정보보안기사 - 위험관리(Risk Management) 파트 출제 형식

위험관리 부분은 보안기사 시험 단골이다.

단답형 및 서술형으로 변환하여 출제하기 아주 좋은 주제로 보이며,

알던 내용도 시험장에서는 혼동이 될 수 있는 내용이다.

위험관리, 위험평가, 위험분석은 기본이고, 이 후 BCP까지도 이어질 수 있는 부분이다.

학습해야하는 양이 많지만,

하지만, 이보다 쉽게 점수를 얻을 수 있는 주제도 없다.

내가 잘 알아서 이렇게 내용을 적는 것은 아니다.

빠른 자격증 취득에 1이라도 도움이 될까하여 이리 하는 것 뿐.

여튼 이 파트는 시험에 무조건 출제된다고 생각하고 준비 해야 한다.

만약, 오늘 안나왔다면 그 다음 회차에는 무조건 나온다.

---

1. 위험관리 단답형 예제

 1.1 위험관리 개념에 대한 단어 넣기

정보나 정보처리 기기에 대한 위협의 종류, 위협의 영향, 위협의 발생가능성 등을 평가하는 과정을 ( A )라고 한다. 이 과정의 결과를 통해 정보보호의 위협을 인식하고, 적절한 비용 이내에서 필요한 통제 방안을 선택함으로써 위협을 적절히 통제하는 과정을 ( B ) 라고 한다. 또한 선택된 통제의 목적과 통제방안이 무엇인지, 그리고 선택한 이유 등을 문서로 정리한 것은 ( C )라고 하며, 여기에는 선택된 통제방안들을 누가, 언제, 어디서, 무엇에게, 어떻게 적용할 것인지를 언급하게 된다.

 

(A) : 조직이 보호해야 할 대상으로서 정보, 하드웨어, 소프트웨어, 시설 등을 말하며 관련 인력, 기업 이미지 등의 무형자산을 포함 (B) : 자산에 손신을 초래할 수 있는 원치않는 사건의 잠재적 원인(Source)이나 행위자(Agent) (C) : 자산의 잠재적 속성 혹은 환경이 위협의 이용 대상으로 관리적, 물리적, 기술적 약점

 

1.2 위험분석 방법에 대한 확인

( A ) : 모든 시스템에 대하여 표준화는 보안대책의 세트를 체크리스트 형태로 제공한다. ( B ) : 구조적인 방법론에 기반하지 않고 경험자의 지식을 사용하여 위험분석을 수행하는 것이다. ( C ) : 잘 정립된 모델에 기초하여 자산분석, 위협분석, 취약성분석 각 단계를 수행하여 위험을 평가하는 것이다. ( D ) : 위 세 가지 방법을 혼합하여 접근하는 방식을 말한다.

 

1.3 위험처리 방법/전략

1 사업의 목적을 달성하기 위하여 위험을 낮추는 것을 의미한다. 2 위험이 존재하는 프로세스나 사업을 수행하지 않고 포기한다. 3 보험이나 외주 등으로 잠재적 위험은 제3자에게 이전하거나 할당하는 것을 말한다.

 

1.4 그림-(빈 칸) 알맞은 답 넣기

- 아래 그림이 시험으로 출제되었던 것을 두 번인가 세 번인가를 본 적이 있다.

위험 구성 요소

- 별 것 아닌 그림인데 시험장에서 생각나지 않는 단어들이 되겠다.

- 다음에 포스팅을 하겠지만 이 그림에 나온 단어 위치와 내용을 모두 알아야 한다.

728x90

2. 위험관리 서술형 예제

- 서술형은 정말 무한한 변형이다.

- 단순 개념을 물을 때도 있지만, 실무에 조금 더 가까이 붙여서 질문을 던지거나, 계산을 하는 경우도 있다.

(경험에 의하면, 계산은 좀 드물지 않았나 싶다. 이제는 시험지에 필기도 안되는 것 같아 계속 문제가 나올지 모르지만..)

2.1 단순 서술

위험분석모델 중 복합적 모델 접근방법의 장단점을 기술

2.2. 개념에 대한 상세 설명

1) 위험수용의 의미는? 2) 위험감소를 위한 보안 대책 선정시, 특정 보안대책의 평가기준을 결정하는 정량적인 방법은? 3) 위험회피시 위험이 있는 프로세스나 사업은 어떻게 대처하는가? 4) 위험전가를 위한 2가지 방법은?

2.3 실무 응용형

 - 어떤 표나 그림을 주고 질의를 하는 방식

 - 실제 실무를 경험하였을 경우 굉장히 쉽게 풀어나갈 수 있는 방식이겠다. 실무 경험을 답에 잘 섞으면 좋다.

1) 자산 중요도 평가의 목적은? 2) 표내 우려사항이란 무엇인가? 3) 표내 가능성이란 무엇인가? 4) 자산 평가 테이블을 보고, 응시자 입장에서 나름대로 위험분석기법을 적용하여 위험분석을 수행하시오.

2.4 계산형

 - 이 형식은 뻔하다. ALE 관련 개념을 이해하면 된다.

---

크게 이런 형태로 위험관리 부분의 기출 형태가 아닐까 싶다.

기출 형태만 봐도 아 이정도구나 감이 잡힐 것이다.

따라서, 핵심 주제를 반드시 암기하고 가야한다.

암기해야할 내용은 다음 포스트에 이어가겠다.