1과목 「정보보호 위험관리 계획」 샘플문제에서 출제된 숫자, 법령, 기준을 한 곳에 모았습니다. 시험 직전 훑어보기용으로 활용하세요.
🔢 숫자 암기 모음
CISO 자격요건 — 경력 연수
정보통신망법 시행령 제36조의7에 따른 CISO 자격요건입니다. 3-5-10 조합을 기억하세요.
| 학력 |
필요 경력 |
암기 키워드 |
| 석사 이상 (정보보호/IT) |
0년 |
석사면 바로 |
| 학사 (정보보호/IT) |
3년 이상 |
학사+3 |
| 전문학사 (정보보호/IT) |
5년 이상 |
전문+5 |
| 학위 없음 |
10년 이상 |
무학위 10 |
⚠️ 샘플문제 함정: "2년"(✕), "12년"(✕) 등 1~2 숫자를 변조한 보기가 등장합니다.
⚠️ 학위 범위: 국내 또는 외국 학위 모두 인정됩니다.
주요정보통신기반시설 — 등급 구분
| 항목 |
올바른 구분 |
오답 함정 |
| 자산 중요도 |
상·중·하 또는 1~3등급 |
"최상" ✕, "4등급" ✕ |
| 취약점 위험등급 |
상·중·하 3단계 |
|
| 위험등급 "상" 조치 |
조기 완료 |
|
| 위험등급 "중·하" 조치 |
중기 또는 장기 |
|
| 취약점 평가 점수 |
100점 만점 |
|
위험평가 주기 및 기준
| 항목 |
숫자 |
| 위험평가 최소 수행 주기 |
연 1회 이상 |
| 정보보호 교육 최소 주기 |
연 1회 이상 정기적 |
| 취약점 분석·평가 단계 수 |
4단계 |
위험 처리 전략 — 4가지
| 전략 |
핵심 행위 |
대표 사례 |
| 위험 감소 |
보안 통제 강화 |
패스워드 복잡도 3종 조합 + 8글자 이상 강제 |
| 위험 회피 |
위험 원인 자체 제거 |
회원가입 폐지 + 기존 회원정보 파기 |
| 위험 전가 |
제3자에게 이전 |
손해배상 대비 보험 가입 |
| 위험 수용 |
잔여위험 경영진 승인 |
목표 위험수준(DoA) 이하로 판단 시 수용 |
📜 법령 암기 모음
정보통신망 이용촉진 및 정보보호 등에 관한 법률 (정보통신망법)
| 조문 |
내용 |
출제 포인트 |
| 법 전체 |
정보보호 목적: 기밀성·무결성·가용성 |
"경제성"은 목적이 아님 |
| 제45조의3 |
CISO 지정 및 신고 의무 |
모든 정보통신서비스 제공자 대상 |
| 제45조의3 ③항 |
일정 규모 이상 CISO 겸직 금지 |
대통령령 기준 해당 시 |
| 제45조의3 ④항 |
CISO 업무 6가지 |
계획수립, 감사, 위험식별, 교육훈련 등 |
| 시행령 제36조의7 |
CISO 자격요건 4가지 |
석사0/학사3/전문5/무학위10 |
CISO가 겸할 수 있는 업무 (제45조의3 ④항 2호):
- 정보보호산업진흥법 → 정보보호 공시
- 정보통신기반보호법 → 정보보호책임자
- 전자금융거래법 → 정보보호최고책임자
- 개인정보 보호법 → 개인정보 보호책임자
ISMS 인증 관련
| 포인트 |
내용 |
| ISMS 인증 의무 대상 |
일정 규모 이상의 정보통신서비스 제공자만 |
| 오답 함정 |
"모든 정보통신서비스 제공자에게 의무" → ✕ |
주요정보통신기반시설 취약점 분석·평가 기준
| 항목 |
내용 |
| 근거 |
과학기술정보통신부 고시 제2021-28호 |
| 분석·평가 프로세스 |
4단계 (계획수립→대상선별→분석수행→평가수행) |
| 점검 분류 |
관리적 / 물리적 / 기술적 |
| 관리적 점검 |
문서 확인 + 담당자 면담 |
| 물리적 점검 |
통제구역 실사 |
| 기술적 점검 |
점검도구, 수동점검, 모의해킹 |
개인정보 보호법 관련 조문
샘플문제 해설에서 직접 언급된 조문입니다.
| 조문 |
내용 |
| 제26조 |
업무위탁에 따른 개인정보의 처리 제한 |
| 제28조 |
개인정보 취급자에 대한 감독 |
| 제29조 |
안전조치의무 |
| 제31조 ②항 |
개인정보 보호책임자 (CISO 겸직 가능) |
하위 고시·기준
| 명칭 |
관련 내용 |
| 개인정보의 안전성 확보조치 기준 제4조 |
내부관리계획 수립·시행 |
| 개인정보의 기술적·관리적 보호조치 기준 제3조 |
내부관리계획 수립·시행 |
📅 연도·개정 이력
| 연도 |
내용 |
| 2014.5.28 |
정보통신망법 CISO 관련 조항 개정 (신고 절차 신설) |
| 2017.7.26 |
정보통신망법 개정 |
| 2018.6.12 |
CISO 겸직 금지 조항, 자격요건 조항 신설 |
| 2021.6.8 |
CISO 업무 조항 개정 |
| 2021.12.7 |
시행령 제36조의7 개정 |
| 2022.4 |
ISMS-P 인증기준 안내서 발행 (출제의 핵심 근거) |
| 2022.8.9 |
시행령 개정 |
⚠️ ISMS-P 인증기준 안내서 2022년 4월판이 샘플문제 17/20문항의 출처입니다. 이 버전을 기준으로 학습하세요.
⚡ 시험 직전 최종 체크리스트
- [ ] CIA 3요소 (기밀성·무결성·가용성) — "경제성"은 ✕
- [ ] CISO 자격요건 석사0 / 학사3 / 전문5 / 무학위10
- [ ] ISMS 인증 의무 = 일정 규모 이상만 (모든 사업자 ✕)
- [ ] 자산 중요도 = 상중하 / 1~3등급 (최상 ✕, 4등급 ✕)
- [ ] 위험평가·교육 주기 = 연 1회 이상 정기적
- [ ] 제3자 위수탁 개인정보 = 반드시 포함
- [ ] 위험 처리 전략 = 감소·회피·전가·수용
- [ ] 정책 포함사항 = 경영진 의지, 역할책임, 대상범위, 활동근거 (예산 ✕)
- [ ] 개인정보 파기 담당 = 개인정보 취급부서 (인사부서 ✕)
- [ ] 교육 대상 외부자 = 인증범위 내 자산 접근자만 (모든 외주업체 ✕)
본 자료는 KCA 공개 샘플문제의 출제 경향을 분석·정리한 것이며, 원본 저작권은 KCA에 있습니다.