정보보안 자격증 71

CPPG 32. 심사 의무대상자 정보통신 서비스

1. 심사 의무대상자 정보통신서비스대표홈페이지: 기업(기관)의 대표 홈페이지 / 단순 홈페이지 포함채용사이트: 인터넷을 통하여 채용 공고, 입사지원 등 채용 절차를 수행하는 시스템/ 온라인 채용 시스템비영리 사이트: 비영리 목적으로 운영하는 인터넷 사이트/ 공익 사이트, 학교 홈페이지임직원 복지를 위한 인터넷 시스템 / 임직원 복지몰 기타 대외 서비스 및 업무처리를 위해 인터넷에 공개된 시스템 / 인터넷 방문예약, 인터넷 신문고 등2. 시스템 유형별 인증범위 고려사항응용 프로그램정보통신망을 통해 이용자에게 직접 노출되거나 접점이 되는 응용시스템은 심사범위에 포함정보통신서비스의 제공 또는 운영을 위하여 직접적으로 관련된 서비스 제공시스템, 서비스 관리용 시스템, 백오피스 시스템 등은 심사 범위에 포함제외정..

CPPG 31. 국내외 개인정보 관리체계

1. 국가별 개인정보보호 관리체계개인정보 보호 마크제도개인정보보호 관련 일정 요건을 갖춘 사이트 대상 마크 부여미국: BBBOnline마크제도, 미국 경영개선협회, 개인정보방침 심사일본: 프라이버스 마크제도, 일본정보처리개발협회(JUPDEC), 개인정보보호 체계 심사개인정보 보호 관리체계 인증 제도개인정보를 안전하게 보호할 수 있도록 기술적, 관리적, 물리적, 조직적인 다양한 보호대책을 구현하고 지속적으로 관리, 운영하는 종합적인 체계한국: ISMS-P, 과학기술 정보통신부, 개인정보위원회정보보호 및 개인정보보호 관리체계 인증(적용대상) 개인정보의 흐름과 정보보호 영역 인증국제표준: ISO 27001, ISO/IEC경영시스템 중 정보보호관리체계 시스템 심사 및 인증영국: BS 10012, BSI Grou..

CPPG 30. 정보보호 일반

1 정보보호 요소기밀성오직 인가된 사람만이 알 필요성에 근거하여 시스템에 접근하여야 한다는 특성공격: 스니핑 도청정보는 소유자의 인가를 받은 사람만이 접근할 수 있어야 하며 인가되지 않은 정보의 공개는 반드시 금지암호화, 자산분류, 방화벽 설정무결성정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호되어야 한다는 특성공격: 중간자 공격, 바이러스, 해킹접근 제어, 메시지 인증 등이 있으며 변경 위험에 대한 탐지 및 복구할 수 있는 침입탐지, 백업, 직무 분리 등가용성정보 시스템은 정당한 방법으로 권한이 주어진 사용자에게 정보 서비스를 거부하여서는 안 된다는 것으로 정보는 지속적으로 변화하고, 인가된 자가 접근할 수 있어야 한다는 특성DDos, 재해/사고데이터의 백업, 이중화, 물리적 위협으..

CPPG 예상문제 8

문제 1: 다음 중 개인정보처리자의 안전성 확보조치 기준에 해당하지 않는 것은?개인정보 보호책임자 지정비밀번호 유효기간 설정개인정보의 무기한 보관개인정보 유출사고 대응 계획 수립물리적 안전조치답: 3해설: 개인정보처리자는 개인정보를 무기한 보관할 수 없으며, 필요에 따라 파기해야 한다.문제 2: 개인정보 보호조치 기준에 따라 개인정보처리자는 비밀번호를 몇 자리 이상으로 구성해야 하는가?6자리8자리10자리12자리14자리답: 2해설: 비밀번호는 두 종류 이상의 문자를 이용하여 최소 8자리 이상으로 구성해야 한다.문제 3: 다음 중 개인정보처리자의 내부 관리계획에 포함되지 않는 사항은?개인정보 보호책임자의 자격요건개인정보 보호책임자의 연봉개인정보 취급자에 대한 관리, 감독 및 교육개인정보 유출사고 대응 계획악..

CPPG 29. 접근통제

1. 정보통신망을 통한 불법적인 접근 및 침해사고 방지 조치개인정보처리시스템에 대한 접속 권한을 IP 주소, 포트, MAC 주소 등으로 제한하여 인가받지 않은 접근을 제한개인정보처리시스템에 접속한 IP 주소, 포트, MAC 주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지2. 침입차단 및 침입탐지 기능을 갖춘 장비의 설치 방법 예시침입차단시스템, 침입탐지시스템, 침입방지시스템 등 설치웹 방화벽, 보안 운영체제 도입스위치 등의 네트워크 장비에서 제공하는 ACL 기능을 이용하여 IP 주소 등을 제한함으로써 침입차단 기능 구현공개용 소프트웨어를 사용하거나, 운영체제에서 제공하는 기능을 활용하여 해당 기능을 포함한 시스템 설치, 운영공개용 소프트웨어를 사용하는 경우에는 적절한 보안이 이루어지는지를 사전에 ..

CPPG 28. 접근 권한의 관리

1. 접근 권한 차등 부여개인정보처리자가 가명정보를 처리하는 경우, 가명정보에 접근권한이 있는 담당자가 특정 개인을 알아보기 위한 목적으로 가명정보를 처리하는 것을 방지하기 위하여 가명정보에 접근할 수 있는 담당자와 추가 정보에 접근할 수 있는 담당자가명정보에 접근권한이 있는 담당자가 특정 개인을 식별할 수 있는 정보에 접근할 수 없도록 제한가명정보와 추가정보에 대한 접근 권한의 분리가 어려운 정당한 사유가 있는 경우, 업무 수행에 필요한 최소한의 접근 권한 부여 및 접근 권한의 보유 현황을 기록으로 보관개인정보처리시스템의 데이터베이스에 대한 직접적인 접근을 데이터베이스 운영 관리자에 한정하는 등의 안전조치를 적용할 필요가 있다.2. 개인정보처리자 비밀번호 작성규칙비밀번호는 문자, 숫자의 조합, 구성에 ..

CPPG 27. 안전조치 기준 적용

1. 내부 관리 계획의 수립, 시행내부 관리계획 포함사항 (안전성 확보 조치기준)개인정보 보호 조직의 구성 및 운영에 관한 사항개인정보 보호책임자의 자격요건 및 지정에 관한 사항개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항개인정보취급자에 대한 관리, 감독 및 교육에 관한 사항접근 권한의 관리에 관한 사항접근 통제에 관한 사항개인정보의 암호화 조치에 관한 사항접속기록 보관 및 점검에 관한 사항악성프로그램 등 방지에 관한 사항개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항물리적 안전조치에 관한 사항개인정보 유출사고 대응 계획 수립, 시행에 관한 사항위험 분석 및 관리에 관한 사항개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항개인정보 내부 관리계획의..

CPPG 26. 보호조치 기준 개요

1. 개인정보보호조치 기준 요약개인정보의 안전성 확보조치 기준규제기관: 개인정보보호위원회대상자: 개인정보처리자고시근거개인정보보호법제23조의 2항 (민감정보의 처리 제한)제24조의 3항 (고유식별정보의 처리 제한(제29조 (안전조치의무)개인정보보호법 시행령제21조 (고유식별정보의 안전성 확보조치)제30조 (개인정보의 안전성 확보 조치)처벌 규정안전성 확보에 필요한 조치를 하지 않은 자 (제29조 위반)5천만 원 이하 과태료 (제75조 제2항 제5호)개인정보처리자가 처리하는 개인정보가 분실, 도난, 유출, 위조, 변조, 훼손된 경우위반행위와 관련한 매출액의 100분의 3 이하 과징금 (제64조의 2 제1항 제9호)다만, 개인정보가 분실, 도난, 유출, 위조, 변조, 훼손되지 아니하도록 개인정보처리자가 제29..

CPPG 예상문제 7

문제 1: 개인정보처리자가 개인정보를 파기해야 하는 경우가 아닌 것은?개인정보가 불필요하게 되었을 때개인정보 처리자가 폐업한 경우대금 완제일이나 채권소멸시효기간이 만료된 경우개인정보를 계속 보관하고 싶을 때개인정보 수집 및 이용 목적을 달성한 경우답: 4해설: 개인정보는 보유 목적이 달성되거나 불필요해진 경우 지체 없이 파기해야 하며, 개인정보를 계속 보관하고 싶다고 해서 보관할 수는 없다.문제 2: 다음 중 개인정보를 파기하는 방법이 아닌 것은?소각파쇄디가우저(Degausser)를 이용한 파기일반 쓰레기로 버리기초기화 또는 덮어쓰기답: 4해설: 개인정보를 파기할 때에는 복구 또는 재생이 불가능하도록 안전한 방법으로 파기해야 하며, 일반 쓰레기로 버리는 것은 적절한 파기 방법이 아니다.문제 3: 다음 중..

CPPG 25. 영업의 양도 양수

1. 양수, 양도 개념양수: 타인의 권리, 재산 및 법률 사의 지위 따위를 넘겨받는 일양도: 권리나 재산, 법률에서의 지위 따위를 남에게 넘겨줌2. 영업양도, 합병대상: 민간사업자를 대상으로 하며, 공공기관은 해당하지 아니한다.3. 영업양도 시 통지사항개인정보를 이전하려는 사실개인정보를 이전받는 자(영업양수자 등)의 성명, 주소, 전화번호 및 그 밖의 연락처정보주체가 개인정보의 이전을 원하지 아니하는 경우 조치할 수 있는 방법 및 절차4. 영업양도, 양수 등의 통지시기영업양도자등이 정보주체에게 개인정보의 이전 사실 등을 통지할 때에는 개인정보를 이전하기 전에 미리 통지하여야 한다. 법문 상 개인정보를 이전하는 경우에 미리 통지하여야 하며 최소한 정보주체가 이전 사실을 확인하고 회원탈퇴 등의 권리를 행사할..