보안 관리 및 법규 파트의 특징
정보보안기사 ‘정보보안 관리 및 법규’ 파트는 암기형 문제 비중이 높습니다. ISMS-P 인증 기준, 개인정보보호법 주요 조문, ISO 27001 구조를 정확히 외워야 고득점이 가능합니다. 최신 법령 개정 사항도 자주 출제되므로 시험 전 업데이트된 내용 확인이 필수입니다.
【기출 토픽 1】 ISMS-P 인증 체계
기출 문제 예시: ISMS-P 인증의 의무 대상자에 해당하지 않는 것은?
- ① 연간 매출액 1,500억 원 이상인 의료기관
- ② 정보통신서비스 부문 매출액 100억 원 이상 기업
- ③ 전년도 말 직전 3개월의 일일 평균 이용자 수가 100만 명 이상인 기업
- ④ 5인 미만의 소규모 쇼핑몰 ✅
해설: ISMS-P 의무 대상은 ①정보통신서비스 부문 전년도 매출 100억 원 이상, ②3개월 일평균 이용자 100만 명 이상, ③상급종합병원, ④직전연도 말 기준 재학생 수 1만 명 이상 대학 등입니다. 소규모 사업자는 의무 대상이 아닙니다.
ISMS-P 인증 구조: 관리체계 수립·운영(16개) + 보호대책 요구사항(64개) + 개인정보 처리단계별 요구사항(22개) = 총 102개 인증 기준
【기출 토픽 2】 개인정보보호법 핵심 조문
기출 문제 예시: 개인정보보호법상 민감정보에 해당하지 않는 것은?
- ① 유전자 검사 결과
- ② 건강에 관한 정보
- ③ 범죄 경력 정보
- ④ 주민등록번호 ✅
해설: 주민등록번호는 ‘고유식별정보’로 분류됩니다(민감정보 아님). 민감정보는 사상·신념, 노동조합·정당 가입, 정치적 견해, 건강, 성생활, 유전자 정보, 범죄 경력, 생체 인식 정보 등입니다. 고유식별정보는 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호입니다.
【기출 토픽 3】 ISO/IEC 27001 구조
기출 문제 예시: ISO/IEC 27001의 PDCA 사이클에서 ‘Do(실행)’ 단계에 해당하는 활동은?
- ① 위험 평가 및 처리 계획 수립
- ② 정보보안 관리체계(ISMS) 구현 및 운영 ✅
- ③ 내부 감사 및 경영진 검토
- ④ 개선 조치 및 예방 조치
해설: ISO 27001의 PDCA: Plan(계획-ISMS 수립, 위험평가) → Do(실행-구현·운영) → Check(점검-모니터링, 내부감사) → Act(조치-개선, 예방). 현재 ISO 27001:2022는 PDCA 대신 부속서 SL 구조를 따르지만 개념은 동일합니다.
【기출 토픽 4】 정보보호 관련 주요 법령 체계
기출 문제 예시: 다음 중 침해사고 발생 시 한국인터넷진흥원(KISA)에 신고 의무가 있는 법령은?
- ① 정보보호산업의 진흥에 관한 법률
- ② 정보통신망 이용촉진 및 정보보호 등에 관한 법률 ✅
- ③ 국가정보화 기본법
- ④ 전자서명법
해설: 정보통신망법 제48조의3에 따라 침해사고가 발생한 경우 KISA 또는 과학기술정보통신부장관에게 신고해야 합니다. 개인정보 침해는 개인정보보호법에 따라 별도 신고 의무가 있습니다.
주요 법령 담당기관 정리:
- 정보통신망법 → 과학기술정보통신부, KISA
- 개인정보보호법 → 개인정보보호위원회
- 전자정부법 → 행정안전부
- 사이버보안기본법 → 국가정보원
보안 관리·법규 파트 최종 정리
법규 파트는 정확한 숫자와 명칭이 중요합니다. ISMS-P 의무 대상 기준(매출 100억, 이용자 100만), 민감정보와 고유식별정보의 구분, ISO 27001 PDCA 각 단계 활동, 법령별 담당 기관 등은 반드시 정확히 암기해야 합니다. 최신 법령 개정 내용도 시험 전 반드시 확인하세요.