정보보안관리및법규정답(2023-03-25 / 674.9KB / 328회)
- 36 - 1. 시스템에 접근한 주체가 시스템에 어떤 행위를 하고 있는지를 기록함으로써 문제 발생 시 원인 및 책임 소재를 파악하기 위한 것으로 가장 적절한 것은? ① 책임추적성 ② 식별 ③ 인증 ④ 인가 2. ISMS-P 인증체계는 정책기관, 인증기관, 심사기관으로 나누어져 있다. 인증위원회 개최를 통한 인증서 발급 등의 업무를 수행하는 인증기관으로 가장 적절한 것은? ① 한국인터넷진흥원(KISA) ② 한국정보통신진흥협회(KAIT) ③ 한국정보통신기술협회(TTA) ④ 개인정보보호협회(OPA) 3. 정보보호 시스템 인증에 관한 설명으로 가장 적절하지 않은 것은? ① 정보보호 시스템 평가기준은 정보보호 시스템 제품을 객관적으로 평가하여 신뢰성을 확보하기 위한 인증제도이다. ② TCSEC은 보안 솔루션을 개발할 때 표준이 되는 정보보호 제품 인증으로 가장 등급이 낮은 D부터 A까지 있다. ③ ITSEC은 운영체제와 장치를 평가하기 위한 유럽형 지침으로 기밀성, 무결성, 가용성을 다루며 기능성과 보증을 분리 평가한다. ④ TCSEC과 ITSEC의 단점을 보완하고자 세계 각국에서 사용되는 다양한 평가 지침을 포함한 TOE 인증은 정보보호 제품에 대한 상호인증이다. 4. 재해복구시스템에 관한 설명으로 가장 적절하지 않은 것은? ① Mirror 사이트는 RTO 및 RPO 측면에서 가장 적절한 사이트로 1차 사이트와 완전 이중화를 수행하고 데이터베이스도 실시간으로 동기화한다. ② Hot 사이트는 주 서버와 백업 서버를 Active-Active 상태로 유지하여 주 서버는 업무를 처리하고 백업 서버는 운영하지 않는 상태로 대기한다. ③ Warm 사이트는 중요한 업무 위주로 백업 사이트를 구성하는 것으로 시스템 복구에 수 일에서 수 주까지 소요된다. ④ Cold 사이트는 전기 시설을 완비하고 재해 발생 시 서버와 소프트웨어를 구매해서 복구하는 방식으로 재해복구 측면에서 가장 부적절하다. 5. 파일 소유자가 자신의 파일 권한을 변경하는 접근통제 방법으로 가장 적절한 것은? ① MAC(Mandatory Access Control) ② DAC(Discretionary Access Control) ③ Non-DAC(Non Discretionary Access Control) ④ RBAC(Role-Based Access Control) 6. 다음 사업 연속성 계획(BCP, Business Continuity Planning)에 관한 절차 중 빈칸 ㉠∼㉢에 들어갈 단계로 올바르게 짝지어진 것은? 범위 설정 및 기획 → ( ㉠ ) → ( ㉡ ) → ( ㉢ ) → 수행 테스트 → 계획의 유지 보수 ㉠ ㉡ ㉢ ① 복구계획 수립 복구전략 개발 사업영향평가 ② 복구계획 수립 사업영향평가 복구전략 개발 ③ 사업영향평가 복구계획 수립 복구전략 개발 ④ 사업영향평가 복구전략 개발 복구계획 수립 7. FRR(False Rejection Rate)과 FAR(False Acceptance Rate)은 생체인증 기술의 정확성을 나타낸다. 생체인증 시스템에 관한 설명 중 가장 적절하지 않은 것은? ① 사용자 편의성을 요구할 경우 FRR이 낮아진다. ② 사용자 편의성을 요구할 경우 FAR이 높아진다. ③ 시스템의 보안성을 강화할 경우 FRR이 낮아진다. ④ 시스템의 보안성을 강화할 경우 FAR이 낮아진다. 8. 다음 ㉠∼㉣에서 설명하는 위험분석 방법이 올바르게 짝지 어진 것은? ㉠ ․순위결정표에 위협 항목들의 우선순위를 결정하 는 방법이다. ․분석 시간이 상대적으로 짧고 이해하기가 쉽다. ㉡ ․위협의 발생 빈도를 계산하는 식을 이용하여 위 험을 계량하는 방법이다. ․위험을 정량화하여 매우 간결하게 나타낼 수 있 으나, 기대 손실을 추정하는 자료의 양이 적다는 단점이 있다. ㉢ ․전문가 집단을 대상으로 한 설문조사에 의한 위험분석 이다. ․전문가 집단을 통해 정보시스템의 취약성과 위협요소를 추정하여 평가하기 때문에 비용을 절약할 수 있다. ㉣ ․미래에 일어날 수 있는 여러 상황을 이론적으로 예측하는 방법이다. ․어떤 사건도 기대하는 대로 발생하지 않는다는 사실에 근거하여 일정 조건에서 위협에 대해 발 생 가능한 결과들을 예측하며, 적은 정보를 가지 고 전반적인 가능성을 추론할 수 있다. ㉠ ㉡ ㉢ ㉣ ① 순위결정법 수학공식접근법 시나리오법 델파이법 ② 수학공식접근법 순위결정법 델파이법 시나리오법 ③ 순위결정법 수학공식접근법 델파이법 시나리오법 ④ 수학공식접근법 순위결정법 시나리오법 델파이법 9. GDPR(General Data Protection Regulation) 인증에 관한 설명으로 가장 적절하지 않은 것은? ① 유럽 위원회가 제안한 것으로 유럽연합(EU) 내의 개인정보 (personal data) 보호 기능을 강화하고 통합하는 개인정보에 대한 EU 규정이다. ② 적용 기업은 지점, 판매소, 영업소 등 EU 내 사업장을 운영하는 기업으로 전자상거래 등을 통해 EU 내에서 개인정보를 처리하는 기업은 제외된다. ③ 적법성, 공정성, 투명성의 원칙, 목적 제한의 원칙, 개인정보처리의 최소화, 정확성의 원칙, 보관기간제한의 원칙, 무결성 및 기밀성, 책임성을 기본 원칙으로 한다. ④ 정보주체의 명시적 동의가 있는 경우 또는 회원국 법률에 따른 경우 등을 제외하고는 민감정보(special categories of personal data)의 처리는 원칙적으로 금지된다. 10. Bell-Lapadula 접근통제 모델의 설명 중 가장 적절하지 않은 것은? ① 무결성을 보장할 수 있는 모델로 주체에 의한 객체 접근의 항목으로 무결성을 다룬다. ② 최초의 수학적 모델로서 보안 등급과 범주를 이용한 강제적 정책에 의한 모델이다. ③ 미 국방성(DoD)의 지원을 받아 설계된 모델로 TCSEC의 근 간이 되었다. ④ 정보 구분은 Top Secret, Secret, Confidential, Unclassified로 구분된다. 【정보보안관리 및 법규】 - 37 - 11. 「개인정보 보호법」 제2조(정의)에 관한 설명으로 가장 적절하지 않은 것은? ① “처리”란 개인정보의 수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그 밖에 이와 유사한 행위를 말한다. ② “정보주체”란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다. ③ “개인정보파일”이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합 물을 말한다. ④ “개인정보처리자”란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인 및 단체를 제외한 개인을 말한다. 12. 「정보통신기반 보호법」 제6조(주요정보통신기반시설보호계획의 수립 등)에 포함되어야 하는 사항으로 가장 적절하지 않은 것은? ① 주요정보통신기반시설의 취약점 분석・평가에 관한 사항 ② 주요정보통신기반시설의 설치 및 사용자 서비스에 관한 사항 ③ 주요정보통신기반시설의 보호에 관하여 필요한 사항 ④ 주요정보통신기반시설 및 관리 정보의 침해사고에 대한 예방, 백업, 복구대책에 관한 사항 13. 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조 (정의)에 관한 설명으로 가장 적절하지 않은 것은? ① “클라우드컴퓨팅”이란 집적・공유된 정보통신기기, 정보통신설비, 소프트웨어 등 정보통신자원을 이용자의 요구나 수요 변화에 따라 정보통신망을 통하여 신축적으로 이용할 수 있도록 하는 정보처리체계를 말한다. ② “클라우드컴퓨팅기술”이란 클라우드컴퓨팅의 구축 및 이용에 관한 정보통신기술로서 가상화 기술, 분산처리 기술 등 대통령령 으로 정하는 것을 말한다. ③ “클라우드컴퓨팅서비스”란 클라우드컴퓨팅을 활용하여 상용으로 타인에게 정보통신자원을 제공하는 서비스로서 대통령령으로 정하는 것을 말한다. ④ “이용자 정보”란 클라우드컴퓨팅서비스 이용자가 클라우드 컴퓨팅서비스를 이용하여 클라우드컴퓨팅서비스를 제공하는 자의 정보통신자원에 저장하는 정보로서 클라우드컴퓨팅서비스 제공자가 소유 또는 관리하는 정보를 말한다. 14. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제45조의3 (정보보호 최고책임자의 지정 등)에서 정한 정보보호 최고 책임자 업무 중 가장 적절하지 않은 것은? ① 정보보호 계획의 수립・시행 및 개선 ② 정보보호 실태와 관행의 정기적인 감사 및 개선 ③ 정보보호 협회의 설립과 운영 및 개선 ④ 정보보호 위험의 식별 평가 및 정보보호 대책 마련 15. 「개인정보 보호법」 제15조(개인정보의 수집・이용)에서 정한 개인정보처리자가 정보주체에게 동의를 받을 때 정보주체에게 알려야 하는 사항으로 가장 적절하지 않은 것은? ① 개인정보의 수집・이용 목적 ② 수집하려는 개인정보의 항목 ③ 개인정보의 보유 및 이용 기간 ④ 수집기관의 명칭 및 기관 현황 16. 「정보통신기반 보호법」 제8조(주요정보통신기반시설의 지정 등) 에서 주요정보통신기반시설을 지정할 때 주요 고려사항으로 가장 적절하지 않은 것은? ① 기관이 수행하는 업무의 개인정보 보유 건수 ② 다른 정보통신기반시설과의 상호연계성 ③ 해당 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성 ④ 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위 17. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제45조의3 (정보보호 최고책임자의 지정 등)에서 정한 정보보호 최고 책임자의 겸직 가능한 업무로 가장 적절하지 않은 것은? ① 「정보보호산업의 진흥에 관한 법률」 제13조에 따른 정보보호 공시에 관한 업무 ② 「정보통신기반 보호법」 제5조제5항에 따른 정보보호책임자의 업무 ③ 「전자금융거래법」 제21조의2제4항에 따른 정보보호최고책임자의 업무 ④ 「개인정보 보호법」 제31조제2항에 따른 조직관리 인사총괄 책임자의 업무 18. 「위치정보의 보호 및 이용 등에 관한 법률」 제16조(위치 정보의 보호조치 등) 및 동법 시행령 제20조(위치정보의 관리적・기술적 보호조치)에서 정한 내용으로 가장 적절하지 않은 것은? ① 위치정보의 수집・이용・제공・파기 등 각 단계별 접근 권한자 지정 및 권한의 제한 ② 위치정보시스템의 원활한 사용을 위한 사용자 인터페이스의 설치 및 운영 ③ 위치정보시스템에의 권한 없는 접근을 차단하기 위한 방화벽 설치 등의 조치 ④ 위치정보를 안전하게 저장・전송할 수 있는 암호화 기술의 적용이나 이에 상응하는 조치 19. 다음 중 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 시행령」 제3조(클라우드컴퓨팅서비스)에서 정한 서비스를 고른 것으로 가장 적절한 것은? ㉠ 서버, 저장장치, 네트워크 등을 제공하는 서비스 ㉡ 응용프로그램 등 소프트웨어를 제공하는 서비스 ㉢ 로컬 장치에 응용프로그램의 데이터를 저장하는 서비스 ㉣ 응용프로그램 등 소프트웨어의 개발・배포・운영・관리 등을 위한 환경을 제공하는 서비스 ① ㉠㉡㉢ ② ㉠㉡㉣ ③ ㉠㉢㉣ ④ ㉡㉢㉣ 20. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조 (정의)에 관한 설명으로 가장 적절하지 않은 것은? ① “정보통신서비스”란 「전기통신사업법」 제2조제6호에 따른 전기 통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것을 말한다. ② “전자문서”란 컴퓨터 등 정보처리능력을 가진 장치에 의하여 전자적인 형태로 작성되어 송수신되거나 저장된 문서형식의 자료로서 표준화된 것을 말한다. ③ “게시판”이란 그 명칭과 관계없이 정보통신망을 이용하여 저장장치에 저장할 목적으로 부호・문자・음성・화상・동영상 등의 정보를 이용자가 로컬 저장장치에 저장할 수 있는 컴퓨터 프로그램이나 기술적 장치를 말한다. ④ “전자적 전송매체”란 정보통신망을 통하여 부호・문자・음성・화상 또는 영상 등을 수신자에게 전자문서 등의 전자적 형태로 전송하는 매체를 말한다.