1. 다음 상황에서 결함으로 볼 수 있는 가장 적절한 항목은?

조직 체계상 정보 보안을 담당하는 팀이 있으나 해당 팀에 마케터, 경비원, 퇴직자 등 후선 직원들만 소속되어 있고 경력이나 자격 기준상 보안에 전문성이 있다고 보여지는 사람이 없다.

• 1
   1.1.3.조직 구성
• 2
   1.1.6.자원 할당
• 3
   2.1.2.조직의 유지관리
• 4
   2.2.1.주요 직무자 지정 및 관리
• 5
   2.2.4.인식제고 및 교육훈련

1. 서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제하여야 하는 점검 기준은 2.6.2 정보시스템 접근이다. 하지만 별도 점검 기준에 따라서 특정 시스템군에 접근 통제가 되지 않은 경우엔 2.6.2가 아닌 해당 업무 관련 결함으로 잡아야 한다. 어떤 시스템들이 있는가?

1. 보안서약서를 잠금 장치가 없는 곳에 방치하였다. 어떤 결함인가?

• 1
   2.2.3.보안 서약
• 2
   2.4.7. 업무환경 보안

2. 다음 상황에서 결함으로 볼 수 있는 가장 적절한 항목은?

조직도에서 IT본부가 있고 그 안에 보안을 담당하는 일부 직원들이 있으나 정보보호를 전담하는 부서나 팀이 없다.

• 1
   1.1.3.조직 구성
• 2
   1.1.6.자원 할당
• 3
   2.1.2.조직의 유지관리
• 4
   2.2.1.주요 직무자 지정 및 관리
• 5
   2.2.4.인식제고 및 교육훈련

2. 원격으로 접근한 어떤 시스템의 운영체제의 세션 타임아웃이 설정되지 않았다. 어떤 점검 기준에 따른 결함인가?

• 1
   2.6.3.응용프로그램 접근
• 2
   2.6.2.정보시스템 접근
• 3
   2.10.1.보안시스템 운영
• 4
   2.8.2.보안 요구사항 검토 및 시험
• 5
   2.6.6.원격접근 통제

2. 현재는 계약이 만료된 이전 외주직원의 관리용 특수 계정이 살아있다. 어떤 결함인가?

• 1
   2.3.3. 외부자 계약 변경 및 만료 시 보안
• 2
   2.5.1. 사용자 계정 관리
• 3
   2.5.5. 특수 계정 관리

3. 다음 상황에서 결함으로 볼 수 있는 가장 적절한 항목은?

자산이 잘 관리되고 있고 자산별 위험평가 결과서에 대표자의 날인이 되어 있다. 다만 위험평가 결과에 대한 후속 조치가 실무자 선에서만 이루어지고 있었으며 충분한 직급까지 보고되고 있지 않았다.

• 1
   2.1.3.정보자산 관리
• 2
   1.2.3.위험 평가
• 3
   1.2.4.보호대책 선정
• 4
   1.3.1.보호대책 구현
• 5
   1.3.3.운영현황 관리

3. 여러 중요한 서비스들을 한 서버에 같이 운영하고 있다. 어떤 결함인가?

• 1
   1.2.3.위험 평가
• 2
   2.6.2.정보시스템 접근
• 3
   2.8.2.보안 요구사항 검토 및 시험
• 4
   2.10.1.보안시스템 운영
• 5
   2.12.1.재해, 재난 대비 안전조치 결함

3. 수탁자를 점검을 자체 점검 문서를 주고 받는 형태로만 하고 있다. 결함인가?

4. 다음 상황에서 결함으로 볼 수 있는 가장 적절한 항목은?

자산이 잘 관리되고 있고 자산별 위험평가 결과서에 대표자의 날인이 되어 있었으나 식별된 위협에 대한 처리 및 관리 방안은 CISO까지만 보고되었다. 또한 보고된 방안에 따른 처리 및 관리가 실제로는 이루어지지 않고 있는 것이 발견되었다.

• 1
   2.1.3.정보자산 관리
• 2
   1.2.3.위험 평가
• 3
   1.2.4.보호대책 선정
• 4
   1.3.1.보호대책 구현
• 5
   1.3.3.운영현황 관리

4. 테이블 목록이 제대로 식별되지 않고 누락되었다. 어떤 인증 기준 결함인가?

• 1
   2.1.3 정보자산 관리
• 2
   2.6.4.데이터베이스 접근
• 3
   1.2.1 정보자산 식별
• 4
   1.3.3 운영현황 관리
• 5
   1.2.2 현황 및 흐름분석

5. 다음 상황에서 결함으로 볼 수 있는 가장 적절한 항목은?

법적 요구사항 및 내부 정책에 따라 정보보호 관리체계를 구성하여 5년 째 운영 중이다. 올해 초에 관리체계에 따라 점검을 실시한 이력이 있다. 점검팀은 점검 대상 부서의 최고 선임 직원으로 구성하였으며 점검 결과에 따른 조치는 올해 말에 할 예정이다.

• 1
   1.1.5.정책 수립
• 2
   1.3.1.보호대책 구현
• 3
   1.3.3.운영현황 관리
• 4
   1.4.2.관리체계 점검
• 5
   1.4.3.관리체계 개선

5. 회원가입, 로그인, 개인정보 수정 화면 등이 https가 아닌 http로 되어 있다.

• 1
   1.4.2.관리체계 점검 결함
• 2
   2.7.1.암호정책 적용 결함
• 3
   2.8.1.보안 요구사항 정의 결함
• 4
   2.10.1.보안시스템 운영 결함
• 5
   2.6.7.인터넷 접속 통제

6. 다음 상황에서 결함으로 볼 수 있는 가장 적절한 항목은?

법적 요구사항 및 내부 정책에 따라 정보보호 관리체계를 구성하여 5년 째 운영 중이다. 올해 초에 관리체계에 따라 점검을 실시하였으나 작년 점검에서 미흡하게 나온 사안이 조치되지 않은 채 동일하게 발견되었다.

• 1
   1.1.5.정책 수립
• 2
   1.3.1.보호대책 구현
• 3
   1.3.3.운영현황 관리
• 4
   1.4.2.관리체계 점검
• 5
   1.4.3.관리체계 개선

6. 데이터베이스 마스터 계정 접근 비밀번호를 기본 비밀번호 그대로 사용했다. 어떤 결함인가?

• 1
   2.5.3 사용자 인증
• 2
   2.5.4.비밀번호 관리
• 3
   2.6.4 데이터베이스 접근

7. 다음 상황에서 결함으로 볼 수 있는 가장 적절한 항목은?

홈쇼핑 운영사를 점검한 결과 다양한 종류의 개인정보 수탁자가 있었다. 수탁자와 계약시 아래의 내용으로 구성된 계약서를 사용했다.

1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
2. 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항
1. 위탁업무의 목적 및 범위
2. 재위탁 제한에 관한 사항
3. 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
4. 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항

2번에 대해선 사후 통지만으로 재위탁이 가능하도록 규정되어 있었다. 이 수탁자들은 별도 관리 시스템에서 관리되고 있었으나 수탁자를 어떻게 관리해야 할지에 대한 대책은 작성 중이었으며, 현재는 담당자가 선별적으로 점검표를 보내 회신받는 식으로 관리하고 있었다.

• 1
   1.4.2.관리체계 점검
• 2
   1.4.3.관리체계 개선
• 3
   2.3.1.외부자 현황 관리
• 4
   2.3.2.외부자 계약 시 보안
• 5
   2.3.3.외부자 보안 이행 관리

8. 다음 상황에서 결함으로 볼 수 있는 가장 적절한 항목은?

내부 지침에선 적절한 비밀번호 정책을 제시하고 있으나 실제 운영시스템의 비밀번호 설정 규칙은 취약하게(법적 요구사항에도 맞지 않게) 들어가 있는 경우

ex) 지침에선 영문+숫자 10자 이상으로 설정토록 하였으나, OOO 시스템의 비밀번호 설정 규칙을 검증하는 로직에는 영문+숫자로 8자리 이상으로 설정토록 하고 있는 경우

• 1
   2.5.4.비밀번호 관리
• 2
   2.8.2.보안 요구사항 검토 및 시험
• 3
   1.4.1.법적 요구사항 준수 검토
• 4
   2.1.1.정책의 유지관리
• 5
   2.7.1.암호정책 적용 결함

9. 다음 상황에서 결함으로 볼 수 있는 가장 적절한 항목은?

백업 대상과 방법을 정의한 지침에서 백업 주기는 주1회로 되어 있는 시스템이, 재해 복구계획에선 RPO가 3일로 설정된 경우

• 1
   2.1.1.정책의 유지관리
• 2
   2.9.3.백업 및 복구관리
• 3
   2.12.1.재해, 재난 대비 안전조치
• 4
   2.8.1.보안 요구사항 정의
• 5
   2.8.2.보안 요구사항 검토 및 시험

10. 다음 상황에 대한 결함 항목은?

사고 대응을 위한 비상연락망에 현재는 계약이 종료된 대응 담당 외주 업체의 연락처가 있고 현재 계약중인 외주 업체의 연락처는 없다.

• 1
   2.1.1 주요 직무자 지정 및 관리
• 2
   2.2.2 직무 분리
• 3
   2.3.1 외부자 현황 관리
• 4
   2.3.4 외부자 계약 변경 만료 시 보안
• 5
   2.11.1 사고 예방 및 대응체계 구축

11. 다음 상황에서 결함으로 볼 수 있는 가장 적절한 항목은?

외주 시스템 운영 업체가 원격접속용으로 사용하는 VPN에 설정 오류가 있어 한번도 사용한 적이 없는  계정이 잠기지 않고 방치됨

• 1
   2.3.3 외부자 보안 이행 관리
• 2
   2.5.1 사용자 계정 관리
• 3
   2.5.6 접근권한 검토
• 4
   2.6.6 원격접근 통제
• 5
   2.10.1 보안시스템 운영

12. 다음 상황에서 결함으로 볼 수 있는 가장 적절한 항목을 2개만 고르면?

인사팀과 사내 법무팀으로 이루어진 관리체계점검TF팀이 연 1회 위험평가를 실시하고 있다. 위험평가 결과에 단기(1개월 이내), 중기(6개월 이내), 장기(1년 이내)로 이루어진 이행계획을 수립하여 보고하였고, 단기 계획은 기한이 도래했는데 모두 조치하였다. 중기, 장기 계획은 담당자에게 내용을 공유하고 조치요청을 해둔 상태이며 단기적으로 이를 보완하기 위한 대책은 없지만 중장기적인 개선을 위한 계획이 진행 중이다.

• 1
   1.2.3 위험 평가
• 2
   1.2.4 보호대책 선정
• 3
   1.3.1 보호대책 구현
• 4
   1.4.2 관리체계 점검
• 5
   1.4.3 관리체계 개선

13. 다음 상황에서 결함으로 볼 수 있는 가장 적절한 항목은?

개인정보 흐름도를 그려서 관리하고 있으나 일부 개인정보 항목이 파기되는 시점이 흐름도에 있는 파기 시점과 다르다. 실제 파기는 개인정보 처리방침이나 수집이용 동의서에 명시된 내용대로 파기가 이루어지고 있다.

• 1
   1.2.1.정보자산 식별
• 2
   1.2.2.현황 및 흐름분석
• 3
   3.2.1.개인정보 현황관리
• 4
   3.4.1.개인정보의 파기
• 5
   결함 없음

34. 다음 상황에서 결함으로 볼 수 있는 가장 적절한 항목은?

신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토하도록 내부 규정을 마련하고 있으나, 최근 도입한 일부 시스템에 대하여 취약점 점검 등의 관련 보안성검토 수행 증적이 확인되지 않았다.

• 1
   1.4.1.법적 요구사항 준수 검토
• 2
   1.4.3.관리체계 개선
• 3
   2.8.1.보안 요구사항 정의
• 4
   2.8.2.보안 요구사항 검토 및 시험
• 5
   상기 사항만으론 결함을 선택할 수 없음

35. 다음 상황에서 결함으로 볼 수 있는 가장 적절한 항목은?

홈페이지 개인정보 처리방침이 게재되어 있었으며 메인페이지 하단에 굵은 글씨로 안내되어 있었다. 개인정보 보호책임자의 이름이 있었으나 전화번호는 개인정보 보호팀 대표번호로 되어 있었으며, 개인정보 처리업무 위탁 사항을 공개하고 있으나, 일부 수탁사와 위탁하는 업무의 내용이 누락되었다.

• 1
   1.1.1.경영진의 참여
• 2
   2.2.1.주요 직무자 지정 및 관리
• 3
   3.3.2.개인정보 처리 업무 위탁
• 4
   3.5.1.개인정보 처리방침 공개