81번 - 개인정보의 기술적 관리적 보호조치 기준
제2조 제7호
7. "접속기록"이라 함은 이용자 또는 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록한 것을 말한다.
82번 - 위험분석
생략
83번- 정보보호와 비즈니스 관계
생략
84번 - 위험관리
http://jeongchul.tistory.com/435
85번 - 정보보호 사전점검
http://blog.naver.com/ntower/221310408202
86번 - 정보통신기반 보호법
87번 - 위험대응 전략
1. 부정적 위험에 대응하는 전략
a. 회피(Avoidance)
위험을 회피하는 전략이다. 위험으로부터 프로젝트를 보호하기 위해 원래 계획을 변경하여 회피하는 전략이다.
예로 익숙하지 않은 하청업체를 피하는 방법이나 경험 없는 신기술 보다는 기존 기술을 활용하는 것으로 변경하는 것 등을 들 수 있겠다
b. 전가(Transfer)
위험에 대한 책임을 제 3자에게 전가 시키는 전략이다
이는 위험을 단지 다른 당사자에게 위험 관리의 책임을 주는 것이지 위험을 제거하는 것은 아니다
보험 이나 외주가 전가의 대표적인 사례인데 재무적인 위험을 다룰 때 가장 효과적이라 할 수 있다
c. 완화(Mitigation)
원래 계획은 변경하지 않고 위험이 발생활 확률이나 영향을 최소화하는 전략이다
예를 들어 일정 위험이 있을 경우 기존 일정 계획을 준수하기 위해 자원이나 시간을 투자하여 위험을 완화시킬 수
있다. 직원 교육 역시 위험을 완화하는 활동이라 할 수 있겠다
2. 긍정적 위험에 대응하는 전략
위험(Risk)는 비단 부정적인 사건만을 뜻하지는 않는다
프로젝트 수명주기 동안 발생하는 여러 사건,이슈,이벤트들이 위험의 대상이며 이는 긍적적인 위험도 관리대상에
포함되는 것이다
a. 활용(Exploit)
긍적적인 사건을 최대한 활용하는 전략이다
기회가 실현될 수 있도록 활용하고 긍정적인 영향력을 가진 사건을 선택한다
훌륭한 자원을 보다 많이 배정하여 프로젝트의 일정이나 품질을 초기 계획보다 향상하거나 신시장을 개척하는 것 등을 활용을 사례로 들 수 있겠다
b. 공유(Share)
프로젝트의 이익을 위해 기회를 포착할 수 있는 적절한 제 3자와 공유하는 전략이다
협력 관계 팀, 특수 목적 회사 또는 제휴 체결 등이 공유의 사례이다
c. 향상(Enhance)
긍정적 위험 즉 기회의 영향을 증가시키고 최대화함으로써 기회의 규모를 확장시키는 전략이다
88번 - 위험분석
http://dreamlog.tistory.com/553
89번 - 공공기관 접근 권한의 권한 부여, 변경 또는 말소에 대한 기록을 보관하는 기간
접근 권한 부여, 변경 또는 말소에 대한 내역 기록
구분 |
대상 |
기간 |
개인정보보호법 (안정성 확보조치기준) |
개인정보처리자(공공, 민간) |
최소 3년 |
정보통신망법 |
정보통신서비스 제공자 등 |
최소 5년 |
접속 기록의 점검 및 관리
구분 |
대상 |
기간 |
개인정보보호법 |
개인정보처리자(공공, 민간) |
반기별 1회 이상 |
정보통신망법 |
정보통신서비스 제공자 등 |
월 1회 이상 |
접속 기록의 보존 관리
구분 |
대상 |
기간 |
개인정보보호법 |
개인정보처리자(공공, 민간) |
6개월 이상 |
정보통신망법 |
정보통신서비스 제공자 등 |
최소 6개월 이상 |
정보통신망법 |
기간통신사업자 |
2년 |
90번 - 정보보호 교육 및 훈련
https://m.blog.naver.com/wind1237/220612390330
91번 - 정보보호 관리 체계 의무 인증 대상자
https://isms.kisa.or.kr/main/isms/intro/index.jsp
92번 - 내부관리 계획수립
생략
93번 - 위험분석 기법
94번 - 제8조(주요정보통신기반시설의 지정 등)
제8조(주요정보통신기반시설의 지정 등)
①중앙행정기관의 장은 소관분야의 정보통신기반시설중 다음 각호의 사항을 고려하여 전자적 침해행위로부터의 보호가 필요하다고 인정되는 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있다.
1. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성
2. 제1호의 규정에 의한 기관이 수행하는 업무의 정보통신기반시설에 대한 의존도
3. 다른 정보통신기반시설과의 상호연계성
4. 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위
5. 침해사고의 발생가능성 또는 그 복구의 용이성
②중앙행정기관의 장은 제1항의 규정에 의한 지정 여부를 결정하기 위하여 필요한 자료의 제출을 해당 관리기관에 요구할 수 있다.
③관계중앙행정기관의 장은 관리기관이 해당 업무를 폐지·정지 또는 변경하는 경우에는 직권 또는 해당 관리기관의 신청에 의하여 주요정보통신기반시설의 지정을 취소할 수 있다.
④지방자치단체의 장이 관리·감독하는 기관의 정보통신기반시설에 대하여는 행정안전부장관이 지방자치단체의 장과 협의하여 주요정보통신기반시설로 지정하거나 그 지정을 취소할 수 있다. <개정 2008. 2. 29., 2013. 3. 23., 2014. 11. 19., 2017. 7. 26.>
⑤중앙행정기관의 장이 제1항 및 제3항의 규정에 의하여 지정 또는 지정 취소를 하고자 하는 경우에는 위원회의 심의를 받아야 한다. 이 경우 위원회는 제1항 및 제3항의 규정에 의하여 지정 또는 지정취소의 대상이 되는 관리기관의 장을 위원회에 출석하게 하여 그 의견을 들을 수 있다.
⑥중앙행정기관의 장은 제1항 및 제3항의 규정에 의하여 주요정보통신기반시설을 지정 또는 지정 취소한 때에는 이를 고시하여야 한다. 다만, 국가안전보장을 위하여 필요한 경우에는 위원회의 심의를 받아 이를 고시하지 아니할 수 있다.
⑦주요정보통신기반시설의 지정 및 지정취소 등에 관하여 필요한 사항은 이를 대통령령으로 정한다.
95번 - 공인인증서 포함된 내용
제15조(공인인증서의 발급)
① 공인인증기관은 공인인증서를 발급받고자 하는 자에게 공인인증서를 발급한다. 이 경우 공인인증기관은 공인인증서를 발급받고자 하는 자의 신원을 확인하여야 한다. <개정 2001.12.31>
② 공인인증기관이 발급하는 공인인증서에는 다음 각호의 사항이 포함되어야 한다. <개정 2001.12.31>
1. 가입자의 이름(법인의 경우에는 명칭을 말한다)
2. 가입자의 전자서명검증정보
3. 가입자와 공인인증기관이 이용하는 전자서명 방식
4. 공인인증서의 일련번호
5. 공인인증서의 유효기간
6. 공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보
7. 공인인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항
8. 가입자가 제3자를 위한 대리권 등을 갖는 경우 또는 직업상 자격등의 표시를 요청한 경우 이에 관한 사항
9. 공인인증서임을 나타내는 표시
③ 삭제 <2001.12.31>
④ 공인인증기관은 공인인증서를 발급받고자 하는 자의 신청이 있는 경우에는 공인인증서의 이용범위 또는 용도를 제한하는 공인인증서를 발급할 수 있다. <개정 2001.12.31>
⑤ 공인인증기관은 공인인증서의 이용범위 및 용도, 이용된 기술의 안전성과 신뢰성 등을 고려하여 공인인증서의 유효기간을 적정하게 정하여야 한다. <개정 2001.12.31>
⑥ 공인인증서 발급에 따른 신원확인 절차 및 방법 등에 관하여 필요한 사항은 미래창조과학부령으로 정한다. <신설 2001.12.31, 2008.2.29, 2013.3.23>
[제목개정 2001.12.31]
96번 - 재해복구 테스트의 종류
복구 테스트 유형
• 체크리스트(Checklist)
- 계획이 조직의 모든 영역에 해당되는지 확인및 검토하는것
• 구조적 점검(Structured walk -through)
가장 중요하다 가장 비용 효과적이기 때문이다.
ex) 드라마 찍기전에 대사 맞춰보는 것 과 유사하다
- 사업 단위 관리자들이 계획이 복구능력을 제공하는지 검토하고 확인하는것
• 시뮬레이션(Simulation)
테스트용 시스템 시뮬레이터가 있어야한다.
- 재해에 대한 직원의 능력을 테스트
- 실재 복구 프로세스나 대체 응용을 기동하지는 않는다.
• 병렬 테스트(Parallel)
실제 사이트 운영을 중단시키지 않고 백업사이트에 가서 구현하고 실행해보고 산출물이 같은지 다른지 각각 비교해본다.
- 가장 많이 수행되는 재해 복구 테스트
- 핵심적인 기능이 대체 복구 사이트에서 수행되는지 확인
- 트랜잭션 결과를 비교함으로써 정확성과 안정성을 확인
• 전체 시스템 중단 테스트(Full -interruption)
원래 시스템을 중단시키고 한다.
- 극히 드물지만 절대적으로 최선의 테스트
- 실제 재해 상황처럼 조직의 기능을 중단시키고 복구 계획을 실행
97번 - 업무 연속성 관리 단계
업무 연속성 관리 단계
1. 시작 단계
- 정책 수립
- 업무연속성 관리에 관한 제반 사항을 준비
2. 전략 수립 단계
- 잠재적인 영향 및 위험을 평가, 위험감소 및 업무 프로세스 복구를 위한 여러 옵션들 파악 및 평가
- 업무연속성 관리를 위한 비용의 효과적인 전략을 수립
3. 구현 단계
- 위험 감소 조치및 재해 복구를 위한 설비를 구현 및 업무 복구를 위한 계획 및 절차 작성
- 초기 시험 수행
4. 운영 관리 단계
- 업무 연속성 전략, 계획 및 절차를 계속적 테스트
- 검토 및 유지 보수, 교육및 훈련 프로그램 운영
98번 - 조직 책임자와 역할
https://m.blog.naver.com/s2kiess/220478708883
99번 - 정보통신망법 제27조의3
제27조의3(개인정보 누출등의 통지·신고)
① 정보통신서비스 제공자등은 개인정보의 분실·도난·누출(이하 "누출등"이라 한다) 사실을 안 때에는 지체 없이 다음 각 호의 모든 사항을 해당 이용자에게 알리고 방송통신위원회에 신고하여야 한다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다.
1. 누출등이 된 개인정보 항목
2. 누출등이 발생한 시점
3. 이용자가 취할 수 있는 조치
4. 정보통신서비스 제공자등의 대응 조치
5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
② 제1항에 따른 통지 및 신고의 방법·절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
③ 정보통신서비스 제공자등은 개인정보의 누출등에 대한 대책을 마련하고 그 피해를 최소화할 수 있는 조치를 강구하여야 한다.
[본조신설 2012. 2. 17.]
100번 - 개인정보보호법 제33조
제33조(개인정보 영향평가)
① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 "영향평가"라 한다)를 하고 그 결과를 행정안전부장관에게 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 행정안전부장관이 지정하는 기관(이하 "평가기관"이라 한다) 중에서 의뢰하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26.>
② 영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다.
1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
4. 그 밖에 대통령령으로 정한 사항
③ 행정안전부장관은 제1항에 따라 제출받은 영향평가 결과에 대하여 보호위원회의 심의·의결을 거쳐 의견을 제시할 수 있다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26.>
④ 공공기관의 장은 제1항에 따라 영향평가를 한 개인정보파일을 제32조제1항에 따라 등록할 때에는 영향평가 결과를 함께 첨부하여야 한다.
⑤ 행정안전부장관은 영향평가의 활성화를 위하여 관계 전문가의 육성, 영향평가 기준의 개발·보급 등 필요한 조치를 마련하여야 한다. <개정 2013. 3. 23., 2014. 11. 19., 2017. 7. 26.>
⑥ 제1항에 따른 평가기관의 지정기준 및 지정취소, 평가기준, 영향평가의 방법·절차 등에 관하여 필요한 사항은 대통령령으로 정한다.
⑦ 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관을 포함한다)의 영향평가에 관한 사항은 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙으로 정하는 바에 따른다.
⑧ 공공기관 외의 개인정보처리자는 개인정보파일 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 영향평가를 하기 위하여 적극 노력하여야 한다.
* 이 포스팅은 이기적 정보보안기사 필기 기출문제집을 기반으로 작성되었습니다.
'Certification > 정보보안기사' 카테고리의 다른 글
| 제12회 (2018년도 2회) 정보보안기사 필기 합격 후기 (0) | 2018.10.06 |
|---|---|
| 제12회 정보보안기사 필기 시험 가답안 (2018년도 2회) 9월8일 (2) | 2018.09.10 |
| 정보보안기사 필기 10회 기출문제 오답노트 정리 - 61번~80번 (0) | 2018.09.07 |
| 정보보안기사 필기 10회 기출문제 오답노트 정리 - 41번~60번 (0) | 2018.09.06 |
| 정보보안기사 필기 10회 기출문제 오답노트 정리 - 21번~40번 (0) | 2018.09.06 |