최신판 |
당신의 편집 |
219번째 줄: |
219번째 줄: |
| **다만 불필요한 방화벽 정책이 삭제되지 않고 남아 있으므로 2.10.1. 보안시스템 운영 결함으로 볼 수 있다. | | **다만 불필요한 방화벽 정책이 삭제되지 않고 남아 있으므로 2.10.1. 보안시스템 운영 결함으로 볼 수 있다. |
| **'''답) [[ISMS-P 인증 기준 2.10.1.보안시스템 운영|2.10.1.보안시스템 운영]]''' | | **'''답) [[ISMS-P 인증 기준 2.10.1.보안시스템 운영|2.10.1.보안시스템 운영]]''' |
| | |
| | <br /><blockquote>'''내부 지침에선 적절한 비밀번호 정책을 제시하고 있으나 실제 운영시스템의 비밀번호 설정 규칙은 취약하게 들어가 있는 경우''' |
| | |
| | *ex) 지침에선 영문+숫자 10자 이상으로 설정토록 하였으나, OOO 시스템의 비밀번호 설정 규칙을 검증하는 로직에는 영문+숫자로 8자리 이상으로 설정토록 하고 있는 경우 |
| | </blockquote> |
| | |
| | *'''(참고)''' 관련 인증 기준 |
| | **[[ISMS-P 인증 기준 2.5.4.비밀번호 관리|2.5.4.비밀번호 관리]] |
| | **[[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험|2.8.2.보안 요구사항 검토 및 시험]] |
| | *'''(정답 및 판단근거)''' |
| | **논란이 있을 수 있다. 실제로 지침과 다른 비밀번호를 사용하고 있는 것이 확인되는 경우 2.5.4. 비밀번호 관리 결함(비밀번호 관리 규칙 수립·이행에서 '이행')으로 볼 수도 있다. |
| | **하지만 실제 비밀번호가 아니라 비밀번호 설정 규칙의 불일치라면 이는 2.8.2에 걸릴 가능성이 더 높다. 특히 비밀번호 뿐만 아니라 여러가지 실무적인 사항들이 지침과 다르게 적용된 것들이 무더기로 보인다면 이는 답이 2.8.2일 확률이 매우 높다. |
| | **참고로 지침에 비밀번호 정책이 적절하게 있다는 것을 보여주지 않고, 단순히 패스워드 규칙만이 증적으로 제시된 상황이라면 2.5.4가 답이다. |
| | **'''답) [[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험|2.8.2.보안 요구사항 검토 및 시험]]''' |
| <blockquote>'''시스템 유지보수 등 부수적인 업무를 담당하는 계열사 직원들의 계정이, 직원이 퇴사한 이후에도 삭제되지 않고 그대로 존재하고 있는 경우'''</blockquote> | | <blockquote>'''시스템 유지보수 등 부수적인 업무를 담당하는 계열사 직원들의 계정이, 직원이 퇴사한 이후에도 삭제되지 않고 그대로 존재하고 있는 경우'''</blockquote> |
|
| |
|
258번째 줄: |
272번째 줄: |
| **백업 및 복구관리 결함이라고 하기엔 백업 및 복구 자체만을 기준으로 보기엔 결함의 근거가 없다. 또한 재해 복구 계획이 백업 및 복구관리 기준보다 더 상위 정책·지침이라고 볼 수 없으므로 주1회 백업이 잘못되었다고 판단할 수 없다. | | **백업 및 복구관리 결함이라고 하기엔 백업 및 복구 자체만을 기준으로 보기엔 결함의 근거가 없다. 또한 재해 복구 계획이 백업 및 복구관리 기준보다 더 상위 정책·지침이라고 볼 수 없으므로 주1회 백업이 잘못되었다고 판단할 수 없다. |
| **'''답) [[ISMS-P 인증 기준 2.12.1.재해, 재난 대비 안전조치|2.12.1.재해, 재난 대비 안전조치]]''' | | **'''답) [[ISMS-P 인증 기준 2.12.1.재해, 재난 대비 안전조치|2.12.1.재해, 재난 대비 안전조치]]''' |
| <blockquote>'''백업 대상과 방법을 정의한 지침에서 백업 주기는 주1회로 되어 있는 시스템이, 재해 복구계획에선 RPO가 3일로 설정된 경우'''</blockquote>
| |
|
| |
| *'''(참고)''' 관련 인증 기준
| |
| **[[ISMS-P 인증 기준 2.1.1.정책의 유지관리|2.1.1.정책의 유지관리]]
| |
| **[[ISMS-P 인증 기준 2.9.3.백업 및 복구관리|2.9.3.백업 및 복구관리]]
| |
| **[[ISMS-P 인증 기준 2.12.1.재해, 재난 대비 안전조치|2.12.1.재해, 재난 대비 안전조치]]
| |
| *'''(정답 및 판단근거)'''
| |
| **논란이 있을 순 있으나, 정책의 유지관리 결함이라고 하기엔 시스템별 백업 주기나 RPO는 실무적인 수치로, 정책이나 지침의 레벨이라고 보기 어렵다.
| |
| **백업 및 복구관리 결함이라고 하기엔 백업 및 복구 자체만을 기준으로 보기엔 결함의 근거가 없다. 또한 재해 복구 계획이 백업 및 복구관리 기준보다 더 상위 정책·지침이라고 볼 수 없으므로 주1회 백업이 잘못되었다고 판단할 수 없다.
| |
| **'''답) [[ISMS-P 인증 기준 2.12.1.재해, 재난 대비 안전조치|2.12.1.재해, 재난 대비 안전조치]]'''
| |
|
| |
|
| |
| <br /><blockquote>'''내부 지침에선 적절한 비밀번호 정책을 제시하고 있으나 실제 운영시스템의 비밀번호 설정 규칙은 취약하게 들어가 있는 경우'''
| |
|
| |
| *ex) 지침에선 영문+숫자 10자 이상으로 설정토록 하였으나, OOO 시스템의 비밀번호 설정 규칙을 검증하는 로직에는 영문+숫자로 8자리 이상으로 설정토록 하고 있는 경우
| |
| </blockquote>
| |
|
| |
| *'''(참고)''' 관련 인증 기준
| |
| **[[ISMS-P 인증 기준 2.5.4.비밀번호 관리|2.5.4.비밀번호 관리]]
| |
| **[[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험|2.8.2.보안 요구사항 검토 및 시험]]
| |
| *'''(정답 및 판단근거)'''
| |
| **논란이 있을 수 있다. 실제로 지침과 다른 비밀번호를 사용하고 있는 것이 확인되는 경우 2.5.4. 비밀번호 관리 결함(비밀번호 관리 규칙 수립·이행에서 '이행')으로 볼 수도 있다.
| |
| **하지만 실제 비밀번호가 아니라 비밀번호 설정 규칙의 불일치라면 이는 2.8.2에 걸릴 가능성이 더 높다. 특히 비밀번호 뿐만 아니라 여러가지 실무적인 사항들이 지침과 다르게 적용된 것들이 무더기로 보인다면 이는 답이 2.8.2일 확률이 매우 높다.
| |
| **참고로 지침에 비밀번호 정책이 적절하게 있다는 것을 보여주지 않고, 단순히 패스워드 규칙만이 증적으로 제시된 상황이라면 2.5.4가 답이다.
| |
| **'''답) [[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험|2.8.2.보안 요구사항 검토 및 시험]]'''
| |
| <blockquote>'''내부 지침에선 적절한 비밀번호 정책을 제시하고 있으나 실제 운영시스템의 비밀번호 설정 규칙은 취약하게 들어가 있는 경우'''
| |
|
| |
| *ex) 지침에선 영문+숫자 10자 이상으로 설정토록 하였으나, OOO 시스템의 비밀번호 설정 규칙을 검증하는 로직에는 영문+숫자로 8자리 이상으로 설정토록 하고 있는 경우
| |
| </blockquote>
| |
|
| |
| *'''(참고)''' 관련 인증 기준
| |
| **[[ISMS-P 인증 기준 2.5.4.비밀번호 관리|2.5.4.비밀번호 관리]]
| |
| **[[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험|2.8.2.보안 요구사항 검토 및 시험]]
| |
| *'''(정답 및 판단근거)'''
| |
| **논란이 있을 수 있다. 실제로 지침과 다른 비밀번호를 사용하고 있는 것이 확인되는 경우 2.5.4. 비밀번호 관리 결함(비밀번호 관리 규칙 수립·이행에서 '이행')으로 볼 수도 있다.
| |
| **하지만 실제 비밀번호가 아니라 비밀번호 설정 규칙의 불일치라면 이는 2.8.2에 걸릴 가능성이 더 높다. 특히 비밀번호 뿐만 아니라 여러가지 실무적인 사항들이 지침과 다르게 적용된 것들이 무더기로 보인다면 이는 답이 2.8.2일 확률이 매우 높다.
| |
| **참고로 지침에 비밀번호 정책이 적절하게 있다는 것을 보여주지 않고, 단순히 패스워드 규칙만이 증적으로 제시된 상황이라면 2.5.4가 답이다.
| |
| **'''답) [[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험|2.8.2.보안 요구사항 검토 및 시험]]'''
| |
| <blockquote>'''법적으로 잘못된 내용이 사고 대응지침에 들어가 있는 경우'''</blockquote>
| |
|
| |
| *'''(참고)''' 관련 인증 기준
| |
| **[[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토|1.4.1.법적 요구사항 준수 검토]]
| |
| **[[ISMS-P 인증 기준 2.1.1.정책의 유지관리|2.1.1.정책의 유지관리]]
| |
| **[[ISMS-P 인증 기준 2.11.1.사고 예방 및 대응체계 구축|2.11.1.사고 예방 및 대응체계 구축]]
| |
| *'''(판단근거)'''
| |
| **논란이 있을 수 있다. 모두가 답이 될 수 있으며, 실제로 위 관련 인증기준들이 모두 보기로 나오려면 이에 대한 인과관계나 처리 과정들이 기술된 증적이 있어야 한다. 제정될 때 부터 잘못되었는지, 법이 개정되었는데 업데이트가 안 된건지, 아니면 시고 대응지침만 날림으로 작성된 것인지 봐야 한다.
| |
| **하지만 문제에서 그러한 히스토리를 찾을 수 없고 문제에 저 셋 중 하나가 나온다면 그걸 답으로 선택할 수 있다. 이렇게 답이 여러 개가 될 수 있는 문제들은 대부분 논란의 소지가 될 수 있는 다른 보기를 없앤다. 그렇기 때문에 "법적으로 위배된 내용이 있네? 이거 저번에 개정된 내용인데" 라는 배경지식만으로 1.4.1이나 2.1.1일 것이라고 단정짓고 답안지에 2.11.1이 있어도 무시하는 일은 없어야 한다. 셋중에 하나는 분명히 결함이라고 인지할 수 있어야 하며, 셋중에 하나만 보기에서 제시가 되었다면 답으로 선택하면 된다.
| |
| **그러한 히스토리가 나오지 않는데 위의 보기가 여러 개가 나온다면 출제오류라고 주장할 수 있다.<ref>하지만 이의제기를 받아주지 않는 것이 현실</ref>
| |
| == 같이 보기 == | | == 같이 보기 == |
|
| |
|