2019 제14회 정보보안기사 기출문제

총 20문제가 검색되었습니다.

1
OECD 개인정보보호 8개 원칙 중 다음에서 설명하는 것은?

개인정보 침해, 누설, 도용을 방지하기 위한 물리적⋅조직적⋅기술적인 안전조치를 확보해야 한다.
1. 1
  수집 제한의 원칙(Collection Limitation Principle)
2. 2
  이용 제한의 원칙(Use Limitation Principle)
3. 3
  정보 정확성의 원칙(Data Quality Principle)
4. 4
  안전성 확보의 원칙(Security Safeguards Principle)
해설
개인정보보호에 관한 OECD 8원칙
① 수집 제한의 원칙(Collection Limitation Principle): 개인정보는 적법하고 공정한 방법을 통해 수집되어야 한다.
② 정보 정확성의 원칙(Data Quality Principle): 이용 목적상 필요한 범위 내에서 개인정보의 정확성, 완전성, 최신성이 확보되어야 한다.
③ 목적 명시의 원칙(Purpose Specification Principle): 개인정보는 수집 과정에서 수집 목적을 명시하고, 명시된 목적에 적합하게 이용되어야 한다.
④ 이용 제한의 원칙(Security Limitation Principle): 정보 주체의 동의가 있거나, 법 규정이 있는 경우를 제외하고 목적 외로 이용되거나 공개될 수 없다.
⑤ 안전성 확보의 원칙(Security Safeguard Principle): 개인정보의 침해, 누설, 도용 등을 방지하기 위한 물리적, 조직적, 기술적 안전 조치를 확보해야 한다.
⑥ 공개의 원칙(Openness Principle): 개인정보의 처리 및 보호를 위한 정책 및 관리자에 대한 정보는 공개되어야 한다.
⑦ 개인 참가의 원칙(Individual Participation Principle): 정보 주체의 개인정보 열람/정정/삭제 청구권은 보장되어야 한다.
⑧ 책임의 원칙(Accountability Principle): 개인정보 관리자에게 원칙 준수 의무 및 책임을 부과해야 한다.

<오답피하기> ④ 안전성 확보의 원칙에 대한 설명이다.
2
정보통신기반보호위원회의 기능에 대한 설명 중 잘못된 것은?
1. 1
  주요정보통신기반시설의 지정 및 지정 취소
2. 2
  주요정보통신기반시설 보호정책의 조정
3. 3
  주요정보통신기반시설에 관한 보호계획의 종합⋅조정
4. 4
  주요정보통신기반시설 보호대책의 수립
해설
제4조(위원회의 기능)
위원회는 다음 각호의 사항을 심의한다.
1. 주요정보통신기반시설 보호정책의 조정에 관한 사항
2. 주요정보통신기반시설에 관한 보호계획의 종합ㆍ조정에 관한 사항
3. 주요정보통신기반시설에 관한 보호계획의 추진 실적에 관한 사항
4. 주요정보통신기반시설 보호와 관련된 제도의 개선에 관한 사항
4의2. 주요정보통신기반시설의 지정 및 지정 취소에 관한 사항
4의3. 주요정보통신기반시설의 지정 여부에 관한 사항
5. 그 밖에 주요정보통신기반시설 보호와 관련된 주요 정책사항으로서 위원장이 부의하는 사항

<오답피하기> ④ 주요정보통신기반시설 보호대책의 수립은 관리기관의 역할이다.
3
공인인증서의 폐지사유가 아닌 것은?
1. 1
  가입자 또는 그 대리인이 공인인증서의 폐지를 신청한 경우
2. 2
  공인인증서의 유효기간이 경과한 경우
3. 3
  가입자의 전자서명생성정보가 분실⋅훼손 또는 도난⋅유출된 사실을 인지한 경우
4. 4
  가입자가 사위 기타 부정한 방법으로 공인인증서를 발급받은 사실을 인지한 경우
해설
제16조(공인인증서의 효력의 소멸 등)
① 공인인증기관이 발급한 공인인증서는 다음 각호의 1에 해당하는 사유가 발생한 경우에는 그 사유가 발생한 때에 그 효력이 소멸된다.
1. 공인인증서의 유효기간이 경과한 경우
2. 제12조제1항의 규정에 의하여 공인인증기관의 지정이 취소된 경우
3. 제17조의 규정에 의하여 공인인증서의 효력이 정지된 경우
4. 제18조의 규정에 의하여 공인인증서가 폐지된 경우
제18조(공인인증서의 폐지)
① 공인인증기관은 공인인증서에 관하여 다음 각호의 1에 해당하는 사유가 발생한 경우에는 당해 공인인증서를 폐지하여야 한다.
1. 가입자 또는 그 대리인이 공인인증서의 폐지를 신청한 경우
2. 가입자가 사위 기타 부정한 방법으로 공인인증서를 발급받은 사실을 인지한 경우
3. 가입자의 사망ㆍ실종선고 또는 해산 사실을 인지한 경우
4. 가입자의 전자서명생성정보가 분실ㆍ훼손 또는 도난ㆍ유출된 사실을 인지한 경우
② 공인인증기관은 제1항의 규정에 의하여 공인인증서를 폐지한 경우에는 그 사실을 항상 확인할 수 있도록 지체없이 필요한 조치를 취하여야 한다.

<오답피하기> ② 공인인증서의 유효기간이 경과한 경우는 공인인증서의 효력의 소멸 사유에 해당된다.
4
전자서명법에서 정의된 용어에 대한 설명으로 적절하지 못한 것은?
1. 1
  “전자서명”이라 함은 서명자를 확인하고 서명자가 당해 전자문서에 서명을 하였음을 나타내는데 이용하기 위하여 당해 전자문서에 첨부되거나 논리적으로 결합된 전자적 형태의 정보를 말한다.
2. 2
  “전자문서”라 함은 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보를 말한다.
3. 3
  “전자서명 검증”이라 함은 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말한다.
4. 4
  “공인인증업무”라 함은 공인인증서 발급, 인증관련 기록의 관리 등 공인인증역무를 제공하는 업무를 말한다.
해설
∘ "전자서명생성정보"라 함은 전자서명을 생성하기 위하여 이용하는 전자적 정보를 말한다.
∘ "전자서명검증정보"라 함은 전자서명을 검증하기 위하여 이용하는 전자적 정보를 말한다.
∘ "인증"이라 함은 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위를 말한다.

<오답피하기> ③ 전자서명 검증이 아닌 인증에 대한 용어 정의이다.
5
정보보호 관리체계에 대한 설명 중 적절하지 못한 것은?
1. 1
  정보보호 관리체계는 경영과 IT영역의 중요한 위험 관리 활동의 하나이다.
2. 2
  정보보호 관리체계는 정보보호에 관한 경영관리 시스템이다.
3. 3
  정보보호 관리체계는 기업에 있는 정보자산 보호를 목적으로 주로 기술적인 면을 고려하며, 일반적으로 정보보호 운용 또는 인적관리는 관리대상에서 배제한다.
4. 4
  정보보호 관리체계는 통상적으로 PDCA 사이클을 기반으로 실행된다.
해설
∘ 성공적인 정보보호는 기술적·관리적·물리적인 대책을 마련 시행함과 동시에 법제도적 뒷받침이 따라야 한다. 정보환경의 계속적인 변화는 지속적인 정보보호 관리 활동을 요구하게 되었고, 기술적인 정보보호 위주에서 관리적 중심의 정보보호 관리체계 수립 및 운영에 대한 문제로 발전하게 되었다.

<오답피하기> ③ 정보보호 관리체계는 기술적·관리적·물리적인 면을 모두 고려하며, 정보보호 운용 또는 인적관리도 관리대상에 포함된다.
6
위험의 구성요소가 아닌 것은?
1. 1
  자산
2. 2
  위협
3. 3
  취약점
4. 4
  정책
해설
위험의 구성요소
∘ 자산: 기업이나 조직에게 가치가 있는 모든 자원(업무목적, 업무 프로세스, 정보시스템도 포함)
∘ 위협: 조직의 자산에 원치 않는 결과를 미칠 수 있는 사건, 행위(화재, 지진, 해킹, 테러 등)
∘ 취약점: 자산의 특성과 통제의 약점에 기인한 위협이 발생할 수 있는 조건

<오답피하기> ④ 정책은 위험의 구성요소에 포함되지 않는다.
7
정보보호 위험의 정량적 평가방법이 아닌 것은?
1. 1
  수학공식 접근법
2. 2
  과거자료 분석법
3. 3
  확률분포법
4. 4
  델파이법
해설
<오답피하기>④ 델파이법은 정성적 위험분석 및 평가 방법이고, 나머지는 정량적 위험분석 및 평가 방법이다.
8
ISMS-P 인증제도에 관련된 설명으로 틀린 것은?
1. 1
  ISMS-P에서는 관리체계 수립 및 운영, 보호대책 요구사항, 개인정보 처리단계별 요구사항의 102개 인증기준이 존재한다.
2. 2
  정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도이다.
3. 3
  ISMS-P 인증기관 및 심사기관의 유효기간은 5년이며 유효기간이 끝나기 전 6개월부터 끝나는 날까지 재지정을 신청할 수 있다.
4. 4
  정보통신기반 보호법에 따른 주요통신기반시설의 취약점 분석⋅평가에 따른 정보보호 조치를 취한 경우 인증심사 일부를 생략할 수 있다.
해설
정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(2018.11.7. 방송통신위원회)
∘ 제9조(인증기관 및 심사기관의 재지정)
① 인증기관 및 심사기관 지정의 유효기간은 3년이며 유효기간이 끝나기 전 6개월부터 끝나는 날까지 재지정을 신청을 할 수 있으며 제6조제2항 각 호의 서류를 과학기술정보통신부장관, 행정안전부장관 및 방송통신위원회에 제출하여야 한다. 이 경우 재지정의 신청에 대한 처리결과를 통지받을 때까지는 그 지정이 계속 유효한 것으로 본다.
∘ 제20조(인증심사의 일부 생략 신청 등)
① 정보보호 관리체계 인증을 신청한 자가 다음 각 호의 어느 하나에 해당하는 인증을 받거나 정보보호 조치를 취한 경우 인증심사 일부 생략의 범위 내에서 인증심사의 일부를 생략할 수 있다.
1. 국제인정협력기구에 가입된 인정기관이 인정한 인증기관으로부터 받은 ISO/IEC 27001 인증
2. 「정보통신기반 보호법」제9조에 따른 주요정보통신기반시설의 취약점 분석·평가

<오답피하기> ③ ISMS-P 인증기관 및 심사기관의 유효기간은 3년이며 유효기간이 끝나기 전 6개월부터 끝나는 날까지 재지정을 신청할 수 있다.
9
국내 정보보호 및 개인정보보호 관리체계(ISMS-P)의 관리체계 수립 및 운영 4단계 중 위험 관리 단계의 통제항목에 해당하지 않는 것은?
1. 1
  정보자산 식별
2. 2
  현황 및 흐름 분석
3. 3
  보호대책 구현
4. 4
  위험 평가
해설
10
정보주체의 권리에 해당하지 않는 것은?
1. 1
  개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람을 요구할 권리
2. 2
  개인정보의 처리 정지, 정정⋅삭제 및 파기를 요구할 권리
3. 3
  개인정보의 처리에 관한 정보를 제공받을 권리
4. 4
  개인정보의 처리로 인하여 발생한 금전적 이익에 대해 배상받을 권리
해설
제4조(정보주체의 권리)
정보주체는 자신의 개인정보 처리와 관련하여 다음 각 호의 권리를 가진다.
1. 개인정보의 처리에 관한 정보를 제공받을 권리
2. 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
3. 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리
4. 개인정보의 처리 정지, 정정⋅삭제 및 파기를 요구할 권리 5. 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리

<오답피하기> ④ 정보주체의 권리에 개인정보의 처리로 인하여 발생한 금전적 이익에 대해 배상받을 권리는 없다.

문제은행

2019 제14회 정보보안기사 기출문제