[문제 1] 조직에서는 정보보호 및 개인정보보호 활동의 기준이 되는 정책을 수립해야 한다. 다음은 정보보호 및 개인정보보호 정책을 제·개정하는 절차에 대한 설명이다. 빈칸에 포함될 알맞은 용어로 짝지어진 것을 고르시오.
- 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 ( A ) 절차를 수립·이행하고, 필요시 관련 정책 및 시행문서를 제·개정하여야 한다. - 조직의 대내외 환경에 ( B ) 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영 향을 검토하고 필요시 제·개정해야 한다. - 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제·개정 시 ( C )의 검토를 받아야 한다. - 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제·개정 내역에 대하여 ( D )를 해야 한다.
① (A) : 정기적인 타당성 검토, (B) : 중대한 변화, (C) : 이해 관계자, (D) : 이력 관리 ② (A) : 정기적인 타당성 검토, (B) : 중대한 변화, (C) : 대외 기관, (D) : 이력 관리 ③ (A) : 제·개정, (B) : 중대한 변화, (C) : 이해 관계자, (D) : 이력 관리 ④ (A) : 제·개정, (B) : 중대한 변화, (C) : 대외 기관, (D) : 이력 관리
[문제 2] 다음은 정보보호 및 개인정보보호 교육에 대한 설명이다. 빈칸에 포함될 알맞은 용어로 짝지어진 것을 고르시오.
- 정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획 을 수립하고 ( A )의 승인을 받아야 한다. - 관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육 계획에 따라 ( B ) 정기적으로 교육 을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가 교육을 수행해야 한다. - ( C ) 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행해야 한다. - IT 및 정보보호, 개인정보보호 조직 내 임직원은 정보보호 및 개인정보보호와 관련하여 ( D )를 위한 별도의 교육을 받아야 한다.
① (A) : 경영진, (B) : 연1회, (C) : 임직원 채용 및 외부자 신규 계약 시, (D) : 공통보안 전문성 제고 ② (A) : 경영진, (B) : 연1회 이상, (C) : 임직원 채용 및 외부자 신규 계약 시, (D) : 직무별 전문성 제고 ③ (A) : 경영진, (B) : 연1회, (C) : 임직원 채용 및 외부자 신규 계약 시, (D) : 직무별 전문성 제고 ④ (A) : 경영진, (B) : 연1회 이상, (C) : 임직원 채용 및 외부자 신규 계약 시, (D) : 공통보안 전문성 제 고
[문제 3] 다음은 정보처리시스템이 구축되어 있는 퍼블릭 클라우드 환경에 대한 이용자 관점에서의 취약점 점검을 설명한 것이다.옳지 않은 것을 고르시오.
① PaaS 형태로 제공받아 사용하는 RDBMS의 경우 운영체제(OS)에 대한 취약점 점검은 수행하지 않았다. ② 퍼블릭 클라우드 이용자 관점에서 네트워크 취약점을 확인하기 위해 물리적인 네트워크 장비 환경설정, 네트워크 구성도(아키텍처) 취약점 점검을 수행하였다. ③ 퍼블릭 클라우드 VM(Virtual Machine)의 운영체제(OS)의 취약점을 확인하기 위해 서버 취약점 점검 스크립트를 이용하여 운영체제 보안 설정의 적절성을 점검하였다. ④ 퍼블릭 클라우드 서비스의 접근통제 적절성을 검토하기 위해 Security Group의 설정 상태를 점검하였다.
퍼블릭 클라우드 이용자 관점에서 취약점 점검은 가상환경에서 발생할 수 있는 취약점, 공용 서비스에 대한 취약점 점검을 포함하고 VM(Virtual Machine)의 운영체제(OS)의 취약점,접근통제의 적절성 검토를 포함하고 있다. 그러나 퍼블릭 클라우드 이용자는 물리적인 하드웨어 접근권한이 없기 때문에 “네트워크 장비 환경설정”은 취약점 점검을 수행할 수 없다.
[문제 4] 다음은 냉장고를 생산하고 있는 B사의 네트워크 구성 및 접근통제 현황이다. 설명이 잘못된 것을 고르시오.
① 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 침입차단시스템과 침입탐지시스템을 설치하여 운영 하고 있다. ② 운영자, 개발자가 개인정보처리시스템에 접근하는 경우, 접속이력 및 행위이력을 기록할 수 있도록 구성되어 있 다. ③ 회사 사무실 또는 외부에서 개발자와 운영자가 개인정보처리시스템에 접근시 법률 요구사항을 만족할 수 있도록 구성되어 있다. ④ 방화벽 정책 중 추가 검토가 필요한 정책은 3, 7번이다.
추가 검토가 필요한 정책: 2, 4, 6 (No.가 아니라 순서대로)
2: source, service가 any로 설정되어 있음
4:destination이 0으로 설정 (잘못 나왔나?)
6: hitcount가 0으로 설정
7: any, any, any 지만 Deny 정책으로 필요없음
[문제 5] 개인정보보호담당자가 개인정보 제3자 제공에 대한 동의서를 작성하기 전에 개인정보영향평가를 진행하였다. 다음의 ‘가’는 제17조(개인정보의 제공)제1항제1호에 따라서 정보주체의 동의를 받으려고 한다. ‘나‘는 동의를 받을 때에는 정하는 중요한 내용을 명확히 표기하여 알아보기 쉽게 하도록 되어 있다. 이때 동법 시행령 제17조(동의를 받는 방법)에 표시할 대상을 따라서 법률적 준거성 확인을 통해 위험을 줄이기 위해서 빈칸에 포함될 알맞은 용어로 짝지어진 것을 고르시오.
가. 개인정보의 제3자 제공 동의 요건의 빈칸을 채우시오 1. 개인정보를 ( A ) 2. 개인정보를 제공받는 자의 ( B ) 3. 제공하는 ( C ) 4. 개인정보를 제공받는 자의 ( D ) 5. ( E ) 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
① (A) : 제공받는 자, (B) : 개인정보이용 목적, (C) : 개인정보의 항목, (D) : 개인정보 보유 및 이용기간, (E) : 동의를 거부할 권리가 있다는 사실 ② (A) : 제공하는 자, (B) : 개인정보이용 주체, (C) : 개인정보의 항목, (D) : 개인정보 보유 및 이용기간, (E) : 동의를 거부할 권리가 있다는 사실 ③ (A) : 제공받는 자, (B) : 개인정보이용 항목, (C) : 개인정보의 이용목적, (D) : 개인정보 보유 및 이용 기간, (E) : 동의를 거부할 권리가 있다는 사실 ④ (A) : 제공하는 자, (B) : 개인정보이용 목적, (C) : 개인정보의 항목, (D) : 개인정보 보유 및 이용기간, (E) : 동의를 거부할 권리가 있다는 사실
반응형
[문제 6] 다음은 위험 관리에 대한 설명이다. 적절하게 짝지어진 것을 고르시오.
( A ) 은 조직이 보호해야 할 대상으로 정보, 하드웨어, 소프트웨어, 시설 등을 말하며 관련 인력, 기업 이미지 등을 포함하기도 한다. ( B ) 은 자산에 손실을 초래할 수 있는 원치 않는 사건의 잠재적 원인(source)이나 행위자(agent)로 정의 된다. ( C ) 은 자산의 잠재적 속성으로 ( B )의 이용 대상이 되는 것으로 정의된다. ( D ) 은 위협에 대응하여 자산을 보호하기 위한 관리적, 기술적 보호대책으로 정의된다. 이러한 대책 에는 방화벽, 침입탐지시스템 등의 제품 뿐 아니라 절차, 정책, 교육 등의 모든 통제(control)들이 포함 된다.
정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하기 위하여 다음 사항을 고려하여 공식적인 사용자 계정 및 접근권한 등록·변경·삭제·해지 절차를 수립·이행하여야 한다. - 사용자 및 개인정보취급자별로 ( A ) 발급 및 공유 금지 - 사용자 및 개인정보취급자에 대한 계정 발급 및 접근권한 부여·변경 시 ( B )등을 통한 적절성 검토 - 전보, 퇴직 등 인사이동 발생 시 ( C ) 접근권한 변경 또는 말소(계정 삭제 또는 비활성화 포함) - 정보시스템 설치 후 제조사 또는 판매사의 기본 계정, 시험 계정 등은 ( D ) 계정으로 변경 - 사용자 계정 및 접근권한의 ( E ) 관련 기록의 유지·관리 등
① (A) : 공유 사용자 계정, (B) : 승인 절차, (C) : 1개월 이내, (D) : 제거하거나 추측하기 어려운 (E) : 등록·변경·삭제·해지 ② (A) : 공유 사용자 계정, (B) : 승인 절차, (C) : 지체 없이, (D) : 제거하거나 추측하기 어려운 (E) : 등록·변경·삭제·해지 ③ (A) : 고유한 사용자 계정, (B) : 승인 절차, (C) : 1개월 이내, (D) : 제거하거나 추측하기 어려운 (E) : 등록·변경·삭제·해지 ④ (A) : 고유한 사용자 계정, (B) : 승인 절차, (C) : 지체 없이, (D) : 제거하거나 추측하기 어려운 (E) : 등록·변경·삭제·해지
[문제 8] 다음은 OOO인터넷 쇼핑몰의 위험평가의 법적준거성 검토하는 과정에서 발견된 문제점이다. 다음의 사항에 적합한 개인정보 유출 등 통지 및 신고에 필요한 사항을 올바르게 작성한 것을 고르시오.
(지침 현행화) 내부 규정인 개인정보보호지침 제23조(개인정보 유출 등 통지 및 신고)는 「개인정보 보 호법」 근거하여 관련 조항이 수립하고 있으나 법률에 맞게 현행화되어 있지 않으며, 이에 대한 체계도 수립되어 있지 않아 빠른 시일 안에 관련 내용을 개선하여 조치하시기 바랍니다.
- 유출 신고 기준 : ( A ) - 신고기한 : ( B ) - 유출통지 항목 : ( C ) - 신고기관 : ( D )
① (A) : 1천명 이상 개인정보 유출 (B) : 72시간 이내, (C) : 유출 등이 된 개인정보 항목, (D) : 개인정보위원회 ② (A) : 1만명 이상 개인정보 유출 (B) : 72시간 이내, (C) : 유출 등이 된 개인정보 항목, (D) : 한국인넷진흥원 ③ (A) : 1천명 이상 개인정보 유출 (B) : 지체 없이(5일 이내), (C) : 유출 등이 된 개인정보 항목, (D) : 방송통신위원회 ④ (A) : 1만명 이상 개인정보 유출 (B) : 지체 없이(5일 이내), (C) : 유출 등이 된 개인정보 항목, (D) : 방송통신위원회
[문제 9] 다음은 법률에 따라 망분리를 수행해야 하는 기업의 망분리 현황을 기술한 내용이다. 다음 내용 중 옳은 것을 고르시오.
① 오픈마켓 서비스를 운영하는 A사는 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이지만 클라우드컴퓨팅서비스를 이용하여 개인정보처리 시스템을 구성·운영하고 있어 망분리를 적용하지 않았다.
② 온라인 게임 서비스를 제공하는 B사는 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터를 인터 넷망으로부터 논리적 망분리 하였다. 그러나 고객 상담을 위해 개인정보처리시스템에서 단순히 개인 정보를 열람, 조회하는 직원의 컴퓨터에 대해서는 망분리를 적용하지 않았다.
③ 온라인 쇼핑몰을 운영하는 C사는 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이 용자 수가 일일평균 100만명 이상이어서 개인정취급자에 대한 망분리를 적용하였다. 그러나 10건 이 하의 소량의 개인정보를 다운로드 하는 개인정보취급자는 망분리를 적용하지 않았다.
④ 온라인과 오프라인으로 서비스를 제공하고 있는 D사는 고객의 개인정보를 100만명 이상 보유하고 있지만 오프라인으로만 수집한 개인정보여서 망분리를 적용하지 않았다.
① 오픈마켓 서비스를 운영하는 A사는 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이지만 클라우드컴퓨팅서비스를이용하여 개인정보처리 시스템을 구성·운영하는 경우에는 해당 서비스에 대한 접속 외 에는 인터넷을 차단하는 조치를 하여야 한다.
③ 망분리의 적용 대상은 개인정보를 다운로드하는 건수로 정하고 있지 않으며, 망분리적용 대상 정보통신서비스 제공자에 해당하는 이상 소량의 개인정보를 다운로드 하는 개인정보취급자의 컴퓨터도 망분리 하여야 한다.
④ 오프라인으로 수집한 고객의 개인정보도 온라인으로 서비스 된다면 “개인정보의 기술적⦁관리적보호조치 기준”을 이행해야 한다.
[문제 10] 다음은 공공기관인 D기관의 보안감사 수행시 고유식별정보를 처리하는 웹서버에서 발견된 문제점이다. 아래와 같은 문제점이 발생된 근본적인 이유로 가장 적합한 것을 고르시오?
