1과목 「정보보호 위험관리 계획」의 3개 소단원을 샘플문제 출제 범위 기준으로 압축 정리했습니다. 각 개념 옆의
⭐ 표시는 샘플문제 출제 빈도입니다. ⭐⭐ = 2회 이상 출제된 핵심 개념.
1단원: 정보보호 관리의 이해 (6문항 / 30%)
1-1. 정보보호의 목적 ⭐
정보통신망법이 정의하는 정보보호의 3대 목적:
| 요소 | 영문 | 의미 |
| 기밀성 | Confidentiality | 인가된 자만 정보에 접근 |
| 무결성 | Integrity | 정보가 비인가 변경 없이 정확·완전 |
| 가용성 | Availability | 필요할 때 정보에 접근·사용 가능 |
핵심: 경제성, 효율성, 편의성 등은 정보보호의 직접적 목적이 아닙니다.
1-2. 정보통신서비스 제공자의 보호 조치 ⭐
모든 사업자 공통 의무:
- 개인정보 암호화 저장
- CISO 지정
- 정보보호 교육 정기적 실시
조건부 의무 (일정 규모 이상):
- ISMS 인증
구분 기준: "모든 사업자에게 의무"라고 단정하는 보기는 ISMS 인증에 한해 오답입니다.
1-3. 정보자산 관리 ⭐⭐
ISMS-P 인증기준 안내서 pp.24, 55-56 기반의 핵심 내용입니다.
자산 식별 원칙:
- 관리체계 범위 내 모든 유·무형 자산 식별
- 제3자 위수탁 개인정보 포함 (절대 제외 ✕)
- 자산별 책임자·관리자 지정 → 자산목록 기록
- 도입·변경·폐기·인사이동 시 목록 갱신
- 정기적 현황 조사로 최신 유지
보안등급 체계:
- 법적 요구사항 + 업무 영향 → 중요도 결정 → 등급 부여
- 등급 식별 방법: 문서 = 표지/워터마킹, 하드웨어 = 자산번호/바코드
- 등급에 따라 취급절차(생성·저장·이용·파기) + 보안통제 기준 수립
핵심: "등급과 별개로 취급절차를 수립"이라는 보기는 오답입니다. 등급에 따라 수립합니다.
1-4. 위험평가 고려사항 ⭐
위험평가 방법 정의 시 고려해야 할 4가지 축:
- 조직의 특성: 비전, 미션, 비즈니스 목표, 서비스 유형, 컴플라이언스
- 위험평가 방법 선정: 베이스라인 접근법, 상세위험 분석법, 복합 접근법, 위협·시나리오 기반
- 다양한 관점: 해킹, 내부자 유출, 외부자 관리 소홀, 법규 위반
- 최신 위협동향
핵심: "정보시스템 이용자수"는 위험평가의 직접적 고려사항이 아닙니다.
방법론은 자체적으로 정할 수 있으나, 과정은 합리적이어야 하고 결과는 실질적 위험의 심각성을 대변해야 합니다.
1-5. 주요정보통신기반시설 취약점 분석·평가 ⭐
과기정통부 고시 제2021-28호 기반 4단계 프로세스:
1단계 — 계획 수립: 수행주체(자체/외부위탁), 수행절차, 소요예산, 산출물 포함
2단계 — 대상 선별: 자산 식별 → 유형별(네트워크, 보안, 시스템) 그룹화 → 대상 목록 작성 → 자산별 중요도 산정 (상·중·하 또는 1~3등급)
3단계 — 분석 수행: 관리적(문서+면담) / 물리적(실사) / 기술적(도구+수동+모의해킹) 점검
4단계 — 평가 수행: 취약점별 위험등급(상·중·하) 표시 + 개선방향 수립, 100점 만점 정량 점수 산출 가능
2단원: 정보보호 위험관리 거버넌스 (5문항 / 25%)
2-1. CISO 자격요건 ⭐
정보통신망법 시행령 제36조의7 — 4가지 자격 경로:
| # | 학력 | 경력 |
| 1호 | 석사 이상 (정보보호/IT, 국내외) | 불요 |
| 2호 | 학사 (정보보호/IT, 국내외) | 3년 이상 |
| 3호 | 전문학사 (정보보호/IT, 국내외) | 5년 이상 |
| 4호 | 학위 없음 | 10년 이상 |
추가 사항:
- 학위 취득 전 경력도 포함 가능
- CISO는 예산·인력 등 자원 할당이 가능한 임원급으로 지정
- 일정 규모 이상 사업자의 CISO는 다른 업무 겸직 불가
2-2. 정보자산 식별 시 제3자 개인정보 ⭐⭐
1단원과 2단원에서 반복 출제된 핵심 포인트:
- 위수탁 관계로 제공받은 개인정보 → 반드시 자산 식별에 포함
- "당사의 개인정보가 아니므로 제외" → 항상 오답
2-3. 경영진의 관리체계 운영 효과성 평가 ⭐
경영진이 관리체계 운영활동의 효과성을 평가 후 취할 수 있는 개선 조치:
- 수행 주체 변경
- 수행 주기 조정
- 운영활동의 추가·변경·삭제
핵심: "수행 장비 변경"은 경영진 의사결정 사항이 아닌 실무 영역입니다.
2-4. 위험 처리 전략 ⭐
4가지 전략의 정의와 사례 매칭:
위험 감소 — 통제 수단을 적용해 위험 수준을 낮춤 → 패스워드 복잡도 강화, 암호화 적용, 접근통제 설정 등
위험 회피 — 위험을 유발하는 활동 자체를 중단·제거 → 회원가입 기능 폐지 + 기존 데이터 파기
위험 전가 — 위험의 재정적 결과를 제3자에게 이전 → 배상책임보험 가입, 외부 위탁 등
위험 수용 — 잔여위험이 수용 가능 수준이라고 경영진이 판단 → DoA(Degree of Assurance) 이하의 위험을 명시적으로 수용
주의: 위수탁 시 법적 의무(문서 체결 등)를 생략하는 것은 위험 감소가 아닙니다.
2-5. CISO의 승인 업무 vs. 실무 업무 ⭐
| 구분 | 업무 |
| CISO/경영진 승인 | 위험 식별·평가 예산 계획, 목표 위험수준(DoA) 결정 |
| 실무진 수행 | 위험도 산정기준 마련, 평가 결과 보고서 작성 |
위험관리계획(수행인력, 기간, 대상, 방법, 예산)을 수립하고 CISO 등 경영진의 승인을 받는 구조입니다.
3단원: 정보보호 관리체계 수립 (9문항 / 45%)
3-1. 교육훈련 ⭐⭐
ISMS-P 인증기준 2.2.4 "인식제고 및 교육훈련" — 샘플에서 2문항 출제.
교육 계획 필수 포함 사항:
- 시기, 기간, 대상, 내용, 방법
- 경영진 승인 필수
교육 대상 범위:
- 관리체계 범위 내 모든 임직원
- 인증범위 내 정보자산·설비에 접근하는 외부자 (전체 외주업체 ✕)
교육 주기:
- 연 1회 이상 정기적 (비정기적 ✕)
- 법규·규정의 중대한 변경 시 추가교육
- 채용·신규 계약 시 업무 시작 전 교육
직무별 교육:
- IT/정보보호/개인정보보호 조직은 전문성 제고를 위한 별도 교육
교육 관리:
- 기록 유지 (교육자료, 출석부, 평가 설문지, 결과보고서)
- 미이수자 파악 + 추가교육 방법 수립·이행
- 효과성 평가 → 다음 계획에 반영
3-2. 정보보호 정책 수립 ⭐⭐
최상위 정책 필수 포함 4가지:
- 경영진의 의지 및 방향
- 정보보호를 위한 역할과 책임
- 정보보호 대상과 범위
- 정보보호 활동의 근거
핵심: "예산 수준"은 정책서가 아닌 관리계획에서 다루는 사항입니다.
하위 문서 체계:
- 정책(최상위) → 지침 → 절차 → 매뉴얼·가이드 (조직 특성에 맞게 구성)
3-3. 정책 수립 절차 ⭐
이해관계자 협의·검토 → 영향도·법적 준거성 검토 → 검토 기록 반영 → 경영진 보고 및 승인 → 전사 공포·최신본 유지
3-4. 정책 관리 — 결함사례 ⭐
올바른 관리: 법령 개정 반영 → 경영진 승인 → 임직원 공유
결함 패턴 3가지:
- 위원회 의결 없이 CISO 승인만으로 개정
- 개정 후 관련 부서에 미공유 → 구버전으로 업무 수행
- 정보보호부서만 관리, 임직원 열람 수단 미제공
3-5. 보호대책 운영 부서별 역할 ⭐
| 부서 | 담당 업무 |
| 인프라 운영부서 | 서버·네트워크 보안설정, 인프라 운영자 계정·권한관리 |
| 개발 부서 | 개발보안, 소스코드보안, 개발환경 접근 |
| 정보보호 운영부서 | 접근통제 장비 운영, 보안 모니터링 |
| 개인정보 취급부서 | 취급자 권한관리, 개인정보 파기, PC 저장 시 암호화 |
| 인사부서 | 퇴직자 보안관리 |
핵심 함정: 개인정보 파기는 인사부서가 아니라 개인정보 취급부서 소관입니다.
3-6. 정보보호 위원회 ⭐
위원회 구성:
- 경영진, 임원, CISO, 개인정보 보호책임자 등 실질적 의사결정 권한 보유자
- 정기 + 사안에 따라 수시 개최
위원회 의사결정 사항:
- 정보보호 및 개인정보보호 예산·자원 할당
- 내부 보안사고·주요 위반사항 조치
- 개인정보 유출·오남용 방지 내부통제시스템 구축
핵심: "내부 감사결과 및 위험평가 결과에 대한 보안대책 수립"은 실무 영역이지, 위원회 의사결정 사항이 아닙니다.
3-7. 조직 구성 ⭐
3층 구조:
| 계층 | 역할 |
| 위원회 | 조직 전반 주요 사안의 검토·승인·의사결정 |
| 실무 협의체 | 실무 차원에서 공유·조정·검토·개선 |
| 실무 조직 | 전담 또는 겸임 (겸임 시에도 역할·책임 공식 부여) |
핵심: 실무 협의체에서 실무 차원의 공유·조정·검토를 수행하는 것은 정상입니다. "실무 차원에서 검토하면 안 된다"는 보기는 오답.
경영진 지원이 필요한 사안은 실무 협의체 → 위원회로 상정합니다.
3-8. 결함사례 유형 분류 ⭐
샘플문제에서 결함사례가 어느 인증기준 항목에 해당하는지 매칭하는 문제가 출제되었습니다.
| 결함사례 | 해당 항목 |
| 위원회 개최했으나 주요 사항 의사결정 미수행 | 조직 구성 |
| 정책 개정 후 임직원 미공유, 구버전으로 업무 | 정책 수립 |
소단원별 학습 우선순위
| 우선순위 | 단원 | 이유 |
| 🥇 1순위 | 3단원 (관리체계 수립) | 비중 45%, 교육훈련·정책 반복 출제 |
| 🥈 2순위 | 1단원 (관리의 이해) | 법령+자산관리 기초, 다른 과목과 연결 |
| 🥉 3순위 | 2단원 (거버넌스) | CISO 자격요건 숫자, 위험처리 전략 |
본 자료는 KCA 공개 샘플문제의 출제 경향을 분석·정리한 것이며, 원본 저작권은 KCA에 있습니다.
'자격증 > 정보호호위험관리사(ISRM)' 카테고리의 다른 글
| ISRM 2과목 핵심요약북 (0) | 2026.05.18 |
|---|---|
| ISRM 2과목 숫자·법령·공식 암기북 (0) | 2026.05.18 |
| ISRM 2과목 「정보보호 위험평가」 샘플문제 분석 및 정리 (0) | 2026.05.18 |
| ISRM 1과목 숫자·법령·연도 암기북 (0) | 2026.05.18 |
| ISRM 1과목 「정보보호 위험관리 계획」 샘플문제 분석 및 정리 (0) | 2026.05.18 |