2020 제16회 정보보안기사 기출문제

문제은행

정보보안기사

정보보안산업기사

정보처리기사

가스기사

가스산업기사

축산기사

정보처리산업기사

(구) 정보처리산업기사

2020 제16회 정보보안기사 기출문제

총 20문제가 검색되었습니다.

1
빈칸 ㉠, ㉡에 들어갈 용어를 순서대로 나열한 것은 무엇인가?

위험관리의 정보자산 식별 활동에서는 조직의 ( ㉠ )에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별/분류하고, ( ㉡ ) 산정한 후 그 목록을 최신으로 관리하여야 한다.
1. 1
  ㉠ 목표 ㉡ 위협 수준을
2. 2
  ㉠ 업무특성 ㉡ 위협 수준을
3. 3
  ㉠ 목표 ㉡ 중요도를
4. 4
  ㉠ 업무특성 ㉡ 중요도를
해설
위험 관리(정보자산 식별)
∘ 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별ㆍ분류하고 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다.
- 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하여야 한다.
- 식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하여야 한다.
- 정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하여야 한다.

<오답피하기> ④ 관리체계 수립 및 운영 → 위험 관리 → 정보자산 식별 단계의 내용의 일부이다.
2
다음 중 정보보호 교육 및 훈련에 대한 설명으로 적절하지 않은 것은 무엇인가?
1. 1
  위험분석을 통해 구현된 정보보호 대책을 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육한다.
2. 2
  정책, 지침 및 절차 등이 개정된 사항에 대해서는 모두 모이기 어렵기 때문에 집합 또는 온라인 교육보단 게시판 등을 통해서 알리는 것이 보다 효과적이다.
3. 3
  타사의 침해사고 사례, 최근 발생한 보안위험 등에 대한 최근 동향을 지속적으로 교육함으로써 보안인식 제고를 위해 노력한다.
4. 4
  출장, 휴가 등의 사정으로 정기 정보보호 교육을 받지 못한 인력에 대해서 전달교육, 추가교육, 온라인 교육 등의 방법으로 정보보호 교육을 수행한다.
해설
∘ 구현된 정보보호대책을 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여야 한다.
∘ 기본 정보보호 교육에는 다음과 같은 내용을 포함하여야한다.
- 정보보호의 기본 개요
- 정보보호관리체계 구축 절차 및 방법
- 정보보호 관련 법률의 이해
- 침해사고대응절차 등 임직원이 준수하여야할 정보보호 관련 내부규정
- 최근 침해사고사례 및 정보보호 관련 국내외 동향
- 정보보호규정 위반 시 상벌 규정, 법적책임 등
∘ 교육을 효과적으로 시행하기 위하여 집합 교육, 온라인 교육, 전달 교육 등 다양한 교육 방법을 정할 수 있다.
∘ 교육의 대상, 내용, 기간 등에 따라 효과적으로 교육을 수행할 수 있는 방법(예: 집합 교육, 온라인 교육, 전달 교육 등)을 선택하여야 한다.
∘ 정보보호 인식제고를 위하여 보안의날 지정, 포스터 또는 뉴스 레터를 제작할 수도 있다.
∘ 출장, 휴가 등으로 인해 정기 개인정보보호 교육에 불참한 인력에 대해 전달교육, 추가교육, 온라인 교육 등의 방법으로 개인정보보호 교육을 시행하여야 한다.

<오답피하기> ② 정보보호 정책 및 절차의 중대한 변경, 조직 내 ∙ 외부 보안사고 발생, 정보보호 관련 법률이 변경되었을 시 이에 대한 추가 교육을 수행하여야 하며, 교육의 방법은 교육의 대상, 내용, 기간 등에 따라 효과적으로 교육을 수행할 수 있는 방법(예: 집합 교육, 온라인 교육, 전달 교육 등)을 선택해서 진행한다.
3
다음 지문이 설명하는 것은?

이것은 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립, 문서화하고 지속적으로 관리, 운영하는 시스템을 말한다.
1. 1
  업무연속성관리체계
2. 2
  재난복구체계
3. 3
  보안성평가체계
4. 4
  정보보호관리체계
해설
<오답피하기>④ 정보보호관리체계란 정보자산을 효과적으로 보호·관리하고 정보의 기밀성, 무결성, 가용성을 실현하기 위하여 수립·운영하고 있는 기술적·물리적 보호조치를 포함한 종합적 관리체계를 말한다.
4
다음 중 정량적 위험분석의 장점이 아닌 것은?
1. 1
  위험관리 성능평가가 용이하다.
2. 2
  위험평가 결과가 금전적 가치, 백분율, 확률 등으로 표현되어 이해가 쉽다.
3. 3
  정보자산의 가치가 논리적으로 평가되고 화폐로 표현되어 이해가 쉽다.
4. 4
  위험분석 작업을 위한 시간과 비용이 절약된다.
해설
5
개인정보 영향평가를 하는 경우에 고려할 사항이 아닌 것은?
1. 1
  처리하는 개인정보의 수
2. 2
  개인정보의 제3자 제공여부
3. 3
  개인정보처리의 위탁 여부
4. 4
  정보주체의 권리를 해할 가능성 및 그 위험의 정도
해설
제33조(개인정보 영향평가)
① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가를 하고 그 결과를 보호위원회에 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 보호위원회가 지정하는 기관 중에서 의뢰하여야 한다.
② 영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다.
1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
4. 그 밖에 대통령령으로 정한 사항(민감정보 또는 고유식별정보의 처리 여부, 개인정보 보유기간)

<오답피하기> ③ 개인정보의 위탁 여부는 개인정보 영향평가 고려사항이 아니다.
6
인터넷 기업이 사물인터넷(Internet of Things, IoT)을 이용한 비즈니스를 구상하고 있다. 사물인터넷은 이종 장치들과 유무선 네트워크 기술 그리고 지능화 플랫폼을 기반으로 개발되어야 한다. 서비스 제공자와 사용자가 IoT 장치의 전 주기 세부단계에서 고려해야 하는 공통 보안 요구사항 중에서 ‘IoT 장치 및 서비스 운영/관리/폐기 단계의 보안요구사항’으로 가장 부적절한 것은?
1. 1
  IoT 침해사고 대응체계 및 책임추적성 확보 방안 마련
2. 2
  안전한 운영ㆍ관리를 위한 정보보호 및 프라이버시 관리체계 마련
3. 3
  안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증
4. 4
  IoT 제품ㆍ서비스의 취약점 보안패치 및 업데이트 지속 이행
해설
IoT 공통 보안 7대 원칙
∘ IoT 공통 보안 7대 원칙은 IoT 장치 및 서비스의 제공자(개발자)와 사용자가 IoT 장치의 전 주기 세부 단계에서 고려해야 하는 공통의 보안 요구 사항이다.
Ⅰ. IoT 장치의 설계/개발 단계의 보안 요구 사항
(1) 정보보호와 프라이버시 강화를 고려한 IoT 제품·서비스 설계
(2) 안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증
Ⅱ. IoT 장치 배포/설치(재설치)/구성(재구성) 단계의 보안 요구 사항
(3) 안전한 초기 보안 설정 방안 제공
(4) 보안 프로토콜 준수 및 안전한 파라미터 설정
Ⅲ. IoT 장치 및 서비스 운영/관리/폐기 단계의 보안 요구 사항
(5) IoT 제품·서비스의 취약점 보안패치 및 업데이트 지속 이행
(6) 안전한 운영·관리를 위한 정보보호 및 프라이버시 관리체계 마련
(7) IoT 침해사고 대응체계 및 책임추적성 확보 방안 마련

<오답피하기> ③ 안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증은 IoT 장치의 설계/개발 단계의 보안 요구 사항이다.
7
다음 중 「개인정보보호법」에 따른 국무총리 소속의 개인정보보호위원회의 기능이 아닌 것은?
1. 1
  개인정보보호 관련 법령, 정책 등을 수립하거나 집행
2. 2
  개인정보보호에 관한 법령의 해석ㆍ운영에 관한 사항 심의
3. 3
  개인정보의 처리에 관한 공공기관 간의 의견조정에 관한 사항 의결
4. 4
  관계 기관 등에 대한 자료제출이나 사실조회 요구
해설
제7조의9(보호위원회의 심의ㆍ의결 사항 등)
① 보호위원회는 다음 각 호의 사항을 심의ㆍ의결한다.
1. 개인정보 침해요인 평가에 관한 사항
2. 기본계획 및 시행계획에 관한 사항
3. 개인정보 보호와 관련된 정책, 제도 및 법령의 개선에 관한 사항
4. 개인정보의 처리에 관한 공공기관 간의 의견조정에 관한 사항
5. 개인정보 보호에 관한 법령의 해석ㆍ운용에 관한 사항
6. 개인정보의 이용ㆍ제공에 관한 사항
7. 영향평가 결과에 관한 사항
8. 과징금 부과에 관한 사항
9. 의견제시 및 개선권고에 관한 사항
10. 시정조치 등에 관한 사항
11. 고발 및 징계권고에 관한 사항
12. 처리 결과의 공표에 관한 사항
13. 과태료 부과에 관한 사항
14. 소관 법령 및 보호위원회 규칙의 제정ㆍ개정 및 폐지에 관한 사항
15. 개인정보 보호와 관련하여 보호위원회의 위원장 또는 위원 2명 이상이 회의에 부치는 사항
16. 그 밖에 이 법 또는 다른 법령에 따라 보호위원회가 심의ㆍ의결하는 사항
② 보호위원회는 제1항 각 호의 사항을 심의ㆍ의결하기 위하여 필요한 경우 다음 각 호의 조치를 할 수 있다.
1. 관계 공무원, 개인정보 보호에 관한 전문 지식이 있는 사람이나 시민사회단체 및 관련 사업자로부터의 의견 청취
2. 관계 기관 등에 대한 자료제출이나 사실조회 요구
③ 요구를 받은 관계 기관 등은 특별한 사정이 없으면 이에 따라야 한다.
④ 보호위원회는 심의ㆍ의결한 경우에는 관계 기관에 그 개선을 권고할 수 있다.
⑤ 보호위원회는 제권고 내용의 이행 여부를 점검할 수 있다.
<오답피하기> ① 개인정보보호 관련 법령, 정책의 개선에 관한 사항을 수립하거나 집행하는 것이 아니라 심의•의결한다.
8
정보통신서비스 제공자가 이용자에 대한 정보를 이용하려고 수집하는 경우 이용자에게 알리고 동의 받아야 할 사항이 아닌 것은?
1. 1
  개인정보의 수집ㆍ 이용 목적
2. 2
  동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
3. 3
  수집하는 개인정보의 항목
4. 4
  개인정보의 보유ㆍ이용 기간
해설
제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)
① 정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하는 개인정보의 항목
3. 개인정보의 보유ㆍ이용 기간

<오답피하기> ② 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용은 정보통신서비스 제공자가 동의 받아야할 사항은 아니다.
9
업무연속성관리 및 재난복구계획을 위하여 수행하는 내용 중에서 올바르지 않은 것은 무엇인가?
1. 1
  재난복구서비스 중에 웜사이트는 재난 발생 시 새로운 컴퓨터를 설치할 수 있는 컴퓨터실을 미리 준비해 둔 것으로 별다른 장비는 가지고 있지 않은 것을 의미한다.
2. 2
  업무연속성계획의 접근5단계 방법론에는 프로젝트의 범위 설정 및 기획, 사업영향평가, 복구전략 개발, 복구계획 수립, 프로젝트의 수행 테스트 및 유지 보수로 나눌 수 있다.
3. 3
  재해복구테스트 종류는 체크리스트 방법, 구조적 점검 테스트, 시뮬레이션, 병렬테스트, 전체 시스템 중단 테스트 등이 있다.
4. 4
  업무영향분석의 목적은 운영의 전부 혹은 일부 그리고 컴퓨터서비스가 작동하지 않을 때, 조직을 보호하기 위한 핵심 업무를 파악하는 것이며, 핵심 업무의 정지로 인해 조직에 발생되는 잠재적인 손해 혹은 손실을 파악하는 것이다.
해설
∘ 콜드 사이트(Cold Site)는 데이터만 원격지에 보관하고 서비스를 위한 정보 자원은 확보하지 않거나 장소 등 최소한으로만 확보하고 있다가 재해 시에 데이터를 근간으로 필요한 정보자원을 조달하여 복구하는 방식이다.

<오답피하기> ① 웜 사이트가 아닌 콜드 사이트에 대한 설명이다.
10
공공기관에서 개인정보파일을 운용하는 경우에 보호위원회에 등록해야 하는 사항에 포함되지 않는 것은?
1. 1
  개인정보파일의 명칭
2. 2
  개인정보파일에 기록되는 개인정보 항목
3. 3
  개인정보를 일시적으로 제공하는 경우 그 제공받는 자
4. 4
  개인정보파일로 보유하고 있는 개인정보의 정보주체 수
해설
제32조(개인정보파일의 등록 및 공개)
① 공공기관의 장이 개인정보파일을 운용하는 경우에는 다음 각 호의 사항을 보호위원회에 등록하여야 한다. 등록한 사항이 변경된 경우에도 또한 같다.
1. 개인정보파일의 명칭
2. 개인정보파일의 운영 근거 및 목적
3. 개인정보파일에 기록되는 개인정보의 항목
4. 개인정보의 처리방법
5. 개인정보의 보유기간
6. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
7. 그 밖에 대통령령으로 정하는 사항
동법 시행령 제33조(개인정보파일의 등록사항)
법 제32조제1항제7호에서 "대통령령으로 정하는 사항"이란 다음 각 호의 사항을 말한다.
1. 개인정보파일을 운용하는 공공기관의 명칭
2. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수
3. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서
4. 개인정보의 열람 요구를 접수ㆍ처리하는 부서
5. 개인정보파일의 개인정보 중 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유

<오답피하기> ③ 개인정보를 일시적이 아닌 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자가 포함된다.

합격을 쉽고 빠르게,
지안에듀는 1년 안에 합격을 목표를 합니다.

문의하기

운영시간 9:30 ~ 17:30 (주말, 공휴일 제외)
점심시간 12:30 ~ 13:30

061913 서울특별시 동작구 노량진로 166 영빌딩 2층 대표이사 : 박태순 사업자등록번호 : 108-86-01777 통신판매업 신고번호 : 제2012-서울동작-00172호
개인정보관리책임자:고명수 전화 : 02-6080-1725 팩스 : 02-816-1721 학원설립 · 운영등록번호 : 제2923호 지안공무원학원 정보조회 신고기관명 : 서울특별시 동작교육지원청