2020 제15회 정보보안기사 기출문제

총 20문제가 검색되었습니다.

1
과학기술정보통신부장관은 다음 중 어느 하나에 해당하는 사유를 발견한 경우 정보보호 관리체계 인증을 취소할 수 있다. 해당 사유 발생 시 반드시 인증을 취소해야 하는 것은?
1. 1
  거짓이나 그 밖의 부정한 방법으로 정보보호 관리체계 인증을 받은 경우
2. 2
  사후관리를 거부한 경우
3. 3
  과학기술정보통신부장관이 정한 인증기준에 미달하게 된 경우
4. 4
  사후관리를 방해한 경우
해설
제47조(정보보호 관리체계의 인증)
⑩ 과학기술정보통신부장관은 다음 각 호의 어느 하나에 해당하는 사유를 발견한 경우에는 인증을 취소할 수 있다. 다만, 제1호에 해당하는 경우에는 인증을 취소하여야 한다.
1. 거짓이나 그 밖의 부정한 방법으로 정보보호 관리체계 인증을 받은 경우
2. 제47조제4항에 따른 인증기준에 미달하게 된 경우
3. 제47조제8항에 따른 사후관리를 거부 또는 방해한 경우

<오답피하기> ②, ③, ④는 인증을 취소할 수 있지만(임의 규정), ①은 반드시 인증을 취소하여야 한다.(강행 규정)
2
개인정보의 안정성 확보조치 기준(고시)의 제7조(개인정보의 암호화)에 따라 반드시 암호화하여 저장해야하는 개인정보가 아닌 것은?
1. 1
  비밀번호
2. 2
  고유식별번호
3. 3
  바이오 정보
4. 4
  전화번호
해설
<오답피하기>④ 개인정보보호법상 고유식별정보, 비밀번호, 바이오정보는 암호화 대상이나 전화번호는 암호화 대상이 아니다.
3
아래 지문에서 설명하고 있는 것은 무엇인가?

모든 정보시스템에 대하여 표준화된 보안 대책을 제시하며 Check List로 보안대책이 있는지 판단한다. 즉 적용되지 않은 보안대책을 확인하는 위험분석 방법이다.
1. 1
  정성적 위험분석
2. 2
  정량적 위험분석
3. 3
  상세 위험분석
4. 4
  베이스라인 접근법
해설
<오답피하기>④ 기준 접근법(Baseline Approach)은 모든 시스템에 대하여 표준화된 보안대책의 세트를 체크리스트 형태로 제공한다. 이 체크리스트에 있는 보안대책이 현재 구현되어 있는지를 판단하여 없는 것을 구현하는 방식을 취한다.
4
정보보호 내부 감사 시 고려해야할 사항으로 가장 부적합한 것은?
1. 1
  내부감사를 수행하는 구성원은 정보보호 전문가들로 제한한다.
2. 2
  감사의 범위는 다양한 위험을 분석 및 검토할 수 있도록 가능한 포괄적이어야 한다.
3. 3
  감사활동은 기업 내외부로부터 독립성을 유지할 수 있도록 해야 한다.
4. 4
  내부감사는 조직의 위험을 파악하여 개선사항을 제시할 수 있다.
해설
내부감사
∘ 조직은 정보보호 관리체계가 정해진 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지를 점검하기 위하여 연 1회 이상 내부감사를 수행하여야 한다. 이를 위해 감사 기준, 범위, 주기, 방법 등을 구체적으로 정하고 내부감사를 통해 발견된 문제점은 보완조치를 완료하여 경영진 및 관련 책임자에게 보고하여야 한다. 또한 감사의 독립성 및 전문성을 확보할 수 있도록 감사인력에 대한 자격요건을 정의하여야 한다.

<오답피하기> ① 내부감사의 객관성을 확보하기 위해 제3자가 감사를 수행하는 것이 원칙이다. 다만, 불가피한 경우 제3자 인력을 포함하여 정보보호조직이 감사를 수행할 수 있다. 감사의 범위는 구체적으로 정하고 실시를 하는 것이 원칙이나 감사자가 발생가능한 다양한 위험에 대하여 피감사자에게 조언할 수도 있으므로 포괄적이란 표현이 부적절하다고 보기 어렵다.
5
100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업의 내부관리계획의 내용에 포함하지 않아도 될 사항은 무엇인가?
1. 1
  개인정보 보호책임자의 지정에 관한 사항
2. 2
  개인정보 유출사고 대응ㆍ계획 수립ㆍ시행에 관한 사항
3. 3
  개인정보의 암호화 조치에 관한 사항
4. 4
  개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
해설
6
다음 중 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제 47조의 정보보호 관리체계의 인증 제도에 대한 설명으로 옳지 않은 것은?
1. 1
  정보보호 관리체계 인증의 유효기간은 3년이다.
2. 2
  정보보호 관리체계 인증은 의무 대상자는 반드시 인증을 받아야 하며 의무 대상자가 아닌 경우에도 인증을 취득할 수 있다.
3. 3
  정보보호 관리체계는 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계를 의미한다.
4. 4
  정보보호 관리체계 의무대상자는 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 인증 심사의 전부를 생략할 수 있다.
해설
제47조(정보보호 관리체계의 인증)
① 과학기술정보통신부장관은 정보통신망의 안정성ㆍ신뢰성 확보를 위하여 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계를 수립ㆍ운영하고 있는 자에 대하여 제4항에 따른 기준에 적합한지에 관하여 인증을 할 수 있다.
② 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
1. 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자(서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자)
2. 집적정보통신시설 사업자
3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자
③ 과학기술정보통신부장관은 제2항에 따라 인증을 받아야 하는 자가 과학기술정보통신부령으로 정하는 바에 따라 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 제1항에 따른 인증 심사의 일부를 생략할 수 있다. 이 경우 인증 심사의 세부 생략 범위에 대해서는 과학기술정보통신부장관이 정하여 고시한다.
④ 정보보호 관리체계 의무대상자는 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 인증 심사의 전부가 아닌 일부를 생략할 수 있다.
7
개인정보처리자가 정보주체의 동의를 받을 때 정보주체에게 알려야 하는 항목이 아닌 것은?
1. 1
  개인정보의 수집ㆍ이용 목적
2. 2
  수집하려는 개인정보의 항목
3. 3
  개인정보의 보유 및 이용 기간
4. 4
  개인정보의 수집 출처
해설
제15조(개인정보의 수집ㆍ이용)
② 개인정보처리자는 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야 한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1. 개인정보의 수집ㆍ이용 목적
2. 수집하려는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
4. 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

<오답피하기> ④ 개인정보의 수집 출처는 정보주체에게 알리고 동의를 받아야할 사항이 아니다.
8
정성적 위험분석 방법론에 해당되지 않는 것은?
1. 1
  델파이 기법
2. 2
  순위 결정법
3. 3
  시나리오법
4. 4
  과거 자료 분석법
해설
<오답피하기>④ 정량적 분석방법은 과거자료 분석법, 수학공식 접근법, 확률분포법, 점수법이 있고, 정성적 분석방법은 델파이법, 시나리오법, 순위결정법이 있다.
9
다음 중 아래 내용에 해당하는 위험분석 방법론으로 적절히 짝지은 것은?

㉠ 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정 조건하에서 위협에 대한 발생 가능한 결과들을 추정하는 방법

㉡ 각각의 위협을 상호 비교하여 최종 위협요인의 우선순위를 도출하는 방법
1. 1
  ㉠ 시나리오법 ㉡ 델파이법
2. 2
  ㉠ 확률 분포법 ㉡ 순위결정법
3. 3
  ㉠ 델파이법 ㉡ 확률 분포법
4. 4
  ㉠ 시나리오법 ㉡ 순위결정법
해설
∘ 시나리오법: 어떤 사건도 기대대로 발생하지 않는다는 사실에 근거하여 일정조건 하의 위협에 대해 발생가능한 결과를 추정하는 방법이다. 적은 정보를 가지고 전반적인 가능성을 추론할 수 있고, 위험 분석팀과 관리층 간의 원활한 의사소통도 가능케 한다. 그러나 발생가능한 사건의 이론적인 추측에 불과하고 정확성, 완성도, 이용 기술 수준 등이 낮다.
∘ 순위결정법: 비교 우위 순위 결정표에 위험 항목들의 서술적 순위를 결정하는 방법이다. 즉, 각각의 위협을 상호 비교하여 최종 위협 요인의 우선순위를 도출하는 방법이다. 이 방법은 위험 분석에 소요되는 시간과 분석해야 하는 자원의 양이 적다는 장점이 있으나, 위험 추정의 정확도가 낮다는 단점이 있다.

<오답피하기> ④ 정성적 위험분석 방법 중 시나리오법과 순위결정법에 대한 설명이다.
10
다음의 ISMS 인증 의무 대상자에 대한 설명으로 잘못 기술 된 것은?
1. 1
  전기통신사업법의 전기통신사업자로 전국적으로 정보통신망 서비스를 제공하는 사업자
2. 2
  타인의 정보통신서비스 제공을 위하여 집적된 정보통신시설을 운영ㆍ관리하는 사업자
3. 3
  정보통신서비스 부문 전년도 매출액 100억 이상 사업자
4. 4
  전년도말 기준 직전 6월간 일일 평균 이용자 수 100만명 이상 사업자
해설
제47조(정보보호 관리체계의 인증)
② 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
1. 대통령령으로 정하는 바에 따라 정보통신망서비스를 제공하는 자(서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자)
2. 집적정보통신시설 사업자
3. 연간 매출액 또는 세입 등이 1,500억원 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상으로서, 대통령령으로 정하는 기준에 해당하는 자

<오답피하기> ④ 전년도말 기준 직전 6월간 아닌 3개월간의 일일 평균 이용자 수 100만명 이상 사업자가 인증 의무 대상자이다.

문제은행

2020 제15회 정보보안기사 기출문제