정보보안기사 필기 독학 / 정보보안 관리 및 법규 / 2. 정보보호 관리 및 대책, ISMS-P
ISMS-P 인증의 구성
ISMS 인증은 ISMS 의무인증 기업이 받아야 하는 인증으로 관리체계 수립 및 운영, 보호대책 요구사항에 대해서 인증을 합니다. ISMS-P 인증은 한국인터넷진흥원에서 제도 운영을 담당하며, ISMS 인증을 받은 기업이 개인정보 처리 단계별 요구사항의 인증기준을 준수하면 부여되는 인증입니다. 3개 분류에서 총 102개 항목을 심사합니다.
정보보호 관리체계 인증제도
정보통신서비스와 직접적인 관련성이 낮은 전사적 자원관 리시스템(ERP), 분석용 데이터베이스(DW), 그룹웨어 등 기업 내부 시스템, 영업/마케팅 조직은 일반적으로 인증 범위에서 제외해도 됩니다. 인증범위는 신청기관이 제공하는 정보통신서비스를 기준 으로 해당 서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직 등을 포함하여야 합니다.
정보보호 관리체계 의무인증 대상 기업이 인증 받지 않은 경우 3천만원 이하의 과태료를 부과합니다.
IMS 의무인증 대상자 :
- (ISP) 전기통신사업법의 전기통신 사업자로 전국적으로 정보통신망 서비스를 제공하는 사업자
- (IDC) 타인의 정보통신 서비스 제공을 위하여 집적된 정보통신 시설을 운영, 관리하는 사업자
- (정보통신버시스 제공자) 정보통신서비스 매출액 100억 또는 이용자 수 100만 명 이상인 사업자
- 연간 매출액 및 세입 등이 1500억 이상인 상급종합병원, 1만 이상 재학생이 있는 학교
정보보호제품 평가 · 인증 제도
민간업체 등에서 개발한 정보보호시스템을 국제표준인 ISO 15408 및 ISO 18045를 이용하여 보안기능에 대한 안정성과 신뢰성을 보증함으로써 사용자들이 안심하고 정보보호시스템 을 사용할 수 있도록 지원하는 제도입니다.
관련 문제
12회 10회 정보보호 사전점검에 대한 설명으로 옳은 것은? 4
① 정보보호 사전점검은 전자적 침해행위에 대비하기 위한 정보시스템의 취약점 분석 평가와 이에 기초한 보호대책 의 제시 또는 정보보호 관리체계 구축 등을 주된 목적으로 한다.
② 방송통신위원회는 사업자가 사전점검을 실시하거나 실시 계약을 체결한 경우 해당 사업 또는 서비스에 대하여 가점을 부여하는 등 우대조치를 할 수 있다.
③ 사전점검 수행기관으로 지정받으려는 자는 수행기관 지정 신청서를 방송통신위원회에 제출하여야 한다.
④ 사전점검 대상 범위는 제공하려는 사업 또는 정보통신 서비스를 구성하는 하드웨어, 소프트웨어, 네트워크 등의 유무형 설비 및 시설을 대상으로 한다.
12회 다음 정보보호 관리체계 인증제도에 대한 설명으로 가장 적절하 지 않은 것은?3
① 정보통신서비스와 직접적인 관련성이 낮은 전사적 자원관 리시스템(ERP), 분석용 데이터베이스(DW), 그룹웨어 등 기업 내부 시스템, 영업/마케팅 조직은 일반적으로 인증 범위에서 제외해도 된다.
② 인증범위는 신청기관이 제공하는 정보통신서비스를 기준 으로 해당 서비스에 포함되거나 관련 있는 자산(시스템,
설비, 시설 등), 조직 등을 포함하여야 한다.
③ ISMS 의무인증범위 내에 있는 서비스, 자산, 조직(인력)을 보호하기 위한 보안시스템은 포함 대상에서 제외해도 된다.
④해당 서비스의 직접적인 운영 및 관리를 위한 백오피스 시스템은 인증범위에 포함되며, 해당 서비스와 관련이 없더
라도 그 서비스의 핵심정보자산에 접근가능 하다면 포함 하여야 한다.
11회 정보보호 관리체계 인증제도에 대한 설명으로 가장 적절하지 않은 것은?4
① 인증대상은 임의신청자와 의무대상자로 구분되며, 인공 의무대상자가 인증을 받지 않으면 과태료 3천만원이 부과된다.
② 임의신청자의 경우 인증범위를 신청기관이 정하여 신청할 수 있으며, 심사기준 및 심사절차는 의무대상자 심사와 동일하다.
③ 정보통신망법 제46조에 따른 집적정보통신시설 사업자는 의무대상자이다.
④ 전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 10만명 이상인 자는 대상이다.
11회 다음 지문이 설명하는 정보보호 관련 제도는?1
[보기]
민간업체 등에서 개발한 정보보호시스템을 국제표준인 ISO 15408 및 ISO 18045를 이용하여 보안기능에 대한 안정성과 신뢰성을 보증함으로써 사용자들이 안심하고 정보보호시스템 을 사용할 수 있도록 지원하는 제도
① 정보보호제품 평가 · 인증 제도
② 정보보호 관리체계 인증 제도
③ 보안적합성 검증 제도
④ 암호모들 검증 제도
10회 다음 중 정보보호관리체계 의무 대상자에 해당하지 않는 것은?3
① 고객의 개인정보를 100만명 이상 보유하고 있는 전자상거래 사업자
② 전기통신사업법의 전기통신사업자로 서울 특별시 및 모든 광역시에서 정보통신망 서비스를 제공하는 사업자
③ 상급 종합병원
④ 정보통신서비스 부문 전년도 매출액이 100억 이상인 사업자
14회 ISMS-P에 대한 설명으로 옳지 않은 것은?3
①한국인터넷진흥원에서 제도 운영을 담당한다.
②3개 분류에서 총 102개 항목을 심사한다.
③인증심사기관 지정 유효기간은 5년이며, 6개월 전에 갱신 신청을 해야 한다.
④ISMS-P가 아닌 ISMS만 취득하고자 할 경우 일부 항목에 대한 평가는 생략된다.
11회 다음 중 ISMS(Information Security Management System) 의 각 단계에 대한 설명으로 옳은 것은?2
① 계획 : ISMS 모니터링과 검토
② 조치 : ISMS 관리와 개선
③ 수행 : ISMS 수립
④ 점검 : ISMS 구현과 운영
14회 정보보호 대책 마련과 관련된 절차이다. 올바른 순서대로 나열한 것은?4
ㄱ. 위험관리
ㄴ. 경영진 책임 및 조직 구성
ㄷ. 사후관리
ㄹ. 정보보호대책 수립
ㅁ. 정책 수립 및 범위 설정
①ㄱ-ㄴ-ㄷ-ㄹ-ㅁ
②ㄴ-ㄱ-ㄹ-ㅁ-ㄷ
③ㄷ-ㄱ-ㄴ-ㅁ-ㄹ
④ㅁ-ㄴ-ㄱ-ㄹ-ㄷ
11회 다음은 정보보호 정책 및 조직과 관련한 설명이다. 옳지 않은 것은?1
① 조직이 수행하는 모든 정보보호 활동의 근거를 포함할 수 있도록 정보보호정책을 수립해야 하며, 이러한 정책은 조 직과 관련한 것이므로 국가나 관련 산업에서 정하는 정보 보호 관련 법, 규제를 고려할 필요는 없다.
② 조직에 미치는 영향을 고려하여 중요한 업무, 서비스, 조직, 자산 등을 포함할 수 있도록 정보보호 관리체계 범위를 설
정하고 범위 내 모든 자산을 식별하여 문서화하여야 한다.
③ 정보보호 관리체계 수립 및 운영 등 조직이 수행하는 정보
보호 활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립해야 한다.
④최고경영자는 조직의 규모, 업무 중요도 분석을 통해 정 보보호 관리체계의 지속적인 운영이 가능하도록 정보보 호 조직을 구성하고 정보보호 관리체계 운영 활동을 수행 하는데 필요한 자원을 확보하여야 한다.
11회 다음은 정보보호 교육과 관련한 설명이다. 옳지 않은 것은?1
①교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 정보보호 교육 계획을 수립하면서, 대상에는 정보보 호 관리체계 범위 내 임직원을 포함시켜야 하고, 외부용역 인력은 제외해도 무방하다.
②교육에는 정보보호 및 정보보호 관리 체계 개요, 보안사
고 사례, 내부 규정 및 절차, 법적 책임 등의 내용을 포함 하고 일반 임직원, 책임자, IT 및 정보보호 담당자 등 각 직무별 전문성 제고에 적합한 교육내용 및 방법을 정하여야 한다.
③ 연 1회 이상 교육을 시행하고 정보보호 정책 및 절차의 중 대한 변경, 조직 내·외부 보안사고 발생, 관련 법규 변경
등의 사유가 발생할 경우 추가 교육을 수행해야 한다.
④ 교육 내용에는 구성원들이 무엇을 해야 하며, 어떻게 할
수 있는지에 대한 것을 포함해야 하며, 가장 기본적인 보 안 단계의 실행에서부터 좀 더 고급의 전문화된 기술에 이르기까지 다양한 단계로 나누어 구성할 수 있다.
10회 85. 다음 지문은 무엇을 설명하고 있는가?1
[보기]
이 역할의 책임은 정보보호 프로그램의 실행 감독 및 정책, 명령체계, 정보보호의식 프로그램 등을 유지 관리하고 정보보호 사고를 조사하며, 정보보호위원회에 제반 사항을 보고하는 것이다.
① 정보보호 관리자
② 비상상황관리 위원회
③ 시스템 관리자
④ 현업 관리자
10회 다음 중 용어에 대한 설명이 옳지 않은 것은?1
① 정성적 기준: 자산 도입 비용, 자산 복구 비용, 자산 교체 비용이 기준이 됨
② 정보보호 관리체계: 정보보호의 목적인 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차 및 과정을 수립하고, 문서화하여 지속적으로 관리, 운영하는 것을 의미
③ 정보보호의 정책: 어떤 조직의 기술과 정보자산에 접근하려는 사람이 따라야 하는 규칙의 형식적인 진술을 의미
④ 위험분석: 위험을 분석하고, 해석하는 과정으로 조직 자산의 취약점을 식별, 위협분석을 통해 위협의 내용과 정도를 결정하는 과정을 의미
10회 다음 중 외주 및 협력업체의 인력에 대한 보안을 강화하기 위한 보호대책으로 적절하지 않은 것은?4
① 외부위탁 용역 및 협력업체 인력과의 계약서에 보안 관련 사항을 포함시켜야 한다.
② 협력업체 직원 등의 외주 인력은 회사 업무 수행 시 내부 직원과 동일한 수준으로 정보보호 정책을 준수하여야 한다.
③ 외부 인력에게 회사의 중요 정보의 접근을 허용하는 경우 한시적으로 제한하여 허용하고, 주기적인 점검이 이루어져야 한다.
④ 업무상 필요에 의해 협력업체 직원이 회사 정보 시스템에 대한 접속 및 외부로의 접속이 요구되는 경우 협력업체 책임자의 승인을 받는다.
9회 ( 가 )안에 들어갈 내용으로 맞는 것은?1
[보기]
제47조(정보보호 관리체계의 인증) ① 과학기술정보통신부관은 정보동신망의 안정성 • 신뢰성 확보를 위하여 ( 가 ) 보호조치를 포함한 종합적 관리체계(이하 "정보보호 관리체계"라 한다)를 수립 • 운영하고 있는 자에 대하여 저3항에 따른 가준에 적합한지에 관하여 인증을 할 수 있다.
① 관리적 • 기술적 • 물리적
② 위험 분석적
③ 기밀성 • 무결성 • 가용성
④ 지속적 • 구조적 • 탄력적
9회 업무영향분석 시 고려해야 할 내용으로 가장 거리가 먼 것은?1
① 복구 정확성, 비상시 의무사항 수행, 대체 백업 사이트의 처리 역량 검증
② 사건 발생 이후 시간이 경과함에 따라 손해 혹은 손실이 점증되는 정도
③ 최소한의 운영에 필요한 직원, 시설, 서비스를 복구하는데 소요되는 시간
④ 수입상실, 추가적 비용부담, 신용상실 등과 같은 형태의 손실
9회 정보보호정책 수립 시에 정보보호 목표를 선정함에 있어 고려해야 할 사항으로 적절하지 않은 것은?2
① 사용자에게 제공하는 서비스의 이점이 위협의 비중보다 크다면 정보보호관리자는 사용자들이 위험으로부터 서비스를 안전하게 사용할 수 있도록 보호대책을 수립하여야 한다.
②누구나 쉽게 시스템에 접근하여 사용할 수 있다면 사용하기에 편리할 수 있도록 하여야 한다. 다만 각종 위협으로부터 완전히 노출되어 있이서 정보보호관리자는 시스템의 안전성을 고려하는 것보다는 시스템 사용의 용이성을 최우선과제로 선정해야한다. 」
③ 정보보호정책의 적용 영역은 정보기술 , 저장된 정보, 기술에 의해 조직된 정보의 모든 형태를 포함한다.
④ 정보보호를 하기 위해서는 비용이 많이 소요되므로 프라이버시 침해에 따른 손실, 서비스 침해에 따른 손실 등을 고려하여 신중하게 결정해야 한다.
9회 다음 중 아래에 대한 설명으로 가장 적합한 것은?2
[보기]
정보보호 목적과 구성, 기본 방침, 정보보호 실행계획 수립, 보안에 대한 역할과책임, 정보자산/정보시스템의 보안, 규정의 준수, 보안정책운용 정보를 포함한 문서
① 위험분석서
② 정보보호정책서
③ 업무연속성계획서
④ 업무영향평가서
8회 다음의 ISMS 인증 의무 대상자에 대한 설명으로 잘못 기술 된 것은?4
① 전기통신사업법의 전기통신사업자로 전국적으로 정보통신망 서비스를 제공히는 사업자
② 타인의 정보통신서비스 제공을 위하여 집적된 정보통신시 설을 운영 • 관리하는 사업자
③ 정보통신서비스 부문 전년도 매출액 100억 이상 사업자
④ 전년도말 기준 직전 6월간 일일 평균 이용자 수 100만명 이상 사업자
8회 다음의 보기 중에서 일반직원 대상의 통상적인 정보보호 교육 및 훈련의 내용에 해당되지 않는 것은?4
① 정보보호 요구사항
② 정보보호 사고 발생 시의 사용자의 법적인 책임
③ 조직의 정보보호 관리통제 방법
④ 조직의 정보보호 시스템 구성도 및 운영방법
8회 아래는 정보통신망 이용촉진 및 정보보호 등에 관한 법률의 한 규정의 내용이다. ( )안에 들어갈 말로서 바르게 나열된 것은?1
[보기]
"정보통신서비스제공자는 이용자의 개인정보를 ( )하려고 ( ) 하는 때에는 다음 각 호의 () 사항에 대하여 이용자에게 알 리고 ( )를 얻어야 한다. 다음 각 호의 어느 하나의 사항을 ( )하려는 때에도 또한 같다.
1. 개인정보의 수집·이용 목적
2. 수집하는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
① 이용 - 수집 - 모든 - 동의 - 변경
② 이용 - 보유 - 개별 - 양해 - 수정
③ 사용 - 보유 - 개별 - 양해 - 수정
④ 이용 - 수집 - 모든 - 양해 - 변경
8회 다음 보기 중에서 통상적으로 정보보호 정책서에 기술하지 않는 항목은?4
① 정보보호 목적과 구성
② 정보보호 실행 계획 수립
③ 보안에 대한 역할과 책임
④ 정보보호 선언
6회 다음 중 정보보호 관리 체계(ISMS)의 관리 과정 순서로 올바른 것은?3
가. 정보보호 정책 수립 및 범위 설정
나. 위험관리
다. 사후 관리
라. 경영진 책임 및 조직 구성
마. 정보보호 대책 구현
① 마-라-다-나-가
② 가-나-다-라-마
③ 가-라-나-마-다
④ 나-가-다-라-마
6회 다음 중 정보보호 관리 체계의 정보보호 관리 과정에 포함되지 않는 것은?4
① 정보보호 정책 수립 및 범위 설정
② 사후 관리
③ 정보보호 대책 구현
④ 구현