해커를 꿈꾸는 개발자

정보보안기사 실기 / 2. 정보보호 위험 평가 - 정보보안 관리 및 법규

위험관리 구성

1) 자산(Asset) : 조직에 가치가 있는 자원들입니다. 

2) 위험(Risk) : 위협, 취약점을 이용하여 조직의 자산에 손실, 피해를 가져올 가능성입니다. 

3) 위협(Threat) : 조직, 기업의 자산에 악영향을 끼칠 수 있는 조건, 사건, 행위입니다. 

4) 취약점(Vulnerability) : 위협이 발생하기 위한 조건 및 상황입니다. 

5) 위험관리 : 조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위해 비용대비 효과적인 보호대책을 마련하는 일련의 과정입니다.

6) 위험분석 : 조직은 정보자산의 식별 후에 식별된 정보자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 식별하고 분류하여야 하며, 이 정보자산의 가치와 위험을 고려하여 잠재적 손실에 대한 영향을 식별 분석해야 합니다.

7) 험대응 : 위헙에 대응하여 자산을 보호하기 위한 물리적, 기술적, 관리적 대응책을 말합니다.

위험분석 기법

1) 기준선 접근법(Base Line Approach)

국내외 표준이나 법령, 가이드 등을 기준으로 최소한의 기준 수준을 정합니다. 조직에서 공통적으로 필요한 보호 대책을 정할 수 있어 시간 및 비용이 절약되지만 조직의 특성이 미반영되어 적정 보안 수준 초과 또는 미달될 가능성도 있습니다.

2) 전문가 판단(Informal Approach) 또는 비정형 접근법

구조적인 방법론에 기반하지 않고 경험자의 지식을 사용하여 위험분석을 수행합니다.

3) 상세위험분석(Detailed Risk Analysis)

정립된 모델에 기초하여 자산분석, 위협분석, 취약성분석 각 단계를 수행하여 위험을 평가합니다.

4) 복합적 접근법(Combined Approach)

비용과 자원을 효율적으로 사용할 수 있음. 고위험 영역을 빠르게 식별이 가능하지만, 고위험 영역이 잘못 식별되었을 경우, 위험분석 비용이 낭비되거나 부적절하게 대응될 수 있는 단점이 있습니다.

정량적 위험분석 / 정성적 위험분석

1) 정성적 위험분석 방법: 델파이법, 시나리오법, 순위결정법

2) 정량적 위험분석 방법: 몬테카를로 시뮬레이션, 의사결정 나무 분석, 과거자료 분석, 수학공식 접근, 확률분포법

3) 확률분포법 :미지의 사건을 추정하는 데 사용되는 방법입니다. 확률적 편차를 이용하여 최저, 보통, 최고의 위험평가를 예측할 수 있습니다. 

4) 시나리오법 : 델파이 기법과 마찬가지로 미랜드 연구소에서 1950년 허만 칸(Herman Kahn)을 중심으로 무기발전과 군사전략 간의 관계를 분석하기 위해 개발되었습니다. 어떠한 사건도 예상대로 실행되지 않는다는 사실에 근거하여 위험을 추정하고 이에 대비하기 위한 방법이다. 먼 미래의 위험까지 예측할 수 있지만 정량적인 분석 방법들에 비해 정확도는 낮습니다.

5) 델파이법 : 시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고, 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법입니다.

위험에 따른 손실액 분석

1) ARO(Annualized Rate of Occurrence, 연간발생률) : 매년 특정한 위협이 발생할 가능성에 대한 빈도수 혹은 특정 위협이 1년에 발생할 예상 빈도수입니다. 

2) SLE(Single Loss Expectancy, 단일손실예상) : 특정한 위협이 발생하여 예상되는 1회 손실액입니다. 

SLE = AV(Asset Value, 자산가치) × EF(Exposure Factor, 노출 계수)

3) ALE(Annualized Loss Expectancy, 연간 예상 손실) : 정량적인 위협분석의 대표적인 방법으로 특정 자산에 대하여 실현된 위협의 모든 경우에 대해서 가능한 연간 비용입니다.

ALE(연간 예상 손실액) = SLE(단일 예상 손실액) × ARO(연간 발생률)

위험 대응 전략

1) 위험 수용 : 위험을 인지하였으나 별도의 통제를 수행하지 않고 위험을 받아들이고 진행하는 위험관리 기법입니다.

2) 위험 감소 : 위험을 감소시킬 수 있는 대책을 채택하여 구현합니다.

3) 위험 회피 : 위험이 존재하는 프로세스나 사업을 포기합니다.

4) 위험 전가 : 자산에 대해 보험을 들어 손실에 대비하거나 위험 부담이 큰 일에 대해 아웃소싱을 통해 책임 계약 체결하는 방법이 있습니다.

관련문제

13회 다음에서 설명하는 정성적 위험분석 방법을 적으시오.
델파이 기법과 마찬가지로 미랜드 연구소에서 1950년 허만 칸(Herman Kahn)을 중심으로 무기발전과 군사전략 간의 관계를 분석하기 위해 개발되었다.  어떠한 사건도 예상대로 실행되지 않는다는 사실에 근거하여 위험을 추정하고 이에 대비하기 위한 방법이다. 먼 미래의 위험까지 예측할 수 있지만 정량적인 분석 방법들에 비해 정확도는 낮다.

답 : 시나리오법

13회 다음에서 설명하는 위험 관리 방법은?
ㅇ 자산에 대해 보험을 들어 손실에 대비
ㅇ 위험 부담이 큰 일에 대해 아웃소싱을 통해 책임 계약 체결

답 : 위험 전가

13회 다음에서 설명하는 위험분석 접근법은 무엇인가?
이 방법은 국내외 표준이나 법령, 가이드 등을 기준으로 최소한의 기준 수준을 정한다. 조직에서 공통적으로 필요한 보호 대책을 정할 수 있어 시간 및 비용이 절약되지만 조직의 특성이 미반영되어 적정 보안 수준 초과 또는 미달될 가능성도 있다.

답 : 베이스라인 접근법

12회 아래의 식을 참고하여 위험의 구성요소 3가지를 적으시오.
위험 = (  A  ) × (  B  ) × (  C  ) - 정보보호대책

답 : A: 자산(Asset), B: 취약점(Vulnerability), C: 위협(Threat)

11회 정량적 위험지표와 관련하여 다음 빈칸에 들어갈 말을 쓰시오.
ㅇ SLE(단일 예상 손실액) = AV(자산가치) × ( A )
ㅇ ALE(연간 예상 손실액) = SLE(단일 예상 손실액) × ( B )

답 : A: EF(손실계수) ,B: ARO(연간 발생률)

10회 위험관리 방법과 관련하여 아래 빈칸에 들어갈 말을 적으시오.
위험관리 방법에는 위험감소, 위험수용, 위험회피, 위험(  괄호  )가 있다. 위험 (  괄호  )를 위해 보험에 들거나 아웃소싱을 하는 방법이 있다.

답 : 전가

10회 위험관리에 대해 아래 빈칸에 들어갈 말을 적으시오.

답 : A: 취약성, B: 감소, C: 보유

9회 다음은 정성적 위험분석 방법 중 하나에 대한 설명이다. 어떤 방법인가?

시스템에 관한 전문적인 지식을 가진 전문가의 집단을 구성하고, 정보시스템이 직면한 다양한 위협과 취약성을 토론을 통해 분석하는 방법

답 : 델파이법

9회 위험은 비정상적인 일이 발생할 수 있는 가능성을 말하며, 위험분석은 위험을 분석하고 해석하는 과정이다. 위험을 구성하는 4가지 기본요소를 쓰시오

답 : 자산(Asset) × 취약점(Vulnerability) × 위협(Threat) - 정보보호대책(Safeguard)

7회 다음은 위협 통제 시점에 따른 분류이다. 알맞은 용어를 넣으시오

1) 발생가능한 잠재적인 문제들을 식별하여 사전에 대응하기 위한 통제

2) 1번 통제를 우회하여 발생하는 위협을 찾아내기 위한 통제

3) 2번 통제에 따라 발견한 위협에 대처하거나 줄이는 통제

답 : 1) 예방통제, 2) 탐지통제, 3) 교정통제

7회 정량적 위험 분석과 관련하여 아래 질문에 답하시오.

1) SLE이란 무엇인가?

2) SLE를 구하는 식을 적으시오.

3) ALE를 구할때 SLE를 제외하고 필요한 것은 무엇인가?

4) 연수익이 5천만원인 사이트 위험을 완전히 제거하는 비용이 연간 1억원이라고 할 때 이 사이트의 ROI는?

답 : 

1) SLE(Single Loss Expetancy, 단일손실예상) :특정한 위협이 발생하여 예상되는 1회 손실액
2) SLE = AV(Asset Value, 자산가치) × EF(Exposure Factor, 노출 계수)
3) ARO(Annual Rate of Occurrence, 연간발생률): 어떤 위협이 1년에 발생할 가능성(0~1)
4) ROI = ( 수익 / 투자금 ) * 100
ROI = ( 5천만 / 1억원 ) * 100 = 50%

6회 위험 관리와 관련하여 보기에서 설명하는 용어를 쓰시오.

1) 조직이 보호해야 할 대상으로 정보, 하드웨어, 소프트웨어, 시설 등을 말하며 관련 인력, 기업 이미지 등 무형의 것도 포함

2) 보호 대상에 대한 잠재적 속성이나 처한 환경으로, 관리적·기술적·물리적 약점

3) 보호 대상에 손실을 초래할 수 있는 원치 않는 사건의 잠재적 원인이나 행위자

답 : 

1) 자산(Asset)
2) 취약점(Vulnerability)
3) 위협(Threat)

6회 위험 분석 방법 중 정성적 방법과 정량적 방법을 각각 2가지씩 쓰시오.

답 : 

1) 정성적 위험분석 방법: 델파이법, 시나리오법, 순위결정법 중 2개
2) 정량적 위험분석 방법: 몬테카를로 시뮬레이션, 의사결정 나무 분석, 과거자료 분석, 수학공식 접근, 확률분포법 중 2개

6회 위험분석 방법 중 복합적 접근 방법의 장점과 단점을 설명하시오.

답 : 

1) 장점 : 비용과 자원을 효율적으로 사용할 수 있음. 고위험 영역을 빠르게 식별이 가능
2) 단점 : 고위험 영역이 잘못 식별되었을 경우, 위험분석 비용이 낭비되거나 부적절하게 대응될 수 있음

5회 (A), (B), (C)에 알맞은 용어를 작성하시오.

정보자산에 대한 잠재적 및 알려진 ( A )과 ( B )으로 나타날 수 있는 조직의 피해와 현재 구현된 통제의 실패 가능성 및 영향을 평가 시 ( C ) (DOA)을 포함하여야 한다. 이를 통해 정보자산의 위험을 관리할 수 있는 적절한 정보보호대책 선택 및 우선순위의 확보를 지원하여야 한다.

답 : A: 취약점, B: 위협, C: 수용 가능 위험수준(Degree of Assurance)

5회 위험관리 기법 중에서 위험을 인지하였으나 별도의 통제를 수행하지 않고 위험을 받아들이고 진행하는 위험관리 기법을 ( )이라 한다.

답 : 위험 수용

4회 다음 위험분석 및 위험평가 관련 내용 중 빈칸 (A), (B), (C), (D) 각각에 알맞은 용어를 기재하시오.

( A ) : 국내외 표준, 기존에 마련되어 있는 법령, 가이드 등으로 기준을 정하여 위험을 관리

( B ) : 구조적인 방법론에 기반하지 않고 경험자의 지식을 사용하여 위험분석을 수행하는 것이다.

( C ) : 정립된 모델에 기초하여 자산분석, 위협분석, 취약성분석 각 단계를 수행하여 위험을 평가하는 것이다.

( D ) : 위 세 가지 방법을 혼합하여 접근하는 방식을 말한다.

답 :

(A): 베이스라인 접근법
(B): 비정형 접근법
(C): 상세위험분석
(D): 복합접근법

4회 다음 빈칸에 알맞은 단어를 적으시오.

( A ) : 조직의 자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위해 비용대비 효과적인 보호대책을 마련하는 일련의 과정

( B ) : 조직은 정보자산의 식별 후에 식별된 정보자산에 영향을 줄 수 있는 모든 위협과 취약성, 위험을 식별하고 분류하여야 하며, 이 정보자산의 가치와 위험을 고려하여 잠재적 손실에 대한 영향을 식별 분석해야 한다.

( C ) : 위헙에 대응하여 자산을 보호하기 위한 물리적, 기술적, 관리적 대응책을 말한다.

답 : ( A ) : 위험관리, ( B ) : 위험분석, ( C ) : 위험대응

정보보안기사 필기 독학 / 정보보안 관리 및 법규 / 5. 정보보호 시스템 인증

TCSEC(Trusted Computer System Evaluation Criteria, Orange Book) 인증 

독립적인 시스템을 평가하며 Orange-book이라고 한다. 보안 요구사항을 정의하고 정보 조달 요구사항을 표준화하는 것입니다.

ITSEC(Information Technology Security Evaluation Criteria) 인증

운영체제와 장치를 평가하기 위한 유럽형 지침이며, 기밀성, 무결성, 가용성을 다룹니다.

CC(Common Criteria) 인증

현재 사용되는 IT 보안제품에 대해 보안성을 평가하는 제도로 제품유형별 PP(Prolection Profile)를 정의하고, 8개 군의 평가항 목을 대상으로 평가가 이루어짐니다. 평가결과는 IT 보안제품의 보안위협 및 자산가치의 정도에 따라 EAL1(Evalualion Assurance Level 1) - EAL7(Evaluation Assurance Level 7) 까지 7단계로 부여하여 인증서가 제공됩니다.

클라우드 컴퓨팅 서비스 보안 인증 제도

개인정보가 유출되었음을 알게 되었을 경우 지체없이 해당 정보주체에게 알립니다. 1천명 이상의 개인정보가 노출된 경우 통지 및 조치 결과를 개인정보보호위원회에 신고합니다. 중대한 침해사고가 발생할 경우 과학기술정보통신부장관에게 지원을 요청할 수 있습니다.

관련 문제

12회 9회 다음 지문이 설명하는 인증제도는?3 
[보기] 
현재 사용되는 IT 보안제품에 대해 보안성을 평가하는 제도로 제품유형별 PP(Prolection Profile)를 정의하고, 8개 군의 평가항 목을 대상으로 평가가 이루어진다. 평가결과는 IT 보안제품의 보안위협 및 자산가치의 정도에 따라 EAL1(Evalualion Assurance Level 1) - EAL7(Evaluation Assurance Level 7) 까지 7단계로 부여하여 인증서가 제공된다.
① ISO 27001 
② ITSEC 
③ CC(Common Criteria) 
④ ISMS 

7회 다음의 지문은 무엇에 대한 설명인가?2
보기
이것은 1983년에 오렌지북으로 불리며, 미국에서 제정한 컴퓨터시스템 평가기준이다, 이 기준에서 보안등급은 A B, C, D 로 구분되며 기본 요구사항으로는 보안정책, 책임성, 보증, 문서화 등이 있다.
① ITSEC
② TCSEC
③ CC
④ K Series

6회 다음 중 유럽의 보안성 평가 기준은 무엇인가?1
① ITSEC ② TCSEC
③ CTCPEG ④ DTIEC

5회 다음 중 국제 공통 보안 평가 기준을 나타내는 것은?3
① TCSEC
② ITSEC
③ CC
④ 오렌지북

14회 다음 중 공인인증서의 폐지 사유가 아닌 것은?2
①가입자 또는 그 대리인이 공인인증서의 폐지를 신청한 경우
②공인인증서의 유효기간이 경과한 경우(답)
③가입자가 사위 기타 부정한 방법으로 공인인증서를 발급받은 사실을 인지한 경우
④가입자의 전자서명생성정보가 분실ㆍ훼손 또는 도난ㆍ유출된 사실을 인지한 경우

12회 다음 중 공인인증기관이 발급하는 공인인증서에 포함되어야 하는 사항이 아닌 것은 무엇인가?2
① 가입자의 전자서명검증정보
② 공인인증서 비밀번호
③ 가입자와 공인인증기관이 이용하는 전자서명방식
④ 공인인증기관의 명칭 등 공인인증기관을 확인할 수 있는 정보

10회 다음 중 공인인증기관이 발급하는 공인인증서에 포함되어야 할 사항이 아닌 것은?2
① 가입자의 이름(법인의 경우에는 명칭을 말함)
② 가입자의 생년월일(법인의 경우에는 고유 번호를 말함)
③ 가입자의 전자서명검증 정보
④ 가입자와 공인인증기관이 이용하는 전자서명 방식

14회 클라우드 시스템 운영 중 사고가 발생하였다. 다음 대응 방법 중 틀린 내용은?3
①개인정보가 유출되었음을 알게 되었을 경우 지체없이 해당 정보주체에게 알린다.
②1천명 이상의 개인정보가 노출된 경우 통지 및 조치 결과를 개인정보보호위원회에 신고한다.
③개인정보처리시스템의 예기치 않은 시스템 중단이 발생한 경우 한국인터넷진흥원에 보고한다.
④중대한 침해사고가 발생할 경우 과학기술정보통신부장관에게 지원을 요청할 수 있다.

14회 다음 중 데이터베이스와 관련된 조직 구성원들의 역할로 가장 옳지 못한 것은?3
①최고 경영자 또는 최고 정보보호 책임자가 보안의 최종 책임을 진다.
②정보보호 관리조직은 데이터 관리자에게 지침을 내리고 데이터 보안을 지원한다,
③데이터 관리조직은 민감 데이터와 일반 데이터를 분류하고, 데이터의 정확성과 무결성을 보장한다.
④정보보호위원회는 독립된 권한을 가지고 보안정책의 이행여부를 검토하고 미흡사항에 대한 조치 필요사항을 통지한다.

정보보안기사 필기 독학 / 정보보안 관리 및 법규 / 4. 업무 연속성&재난복구 계획

업무연속성 계획(BCP, Business Continuity Planning)

각종 재해나 재난의 발생을 대비하기 위하여 핵심 시스템의 가용성과 신뢰성을 회복하고 시업의 지속성을 
유지하기 위한 일련의 계획과 절차를 말합니다. 또한 단순한 데이터의 복구나 신뢰도를 유지하는 것 뿐 아니라 나아가 기업의 전체적인 신뢰성 유지와 가치를 최대화하는 방법과 절차입니다. 

사업영향 평가(BIA, Business Impact Analysis)

각종 재해 시 재난의 발생을 대비하기 위하여 핵심 시스템의 가용성과 신뢰성을 확보하고 사업의 연속성을 유지하기 위한 일련의 사업지속계획과 절차를 말한다. 단순한 데이터의 복구나 신뢰도를 유지하며, 나아가 기업의 전체적인 신뢰성 유지와 가치를 최대화 하는 방법과 절차입니다.

재해복구 계획(DRP, Disaster Recovery Planning)

비상 환경에서 기업의 존립을 유지하기 위해 필수적인 IT 자원에 대한 복구 절차입니다. 비상 사태에 따른 대체 사이트에서의 목표 시스템, 응용 프로그램, 컴퓨터 설비의 운영 재개와 같은 IT 중심 계획입니다.

관련 문제

12회 8회 다음의 지문이 설명하는 정보보호 용어는?2
[보기]
이것은 각종 재해나 재난의 발생을 대비하기 위하여 핵심 시스템의 가용성과 신뢰성을 회복하고 시업의 지속성을
유지하기 위한 일련의 계획과 절차를 말한다. 이것은 단순한 데이터의 복구나 신뢰도를 유지하는 것 뿐 아니라
나아가 기업의 전체적인 신뢰성 유지와 가치를 최대화하는 방법과 절차이다.
① 재난 예방 계획
② 업무연속성 계획
③ 기업 안정성 확보 계획
④ 시스템 운영 계획

9회 다음 중 업무연속성계획의 접근 방법론 절차에 포함되지 않는 것은?4
① 사업영향평가
② 복구전략 개발
③ 프로젝트의 수행 테스트 및 유지보수
④ 교정 통제 및 잔류 위험 분석

9회 업무영향분석 시 고려해야 할 내용으로 가장 거리가 먼 것은?1
① 복구 정확성, 비상시 의무사항 수행, 대체 백업 사이트의 처리 역량 검증
② 사건 발생 이후 시간이 경과함에 따라 손해 혹은 손실이 점증되는 정도
③ 최소한의 운영에 필요한 직원, 시설, 서비스를 복구하는데 소요되는 시간
④ 수입상실, 추가적 비용부담, 신용상실 등과 같은 형태의 손실

9회 아래 내용에 대한 설명으로 가장 적합한 것은? 2

[보기]
각종 재해 시 재난의 발생을 대비하기 위하여 핵심 시스템의 가용성과 신뢰성을 확보하고 사업의 연속성을 유지하기 위한 일련의 사업지속계획과 절차를 말한다. 단순한 데이터의 복구나 신뢰도를 유지하며, 나아가 기업의 전체적인 신뢰성 유지와 가치를 최대화 하는 방법과 절차이다.

① 위험분석
② 사업영향평가
③ 업무연속싱계획
④ 재난복구계획

9회 다음 업무 연속성 계획을 개발하는데 요구되는 다섯단계를 차례로 나열한 것은?4

[보기]
㉠ 계획 ㉡ 설계 ㉢ 분석 ㉣ 구현 ㉤ 유지

① ㉠-㉡-㉢-㉣-㉤
② ㉠-㉡-㉣-㉢-㉤
③ ㉠-㉢-㉣-㉡-㉤
④ ㉠-㉢-㉡-㉣-㉤

6회 다음 중 업무 연속성에서 사업 영향 평가의 주요 목적에 포함되지 않는 것은? 2
① 핵심 우선 순위 결정
② 복구 계획 수립
③ 중단시간산정
④ 자원 요구 사항

5회 다음 재난 복구 계획 중 서버와 단말기까지 모든 컴퓨터 설비를 완전히 갖추고, 실제로 운영되 는 환경과 동일한 상태로 지속 관리되는 사이트는 무엇인가? 2
① 웜사이트
② 핫사이트
③ 콜드사이트
④ 상호 지원계약

5회 업무 연속성 관리 단계 중 다음의 보기와 같은 내용을 수행하는 단계는? 4
[보기]
• 업무가 지속적으로 운영되기 위한 프로그램을 수립하는 단계
• 위험 감소 조치 및 재해 복구를 위한 설비 구현
• 초기시험을수행하는단계
① 전략 수립 단계
② 운영 단계
③ 계획 단계
④ 구현 단계

14회 재해 및 재난에 대비하기 위한 설비 중 전산센터와 동일한 설비와 자원을 보유하며, 데이터를 동기화 받으며 항상 stand-by 상태로 있다가 유사 시 수 시간 이내에 전환 가능한 설비는?1
①핫 사이트
②웜 사이트
③콜드 사이트
④미러 사이트

14회 각종 재해, 재난 및 기타 장애로부터의 피해를 최대한 경함하고 빠르게 대응 및 복구하기 위한 지침으로 아래와 같은 내용이 포함된다. 이 지침은 무엇인가?3
- 재해 예방
- 대응 계획
- 복구 계획
- 모의 훈련
①재해복구 훈련 지침
②위험 관리 지침
③업무 연속성 관리 지침
④침해사고 대응 지침

11회  국가안전보장에 중대한 영향을 미치는 주요정보통신기반시 설에 대한 보호대책의 미흡으로 국가안전보장이나 경제사회 전반에 피해가 우려될 수 있으므로 기반시설을 지정하여야 한다. 다음 중 주요정보통신기반시설이 아닌 것은 무엇인가?2
① 전력, 가스, 석유 등 에너지 · 수자원시설
② 인터넷포털, 전자상거래 등 인터넷시설
③ 도로·철도·지하철·공항·항만 등 주요 교통시설
④ 방송중계 국가지도통신망 시설

정보보안기사 필기 독학 / 정보보안 관리 및 법규 / 3. 개인정보보호법

OECD 개인정보보안 8원칙

- 수집제한의 원칙

- 정보의 정확성 원칙

- 목적 명확화의 원칙

- 이용제한의 원칙

- 안전성 확보의 워닉

- (처리방침)공개의 원칙

- 정보주체의 참여의 원칙

- 책임의 원칙

관련 문제

12회 「개인정보보호법」에 의거하여 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보 파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험 요인의 분석과 개선사항 도출을 위한 영향평가를 하고 그 결과를 행정안전부장관에게 제출하여야 한다. 영향평가를 하는 경우에 고려해야 할 사항으로 적합하지 않은 것은?4
① 처리하는 개인정보의 수
② 개인정보의 제3자의 제공 여부
③ 정보주체의 권리를 해할 가능성 및 그 위험 정도
④ 개인정보를 처리하는 수탁업체 관리·감독의 여부

12회 "개인정보 보호법”에서 개인정보의 파기 및 보존 시 가장 적절하지 않은 경우는?2
① 개인정보의 이용목적이 달성된 때에는 즉시 파기하여야 한다.
② 개인정보 삭제 시 만일의 경우에 대비하여 일정기간 보관한다.
③ 개인정보를 파기하지 않고 보관할 시에는 다른 개인정보와 분리하여 저장 · 관리한다.
④ 전자적 파일 형태인 경우, 복원이 불가능한 방법으로 행구 삭제한다.

12회 「개인정보보호법」에 의거하여 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 정보주체에게 알려야 하는 사항들에 해당되지 않는 것은?2
① 개인정보 처리의 정지를 요구할 권리가 있다는 사실
② 개인정보의 보유·이용 기간
③ 개인정보의 수집 출처
④ 개인정보의 처리 목적

12회 「개인정보보호법」에 의거하여 개인정보처리자는 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 각각의 동이 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도 록 알리고 각각 동의를 받아야 한다.동의를 서면으로 받을 때에는 중요한 내용을 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하도록 되어 있다. 이때 중요한 내용에 해당 되지 않는 것은?1
① 동의를 거부할 권리가 있다는 사실 및 거부에 따른 불이익이 있을 경우에는 불이익에 대한 내용
② 개인정보를 제공받는 자
③ 개인정보를 제공받는 자의 개인정보 이용 목적
④ 개인정보의 보유 및 이용 기간

12회 다음 중 이래 지문의 빈칸 안에 들어가야 할 단어 또는 문장으로 가장 적합한 것은?3
[보기]
개인정보 보호법」 제2조(정의) 이 법에서 사용하는 용어의 뜻 은 다음과 같다.
“개인정보'란 살아 있는 개인에 관한 정보로서 성명 ( 가 ) 및 영상 등을 통하여
개인을 알아볼 수 있는 정보 (해당 정보만으로는 특정 개인을 알아볼 수 없더라도
다른 정보 와 쉽게 ( 하여 알아볼 수 있는 것을 포함한다)를 말한다.
「정보통신망법」 제2조정의) 1 이 법에서 사용하는 용어의 뜻 은 다음과 같다.
“개인정보란 생존하는 개인에 관한 정보로서 성명 ( 가 ) 등에 의하여
특정한 개인을 알아볼 수 있는 부호 · 문자·음성 · 음향 및 영상 등의 정보
(해당 정보만으로는 특 정 개인을 알아볼 수 없어도 다른 정보와 쉽게
( 나 )하여 알아 볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.

① 가:주민등록번호 나: 구분
② 가:성별 나: 유추
③ 가:주민등록번호 나: 결합
④ 가:성별 나: 구분

11회 「개인정보 보호법」 상 용어 정의로 가장 옳지 않은 것은?4
①개인정보: 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
② 정보주체: 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람
③ 처리: 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유. 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위
④ 개인정보관리자: 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인

11회 개인정보보호법 제3조(개인정보 보호 원칙)에 대한 내용 중 틀린 것은?3
① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 기밀성, 무결성 및 신뢰성이 보장되도록 하여야 한다.
④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.

11회 「개인정보 보호법」에서 규정하고 있는 개인정보 중 민감정보에 해당하지 않는 것은?1
① 주민등록번호
② 노동조합 · 정당의 가입·탈퇴에 관한 정보
③ 건강에 관한 정보
④ 사상 · 신념에 관한 정보

11회 다음은 개인정보보호법에 따른 개인정보의 파기에 관하여 설명한 것이다. 옳은 것은?3
① 개인정보처리자는 처리 목적의 달성여부와 관계없이 동의 기간이 경과해야만 개인정보를 파기할 수 있다.
② 개인정보처리자는 동의기간이 경과하더라도 처리목적이 달성되지 못한 경우에는 개인정보를 계속 이용할 수 있다.
③ 개인정보처리자는 개인정보를 파기해야 하는 사유가 발생했을 때에는 정당한 사유가 없는 한 5일 이내에 개인정보를 파기해야 한다.
④ 복원이 불가능한 방법이란 미래에 개발될 기술도 고려하여 파기 후 개인정보의 복구 가능성을 원천 차단한 방법 을 의미한다.

12회 「개인정보보호법」 상에서 민감정보로 명시되어 있는 것은?2
① 혈액형
② 사상·신념
③ 결혼 여부
④ 성별

10회 100만명 미만의 정보 주체에 관한 개인정보를 보유한 중소기업의 내부 관리 계획의 내용에 포함하지 않아도 될 사항은 무엇인가?4
① 개인정보 보호책임자의 지정
② 개인정보 유출 사고 대응 계획 수립, 시행
③ 개인정보의 암호화 조치
④ 개인정보 처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감도

14회 다음 중 개인정보 처리방침에 의무적으로 포함되어야 할 내용이 아닌 것은?2
①개인정보 처리 및 보유 기간
②개인정보 침해 시 구제 방안
③개인정보의 제3자 제공에 관한 사항
④개인정보 보호책임자 및 조직 정보

14회 개인정보 보호책임자와 관련된 설명이다. 옳지 않은 것을 고르시오.2
①개인정보 보호책임자는 기업의 임원이 수행함이 원칙이다.
②개인정보 보호책임자를 별도로 지정하지 않으면 정보보호 최고책임자가 개인정보 보호책임자가 된다.
③임원이 없는 기업의 경우 관련 부서장이 개인정보 보호책임자로 임명될 수 있다.
④개인정보 보호책임자는 정당한 업무 수행에 따른 불이익을 받지 않는다.

14회 다음 중 개인정보 보호 관련 법제에서 개인정보 제공 정보주체의 권리로 가장 거리가 먼 것은?4
①개인정보의 처리에 관한 정보를 제공받을 권리
②개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
③개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
④개인정보 활용으로 얻은 금전적 이익에 대한 보상을 청구할 권리

14회 개인정보 영향평가 시 반드시 고려해야 할 사항이 아닌 것은?4
①처리하는 개인정보의 수
②개인정보의 제3자 제공 여부
③정보주체의 권리를 해할 가능성 및 그 위험 정도
④개인정보 수탁자에 대한 관리 감독

10회 개인정보의 기술적 관리적 보호조치 기준에 따른 접속기록에서 필수 항목이 아닌 것은?2
① 개인정보취급자 식별정보
② 접속포트
③ 수행업무
④ 접속지 정보

12회 고유식별정보는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보이다. 다음 중 개 인정보처리자가 고유식별정보를 처리할 수 있는 경우에 해당하는 것은?2
① 정보주체의 동의를 받지 않은 경우
② 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
③ 교통단속을 위하여 필요한 경우
④ 시설 안전 및 화재 예방을 위하여 필요한 경우

12회 개인정보영향평가 시 반드시 고려할 사항이 아닌 것은?2
① 처리하는 개인정보의 수
② 개인정보 취급자의 인가 여부
③ 개인정보의 제3자 제공 여부
④ 정보주체의 권리를 해할 가능성 및 그 위협

12회 개인정보의 안정성 확보조치 기준(고시)의 제7조(개인정보의 암호화)에 따라 반드시 암호화하여 저장해야하는 개인정보가 아닌 것은?4
① 비밀번호
② 고유식별번호
③ 바이오 정보
④ 전화번호


12회 개인정보처리자는 다음 지문의 사항이 포함된 것을 정하고 이를 정보주체가 쉽게 확인할 수 있게 공개하도록 되어 있다. 다음 지문의 사항이 포함된 문서의 법률적 명칭은 무엇인가?4
[보기]
1. 개인정보의 처리 목적
2. 개인정보의 리 및 보유 기간
3. 개인정보의 제3자의 제공에 관한 사항(해당도는 경우에만 정한다.)
4. 개인정보처리의 위탁에 관한 사항해당도는 경우에만 정한다)
5. 정보주체의 권리의무 및 그 행사방법에 관한 사항
6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

① 개인정보 보호정책
② 표준 개인정보 보호지침
③ 개인정보 보호지침
④ 개인정보 처리방침

11회 OECD 개인정보보안 8원칙에 포함되지 않는 것은 무엇인가?3
① 이용제한의 원칙
② 정보 정확성의 원칙
③ 비공개의 원칙
④ 안전성 확보의 원칙

11회 다음은 개인정보의 안전성 확보조치 기준에서의 인터넷 홈 페이지 취약점 점검과 관련한 설명이다. 옳은 것들을 모두 고른 것은?4
[보기]
a. 인터넷 홈페이지를 통해 고유식별정보를 처리하는 개인정
보처리자는 해당 인터넷 홈페이지에 대해 연 1회 이상 취
약점을 점검하고 필요한 보완 조치를 하여야 한다.
b. 인터넷 홈페이지의 취약점 점검은 개인정보처리자의 자체인 | 력, 보안업체 등을 활용할 수 있으며, 취약점 점검은 상용
도구, 공개용 도구, 자체제작 도구 등을 사용할 수 있다.
c. 웹 취약점 점검과 함께 정기적으로 웹쉘 등을 점검하고 조
치하는 경우 취급 중인 개인정보가 인터넷 홈페이지를 통 해 열람권한이 없는 자에게 공개되거나 유출되는 위험성을 더욱 줄일 수 있다.

① a,b
② b,c
③ a,c
④ a,b,c

11회 개인정보처리자가 개인정보의 수집 시 정보주체의 동의를 받지 않아도 되는 경우로 가장 적절한 것은?3
①개인정보취급 방침에 명시한 경우
② 경제적, 기술적인 사유로 통상적인 동의를 받는 것이 뚜
렷하게 곤란한 경우
③ 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위
하여 불가피한 경우
④ 요금 부과를 위해 필요한 경우

10회 개인정보의 기술적 관리적 보호조치 기준에 따른 접속기록에서 필수 항목이 아닌 것은?2

① 개인정보취급자 식별정보
② 접속포트
③ 수행업무
④ 접속지 정보

10회 개인정보처리자는 다음 지문의 사항이 포함된 것을 정하고 이를 정보 주체가 쉽게 확인할 수 있게 공개하도록 되어 있다. 다음 지문의 사항이 포함된 문서의 법률적 명칭은 무엇인가?4
[보기]
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제 3자의 제공에 관한 사항(해당되는 경우에만 정한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체의 권리의무 및 그 행사방법에 관한 사항
6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

① 개인정보 보호 정책
② 표준 개인정보 보호지침
③ 개인정보 보호지침
④ 개인정보 처리방침

10회 다음 중 개인정보보호법에 따른 개인정보 수집 시 반드시 정보주체의 동의가 필요한 경우는?1
① 인터넷 홈페이지 등에 공개 된 전화번호 또는 이메일을 통해 직장인 우대 대출, 홍보성 이벤트를 하는 경우
② 동호회의 운영을 위하여 회원의 개인정보를 수집, 이용하는 경우
③ 자동차 구매를 위해 고객의 명함을 받은 자동차판매점 담당 직원이 자동차 구매 관련 정보 제공을 위해 명함에 기재 된 연락처를 이용하는 경우
④ 소방서에서 홍수로 고립된 사람을 구조하기 위해 위치정보를 수집하는 경우