[ISMSP] 2023년 공개 모의고사 3회 1차
1. 인증 생략
정보보호 및 개인정보보호 관리체계 인증심사 -> 정보보호만 가능
위탁기관이 인증을 받으면 현장심사를 생략할 수 있다.
인증심사 생략범위
2.1 정책, 조직, 자산 관리
2.2 인정 보안
2.3 외부자 보안
2.4 물리 보안
2.12 재해복구
4. 최고책임자의 지정
전년도 말 기준 자산총액이 5천억원 초과한 정보통신서비스 제공자는 CISO가 CIO겸직 못함
CISO 신고는 180일이내 과학기술정보통신부장관에게 제출
중기업이면서 통신판매자는 CISO 신고 의무 대상자
CISO는 전자금융거래법 업무를 겸직할 수 있음
외국의 전문학사학위 취득 5년 경력
6. 1.2.1 정보자산 식별 / 2.8.5 소스 프로그램 관리
응용 프로그램 소스는 정보자산으로 식별되어야 함
형상관리서버에 퇴사자 계정이 남아 있으며, 소스 백업도 안되고 -> 형상관리 접근 및 통제가 미흡 -> 2.8.5 결함
7. 1.4.2 관리체계 점검 / 2.2.4 인식제고 및 교육훈련 / 2.4.2 출입통제
가상자산사업자 정보보안점검의날 지정 -> 점검항목 수립 최고경영자 보고
임직원 교육시간
임원 : 3시간 (CISO 6시간)
일반직원 : 6시간
정보기술 : 9시간
정보보호 : 12시간
출입관리시스템, CCTV 및 출입관리대장, 등에 대하여 매월 관리/검토 -> 책임자 보고
핫월렛 : 콜드월렛 비중 3:7(콜드 7이상) 2:8도 가능함
12. 인증범위
DW, CRM, 빅데이터분석시스템은 인증범위 내 개인정보를 처리하므로 인증범위에 포함
영리를 목적으로 하지 않더라고 정보통신망을 통해 정보를 제공하거나 정보의 제공을 매개하는 서비스는 모두 인증범위
클라우드서비스 제공자로부터 계정 및 권한을 할당받아 사용하는 영역은 인증범위
14. 심사원 판단
표준서식이 정의되지 않고 다른 서식을 사용하고, 출입 관리대장은 일시분이 정확하게 표기되어야함
재해복구 시험은 계획과 실제 실시가 되었다는 객관적인 증빙자료가 필요
17. 3.5.2 정보주체 권리보장 / 3.2.2 개인정보 품질보장
3.5.2 -> 회원가입시 온라인을 통해 쉽게 가입가능하나 회원 탈퇴시 신분증 등 추가 서류를 제출하거나 오프라인 방문을 통해서만 가능하도록 되어 있음
3.3.2 -> 인터넷 홈페이지를 토앟여 회원정보를 변결할 때는 본인확인절차를 거치고 있으나, 고객 센터 상담원과의 통화를 통한 회원 정보 변경시에는 본인확인 절차가 미흡
18. 용어
생체인식정보란 생체정보중 특정 개인을 인증 식별할 목적으로 처리되는 정보로써 민감정보는 생체인식 특징정보에 해당
동의받은 목적의 범위내에서만 이용해야하고 이용자에게 투명하게 공개해야함
19. 1.4.2 관리체계 점검 / 1.4.3 관리체계 개선
1.4.2 -> 정보보호팀의 담당자가 보안감사 수행 이눤으로 소속되어 독립성 훼손
1.4.3 -> 추가적인 위험평가 및 보완대책이 필요한 사항이므로 근본 원인을 파악하여 문제를 해결하는게 우선임
20. TLS 버전
취약한 알고리즘 : NULL, RC2, RC4, DES, 3DES, IDEA
취약한 키교환방식 : EXPORT, ANON, DH
22. 2.3.2 외부자 계약시 보안
표준 위수탁 계약서가 업체가 변경되었음에도 작성되지 않음, 계약내용이 동일하더라도 업체가 변경되었다면 새로 작성
23. 간접수집 통지 의무
5만명이상 민감정보 또는 고유식별정보를 처리, 100만명 이상의 정보주체에 관한 정보
해당 기관은 통지의무가 없음
정보통신서비스 제공자 등은 최소 1년 이상 개인정보 접속기록을 보존하면 된다(기간통신사업자는 2년)
24. 인증심사원 자격 취소
객관적이고 공정한 인증심사를 수행
인증심사 과정에 취득한 정보를 누설하면 안됨
신청기관에 손해 끼칠수 있는 신청기관 시스템을 직접 조작해서는 안된다
현장에서 발견된 결함을 수정한다고 해서 결함에서 제외하면 안됨
보호대책 개선 방안으로 조언을 하는 것은 가능
어떠한 금품을 수수하는 것은 안된다
26. 팝업형 피싱
유명 포털 로그인 창만 동일하게 제작하여 이용자 접속이 많은 사이트를 대상으로 해킹하여
로그인 창이 팡ㅂ업 형태로 보이도록 웹소스 코드를 수정하는 것
28. 2.7.1 암호정책 적용 / 2.6.3 응용프로그램 접근 / 2.9.4 로그 및 접속기록 간리
2.7.1 -> 비밀번호는 개인정보처리시스템에 저장시 일방향 암호화
2.6.3 -> 관리자 콜솔은 비인가자가 접근할 수 없도록 접근 통제를 위해 안전한 인증수단 또는 안전한 접속수단을 적용
2.9.4 -> 로그기록은 별도 저장장치를 통하여 백업하고, 로그 기록에 대한 접근권한은 최소화하여 부여, 비인가자에 의한 로그기록 위변조 및 삭제 등이 발생하지 않도록 해야함, MAC, 서명값 등의 별도의 관리대장에 보관
31. 2.4.1 보호구역 지정
개인정보 보관시설은 통제구역으로 지정되어 있으나
가입자 멤버십 가입신청 서류가 있는 문서고는 제한구역으로 지정
방문 사전 승인 절차를 따르지 않은 것은 2.4.2 출입통제 결함이나
보호구역 지정기준을 따르지 않은 결함이 포함되어 2.4.1 보호구역 지정 결함에 더 적합함
34. 2.11.1 사고 예방 및 대응체계 구축
1천5일개
무24시간개
개인정보 유출 신고 기준이 정보통신서비스제공자의 기준과 다르게 수립되어 있음
그래서 2.11.1 결함임
39. 가상자산
월렛존 접근 인력 최소화 요건을 판단하기 위해
주요 직무자 역할과 월렛존의 최근 접속기록을 제출받아 접속하지 않은 계정이 있는지 확인하여 최소화 요건의 한가지 증적을 확인
멀티시그가 적용할 수 없는 코인의 경우 멀티시그에 상응하는 대체수단을 적용
41. 클라우드
기밀성, 무결성, 가용성이 모두 동일하게 작성된 것은 적절해 보이지 않지만
해당 증적만으로 결함을 판단하기에 무리
추가 인터뷰 및 위험평가 등의 내용을 통해 더 확인해야함
클라우드서비스 사용 신청서 확인으로 알 수 있는 것은 현재 IaaS 계약인데 리눅스 서버가 패치가 되고 있지 않다는 점
2.10.8패치관리 결함
42. 결함 찾기
재택근무 지침에는 백신 및 보안 프로그램에 대한 설치를 해야한다고 명시
-> 가이드 배포 및 보안인식교육만으로 의무를 다했다고 할 수 없음
클라우드 관리자 화면을 열었을 때 다수의 클라우드 서비스 오류 관련 알람이 발생하고 있었으며, 모니터링 체계가 없었다는 것을 알 수 있음
44. 결함 찾기
정보주체가 열람이나 제공을 요구할 수 있는 정보로
개인정보의 항목 및 내용, 개인정보의 수집 이용의 목적, 개인정보 보유 및 이용 기간, 개인정보의 제3자 제공현황, 개인정보처리에 동의한 사실 및 내용
공공기관이 열람요구를 받은 때에는 10일이내 정보주체가 해당 정보를 열람할 수 있도록 해야하고
신용정보회사는 처리결과를 7일이내 알려야 한다
46. 결함 찾기
뉴스 레터 정보의 파기절차가 파악되지 않음, 개인정보 흐름도에도 누락
개인정보영향평가 대상 아님(79건의 개인정보 연계정보는 43만건)
제공 동의서의 개인정보 항목에 "질병 등"으로 알리고 있는데, 개인정보의 목적 외 이용 및 제3자 제공대장의 이용하거나 제공한 개인정보의 항목에서의 내용과 상이
48. 개인정보파일 등록 및 공개
1. 개인정보파일의 명칭
2. 개인정보파일의 운영 근거 및 목적
3. 개인정보파일에 기록되는 개인정보의 항목
4. 개인정보의 처리방법
5. 개인정보의 보유기간
6. 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자
7. 개인정보파일을 운용하는 공공기관의 명칭
8. 개인정보파일로 보유하고 있는 개인정보의 정보주체 수
9. 해당 공공기관에서 개인정보 처리 관련 업무를 담당하는 부서
10. 열람 요구를 접수 처리하는 부서
11. 열람을 제한하거나 거절할 수 있는 개인정보의 범위 및 제한 또는 거절 사유
