CPPG 예상문제 15

문제 1

개인정보 보호책임자의 지정 요건에 대한 설명으로 옳은 것을 고르시오.

1. 최고경영자는 개인정보 보호책임자를 지정하지 않아도 된다.
2. 개인정보 보호책임자는 반드시 외부 전문가를 고용해야 한다.
3. 개인정보 보호책임자는 정보보호 책임자를 겸임할 수 없다.
4. 개인정보 보호책임자는 조직 내 최고정보책임자(CISO)가 맡을 수 있다.
5. 개인정보 보호책임자는 매년 변경해야 한다.

정답: 4

해설: 최고정보책임자(CISO)가 개인정보 보호책임자를 겸임할 수 있으며, 이는 조직 내에서 효과적인 개인정보보호 관리를 가능하게 한다.

문제 2

보안 위험 평가 절차 중 올바르지 않은 것을 고르시오.

1. 위험 평가 결과는 문서화하여 최고경영자에게 보고한다.
2. 모든 위험 요소는 즉시 제거해야 한다.
3. 위험 평가는 최소 연 1회 이상 수행해야 한다.
4. 평가 결과에 따라 보안 대책을 수립한다.
5. 위험 평가 수행 시 외부 전문가의 참여가 가능하다.

정답: 2

해설: 모든 위험 요소를 즉시 제거하는 것은 현실적이지 않으며, 우선순위를 정하여 개선해 나가야 한다.

문제 3

접근 통제 관리에서 잘못된 설명을 고르시오.

1. 접근 통제 정책은 모든 직원에게 적용된다.
2. 접근 통제는 정보의 기밀성을 보장하기 위한 것이다.
3. 모든 시스템 접근은 무제한적으로 허용되어야 한다.
4. 접근 통제는 물리적 보안과 논리적 보안을 모두 포함한다.
5. 접근 통제 정책은 정기적으로 검토 및 업데이트해야 한다.

정답: 3

해설: 모든 시스템 접근을 무제한적으로 허용하면 보안 위험이 증가합니다. 따라서 적절한 통제와 권한 설정이 필요히다.

문제 4

로그 관리 및 접속 기록 관리에 대한 설명으로 틀린 것을 고르시오.

1. 로그는 생성 즉시 삭제해야 한다.
2. 접속 기록은 최소 1년간 보관해야 한다.
3. 로그는 정기적으로 검토해야 한다.
4. 접속 기록은 전자적으로 저장해야 한다.
5. 로그 관리 정책을 수립해야 한다.

정답: 1

해설: 로그는 생성 즉시 삭제하는 것이 아니라 일정 기간 동안 보관하고 정기적으로 검토해야 한다.

문제 5

ISMS-P 인증 기준 중 경영진의 참여와 관련된 내용으로 올바르지 않은 것은?

1. 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립해야 한다.
2. 주요 임원 및 의사결정 수가 정보보호 및 개인정보보호 활동에 적극적으로 참여할 수 있는 방안을 마련하여야 한다.
3. 정보보호 및 개인정보보호 정책에서 분리된 정보보호 및 개인정보보호 활동을 경영진이 감독하고 있어야 한다.
4. 경영진은 정보보호 및 개인정보보호 활동에 대해 명확한 목표와 전략을 설정하여 운영해야 한다.
5. 모든 임원은 정보보호 및 개인정보보호 활동에 참여해야 한다.

정답: 5

해설: 모든 임원이 정보보호 및 개인정보보호 활동에 참여해야 한다는 규정은 없으며, 해당 활동에 대한 명확한 목표와 전략을 설정하고 주요 임원들이 이를 감독하도록 하는 것이 중요하다.

문제 6

정보시스템 변경 관리와 관련된 설명으로 올바르지 않은 것은?

1. 정보시스템 변경 시 변경 절차를 문서화하여야 한다.
2. 정보시스템 변경에 따른 영향을 분석하여야 한다.
3. 정보시스템 변경은 필요할 때마다 수행해야 한다.
4. 정보시스템 변경 이력은 기록되어야 한다.
5. 정보시스템 변경은 사전 승인 후 수행해야 한다.

정답: 3

해설: 정보시스템 변경은 필요할 때마다 수행하는 것이 아니라 사전에 승인된 절차에 따라 체계적으로 수행되어야 한다.

문제 7

개인정보 처리 단계별 요구사항 중 개인정보의 수집 및 이용과 관련된 설명으로 옳은 것은?

1. 개인정보는 법적 근거 없이도 수집할 수 있다.
2. 개인정보 수집 시 정보주체의 동의를 받을 필요가 없다.
3. 개인정보의 수집 목적은 명확하게 고지해야 한다.
4. 개인정보는 수집 목적과 무관하게 활용할 수 있다.
5. 개인정보 수집 후 별도의 보관 절차가 필요 없다.

정답: 3

해설: 개인정보 수집 시에는 반드시 수집 목적을 명확하게 고지하여 정보주체의 동의를 받아야 한다.

주관식 문제 및 해설

문제 1

0000 0000는 개인정보 파일을 운영하는 새로운 정보시스템의 도입이나 기존 시스템의 중대한 변경 시, 시스템이 개인정보에 미치는 영향을 사전에 조사, 예측, 검토하여 개선 방안을 도출하는 절차이다. 이는 개인정보 침해 사고를 예방하고, 개인정보 보호 수준을 향상시키기 위해 필수적이다.

답: 개인정보 영향평가

문제 2

ISMS-P 인증 기준에 따라 정보자산을 식별할 때 주요 확인 사항 1개를 작성하시오.

해설: 정보자산을 식별할 때 주요 확인 사항은 다음과 같다:

1. 정보자산의 목록을 작성하고 분류기준을 수립하여 자산을 분류하는가?
2. 자산의 중요도 평가를 수행하여 자산의 보호 수준을 결정하는가?
3. 자산의 위치 및 소유자 정보를 포함하는가?
4. 자산 목록을 정기적으로 검토하고 업데이트하는가? 

문제 3

정보시스템 변경 관리에서 고려해야 할 중요한 요소 중 하나로, 변경으로 인한 영향을 사전에 분석하여야 하는 것은?

답: 변경 영향 분석