정보보호위험관리사(ISRM) 샘플문제(1) - 정보보호위험관리계획

 

I. 정보보호 위험관리 계획 – 1. 정보보호 관리의 이해

[문제 1] 다음 중 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에서 명시하는 정보보호의 주요 목적에 해당하지 않는 것은 무엇인가?

1 정보의 기밀성 유지
2 정보의 무결성 보장
3 정보의 가용성 확보
4 정보의 경제성 증대

 

정보보호 목적: 기밀성, 무결성, 가용성

 

[문제 2] 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」에 따라 정보통신서비스 제공자가 준수해야 할 정보보호 조치로 옳지 않은 것은?

1 개인정보의 암호화 저장
2 정보보호 최고책임자(CISO)의 지정
3 정보보호 관리체계(ISMS) 인증 의무
4 정보보호 교육의 정기적 실시

 

ISMS 인증: 일정 규모 이상 정보통신서비스 제공자에게만 의무화

 

[문제 3] 다음 중 정보자산 관리에 대한 설명으로 옳은 것을 모두 골라 바르게 묶은 것은?

ᄀ 정보자산별로 책임자 및 관리자를 지정하고 자산목록에 기록한다.
ᄂ (전자)문서는 보안등급(기밀, 대외비, 일반 등)을 식별할 수 있도록 문서 표지 또는 워터마킹을 통하여 표시한다.
ᄃ 정보자산의 도입·변경·폐기 등으로 정보자산 현황이 변경될 경우 정보자산별 책임자 및 담당자를 파악하여 자산목록에 반영한다. ᄅ 서버 등 하드웨어 자산은 자산번호 또는 바코드 표시를 통해 보안등급을 확인한다.
ᄆ 정보자산의 보안등급과는 별개로 취급절차(생성·도입, 저장, 이용, 파기 등) 및 보안통제 기준을 수립·이행한다.

 

정보자산의 보안등급에 따라 취급절차 및 보안통제 기준을 수립, 이행해야 함

 

[문제 4] 정보보호 정책 수립 시 위험평가를 위하여 고려하여야 하는 사항이 아닌 것은?

1 조직의 특성 반영
2 정보시스템 이용자수
3 선정할 위험평가 방법
4 최신 위협동향 고려

 

고려사항: 위험평가 방법(베이스라인 접근법, 상세위험 접근법 등), 조직의 특성, 다양한 관점 고려, 최신 취약점 및 위협동향 고려

 

[문제 5] 위험평가를 위한 정보자산의 식별 과정에서의 조치로 옳지 않은 것은?

1 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리한다.
2 식별된 정보자산에 대한 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안 등급을 부여한다.
3 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지한다.
4 정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나, 당사의 개인정보가 아니므로 제외한다.

 

제3자로부터 받은 개인정보 포함

 

[문제 6] 주요정보통신기반시설의 취약점 분석·평가 기준으로 옳지 않은 것은?

1 주요정보통신기반시설 관리기관은 취약점 분석ᆞ평가 수행주체(자체ᆞ외부위탁), 수행절차, 소요예산, 산출물 등을 포함한 자체 세부 계획을 수립한다.
2 정보시스템, 제어시스템 등 자산을 식별하고, 유형별(네트워크, 보안, 시스템)로 그룹화하여, 취약점 분석ᆞ평가 대상 목록을 작성한다.
3 식별된 대상목록의 각 자산에 대하여 중요도를 산정한다.
4 주요정보통신기반시설의 특성을 고려하여 최상ᆞ상ᆞ중ᆞ하, 1∼4등급 등으로 구분하여 중요도를 나눈다.

 

위험등급: 상, 중, 하, 3등급으로 구분

 

 

I. 정보보호 위험관리 계획 – 2. 정보보호 위험관리 거버넌스

[문제 7] 정보보호 최고책임자의 자격요건으로 옳은 것은?

1 정보기술 분야 국내 학사학위를 취득한 사람
2 정보보호 분야 해외 석사학위 이상의 학위를 취득한 사람
3 정보보호 분야 학위 없이 해당 분야 업무를 12년 수행한 경력이 있는 사람
4 정보보호 분야 국내 학사학위를 취득하고 정보보호 분야 업무를 2년 수행한 경력이 있는 사람

 

CISO 자격 요건 : 석사 학위, 학사 학위 + 3년 경력, 전문 학사 학위 + 5년 경력, 10년 이상 경력, isms 인증심사원 자격, 정보보안 부서의 장 1년 이상 경력

 

[문제 8] 위험관리를 위해 정보보호담당자가 수행하는 업무에 대한 설명으로 옳지 않은 것은?

1 조직의 특성에 맞게 정보자산의 분류기준을 수립하고, 분류 기준에 따라 정보자산을 빠짐없이 식별한다.
2 법적 요구사항이나 업무에 미치는 영향 등 각 자산 특성에 맞는 보안등급 평가기준 결정한다.
3 보안등급 평가기준에 따라 정보자산별 보안등급 산정 및 목록으로 관리한다.
4 위험관리를 수행할 때, 제3자로부터 제공받은 개인정보의 경우, 자산 식별 시 제외하고 진행하여야 한다.

 

제3자로부터 제공받은 개인정보 포함

 

[문제 9] 경영진은 주기적으로 위험 관리 활동의 효과성을 평가하여야 한다. 경영진이 필요 시 조치하는 개선 방안에 해당하지 않는 것은?

1 수행 주체 변경
2 수행 주기 조정
3 수행 장비 변경
4 운영활동의 추가·변경·삭제 등

 

[문제 10] 위험관리 방안과 그를 위한 조치사항을 바르게 묶은 것을 모두 고르면?

ᄀ 위험 수용 : 개인정보처리시스템의 로그인 패스워드 복잡도와 길이를 3가지 문자조합 및 8글자 이상으로 강제 설정되도록 패스워드 설정 모듈을 개발하여 적용한다. 
ᄂ 위험 회피 : 회사 홍보용 인터넷 홈페이지에서는 회원 관리에 따른 리스크가 크므로 회원 가입을 받지 않는 것으로 변경하고 기존 회원정보는 모두 파기한다. 
ᄃ 위험 전가 : 중요정보 및 개인정보 유출 시 손해배상 소송 등에 따른 비용 손실을 줄이기 위하여 관련 보험에 가입한다.
ᄅ 위험 감소 : 개인정보 처리 수탁자 중 정부로부터 보안인증을 획득한 경우에는 개인정보 보호법에 따른 문서체결 이외의 별도 관리·감독은 생략할 수 있도록 한다.

 

개인정보처리시스템의 로그인 패스워드 복잡도와 길이를 3가지 문자조합 및 8글자 이상으로 강제 설정되도록 패스워드 설정 모듈을 개발하여 적용한다. > 위험 감소

 

개인정보 처리 수탁자 중 정부로부터 보안인증을 획득한 경우에는 개인정보 보호법에 따른 문서체결 이외의 별도 관리·감독은 생략할 수 있도록 한다. > 위험 수용

 

[문제 11] 위험평가 시 정보보호 최고책임자가 승인하는 업무에 해당하는 것은?

1 위험 식별 및 평가 시행을 위한 예산 계획 수립
2 수용 가능한 목표 위험수준(DoA, Degree of Assurance) 결정
3 위험 식별 및 평가 결과 보고서 작성
4 각종 위험이 조직에 미치는 영향(발생가능성, 심각도 등)을 고려하여 위험도 산정기준 마련

 

예산: 예산계획을 매년 수립하고 정보보호최고책임자등 경영진 승인

DoA: 정보보호 최고책임자, 개인정보 보호책임자 등 경영진의 의사결정에 의하여 결정

 

반응형

I. 정보보호 위험관리 계획 – 3. 정보보호 관리체계 수립

[문제 12] 조직 내 정보보호 및 개인정보보호를 위한 교육훈련 시 잘못 조치한 사항이 아닌 것은?

1 연간 정보보호 및 개인정보보호 교육계획에 시행일정, 내용 및 방법이 포함되어 있지 않은 경우
2 개인정보 보호책임자 및 개인정보담당자 등 직무별로 필요한 교육 사항이 포함되어 있지 않은 경우
3 모든 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등)을 교육하지 않은 경우
4 정보보호 및 개인정보보호 교육 미이수자를 파악하고 있지 않은 경우

 

결함: 정보보호 및 개인정보보호 교육 계획서 및 결과 보고서를 확인한 결과, 인증범위 내의 정보 자산 및 설비에 접근하는 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등)을 교육 대상에서 누락한 경우

모든 외주용역업체 직원을 대상으로 교육을 진행하지 않더라도, 인증 범위 내의 정보 자산 및 설비에 접근하는 직원을 대상으로 교육을 진행한 경우 결함사례로 볼 수 없다.

 

[문제 13] 조직 내 정보보호 및 개인정보보호 교육훈련을 진행할 때 확인 사항으로 옳지 않은 것은?

1 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?
2 IT 및 정보보호, 개인정보보호 조직 내 임직원은 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받고 있는가?
3 모든 임직원과 외부자를 대상으로 연간 교육 계획에 따라 비정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하고 있는가?
4 교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하고 있는가?

 

비정기적 X > 연 1회 정기적 교육 수행

 

[문제 14] 다음 중 정보보호 정책 수립 시 포함하여야 하는 사항이 아닌 것은?

1 경영진의 의지 및 방향
2 정보보호를 위한 역할과 책임
3 정보보호를 위한 예산 수준
4 정보보호 대상과 범위

 

- 조직의 정보보호에 대한 경영진의 의지 및 방향
- 조직의 정보보호를 위한 역할과 책임
- 조직의 정보보호를 위한 대상과 범위
- 조직이 수행하는 정보보호 활동의 근거

 

[문제 15] 다음 중 부서별로 할당된 위험관리를 위한 보호대책 운영 업무가 틀린 것은?

1 인프라 운영부서 : 서버 및 네트워크 장비 보안설정, 인프라 운영자 계정관리·권한관리 등
2 개발 부서 : 개발보안, 소스코드보안, 개발환경에 대한 접근 등
3 정보보호 운영부서 : 접근통제 장비 운영, 보안 모니터링 등
4 인사부서 : 퇴직자 보안관리, 퇴직자의 개인정보 파기 등

 

개인정보 취급부서: 취급자 권한 관리(응용프로그램), 개인정보 파기, PC 저장 시 암호화 등

 

[문제 16] 다음 문장은 정보보호 정책 수립 과정이다. 괄호 안에 들어갈 적합한 내용은?
영향도 및 법적 준거성 검토 > 검토 기록 등 관련 사항 반영 > ( ) > 전사 공포

1 이해관계자와의 협의 및 검토
2 회의록 작성 및 보고
3 경영진 보고 및 승인
4 그룹웨어 공지글 작성 및 게시 

 

정책 수립 과정
- 이해관계자와의 충분한 협의, 검토
- 영향도, 법적 준거성 등 고려
- 검토 기록 작성 및 정책, 지침 등에 관련 사항 반영
- 경영진 보고 및 승인
- 전사 공포 및 최신본 유지

 

[문제 17] 다음 중 정보보호 정책 관리 시 적절하게 조치한 사례는 무엇인가?

1 정보보호 법령의 최근 개정 내용을 검토 및 반영한 정보보호 정책을 경영진에게 보고 및 승인을 받는 경우
2 내부규정에 따라 정보보호 정책 재·개정 시 정보보호위원회의 의결을 거치고 있으나, 정보보호 최고책임자의 승인을 근거로만 개정한 경우
3 정보보호 정책이 개정되었으나, 해당 사항이 관련 부서 및 임직원이 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우
4 정보보호 정책을 정보보호부서에서만 관리하고 있고, 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우

 

[문제 18] 정보보호 위원회의 의사결정이 필요한 업무에 해당하지 않는 것은?

1 정보보호 및 개인정보보호 예산 및 자원 할당
2 내부 보안사고 및 주요 위반사항에 대한 조치
3 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축
4 내부 감사결과 및 위험평가 결과에 대한 보안대책 수립

 

[문제 19] 다음 중 정보보호 조직 구성에 대한 설명으로 옳지 않은 것은?

1 조직의 규모, 업무 중요도 등의 특성을 고려하여 정보보호 및 개인정보보호 관리체계를 구축하여야 한다.
2 조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영할 수 있다.
3 조직 규모 및 관리쳬계 범위 내에서 서비스의 중요도에 따라 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영할 수 있다.
4 정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 대한 의사결정은 실무 차원에서 공유, 조정, 검토하면 안된다.

 

> 실무진 차원에서 공유, 조정, 검토, 개선하고 필요시 경영진 지원이 필요한 경우에 위원회에서 논의

 

 

[문제 20] 다음 중 정보보호 및 개인정보보호 관리체계 수립 및 운영 과정에서 지적하는 미흡 사항에 해당하는 것을 바르게 묶은 것은?

ᄀ 정보보호 및 개인정보보호위원회를 개최하였으나, 연간 정보보호 및 개인정보보호 계획 및 교육 계획, 예산 및 인력 등 정보보호 및 개인정보보호에 관한 주요 사항이 검토 및 의사 결정이 되지 않은 경우
ᄂ 정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유·전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우

1 ᄀ 정책 수립 ㄴ 조직 구성
2 ᄀ 경영진의 참여 ㄴ 자원 할당
3 ᄀ 조직 구성 ㄴ 정책 수립
4 ᄀ 정책 수립  ㄴ 경영진의 참여 

 

조직 구성

조직의 규모, 업무 중요도 등의 특성을 고려하여 정보보호 및 개인정보보호 관리체계를 구축하고 지속적으로 운영하기 위하여 필요한 조직 구성의 근거를 정보보호 및 개인정보보호 정책서 등에 명시하고, 전문성을 갖춘 실무조직을 구성하여 운영하여야 한다.

조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하여야 한다.

전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하여야 한다.

 

정책 수립

조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책은 다음 내용을 포함하여 수립하여야 한다.

정보보호 및 개인정보보호 정책에 명시된 정보보호 및 개인정보보호 사항을 구체적으로 시행하기 위하여 필요한 세부 방법, 절차, 주기, 수행주체 등을 규정하는 지침, 절차, 매뉴얼, 가이드 등의 하위 실행 문서를 조직의 특성에 맞게 수립하여야 한다.

정보보호 및 개인정보보호 정책·시행문서 제‧개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받아야 한다.

정보보호 및 개인정보보호 정책·시행문서의 제·개정 시 최신본을 관련 임직원에게 이해하기 쉬운 형태로 제공하여야 한다.

 

정보보호위험관리사(ISRM) 샘플문제(2) - 정보보호위험평가

정보보호위험관리사(ISRM) 자격증 샘플문제(2) - 정보보호위험평가

 

 

정보보호위험관리사(ISRM) 샘플문제(3) - 정보보호 위험 대응

정보보호위험관리사(ISRM) 샘플문제(3) - 정보보호 위험 대응

 

정보보호위험관리사(ISRM) 샘플문제(4) - 정보보호 관리체계 운영(심화)

정보보호위험관리사(ISRM) 샘플문제(4) - 정보보호 관리체계 운영(심화)