1. 물리적 보관 장소 출입통제
개인정보처리자는 전산실, 보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우 출입통제절차를 수립·운영해야 한다.
2. 개인정보 자료 보관
개인정보처리자는 개인정보가 포함된 자료, 저장매체 등을 잠금장치가 있는 곳에 보관해야 한다.
3. 보조저장매체 관리
개인정보처리자는 개인정보가 포함된 보조저장매체의 반출입을 통제하기 위한 보안대책을 마련해야 한다.
4. 정보통신기반 보호법
전자적 침해행위에 대비하여 주요정보통신기반 시설 보호를 보장하기 위한 목적의 법이다.
5. 주요정보통신기반시설 지정
정보통신기반보호법: 전자적 행위로부터의 보호가 필요하다고 중앙행정기관으로부터 인정 받으면 정보통신기반시설을 주요정보통신기반시설로 지정할 수 있다.
6. 의존도
제1호의 규정에 의한 기관이 수행하는 업무의 정보통신기반시설에 대한 의존도를 말한다.
7. 상호연계성
다른 정보통신 기반시설과의 상호연계성을 의미한다.
8. 용이성
침해 사고의 발생가능성 및 복구 용이성을 말한다.
9. 정보통신기반 보호법
주요정보통신기반시설을 보호하는 보호법이다.
10. 정보공유 분석센터 (ISAC)
주요정보통신기반시설에 대해 해킹공격이 발생할 경우 그 대응방안을 제공하고 실시간 경보하는 체계이다.
11. ISAC 업무
- 취약점 및 대응방안 제공
- 실시간 경보 및 분석
12. 정보통신망법
정보통신망의 이용을 촉진하고 안전하게 이용할 수 있도록 환경을 조성하는 것을 목적으로 한다.
13. 정보통신기반 보호법
주요정보통신기반시설을 보호 및 보장하는 법이다.
14. 위치정보법
위치정보의 유출, 오용 및 남용으로부터 보호하기 위한 법이다.
15. 전자적 침해행위
정상적인 절차를 우회하여 정보시스템을 공격하는 행위를 말한다.
16. 정보보호 사전점검
정보통신망의 구축 이전에 설계 과정에서 정보보호를 고려하여 조치하거나 계획하는 행위이다.
17. 정보통신망
전기통신설비를 이용하거나 컴퓨터를 활용하여 정보를 수집, 가공, 저장, 검색, 송수신하는 정보통신체계를 말한다.
18. 정보보호시스템
정보보호를 방지하기 위한 하드웨어와 소프트웨어의 일체를 말한다.
19. 정보통신기반시설
국가안전보장, 행정, 국방, 치안, 금융, 통신, 운송, 에너지 등의 업무와 관련된 전자적 제어·관리 시스템을 말한다.
20. SLE 계산식
SLE = AV * EF
21. ALE 계산식
ALE = SLE * ARO
22. ROI 계산식
ROI = (ALE - 보호대책비용) / 보호대책비용 * 100
23. DRP (재해복구계획)
백업 서비스를 포함한 재해 복구 계획을 말한다.
24. hostname 명령어
윈도우 시스템의 호스트 네임을 출력한다.
25. whoami 명령어
윈도우에서 현재 로그인한 사용자 (내) 정보를 출력한다.
26. date /t 명령어
윈도우 시스템의 현재 시간을 확인한다.
27. 개인정보수집이 가능한 경우
- 정보 주체의 동의를 받은 경우
- 법률에 특별한 규정이 있거나 법률상의 의무를 준수하기 위해 불가피한 경우
- 공공기관이 정하는 소관 업무 수행을 위해 불가피한 경우
- 정보주체와의 계약 체결·이행을 위해 불가피한 경우
28. 개인정보유출 시 정보주체에게 알려야 할 사항
- 유출된 개인정보 항목
- 유출된 시점 및 경위
- 피해를 최소화하기 위한 방법
- 대응조치 및 구제절차
- 신고할 수 있는 담당부서 및 연락처
29. 개인정보 유출 신고
개인정보 유출 시 개인정보보호위원회 또는 대통령령으로 정하는 전문 기관(예: KISA)에 지체 없이 신고해야 한다.
30. 대규모 개인정보 유출 기준
대통령령으로 정한 규모의 개인정보란 1천명 이상의 개인정보를 말한다.
31. 가명처리 순서
사전 준비 → 비식별화 (가명처리) → 적정성 검토 → 사후관리
32. 가명처리 정의
개인정보의 일부를 삭제하거나 일부 또는 전체를 대체하여 추가 정보 없이는 특정한 개인을 알아볼 수 없는 정보를 만드는 과정이다.
33. 정보주체 동의 없이 개인정보 활용 가능 경우
- 통계작성
- 공익적 기록보존
- 과학적 연구
34. 익명정보
추가 정보가 있더라도 특정한 개인을 알아볼 수 없는 정보를 말한다.
35. 정보주체에게 연 1회 이상 알려야 할 사항
- 개인정보 수집·이용 목적 및 개인정보 항목
- 개인정보를 제공받는 자와 이용목적 및 개인정보 항목
36. 비밀번호 작성규칙
- 영문·특수문자 2조합 이상 최소 10자리, 3조합 이상 최소 8자리 길이 구성
- 유추하기 쉬운 비밀번호 사용 금지
- 비밀번호 유효기간을 설정하여 반기별 1회 이상 변경
37. 정보보호최고책임자 업무
- 정보보호 계획 수립 및 시행
- 정보보호 실태 조사 및 정기적인 감사
- 정보보호 교육 및 모의 훈련
- 정보보호 위험 식별·평가 및 보호대책 마련
38. 개인정보 수집 시 포함해야 할 사항
- 개인정보처리 목적
- 개인정보 보유기간
- 수집하는 개인정보 항목
- 제3자에게 제공하는지 여부
- 개인정보 파기 절차 및 방법
- 제3자 제공인 경우 위 내용 반복
39. 개인정보처리방침 공개 방법
- 지속적으로 홈페이지 게재
- 사업장 등 보기 쉬운 장소에 게시
- 소식지·간행물 등 연 2회 이상 발행
40. 논리적 망분리 구분
- Server Based Computing (SBC)
- Client Based Computing (CBC)
41. SBC 인터넷망 가상화 장점
- 악성코드 감염 최소화
- 인터넷 환경이 공격당해도 업무망은 안전
42. SBC 업무망 가상화 장점
- 중앙관리 및 백업이 용이
- 일괄적인 정책 적용이 가능
- DLP 적용이 쉬움
43. ROI 계산식
ROI = (ALE - 보호대책비용) / 보호대책비용 * 100
44. 자산의 중요도를 평가하는 목적
자산의 기밀성, 무결성, 가용성 측면에서 가치와 위험도를 측정하기 위함이다.
45. 위험평가서의 우려사항 (concern)
위협과 취약성을 통합하여 정의한 항목으로 자산에 영향을 미칠 가능성을 뜻한다.
46. 정보보호정책
조직의 정보보호 목적과 활동에 관한 사항을 정의하는 최상위 문서로 최고경영자의 승인을 받아야 한다.
47. 정보보호정책 공표과정
이해관계자 검토 → 최고경영자 승인 → 이해하기 쉬운 형태로 개시
48. 반드시 암호화해야 하는 정보
주민등록번호, 여권번호, 운전면허번호, 외국인등록번호, 신용카드번호, 계좌번호, 생체인식정보
49. 개인정보영향평가 대상
- 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보 파일
- 50만명 이상의 정보주체에 관한 파일
- 100만명 이상의 정보주체 파일
50. 만 14세 미만 개인정보 수집
만 14세 미만의 경우 법정 대리인의 동의가 반드시 필요하다.
51. 민감정보 수집
개인의 건강은 민감정보로써 원칙적으로 수집을 금지한다.
52. 개인정보 수집 시 고지 사항
수집 시 불이익이 있는 경우 반드시 명시해야 하며, 거부할 권리 역시 명시해야 한다.
53. 주민등록번호 수집 제한
고유식별정보 중에서 주민등록번호는 법적 근거가 없으면 정보주체의 동의를 받더라도 수집이 불가하다. (주민등록번호 수집 법정주의)
54. 개인정보 보관 기간
개인정보 보관은 반드시 최소한의 기간으로 설정되어야 하며 영구 보관을 해서는 안 된다.
