2020 정보보안기사 핵심정리 - 정보보안관리 및 법규

암호화 대상 비교
정보통신망법	개인정보보호법
1. 주민등록번호 2. 여권번호 3. 운전면허번호 4. 외국인 등록번호 5. 신용카드번호 6. 계좌번호 7. 바이오정보	1. 고유식별정보 2. 비밀번호 3. 바이오정보

---

정보통신망법에 따라 정보통신서비스 제공자 등은 중요 정보에 대해서는 안전한 암호알고리즘으로 암호화하여 저장하여야 한다. 다음 중 법령에 따른 필수 암호화 저장 대상이 아닌 것은?

① 주민등록번호

② 운전면허번호

③ 핸드폰번호

④ 계좌번호

 

※ 신용카드번호

---

업무 연속성 5단계로 순서가 적합한 것은?

프로젝트의 범위·설정·기획 → ( ㉮ ) → ( ㉯ ) → ( ㉰ ) →프로젝트의 수행 테스트 및 유지보수

 

㉮ : 사업영향평가,      ㉯ : 복구전략 개발,      ㉰ : 복구계획 수립

---

다음 지문이 설명하는 정보보 관련 제도는?

민감업체 등에서 개발한 정보보호시스템을 국제표준인 ISO15048 및 ISO 18045를 이용하여 보안기능에 대한 안전성과 신뢰성을 보증함으로써 사용자들이 안심하고 정보보호시스템을 사용할 수 있도록 지원하는 제도

① 정보보호제품 평가·인증 제도

② 정보보호 관리체계 인증 제도

③ 보안적합성 검증 제도

④ 암호모듈 검증 제도

---

위험관리 절차를 순서대로 배열한 것은?

㉮ 자산식별

㉯ 정보보호계획 수립

㉰ 정보보호 대책 수립

㉱ 위험 분석 및 평가

㉲ 주기적 재검토

 

① ㉮ - ㉯ - ㉰ - ㉱ - ㉲

② ㉮ - ㉱ - ㉰ - ㉯ - ㉲

③ ㉮ - ㉯ - ㉱ - ㉰ - ㉲

④ ㉮ - ㉱ - ㉯ - ㉰ - ㉲

---

개인정보영향평가 시 반드시 고려할 사항이 아닌 것은?

① 처리하는 개인정보의 수

② 개인정보 취급자의 인가 여부

③ 개인정보의 제3자 제공 여부

④ 정보주체의 권리를 해할 가능성 및 그 위협

 

---

민감정보의 정의 : 사상·신념, 노동조합·정당의 가입·탈퇴, 정치적 견해, 건강, 성생활 등에 관한정보,

1. 유전자검사 등의 결과로 얻어진 유전정보

2. 범죄경력자료에 해당하는 정보

 

※ 위 해당하는 정보만 민감정보로 본다.

---

공인인증기관이 발급하는 공인인증서에 포함되어야 하는 사항이 아닌 것은 무엇인가?

① 가입자의 전자서명검증정보

② 공인인증서 비밀번호

③ 가입자와 공인인증기관이 이용하는 전자서명방식

④ 공인인증기관의 명칭 등 공인인증기관을 확인할 수 있는 정보

 

※ 공인인증기관이 발급하는 공인 인증서에는 다음 사항이 포함되어야 한다.

1. 가입자의 이름(법인의 경우 명칭)

2. 가입자의 전자서명 검증정보

3. 가임자와 공인인증기관이 이용하는 전자서명 방식

4. 공인인증서의 일련번호

5. 공인인증서의 유효기간

6. 공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보

7. 공인인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항

8. 가입자가 제3자를 위한 대리권 등을 갖는 경우 또는 직업상 자격등의 표시를 요청한 경우 이에 관한 사항

9. 공인인증서임을 나타내는 표시

 

---

개인정보보호법에 의거하여 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보 파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험 요인의 분석과 개선사항 도출을 위한 영향평가를 하고 그 결과를 행정안전부장관에게 제출하여야 한다. 영향평가를 하는 경우에 고려해야 할 사항으로 적합하지 않은 것은?

① 처리하는 개인정보의 수

② 개인정보의 제3자의 제공 여부

③ 정보주체의 권리를 해할 가능성 및 그 위험 정도

④ 개인정보를 처리하는 수탁업체 관리·감독의 여부

 

※ 23조

---

개인정보보호법에 의거하여 개인정보처리자가 정보주체 이회로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 정보주체에게 알려야 하는 사항들에 해당되지 않는 것은?

① 개인정보 처리의 정지를 요구할 권리가 있다는 사실

② 개인정보의 보유·이용 기간

③ 개인정보의 수집 출처

④ 개인정보의 처리 목적

 

※ 20조

---

위협(Threat)은 손실이나 손상의 원인이 될 가능성을 제공하는 환경의 집합으로 보안에 해를 끼치는 행동이나 사건이다. 위협의 종류에는 가로채기(interception), 가로막음(interruption), 변조(modification), 위조(fabrication) 등이 있다.

 

위헙(Risk)은 예상되는 위협에 의하여 자신에 발생할 가능성이 있는 손실의 기대치이다. 위험은 자신의 가치 및 취약점과 위협 요소의 능력, 보호 대책의 효과 등에 의해 영향을 받으며, '자산x위협x취약점'으로 표현한다.

 

취약점(Vulnerability)은 정보시스템 또는 정보보호시스템의 결함 또는 손실을 말하는 것으로 정보보호 대책을 적용함으로써 감소시킬 수 있다. 주기적인 취약점 진단과 패치를 적용하더라도 취약점을 완전히 제거하는 것은 불가능하다

---