119. '개인정보 보호법'에서 정하고 있는 개인정보보호 원칙에 관한 규정으로 가장 적절하지 않은 것은?
① 개인정보처리자는 개인정보의 처리 방법 및 종류 등에 따라 정보주체의 권리가 침해받을 가능성과 그 위험 정도를 고려하여 개인정보를 안전하게 관리하여야 한다.
② 개인정보처리자는 개인정보의 처리 목적을 명확하게 하지 않아도 그 목적에 필요한 경우 최소한의 개인정보만을 적법하게 수집하여야 한다.
③ 개인정보처리자는 이 법 및 관계 법령에서 규정하고 있는 책임과 의무를 준수하고 실천함으로써 정보주체의 신뢰를 얻기 위하여 노력하여야 한다.
④ 개인정보처리자는 개인정보의 처리 목적에 필요한 범위에서 개인정보의 정확성, 완전성 및 최신성이 보장되도록 하여야 한다.
▣ 개인정보보호법 > 개인정보 보호 원칙(제3조)
- 처리 목적의 명확화, 목적 내에서 적법하고 정당하게 최소 수집
- 처리 목적 내에서 처리, 목적 외 활용 금지
- 처리 목적 내에서 정확성·완전성·최신성 보장
- 정보주체의 권리침해 위험성 등 개인정보의 처리에 관한 사항을 공개하여야 하며, 열람청구권 등 정보주체의 권리를 보장
- 사생활 침해 최소화 방법으로 처리
- 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 없는 경우에는 가명에 의하여 처리
- 개인정보처리자의 책임과 의무 준수, 정보주체의 신뢰 확보
정답 : ②
120. 다음 중 정보보호 위험관리 절차에 대한 설명으로 가장 적절하지 않은 것은?
① 현황 및 흐름분석 : 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무절차와 흐름을 파악하여 문서화하며 이를 주기적으로 검토하여 최신성을 유지한다.
② 위험평가 : 조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 영역에 대한 위험을 평가한다.
③ 정보자산 식별 : 조직의 업무 특성에 따라 관리체계 범위 내 일부 중요 정보자산만을 식별하고 중요도를 산정한다.
④ 보호대책 선정 : 위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여야 한다.
▣ ISMS-P 관리체계 수립 및 운영
분야
|
항목
|
||
1.1
|
관리체계 기반 마련
|
1.1.1
|
경영진의 참여
|
1.1.2
|
최고책임자의 지정
|
||
1.1.3
|
조직구성
|
||
1.1.4
|
범위설정
|
||
1.1.5
|
정책수립
|
||
1.1.6
|
자원활동
|
||
1.2
|
위험관리
|
1.2.1
|
정보자산 식별
|
1.2.2
|
현황 및 흐름 분석
|
||
1.2.3
|
위험 평가
|
||
1.2.4
|
보호대책 선정
|
||
1.3
|
관리쳬계 운영
|
1.3.1
|
보호대책 구현
|
1.3.2
|
보호대책 공유
|
||
1.3.3
|
운영현황 관리
|
||
1.4
|
관리체계 점검 및 개선
|
1.4.1
|
법적 요구사항 준수 검토
|
1.4.2
|
관리체계 점검
|
||
1.4.3
|
관리체계 개선
|
● 위험관리
항목
|
내용
|
정보자산 식별
|
|
현황 및 흐름분석
|
|
위험평가
|
|
보호대책 선정
|
|
정답 : ③
공감과 댓글은 아이티신비에게 큰 힘이 됩니다.
블로그 글이 유용하다면 블로그를 구독해주세요.♥
'정보시스템 감리 기출해설 > 보안 해설' 카테고리의 다른 글
(제 23회) 보안 / (103)~(104) 해설 (3) | 2024.10.19 |
---|---|
(제 23회) 보안 / (101)~(102) 해설 (1) | 2024.10.18 |
(제 24회) 보안 / (117)~(118) 해설 (1) | 2024.08.29 |
(제 24회) 보안 / (115)~(116) 해설 (1) | 2024.08.28 |
(제 24회) 보안 / (113)~(114) 해설 (0) | 2024.08.27 |