ISMS-P 인증심사원 양성과정 시험 합격을 위한 연습문제#3
ISMS-P 인증심사원 양성과정 시험 합격을 위한 연습문제
01. 다음 중 경영진의 활동으로 가장 적절하지 않은 것은?
① 경영진은 취약점 진단 결과, 위험 평가, DoA 결정 및 위험수용 사항, 내부감사, 정보보호대책, 이행 조치결과 등 주요 정보보호 활동에 대한 의결에 참여하였다.
② 위험평가 결과에 따른 대책을 대표이사의 위임을 받은 CISO와 임원진이 참여하여 예산을 검토하였다.
③ 정책 개정 심의를 위해 CISO와 각 부서장 등이 참여하여 회의를 진행하였으며, 회의록에 대한 내용은 개정에 대한 찬성 여부만을 기록하고 상세한 검토 내역은 구두로 의사표현을 하였다.
④ 정보보호 분기별, 월별, 일별 활동 내역을 CISO에게 보고하고 일별 내역이 취합된 월별, 분기별 활동내역은 보고 후 CISO의 서명을 받았다.
02. 다음 중 정보보호 및 개인정보보호 관련 최고책임자 지정과 관련하여 가장 거리가 먼 것은?
① CISO 겸직이 제한되는 정보통신서비스 제공자는 전년도 말 기준 자산총액 5조원 이상인 자, 정보보호 관리체계 인증을 받아야 하는 자 중 전년도 말 기준 자산총액 5000억 원 이상인 자로 한정된다.
② CISO의 겸직 금지의 범위에 해당되는 기관은 CISO가 정보보호 이외의 업무를 수행하는 정보기술책임자(CIO, CTO 등) 등은 물론 개인정보보호책임자(CPO) 관련 업무까지 포함된다.
③ CISO 자격기준은 정보보호 또는 정보기술 분야 석사학위 이상의 학위를 취득했거나 정보보호 또는 정보기술 분야의 학사학위를 취득하고 정보보호 또는 정보기술 분야 업무를 3년 이상 수행한 경력이 있는 사람은 가능하다.
④ CISO 자격기준은 정보보호나 정보기술 분야의 전문학사학위를 취득하고 정보보호 또는 정보기술 분야 업무를 7년 이상 수행한 경력이 있는 사람 또는 정보보호 또는 정보기술 분야 업무를 10년 이상 수행한 경력이 있는 사람경력이 있는 사람은 가능하다.
03. 다음 중 정보보호 조직 구성 및 위원회와 관련된 설명으로 가장 거리가 먼 것은?
① 회사에서는 정보보호 및 개인정보보호와 관련된 위원회를 정보보호위원회라 정하고 전체 부서장과 임원을 모두 포함하였다.
② 회사는 정보보호 및 개인정보보호 관련 사항에 대해 실무 차원에서 현안에 대한 공유, 조정, 검토, 개선의견을 개진할 수 있는 실무자 차원의 협의를 구성하고 보안실무협의회로 명명하였으며 중요 사안에 대한 의사결정 및 경영진 지원이 필요한 경우에는 위원회에 상정하여 논의하였다.
③ 회사는 보안업무에 대한 회의 시간의 절약 및 의사결정의 신속한 처리를 위해 정보보안 및 개인정보보호 실무자로 구성된 담당자의 협의체를 위원회 활동으로 인정하기로 하였다.
④ 회사는 정보보호 최고책임자, 개인정보 보호책임자, 개인정보보호 실무조직, 위원회 등 정보보호 및 개인정보보호 조직의 구성, 운영에 대한 사항을 정책서와 내부관리 계획 등에 명시하였으며 상세한 직무 설명은 별도의 직무 기술서에 기록하였다.
04. 다음 중 ISMS-P 관리체계의 범위에서 제외될 수 있는 것은?
① 홈페이지 수정 및 유지보수를 수행하는 외부업체 직원
② 심사 범위 내 인사팀 담당자의 PC
③ 로그인 기능이 없는 회사의 대표 홈페이지
④ 정답 없음
05. 다음 중 정책 지침 제정/개정 관리에 대한 설명으로 가장 적절하지 않은 것은?
① 회사는 올해 정보시스템의 신규 도입과 인력 등의 변화가 없어, 개정된 법률과 관계된 개인정보보호지침만을 개정하였다.
② 회사는 일부 정보시스템을 외부 ASP업체를 통해 클라우드 서비스로 이전하였고 이 때 해당 클라우드 약관에 동의하고 해당 이용 약관을 홈페이지에 공지하고 내부의 클라우드 보안 및 운영지침은 홈페이지의 이용 약관으로 대체하기로 하였다.
③ 정책, 지침, 가이드는 전 임직원(외주 상주인력 포함)이 확인할 수 있도록 내부 그룹웨어 또는 관리 시스템에 업로드하거나 문서로 비치하여 관리하되 보안 상 전사 공개가 어려운 상세 절차서나 매뉴얼은 접근권한을 달리하여 별도 관리할 수 있다.
④ 정보보호 및 개인정보보호 관련 지침, 절차서 및 매뉴얼은 가급적 대외비로 지정하여 운영하고 해당 개정 이력을 기록 및 관리하도록 한다.
06. 다음 중 자원 할당과 관련된 설명으로 가장 거리가 먼 것은?
① 신청기관은 개인정보보호팀을 새롭게 신설하고 이에 따른 담당직원의 자격 조건으로 개인정보관리사(CPPG)나 개인정보영향평가사(PIA) 자격을 취득하고 개인정보보호 유관업무에 2년 이상 종사한 직원을 채용하였다.
② 신청기관은 그동안 외부망을 통한 내부 시스템 방어에 다년간 많은 보안솔루션을 도입하고 운영하였으나 올해부터는 내부 통제 소홀에 따른 문제점은 없는지를 분석하여 내부감사 인력과 내부유출방지 관점의 예산을 책정하였다.
③ 신청기관은 올해 초에 정보통신망법과 개인정보보호법에 따른 기술적/관리적 보호조치 및 안전성 확보조치에 충족하지 못한 사안에 대하여 예산과 인력을 투입하였으나 하반기 정보보호 위험평가에서 회사의 경영상의 이유로 해당 내용을 위험수용 처리하기로 이사회에서 결정하였다.
④ 신청기관은 차년도 정보보호 및 개인정보보호업무를 총괄할 수 있는 컨트롤 타워실을 발족하기로 하고 이에 따른 예산, 인력, 법적요구사항을 검토하여 계획서에 반영하였다.
07. 다음 중 인증기준 “1.1 관리체계 기반 마련>1.2.2 현황 및 흐름분석”과 관련된 증적으로 옳은 것을 모두 고르시오.
① 정보서비스 흐름도
② 개인정보 흐름표
③ 총괄 개인정보 흐름도
④ 업무현황표(흐름도)
08. 다음 중 위험평가와 관련된 문서 중 가장 관련성이 낮은 것은?
① 위험평가 이행계획서
② 위험평가 보고서
③ 모의해킹/취약점진단 보고서
④ 정보보호 운영명세서
09. 다음 중 위험평가와 관련된 내용으로 틀린 것은?
① 고유식별정보를 처리하는 홈페이지가 있는 경우 위험평가(취약점 진단 기준)으로 연 2회 이상 실시하여야 한다.
② 위험평가 수행 시 베이스라인 접근법, 상세위험 분석법, 복합 접근법 등의 방법론을 적용할 수 있다.
③ 위험평가는 관리체계 수립 시 반드시 수행하여야 한다.
④ DoA 산정을 통한 위험 수용 기준은 관련된 부서별 팀장이 모여서 해당 기준 값을 검토하고 결정하였다.
10. 다음 중 도출된 위험에 대한 이행 조치 결과와 미이행 사유를 확인하기 가장 적절한 문서는?
① 위험평가계획서
② 위험평가 수행매뉴얼
③ 위험관리 이행계획서
④ 정보보호 및 개인정보보호 관리체계 운영명세서
11. 다음 중 개인정보보호 배상보험에 가입을 통한 위험 대응 전략은?
① 위험감소
② 위험조치
③ 위험전가
④ 위험회피
12. 신청기업은 제품 정보를 다운로드 할 수 있는 윈도우 서버 OS가 EoS 되었으나,1개월 후 서비스 종료 예정으로 해당 서버에 대한 신규 라이선스를 구매하지 않기로 하였다. 대신 해당 서비스와 서버는 1개월 이후 폐기 및 삭제하기로 결정하였다. 이러한 위험 대응 전략은?
① 위험감소
② 위험조치
③ 위험전가
④ 위험수용
13. 다음 중 위험이행계획을 확인한 후 발견된 후보 결함 중 가장 적절하지 않은 것은?
① 전년도 정보보호 이행계획에 따라 장기로 분류된 위험이 해당년도에 구현되지 않은 경우
② 위험조치 결과보고서에는 "조치완료"로 기재되어 있으나 조치되지 않은 경우
③ 전년도 정보보호 이행계획서에 명시되어 조치하였으나 CISO/경영진에게 보고하지 않은 경우
④ 위험평가 이후 DoA 미만의 위험에 대한 이행계획을 수립하고 조치하지 않은 경우
14. 다음 중 인증기준 1.3.2 보호대책 공유와 관련이 없는 것은?
① 전사 정보보호 교육
② 이메일 공지
③ 교육자료 그룹웨어 게시 및 전달교육 실시
④ 취약점 진단 결과 시행 관련 게시판 공지
15. 다음 중 ISMS 의무대상 기업이 관리체계의 효과적인 운영을 위해 식별해야 할 주기적 또는 상시적 정보보호 활동으로 가장 거리가 먼 것은?
① IT재해복구 모의훈련, DB복구테스트
② 주요직무자의 개인정보처리시스템 접근권한 검토
③ 매년 개인정보영향평가 수행계획서 갱신
④ 사무실 보안점검, 클린데스크,PC지킴이 시행의 날
16. 다음 중 인증기준 1.4.1 법적 요구사항 준수 검토에 따른 내용으로 가장 적절하지 않은 것은?
① 개인정보처리에 대한 수탁사 점검을 내부관리계획서에 따라 3월에 수행하고 해당 결과를 기록 및 이력관리하고 있다.
② 해당 기업은 6월에 개인정보처리 수탁사가 변경되어 내년에 신규 수탁사 점검을 시행할 계획이다.
③ 정보통신망법에 따른 개정사항 이슈가 발생되어 즉시 실무자 검토를 실시하였다.
④ 홈페이지에 대한 IT컴플라이언스 점검을 매년 실시하여 약관, 수집동의 등에 대한 요구사항을 검토하고 있다.
17. 다음 중 인증기준 1.4.2 관리체계 점검에 대한 설명으로 가장 적절하지 않은 2개는 무엇인가?
① 효과적인 관리체계 운영 현황을 점검하기 위해서 내부감사를 실시하였다.
② 전문성을 보장하기 위해 감사 전담반 구성 시 자격을 보유한 외부감사인을 초빙하였다.
③ 관리체계 운영 점검을 하기 위해 정보보호팀장, 정보보호 담당자를 포함하였다.
④ 내부감사 시 객관성을 위해 영업팀을 점검반으로 구성하였다.
18. 다음 중 관리체계 수립 이후 관리체계 개선을 위하여 아래와 같은 방지대책, 개선 방안 수립 및 효과성을 확인하기 위한 내용으로 가장 거리가 먼 것은?
• DLP보안정책 예외 현황
• 악성 코드 관리 현황
• PC 점검 수행율
• PC 보안 프로그램 설치현황
① 보안감사 결과보고서
② 내부점검 결과보고서
③ 효과성 측정 보고서
④ 내부관리계획
19. 다음 중 정보보호 정책관리 현황으로 가장 적절하지 않은 것은?
① 신청기관은 데이터베이스에 대한 접근통제 및 작업이력을 효과적으로 관리하기 위해 DB 접근제어 솔루션을 올해 도입하고 보안시스템의 운영관리 지침 및 DBMS관리 지침에 관리자 및 사용자의 접근통제, 작업이력, 로깅, 모니터링 절차 등에 관한 사항을 반영하였다.
② 신청기관은 개인정보보호 관련 법령, 고시 등에 많은 부분이 변경된 것을 인지하고 해당 지침이 변경되기 위해서는 그룹 이사회를 거치는 등 많은 시간이 소요되어 내부 지침에서는 개인정보보호지침을 참고하도록 명시하고 있는 규정에 의거하여 개인정보보호 법률 전체를 출력하여 개인정보보호지침으로 관리하고 있으며 내부 지침의 개정은 차년도 그룹 이사회에 상정하기로 하였다.
③ 신청기관은 보안관련 지침에 대한 외부 컨설팅을 통해 일부 지침별로 산재해 있거나 일관성이 결여된 항목에 대한 기준을 정리하고 이를 반영하여 지침 및 절차서를 개정하였다.
④ 신청기관은 내부 보안강화를 위해 개인정보처리시스템에 대한 변경 주기 설정 시 법률에서 요구하는 기준보다 변경 주기를 3개월 이상 짧게 적용하도록 정보보호위원회에서 해당 기준을 결정하였다.