[정보보안 기사/산업기사 - 정보보안 관리 및 법률] 오답노트

 

정보통신기반보호위원회의 역할 (14회 82번)

- 주요정보통신기반시설 지정 및 취소

- 주요정보통신기반시설 보호 계획 조정

- 주요정보통신기반시설 관련 제도 개정

 

 

옳바른 공인인증서의 폐지 사유 (14회 83번)

- 가입자 또는 그 대리인이 공인인증서의 폐지를 신청한 경우

- 가입자가 사위 기타 부정한 방법으로 공인인증서를 발급받은 사실을 인지한 경우

- 가입자의 전자서명생성정보가 분실, 훼손 또는 도난, 유출된 사실을 인지한 경우

 

 

정보통신기반보호법 (14회 84번)

제9조(취약점의 분석ㆍ평가) ①관리기관의 장은 대통령령이 정하는 바에 따라 정기적으로 소관 주요정보통신기반시설의 취약점을 분석ㆍ평가하여야 한다.

②관리기관의 장은 제1항의 규정에 의하여 취약점을 분석ㆍ평가하고자 하는 경우에는 대통령령이 정하는 바에 따라 취약점을 분석ㆍ평가하는 전담반을 구성하여야 한다.

③관리기관의 장은 제1항의 규정에 의하여 취약점을 분석ㆍ평가하고자 하는 경우에는 다음 각호의 1에 해당하는 기관으로 하여금 소관 주요정보통신기반시설의 취약점을 분석ㆍ평가하게 할 수 있다. 다만, 이 경우 제2항의 규정에 의한 전담반을 구성하지 아니할 수 있다.  <개정 2002. 12. 18., 2007. 12. 21., 2009. 5. 22., 2013. 3. 23., 2015. 6. 22.>

1. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제52조의 규정에 의한 한국인터넷진흥원(이하 "인터넷진흥원"이라 한다)

2. 제16조의 규정에 의한 정보공유ㆍ분석센터(대통령령이 정하는 기준을 충족하는 정보공유ㆍ분석센터에 한한다)

3. 「정보보호산업의 진흥에 관한 법률」 제23조에 따라 지정된 정보보호 전문서비스 기업

4. 「정부출연연구기관 등의 설립ㆍ운영 및 육성에 관한 법률」 제8조의 규정에 의한 한국전자통신연구원

④과학기술정보통신부장관은 관계중앙행정기관의 장 및 국가정보원장과 협의하여 제1항의 규정에 의한 취약점 분석ㆍ평가에 관한 기준을 정하고 이를 관계중앙행정기관의 장에게 통보하여야 한다.  <개정 2008. 2. 29., 2013. 3. 23., 2017. 7. 26.>

⑤주요정보통신기반시설의 취약점 분석ㆍ평가의 방법 및 절차 등에 관하여 필요한 사항은 대통령령으로 정한다.

 

취약점 분이 가능한 기관 : 정보공유분석센터, 지식정보컨설팅업체, 한국전자통신연구원

 

 

정보공유분석센터 (14회 85번)

- 정보통신기반보호법에 근거하여 역할을 가진다.

- 해킹 시도나 바이러스에 대한 정보를 수집하여 분석한다.

- 여러 참가기관 간 정보를 연계하거나 공유한다.

- 정보통신분야는 한국정보통신진흥협회(TTA)에서 수행한다.

- 금융분야는 금융보안원에서 수행한다.

 

 

위험의 3요소 (14회 86번)

위험의 구성요소 : 자산(Asset) x 취약점(Vulnerability) x 위협(Threat) - 정보보호대책(Safeguard)

 

 

개인정보 처리방침 (14회 90번)

근거법령 : 개인정보 보호법 제 30조

의무사항

• 아래 '포함 정보'의 각 사항을 포함하여 개인정보 처리방침을 수립하여야 한다.
• 개인정보처리자가 개인정보 처리방침을 수립하거나 변경하는 경우에는 정보주체가 쉽게 확인할 수 있도록 공개하여야 한다.
• 개인정보 처리방침의 내용과 개인정보처리자와 정보주체 간에 체결한 계약의 내용이 다른 경우에는 정보주체에게 유리한 것을 적용한다.
• 보호위원회는 개인정보 처리방침의 작성지침을 정하여 개인정보처리자에게 그 준수를 권장할 수 있다.

포함 정보

1. 개인정보의 처리 목적

2. 개인정보의 처리 및 보유 기간

3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)

3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)

4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)

5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항

6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처

7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)

8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항

 

 

 

정보보호 대책 마련 절차 (14회 91번)

정보보호 정책 및 조직 수립 → 정보보호 범위 설정 → 정보자산의 식별 → 위험관리 → 구현 → 사후관리

 

 

클라우드 시스템 운영 중 사고 대응 방안 (14회 92번)

• 개인정보가 유출되었음을 알게 되었을 경우 지체없이 해당 정보주체에게 알린다.
• 1천명 이상의 개인정보가 노출된 경우 통지 및 조치 결과를 개인정보보호위원회에 신고한다.
• 중대한 침해사고가 발생할 경우 과학기술정보통신부장관에게 지원을 요청할 수 있다.

 

정보통신 망법 (14회 93번)

ㅇ 정보통신망 이용촉진 및 정보보호등에 관하여는 다른 법률에서 특별히 규정된 경우 외에는 이 법으로 정하는 바에 따른다.

ㅇ 만약 통신과금서비스에 관하여 이 법과 전자금융거래법의 적용이 경합하는 때에는 정보통신망법을 우선 적용한다.

ㅇ 개인정보 보호법의 개정에 따라 개인정보 보호에 관련한 조항은 본 법에서 삭제되었다.

 

 

개인정보 보호 책임자 (14회 94번)

- 개인정보 보호책임자는 기업의 임원이 수행함이 원칙이다.

- 임원이 없는 기업의 경우 관련 부서장이 개인정보 보호책임자로 임명될 수 있다.

- 개인정보 보호책임자는 정당한 업무 수행에 따른 불이익을 받지 않는다.

- 개인정보 보호책임자를 별도로 지정하지 않으면 대표자가 개인정보 보호책임자가 된다.

---

itwiki.kr/w/개인정보_보호책임자

개인정보 보호책임자 - IT위키

 

 

핫 사이트 (14회 97번)

재해 및 재난에 대비하기 위한 설비 중 전산센터와 동일한 설비와 자원을 보유하며, 데이터를 동기화 받으며 항상 stand-by 상태로 있다가 유사 시 수 시간 이내에 전환 가능한 설비

 

개인정보 영향평가 (14회 98번)

itwiki.kr/w/개인정보_영향평가

개인정보 영향평가 - IT위키

반드시 고려할 사항

- 처리하는 개인정보의 수

- 개인정보의 제3자 제공 여부

- 정보주체의 권리를 해할 가능성 및 그 위험 정도

 

 

데이터베이스와 관련된 조직 구성원의 역할 (14회 99번)

- 최고 경영자 또는 최고 정보보호 책임자가 보안의 최종 책임을 진다.

- 정보보호 관리조직은 데이터 관리자에게 지침을 내리고 데이터 보안을 지원한다.

- 정보보호위원회는 독립된 권한을 가지고 보안정책의 이행 여부를 검토하고 미흡사항에 대한 조치 필요사항을 통지한다.

- 데이터 관리조직은 민감데이터와 일반 데이터를 분류하고, 데이터의 정확성과 무결성을 유지한다.

 

 

BCP, 업무 연속성 관리 지침 (14회 100번)

- 재해 예방

- 대응 계획

- 복구 계획

- 모의 훈련