1. ISMS 의무대상자가 된 후 인증 의무 취득기간은 언제까지인가?

2. 다음 빈칸을 채우시오.

ISMS-P 인증심사 후 보완조치 기간 (  A  )일, 재조치 요구기간 (  B  )일

3. 인증심사결과에 대한 이의 신청 기간은?

4. 심사수행기관은 인증위원회 종료 다음날부터 ( 괄호 )일 이내 신청인에게 보완조치 요구를 해야 한다. 괄호 안에 들어갈 말은?

5. 다음 빈칸에 들어갈 기간을 각각 적으시오.

사후심사 (  A  ) 주기
갱신심사 (  B  ) 주기
갱신심사는 유효기간 만료 (  C  ) 전에 신청
인증기관 및 심사기관 지정 유효기간 (  D  )
- 연장을 원할 경우 만료 (  E  ) 전부터 끝나는 시점 전까지 신청

6. 다음은 ISMS-P 인증심사 시 수수료가 감면되는 경우다. 각각의 감면율을 적으시오.

① 소기업 : 『중소기업기본법』 제2조에 따른 소기업				
② 정보보호공시 :  『정보보호산업의 진흥에 관한 법률』 제13조에 따라 정보보호 현황을 공시한 경우				
③ (ISMS 인증만 해당) 심사 일부생략 :  고시 제20조에 따라 'ISO/IEC 27001', '주요정보통신기반시설의 취약점 점검'을 한 경우

7. ISMS 또는 ISMS-P의 인증번호 표시는 아래와 같이 4가지 조합으로 이루어진다. 각각의 의미를 적으시오.

ISMS - (A) - (B) - (C) - (D)

8. 다음 중 ISMS-P 인증 심사 혜택 또는 인증 권고 사항으로 잘못된 것은?

• ①
   과학기술정보통신부 - 정보보호 전문서비스 기업 지정 시 '업무 수행능력 심사 평가표'의 정보보호 인증기업 항목에 가점(1점) 부여
• ②
   KISA - 물품 구매·제조, 용역 및 공사, 위탁연구 등에 있어 계약자 선정 평가 시 가점 부여
• ③
   한국기업 지배구조원 - 상장기업 대상 ESG평가 일부 항목(사회부분) 대체
• ④
   국토 교통부 - 스마트 도시 기반 시설의 보호에 대해 정보보호 관리체계 인증취득 권고
• ⑤
   교육부 - 사이버 대학의 원격교육설비에 대해 정보보호 관리체계 인증취득을 권고

9. 개인정보보호 관리체계를 받지 않고 정보보호 관리체계인증만 받는 경우 총 인증 기준의 수는?

10. 다음 중 ISMS-P에 관한 법률조항이 아닌 것은?

• ①
   정보통신망법 제47조
• ②
   정보통신망법 시행령 제47조~제54조 시행규칙 제3조
• ③
   개인정보 보호법 제32조
• ④
   개인정보 보호법 시행령 제34조의2~제34조의8

11. 다음은 ISMS-P 인증심사 종류에 관한 설명이다. 빈칸에 알맞은 말을 쓰시오.

( A ) : ISMS-P 인증을 처음으로 취득하고자 할 때 수행하는 심사이며, 인증범위에 중요한 변경이 있어 다시 인증을 신청할 경우에도 같은 심사를 받아야 한다. 최초심사를 통해 인증을 취득하면 ( B )의 유효기간이 부여된다.
( C ): 인증을 취득한 이후 ISMS-P가 지속적으로 유지되고 있는지 확인하는 것을 목적으로 인증 유효기간 중 ( D ) 이상 실시하는 인증심사를 말한다. 
(  E  ): ISMS-P 인증의 유효기간 갱신을 위해 실시하는 인증심사를 말한다. 

※ D는 주기임

12. 다음의 ISMS-P 인증 협의회를 구성하는 정책기관을 쓰시오.

협의회는 인증제도와 관련한 법제도 개선, 정책 결정, 인증기관 및 심사기관 지정 등의 업무를 수행한다.

13. ISMS-P 인증 기관을 모두 쓰시오.

14. ISMS-P 인증위원회에 대한 설명이다. 빈칸에 알맞은 말을 쓰시오.

인증위원회는 인증심사 결과가 인증기준에 적합한지 여부, 인증 취소에 관한 사항, 이의신청에 관한 사항 등을 심의·의결한다.
인증위원회는 (  ㄱ  ) 이하의 위원으로 구성하며, 위원은 정보보호 또는 개인정보보호 분야에 학식과 경험이 있는 전문가 중에서 ( ㄴ )이 위촉한다.

15. ISMS-P 심사를 할 수 있는 기관을 모두 쓰시오.

16. ISMS-P 의무 대상자로 가장 알맞은 것은?

• ①
   전기통신사업법 제6조 제1항에 따른 등록을 한 자로서 모든 광역시에서 정보통신망서비스를 제공하는 자
• ②
   정보통신망법 제46조에 따른 집적정보통신시설 사업자
• ③
   정보통신서비스 부문 최근 3년 평균 매출액이 100억원 이상인 자
• ④
   최근 3개월간의 정보통신서비스 일일평균 접속자 수가 100만명 이상인 자
• ⑤
   연간 매출액 또는 세입이 1,500억원 이상이고 환자 수가 1만 명 이상인 병원

17. ISMS-P 인증심사에 걸리는 시간에 관한 보기이다. 빈칸에 알맞은 기간은?

관리체계 구축 및 운영에 필요한 소요기간을 확인하여 인증심사에 차질이 없도록 준비해야 한다.
• 준비부터 인증취득까지는 약 ( A ) 이상이 소요되고, 인증 신청을 위해서는 최소 ( B ) 이상의
운영 기간이 필요하다

18. ISMS 인증 범위로 가장 알맞지 않은 것은?

• ①
   관제, 재해복구
• ②
   시스템 운영팀, 정보보안팀, 인사팀 등
• ③
   고객센터, 영업점, 물류센터
• ④
   정보서비스 운영 관련 부서
• ⑤
   시스템 운영장소

19. ISMS-P 인증 범위 기준으로 가장 알맞지 않은 것은?

• ①
   인증범위는 신청기관이 제공하는 정보통신서비스를 기준으로, 해당 서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직 등을 모두 포함한다.
• ②
   해당 서비스의 직접적인 운영 및 관리를 위한 백오피스 시스템은 인증범위에 포함되며, 해당 서비스와 관련이 없더라도 그 서비스의 핵심정보자산에 접근 가능하다면 포함한다.
• ③
   ISMS 의무인증범위 내에 있는 서비스, 자산, 조직(인력)을 보호하기 위한 보안시스템은 모두 포함한다
• ④
   정보통신서비스와 직접적인 관련성이 낮더라도 전사적자원관리시스템(ERP), 분석용데이터베이스(DW), 그룹웨어 등의 핵심 내부 시스템은 인증범위에 포함한다.

20. 정보보호 및 개인정보보호 관리체계 인증기준의 인증 항목 수를 쓰시오.

관리체계 수립 및 운영: (  A  )
보호대책 요구사항: (  B  )
개인정보 처리단계별 요구사항: (  C  )

21. ISMS-P 인증 범위에서 일반적으로 제외되는 대상으로 가장 옳지 않은 것은?

• ①
   인증범위에 포함되지 않은 서비스 운영·관리·개발 직원이 사용하는 업무용 단말기
• ②
   실제 고객 데이터가 사용되지 않는 개발서버, 테스트용 서버(QA서버, 스테이징 서버), 개발 DB, 테스트 DB 등
• ③
   정보통신망에 공개되어 있더라도 인증을 받고자 하는 서비스와 관련 없는 웹사이트
• ④
   인증범위 내 개인정보의 처리 없이 내부업무 처리가 주목적인 정보시스템(그룹웨어, ERP 등)
• ⑤
   클라우드서비스를 이용하여 서비스를 제공하는 경우, 클라우드 서비스 유형(IaaS, PaaS, SaaS) 등에 따른 책임 범위에 따라 신청기관이 직접 관리할 수 없는 영역

22. ISMS-P 인증심사 수수료 산정 기준으로 가장 옳지 않은 것은

• ①
   네트워크 장비는 스위치(L2 이상), 라우터를 포함한다.
• ②
   로드밸런싱을 위해 다수의 서버를 운영하는 경우 1대로 산정 가능하다.
• ③
   장애 대응을 위해 서버, 네트워크 장비, 정보보호시스템 이중화 운영의 경우 1대로 산정 가능하다.
• ④
   인원은 내부 직원뿐만 아니라 인증범위 내 외부 인력(SM, SI 등)도 반드시 포함한다.
• ⑤
   ISMS-P는 인증범위 내에서 사용되는 개인정보 수탁사 수를 포함한다.

23. ISMS-P 인증 심사단계에 관한 설명으로 가장 옳은 것은?

• ①
   시작회의 -> 인증심사 -> 결함보고서 작성 및 검토 -> 결과 제출 -> 보완조치 -> 종료회의 순서로 이루어진다.
• ②
   심사팀장은 ISMS-P 인증제도 개요, 심사원 소개, 심사 계획 등을 설명하고, 심사원은 ISMS-P 구축 및 운영 현황 등에 대하여 간략하게 설명한다.
• ③
   인증심사는 서면심사 후 현장심사를 실시하며, 현장심사의 경우 서면심사 진행 현황에 맞춰 일정을 조율하여 진행한다.
• ④
   서면심사는 ISMS-P 관련 정책, 지침, 매뉴얼(절차) 등 내부규정 존재 여부 및 해당 내부 규정이 인증기준을 충족하는지 심사하며, 관련 시스템 확인 및 담당자 면담이 병행된다.
• ⑤
   인증심사 시 인증준비 미흡 또는 인증심사팀 요청사항 대응이 미흡한 경우, 심사의 신뢰성을 확보할 수 없기 때문에 심사팀 철수가 이루어질 수 있다.

24. ISMS-P 인증 심사단계에 관한 설명으로 가장 옳은 것은?

• ①
   인증심사팀은 서면 및 현장심사를 통하여 도출된 문제점에 대해 주요직무자, 유관부서 관련자와의 회의를 통해 상호간 결과를 확인한다.
• ②
   결함 사항은 정보보호 및 개인정보보호 관리체계에 중대한 영향을 미치는 사항을 말한다.
• ③
   만약 결함 사항이 확인된 경우 인증심사팀은 결함이 확인된 시점부터 인증심사를 중단할 수 있다.
• ④
   신청기관은 보완조치 요청을 받은 날로부터 60일 이내 보완조치를 완료하고 보완조치 사항에 대한 보완조치 내역서 및 보완조치 완료확인서를 작성하여 심사 수행기관에 제출해야 한다.
• ⑤
   총 100일의 보완조치 기한은 심사팀장이 보완조치 결과를 확인하기 위한 이행점검이 완료된 시점 까지를 포함한다.

25. ISMS-P 인증 심사단계에 관한 설명으로 옳은 것은? (답 2개)

• ①
   심사 수행기관은 신청기관이 고의로 인증심사의 실시를 지연 또는 방해하거나 신청기관의 귀책 사유로 인하여 인증심사를 계속 진행하기가 곤란하다고 인정되는 경우 심사 추가 비용이 발생할 수 있다.
• ②
   연장 기한 포함하여 최대 100일 이내에 보완조치가 완료되지 않은 경우, 인증이 중단된다.
• ③
   신청기관은 보완조치 전·후 내용을 확인할 수 있도록 작성하여야 하며, 심사팀장과의 협의에 따라 보완조치 이행계획도 보완조치로 인정될 수 있다.
• ④
   인증위원회에서 요구된 보완조치 이행여부를 확인한 심사팀장은 해당사항에 대한 결과보고서를 다음 회기 인증위원회에 상정하여 심의·의결 받게 된다.
• ⑤
   인증위원회의 심의결과에 따른 보완조치가 완료된 경우, 보완조치 이행여부를 확인한 심사팀장은 해당사항에 대한 결과보고서를 다음 회기 인증위원회에 상정하여 심의·의결 받게 된다.