ISMS-P 인증심사원 훈련용 랜덤 출제 문제 - 뉴비티::새로운 CBT 문제풀이 시스템

ISMS-P 인증심사원 ▾

ISMS-P 인증심사원 암기용 객관식

1. ISMS-P 인증심사와 관련하여 다음 중 가장 옳은 것을 고르시오.

1
ISMS-P 제도의 정책 기관으론 대표적으로 개인정보보호위원회, 과학기술정보통신부, 방송통신위원회, 행정안전부가 있다.
2
한국인터넷진흥원과 금융보안원은 각각 인증위원회를 구성하며, 인증위원회가 모여 인증협의회를 구성한다.
3
ISMS-P 인증을 거짓으로 홍보하면 정보통신망법에선 1천만원, 개인정보 보호법에서는 3천만원 이하의 과태료를 부과 받을 수 있다.
4
한국인터넷진흥원과 금융보안원은 각각 인증심사 및 인증서 발급, 인증심사원 양성 및 자격관리, 제도관리 등을 수행하는 인증기관이나 금융보안원은 금융분야에 대한 제도만 관장한다.
5
인증심사원, 심사기관, 인증기관의 자격을 취소하고자 하는 경우 자격심의위원회를 개최하여야 하며 자격심의위원회는 제29조의 인증위원회 위원 3인 이상을 포함하여구성한다.

2. ISMS-P 인증심사와 관련하여 다음 중 가장 옳은 것을 고르시오.

1
과학정보통신부와 개인정보보호위원회는 법제도 개선 및 정책 결정, 제도 운영, 인증품질 관리, 인증기관 및 심사기관 지정 등의 업무를 수행한다.
2
인증기준은 관리체계 수립 및 운영 22개, 보호대책 요구사항 64개, 개인정보 처리단계별 요구사항 16개로, 총 102개로 구성되어 있다.
3
하나의 원인으로 인해 다수의 결함사항이 나온 경우 심사팀장의 결정에 따라 경미한 경우엔 하나의 사항으로 갈음할 수 있다.
4
인증기관은 인증만 수행 가능하며, 심사기관은 심사만 수행 가능하도록 권한을 분리하여 운영한다.
5
ISMS-P 인증의 범위는 조직, 물리적 위치, 정보자산, 개인정보취급자를 대상으로 한다.

3. ISMS-P 인증심사와 관련하여 다음 중 가장 옳은 것을 고르시오.

1
인증위원회는 정보통신망법 시행령 제47조 및 개인정보 보호법 시행령 제34조의2에 따라 심사기관에서 인증심사 결과 등을 심의하고 의결하기 위해 운영하는 조직이다.
2
기업은 스스로 법에서 정한 인증 의무대상자 기준에 해당하는지 여부를 판단하여 인증을 받아야 한다.
3
정보보호 관리체계 인증 의무 대상자 중 개인정보를 취급하는 사업자는 정보보호 및 개인정보보호관리체계 인증을 받아야 한다.
4
의무 대상자를 판별할 때 중개 쇼핑몰과 자체 쇼핑몰을 같이 운영하는 쇼핑몰은 입점료와 자체 쇼핑몰을 통한 제품 판매액을 더해 매출액을 계산한다.
5
정보통신서비스랑 직접 연계되지 않고 데이터 복제등의 방법으로 관리되는 ERD, DW, CRM, 백업DB 등 또한 개인정보가 포함된다면 인증 범위에 포함된다.

4. ISMS-P 인증심사와 관련하여 다음 중 가장 옳은 것을 고르시오.

1
인증 의무대상인 정보통신서비스제공자의 경우 영리를 목적으로 하지 않고 정보통신망을 위해 단순히 정보를제공하거나 정보의 제공을 매개하는 경우 인증 범위에서 제외된다.
2
연간 매출액 또는 세입이 1,500억원 이상인 종합병원은 정보보호 관리체계 인증 의무 대상자이다.
3
연간 세입이 1,500원 이상이거나 재학생 수가 1만명 이상인 대학교는 인증 의무 대상자이다.
4
집적정보통신시설 사업자의 경우 매출액에 무관하게 인증 의무대상자에 해당한다.
5
인증신청 시 신청자가 원하는 인증 범위, 인증 일정을 구체적으로 명시하여 신청하여야 한다. 하지만 이는 추후 심사기관과의 협의 과정에 조정될 수도 있다.

5. ISMS-P 인증심사 및 법률 규정에 대하여 다음 중 가장 옳은 것을 고르시오.

1
2개월 이상 관리체계 구축 운영 후 신청을 접수하고 인증수수료를 납부하면 예비점검 → 인증심사 → 심사결과보고서 작성 → 인증위원회 개최 순서대로 진행된다.
2
ISMS-P 인증 제도상 "결함 사항"이란 신청인의 정보보호 관리체계가 인증심사기준에 규정된 요구사항을 충족하지 못하는 사항이 발견되고 있으며 발견된 문제점이 정보보호 및 개인정보보호 관리체계에 중대한 영향을 미치는 사항을 말한다.
3
정보통신망서비스 제공자(ISP)의 경우 매출액과 이용자 수에 관계 없이 인증 의무대상자에 해당한다.
4
타인에 의해 구축된 집적정보통신시설의 일부를 임대하여 서비스를 재판매하는 경우 매출액이 100억원 이상이면 인증 의무 대상이다.
5
전년도 매출액 또는 세입 등이 1,500억원 이상인 「고등교육법」상의 ‘학교’는 인증의무대상에 해당된다.

6. ISMS-P 인증심사 기준 및 관련 법률에 의거하여 다음 중 가장 옳은 것을 고르시오.

1
조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 분기별 1회 이상 위험을 평가하여야 한다.
2
미성년자 개인정보 수집을 위해선 우선 미성년자 법정 대리인에게 수집 동의를 받고 필요최소한의 이름, 연락처를 수집하여야 하며, 미성년자 개인정보 수집 완료 후 파기해야 한다.
3
미성년자의 개인정보 수집을 위해 법정대리인의 실제 날인, 전자서명, 본인확인 등을 확보하여야 하며, 전화를 통해 구두로 확인해선 안 된다.
4
정보주체(이용자) 이외로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의 획득 책임은 개인정보처리자에게 있다.
5
개인정보 손해배상 책임보험 최소 가입 의무 기준은 이용자수 1천명 이상이면서 매출액이 5천만원 이상인 경우이다.

7. ISMS-P 인증심사 기준 및 관련 법률에 의거하여 다음 중 가장 옳은 것을 고르시오.

1
정보주체 이외로부터 정보를 수집한 경우, 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 않은 경우에는 관보나 간행물 등을 통해 알릴 수 있다.
2
정보주체 이외로부터 개인정보를 수집한 경우, 수집한 개인정보 처리자가 5만 명 이상 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 자는 통지의무가 부과된다.
3
정기적 수신동의 확인 시 수신자가 아무런 의사표시를 하지 않는 경우에는 수신동의 의사가 철회된 것으로 본다.
4
업무용으로 노트북을 사용하고 있지만 노트북을 업무용 PC에 준하여 관리하고 있는 경우 모바일 기기에 대한 별도 기준을 마련하는 것이 아니라 기존 PC의 보안 지침을 준용해야 한다.
5
통제구역 중 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 경우 제한구역으로 설정하여 관리하여야 한다.

8. ISMS-P 인증심사 기준 및 관련 법률에 의거하여 다음 중 가장 옳은 것을 고르시오.

1
서버관리 시스템의 비밀번호 작성 규칙과 개인정보처리시스템의 비밀번호 작성 규칙이 다른 경우 2.1.1 정책의 유지관리 결함이다.
2
정보통신서비스제공자가 내부 정책에 따라 영문, 숫자 조합으로 8자리의 비밀번호를 사용하고 있는 경우 2.5.4 비밀번호 관리 결함이다.
3
개인정보 배상책임 보험이나 정보보호 공시 대상인데 이를 이행하지 않은 경우엔 1.4.1.법적 요구사항 준수 검토 결함이다.
4
여러명의 서버 관리자가 접근통제 프로그램을 통해 개별적으로 부여된 계정으로 안전하게 로그인 하였으나, 서버에선 모두 root 계정을 공용으로 사용하는 경우 2.5.2.사용자 식별 및 2.5.5. 특수 계정 및 권한 관리 결함이다.
5
휴면회원의 로그인을 위해 아이디, 비밀번호는 원본 DB에 그대로 남겨 두는 것은 3.4.3 휴면이용자 관리 결함이다.

9. 다음 중 접속기록 보관에 대한 설명으로 틀린 것은?

1
개인정보처리자는 개인정보시스템 접속기록을 1년 이상 보관해야 한다.
2
정보통신서비스 제공자는 개인정보 접속기록을 월 1회 이상 점검해야 한다.
3
기간통신사업자는 접속기록을 최소 2년 이상 보관해야 한다.
4
다만 5만 명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 접속기록은 월 1회 이상 점검해야 한다.
5
신용정보회사는 개인신용정보처리시스템 접속기록을 2년 이상 보관해야 한다.

10. 개인정보처리시스템 접속기록 보관과 관련하여 다음 중 가장 옳지 않은 것은?

1
신용정보회사등은 개인신용정보 처리시스템 접속 기록을 월 1회 이상 점검하여야 한다.
2
개인정보처리자는 접속기록이 훼손되지 않도록 접속기록을 별도의 물리적 장치에 무결성이 보장되도록 보관해야 한다.
3
정보통신서비스제공자가 보관해야 하는 접속기록은 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무이다.
4
접속 기록의 수행업무는 개인정보 조회, 변경, 입력, 삭제, 출력 다운로드 등이 해당될 수 있다.
5
｢전기통신사업법｣ 제5조에 따른 기간통신사업자는 개인정보처리시스템 접속기록을 최소 2년 이상 남겨야 한다.

11. 다음 중 정보보호최고책임자를 지정하고 신고하지 않아도 되는 경우로, 해당하지 않는 것은?

1
중기업 - ISMS 의무 대상
2
중기업 - 전기통신사업자
3
중기업 - 통신판매사업자
4
중기업 - 자산총액이 5천억원 미만
5
중기업 - 개인정보처리자

12. 다음 중 정보보호최고책임자를 지정하고 신고하지 않아도 되는 경우로, 해당하지 않는 것은?

1
자본금 1억원 이하인 개인정보처리자
2
ISMS 의무 대상인 소기업
3
개인정보처리자인 중기업
4
통신판매업자인 소기업
5
ISMS 의무 대상이 아닌 중기업

13. 다음 중 정보통신망법 기준의 정보보호 최고책임자에 관한 설명으로 옳은 것은?

1
직전 사업연도 말 기준 자산총액이 5천억원 이상인 기업은 정보보호 최고책임자를 임원으로 지정해야 한다.
2
자산 총액과 매출액이 모두 5천억 이상인 상급 종합병원은 정보보호 최고책임자가 겸직을 할 수 있다.
3
학사학위가 없는 정보보호 관리체계 인증심사원은 CISO가 될 수 없다.
4
정보보호최고책임자를 신고해야 하는 경우 정보기술을 10년 이상 수행한 경력이 있으면 CISO로 지정 가능하다.
5
겸직이 금지된 경우 CISO는 5년 이상의 정보보호 분야 업무 수행이 필수이다.

14. 다음 중 망분리 의무 대상으로 모두 고르시오.

1
공공기관
2
은행
3
마이데이터 사업자
4
5만명 이상의 고유식별정보를 처리하는 정보통신서비스 제공자
5
매출액 100억원 이상의 정보통신서비스 제공자

15. 개인정보영향평가 대상 범위에 포함되지 않는 것은?

1
구축하려는 개인정보파일 중 민감 정보, 고유 식별정보 5만 명 처리
2
구축하려는 개인정보파일이 내•외적으로 50만 명 이상연계
3
변경하려는 개인정보 파일 중 정보추체가 100만 명 이상
4
구축하려는 개인정보 파일 중 주민등록번호가 포함시
5
변경하려는 개인정보파일 중 민감 정보, 고유 식별정보 5만 명 처리

16. 다음 중 개인정보보호법상 개인정보 영향평가 시 고려 사항이 아닌것을 모두 고르시오.

1
처리하는 개인정보의 수
2
개인정보 제3자 제공여부
3
개인정보영향평가기관 능력
4
민감 정보 또는 고유 식별정보 처리여부
5
정보주체의 권리를 해할 가능성 및 그 위험 정도

17. 다음중 개인정보 영향평가의 평가기준으로 가장 옳지 않은 것은?

1
개인정보파일에 포함되는 개인정보의 종류ㆍ성질
2
개인정보파일에 포함되는 개인정보의 수집 목적 및 보유기간
3
개인정보 침해의 위험요인별 조치 여부
4
개인정보 및 영상정보처리기기의 안전성 확보 조치의 수준 및 이에 따른 개인정보 침해의 가능성
5
개인정보파일의 정보주체의 수 및 그에 따른 개인정보 침해의 가능성

18. 개인정보처리자가 개인정보가 유출되었음을 알게 되었을 때 지체 없이 해당 정보주체에게 알려야 하는 사실로 가장 거리가 먼 것은?

1
개인정보처리자의 대응조치 및 피해 구제절차
2
개인정보 보호책임자와 연락처
3
유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
4
유출된 시점과 그 경위
5
유출된 개인정보의 항목

19. 다음 중 개인정보 보호법 및 동법 시행령에 따라 개인정보 처리방침에 필수적으로 포함되어야 할 내용과 가장 거리가 먼 것은?

1
개인정보의 처리 목적
2
개인정보의 처리 및 보유 기간
3
개인정보의 제3자 제공에 관한 사항(해당하는 경우에만 정한다)
4
개인정보의 파기절차 및 파기방법(보존하여야 하는 경우 보존근거와 보존 항목 포함)
5
개인정보 처리 위탁에 관한 사항(해당하는 경우에만 정한다)
6
정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
7
개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충 처리 부서의 명칭과 연락처
8
인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
9
처리하는 개인정보의 항목
10
영 제30조제1항에 따른 개인정보의 안전성 확보조치에 관한 사항
11
개인정보 처리방침 변경에 관한 사항

위키해설

클릭하면 보입니다.

개인정보_처리방침

20. 개인정보처리자는 가명정보를 처리하고자 하는 경우에는 가명정보의 처리 목적, 제3자 제공 시 제공받는 자 등 가명정보의 처리 내용을 관리하기 위하여 대통령령으로 정하는 사항에 대한 관련 기록을 작성하여 보관하여야 한다. 해당 사항으로 거리가 먼 것을 모두 고르시오.

1
가명정보 처리의 목적
2
가명처리한 개인정보의 항목
3
가명처리 방법
4
가명정보의 이용내역
5
추가정보의 보관 여부
6
제3자 제공 시 제공받는 자
7
제3자 제공 목적

21. 개인정보 보호법에 규정된 가명정보의 안전성 확보 조치에 관한 사항으로 거리가 먼 것을 모두 고르시오.

1
추가 정보란 가명정보를 원래의 상태로 복원하기 위한 정보를 말한다.
2
가명정보와 추가정보는 분리 보관하여야 한다.
3
추가정보가 불필요한 경우에는 추가정보는 필수적으로 파기해야 한다.
4
가명정보와 추가정보에 대한 접근 권한을 분리하여 관리해야 한다.
5
가명정보를 취급할 자를 추가로 둘 여력이 없는 경우 추가 접근 권한을 관리통제 함으로써 예외적용할 수 있다.
6
가명정보와 가명처리 하기 전 원본 정보는 분리 보관하여야 한다.

22. 개인정보처리자는 당초 수집 목적과 합리적으로 관련된 범위에서 정보주체에게 불이익이 발생하는지 여부, 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 등을 고려하여 대통령령으로 정하는 바에 따라 정보주체의 동의 없이 개인정보를 이용할 수 있다. 다음 중 대통령령에서 정하는 바와 거리가 가장 먼 것은?

1
당초 수집 목적과 관련성이 있는지 여부
2
개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부
3
정보주체의 이익을 부당하게 침해하는지 여부
4
추가 사용 시 당초 수집 시 보유기간을 초과하지 않는지 여부
5
가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부
6
개인정보처리자는 각 호의 고려사항에 대한 판단 기준을 법 개인정보 처리방침에 미리 공개

23. 다음 중 개인정보 영향평가 수행과 관련된 내용으로 옳지 않은 것을 모두 고르시오.

1
영향평가 사업은 당해년도 초에 예산을 확보하고 평가기관을 선정해야 한다.
2
대상기관과 평가기관이 협업을 통해 영향평가서를 완성한다.
3
영향평가서는 최종 제출받은 날로부터 3개월 이내에 개인정보보호위원회에 제출
4
영향평가서를 제출한 날로부터 1년 이내에 이행점검 확인서를 개인정보보호위원회에 제출
5
영향평가 사업은 사전 준비단계, 수행단계, 이행단계로 나누어 지며, 개선 계획 수립은 수행 단계에서 이루어진다.

1

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

채점하기

hide

reset

타이머

모든 문제들의 저작권은 원저작권자에게 있습니다. 본 사이트는 웹상에 공개되어 있는 문제만 모아서 보여드립니다.
저작권 안내 데이터 보호 안내 제휴 문의

copyright 2026 뉴비티::새로운 CBT 시스템 - newbt.kr (Listed on LeanVibe)