0. 들어가기
ISRM(정보보호위험관리사) 시험에서는 다양한 정보보호 인증제도에 대한 이해가 중요합니다.
특히, 1과목: 정보보호 위험관리 계획, 2과목: 정보보호 위험 평가에서 ISO/IEC 27001, ISMS-P, CC 인증 관련 내용이 출제되었습니다.
필자의 경우 ISMS-P문제가 많이 보였던 것 같습니다.
[+] 인증관련 문제 정리
- 1과목 : 정보보호 위험관리 계획 :
- ISO/IEC 27001, ISMS, ISMS-P의 목적, 구조, 구성요소
- 2과목: 정보보호 위험 평가
- CC 인증의 정의, 목적, EAL 등급별 차이
- 보안기능 요구사항(SFR), 보증 요구사항(SAR)
1. 정보보호 위험관리 계획
[+] 핵심 학습 포인트
- ISO/IEC 27001, ISMS, ISMS-P의 목적과 구조, 법적 기반
- 조직의 정보보호 정책 수립, 관련 인증 요건, 조직 구성(CISO, 보안팀 등)
[+] ISO/IEC 27001
- 정보자산의 기밀성, 무결성, 가용성(CIA) 보장을 목표로 하는 국제 정보보호 관리체계
- 위험 기반 접근법에 따라 관리적, 기술적, 물리적 보호조치를 갖춘 종합적 체계
- 구성요소: 정보보호 정책, 자산 관리, 인적 보안, 암호화, 물리적 보안 등
[+] ISMS / ISMS-P
- ISMS: 국내 정보보호 관리체계 인증 (KISA 주관)
- ISMS-P: ISMS + PIMS 통합 → 개인정보보호법 + 정보통신망법 모두 반영
- 3대 보호조치로 구성:
- 관리적 보호조치 – 정책, 조직, 교육
- 기술적 보호조치 – 접근통제, 암호화, 백신 등
- 물리적 보호조치 – 출입통제, 서버실 관리 등
[+] 정보보호 조직 구성
- 정보보호 최고책임자(CISO): 정보보호 계획 수립, 승인 등 주도
- 보안위원회 또는 보안 전담부서 구성 필수
- 관련 문서 및 규정 수립: 정보보호 방침, 운영 규정, 사고 대응 절차 등
출처: [가이드북] 정보보호위험관리사(ISRM).pdf, 26~27p 기준
2. 정보보호 위험 평가
[+] 핵심 학습 포인트
- CC 인증의 정의, 평가 목적, EAL 등급
- SFR(보안기능 요구사항), SAR(보증 요구사항) 개념
[+] CC 인증 (Common Criteria)
- 정보보호 제품의 보안기능과 신뢰성을 국제적으로 평가하기 위한 기준
- 정식 명칭: ISO/IEC 15408 (국제공통평가기준)
- 적용 대상: 방화벽, 암호모듈, OS, 인증서버 등
[+] EAL 등급 (Evaluation Assurance Level)
- 제품의 신뢰 수준을 나타내는 등급
- EAL1: 기능 테스트
- EAL4: 조직 실무에 적합
- EAL7: 수학적 검증까지 요구하는 최고 수준
- 숫자가 높을수록 평가의 범위, 정밀도, 비용, 시간 ↑
[+] SFR / SAR
- SFR (Security Functional Requirements): 제품이 반드시 갖추어야 할 보안 기능 예) 접근통제, 암호화
- SAR (Security Assurance Requirements): 그 보안기능이 신뢰할 수 있는지를 평가하는 기준
출처: [가이드북] 정보보호위험관리사(ISRM).pdf, 33p 기준
3. 기출 및 문제 풀이
[문제 1] 다음 중 ISO/IEC 27001의 주요 보안 목표가 아닌 것은?
① 기밀성
② 무결성
③ 가용성
④ 확장성
정답 보기
정답: ④해설: 정보보호의 3대 요소는 기밀성, 무결성, 가용성(CIA)입니다. 확장성은 직접적인 목표가 아닙니다.
[문제 2] 정보보호 관리체계(ISMS)의 인증 기준으로 가장 적절한 것은?
① ISO 9001
② ISO/IEC 27001
③ ISO 14001
④ ISO 22301
정답 보기
정답: ②해설: ISO/IEC 27001은 정보보호 관리체계의 국제표준입니다.
[문제 3] ISMS-P 인증의 설명으로 가장 적절한 것은?
① 품질 경영 체계를 포함하는 인증이다.
② 개인정보보호 중심의 물리적 보안 관리체계다.
③ 정보보호와 개인정보보호를 통합한 국내 인증이다.
④ 환경보호 기준을 만족하는 기업에게 부여된다.
정답 보기
정답: ③해설: ISMS-P는 ISMS와 PIMS를 통합한 국내 인증입니다.
[문제 4] CC(Common Criteria) 인증과 관련된 설명 중 옳은 것은?
① 정보보호 정책을 검토하는 경영 인증이다.
② 정보보호 제품의 보안기능을 평가하는 국제표준이다.
③ ISO/IEC 27001의 보안 정책을 대체한다.
④ 개인정보 취급방침 평가를 위한 제도이다.
정답 보기
정답: ②해설: CC 인증은 ISO/IEC 15408에 따라 정보보호 제품의 보안기능과 신뢰성을 평가하는 기준입니다.
[문제 5] 다음 중 CC 평가보증 수준(EAL) 중 가장 높은 수준은?
① EAL2
② EAL3
③ EAL5
④ EAL7
정답 보기
정답: ④해설: EAL7은 형식 명세와 수학적 검증까지 포함하는 최고 수준의 보증입니다.
[문제 6] 다음 중 CC 인증 대상이 아닌 것은?
① 웹방화벽
② DB 암호화 모듈
③ 운영체제
④ 사무직 근로자
정답 보기
정답: ④해설: CC 인증은 정보보호 제품에 대한 평가이며, 사람은 해당하지 않습니다.
[문제 7] ISMS-P 인증에서 포함하지 않는 구성요소는?
① 관리적 보호조치
② 기술적 보호조치
③ 물리적 보호조치
④ 회계관리 보호조치
정답 보기
정답: ④해설: 회계관리는 정보보호 관리체계의 구성요소에 포함되지 않습니다.
[문제 8] ISMS-P 인증과 관련된 법령이 아닌 것은?
① 정보통신망 이용촉진 및 정보보호 등에 관한 법률
② 개인정보 보호법
③ 신용정보의 이용 및 보호에 관한 법률
④ 형법
정답 보기
정답: ④해설: 형법은 정보보호 관리체계 관련 법령이 아닙니다.
[문제 9] 다음 중 ISO/IEC 27701의 주요 목적은?
① 정보보호 제품의 기술평가
② 기업 경영의 환경적 지속 가능성 평가
③ 개인정보보호 관리체계(PIMS) 확장 지원
④ 정보자산의 분류체계 구축
정답 보기
정답: ③해설: ISO/IEC 27701은 ISO/IEC 27001을 기반으로 한 PIMS 확장 표준입니다.
[문제 10] 정보보호 관리체계 수립 시 일반적으로 가장 먼저 고려해야 하는 것은?
① 개인정보보호 인증기관 선정
② 정보보호 교육 교재 제작
③ 보호대상 정보자산의 식별
④ 정보보호 정책 검토회의
정답 보기
정답: ③해설: 자산 식별은 정보보호 활동의 시작점입니다.
[문제 11] ISO/IEC 27001에서 정보보호 관리체계의 문서화 요구사항으로 옳지 않은 것은?
① 정보보호 방침과 목표
② 적용 통제 목록 및 정당성
③ 내부 감사 수행결과 요약
④ 위험 분석 결과의 공개 공시
정답 보기
정답: ④해설: ISO/IEC 27001은 위험 분석 결과의 내부 기록은 요구하지만, 공개 공시는 요구하지 않습니다.
[문제 12] 다음 중 ISMS-P 인증에서 요구하는 관리적 보호조치 항목에 해당하지 않는 것은?
① 정보보호 정책 수립
② 인적 보안 및 교육
③ 백신 프로그램 운용
④ 위탁업체 관리
정답 보기
정답: ③해설: 백신 운용은 기술적 보호조치에 해당합니다.
[문제 13] 다음 중 Common Criteria(CC) 평가보증 수준 중 개발 및 검증 단계에서 형식 명세(Formal Specification)가 요구되는 수준은?
① EAL3
② EAL4
③ EAL5
④ EAL7
정답 보기
정답: ④해설: 형식 명세는 최고 수준인 EAL7에서 요구됩니다.
[문제 14] CC 인증 평가 시 사용하는 보호 프로파일(PP)의 주된 목적은?
① 평가자의 기술적 판단 기준 제공
② 특정 제품의 기능 목록 요약
③ 공통의 보안 요구사항을 반영한 기준 제공
④ 국가별 암호 모듈 등록을 위한 문서 제공
정답 보기
정답: ③해설: 보호 프로파일은 특정 제품군에 대한 공통 보안 요구사항을 명세합니다.
[문제 15] ISMS-P 인증 대상기관이 아닌 경우로 가장 적절한 것은?
① 연간 100만 명 이상의 개인정보를 처리하는 민간기업
② 정보통신망법상 정보통신서비스 제공자
③ 개인정보보호법상 공공기관
④ 개인정보를 수집하지 않는 내부 전산운영팀
정답 보기
정답: ④해설: 개인정보를 처리하지 않는 조직은 ISMS-P 인증 대상이 아닙니다.
'소소한 IT이야기 > ISRM' 카테고리의 다른 글
| 정보보호위험관리사(ISRM) 자격증 시험 (feat. 3과목:정보보호 위험 대응)-003 (2) | 2025.06.04 |
|---|---|
| 정보보호위험관리사(ISRM) 자격증 시험 (feat. CPPG)-001 (0) | 2025.05.11 |
| 정보보호위험관리사(ISRM) 자격증 시험 (feat. CPPG)-000 (1) | 2025.04.28 |
