조직의 위험평가 수립 및 운영에 대한 사항으로 가장 적절하지 않은 것은?
- 1
위험관리 계획에 따라 위험평가를 연 1회 이상 정기적으로 또는 필요한 시점에 수행하여야 한다. 매년 위험평가 대상에 변동이 없어도 위험평가는 수행되어야 한다.
오답 이유오답 보기입니다. ‘위험관리 계획에 따라 위험평가를 연 1회 이상 정기적으로 또는 필요한 시점에 수행하여야 한다. 매년 위험평가 대상에 변동이 없어도 위험평가는 수행되어야 한다.’은(는) 이 문항의 판단 기준인 ‘위험관리를 위한 수행인력, 기간, 대상, 방법, 예산 등의 방법 및 절차를 구체화한 위험관리 계획을 수립하여야 하며, 위험평가 참여자는 위험관리를 운영하는 IT 부서 또는 정보보호 부서 인력으로 구성된다.’과 구별해야 합니다. 적용 주체·보호 의무·관리 절차 또는 법적 요건이 정답 조건과 다릅니다. - 2
위험관리를 위한 수행인력, 기간, 대상, 방법, 예산 등의 방법 및 절차를 구체화한 위험관리 계획을 수립하여야 하며, 위험평가 참여자는 위험관리를 운영하는 IT 부서 또는 정보보호 부서 인력으로 구성된다.
정답 근거정답 보기입니다. 위험평가는 조직의 전체적인 자산과 위험을 분석하는 과정이므로, IT나 정보보호 부서 인력뿐만 아니라 현업 부서(자산 소유자) 등 다양한 이해관계자가 참여하여 실질적인 위험을 식별해야 합니다. 오답 노트위험평가 참여자 구성: IT 또는 정보보호 부서 인력으로만 구성하는 것은 적절하지 않으며, 현업 부서의 참여가 필수적입니다. - 3
위험관리를 위한 위험평가 방법 선정은 베이스라인 접근법, 상세위험 분석법, 복합 접근법, 위협 및 시나리오 기반 등의 다양한 방법론 중에서 해당 조직에 맞는 방법론을 선정하고 유지하여야 한다. 선정한 방법론을 운영하는 과정에서 해당 조직에 적절하지 않다고 판단하여 위험분석 방법론을 변경하여도 상관없다.
오답 이유오답 보기입니다. ‘위험관리를 위한 위험평가 방법 선정은 베이스라인 접근법, 상세위험 분석법, 복합 접근법, 위협 및 시나리오 기반 등의 다양한 방법론 중에서 해당 조직에 맞는 방법론을 선정하고 유지하여야 한다. 선정한 방법론을 운영하는 과정에서 해당 조직에 적절하지 않다고 판단하여 위험분석 방법론을 변경하여도 상관없다.’은(는) 이 문항의 판단 기준인 ‘위험관리를 위한 수행인력, 기간, 대상, 방법, 예산 등의 방법 및 절차를 구체화한 위험관리 계획을 수립하여야 하며, 위험평가 참여자는 위험관리를 운영하는 IT 부서 또는 정보보호 부서 인력으로 구성된다.’과 구별해야 합니다. 적용 주체·보호 의무·관리 절차 또는 법적 요건이 정답 조건과 다릅니다. - 4
조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하여야 한다. 수용 가능한 목표 위험수준(DoA, Degree of Assurance)을 정보보호 최고책임자 등 경영진 의사결정에 의하여 결정하여야 한다.
오답 이유오답 보기입니다. ‘조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하여야 한다. 수용 가능한 목표 위험수준(DoA, Degree of Assurance)을 정보보호 최고책임자 등 경영진 의사결정에 의하여 결정하여야 한다.’은(는) 이 문항의 판단 기준인 ‘위험관리를 위한 수행인력, 기간, 대상, 방법, 예산 등의 방법 및 절차를 구체화한 위험관리 계획을 수립하여야 하며, 위험평가 참여자는 위험관리를 운영하는 IT 부서 또는 정보보호 부서 인력으로 구성된다.’과 구별해야 합니다. 적용 주체·보호 의무·관리 절차 또는 법적 요건이 정답 조건과 다릅니다.
정답 2번
위험평가는 조직의 전체적인 자산과 위험을 분석하는 과정이므로, IT나 정보보호 부서 인력뿐만 아니라 현업 부서(자산 소유자) 등 다양한 이해관계자가 참여하여 실질적인 위험을 식별해야 합니다. 오답 노트위험평가 참여자 구성: IT 또는 정보보호 부서 인력으로만 구성하는 것은 적절하지 않으며, 현업 부서의 참여가 필수적입니다.
정보보안 관리 및 법규 핵심개념
정답 용어만 외우지 말고 각 보기의 적용 대상·기능·전제 조건을 비교하세요. 같은 분야 기출을 묶어서 풀면 표현이 달라져도 판단 기준을 유지할 수 있습니다.
관련 개념 정리 읽기 →같은 개념 실제 기출 12문제
81번다음 빈 칸에 들어가야 할 내용으로 올바르게 나열된 것은?
해설 보기 →82번조직의 정보자산을 보호하기 위하여 정보자산에 대한 위협과 취약점을 분석하여 비용 대비 적절한 보호 대책을 마련함으로써 위험을 감수할 수 있는 수준으로 유지하는 일련의 과정은?
해설 보기 →83번「정보통신망 이용 촉진 및 정보보호 등에 관한 법률」에서 “해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태”로 정의된 용어는?
해설 보기 →84번위험 분석에 대한 설명으로 옳지 않은 것은?
해설 보기 →85번다음 지문은 업무연속성계획(BCP)의 접근 5단계 방법론에 따라 업무의 순서대로 작성되었다. 다음 중 빈 칸에 들어갈 용어의 순서가 가장 적합한 것은?
해설 보기 →86번다음 제도는?
해설 보기 →87번정보보호 최고책임자에 대한 다음의 설명 중 적절하지 못한 것은?
해설 보기 →88번개인정보 안전성 확보를 위한 암호화에 대한 설명으로 적절하지 않은 것은?
해설 보기 →89번A사의 개인정보처리자는 A사에서 수집한 개인정보를 사용 목적이 종료되어 파기하고자 한다. 이때 파기하기 위한 조치사항으로 부적절한 것은?
해설 보기 →90번침해사고 등이 발생한 경우 클라우드서비스 제공자의 의무로 적절하지 않은 것은?
해설 보기 →91번개인정보보호 원칙에 대한 설명으로 올바르지 않은 것은?
해설 보기 →92번다음 중 「개인정보보호법」상 정보주체의 동의를 받아야 개인정보를 수집・이용할 수 있는 경우는?
해설 보기 →