정보보호위험관리사(ISRM) 샘플문제(2) - 정보보호위험평가

II. 정보보호 위험 평가 – 1. 위험관리 평가 방법론 선정 및 준비

[문제 1] 다음 문장의 괄호 안에 들어갈 적합한 용어는?

위험분석 방법론의 하나인 복합 접근법은 고위험 영역을 식별하여 상세위험 분석을 수행하고,
그 외의 다른 영역은 ( )을 사용하는 방식이다.
이 방식은 비용과 자원을 효과적으로 사용할 수 있다.

1 비정형 접근법
2 베이스라인 접근법
3 상세위험 분석법
4 복합 접근법

 

복합 접근법: 비용/자원을 효과적으로 사용 가능

 

[문제 2]다음 중 위험평가 방법의 하나인 상세위험 분석법에 대한 설명으로 틀린 것은?

1 분석에 시간과 노력이 많이 소요되며 채택한 위험분석 방법론을 잘 이해해야 한다.
2 비정형 접근법과 마찬가지로 고급의 인적 자원이 필요 없다.
3 조직의 자산 및 보안 요구사항을 구체적으로 분석하여 가장 적절한 대책을 수립할 수 있다.
4 자산분석, 위협 분석, 취약성 분석의 각 단계를 수행하여 위험을 평가하는 것이다.

 

비정형 접근법, 상세위험 분석법: 고급 인적 자원 필요

 

[문제 3] 위험평가의 정의로 옳은 것은?

1 원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성을 말한다.
2 자산에 손실을 초래할 수 있는 원치 않는 사건의 잠재적 원인(source) 또는 행위자(agent)를 말한다.
3 조직의 자산에 대한 위험을 감수할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위한 비용 대비 효과적인 보호대책을 마련하는 일련의 과정이다.
4 분석된 위험을 수용 가능한 위험수준과 대비하여 위험의 대응 여부와 우선순위를 결정하는 것이다.

[문제 4] 다음 문장이 설명하는 것은?

위험을 일정 수준 이하로 관리하기 위한 위험 분석, 평가, 대책 선정을 포함하는 전체 절차이다.
조직의 자산에 대한 위험을 감수할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고
이러한 위험으로부터 자산을 보호하기 위한 비용 대비 효과적인 보호대책을 마련하는 일련의 과정을 말한다.

1 위험 감사
2 위험 점검
3 위험 관리
4 위협 감시

‣위험 분석 : 자산, 위협, 취약성, 기존 보호대책 등을 분석하여 위험의 종류와 규모를 결정하는 것

‣위험 평가 : 분석된 위험을 수용 가능한 위험수준과 대비하여 위험의 대응 여부와 우선순위를 결정하는 것

‣위험 관리 : 위험을 일정 수준 이하로 관리하기 위한 위험 분석, 평가, 대책 선정을 포함하는 전체 절차. 조직의 자산에 대한 위험을 감수할 수 있는 수준으로 유지하기 위하여 자산에 대한 위험을 분석하고 이러한 위험으로부터 자산을 보호하기 위한 비용 대비 효과적인 보호대책을 마련하는 일련의 과정

‣위험 : 원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성 ‣위협 : 자산에 손실을 초래할 수 있는 원치 않는 사건의 잠재적 원인(source) 또는 행위자(agent)
‣취약성 : 자산의 잠재적 속성으로서 위협의 이용 대상이 되는 것. 때로 정보보호대책의 미비로 정의되기도 한다. 자산에 취약성이 없다면 위협이 발생해도 손실이 나타나지 않음

 

[문제 5] 다음 중 위험평가 방법의 하나인 정성적 분석 방법에 대한 설명으로 틀린 것은?

1 위험을 어떠한 상황에 대한 설명으로 묘사한다.
2 정도는 매우 높음, 높음, 중간, 낮음 또는 5점 척도, 10점 척도의 점수화가 사용되기도 한다.
3 델파이법, 순위결정법, 시나리오법 등이 이에 해당된다.
4 위험평가 결과가 금액, 기간 등 단위로 산출된다.

 

단위로 산출 > 정량적 위험평가 방법론

 

[문제 6] 다음 중 위험평가의 절차에 대한 설명으로 옳지 않은 것은?

1 위험평가의 시작은 조직이 보유한 자산의 범위 결정과 식별로부터 시작한다.
2 자산분석 단계에서는 최대한 상세하게 조직의 가진 자산을 분류하여 목록을 작성한다.
3 자산에 대한 모든 위협 및 취약성을 빠트리지 않고 분석하여야 한다.
4 위협 및 취약성 분석 단계에서 파악한 위험을 원천 위험이라고 한다.

 

몇몇 위헙 분석 방법론에서는 '발생 가능한 모든 위협을 고려'하는 것을 강조하지만, 실제로 모든 위협을 고려한다는 것은 쉽지 않다. (불가능하다.)

다만, 중요한 위협을 빠트리지 않도록 주의할 필요가 있다.

 

[문제 7] 다음 문장의 괄호 안에 들어갈 적합한 내용은?

위험평가 단계에서는 자산의 가치를 평가하고 자산에 대한 위협, 취약성을 분석한다. 해당 정보자산의 가치와 위협 및 취약성의 정도에 따라 비밀성, 무결성, 가용성 손상에 따른 잠재적 ( )의 규모를 평가하여야 한다.

1 자산
2 손실
3 가치
4 위험 

 

[문제 8] 다음 중 조직의 위험평가 계획 수립에 참여하는 인력이 아닌 것은?

1 정보주체
2 위험관리 전문가
3 현업부서 실무 책임자
4 정보보호·개인정보보호 전문가

 

반응형

II. 정보보호 위험 평가 – 2. 정보보호 위험 평가

[문제 9] 식별된 정보자산의 중요도를 결정하고 보안등급을 산정하는 기준으로 옳지 않은 것은?

1 법적 요구사항이나 업무에 미치는 영향 등 각 자산 특성에 맞는 보안등급 평가기준을 결정한다.
2 정보자산에 대해 신규 도입, 변경, 폐기되는 자산이 많지 않으면 2년에 한 번 현황 조사를 수행한다.
3 보안등급 산정 시 서비스 영향, 이익손실, 고객 상실, 대외 이미지 손상 등도 고려한다.
4 보안등급 산정 시 기밀성, 무결성, 가용성, 법적 준거성 등에 따라 중요도를 평가한다.

 

정보자산 점검: 1년에 한 번 정기적으로 점검

 

[문제 10] 다음 문장은 무엇을 기준으로 정보자산의 중요도를 평가한 것인가?

외부로부터 악의적인 의도를 가진 해커가 공격을 감행하여, A쇼핑몰 홈페이지에 변조를 발생시켜, 홈페이지에 게시된 상품의 가격이 임의로 변경되거나 고객의 주문 정보가 변경되어 잘못된 주소로 배송되는 문제가 발생할 경우, A쇼핑몰은 잠정적으로 사업을 중단할 수도 있다. 따라서, A쇼핑몰 입장에서 홈페이지는 중요도가 매우 높은 자산이다.

1 장애 복구를 위한 목표 시간
2 기밀성
3 무결성
4 침해 사고 발생 시 피해 규모

 

[문제 11] 다음 중 정보자산의 위험 산정 시 고려해야 할 구성요소에 해당하지 않는 것은?

1 자산에 대한 위협
2 자산을 사용하는 직원
3 자산의 취약점(취약성)
4 자산의 가치

 

[문제 12] 다음 정보자산에 대한 위협 식별에 대한 설명으로 옳지 않은 것은?

1 조직에서 이미 발생하였거나 파악된 알려진 위협도 분석한다.
2 취약점 진단 결과가 분석되면 전체적인 내용을 결과 보고서로 작성한다.
3 위협 발생 시 일어나는 손실뿐만 아니라 위협의 발생 주기도 정확하게 평가하여야 한다.
4 관리적인 취약점 진단은 최고 경영자층과의 면담을 통해 진행한다.

[문제 13] 다음 중 취약점 진단 방식에 대한 설명으로 바른 것은?

1 진단 업무 범위와 일정 계획 시, 취약점 점검을 수행하는 인력의 규모는 고려하지 않는다.
2 기술적 취약점 진단은 사람에 의한 수동 진단 방법에 의해서만 이루어져야 한다.
3 물리적인 취약점 진단을 위해 실사가 진행될 수도 있다.
4 관리적인 취약점 진단은 최고 경영자층과의 면담을 통해 진행한다.

 

관리적인 취약점: 담당자와의 인터뷰를 통해 진행

진단 업무 범위와 일정 계획: 규모를 고려하지 않고 해야할 업무가 과도할 경우 문제 발생 가능

기술적 취약점: 수동적 방법 + 자동적 방법

 

[문제 14] 다음은 위험의 세 가지 구성요소에 대한 설명이다. 괄호 안에 적합한 용어는?

( ᄀ )은(는) 조직이 보호해야 할 대상으로서 정보, 하드웨어, 소프트웨어, 시설 등을 말하며 관련 인력, 기업 이미지 등의 무형자산을 포함하기도 한다.
( ᄂ )은(는) 일반적으로 ( ᄀ ) 원천에 따라 크게 자연재해나 장비 고장 등의 환경적 요인에 의한 것과 인간에 의한 것으로 나눌 수 있다.
( ᄃ )란 자산의 잠재적인 속성으로서 ( ᄀ )의 이용 대상이 되는 것으로 정의되나, 때로 정보보호 대책의 미비로 정의되기도 한다.

ㄱ: 자산
ㄴ: 위협
ㄷ: 취약성

 

[문제 15] 정보보호 위험 평가 시, 법적 준거성 검토.평가 단계에 대한 설명으로 틀린 것은?

1 관련 법규의 제·개정 사항이 조직에 미치는 영향을 분석하여 위험을 식별하여야 한다.
2 법적 요구사항의 준수 여부는 비정기적으로 최고경영진의 요청이 있을 때 검토하여야 한다.
3 관련 법규의 제·개정으로 변경이 필요할 경우 내부 정보보호 정책·지침 및 체크리스트에 반영하여 최신성을 유지하여야 한다.
4 법적 요구사항 준수 검토 결과 발견된 문제점은 신속하게 개선하여 위험을 줄여야 한다.

 

법적 요구사항의 준수 여부를 정기적으로 검토할 수 있는 절차를 수립(검토 주기, 대상, 담당자, 방법 등)하여 이행하여야 한다.

 

[문제 16] 다음 중 위험 평가 단계에서 법적 요구사항 검토가 필요한 상황이 아닌 것은?

1 정보통신서비스제공자이자 개인정보처리자로서 직전 사업연도의 매출액이 3천만 원을 달성하였다.
2 국내에 주소지가 없는 사업자이자 개인정보처리자로서 전년도 말 기준 직전 3개월간 저장·관리되고 있는 국내 정보주체의 수가 일일평균 100만 명을 넘었다.
3 개인정보보호법이 최근 광범위하게 개정되었다.
4 전기통신사업자로서 일평균 이용자 수 100만 명 이상을 달성하였다.

 

개인정보 손해배상책임 보상제도 적용 대상

1. 직전 사업연도의 매출액이 5천만 원 이상

2. 전년도 말 기준 직전 3개월간 개인정보 저장, 관리되고 있는 이용자 수가 일일평균 1천명 이상

 

일일평균 100만 명을 넘으면, 국내대리인 지정의무 해당

 

개인정보보호법, 정보통신망법 등의 개정 사항을 모니터링하여, 내부 지침 등에 반영

 

정보보호산업법에 따라 2024년 공시 의무 대상 기업은 △기간통신사업자 △상급 종합병원 △클라우드 컴퓨팅 서비스 제공 사업자 △데이터센터 사업자 △전년도 매출 액 3000억 원 이상 △일평균 이용자 수 100만 명 이상 중 하나에 해당하는 총 652곳 이다.

 

[문제 17] 다음 중 위험관리 계획 수립 시 지켜야 할 사항으로 옳지 않은 것은?

1 조직의 비전 및 미션, 비즈니스 목표 등을 고려하여 조직의 특성을 반영한다.
2 최신의 취약점 및 위협 동향을 고려한다.
3 위험 식별 및 평가 시행을 위한 예산 계획을 매년 수립하고 정보보호 담당자가 승인한다.
4 위험관리 전문가, 정보보호·개인정보보호 전문가를 비롯하여 다양한 이해관계자가 참여하도록 한다.

 

예산 계획: 정보보호 최고책임자 등 경영진의 승인

 

[문제 18] 다음은 정보보호 및 개인정보보호 인증평가를 위한 위험평가시 지켜야 할 인증기준이다.
괄호 안에 들어갈 적합한 내용은?

조직의 대내외 환경분석을 통하여 유형별 위협 정보를 수집하고 조직에 적합한 위험 평가방법을 선정하여 관리체계 전 영역에 대하여, ( ) 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다.

1 반기 1회
2 연 1회
3 연 2회
4 분기 1회

 

[문제 19] 다음 제시된 조건을 기준으로, 연간 예상 손실액은 얼마인가?

동일한 조건을 갖는 조직에 대한 통계조사 결과를 기반으로 추정하면, A사의 전산실에 화재는 10년에 1회 발생할 수 있을 것으로 예상된다. 만약 A사의 전산실에 화재가 발생할 경우, 당장 발생하는 손실액은 10억 원으로 추정된다. 그렇다면, A사의 전산실에 화재가 발생할 경우를 상정하여 보안대책을 구현하고자 할 경우, 고려해야 하는 연간 예상 손실액은 얼마인가?

1 1억 원
2 10억 원
3 100억 원
4 1,000억 원

 

1회 손실 예상액(10억) x 연간 발생 빈도(0.1) = 1억원 

 

[문제 20] 다음 중 위험처리 전략에 대한 설명으로 옳지 않은 것은?

1 현재의 위험을 받아들이고 잠재적 손실 비용을 감수하는 것은 위험 수용 전략이다.
2 위험을 완전히 제거할 수 있는 보안대책을 채택하여 구현하는 것은 위험 제거 전략이다.
3 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기하는 것은 위험 회피 전략이다.
4 보험이나 외주 등으로 잠재적 비용을 제3자에게 미루거나 할당하는 것은 위험 전가 전략이다.

 

위험을 완전히 제거할 수 있는 전략은 없으며 이는 위험감소 전략에 대한 설명

 

 

정보보호위험관리사(ISRM) 자격증 샘플문제(1) - 정보보호위험관리계획

정보보호위험관리사(ISRM) 자격증 샘플문제(1) - 정보보호위험관리계획

 

정보보호위험관리사(ISRM) 샘플문제(3) - 정보보호 위험 대응

정보보호위험관리사(ISRM) 샘플문제(3) - 정보보호 위험 대응

 

정보보호위험관리사(ISRM) 샘플문제(4) - 정보보호 관리체계 운영(심화)

 

정보보호위험관리사(ISRM) 샘플문제(4) - 정보보호 관리체계 운영(심화)