해커를 꿈꾸는 개발자

정보보안기사 필기 독학 / 정보보안 관리 및 법규 / 5. 정보보호 시스템 인증

TCSEC(Trusted Computer System Evaluation Criteria, Orange Book) 인증 

독립적인 시스템을 평가하며 Orange-book이라고 한다. 보안 요구사항을 정의하고 정보 조달 요구사항을 표준화하는 것입니다.

ITSEC(Information Technology Security Evaluation Criteria) 인증

운영체제와 장치를 평가하기 위한 유럽형 지침이며, 기밀성, 무결성, 가용성을 다룹니다.

CC(Common Criteria) 인증

현재 사용되는 IT 보안제품에 대해 보안성을 평가하는 제도로 제품유형별 PP(Prolection Profile)를 정의하고, 8개 군의 평가항 목을 대상으로 평가가 이루어짐니다. 평가결과는 IT 보안제품의 보안위협 및 자산가치의 정도에 따라 EAL1(Evalualion Assurance Level 1) - EAL7(Evaluation Assurance Level 7) 까지 7단계로 부여하여 인증서가 제공됩니다.

클라우드 컴퓨팅 서비스 보안 인증 제도

개인정보가 유출되었음을 알게 되었을 경우 지체없이 해당 정보주체에게 알립니다. 1천명 이상의 개인정보가 노출된 경우 통지 및 조치 결과를 개인정보보호위원회에 신고합니다. 중대한 침해사고가 발생할 경우 과학기술정보통신부장관에게 지원을 요청할 수 있습니다.

관련 문제

12회 9회 다음 지문이 설명하는 인증제도는?3 
[보기] 
현재 사용되는 IT 보안제품에 대해 보안성을 평가하는 제도로 제품유형별 PP(Prolection Profile)를 정의하고, 8개 군의 평가항 목을 대상으로 평가가 이루어진다. 평가결과는 IT 보안제품의 보안위협 및 자산가치의 정도에 따라 EAL1(Evalualion Assurance Level 1) - EAL7(Evaluation Assurance Level 7) 까지 7단계로 부여하여 인증서가 제공된다.
① ISO 27001 
② ITSEC 
③ CC(Common Criteria) 
④ ISMS 

7회 다음의 지문은 무엇에 대한 설명인가?2
보기
이것은 1983년에 오렌지북으로 불리며, 미국에서 제정한 컴퓨터시스템 평가기준이다, 이 기준에서 보안등급은 A B, C, D 로 구분되며 기본 요구사항으로는 보안정책, 책임성, 보증, 문서화 등이 있다.
① ITSEC
② TCSEC
③ CC
④ K Series

6회 다음 중 유럽의 보안성 평가 기준은 무엇인가?1
① ITSEC ② TCSEC
③ CTCPEG ④ DTIEC

5회 다음 중 국제 공통 보안 평가 기준을 나타내는 것은?3
① TCSEC
② ITSEC
③ CC
④ 오렌지북

14회 다음 중 공인인증서의 폐지 사유가 아닌 것은?2
①가입자 또는 그 대리인이 공인인증서의 폐지를 신청한 경우
②공인인증서의 유효기간이 경과한 경우(답)
③가입자가 사위 기타 부정한 방법으로 공인인증서를 발급받은 사실을 인지한 경우
④가입자의 전자서명생성정보가 분실ㆍ훼손 또는 도난ㆍ유출된 사실을 인지한 경우

12회 다음 중 공인인증기관이 발급하는 공인인증서에 포함되어야 하는 사항이 아닌 것은 무엇인가?2
① 가입자의 전자서명검증정보
② 공인인증서 비밀번호
③ 가입자와 공인인증기관이 이용하는 전자서명방식
④ 공인인증기관의 명칭 등 공인인증기관을 확인할 수 있는 정보

10회 다음 중 공인인증기관이 발급하는 공인인증서에 포함되어야 할 사항이 아닌 것은?2
① 가입자의 이름(법인의 경우에는 명칭을 말함)
② 가입자의 생년월일(법인의 경우에는 고유 번호를 말함)
③ 가입자의 전자서명검증 정보
④ 가입자와 공인인증기관이 이용하는 전자서명 방식

14회 클라우드 시스템 운영 중 사고가 발생하였다. 다음 대응 방법 중 틀린 내용은?3
①개인정보가 유출되었음을 알게 되었을 경우 지체없이 해당 정보주체에게 알린다.
②1천명 이상의 개인정보가 노출된 경우 통지 및 조치 결과를 개인정보보호위원회에 신고한다.
③개인정보처리시스템의 예기치 않은 시스템 중단이 발생한 경우 한국인터넷진흥원에 보고한다.
④중대한 침해사고가 발생할 경우 과학기술정보통신부장관에게 지원을 요청할 수 있다.

14회 다음 중 데이터베이스와 관련된 조직 구성원들의 역할로 가장 옳지 못한 것은?3
①최고 경영자 또는 최고 정보보호 책임자가 보안의 최종 책임을 진다.
②정보보호 관리조직은 데이터 관리자에게 지침을 내리고 데이터 보안을 지원한다,
③데이터 관리조직은 민감 데이터와 일반 데이터를 분류하고, 데이터의 정확성과 무결성을 보장한다.
④정보보호위원회는 독립된 권한을 가지고 보안정책의 이행여부를 검토하고 미흡사항에 대한 조치 필요사항을 통지한다.

정보보안기사 필기 독학 / 정보보안 관리 및 법규 / 4. 업무 연속성&재난복구 계획

업무연속성 계획(BCP, Business Continuity Planning)

각종 재해나 재난의 발생을 대비하기 위하여 핵심 시스템의 가용성과 신뢰성을 회복하고 시업의 지속성을 
유지하기 위한 일련의 계획과 절차를 말합니다. 또한 단순한 데이터의 복구나 신뢰도를 유지하는 것 뿐 아니라 나아가 기업의 전체적인 신뢰성 유지와 가치를 최대화하는 방법과 절차입니다. 

사업영향 평가(BIA, Business Impact Analysis)

각종 재해 시 재난의 발생을 대비하기 위하여 핵심 시스템의 가용성과 신뢰성을 확보하고 사업의 연속성을 유지하기 위한 일련의 사업지속계획과 절차를 말한다. 단순한 데이터의 복구나 신뢰도를 유지하며, 나아가 기업의 전체적인 신뢰성 유지와 가치를 최대화 하는 방법과 절차입니다.

재해복구 계획(DRP, Disaster Recovery Planning)

비상 환경에서 기업의 존립을 유지하기 위해 필수적인 IT 자원에 대한 복구 절차입니다. 비상 사태에 따른 대체 사이트에서의 목표 시스템, 응용 프로그램, 컴퓨터 설비의 운영 재개와 같은 IT 중심 계획입니다.

관련 문제

12회 8회 다음의 지문이 설명하는 정보보호 용어는?2
[보기]
이것은 각종 재해나 재난의 발생을 대비하기 위하여 핵심 시스템의 가용성과 신뢰성을 회복하고 시업의 지속성을
유지하기 위한 일련의 계획과 절차를 말한다. 이것은 단순한 데이터의 복구나 신뢰도를 유지하는 것 뿐 아니라
나아가 기업의 전체적인 신뢰성 유지와 가치를 최대화하는 방법과 절차이다.
① 재난 예방 계획
② 업무연속성 계획
③ 기업 안정성 확보 계획
④ 시스템 운영 계획

9회 다음 중 업무연속성계획의 접근 방법론 절차에 포함되지 않는 것은?4
① 사업영향평가
② 복구전략 개발
③ 프로젝트의 수행 테스트 및 유지보수
④ 교정 통제 및 잔류 위험 분석

9회 업무영향분석 시 고려해야 할 내용으로 가장 거리가 먼 것은?1
① 복구 정확성, 비상시 의무사항 수행, 대체 백업 사이트의 처리 역량 검증
② 사건 발생 이후 시간이 경과함에 따라 손해 혹은 손실이 점증되는 정도
③ 최소한의 운영에 필요한 직원, 시설, 서비스를 복구하는데 소요되는 시간
④ 수입상실, 추가적 비용부담, 신용상실 등과 같은 형태의 손실

9회 아래 내용에 대한 설명으로 가장 적합한 것은? 2

[보기]
각종 재해 시 재난의 발생을 대비하기 위하여 핵심 시스템의 가용성과 신뢰성을 확보하고 사업의 연속성을 유지하기 위한 일련의 사업지속계획과 절차를 말한다. 단순한 데이터의 복구나 신뢰도를 유지하며, 나아가 기업의 전체적인 신뢰성 유지와 가치를 최대화 하는 방법과 절차이다.

① 위험분석
② 사업영향평가
③ 업무연속싱계획
④ 재난복구계획

9회 다음 업무 연속성 계획을 개발하는데 요구되는 다섯단계를 차례로 나열한 것은?4

[보기]
㉠ 계획 ㉡ 설계 ㉢ 분석 ㉣ 구현 ㉤ 유지

① ㉠-㉡-㉢-㉣-㉤
② ㉠-㉡-㉣-㉢-㉤
③ ㉠-㉢-㉣-㉡-㉤
④ ㉠-㉢-㉡-㉣-㉤

6회 다음 중 업무 연속성에서 사업 영향 평가의 주요 목적에 포함되지 않는 것은? 2
① 핵심 우선 순위 결정
② 복구 계획 수립
③ 중단시간산정
④ 자원 요구 사항

5회 다음 재난 복구 계획 중 서버와 단말기까지 모든 컴퓨터 설비를 완전히 갖추고, 실제로 운영되 는 환경과 동일한 상태로 지속 관리되는 사이트는 무엇인가? 2
① 웜사이트
② 핫사이트
③ 콜드사이트
④ 상호 지원계약

5회 업무 연속성 관리 단계 중 다음의 보기와 같은 내용을 수행하는 단계는? 4
[보기]
• 업무가 지속적으로 운영되기 위한 프로그램을 수립하는 단계
• 위험 감소 조치 및 재해 복구를 위한 설비 구현
• 초기시험을수행하는단계
① 전략 수립 단계
② 운영 단계
③ 계획 단계
④ 구현 단계

14회 재해 및 재난에 대비하기 위한 설비 중 전산센터와 동일한 설비와 자원을 보유하며, 데이터를 동기화 받으며 항상 stand-by 상태로 있다가 유사 시 수 시간 이내에 전환 가능한 설비는?1
①핫 사이트
②웜 사이트
③콜드 사이트
④미러 사이트

14회 각종 재해, 재난 및 기타 장애로부터의 피해를 최대한 경함하고 빠르게 대응 및 복구하기 위한 지침으로 아래와 같은 내용이 포함된다. 이 지침은 무엇인가?3
- 재해 예방
- 대응 계획
- 복구 계획
- 모의 훈련
①재해복구 훈련 지침
②위험 관리 지침
③업무 연속성 관리 지침
④침해사고 대응 지침

11회  국가안전보장에 중대한 영향을 미치는 주요정보통신기반시 설에 대한 보호대책의 미흡으로 국가안전보장이나 경제사회 전반에 피해가 우려될 수 있으므로 기반시설을 지정하여야 한다. 다음 중 주요정보통신기반시설이 아닌 것은 무엇인가?2
① 전력, 가스, 석유 등 에너지 · 수자원시설
② 인터넷포털, 전자상거래 등 인터넷시설
③ 도로·철도·지하철·공항·항만 등 주요 교통시설
④ 방송중계 국가지도통신망 시설

정보보안기사 필기 독학 / 정보보안 관리 및 법규 / 3. 개인정보보호법

OECD 개인정보보안 8원칙

- 수집제한의 원칙

- 정보의 정확성 원칙

- 목적 명확화의 원칙

- 이용제한의 원칙

- 안전성 확보의 워닉

- (처리방침)공개의 원칙

- 정보주체의 참여의 원칙

- 책임의 원칙

관련 문제

12회 「개인정보보호법」에 의거하여 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보 파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험 요인의 분석과 개선사항 도출을 위한 영향평가를 하고 그 결과를 행정안전부장관에게 제출하여야 한다. 영향평가를 하는 경우에 고려해야 할 사항으로 적합하지 않은 것은?4
① 처리하는 개인정보의 수
② 개인정보의 제3자의 제공 여부
③ 정보주체의 권리를 해할 가능성 및 그 위험 정도
④ 개인정보를 처리하는 수탁업체 관리·감독의 여부

12회 "개인정보 보호법”에서 개인정보의 파기 및 보존 시 가장 적절하지 않은 경우는?2
① 개인정보의 이용목적이 달성된 때에는 즉시 파기하여야 한다.
② 개인정보 삭제 시 만일의 경우에 대비하여 일정기간 보관한다.
③ 개인정보를 파기하지 않고 보관할 시에는 다른 개인정보와 분리하여 저장 · 관리한다.
④ 전자적 파일 형태인 경우, 복원이 불가능한 방법으로 행구 삭제한다.

12회 「개인정보보호법」에 의거하여 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 정보주체에게 알려야 하는 사항들에 해당되지 않는 것은?2
① 개인정보 처리의 정지를 요구할 권리가 있다는 사실
② 개인정보의 보유·이용 기간
③ 개인정보의 수집 출처
④ 개인정보의 처리 목적

12회 「개인정보보호법」에 의거하여 개인정보처리자는 개인정보의 처리에 대하여 정보주체의 동의를 받을 때에는 각각의 동이 사항을 구분하여 정보주체가 이를 명확하게 인지할 수 있도 록 알리고 각각 동의를 받아야 한다.동의를 서면으로 받을 때에는 중요한 내용을 정하는 방법에 따라 명확히 표시하여 알아보기 쉽게 하도록 되어 있다. 이때 중요한 내용에 해당 되지 않는 것은?1
① 동의를 거부할 권리가 있다는 사실 및 거부에 따른 불이익이 있을 경우에는 불이익에 대한 내용
② 개인정보를 제공받는 자
③ 개인정보를 제공받는 자의 개인정보 이용 목적
④ 개인정보의 보유 및 이용 기간

12회 다음 중 이래 지문의 빈칸 안에 들어가야 할 단어 또는 문장으로 가장 적합한 것은?3
[보기]
개인정보 보호법」 제2조(정의) 이 법에서 사용하는 용어의 뜻 은 다음과 같다.
“개인정보'란 살아 있는 개인에 관한 정보로서 성명 ( 가 ) 및 영상 등을 통하여
개인을 알아볼 수 있는 정보 (해당 정보만으로는 특정 개인을 알아볼 수 없더라도
다른 정보 와 쉽게 ( 하여 알아볼 수 있는 것을 포함한다)를 말한다.
「정보통신망법」 제2조정의) 1 이 법에서 사용하는 용어의 뜻 은 다음과 같다.
“개인정보란 생존하는 개인에 관한 정보로서 성명 ( 가 ) 등에 의하여
특정한 개인을 알아볼 수 있는 부호 · 문자·음성 · 음향 및 영상 등의 정보
(해당 정보만으로는 특 정 개인을 알아볼 수 없어도 다른 정보와 쉽게
( 나 )하여 알아 볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.

① 가:주민등록번호 나: 구분
② 가:성별 나: 유추
③ 가:주민등록번호 나: 결합
④ 가:성별 나: 구분

11회 「개인정보 보호법」 상 용어 정의로 가장 옳지 않은 것은?4
①개인정보: 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
② 정보주체: 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람
③ 처리: 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유. 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기(破棄), 그 밖에 이와 유사한 행위
④ 개인정보관리자: 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인

11회 개인정보보호법 제3조(개인정보 보호 원칙)에 대한 내용 중 틀린 것은?3
① 개인정보처리자는 개인정보의 처리 목적을 명확하게 하여야 하고 그 목적에 필요한 범위에서 최소한의 개인정보만을 적법하고 정당하게 수집하여야 한다.
② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
③ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 기밀성, 무결성 및 신뢰성이 보장되도록 하여야 한다.
④ 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.

11회 「개인정보 보호법」에서 규정하고 있는 개인정보 중 민감정보에 해당하지 않는 것은?1
① 주민등록번호
② 노동조합 · 정당의 가입·탈퇴에 관한 정보
③ 건강에 관한 정보
④ 사상 · 신념에 관한 정보

11회 다음은 개인정보보호법에 따른 개인정보의 파기에 관하여 설명한 것이다. 옳은 것은?3
① 개인정보처리자는 처리 목적의 달성여부와 관계없이 동의 기간이 경과해야만 개인정보를 파기할 수 있다.
② 개인정보처리자는 동의기간이 경과하더라도 처리목적이 달성되지 못한 경우에는 개인정보를 계속 이용할 수 있다.
③ 개인정보처리자는 개인정보를 파기해야 하는 사유가 발생했을 때에는 정당한 사유가 없는 한 5일 이내에 개인정보를 파기해야 한다.
④ 복원이 불가능한 방법이란 미래에 개발될 기술도 고려하여 파기 후 개인정보의 복구 가능성을 원천 차단한 방법 을 의미한다.

12회 「개인정보보호법」 상에서 민감정보로 명시되어 있는 것은?2
① 혈액형
② 사상·신념
③ 결혼 여부
④ 성별

10회 100만명 미만의 정보 주체에 관한 개인정보를 보유한 중소기업의 내부 관리 계획의 내용에 포함하지 않아도 될 사항은 무엇인가?4
① 개인정보 보호책임자의 지정
② 개인정보 유출 사고 대응 계획 수립, 시행
③ 개인정보의 암호화 조치
④ 개인정보 처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감도

14회 다음 중 개인정보 처리방침에 의무적으로 포함되어야 할 내용이 아닌 것은?2
①개인정보 처리 및 보유 기간
②개인정보 침해 시 구제 방안
③개인정보의 제3자 제공에 관한 사항
④개인정보 보호책임자 및 조직 정보

14회 개인정보 보호책임자와 관련된 설명이다. 옳지 않은 것을 고르시오.2
①개인정보 보호책임자는 기업의 임원이 수행함이 원칙이다.
②개인정보 보호책임자를 별도로 지정하지 않으면 정보보호 최고책임자가 개인정보 보호책임자가 된다.
③임원이 없는 기업의 경우 관련 부서장이 개인정보 보호책임자로 임명될 수 있다.
④개인정보 보호책임자는 정당한 업무 수행에 따른 불이익을 받지 않는다.

14회 다음 중 개인정보 보호 관련 법제에서 개인정보 제공 정보주체의 권리로 가장 거리가 먼 것은?4
①개인정보의 처리에 관한 정보를 제공받을 권리
②개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
③개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
④개인정보 활용으로 얻은 금전적 이익에 대한 보상을 청구할 권리

14회 개인정보 영향평가 시 반드시 고려해야 할 사항이 아닌 것은?4
①처리하는 개인정보의 수
②개인정보의 제3자 제공 여부
③정보주체의 권리를 해할 가능성 및 그 위험 정도
④개인정보 수탁자에 대한 관리 감독

10회 개인정보의 기술적 관리적 보호조치 기준에 따른 접속기록에서 필수 항목이 아닌 것은?2
① 개인정보취급자 식별정보
② 접속포트
③ 수행업무
④ 접속지 정보

12회 고유식별정보는 법령에 따라 개인을 고유하게 구별하기 위하여 부여된 식별정보로서 대통령령으로 정하는 정보이다. 다음 중 개 인정보처리자가 고유식별정보를 처리할 수 있는 경우에 해당하는 것은?2
① 정보주체의 동의를 받지 않은 경우
② 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용하는 경우
③ 교통단속을 위하여 필요한 경우
④ 시설 안전 및 화재 예방을 위하여 필요한 경우

12회 개인정보영향평가 시 반드시 고려할 사항이 아닌 것은?2
① 처리하는 개인정보의 수
② 개인정보 취급자의 인가 여부
③ 개인정보의 제3자 제공 여부
④ 정보주체의 권리를 해할 가능성 및 그 위협

12회 개인정보의 안정성 확보조치 기준(고시)의 제7조(개인정보의 암호화)에 따라 반드시 암호화하여 저장해야하는 개인정보가 아닌 것은?4
① 비밀번호
② 고유식별번호
③ 바이오 정보
④ 전화번호


12회 개인정보처리자는 다음 지문의 사항이 포함된 것을 정하고 이를 정보주체가 쉽게 확인할 수 있게 공개하도록 되어 있다. 다음 지문의 사항이 포함된 문서의 법률적 명칭은 무엇인가?4
[보기]
1. 개인정보의 처리 목적
2. 개인정보의 리 및 보유 기간
3. 개인정보의 제3자의 제공에 관한 사항(해당도는 경우에만 정한다.)
4. 개인정보처리의 위탁에 관한 사항해당도는 경우에만 정한다)
5. 정보주체의 권리의무 및 그 행사방법에 관한 사항
6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

① 개인정보 보호정책
② 표준 개인정보 보호지침
③ 개인정보 보호지침
④ 개인정보 처리방침

11회 OECD 개인정보보안 8원칙에 포함되지 않는 것은 무엇인가?3
① 이용제한의 원칙
② 정보 정확성의 원칙
③ 비공개의 원칙
④ 안전성 확보의 원칙

11회 다음은 개인정보의 안전성 확보조치 기준에서의 인터넷 홈 페이지 취약점 점검과 관련한 설명이다. 옳은 것들을 모두 고른 것은?4
[보기]
a. 인터넷 홈페이지를 통해 고유식별정보를 처리하는 개인정
보처리자는 해당 인터넷 홈페이지에 대해 연 1회 이상 취
약점을 점검하고 필요한 보완 조치를 하여야 한다.
b. 인터넷 홈페이지의 취약점 점검은 개인정보처리자의 자체인 | 력, 보안업체 등을 활용할 수 있으며, 취약점 점검은 상용
도구, 공개용 도구, 자체제작 도구 등을 사용할 수 있다.
c. 웹 취약점 점검과 함께 정기적으로 웹쉘 등을 점검하고 조
치하는 경우 취급 중인 개인정보가 인터넷 홈페이지를 통 해 열람권한이 없는 자에게 공개되거나 유출되는 위험성을 더욱 줄일 수 있다.

① a,b
② b,c
③ a,c
④ a,b,c

11회 개인정보처리자가 개인정보의 수집 시 정보주체의 동의를 받지 않아도 되는 경우로 가장 적절한 것은?3
①개인정보취급 방침에 명시한 경우
② 경제적, 기술적인 사유로 통상적인 동의를 받는 것이 뚜
렷하게 곤란한 경우
③ 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위
하여 불가피한 경우
④ 요금 부과를 위해 필요한 경우

10회 개인정보의 기술적 관리적 보호조치 기준에 따른 접속기록에서 필수 항목이 아닌 것은?2

① 개인정보취급자 식별정보
② 접속포트
③ 수행업무
④ 접속지 정보

10회 개인정보처리자는 다음 지문의 사항이 포함된 것을 정하고 이를 정보 주체가 쉽게 확인할 수 있게 공개하도록 되어 있다. 다음 지문의 사항이 포함된 문서의 법률적 명칭은 무엇인가?4
[보기]
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제 3자의 제공에 관한 사항(해당되는 경우에만 정한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체의 권리의무 및 그 행사방법에 관한 사항
6. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

① 개인정보 보호 정책
② 표준 개인정보 보호지침
③ 개인정보 보호지침
④ 개인정보 처리방침

10회 다음 중 개인정보보호법에 따른 개인정보 수집 시 반드시 정보주체의 동의가 필요한 경우는?1
① 인터넷 홈페이지 등에 공개 된 전화번호 또는 이메일을 통해 직장인 우대 대출, 홍보성 이벤트를 하는 경우
② 동호회의 운영을 위하여 회원의 개인정보를 수집, 이용하는 경우
③ 자동차 구매를 위해 고객의 명함을 받은 자동차판매점 담당 직원이 자동차 구매 관련 정보 제공을 위해 명함에 기재 된 연락처를 이용하는 경우
④ 소방서에서 홍수로 고립된 사람을 구조하기 위해 위치정보를 수집하는 경우

정보보안기사 필기 독학 / 정보보안 관리 및 법규 / 2. 정보보호 관리 및 대책, ISMS-P

ISMS-P 인증의 구성

ISMS 인증은 ISMS 의무인증 기업이 받아야 하는 인증으로 관리체계 수립 및 운영, 보호대책 요구사항에 대해서 인증을 합니다. ISMS-P 인증은 한국인터넷진흥원에서 제도 운영을 담당하며, ISMS 인증을 받은 기업이 개인정보 처리 단계별 요구사항의 인증기준을 준수하면 부여되는 인증입니다. 3개 분류에서 총 102개 항목을 심사합니다.

정보보호 관리체계 인증제도

정보통신서비스와 직접적인 관련성이 낮은 전사적 자원관 리시스템(ERP), 분석용 데이터베이스(DW), 그룹웨어 등 기업 내부 시스템, 영업/마케팅 조직은 일반적으로 인증 범위에서 제외해도 됩니다. 인증범위는 신청기관이 제공하는 정보통신서비스를 기준 으로 해당 서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직 등을 포함하여야 합니다. 

정보보호 관리체계 의무인증 대상 기업이 인증 받지 않은 경우 3천만원 이하의 과태료를 부과합니다. 

IMS 의무인증 대상자 :

- (ISP) 전기통신사업법의 전기통신 사업자로 전국적으로 정보통신망 서비스를 제공하는 사업자

- (IDC) 타인의 정보통신 서비스 제공을 위하여 집적된 정보통신 시설을 운영, 관리하는 사업자

- (정보통신버시스 제공자) 정보통신서비스 매출액 100억 또는 이용자 수 100만 명 이상인 사업자

- 연간 매출액 및 세입 등이 1500억 이상인 상급종합병원, 1만 이상 재학생이 있는 학교

정보보호제품 평가 · 인증 제도 

민간업체 등에서 개발한 정보보호시스템을 국제표준인 ISO 15408 및 ISO 18045를 이용하여 보안기능에 대한 안정성과 신뢰성을 보증함으로써 사용자들이 안심하고 정보보호시스템 을 사용할 수 있도록 지원하는 제도입니다.

관련 문제

12회 10회 정보보호 사전점검에 대한 설명으로 옳은 것은? 4
① 정보보호 사전점검은 전자적 침해행위에 대비하기 위한 정보시스템의 취약점 분석 평가와 이에 기초한 보호대책 의 제시 또는 정보보호 관리체계 구축 등을 주된 목적으로 한다.
② 방송통신위원회는 사업자가 사전점검을 실시하거나 실시 계약을 체결한 경우 해당 사업 또는 서비스에 대하여 가점을 부여하는 등 우대조치를 할 수 있다.
③ 사전점검 수행기관으로 지정받으려는 자는 수행기관 지정 신청서를 방송통신위원회에 제출하여야 한다.
④ 사전점검 대상 범위는 제공하려는 사업 또는 정보통신 서비스를 구성하는 하드웨어, 소프트웨어, 네트워크 등의 유무형 설비 및 시설을 대상으로 한다.

12회 다음 정보보호 관리체계 인증제도에 대한 설명으로 가장 적절하 지 않은 것은?3
① 정보통신서비스와 직접적인 관련성이 낮은 전사적 자원관 리시스템(ERP), 분석용 데이터베이스(DW), 그룹웨어 등 기업 내부 시스템, 영업/마케팅 조직은 일반적으로 인증 범위에서 제외해도 된다.
② 인증범위는 신청기관이 제공하는 정보통신서비스를 기준 으로 해당 서비스에 포함되거나 관련 있는 자산(시스템,
설비, 시설 등), 조직 등을 포함하여야 한다.
③ ISMS 의무인증범위 내에 있는 서비스, 자산, 조직(인력)을 보호하기 위한 보안시스템은 포함 대상에서 제외해도 된다.
④해당 서비스의 직접적인 운영 및 관리를 위한 백오피스 시스템은 인증범위에 포함되며, 해당 서비스와 관련이 없더
라도 그 서비스의 핵심정보자산에 접근가능 하다면 포함 하여야 한다.

11회 정보보호 관리체계 인증제도에 대한 설명으로 가장 적절하지 않은 것은?4
① 인증대상은 임의신청자와 의무대상자로 구분되며, 인공 의무대상자가 인증을 받지 않으면 과태료 3천만원이 부과된다.
② 임의신청자의 경우 인증범위를 신청기관이 정하여 신청할 수 있으며, 심사기준 및 심사절차는 의무대상자 심사와 동일하다.
③ 정보통신망법 제46조에 따른 집적정보통신시설 사업자는 의무대상자이다.
④ 전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 10만명 이상인 자는 대상이다.

11회 다음 지문이 설명하는 정보보호 관련 제도는?1
[보기]
민간업체 등에서 개발한 정보보호시스템을 국제표준인 ISO 15408 및 ISO 18045를 이용하여 보안기능에 대한 안정성과 신뢰성을 보증함으로써 사용자들이 안심하고 정보보호시스템 을 사용할 수 있도록 지원하는 제도
① 정보보호제품 평가 · 인증 제도
② 정보보호 관리체계 인증 제도
③ 보안적합성 검증 제도
④ 암호모들 검증 제도

10회 다음 중 정보보호관리체계 의무 대상자에 해당하지 않는 것은?3
① 고객의 개인정보를 100만명 이상 보유하고 있는 전자상거래 사업자
② 전기통신사업법의 전기통신사업자로 서울 특별시 및 모든 광역시에서 정보통신망 서비스를 제공하는 사업자
③ 상급 종합병원
④ 정보통신서비스 부문 전년도 매출액이 100억 이상인 사업자

14회 ISMS-P에 대한 설명으로 옳지 않은 것은?3
①한국인터넷진흥원에서 제도 운영을 담당한다.
②3개 분류에서 총 102개 항목을 심사한다.
③인증심사기관 지정 유효기간은 5년이며, 6개월 전에 갱신 신청을 해야 한다.
④ISMS-P가 아닌 ISMS만 취득하고자 할 경우 일부 항목에 대한 평가는 생략된다.

11회 다음 중 ISMS(Information Security Management System) 의 각 단계에 대한 설명으로 옳은 것은?2
① 계획 : ISMS 모니터링과 검토
② 조치 : ISMS 관리와 개선
③ 수행 : ISMS 수립
④ 점검 : ISMS 구현과 운영

14회 정보보호 대책 마련과 관련된 절차이다. 올바른 순서대로 나열한 것은?4
ㄱ. 위험관리
ㄴ. 경영진 책임 및 조직 구성
ㄷ. 사후관리
ㄹ. 정보보호대책 수립
ㅁ. 정책 수립 및 범위 설정
①ㄱ-ㄴ-ㄷ-ㄹ-ㅁ
②ㄴ-ㄱ-ㄹ-ㅁ-ㄷ
③ㄷ-ㄱ-ㄴ-ㅁ-ㄹ
④ㅁ-ㄴ-ㄱ-ㄹ-ㄷ

11회 다음은 정보보호 정책 및 조직과 관련한 설명이다. 옳지 않은 것은?1
① 조직이 수행하는 모든 정보보호 활동의 근거를 포함할 수 있도록 정보보호정책을 수립해야 하며, 이러한 정책은 조 직과 관련한 것이므로 국가나 관련 산업에서 정하는 정보 보호 관련 법, 규제를 고려할 필요는 없다.
② 조직에 미치는 영향을 고려하여 중요한 업무, 서비스, 조직, 자산 등을 포함할 수 있도록 정보보호 관리체계 범위를 설
정하고 범위 내 모든 자산을 식별하여 문서화하여야 한다.
③ 정보보호 관리체계 수립 및 운영 등 조직이 수행하는 정보
보호 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립해야 한다.
④최고경영자는 조직의 규모, 업무 중요도 분석을 통해 정 보보호 관리체계의 지속적인 운영이 가능하도록 정보보 호 조직을 구성하고 정보보호 관리체계 운영 활동을 수행 하는데 필요한 자원을 확보하여야 한다.


11회 다음은 정보보호 교육과 관련한 설명이다. 옳지 않은 것은?1
①교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호 교육 계획을 수립하면서, 대상에는 정보보 호 관리체계 범위 내 임직원을 포함시켜야 하고, 외부용역 인력은 제외해도 무방하다.
②교육에는 정보보호 및 정보보호 관리 체계 개요, 보안사
고 사례, 내부 규정 및 절차, 법적 책임 등의 내용을 포함 하고 일반 임직원, 책임자, IT 및 정보보호 담당자 등 각 직무별 전문성 제고에 적합한 교육내용 및 방법을 정하여야 한다.
③ 연 1회 이상 교육을 시행하고 정보보호 정책 및 절차의 중 대한 변경, 조직 내·외부 보안사고 발생, 관련 법규 변경
등의 사유가 발생할 경우 추가 교육을 수행해야 한다.
④ 교육 내용에는 구성원들이 무엇을 해야 하며, 어떻게 할
수 있는지에 대한 것을 포함해야 하며, 가장 기본적인 보 안 단계의 실행에서부터 좀 더 고급의 전문화된 기술에 이르기까지 다양한 단계로 나누어 구성할 수 있다.

10회 85. 다음 지문은 무엇을 설명하고 있는가?1
[보기]
이 역할의 책임은 정보보호 프로그램의 실행 감독 및 정책, 명령체계, 정보보호의식 프로그램 등을 유지 관리하고 정보보호 사고를 조사하며, 정보보호위원회에 제반 사항을 보고하는 것이다.
① 정보보호 관리자
② 비상상황관리 위원회
③ 시스템 관리자
④ 현업 관리자

10회 다음 중 용어에 대한 설명이 옳지 않은 것은?1
① 정성적 기준: 자산 도입 비용, 자산 복구 비용, 자산 교체 비용이 기준이 됨
② 정보보호 관리체계: 정보보호의 목적인 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차 및 과정을 수립하고, 문서화하여 지속적으로 관리, 운영하는 것을 의미
③ 정보보호의 정책: 어떤 조직의 기술과 정보자산에 접근하려는 사람이 따라야 하는 규칙의 형식적인 진술을 의미
④ 위험분석: 위험을 분석하고, 해석하는 과정으로 조직 자산의 취약점을 식별, 위협분석을 통해 위협의 내용과 정도를 결정하는 과정을 의미

10회 다음 중 외주 및 협력업체의 인력에 대한 보안을 강화하기 위한 보호대책으로 적절하지 않은 것은?4
① 외부위탁 용역 및 협력업체 인력과의 계약서에 보안 관련 사항을 포함시켜야 한다.
② 협력업체 직원 등의 외주 인력은 회사 업무 수행 시 내부 직원과 동일한 수준으로 정보보호 정책을 준수하여야 한다.
③ 외부 인력에게 회사의 중요 정보의 접근을 허용하는 경우 한시적으로 제한하여 허용하고, 주기적인 점검이 이루어져야 한다.
④ 업무상 필요에 의해 협력업체 직원이 회사 정보 시스템에 대한 접속 및 외부로의 접속이 요구되는 경우 협력업체 책임자의 승인을 받는다.

9회 ( 가 )안에 들어갈 내용으로 맞는 것은?1
[보기]
제47조(정보보호 관리체계의 인증) ① 과학기술정보통신부관은 정보동신망의 안정성 • 신뢰성 확보를 위하여 ( 가 ) 보호조치를 포함한 종합적 관리체계(이하 "정보보호 관리체계"라 한다)를 수립 • 운영하고 있는 자에 대하여 저3항에 따른 가준에 적합한지에 관하여 인증을 할 수 있다.
① 관리적 • 기술적 • 물리적
② 위험 분석적
③ 기밀성 • 무결성 • 가용성
④ 지속적 • 구조적 • 탄력적

9회 업무영향분석 시 고려해야 할 내용으로 가장 거리가 먼 것은?1
① 복구 정확성, 비상시 의무사항 수행, 대체 백업 사이트의 처리 역량 검증
② 사건 발생 이후 시간이 경과함에 따라 손해 혹은 손실이 점증되는 정도
③ 최소한의 운영에 필요한 직원, 시설, 서비스를 복구하는데 소요되는 시간
④ 수입상실, 추가적 비용부담, 신용상실 등과 같은 형태의 손실

9회 정보보호정책 수립 시에 정보보호 목표를 선정함에 있어 고려해야 할 사항으로 적절하지 않은 것은?2
① 사용자에게 제공하는 서비스의 이점이 위협의 비중보다 크다면 정보보호관리자는 사용자들이 위험으로부터 서비스를 안전하게 사용할 수 있도록 보호대책을 수립하여야 한다.
②누구나 쉽게 시스템에 접근하여 사용할 수 있다면 사용하기에 편리할 수 있도록 하여야 한다. 다만 각종 위협으로부터 완전히 노출되어 있이서 정보보호관리자는 시스템의 안전성을 고려하는 것보다는 시스템 사용의 용이성을 최우선과제로 선정해야한다. 」
③ 정보보호정책의 적용 영역은 정보기술 , 저장된 정보, 기술에 의해 조직된 정보의 모든 형태를 포함한다.
④ 정보보호를 하기 위해서는 비용이 많이 소요되므로 프라이버시 침해에 따른 손실, 서비스 침해에 따른 손실 등을 고려하여 신중하게 결정해야 한다.


9회 다음 중 아래에 대한 설명으로 가장 적합한 것은?2
[보기]
정보보호 목적과 구성, 기본 방침, 정보보호 실행계획 수립, 보안에 대한 역할과책임, 정보자산/정보시스템의 보안, 규정의 준수, 보안정책운용 정보를 포함한 문서
① 위험분석서
② 정보보호정책서
③ 업무연속성계획서
④ 업무영향평가서

8회 다음의 ISMS 인증 의무 대상자에 대한 설명으로 잘못 기술 된 것은?4
① 전기통신사업법의 전기통신사업자로 전국적으로 정보통신망 서비스를 제공히는 사업자
② 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시 설을 운영 • 관리하는 사업자
③ 정보통신서비스 부문 전년도 매출액 100억 이상 사업자
④ 전년도말 기준 직전 6월간 일일 평균 이용자 수 100만명 이상 사업자

8회 다음의 보기 중에서 일반직원 대상의 통상적인 정보보호 교육 및 훈련의 내용에 해당되지 않는 것은?4
① 정보보호 요구사항
② 정보보호 사고 발생 시의 사용자의 법적인 책임
③ 조직의 정보보호 관리통제 방법
④ 조직의 정보보호 시스템 구성도 및 운영방법

8회 아래는 정보통신망 이용촉진 및 정보보호 등에 관한 법률의 한 규정의 내용이다. ( )안에 들어갈 말로서 바르게 나열된 것은?1
[보기]
"정보통신서비스제공자는 이용자의 개인정보를 ( )하려고 ( ) 하는 때에는 다음 각 호의 () 사항에 대하여 이용자에게 알 리고 ( )를 얻어야 한다. 다음 각 호의 어느 하나의 사항을 ( )하려는 때에도 또한 같다.
1. 개인정보의 수집·이용 목적
2. 수집하는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간

① 이용 - 수집 - 모든 - 동의 - 변경
② 이용 - 보유 - 개별 - 양해 - 수정
③ 사용 - 보유 - 개별 - 양해 - 수정
④ 이용 - 수집 - 모든 - 양해 - 변경

8회 다음 보기 중에서 통상적으로 정보보호 정책서에 기술하지 않는 항목은?4
① 정보보호 목적과 구성
② 정보보호 실행 계획 수립
③ 보안에 대한 역할과 책임
④ 정보보호 선언

6회 다음 중 정보보호 관리 체계(ISMS)의 관리 과정 순서로 올바른 것은?3
가. 정보보호 정책 수립 및 범위 설정
나. 위험관리
다. 사후 관리
라. 경영진 책임 및 조직 구성
마. 정보보호 대책 구현

① 마-라-다-나-가
② 가-나-다-라-마
③ 가-라-나-마-다
④ 나-가-다-라-마

6회 다음 중 정보보호 관리 체계의 정보보호 관리 과정에 포함되지 않는 것은?4
① 정보보호 정책 수립 및 범위 설정
② 사후 관리
③ 정보보호 대책 구현
④ 구현