2021 제17회 정보보안기사 기출문제

문제은행

정보보안기사

정보보안산업기사

정보처리기사

가스기사

가스산업기사

축산기사

정보처리산업기사

(구) 정보처리산업기사

2021 제17회 정보보안기사 기출문제

총 20문제가 검색되었습니다.

1
BCP의 접근 5단계 방법론을 순차적으로 올바르게 나열한 것은?
1. 1
  프로젝트의 범위 설정 및 기획 → 복구전략 개발 → 사업영향평가 → 복구계획 수립 → 프로젝트의 수행 테스트 및 유지보수
2. 2
  프로젝트의 범위 설정 및 기획 → 사업영향평가 → 복구전략 개발 → 복구계획 수립 → 프로젝트의 수행 테스트 및 유지보수
3. 3
  프로젝트의 범위 설정 및 기획 → 복구계획 수립 → 사업영향평가 → 복구전략 개발 → 프로젝트의 수행 테스트 및 유지보수
4. 4
  프로젝트의 범위 설정 및 기획 → 복구계획 수립 → 복구전략 개발 → 사업영향평가 → 프로젝트의 수행 테스트 및 유지보수
해설
업무 연속성 계획의 5단계
① 프로젝트의 범위 설정 및 기획(Scope and Plan Initiation): 조직의 독특한 사업 경영과 정보시스템의 지원 서비스를 조사해서 다음 활동 단계로 나아가기 위한 프로젝트 계획을 수립하는 단계이다. 이 단계에서는 명확한 범위, 조직, 시간, 인원 등을 정의하여야 한다. 또한, 프로젝트의 근본 취지나 요구사항이 조직전체 및 BCP의 개발에 가장 중요한 역할을 수행할 부서나 직원들에게 명료하게 전달되어야 한다.
② 사업영향평가(BIA: Business Impact Analysis): 컴퓨터나 통신서비스의 심각한 중단사태에 따라 각 사업단위가 받게 될 재정적 손실의 영향도를 파악한다.
③ 복구전략 개발(Developing Recovery Strategy): BIA 단계에서 수집된 정보를 활용하여 Time-Critical한 사업기능을 지원하는데 필요한 복구자원을 추정한다. 또한 여러 가지 가능한 복구 방안에 대한 평가와 이에 따른 예상 비용에 대한 자료를 경영자측에 제시하는 것도 이 단계에서 해야 할 일이다.
④ 복구계획수립(Recovery Plan Development): 사업을 지속하기 위한 실제 복구 계획을 수립하는 단계이다. 효과적인 복구과정을 수행하기 위해 명시적인 문서화가 반드시 요구되며 여기에는 경영 재산 목록 정보와 상세한 복구팀 행동 계획이 포함된다.
⑤ 프로젝트의 수행 테스트 및 유지보수: 마지막 단계로 테스트와 유지보수 활동 현황을 포함하여 향후에 수행할 엄격한 테스트 및 유지 보수 관리 절차를 수립한다.

<오답피하기>② 업무 연속성 5단계는 프로젝트의 범위 설정 및 기획 → 사업영향평가 → 복구전략 개발 → 복구계획수립 → 프로젝트의 수행 테스트 및 유지보수의 순서로 추진된다.
2
‘사이버위기경보’의 등급 중 복수 정보통신서비스제공자(ISP)망에 장애 또는 마비가 발생하였을 경우, 발령하는 경보의 단계는 무엇인가?
1. 1
  심각 단계
2. 2
  경계 단계
3. 3
  주의 단계
4. 4
  관심 단계
해설
3
정보통신기반보호법에 따르면 관리기관의 장은 대통령령이 정하는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석⋅평가하여야 한다. 이때 관리기관의 장은 특정 기관으로 하여금 소관 주요정보통신기반시설의 취약점을 분석⋅평가하게 할 수 있는데, 그에 속하지 아니 하는 기관은?
1. 1
  한국인터넷진흥원
2. 2
  국가정보원
3. 3
  대통령령이 정하는 기준을 충족하는 정보공유⋅분석센터
4. 4
  정부출연 연구기관 등의 설립⋅운영 및 육성에 관한법률의 규정에 의한 한국전자통신연구원
해설
제9조(취약점의 분석⋅평가)
④ 관리기관의 장은 취약점을 분석⋅평가하고자 하는 경우에는 다음 각호의 1에 해당하는 기관으로 하여금 소관 주요정보통신기반시설의 취약점을 분석⋅평가하게 할 수 있다. 다만, 이 경우 제3항에 따른 전담반을 구성하지 아니할 수 있다.
1. 한국인터넷진흥원
2. 정보공유⋅분석센터
3. 정보보호 전문서비스 기업
4. 한국전자통신연구원
4
A기업은 정보보호관리체계 수립을 위한 일환으로 보호해야 할 정보자산을 식별하고 식별된 정보자산에 대한 가치평가를 하려고 한다. 이때 정보자산의 가치평가에 사용하는 평가항목으로 적절하지 않은 것은?
1. 1
  무결성 평가
2. 2
  가용성 평가
3. 3
  기밀성 평가
4. 4
  부인방지 평가
해설
<오답피하기>④ 자산 분석단계에서는 주요 자산을 유형별로 분류하여 목록을 작성한다. 다음은 만들어진 목록 상의 각 자산에 대하여 해당 자산의 조직에 대한 가치를 평가한다. 또한 각 자산에 대하여 비밀성, 무결성, 가용성의 요구 정도를 평가한다.
5
「정보보호산업의 진흥에 관한 법률」에 따른 ‘정보보호 공시제도’에 관한 설명이다. 가장 거리가 먼 것은?
1. 1
  정보보호 공시제도는 정보보호에 대한 기업의 투자 현황 및 활동을 공개하여 주주의 알권리를 확보하고, 투자자들에게 투자정보를 제공하기 위한 제도이다.
2. 2
  정보보호 공시제도는 이용자들에게 정보보호에 대한 기업의 투자 현황과 활동을 공개하여 정보보호에 대한 기업의 투자를 촉진하기 위한 제도이다.
3. 3
  정보보호 공시제도는 기업의 책임 하에 제공되는 정보이지만 공시내용의 투명성 확보를 위해 정부는 모니터링 점검단을 통해 정기적으로 공시내용에 대한 정확성을 검증한다.
4. 4
  정보보호 공시제도를 통해 해당 기업의 정보보호 관련 투자현황, 전문인력현황, 인증현황, 정보보호 위반 관련 행정처분 내역 등을 알 수 있다.
해설
정보보호 공시제도
∘ 정보보호 공시제도는 이해관계자 보호 및 알권리를 보장하고, 기업의 자발적인 정보보호 투자를 촉진하기 위하여 2016년부터 시행된 제도이다.
∘ 정보보호 공시내용의 투명성 확보를 위해 정보보호 공시 모니터링 점검단(회계사, 정보시스템감리사, 정보보호 전문가 등으로 구성)을 통한 공시 이행 기업의 공시 주요내용에 대한 정확성을 검증한다.

<오답피하기>④ 정보보호 현황을 공개하는 경우에는 ㉠ 정보보호부문 투자 현황, ㉡ 정보보호부문 전담인력 현황, ㉢ 정보보호 관련 인증ㆍ평가ㆍ점검 등에 관한 사항, ㉣ 정보통신서비스를 이용하는 자의 정보보호를 위한 활동 현황을 포함하여야 한다.(정보보호 위반 관련 행정처분 내역은 포함 안됨)
6
정보통신기반보호법상 중앙행정기관의 장은 소관분야의 정보통신기반시설 중 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있는데, 이 경우에 고려할 사항으로 명시되지 않은 것은?
1. 1
  당해정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가 사회적 중요성
2. 2
  침해사고가 발생할 경우 국제적으로 미칠 수 있는 피해의 범위
3. 3
  다른 정보통신기반시설과의 상호 연계성
4. 4
  침해사고의 발생가능성 또는 그 복구의 용이성
해설
제8조(주요정보통신기반시설의 지정 등)
① 중앙행정기관의 장은 소관분야의 정보통신기반시설중 다음 각호의 사항을 고려하여 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있다.
1. 해당 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성
2. 기관이 수행하는 업무의 정보통신기반시설에 대한 의존도
3. 다른 정보통신기반시설과의 상호연계성
4. 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위
5. 침해사고의 발생가능성 또는 그 복구의 용이성

<오답피하기>② 중앙행정기관의 장은 지정 여부를 결정하기 위하여 필요한 자료의 제출을 해당 관리기관에 요구할 수 있다. ② 침해사고가 발생할 경우 국제적으로 미칠 수 있는 피해의 범위가 아닌 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위가 돤다.
7
다음은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」상 정보통신망에 유통되어서는 안 되는 불법정보 관련 조항을 나열한 것이다. 실제 내용과 다른 것은 무엇인가?
1. 1
  음란한 부호⋅문언⋅음향⋅화상 또는 영상을 배포⋅판매⋅임대하거나 공공연하게 전시하는 내용의 정보
2. 2
  법령에 따라 금지되는 사행행위에 해당하는 내용의 정보
3. 3
  사람을 비방할 목적으로 공공연하게 사실이나 거짓의 사실을 드러내어 타인을 모욕하는 내용의 정보
4. 4
  공포심이나 불안감을 유발하는 부호⋅문언⋅음향⋅화상 또는 영상을 반복적으로 상대방에게 도달하도록 하는 내용의 정보
해설
제44조의7(불법정보의 유통금지 등)
① 누구든지 정보통신망을 통하여 다음 각 호의 어느 하나에 해당하는 정보를 유통하여서는 아니 된다.
1. 음란한 부호⋅문언⋅음향⋅화상 또는 영상을 배포⋅판매⋅임대하거나 공공연하게 전시하는 내용의 정보
2. 사람을 비방할 목적으로 공공연하게 사실이나 거짓의 사실을 드러내어 타인의 명예를 훼손하는 내용의 정보
3. 공포심이나 불안감을 유발하는 부호⋅문언⋅음향⋅화상 또는 영상을 반복적으로 상대방에게 도달하도록 하는 내용의 정보
4. 정당한 사유 없이 정보통신시스템, 데이터 또는 프로그램 등을 훼손⋅멸실⋅변경⋅위조하거나 그 운용을 방해하는 내용의 정보
5. 「청소년 보호법」에 따른 청소년유해매체물로서 상대방의 연령 확인, 표시의무 등 법령에 따른 의무를 이행하지 아니하고 영리를 목적으로 제공하는 내용의 정보
6. 법령에 따라 금지되는 사행행위에 해당하는 내용의 정보
6의2. 이 법 또는 개인정보 보호에 관한 법령을 위반하여 개인정보를 거래하는 내용의 정보
6의3. 총포⋅화약류(생명⋅신체에 위해를 끼칠 수 있는 폭발력을 가진 물건을 포함)를 제조할 수 있는 방법이나 설계도 등의 정보
7. 법령에 따라 분류된 비밀 등 국가기밀을 누설하는 내용의 정보
8. 「국가보안법」에서 금지하는 행위를 수행하는 내용의 정보
9. 그 밖에 범죄를 목적으로 하거나 교사 또는 방조하는 내용의 정보

<오답피하기>③ 사람을 비방할 목적으로 공공연하게 사실이나 거짓의 사실을 드러내어 ‘타인을 모욕하는’ 내용의 정보가 아니고, ‘타인의 명예를 훼손하는’ 내용의 정보를 말한다.
8
다음 중 「개인정보 보호법」의 개인정보 보호 원칙이 아닌 것은 무엇인가?
1. 1
  개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리될 수 있도록 하여야 한다.
2. 2
  개인정보의 처리 목적에 필요한 범위에서 개인정보의 독립성, 객관성 및 공정성이 보장되도록 하여야 한다.
3. 3
  개인정보의 처리 목적에 필요한 범위에서 적합하게 개인정보를 처리하여야 하며, 그 목적 외의 용도로 활용하여서는 아니 된다.
4. 4
  개인정보 처리방침 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장하여야 한다.
해설
<오답피하기>② 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.(정보 정확성의 원칙)
9
조직의 위험평가 수립 및 운영에 대한 사항으로 가장 적절하지 않은 것은?
1. 1
  위험관리 계획에 따라 위험평가를 연 1회 이상 정기적으로 또는 필요한 시점에 수행하여야 한다. 매년 위험평가 대상에 변동이 없어도 위험평가는 수행되어야 한다.
2. 2
  위험관리를 위한 수행인력, 기간, 대상, 방법, 예산 등의 방법 및 절차를 구체화한 위험관리 계획을 수립하여야 하며, 위험평가 참여자는 위험관리를 운영하는 IT 부서 또는 정보보호 부서 인력으로 구성된다.
3. 3
  위험관리를 위한 위험평가 방법 선정은 베이스라인 접근법, 상세위험 분석법, 복합 접근법, 위협 및 시나리오 기반 등의 다양한 방법론 중에서 해당 조직에 맞는 방법론을 선정하고 유지하여야 한다. 선정한 방법론을 운영하는 과정에서 해당 조직에 적절하지 않다고 판단하여 위험분석 방법론을 변경하여도 상관없다.
4. 4
  조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하여야 한다. 수용 가능한 목표 위험수준(DoA, Degree of Assurance)을 정보보호 최고책임자 등 경영진 의사결정에 의하여 결정하여야 한다.
해설
위험평가
∘ 조직의 특성을 반영하여 관리적, 기술적, 물리적, 법적 분야 등 다양한 측면에서 발생할 수 있는 정보보호 및 개인정보보호 관련 위험을 식별하고 평가할 수 있도록 위험평가 방법을 정의하고 문서화하여야 한다.
- 위험평가 방법 선정: 베이스라인 접근법, 상세위험 분석법, 복합 접근법, 위협 및 시나리오 기반 등
∘ 전년도에는 위험평가를 수행하였으나, 금년도에는 자산의 변경이 없었다는 사유로 위험평가를 수행하지 않으면 안된다.(최소 연 1회 이상 수행될 수 있도록 일정 수립)

<오답피하기>② 위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 수립하여야 한다. 참여자는 위험관리 전문가, 정보보호 및 개인정보보호 전문가, 법률 전문가, IT 실무 책임자, 현업부서 실무 책임자, 외부 전문컨설턴트 등이 참여한다.(이해관계자 및 이해관계자가 아닌 제3자의 참여 필요)
10
디지털 저작권에 관련된 사항 중 적절하지 않은 것은?
1. 1
  본인이 촬영하고 편집한 동영상은 저작물에 따로 등록하지 않아도 저작권이 적용될 수 있다.
2. 2
  온라인 비대면 수업과 회의 참가자의 사진을 허락없이 촬영하여 업로드한 경우 초상권 침해가 될 수 있다.
3. 3
  공공 데이터포털에서 공개하고 있는 데이터의 경우 저작권자는 공개한 공공기관이므로 공공데이터는 별도의 저작권자의 이용 허락 없이 활용할 수 있다.
4. 4
  비영리적 목적으로 사용하도록 승인한 공개 소프트웨어는 개인, 기업 모두 자유롭게 사용할 수 있다.
해설
∘ 공공데이터 포털을 통해 제공 중인 공공데이터는 별도의 신청절차 없이 이용 가능하며, 제공되는 공공데이터의 목록은 각 공공기관의 홈페이지에서도 확인 가능하다. 공공데이터 포털에서 제공하고 있지 않은 데이터의 경우 제공 신청을 통해 이용할 수 있다.
※ "공공데이터"란 데이터베이스, 전자화된 파일 등 공공기관이 법령 등에서 정하는 목적을 위하여 생성 또는 취득하여 관리하고 있는 자료 또는 정보를 말한다.

<오답피하기>④ 공유 소프트웨어(퍼블릭 도메인 소프트웨어)는 저작권자가 저작권을 명시적으로 포기했거나 저작권 보호기간이 만료되어 일반 공중이 자유롭게 사용할 수 있는 소프트웨어를 말한다. 따라서 아무런 제약 없이 복제, 개작, 전송 등을 할 수 있다. 그렇지만 프리웨어와 공개 소프트웨어는 저작권자가 소프트웨어에 부여한 라이선스에 따라 일정한 제약을 받는다. 즉 무상으로 사용할 수 있지만, 프로그램의 라이선스에 사용허락의 범위 및 조건을 둘 수 있다. 예를 들어 개인이나 비영리 법인에서 사용할 때에만 무료로 사용할 수 있도록 제한하기도 한다.

합격을 쉽고 빠르게,
지안에듀는 1년 안에 합격을 목표를 합니다.

문의하기

운영시간 9:30 ~ 17:30 (주말, 공휴일 제외)
점심시간 12:30 ~ 13:30

061913 서울특별시 동작구 노량진로 166 영빌딩 2층 대표이사 : 박태순 사업자등록번호 : 108-86-01777 통신판매업 신고번호 : 제2012-서울동작-00172호
개인정보관리책임자:고명수 전화 : 02-6080-1725 팩스 : 02-816-1721 학원설립 · 운영등록번호 : 제2923호 지안공무원학원 정보조회 신고기관명 : 서울특별시 동작교육지원청