음의 설명 중 틀린 것은?4
① 정량적 분석은 객관적인 평가 기준이 적용된다.
② 정량적 분석은 위험 관리 성능 평가가 용이하다.
③ 정성적 분석은 계산에 대한 노력이 적게 소요된다.
④ 정성적 분석은 비용과 이익에 대한 평가가 필수적으로 요구된다.
10회 다음은 위험 분석 방법과 이에 대한 설명이다. 잘못 설명 된 것은?4
① 과거 자료 분석법은 과거의 자료를 통해 위험 발생 가능성을 예측하는 방법이다.
② 확률 분포법은 미지의 사건을 추정하는 데 사용되는 방법이다.
③ 시나리오법은 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위험에 대한 발생 가능한 결과 등을 추정하는 방법이다.
④ 순위결정법은 전문적인 지석을 가진 전문가 집단을 구성하여 다양한 위험과 취약성을 토론을 통해 분석하는 기법이다.
7회 95. 위험분석 방법론은 통상적으로 정량적 위험분석과 정성적 위험분석으로 분류된다. 다음 중 정량적 위험분석 방법이 아닌 것은?4
① 연간예상손실 계산법
② 과거 통계자료 분석법
③ 수학공식 접근법
④ 시나리오 기반 분석법
6회 다음은 위험 분석 방법론에 대한 설명이다. 올바르지 못한 것은?3
① 과거 자료 분석법 : 과거 자료를 통하여 위험 발생 가능성을 예측
② 수학 공식 접근법 : 위험 발생 빈도를 계산하는 식을 이용하여 계량화
③ 우선 순위법 : 전문가 집단을 이용한 설문 조사를 통한 조사 방법
④ 시나리오법 : 특정 시나리오를 통해 발생 가능한 위협에 대해 결과를 도출해 내는 방법
6회 다음의〈보기〉에서 설명하는 위험 분석 접근법은 무엇인가?3
자산 분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 분석하는 것을 말한다.
① 베이스 라인 접근법
② 비정형 접근법
③ 상세 위험 분석
④ 혼합 접근법
6회 다음 중 위험 통제 시점에 따라 통제 구분에 포함되지 않는 것은?3
①예방통제 ②탐지통제
③교정 통제 ④ 잔류 위험
14회 다음 중 위험의 3요소에 해당하지 않는 것은?4
①자산
②취약점
③위협
④정책
11회 위험관리 절차를 순서대로 배열한 것은?2
[보기]
㉠ 자산식별
㉡ 정보보호계획 수립
㉢ 정보보호대책 수립
㉣ 위험 분석 및 평가
㉤ 주기적 재검토
① ㉠ - ㉡ - ㉢ - ㉣ - ㉤
② ㉠ - ㉣ - ㉢ - ㉡ - ㉤
③ ㉠ - ㉡ - ㉣ - ㉢ - ㉤
④ ㉠ - ㉣ - ㉡ - ㉢ - ㉤
10회 위험관리에 대한 설명으로 적절하지 않은 것은? 3
① 정보보호를 위한 기술적, 관리적, 물리적 분야 등에 다양한 측면으로 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의한다.
② 조직의 위험을 식별하고 이에 대한 적절한 보호 대책을 수립하기 위하여 정기 또는 수시로 위험에 대처할 수 있도록 위험관리 계획을 수립한다.
③ 위험관리 수행 인력은 위험관리 방법, 조직의 업무 및 시스템에 대한 전문성을 갖춘 내부인력만으로 위험관리를 수행한다.
④ 위험관리 방법론은 베이스라인 접근법, 복합 접근법 등의 다양한 조직에 적합한 방법을 찾을 때까지 위험관리 방법론을 개선할 수 있다.
10회 위험 분석이 방법론 및 관련 사항에 대해 맞게 설명한 것은?3
① 복합적 접근법: 기준선 접근법, 상세(세부적) 위험 접근법, 전문가 판단법을 병행 활용
② 정성적 위험 분석: 델파이법, 시나리오법, 순위결정법, 연간예상손실(ALE)
③ 정량적 위험 분석: 수학공식 접근법, 확률 분포 추정법, 과거 자료 분석(접근)법
④ 전문가 판단법(informal approach): 큰 조직에 적합
8회 위험관리의 개념에서 위험 완화 방법에 대한 설명으로 옳지 않은 것은?1
① 회피(avoidance)는 특정 위험으로부터의 손실 부담 또는 위험 획득을 수용하는 것이다.
② 이전(transfer)은 잠재적 비용을 제3자에게 이전 히커나 할당하는 것이다,
⑤ 감소(reduction)는 위힘을 감소시킬 수 있는 대책을 채택하여 구현하는 것이다.
④ 수용(acceptance)은 위험을 받아들이고 비용을 감수하는 것이다.
7회 다음 중 위험관리 방법론과 가장 거리가 먼 것은?4
① 국내 ISMS 인증체제
② ISO/IEC 27001
③ ISO/IEC TR 13335-3
④ ISO/IEC 15408
7회 다음 중 위험도 산정 시 고려할 구성요소가 아닌 것은?4
① 자산 (Asset)
② 위협 (Threat)
③ 취약성 (Vulnerability)
④ 직원(Employee)
'자격증 > 정보보안기사' 카테고리의 다른 글
정보보안기사 필기 독학 / 정보보안 관리 및 법규 / 3. 개인정보보호법 (0) | 2020.10.01 |
---|---|
정보보안기사 필기 독학 / 정보보안 관리 및 법규 / 2. 정보보호 관리 및 대책, ISMS-P (0) | 2020.09.30 |
정보보안기사 필기 독학 / 정보보안 일반 / 8. 전자서명, PKI, X.509 (0) | 2020.09.26 |
정보보안기사 필기 독학 / 정보보안 일반 / 7. 암호분석 공격, 블록 암호 공격 (0) | 2020.09.25 |
정보보안기사 필기 독학 / 정보보안 일반 / 6. 해시함수, 암호화 (0) | 2020.09.25 |