[ISMSP] 2021년 비공개 모의고사 2회 1차
2. 인증
시정명령은 받은 날로부터 2개월 이내 인증을 신청
시정명령으 ㄹ받은 날부터 8개월 이내 인증을 받아야 함
의료법 상급종합병원
고등교육법 재학생수가 1만명이상
단, 연간 매출액 또는 세입이 1500억원이상
3. 인증
신청인은 인증범위 및 일정 등을 심사수행기관과 사전 협의하여 신청하여야 한다
4. 망분리
개인정보처리자 -> 정보통신서비스제공자가 대상
ipconfig /displaydns명령을 통해 최근 dns 확인
다파접에 해당
다파접이 아닌 개인정보를 단순 조회하는 경우 망분리를 하지 않을 수 있음
9. 1.3.1 보호대책 구현
정보보호 대책에 대한 이행계획을 수립하고 ciso, cpo 승인 -> 보호대책 선정 완료
그러나 조치완료로 명시되었으나 여전히 위험이 존재하면 보호대책 구현 결함
10. 위험평가
멀티밴더 -> 위험전가
유무선 네트워크 장비를 위탁 -> 위험전가
일관성 있게 적용 -> 위험감소
보안시스템의 부하는 위험이며 관문 네트워크 통합 -> 위험감소
11. 2.2.3 보안서약
보안지침상 보안서약서를 매년 1회 징구
특정인이 19년 이후 징구하지 않은 것으로 파악
13. 2.9.1 변경관리 / 2.101 보안시스템 운영
2.9.1 -> 협력사 직원이 철수시 방화벽의 변경 절차가 이행되지 않아 불필요한 룰이 남음
2.10.1 -> 방화벽 룰이 정보시스템의 접근통제가 최소회되지 않음
14. 방화벽 룰
22, 80, 443포트를 사용한 점 dev pc에 접근하는 규칙이 남아 있는 것으로 볼때 협력사 개발팀 흔적임
19. vsftp설정
userlist_enable=YES는 user_list파일에 있는 사용자는 접근 제한
20. 암호화 현황
쇼핑몰의 트래픽 암호화 방식에 따라 암호화는 수행하는 구간이 다를 수 있음
정확한 확인은 트래픽 캡쳐 sw를 사용
21. 클라우드
CASB -> 사용자와 공급자 중간에 구성 중개자 기능
CSPM -> 클라우드 위험을 지속적으로 관리
CWPP -> 워크로드 고유한 보호
22. sudo
/bin/sudo 파일이 아닌 /bin/su파일의 권한을 변경
24. crontab
분 시 일 월 요일(일-토, 7도 일)
@monthly -> 0 0 1 * * 유사하게 실행
26. 라우터설정
FTP접근 관련 설정
27. 클라우드 방화벽 설정
fw3에서 인바운드 규칙에 server1에 대한 허용 규칙이 없어 접근 불가
pc3, pc4는 fw영향을 받지 않음
28. ftp
ftp active mode와 passive mode 차이 확인
29. ssl 협상
session ID와 1단계의 랜덤값은 바이트는 같지만 서로 다른 값임
30. 3.1.7 홍보 및 마케팅 목적 활용시 조치
정보통신서비스 제공자 영리목적의 마케팅 정보 수신 동의와 별도로 앱푸시 동의를 받아야 함
31. 앱 접근 권한
선택적 접근권한을 함께 설정하여 선택적 접근권한에 대해 거부할 수 없도록 하고 있는 경우 결함
32. 3.5.3 이용내역 통지
웹호스팅 업체는 데이터에 대한 제어를 하지 않음
이용내역을 통지할 대상과 시기에 대해 알지 못함
웹호스팅 업체가 이용내역을 통지하지 않으니 ㅇㅇ 몰은 법적인 요건인 이용내역 통지가 적시에 수행되지 않음
33. 심사원의 행동
심사원의 경험을 토대로 웹호스팅 업체에서 이용내역을 통지해주지 않는다는 점을 공유한 점은 잘됨
심사시간이 촉박하지만 심사 분위기를 돋우기 위해 충분히 할 수 있는 이야기로 심사태도가 부적절하다고 볼 수 없다
35. 흐름도 분석
실시간 계좌이체는 pg사인 KG이니시스가 수탁자, 온라인 웹사이트 상에서만 서비스가 제공
수탁자인 SCI평가정보는 본인인증 업무를 담당
본인인증정보는 성명, 휴대전화번호, 이동통신사, 생년월일, 성별이 있다
37. 비밀번호
비밀번호는 반드시 일방향 암호화
비밀번호는 반기별 1회
영문, 숫자, 특수문자 중 2종류이상 10자리 3종류이상 8자리
38.3.1.1. 개인정보 수집 제한 / 3.1.2 개인정보의 수집 동의
3.1.1 -> 문자알림 서비스 가입에 집주소는 불필요
3.1.2 -> 개인정보 수집에 거부할 수 있도록 하고 거부시 불이익의 내용을 고지해야 함
39. 수집목적 명확표시
개인정보 수집항목인 성명, 전화번호, 집주소 등을 각각 수집목적을 표시해도 되지만
수집목적이 동일한 경우에 묶어서 고지
40. 위탁사
위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한사항
수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
위탁 목적 문서화
1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적 관리적 보호조치에 관한 사항
3. 위탁업무의 목적 및 범위
4. 재위탁 제한에 관한 사항
5. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
6. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한사항
7. 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
41. 3.4.3. 휴면 이용자 관리
서비스 미이용시 파기 기준은 1년
이용자의 선택에 따라 기준을 달리 할 수 있음
42. sns소셜 로그인
업무상 필요한 동의 시점에 맞추어 최소화 수집하여야 하나, 선택정보로 분류하여 가입 단계에서 미리 동의 받을 수 있음
소셜로그인 경우라도 개인정보 파기의무가 면제되지 않는다
43. 3.5.1 개인정보처리방침 공개
개인정보처리방침의 변경은 정보주체가 확인할 수 있도록 변경된 사항을 쉽게 확인할 수 있도록 조치해야함
44. 법적 요구사항
법적 요구사항 충족하고 강화된 내규를 준수하는 것은 결함이 아니다
이를 결함으로 지적하는 것은 전문성이 높다고 볼 수 없다
45. 업무위탁 제3자 제공
제3자 제공은 개인정보처리자의 책임소재가 다르므로 사전 예측이 업무 위탁보다 어렵다
업무 위탁 중 홍보, 판매권유 등 위탁업무 내용은 통지 절차를 거쳐야 하므로 위탁사실을 개인정보처리방침에 공개하는 것만으로는 법위반 소지가 있음
46. 앱접근
안드로이드 7.0버전은 필수적 접근권한, 선택적 접근권한 모두를 설정할 수 있는 기능을 보유하고 있다
OS기능을 이용하면 필수적 접근권한만 설정할필요는 없다
49. 내부관리계획
개인정보처리자는 접근권한 기록을 최소 3년 보관
정보통신서비스 제공자는 최소 5년 보관
PC에 설치하고 최신업데이트 상태를 유지할 때 이행한 것으로 본다
