[ISMSP] 2021년 모의고사 4회 1차
1. CISO자격
비상근은 안됨
자산총액 5000억 CISO CPO 겸직 금지
특별자격요건(정보보호 4년이상 또는 정보기술+정보보호 5년이상(2년 정보보호 필수) 상근자
4. 3.5.1 개인저보처리방침
홈페이지 회원가입은 이메일과 휴대폰 수집
개인정보처리방침에는 누락됨
그외 보기는 현재 자료로 단정할 수 없음
5. 취약점
xss -> 외부입력값을 처리과정 없이 결과 페이지 생성에 사용
16. 포트문제
23번 telnet
순간 착각을 함
거져주는 문제인데 아쉽다
17. 3.4.3 휴면 이용자 관리
DM메일을 수신하여 열어본 경우는 서비스 이용 조건에 해당하지 않음
22. 2020.8.5 시행됨
정보통신서비스 제공자 등에게 개인정보 처리방침 부분은 개보법 적용
기술적 관리적 보호조치가 아닌 안전성 확보조치를 적용
23. 유출 통지 신고
문제를 잘못봄
정당한 사유가 있는 경우 24시간 경과하여 통지 및 신고 가능
한국인터넷진흥원과 개인정보보호위원회에 신고
28. 2.6.6 원격 접근/2.8.2 보안 요구사항 검토 및 시험/2.8.3 시험과 운영환경 분리
2.6.6 -> 베스천호스트는 누구나 접근가능
2.8.2 -> 보안팀에서 클라우드 환경에 대한 점검 리스트가 없다는 이유로 취약점 점검을 하지 않음
2.8.3 -> 개발계와 이관곅가 동일한 공간에 위치, 다른팀에서 애플리케이션에 접근 가능
29. 2.10.8 패치관리/2.4.4 보호설비 운영
IaaS형태는 서버 패치는 고객
인증심사시 물리보안 영역은 N/A가 아닌 클라우드서비스 제공자로 부터 안전하다는 증거자료를 확보해야함
32. 2.1.2 조직의 유지관리
직무분리는 상급자 보고와 인력충원 계획으로 보완됨
보안팀의 역할 변경과 환경변화가 있었으나 역할 분담이 명확하지 않고 업무 성과의 기준이 객관적인 평가를 할 수 없는 지표로 선정되어 2.1.2 결함
34. 1.2.3 위험평가/1.2.4 보호대책 선정/1.4.2 관리체계 점검
1.2.3 -> 위험평가후 doa수준을 담당자 뿐만 아니라 경영진에 보고하고 승인 받아야함
1.2.4 -> 위험의 심각성, 예산 할당, 자원의 가용성 등 우선순위 결정이 필요/법적리스크는 위험수용이 아닌 위험감소 전략
1.4.2 -> IT감사후 타당한 이유없이 이행 계획 수립에 차질이 생기는 경우
35. 2020.8.5 시행된 법에 의해 삭제
통계작성 및 학술연구 등의 목적을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 제공하는 경우 별도의 조치사항이 없다.
37. 2020.8.5 시행된 법에 의해 변경
정보통신서비스 제공자 등에게 개인정보 처리방침 부분은 개보법 적용
기술적 관리적 보호조치가 아닌 안전성 확보조치를 적용
38. 2020.8.5 시행된 법에 의해 변경
정보통신서비스 제공자에게 개보법상 처리위탁에 관한 규정이 적용
개인정보 처리위탁을 하는 경우 별도 동의 필요 없음
개보법에 따라 위탁하는 업무 내용, 수탁자를 위탁자의 홈페이지에 지속적으로 게재하는 방법으로 공개할 의무는 남음
39. 2020.8.5 시행된 법에 의해 변경
인종이나 민족에 관한 정보도 민감정보
정보주체에게 별도의동의를 받은 경우만 가능
41. 1.1.3 조직 구성/1.4.3 관리체계 개선
1.1.3 -> 위원회를 개최하였으나 주요 사항이 검토 및 의사결정이 되지 않은 경우
1.4.3 -> 내부점검을 통해 발견된 문제점이 매번 동일하게 반복되는 경우
암호화전용 프로그램을 이용하여 암호화 할 필요는 없다. 별도의 프로그램을 이용하여도 가능
보안요구사항은 충족해야함
42. 2.6.2 정보시스템 접근
A사이트의 lastlog에 B사이트 ip가 있다 이는 우회 접속이 통제되지 않은 것을 확인
접근제한 방식, 안전한 접근 수단 등을 정의해야함
43. 2.9.6 시간 동기화
lastlog에 2002년으로 남겨져 있어 서버의 시간이 동기화 되지 않은 것으로 확인
44. 2.10.9 악성코드 통제
문제파악을 잘못함
악성코드는 매월 1일에 수행하고 있음
요구사항은 매일수행해야함
47. 1.1.4 범위 설정
심사신청 범위 홈쇼핑서비스와 인사관리시스템으로 신청
인사관리시스템 심사범위 내 정보자산, 주요직무자, 업무환경이 누락
시스템 전환중이더라고 전환예정 문서가 필요함
49. 2.10.2 클라우드 보안
클라우드 서비스 계약시 보안요구사항을 반영하고 보안책임을 명확히 정의하여 계약서에 명시
특히 리전이 해외에 존재하면 법적요구사항을 함께 고려해야함
50. 2.8.2 보안 요구사항 검토 및 시험
공공기관은 연계정보 50만명이상이면 개인정보영향평가를 수행