0. 들어가기
본 포스팅은 [가이드북] 정보보호위험관리사(ISRM).pdf의 273페이지부터 293페이지까지 수록된
“과목 5: 정보보호 위험대책 관리” 파트 전체 내용을 기반으로 작성되었습니다.
이 과목은 정보보호 및 개인정보보호 대책의 구체적인 이행 절차 수립, 보안시스템 운영관리, 정책 타당성 검토, 보안성과지표 관리, 관리체계 점검 및 개선 활동까지 조직의 운영 현장에 직접 적용되는 보안 운영의 “실행”을 중점적으로 보는 내용입니다.
1. 정보보호 위험대책 관리
[+] 정보보호 정책 및 시행문서의 정기 검토
정보보호 정책은 한 번 수립했다고 끝나는 문서가 아닙니다.
조직은 이를 정기적으로 검토하고, 필요시 갱신하여 최신 상태로 유지해야 합니다.
예를 들어, 관련 법령이 개정되었거나, 새로운 클라우드 기술이 도입되었거나, 기존 정책이 현장 업무와 맞지 않는 경우 등은 즉각적인 제·개정 사유가 됩니다.
또한, 문서 간 중복이나 충돌 여부, 실제 업무에 적용 가능한지 여부, 관련 부서와의 협의 과정 등을
포괄적으로 검토하여야 하며, 정책 개정 이력, 버전 관리, 이해관계자 승인 기록 등이 명확히 남아야 합니다.
[+] 보안시스템 운영 및 정책 관리
방화벽, 침입탐지시스템(IDS), 데이터 유출방지시스템(DLP) 등 주요 보안 장비들은 기본적으로 정책 기반으로 운영됩니다. 여기서 말하는 ‘정책’이란 룰셋이나 필터 규칙 등을 말하며,이 정책은 공식 승인 절차를 통해 등록, 변경, 삭제되어야 하고, 정책 변경 요청자는 물론 검토자와 승인자까지 구분되어 책임추적성이 확보되어야 합니다.
특히 예외 정책(예: 특정 외부 IP 허용 등)은 최소한의 접근 권한만을 부여해야 하며,정당한 사유, 사용기한, 사후 점검 계획까지 포함되어야 승인이 가능합니다.
많은 보안 사고가 이 예외 정책의 과도한 허용에서 발생한다는 점을 기억해야 합니다.
[+] 정보보호 관리체계 점검 및 개선 활동
보안 정책을 수립하고 시스템을 설치 이후 중요한 건 그 시스템이 실제로 작동하고 있는지, 운영자가 정책을 제대로 따르고 있는지 주기적으로 점검하는 것입니다.
관리체계 점검은 연 1회 이상 수행하는 것이 원칙이며, 이 과정에서는
- 보안 정책 준수 여부
- 담당자의 역할 이해도
- 시스템 로그 수집 및 점검 체계
- 기술적 보호대책의 실효성
- 등을 전반적으로 확인하게 됩니다.
문제점이 발견되면 단순한 처벌이나 재교육에서 끝나는 것이 아니라,
왜 그 문제가 발생했는지 근본 원인을 파악하고, 그것이 제도, 시스템, 문화 중 어디에서 기인한 것인지 분석해야 합니다.
이를 통해 실질적인 개선책이 나올 수 있으며, 이 과정 자체가 조직의 보안 성숙도를 높이는 핵심 활동입니다.
[+] 정보보호 성과지표(KPI) 수립 및 관리
보안도 경영활동의 일환이므로, 단순히 “잘하고 있다”가 아니라 성과를 수치로 보여주는 것이 필요합니다.
예를 들어 다음과 같은 지표가 성과지표로 사용될 수 있습니다:
- 월간 악성코드 감염률
- 미승인 장비 접속 건수
- 보안교육 이수율
- 정책 위반 행위 건수
- 침해사고 탐지 및 대응시간 평균 등
이러한 지표는 보안팀의 활동 결과를 경영진에 명확히 보고할 수 있는 근거가 되며, 지표 달성률을 통해 보안조직의 업무 우선순위 조정 및 예산 재편성에도 활용됩니다.
[+] 정보시스템 변경 및 장애 대응
시스템 변경(예: 서버 이관, 운영체제 업그레이드, 네트워크 구조 변경 등)은 기존 보호대책에 영향을 줄 수 있기 때문에 반드시 공식적인 변경관리 절차를 거쳐야 합니다.
이 절차에는 다음과 같은 항목이 포함되어야 합니다:
- 변경 사유 및 기대효과
- 보안 영향 분석 (예: 방화벽 정책, 접근제어 변화 등)
- 사전 백업 및 복구계획
- 테스트 및 롤백 시나리오 수립
- 변경 후 모니터링 계획
이 외에도, 시스템 장애가 발생했을 때 초기 조치 – 복구 – 원인 분석 – 재발 방지까지 이어지는 절차가 수립되어 있어야 하며, 전 과정은 문서로 남아야 향후 감사를 통과할 수 있습니다.
출처: [가이드북] 정보보호위험관리사(ISRM).pdf, 과목 Ⅴ: 정보보호 위험대책 관리 (273p~293p)
2. 문제풀이 (5과목 예상문제 10선)
[문제 1]
정보보호 및 개인정보보호 정책을 제·개정할 때 고려해야 할 항목으로 가장 적절하지 않은 것은?
① 상위조직 정책과의 연계성
② 법령 제·개정 사항 반영 여부
③ 보안시스템 제조사 변경 여부
④ 정보보호 활동 간 일관성 유지 여부
[정답 보기]
정답: ③해설: 보안시스템 제조사 변경은 정책 제·개정 검토 항목에 해당하지 않습니다.
[문제 2]
정보보호 보안시스템의 운영 절차로서 가장 적절하지 않은 것은?
① 보안정책(룰셋)의 등록·변경·삭제 절차 수립
② 정책 변경 시 승인 및 책임자 지정
③ 운영 장애 시에만 정책 검토 수행
④ 최신 패턴 업데이트 절차 포함
[정답 보기]
정답: ③해설: 운영 장애가 없어도 보안 정책은 정기적으로 검토되어야 합니다.
[문제 3]
조직이 정보보호 성과를 측정하기 위한 KPI로 부적절한 것은?
① 월간 악성코드 탐지 건수
② 사용자 비밀번호 길이
③ 정보보호 정책 위반 건수
④ 보안교육 이수율
[정답 보기]
정답: ②해설: 비밀번호 길이는 지표가 아닌 기술적 요구사항입니다.
[문제 4]
정기적인 정보보호 관리체계 점검 활동으로 옳지 않은 것은?
① 식별된 문제점에 대해 개선계획 수립
② 근본 원인 분석 없이 시정조치만 시행
③ 연 1회 이상 운영 실태 점검
④ 점검 결과에 따른 프로세스 수정
[정답 보기]
정답: ②해설: 근본 원인 분석이 없이 시정조치만 하는 것은 바람직하지 않습니다.
[문제 5]
보안시스템의 예외 정책에 대한 설명으로 적절하지 않은 것은?
① 최소 권한의 원칙을 따라야 한다
② 사전 보안성 검토가 필요하다
③ 사용 목적과 기한을 명확히 해야 한다
④ 예외는 승인 없이 적용할 수 있다
[정답 보기]
정답: ④해설: 예외 정책은 반드시 승인 절차를 거쳐야 합니다.
[문제 6]
정책 개정 시 고려할 요소로 보기 어려운 것은?
① 정책 간 중복 검토
② 상위 조직 정책과의 충돌 여부
③ 정책 이력 관리
④ 임직원 근속년수
[정답 보기]
정답: ④해설: 근속년수는 정책 제·개정과 무관합니다.
[문제 7]
정보시스템 변경 시 고려해야 할 항목이 아닌 것은?
① 성능 및 보안 영향 분석
② 사전 복구계획 수립
③ 변경에 따른 점검 생략
④ 테스트 및 롤백 시나리오 수립
[정답 보기]
정답: ③해설: 변경 시에는 반드시 점검이 포함되어야 합니다.
[문제 8]
정보보호 성과지표를 경영진에게 보고할 때 가장 부적절한 방식은?
① 정량적 지표 중심으로 구성
② 위험지표와 연계된 항목 활용
③ 단순 주관적 평가만 포함
④ 이전 기간 대비 비교 포함
[정답 보기]
정답: ③해설: 주관적 평가는 신뢰도 측면에서 부적절합니다.
[문제 9]
보안 정책 정기 점검의 필요성으로 가장 적절한 설명은?
① 외부 보안장비 설치와는 무관하다
② 정책 변경 시에는 점검이 필요 없다
③ 위협 환경 변화에 신속히 대응하기 위함이다
④ 경영진 보고를 위한 형식적 절차이다
[정답 보기]
정답: ③해설: 위협 변화에 대응하기 위해 점검이 필요합니다.
[문제 10]
보안정책 수립 시 올바른 절차 순서는?
① 정책 수립 → 검토 기록 반영 → 영향도 분석 → 승인
② 영향도 분석 → 검토 기록 반영 → 경영진 승인 → 전사 공표
③ 경영진 승인 → 전사 공표 → 이해관계자 검토 → 법적 준거성 확인
④ 정책 공표 → 승인 → 검토 기록 작성 → 영향도 분석
[정답 보기]
정답: ②해설: 영향도 분석 → 검토 반영 → 승인 → 공표 순입니다.
📚 출처: [가이드북] 정보보호위험관리사(ISRM).pdf, 과목 Ⅴ: 정보보호 위험대책 관리 (273p~293p)
'소소한 IT이야기 > ISRM' 카테고리의 다른 글
| 정보보호위험관리사(ISRM) 자격증 시험 - 마무리 (4) | 2025.06.07 |
|---|---|
| 정보보호위험관리사(ISRM) 자격증 시험 (feat. 4과목: 정보보호 관리체계 운영) -004 (2) | 2025.06.05 |
| 정보보호위험관리사(ISRM) 자격증 시험 (feat. 3과목:정보보호 위험 대응)-003 (2) | 2025.06.04 |
