[ISMSP] 2021년 비공개 모의고사 1회 1차



2. 정보보호 관리체계 인증

isms인증만 받고자 하는 경우 개인정보를 포함하고 있으면 isms 인증을 받을 수 있다


같은 관리체계 내에서 일부 서비스만 개인정보흐름을 포함하여 인증을 받고자 하는 심사의 경우 수수료 및 심사과정을 통합하였으며

유효기간 및 심사주기가 동일하고 범위만 다른 2장의 인증서 발급이 가능하다


5. 정보보호 및 개인정보보호 관리체계 인증

정보보호 산업의 진흥에 관한 법류에 따른 isms-p인증 수수료 할인 -> 30%


재난재해 상황발생시 예외 조항 신설

유사시 비대면 원격 심사 병행 


9. 위치정보 관련

위치정보 취급대장은 위치정보를 포함하여서는 안된다.


위치정보처리시스템에 접속한 기록을 분기별 1회이상 정기적 확인 감독

시스템 이상 유무의 확인 등을 위해 최소 2년 이상 접속기록을 보관 관리


11. 1.1.1 경영진의 참여

서면보고 형태로 진행하였으나, ceo, ciso, cpo의 피드백이 없었고 보고 여부가 확인 안됨


12. CISO

정보보호 최고책임자는 개인정보보호위원회 위원장이 아닌 과학기술정보통신부 장관(중앙전파관리소장 위임)에게 신고


직전 사업연도 말 기준 자산총액이 5조원이상이거나 정보보호 관리체계 인증 의무대상자 중 자산총액이 5천억원 이상인 정보통신서비스 제공자가 해당


13. 2.2.3 보안 서약

개인정보취급자에 대한 보안서약서만 받고 있으나 보안서약서 내에 비밀유지에 대한 내용만 있고

개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우


14. 기술적 관리적 보호조치

개인정보처리시스템 상에서 개인정보를 파기하거나 다운로드하거나 접근권한을 설정하는 망분리 대상자에 대해 외부 인터넷망을 차단하여야 한다(다파접)

그렇지 않은 경우 망분리 의무대상자가 아님


정보통신서비스 제공자 등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보보호책임자 또는 개인정보취급자에게만 부여한다(보기는 정보보호책임자 라고 되어 있음)


17. 포트 문제

ftp 20번 데이터, 21번 제어 및 인증

53번 udp, tcp 를 사용


18. 서버접근통제 솔루션

논리적인 망구성의 변경이나 우회경로가 발생할 수 있으므로 방화벽 등을 통해 추가 통제가 필요할 수 있다


21. ssh 브루트 포스 공격

초당 10개의 syn 패킷만 허용

IUNVALID상태의 패킷을 차단

패킷이 fragment 될 경우 차단

icmp 패킷을 차단


23. 리눅스

리눅스에서 !는 lock을 의미 

리눅스 계정은 비밀번호 만료후 60일안에 비밀번호를 변경하지 않으면 계정이 잠김

유닉스는 60일 동안 로그인 기록이 없으면 계정이 잠김


25. OS별 원격 접근 점검 방법

솔라리스

/etc/default/login

#CONSOLE=/lev/consol주석 제거


리눅스

/etc/pam.d/login

#auth required /lib/security/pam_securitytty.so 주석 제거

/etc/securetty

pts/0 ~ pts/x 설정 제거 또는 주석처리


AIX

/etc/security/user

rlogin=false


HP-UX

/etc/securitty

#console 주석 제거


26. rsyslog priority

Emergency -> emerg(panic)

Alert -> alert

Critical -> crit

Error -> err(error)

Warning -> warning(warn)

Notice -> notice

Informational -> info

Debug -> debug


27. SNMP

SNMP v1, v2, v3을 사용(v2는 v2c로 표시)


community값을 사용하면 안전해지는 것이 아니라 비밀번호의 개념

public, private는 기본이므로 사용을 하지 않는 것이 좋다


v3=데이터 암호화 지원


28. robots.txt

디렉터리는 /까지 지정해야함


disallow: /*? -> ?가 포함된 모든 URL의 접근을 허용하지 않는다


31. 3.1.2/3.1.5/3.3.2/3.3.3

3.1.2 -> 개인정보 이전과 관련 정보주체에게 고지후 동의사항이 아님, 통지만 가능

3.1.5 -> 관련사항 없음

3.3.2 -> 업무 위탁 언급 없음

3.3.3 -> 동일 법인 여부와 관계없이 이관과 관련된 사항을 정보주체에게 통지하였다면 위반사항 아님


33. 1.4.1 법적 요구사항 준수 검토

비회원의 거래내역을 null로 처리하였다면 소비자의 불만 또는 분쟁처리에 관한 기록 보관 의무와 대금결제 및 재화 등의 공급에 관한 기록 보관의무를 하지 못하게 된다.


37. 1.1.1 경영진의 참여

위험평가는 중요 정보보호 활동임

의사결정에 경여진 또는 위임 받은 자가 참여하고 증적이 있어야함

전자결재를 올리는 부분은 부담이나 중요 정보보호 활동이므로 임원의 참여가 필수적임


38. 유형1

9천명미만의 정보주체

접속기록은 1년이상 보관

참고로 5만명 이상은 2년이상임


41.2.3.3. 외부자 보안 이행 관리

심사기관의 매장은 직영점 또는 수탁매장이 있을 수 있으나 수탁매장인지에 대한 정보가 부족

외부자로 단정 짓기 힘듬


47. 개인정보 유출 

신용정보법은 개인정보 유출통지 및 신고의무는 별도로 규정하고 있음

업무 목적 외로 누설 -> 신용정보주체에게 통지

1만명 이상 누출 -> 피해최소화 등 조치결과 금융위 또는 금융감독원에 신고(통지사항은 개보법 준용)



이 블로그의 인기 게시물

키움 영웅문 일정 기간 특정일 고가-저가 피보나치 수식

레이크뷰 비달 아이스와인 2017(Lakeview Cellars Vidal Icewine 2017)