위험관리 부분은 보안기사 시험 단골이다.
단답형 및 서술형으로 변환하여 출제하기 아주 좋은 주제로 보이며,
알던 내용도 시험장에서는 혼동이 될 수 있는 내용이다.
위험관리, 위험평가, 위험분석은 기본이고, 이 후 BCP까지도 이어질 수 있는 부분이다.
학습해야하는 양이 많지만,
하지만, 이보다 쉽게 점수를 얻을 수 있는 주제도 없다.
내가 잘 알아서 이렇게 내용을 적는 것은 아니다.
빠른 자격증 취득에 1이라도 도움이 될까하여 이리 하는 것 뿐.
여튼 이 파트는 시험에 무조건 출제된다고 생각하고 준비 해야 한다.
만약, 오늘 안나왔다면 그 다음 회차에는 무조건 나온다.
1. 위험관리 단답형 예제
1.1 위험관리 개념에 대한 단어 넣기
|
정보나 정보처리 기기에 대한 위협의 종류, 위협의 영향, 위협의 발생가능성 등을 평가하는 과정을 ( A )라고 한다.
이 과정의 결과를 통해 정보보호의 위협을 인식하고, 적절한 비용 이내에서 필요한 통제 방안을 선택함으로써 위협을 적절히 통제하는 과정을 ( B ) 라고 한다. 또한 선택된 통제의 목적과 통제방안이 무엇인지, 그리고 선택한 이유 등을 문서로 정리한 것은 ( C )라고 하며, 여기에는 선택된 통제방안들을 누가, 언제, 어디서, 무엇에게, 어떻게 적용할 것인지를 언급하게 된다. |
|
(A) : 조직이 보호해야 할 대상으로서 정보, 하드웨어, 소프트웨어, 시설 등을 말하며 관련 인력, 기업 이미지 등의 무형자산을 포함
(B) : 자산에 손신을 초래할 수 있는 원치않는 사건의 잠재적 원인(Source)이나 행위자(Agent) (C) : 자산의 잠재적 속성 혹은 환경이 위협의 이용 대상으로 관리적, 물리적, 기술적 약점 |
1.2 위험분석 방법에 대한 확인
|
( A ) : 모든 시스템에 대하여 표준화는 보안대책의 세트를 체크리스트 형태로 제공한다.
( B ) : 구조적인 방법론에 기반하지 않고 경험자의 지식을 사용하여 위험분석을 수행하는 것이다. ( C ) : 잘 정립된 모델에 기초하여 자산분석, 위협분석, 취약성분석 각 단계를 수행하여 위험을 평가하는 것이다. ( D ) : 위 세 가지 방법을 혼합하여 접근하는 방식을 말한다. |
1.3 위험처리 방법/전략
|
1 사업의 목적을 달성하기 위하여 위험을 낮추는 것을 의미한다.
2 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기한다. 3 보험이나 외주 등으로 잠재적 위험은 제3자에게 이전하거나 할당하는 것을 말한다. |
1.4 그림-(빈 칸) 알맞은 답 넣기
- 아래 그림이 시험으로 출제되었던 것을 두 번인가 세 번인가를 본 적이 있다.
- 별 것 아닌 그림인데 시험장에서 생각나지 않는 단어들이 되겠다.
- 다음에 포스팅을 하겠지만 이 그림에 나온 단어 위치와 내용을 모두 알아야 한다.
2. 위험관리 서술형 예제
- 서술형은 정말 무한한 변형이다.
- 단순 개념을 물을 때도 있지만, 실무에 조금 더 가까이 붙여서 질문을 던지거나, 계산을 하는 경우도 있다.
(경험에 의하면, 계산은 좀 드물지 않았나 싶다. 이제는 시험지에 필기도 안되는 것 같아 계속 문제가 나올지 모르지만..)
2.1 단순 서술
|
위험분석모델 중 복합적 모델 접근방법의 장단점을 기술
|
2.2. 개념에 대한 상세 설명
| 1) 위험수용의 의미는? 2) 위험감소를 위한 보안 대책 선정시, 특정 보안대책의 평가기준을 결정하는 정량적인 방법은? 3) 위험회피시 위험이 있는 프로세스나 사업은 어떻게 대처하는가? 4) 위험전가를 위한 2가지 방법은? |
2.3 실무 응용형
- 어떤 표나 그림을 주고 질의를 하는 방식
- 실제 실무를 경험하였을 경우 굉장히 쉽게 풀어나갈 수 있는 방식이겠다. 실무 경험을 답에 잘 섞으면 좋다.
| 1) 자산 중요도 평가의 목적은? 2) 표내 우려사항이란 무엇인가? 3) 표내 가능성이란 무엇인가? 4) 자산 평가 테이블을 보고, 응시자 입장에서 나름대로 위험분석기법을 적용하여 위험분석을 수행하시오. |
2.4 계산형
- 이 형식은 뻔하다. ALE 관련 개념을 이해하면 된다.
크게 이런 형태로 위험관리 부분의 기출 형태가 아닐까 싶다.
기출 형태만 봐도 아 이정도구나 감이 잡힐 것이다.
따라서, 핵심 주제를 반드시 암기하고 가야한다.
암기해야할 내용은 다음 포스트에 이어가겠다.
'===취미 세상 : 공부=== > 정보보안기사' 카테고리의 다른 글
| 정보보안기사 - 리눅스/유닉스 파트 암기 사항(2) (0) | 2022.12.22 |
|---|---|
| 정보보안기사 - 리눅스/유닉스 파트 암기 사항(1) (1) | 2022.12.21 |
| 정보보안기사 - 위험관리(Risk Management) 파트 암기 사항 (0) | 2022.12.17 |
| 정보보안기사 실기 합격 까지..후기랄까? (2022년 1회 합격) (0) | 2022.12.11 |