| 5과목 : 정보보안 관리 및 법규 |
81. 주요 직무자 지정 및 관리시 고려해야 할 사항으로 틀린 것은?
① 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하여야 한다.
② 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하여야 한다.
③ 업무 필요성에 따라 주요 직무자 및 개인정보취집자 지정을 최소화하는 등 관리방안을 수립·이행하여야 한다.
④ 파견근로자, 시간제근로자 등을 제외한 임직원 중 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 관리하여야 한다.
82. 정보통신기반보호법에서 정하는 주요 정보통신기반시설 보호계획의 수립 등에 포함되지 않는 사항은?
① 주요정보통신기반시설의 취약점 분석·평가에 관한 사항
② 정보보호 책임자 지정에 관한 사항
③ 주요정보통신기반시설 및 관리 정보의 침해사고에 대한 예방, 백업, 복구대책에 관한 사항
④ 주요정보통신기반시설의 보호에 관하여 필요한 사항
83. 다음 내용에 따른 국내대리인의 필수 공개 정보로 잘못된 것은?
| 국내대리인을 지정해야 하는 국외사업자는 개인정보 처리방침에 국내대리인의 정보를 공개하여야 한다. |
① 법인명, 대표명
② 주소
③ 고객센터 연락처
④ 이메일
84. 정보통신기반 보호법에 의거하여 주요정보통신기반시설을 지정할 때 주요 고려사항으로 틀린 것은?
① 다른 정보통신기반시설과의 상호연계성
② 업무의 정보통신기반시설에 대한 의존도
③ 업무의 개인정보 보유 건수
④ 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성
85. 정보통신망 이용 촉진 및 정보 보호 등에 관한 법률에서 정의하는 용어에 대한 설명으로 틀린 것은?
| ㉠ “전자문서”란 컴퓨터 등 정보처리능력을 가진 장치에 의하여 전자적인 형태로 작성되어 송수신되거나 암호화되어 저장된 문서형식의 자료로서 표준화된 것을 말한다. ㉡ “개인정보”란 생존 및 사망한 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다. ㉢ “침해사고”란 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태를 말한다. ㉣ “게시판”이란 그 명칭과 관계없이 정보통신망을 이용하여 일반에게 공개할 목적으로 부호·문자·음성·음향·화상·동영상 등의 정보를 이용자가 게재할 수 있는 컴퓨터 프로그램이나 기술적 장치를 말한다. |
① ㉠, ㉡
② ㉡, ㉢
③ ㉢, ㉣
④ ㉡, ㉣
86. 조직의 정보보호 교육 대상자에 해당되지 않는 사람은?
① 조직의 중요한 고객
② 최고 경영자
③ 조직의 신입직원
④ 조직이 제공하는 정보를 이용하는 일부 외부 이용자 그룹
87. 다음 문장은 위험분석에 관한 설명이다. 괄호 안에 들어갈 내용은?
| – 자산의 (㉠ : 취약성)을 식별하고 존재하는 (㉡ : 위험)을 분석하여 이들이 (㉢ : 발생가능성) 및 (㉣ : 위협)이 미칠 수 있는 영향을 파악하여 보안위험의 내용과 정도를 결정하는 과정이다. – (㉡ : 위험)은 잠재적 (㉣ : 위협)이 현실화되어 나타날 손실액과 이러한 손실이 발생할 확률의 곱(잠재적 손실액)이다. |
① ㉠ : 위협, ㉡ : 위험, ㉢ : 발생가능성, ㉣ : 취약성
② ㉠ : 취약성, ㉡ : 위험, ㉢ : 발생가능성, ㉣ : 위협
③ ㉠ : 위험, ㉡ : 취약성, ㉢ : 위협, ㉣ : 발생가능성
④ ㉠ : 발생가능성, ㉡ : 위협, ㉢ : 취약성, ㉣ : 위험
88. 다음 문장에서 설명하는 위험평가 방법은?
| – 모든 시스템에 기본적인 보호수준을 정하고 이를 달성하기 위한 보호대책을 선택하여 적용할 수 있다. – 시간과 비용을 많이 들이지 않고 기본적인 보호대책을 선택하여 적용할 수 있다. – 과보호 또는 부족한 보호대책이 적용될 가능성이 존재한다. |
① 기준선 접근법
② 비정형 접근법
③ 상세 위험분석
④ 복합 접근방법
89. 정보보호관리체계 구축시 발생 가능한 문제점과 해결방안에 대한 설명으로 틀린 것은?
① 관련 부서와의 조정이 곤란하다.
② 직원들이 일상 업무에 바빠 관리체계 구축사업에 시간을 내기 어렵다.
③ 직원들은 자신의 책임을 피하기 위해 문제점이 발생하면 즉시 상사에게 보고하는 경향을 보인다.
④ 관리체계 구축에는 경영자의 리더십이 필수적으로 요구된다.
90. 다음 문장에서 설명하는 시스템 보안평가 기준은?
| – 보안제품 개발자에게 제공되어야 할 서비스에 대한 지침을 제시한다. – 구매자에게는 필요한 서비스 지침을 제공한다. – 기능성과 보증성에 대한 요구사항으로 구성된다. – 기능은 비밀성, 무결성, 가용성, 책임성 4가지로 분류된다. – 보증 평가등급은 7개 등급으로 분류된다. |
① TCSEC
② ITSEC
③ CTCPEC
④ CC
91. 100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업의 내부관리계획의 내용에 포함되지 않아도 될 사항은?
① 개인정보 보호책임자의 지정에 관한 사항
② 개인정보 유출사고 대응 계획 수립·시행에 관한 사항
③ 개인정보의 암호화 조치에 관한 사항
④ 개인정보 처리업무를 위탁하는 경우 수탁자에게 대한 관리 및 감독에 관한 사항
92. 비즈니스 연속성에서 고장과 관계된 수용될 수 없는 결과를 피하기 위해 재해 후에 비즈니스가 복귀되어야 하는 최단 시간 및 서비스 수준을 의미하는 것은?
① RTO
② WRT
③ RP
④ MTD
93. 정보의 수집·가공·저장·검색·송신·수신 중에 정보의 훼손·변조·유출 등을 방지하기 위한 관리적·기술적 수단인 정보보호의 목적으로 틀린 것은?
① 기밀성 서비스 제공
② 무결성 서비스 제공
③ 가용성 서비스 제공
④ 추적성 서비스 제공
94. 위험분석의 구성요소가 아닌 것은?
① 비용
② 취약점
③ 위협
④ 자산
95. 정보보호의 예방대책을 관리적 예방대책과 기술적 예방대책으로 나누어 볼 때 관리적 예방대책에 속하는 것은?
① 안전한 패스워드를 강제로 사용
② 침입차단 시스템을 이용하여 접속을 통제
③ 가상 사설망을 이용하여 안전한 통신 환경 구현
④ 문서처리 순서의 표준화
96. 건물 관리 및 화재 등 사고관리를 위해 건물입구를 비추도록 설치된 영상정보처리기기에서 사용할 수 있는 기능으로 옳은 것은?
① 사고를 확인하기 위한 카메라 줌인, 줌아웃
② 범인을 추적하기 위한 카메라 이동
③ 사고 내용을 확인하기 위한 음성 녹음
④ 사고 내용을 전달하기 위한 영상 전송
97. 다음 문장의 정보보호대책 선정시 영향을 주는 제약사항으로 옳은 것은?
| 많은 기술적 대책들이 직원의 능동적인 지원에 의존하기 때문에 이러한 제약사항을 고려하여야 한다. 만약 직원이 대책에 대한 필요성을 이해하지 못하고 문화적으로 수용할 만하다는 것을 알지 못한다면 대책은 시간이 지날수록 비효율적인 것이 된다. |
① 환경적 제약
② 법적 제약
③ 시간적 제약
④ 사회적 제약
98. 개인정보보호 법령에 따른 영상정보처리기기의 설치·운영과 관련하여 정보주체가 쉽게 인식할 수 있도록 설치하는 안내판의 기재 항목이 아닌 것은?
① 설치 목적
② 영상정보 보관기관
③ 설치 장소
④ 촬영 범위
99. 개인정보보호법상 개인정보 유출사고의 통지, 신고 의무에 대한 설명으로 틀린 것은?
① 정보통신서비스 제공자등은 개인정보의 유출등의 사실을 안 때에는 지체 없이 유출 등의 내역을 해당 이용자에게 알려야 한다.
② 정보통신서비스 제공자등은 1천면 이상의 정보주체에 관한 개인정보의 유출등의 사실을 안 때에는 지체 없이 유출 등의 내역을 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 한다.
③ 정보통신서비스 제공자등은 정당한 사유 없이 유출 등의 사실을 안 때에는 24시간을 경과하여 통지·신고해서는 아니 된다.
④ 정보통신서비스 제공자 등은 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 유출 등의 내역을 자신의 인터넷 홈페이지에 30일 이상 게시하여야 한다.
100. 정보보호 거버넌스 국제 표준으로 옳은 것은?
① ISO27001
② BS10012
③ ISO27014
④ ISO27018
