정보보호관리체계(ISMS-P)/실습자료

관리체계 연습 문제

자격증 홀릭 2022. 7. 7. 08:54
728x90
반응형

관리체계 연습 문제

 

01. 정보보호 관리체계 인증을 법령에 의해 의무적으로 받아야 하는 업체에 대해 가장 적합한 것은 무엇인가? (2개 선택)

① 오프라인 서비스 연 매출 100억 이상이며 온라인 서비스 연 매출 10억 이상인 업체

② 온라인 서비스 연 매출 50억 이상이며 오프라인 서비스 연 매출 2,000억 이상인 상급종합병원

③ 오프라인 서비스 연 매출 1,500억 이상이며 직전연도 12 31일 기준 재학생 수가 1천명 이상인 고등교육법에 따른 학교

④ 온라인 서비스 개수가 4개이면서 각각 연 매출 30억 이상인 업체

 

02. 정보보호 및 개인정보보호 관리체계 신청절차와 관련된 부분 중 가장 적합하지 않은 설명을 고르시오.

① 최초/사후/갱신 인증심사결과 심의/의결은 인증위원회를 통해 진행된다.

② 보완조치 결과제출 기간은 인증심사 마지막 날 기준으로 최대 100일이다.

ISMS-P 인증기관은 KISA와 금융보안원이다

④ 인증심사 수수료는 신청기관의 인증범위에 따라 달라지며 인증심사 전까지 납부하면 된다.

 

03. 정보보호 및 개인정보보호 관리체계 인증기준과 관련된 내용으로 가장 적합하지 않은 것을 고르시오.

① 통합된 ISMS 인증을 취득하기 위해서는 인증기준 80개를 만족해야 한다.

② 통합된 ISMS 인증을 취득한 업체에서 범위가 다른 ISMS-P 인증을 취득하기 위해서는 추가로 22개 인증기준을 만족하면 된다.

ISMS-P 인증을 취득하기 위해서는 102개의 인증기준을 만족해야 한다.

④ 개인정보 처리단계별 요구사항을 만족하지 않아도 ISMS 인증은 취득할 수 있다.

 

04. 정보보호 및 개인정보보호 관리체계와 관련된 내용으로 가장 적합한 것을 고르시오.

① 기존 ISMS 인증을 유지하고 있는 업체가 ISMS-P 인증을 취득하고자 할 경우에는 개인정보 처리단계별 요구사항만을 만족하면 된다.

② 최초 인증 취득 후 신규 서비스가 추가될 경우에는 다음 사후심사 시 범위에 추가하면 된다.

③ 범위 및 자산리스트가 변경되지 않은 상태에서 사후 인증 심사 시에는 최초 인증심사 시 진행해 놓은 위험분석 결과를 사용해도 된다.

④ 최초 인증 심사를 위해 인증신청을 하고자 할 경우에는 컨설팅 완료 후 관리체계가 완전히 구성된 이후에 최소 2달간 운영을 해야만 인증신청이 가능하다.

 

 

 

 

 

 

05 다음 중 가장 거리가 먼 것은 무엇인가?

ISMS-P 인증은 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도이다.

② 개인정보를 보유한 조직은 ISMS-P 인증 의무 대상이므로 ISMS-P인증을 받아야 한다.

③ 기존 ISMS 인증과 PIMS 인증을 모두 수검 받았던 신청기관은 이제부터 ISMS-P만 인증 받으면 된다.

ISMS-P 인증의 범위는 조직, 물리적 위치, 정보자산, 개인정보취급자를 대상으로 한다.

 

06. 다음 중 가장 적절한 경우는 무엇인가?

ISMS-P 인증을 받는 경우에는 ISMS 인증 범위에 추가적으로 개인정보처리를 위한 수집, 보유, 이용, 저장, 파기에 관여하는 개인 정보처리시스템 및 개인정보처리자를 범위로 한정한다.

기존 ISMS 인증을 받은 신청기관은 갱신심사가 아닌 사후심사 1년차 2년차가 계속되는 연도에는 신규 인증기준인 ISMS-P를 받지 않아도 된다.

③ 정보보호 관리체계를 구축하는 범위에 인사팀, 회계팀, 시설관리팀 등 전사 조직 참여가 불필요하고, 경영진과 정보보호팀, 개인정보보호팀, 현업, 외주인력의 참여로 충분하다.

④ 정보보호 인력의 기술적, 관리적 물리적인 보안 전문성이 충분히 확보되었다 하더라도, 3자의 정보보호 컨설팅을 받는 등의 독립적인 보안진단이 가능하기 때문에 제3자의 컨설팅을 받아야 한다.

 

07. 다음 중 가장 거리가 먼 것은 무엇인가?

① 정보보호 관리체계가 구축되었다 하더라도 관리체계 한 곳에 결정적인 빈틈이 생기면 그 곳을 통 모든 정보가 유출될 수도 있다.

② 해킹 사고의 주요 원인으로는 다양한 기술적 취약점을 이용한 지능화되는 해킹, 악성코드의 증 등이 원인이기 때문에 방화벽, 웹방화벽, DDoS 대응장비, 개인정보 암호화 솔루션 도입 등 보안 솔루션을 통한 기술적인 위험을 줄이는 것으로 대응이 가능하다.

③ 정보보호 관리체계는 인증심사를 준비하는 기간부터 인증서를 받는 기간까지 기술적, 관리적, 물리적 보호대책을 수립하여 운영하면 충분하다.

ISMS-P 인증의 범위는 조직, 물리적 위치, 정보자산, 개인정보취급자를 대상으로 한다.

 

08. 다음 중 가장 거리가 먼 것은 무엇인가? (2개 선택)

① 다양한 사업을 영위하는 조직의 경우 전사적으로 동일한 보안정책을 확대하는 것은 선택과 집중, 절차의 복잡도 증가 등으로 권장되지 않는다.

② 개인정보를 보유한 조직은 ISMS-P 인증 의무 대상자이므로 ISMS-P를 받아야 한다.

ISMS-P 인증을 받으면 구축된 정보보호 관리 체계에 대한 침해사고 발생에 대한 가능성이 없다는 것을 인증기관에서 공인된 보증을 하는 것이다.

ISMS-P 인증을 받으면 위험관리를 통한 비즈니스 안정성 제고, 윤리 및 투명 경영을 위한 정보보호 법적 준거성 확보, 침해 사고, 집단소송 등에 따른 사회·경제적 피해 최소화, 인증취득 시 정보보호 대외 이미지 및 신뢰도 향상 등의 효과를 얻을 수 있다.

 

09. 다음 설명 중 가장 거리가 먼 것은 무엇인가?

ISMS-P 인증은 신청기관이 ISMS-P 인증 심사기준을 준수하고 있음을 인증하는 것이지만 침해사고가 절대 발생하지 않는다는 보증은 아니다.

ISMS-P 인증을 거짓으로 홍보하면 정보통신망법에 따라 천만원, 또는 개인정보보호법에 따라 5천만원 이하의 과태료를 부과할 수 있다.

③ 정보보호 관리체계 인증심사의 종류는 최초 심사, 사후심사, 연장심사로 구성된다.

ISMS-P 인증을 받은 회사는 전사 조직의 해당 서비스에 대해 정보보호 관리체계의 적합성을 대외에 홍보할 수 있다.

 

10. 다음 설명 중 가장 거리가 먼 것은 무엇인가?

2016년 인증 의무대상이 확대되어 의료기관인 상급병원, 고등교육기관도 특정 조건에 해당하면 ISMS 인증을 반드시 받아야 한다.

② 신청기관의 정보보호 관련 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 심사기관이 증명하는 것을 인증심사라고 한다.

③ 기존 ISMS 인증에서 한국인터넷진흥원과 금융보안원은 인증기관으로 인증위원회 각각 두고 인증제도를 운영하며, 심사원 양성 및 관리, 인증기준 개선 등의 책임을 가지고 있다.

ISMS PIMS 인증 제도의 통합 배경에는 융합화, 고도화되고 있는 침해 위협에 효과적인 대응 목적과 심사항목이 유사하고, 개별 운영에 따른 기업의 혼란 및 재정, 인력상 부담 발생이 주요 원인이다.

 

11. 다음 설명 중 가장 거리가 먼 것은 무엇인가?

① 최초심사는 정보보호 관리체계 인증을 처음 취득 시 또는 인증범위의 중요한 변경이 있어 다시 인증을 신청 시 실시한다.

② 정보보호 관리체계의 유효기간은 최초 취득 시 3년이며, 연장을 위해서는 갱신심사를 받아야 한다.

③ 정책 기관으로는 과학기술정보통신부, 방송통신위원회, 행정안전부, 한국인터넷진흥원이 있다.

④ 기존 ISMS 인증기준의 보완조치 기간은 30일이며 신규 인증기준인 ISMS-P 인증은 40일로 변경되었고, 추가 60일까지 조치기간을 연장 신청할 수 있다.

 

12. 다음 설명 중 가장 거리가 먼 것은 무엇인가?

① 한국인터넷진흥원은 제도를 운영하고 인증품질을 관리하는 인증 기관이며 인증심사를 수행하는 심사기관을 겸한다.

② 현재 ISMS 심사기관은 한국인터넷진흥원(KISA), 금융보안원, 한국정보통신진흥협회, 한국정보통신기술협회(TTA), 정보통신산업진흥원(NIPA)이다.

③ 사후심사 단계는 신청기관의 정보보호 관리체계가 유지되고 있음이 확인되면 인증 위원회의 개최 없이 인증이 유지될 수 있다.

ISMS-P의 법적 근거는 「정보통신망법」 47조 동법 47조의 3, 「개인정보보호법」 제32조의 2를 근거로 하며 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시로 통합되었다.

 

13. 다음 설명 중 가장 거리가 먼 것은 무엇인가?

① 전년도 직전 3개월간 정보통신서비스 일일 평균 이용자 수가 100만명 이상인 자는 의무 대상자이다.

② 집적정보통신시설 사업자의 경우 매출액 50억 이하라면 인증 의무대상자에 해당하지 않는다.

③ 집적정보통신시설 사업자는 정보통신서비스 제공을 위해 자체적으로 시설을 구축하여 운영하는 자로서 공간 임대서비스(Co-Location) 또는 서버 임대(서버 호스팅) 서비스 및 네트워크 서비스 등을 제공하는 사업자를 말한다.

④ 인증 의무대상자 중 타인에 의해 구축된 집적정보통신시설의 일부를 임대하여 서비스를 재판매 하는 사업자(이하 VIDC)의 경우에 매출액 100억원 이상일 경우 인증의무대상자이다.

 

14. 다음 설명 중 가장 적절한 것은 무엇인가?

① 정보통신서비스 부문 매출액은 정보통신서비스 제공을 통해 발생하는 연간 매출액 중 대표 서비스의 매출액으로 산정하며, 여러 가지 정보통신서비스를 제공할 경우에는 해당 서비스의 매출액 중 가장 큰 것을 기준으로 계산한다.

② 쇼핑몰 포털 등의 정보통신서비스를 제공하는 자는 연간 매출액 및 이용자 수와 관계없이 의무 인증대상자이다.

③ 일일 평균 이용자 수는 Page View를 말하며 홈페이지에 들어온 접속자가 둘러본 페이지 수를 말한다.

④ 정보보호 인력의 기술적, 관리적, 물리적인 보안 전문성이 충분히 확보되었다 하더라도 독립 적인 보안 진단이 가능하기 때문에 제3자의 컨설팅을 받아야 한다.

 

15. 다음 설명 중 가장 거리가 먼 것은 무엇인가?

① 인증 신청을 위해서는 최소 2개월 이상의 운영기간이 필요하다.

② 고등교육법상의 고등학교, 대학교는 의무 인증대상이 포함된다.

③ 금융사는 의무대상은 아니지만, 상당수 금융사가 자율보안체계 확립 차원에서 인증을 획득한다.

④ 인증 의무대상자가 인증을 받지 않으면 3,000만원의 과태료를 연 1, 매년 납부해야 한다.

 

16. 다음 설명 중 가장 거리가 먼 것은 무엇인가?

① 인증 의무대상자는 스스로 법에서 정한 인증 의무 대상자 기준에 적합한지 여부를 확인하여 인증을 받아야 하며, 만약 의무 대상자임에도 인증을 취득하지 않은 사실이 확인되는 경우 과태료 부과대상이 될 수 있다.

② 정보통신서비스에는 신용카드 검색서비스, 예약서비스, 문서교환서비스, 전자지불(PG)서비스, 인터넷 포털 서비스, 인터넷 상거래서비스, 인터넷방송, 인터넷게임, 금융 관련 서비스, 콘텐츠 제공서비스, 유선방송서비스(SO)가 해당된다.

③ 일일평균 이용자 수는 홈페이지에 들어온 접속자가 둘러본 페이지 수를 말한다. 이때 PC, 스마트폰 등이 네트워크 운영을 위해 이용하는 DNS 질의, 기지국 등록 등의 접속은 제외하고, 공식적으로 이용자 수의 확인이 어려운 경우 민간 통계기관 등의 데이터를 활용한다.

④ 정답 없음

 

17. ISMS-P 인증에 대한 설명 중 가장 거리가 먼 것은?

ISMS-P의 인증비용이 ISMS 인증과 PIMS 인증의 비용을 합한 것보다 저렴하다.

2019년 이후 ISMS-P 인증만 신청하고 인증을 받을 수 있다

ISMS-P 인증은 KISA 등 인증기관에서 인증을 부여한다.

ISMS-P 인증은 ISMS 인증과 PIMS 인증을 통합한 인증이다.

 

18. ISMS-P 인증에 대한 설명 중 가장 거리가 먼 것은?

ISMS-P 인증은 3년 단위로 갱신심사를 받으며, 매년 사후심사를 받는다.

② 인증범위에 중대한 변경이 있을 경우 갱신심사 아닌 최초심사를 받이야 한다.

③ 인증 유효기간이 만료된 경우 갱신심사를 받을 때까지 인증효력이 정지된다.

④ 사후심사에는 인증위원회에 상정하지 않는다.

 

19. ISMS-P 인증에 대한 설명 중 가장 거리가 먼 것은?

A 쇼핑몰은 1개월 간 정보보호 관리체계를 운영하고 심사를 신청했다.

B 데이터센터는 심사일 2개월 전에 신청서를 제출했다.

C 대학은 심사 중 발견된 결함을 5주에 걸쳐 보완하였다.

D 병원은 미흡한 보완조치를 8주에 거쳐 보완하였다.

 

20. ISMS-P 인증에 대한 설명 중 가장 거리가 먼 것은?

① 의무대상자가 인증 최초신청 시 다음 해 8 31일까지 인증을 취득해야 한다.

② 의무대상자가 미인증 시 매년 천만원의 과태료를 부과한다.

③ 인증 의무대상자 여부는 기업이 스스로 판단해야 한다.

④ 고등학교는 ISMS-P 인증 의무대상이 아니다.

728x90

 

728x90

관리체계 연습 문제 (배포).pdf
0.26MB

728x90

'정보보호관리체계(ISMS-P) > 실습자료' 카테고리의 다른 글

결함보고서 양식  (0) 2022.07.07
운영명세서  (0) 2022.07.07
심사일지  (0) 2022.07.07
예비결함보고서  (0) 2022.07.07
인증심사 업무 분장  (0) 2022.07.07