CPPG 모의고사 오답노트 3탄
1. 키, 몸무게->개인정보
해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보라도 개인정보가 될 수 있다.
2. 근무평가, 신용평가, 인사기록, 진료차트, 고객성향->생산정보
3. 손해배상액 산정 -> 위험 전가
4. 세이프하버
고지, 선택, 제공, 접근, 안전성, 데이터 무결성, 이행
고선제접 안데이
6. GDPR
수령인-제3자인지 여부와 관계없이 개인정보가 공개되는 자연인이나 법인, 공공당국, 기관 또는 기타 단체
컨트롤러-개인정보의 처리 목적 및 수단을 단독 또는 제3자와 공동으로 결정
프로세서-컨트롤러 대신 개인정보를 처리
대리인-컨트롤러 또는 프로세서가 지정한 자, 대리
8. 외부인의 불법적인 접근에 의한 개인정보 유출 및 훼손-> 저장 및 이용에 의한 침해
10. ISO27701에 포함 안된 것 -> risk management
12. 보기를 잘 못봄
개보법->개인정보처리자(수범자), 정보주체(소지자)
망법->정보통신서비스 제공자 등(수범자), 이용자(소지자)
13. 저장기간 제한->이용제한의 원칙
무결성과 기밀성-> 안전성 확보의 원칙
적법성, 공정성,투명성->처리방침 공개의 원칙
목적 제한->목적 명확화의 원칙
14. 정보주체가 선택정보 수집에 동의하지 않아 재화 또는 서비스의 제공이 불가->불가되면 안됨
15. 출입인가를 위해 지문정보를 수집하는 경우 민감정보가 아니다.
단, 지문정보로 개인을 알아볼 수 있다면 개인정보에 해당함
16. 고유식별정보 처리 실태 조사
5만명, 매2년, KISA
17. 고유식별정보->법령에 의해서 개인에게 부여된 것이어야 하므로, 기업, 학교 등이 소속 구성원에게 부여하는 사번, 학번 등은 고유식별정보가 될 수 없다.
19. 블랙박스는 일정한 공간을 지속적으로 비추지 않아 규제 대상에 포함되지 않는다.
출입이 엄격히 통제되는 사무실 등의 장소는 공개된 장소에 해당하지 않음
24. 개인정보취급자의 역할 및 책임
-내부관리계획 등 각종 규정, 지침 등 준수
-개인정보처리시스템의 안전한 운영 및 관리
-개인정보의 기술적 관리적 보호조치 기준 이행
-개인정보보호 교육 참석
-개인정보 침해사고 발생 시 대응 및 보고
-개인정보 처리 현황, 처리 체계 등의 점검 및 보고 등
25. 정보통신 서비스 제공자 개인정보 유출시 인터넷 홈페이지에 30일 이상 게시
26. 개인정보 보호책임자는 개인정보파일 등록사항에 포함되지 않는다.
28. 손해배상제도에서는 기업에게 고의 과실 중과실이 없음을 기업이 입증
29. 집단 분쟁조정-> 국가, 지방자치단체, 한국소비자원 또는 소비자단체, 사업자가 개인정보분쟁조정위원회에 서면의로 의뢰 또는 신청
30. 단체소송의 확정판결 효과는 다른 단체에게까지 미친다.
31. 개인정보 수집,이용시 고지사항
개보법->목항기거
망법->목항기
33. 모든 개인정보처리자->개인정보처리자가 로 변경되어야함
34. 신용정보법 상 개인신용정보가 아닌 개인정보에 관하여는 개보법을 적용 받음
40. 파기는 개인정보보호책임자의 책임하에 수행, 개인정보보호책임자는 파기 결과를 확인
-> 파기 첫부분에 정보보호최고책임자라고 되어 있었음
43. 제3자 제공형->다국적기업 한국지사가 수집한 고객정보를 미국본사로 이전
해외 여행업을 하는 사업자가 외국 협력사에게 고객정보를 제공
44. 제3자에게 개인정보의 처리 업무를 위탁시 문서 포함
금기목재안감손
- 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
- 개인정보의 기술적 관리적 보호조치에 관한 사항
- 위탁업무의 목적 및 범위
- 재위탁 제한에 관한 사항
- 개인정보에 대한 접근 제한 등 안정선 확보 조치에 관한 사항
- 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점겅 등 감독에 관한 사항
- 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
45. 위탁자가 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 팩스, 전화, 문자전송 등의 방법에 따라 위탁하는 업무의 내용과 수탁자를 정보주차에게 알려야 한다.
46. 영업 양수도 관련 사항을 정보주체에게 직접 알릴 수 있는 방법이 없는 경우
인터넷 홈페이지에 30일 이상 게재하여야 한다.
50. 홍보 및 마케팅 -> 항목, 목적 명확히 표시
52. CCTV 열람시 정보주체 이외의 자의 사생활 침해 우려가 있는 경우 해당되는 정보주체 이외의 자의 개인영상정보를 알아볼 수 없도록 보호조치를 하여 열람 요구에 대한 열람 조치를 하여야 한다.
비용이 있을시 열람요구자가 비용을 부담
53. 민원업무를 쉽게 해결하기 위하여 민원인의 개인정보를 피민원인이나 피민원기관에 제공하는 것은 불가피한 필요가 있는 경우라고 보기 어렵다.
55. 영장에 의하지 않는 경우에는 피의자가 죄를 범하였다고 의심할 만한 정황이 있고 해당 사건과 관계가 있다고 인정할 수 있는 경우에 한하여 극히 제한적으로 개인정보를 제공하여야 한다.
57. 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별 평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위->위험도 분석
61. 150만명의 정보주체의 개인정보를 보유한 단체->유형3
다시 찾아보기
62. 정보보호 책임자 -> 개인정보호책임자로 변경
64. 8천명 중소기업->유형2
문제는 1차락이 맞음
65. brute force공격시 빠르게 비밀번호를 시도해 보기 위해서 해시 함수를 사용하여 생성가능한 값을 저장한 표를 이용한 공격-> 생일자 공격
레인보우 테이블공격-> 해시함수를 사용하여 값을 만들어 표로 만듬
67. 개인정보처리스세템에서 단순히 개인정보를 열람, 조회 등만을 할 때에는 망분리를 적용하지 아니할 수 있다.
69. 업무용 컴퓨터의 하면보호기 등은 접속차단에 해당하지 않는다.
개인정보처리시스템에 로그아웃 조치를 하여야한다.
72. 개인정보를 암호화 저장 한 후 보조저장매체에 저장하여 전달하는 방법을 사용할 수 있다.
74. 정기적으로 접속기록 백업을 수행하여 개인정보처리시스템 이외의 별도의 물리적인 저장자치에 보관하여야 한다.
보기는 논리적도 있음
75. 트랩도어=백도어
76.정기적인 출입 기록을 검토하기 위해서는 출입 관리대장 작성이 필요하다.
77. 웜사이트 -> 백업센터에 장비 일부를 설치하여 주요 업무만 복구하는 방식
콜드사이트 -> 시스템 가동 환경 유지하고 재해시 HW, SW 설치하여 사용하는 방식
78. 개인정보 표시제한 조치는 의무 조치는 아니고 지침의 성격의 조치
79. 금융 업종에 속하는 사업자-> 신용정보의 이용 및 보호에 관한 법률
정보통신서비스 제공자에 해당함으로 신용정보업감독규정에 없는거는 망법에 따라야함
81. 운영체제 명령 실행
사용자 입력값을 검증하지 않음
83. 망분리
제공하는 정보통신서비스가 다수일 때에는 전체를 합산하여 적용
84. 과거정보, 시그니처는 오용탐지
이상탐지
91. 영향평가를 실시한 기관이 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우, 변경된 부분에 대해서는 영향평가를 실시한다.
94. 기존 영향평가 수행기간 내에 모든 개선사항이 조치 완료되어 개인정보보호위원회에 제출한 영향 평가서에 개선과제가 없는 경우에는 개인정보 영향평가 개선사항 이행확인서를 제출할 필요가 없다.
95. 해당 국제표준 정보보호 인증 또는 정보보호 조치의 범위가 정보보호 관리체계 인증의 범위와 일치하고, 정보보호 관리체계 인증 신청 및 심사 시에는 해당 국제표준 정보보호 인증이나 정보보호 조치가 유효하게 유지되고 있을 경우 일부 생략이 가능하다.
100. 정량적->과거자료접근법, 수학공식접근법, 확률분포 추정법
정성적-> 델파이법, 시나리오법, 순위결정법
