[ISMSP] 2022년 비공개 모의고사 2회 1차
1. 인증제도
인증을 취득한 기관이 홍보할 때는 인증범위와 유효기간 표시가 중요
유효기간이 지난 인증을 홍보하면 안됨
3. 심사단계
수수료를 청구 받은 날부터 인증심사 시작일 이전까지
심사수행기관에 전자계산서를 발급만이 아니라 수수료를 입금하여야 한다
그렇지 않으면 인증심사를 실시하지 아니할 수 있다(인증 고시 제22조)
5. 인증심사 일부 생략
ISO 27001 인증 또는
1.정보보호 조치의 범위가 정보보호 관리체계 인증의 범위와 일치하고,
2. 정보보호 관리체계 인증 신청 및 심사시에 해당 국제표준 정보보호 인증이나 정보보호 조치가 유효하게 유지되는
두가지 조건이 모두 충족되어야 함
9. 지침과 일치여부 확인
서버에 접속한 기록이 3개월 이상 보존 관리
-> 문서상 최소 6개월 이상 접속기록을 보존이라고 명시되어 있음
법규는 반기 1회나
-> 내규상 분기 1회로 하는 것은 바람직함
14. 2.9.5 로그 및 접속기록 점검
업무시간외 접속 이력이 확인되나 검토 겨로가서와 보고서에는 해당 내용이 없음
개인정보를 다운로드하는 경우 사유를 입력받도록 되어 있으나 이벤트 당첨자 조회 메뉴는 아직 미적용
15. 운영현황 파악 잘못된거 찾기
통합로그시스템 설정에 따라 업무시간외 접속하는 경우가 몇 건인지 식별하고 관련 사항을 해당 부서와 교차검토하고 있다
-> 국어 문제고 내용을 지문과 빠르게 비교하여 찾아야 함
16. 3.5.1 개인정보처리방침 공개
개보법은 사업자 등 개인정보처리자로 하여금 개인정보처리방침을 수립 공개하도록 의무화함
인터뷰상 개인정보 제3자 제공내역이 변경이 발생하였지만, 개인정보처리방침에 반영이 되지 않음
20. tcp wrapper
hosts.deny규치과 hosts.allow규칙이 동일할 경우
hosts.deny규익이 무시되어 클라이언트는 모든 서비스가 이용가능
10.0.0으로 시작하는 ip주소를 갖는 모든 호스트에 대해 모든 서비스가 이용가능
10.0.10.30은 ftp서비스 이용할 수 없음
22. 3.5.3 정보주체 권리 보장
이용내역은 법령에 따라 3년간 보존하여야 함
개인(신용) 정보주체가 개인(신용)정보 이용 및 제공 사실을 조회할 수 있도록 시스템을 구축하거나 영업점, 점포 등에서 열람할 수 있도록 관련 절차를 마련함
-> 조회일 기준 최근 3년간 이용 제공 내역
24. 익명처리 기술
생년월일 연봉 내부신용등급 연체잔고에 대한 익명처리 기술
일반화 기법
라운딩
상하단 코딩
속성집합을 단일속성값으로 결합
로컬 일반화
25. 고유식별정보 안전조치 관리실태 조사 매뉴얼
고유식별정보 보유량(5만건)을 산정할 때
고유식별저옵가 포함된 개인정보처리시스템 뿐만 아니라
종이 문서, 업무용 PC에 포함된 고유식별정보도 포함하여 산정
26. 금융권 정보보호 상시평가 자체평가 안내서
9개 대항목, 143개 평가항목으로 구성
1. 개인신용정보 동의원칙(10개)
2. 개인신용정보 수집(3개)
3. 개인신용정보 제공(5개)
4. 개인신용정보 보유 삭제(12개)
5. 정보주체의 권리보장(15개)
6. 개인신용정보 처리위탁(4개)
7. 관리적 보호조치(44개)
8. 기술적 보호조치(33개)
9. 가명정보 보호조치(15개)
28. 생체인식정보보호 6대 원칙
정확성은 없다
1. 비례성
생체인싲정보 처리에 다른 편익에 비해 개인정보 침해 위험성이 크지 않은지를 고려하여 생체인식정보의 활용여부를 판단
2. 적법성
생체인식정보의 수집 이용 제공 등 생체저옵 처리의 근거는 적법 명확해야 함
3. 목적제한
생체인식정보를 정보주체에게 동의 받은 인증 식별 이외의 목적으로 무단으로 활용해서는 안된다
4. 투명성
생체인식정보 보호에 관한 사항을 정보주체에게 알기 쉽게 공개
5. 안전성
생체인식정보가 분실 도난 유출 위조 변조 또는 훼손되지 않도록 안전하게 처리하고 관리
6. 통제권 보장
정보주체가 자신의 생체인식정보를 스스로 통제할 수 있는 수단을 제공
29. SNS 공개 정보 암호화 여부
SNS 등에 이미 공개된 사진 활용 경우
원본정보는 이용자가 스스로 공개한 사진은 기밀성이 보장될 이유가 없다는 점에서 암호화 저장의 실익이 없음
특징정보는 암호화 저장이 필요함
32. 정보통신서비스 미이용 판단 기준
백화점 등과 같이 오프라인과 온라인 서비스를 함께 연계하여 이용하는 경우
온라인 서비스 이용이 없더라도 오프라인 연계 서비스를 이용한 기록이 있으면 미이용에 해당 하지 않음
-> 보기는 미용에 해당한다고 되어 있음
35. AWS cloudTrail 기능
AWS환경의 자원 생성, 삭제 등 자원 관리 이력과, 콘솔 접근 이력을 로깅
단, 서버 인스턴스 및 네트워크 통신에 대해서는 로깅하지 않음
국내에 있는 AWS 콘솔 계정으로 로그인한지 몇 시간도 안되어 해외 IP에서 해당 계정으로 로그인한 기록
업무 외 시간에 비정상적으로 다량의 서버 인스턴스가 생성된 기록
36. 보안정책 개정
전자금융 관련 법률 검토 및 유관부서의 검토르 ㄹ통해 임원이 아닌 "직급"으로 지정할 경우 법규 위반사항이 없는지 확인후 개정 절차를 수행
보안정책 또는 규정 개정시 유관부서와 협의를 거쳐서 개정을 해야함
징계권한은 일반적으로 인사부서 등이 포함된 징계위원회에서 가지고 있으며 정보보안팀은 징계위원회에 회부할 수 있으면 된다
정책의 세부 항목은 유관부서를 통해 개정 필요사항을 취합하여 진행하면 됨
38. DB암호화
암호화 방식-모듈위치-요청위치-설명
응용프로그램 자체 암호화-어플리케이션 서버-응용프로그램-API방식과 유사, 응용프로그램 전체 또는 일부 수정 필요
DB서버 암호화-DB서버-DB서버-PlugIn방식과 유사, BD스키마 추가 필요
DBMS자체 암호화-DB서버-DBMS엔진-TDE방식과 유사, DBMS에서 DB스키마 지정 필요
DBMS암호화 기능 호출-DB서버-응용프로그램-DBMS함수 호출과 유사, 응용프로그램 수정 필요
운영체제 암호화-파일서버-OS-DB파일암호화 방식과 유사, DBMS의 데이터파일 암호화, 저장장치와의 호환성 검토 필요
39. 암호화 알고리즘
대칭키 암호화 방식은 공개키 암호화 방식에 비해 빠른 속도
LEA는 국내 대칭키 암호 알고리즘
대칭키 암호화 방식은 정보 교환 당사자간 서로 다른 키를 공유, 여러 사람과의 정보 교환시 불리
해시함수는 임의의 길이는 갖는 메시지 입력으로 고정된 길이의 값을 생성, 입력 메시지에 항상 동일한 출력, 솔트값을 적용하면 다른 출력이 됨
41. 3.1.1 개인정보 수집 제한 / 3.1.2 개인정보의 수집 동의
3.1.1 -> 채용 목적 개인정보 수집시 경력 외에 가족사항, 소유자산정보를 수집하는 것은 최소 수집 원칙에 위배
3.1.2 -> 정보주체에게 명확히 고지해야 하는 방법이 바르지 못함
42. 동의 받는 경우 명확히 표시해야하는 중요 내용(개보법 시행령 17조 제2항)
제3자 제공 내역 -> 목적, 항목 강조
시행령 내용(홍민고기목자)
홍보 판매 강조
민감정보, 고유식별정보 강조
기간(보유, 이용)
제공받는자, 제공받는자 목적
1. 개인정보의 수집 이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
2. 민감정보
3. 고유식별(여권번호, 운전면허의 면허번호, 외국인등록번호)
4. 개인정보의 보유 및 이용 기간
5. 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적
44. 개인정보처리방침
목기3위 권책자 안항파변 구열영
비범형 안내조 출통
개인정보의 처리목적, 수집항목 보유 및 이요익간
-> 수집항목이 모두 필수항목이 아님에도 필수, 선택 구분없음
개인정보처리 위탁
-> 위탁기관은 기관의 역할이 아닌 정확한 기관명칭을 기재해야함
개인정보처리방침의 변경
-> 이전 개인정보처리방침의 변경사항은 개인정보 열람청구부서에 문의하는게 아니라
링크형태 등으로 정보주체가 쉽게 확인할 수 있도록 해야함
50.3.4.1 개인정보의 파기
신용카드 이용고객의 신용관리를 이유로 회원등 동의 없이 탈퇴회원의 개인정보를 일정기간 보존하는 것도 파기의무 위반
다른 법령에서 보존기간으로 정한 기간이 만료한 경우에는 지체 없이 파기
채권소멸기간까지 개인정보를 보존할 수 있다고하여 이미 요금정산이 끝난 소비자의 개인정보까지 보존하여서는 안된다
