Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 |
Tags
- 파일 시스템
- 모의해킹
- 디스크 스케줄링
- csts요약본
- csts기출문제
- 케이쉴드주니어
- 정보보안기사 실기
- 정보보안기사
- ISMS-P
- 정보보안기사 후기
- csts 일반등급 후기
- CSTS
- csts요약
- csts 일반등급
- csts출제기준
- k-shield
- csts범위
- 케이쉴드주니어 13기
- CPU 스케줄링
- 정보보안전문가
- csts일반등급
- 정보보호 취업
- 솔루션 개발
- k-shield 주니어 14기
- 케이쉴드주니어 14기
- csts 후기
- csts기출
- 정보보안 취업
- 보안솔루션 운영
- 정보보안 컨설팅
Archives
- Today
- Total
CyberRanger
[정보보안기사] ISMS-P 본문
1. 인증 항목
· ISMS(정보보호 관리체계) 인증 심사 항목: 관리체계 수립 및 운영, 보호대책 요구사항
· ISMS-P(정보보호 및 개인정보보호 관리체계) 인증 심사 항목: 관리체계 수립 및 운영, 보호대책 요구사항, 개인정보처리 단계별 요구사항
· ISMS-P 인증은 조직 내부 및 외부 위협 요소의 변화에 대응하여 지속적으로 유지 관리되는 순환 주기 모델을 가짐.
Security PDCA(Plan, Do, Check, Act)
1.1. 관리체계 수립 및 운영
| 분야 | 항목 | 상세 내용 |
| 관리체계 기반 마련 |
경영진의 참여 | · 의사결정 체계 수립 및 운영 |
| 최고책임자 지정 | · CISO는 임원급으로 지정 | |
| 조직 구성 | · 담당자, 관리자, 실무조직, 위원회 | |
| 범위 설정 | · 서비스 | |
| 정책 수립 | · 정책 및 시행문서를 수립 · 작성 | |
| 자원 할당 | · 예산 및 자원 | |
| 위험 관리 | [위험관리 용어] · 위험 : 위협이나 취약점을 이용하여 자산에 피해를 줄 가능성. · 위협 : 자산에 악영향을 줄 수 있는 사건 및 행위. · 취약점: 위협이 발생하기 위한 조건이나 상황. · 자산 : 조직이 보호해야 할 대상. |
|
| 정보자산 식별 | · 자산 그룹핑(유사 자산은 동일한 취약점을 가짐) · 자산 분류 · 중요도 산정(기밀성, 무결성, 가용성) |
|
| 현황 및 흐름 분석 | · 정보서비스 흐름도, 개인정보 흐름도 | |
| 위험 평가(분석) | · 상세 위험분석 · (상세 위험분석) 정성적 위험분석 - 전문가 감정: Delphi 회의로 빠르게 진행 가능. 전문가의 지식과 경험. - 기준선법: 체크리스트 활용. 시간, 비용 절약. 조직의 특성 고려 X. - 시나리오법: 알려지지 않은 위협에 대한 평가. · (상세 위험분석) 정량적 위험분석 - 연간손실액: 예상 연간 손실 = 1회 손실액 x 예상 빈도수 - 과거자료: 유사 추정의 원칙, 과거 데이터로 평가. - 수학적 기법: 미지의 사건을 정략적으로 분석 · 혼합에 의한 방법: 복합적 접근법 · 연 1회 이상. · 수용할 수 있는 위협(DoA)은 경영진의 승인 필요. |
|
| 보호대책 선정 | · 위험 수용: 위험 수준이 낮아 발생하면 대응. 비용 감수.(CISO 결재 필요) · 위험 감소: 위험 감소 대책 구현 · 위험 회피: 프로젝트나 사업 포기 · 위험 전가: 보험 가입, 제3자에게 이전. |
|
| 관리체계 운영 | 보호대책 구현 | 구현, 교육, 운영 |
| 보호대책 공유 | 관련 내용 공유 | |
| 운영현황 관리 | 현황 관리 | |
| 관리체계 점검 및 개선 | 법적 요구사항 준수 검토 |
· 매년 1회 이상 검토 |
| 관리체계 점검 | · 매년 1회 이상 점검 · 발견된 문제점을 경영진에게 보고 |
|
| 관리체계 개선 | 개선 | |
1.2. 보호대책 요구사항
| 분야 | 항목 | 상세 내용 |
| 정책, 조직, 자산 관 | 정책의 유지관리 | · 정책을 매년 검토하여 재 · 개정하고 그 내역을 이력관리 해야 함. |
| 조직의 유지관리 | · 정보보호, 개인정보보호 역할 및 책임 할당. · 각 활동을 평가할 수 있는 체계 운영. |
|
| 정보자산 관리 | · 취급 절차 및 보호대책 수립 · 이행. · 책임소재를 명확히 정의하여 관리. |
|
| 인적 보안 | 주요 직무자 지정 및 관리 | · 주요 직무자를 최소한으로 지정 (보안담당자, DBA, 네트워크, 서버, 개발자, 개인정보처리자) · 수탁업체 담당자도 포함. |
| 직무 분리 | ||
| 보안 서약 | ||
| 인식제고 및 교육훈련 | · 직무별 전문성 확보를 위해 매년 1회 차등 교육. 임원 - 3시간 일반 직원, CISO - 6시간 정보보호 기술담당자 - 9시간 정보보호 업무담당자 - 12시간 |
|
| 퇴직 및 직무 변경 관리 | ||
| 보안 위반 시 조치 | ||
| 외부자 보안 | 외부자 현황 관리 | · 외부 위탁 시 위험 파악 및 보호대책 마련. |
| 외부자 계약시 보안 | · 표준위수탁 계약서 -> 재위탁 금지, 관리감독, 파기, 손해 | |
| 외부자 보안 이행관리 | ||
| 외부자 계약 변경 및 만료 시 보안 | ||
| 물리보안 | 보호구역 지정 | · 통제구역: 특정한 담당자만 출입 · 제한구역: 인가된 사용자만 출입 · 접견구역 등 물리적 보호구역 지정 |
| 출입통제 | ||
| 정보시스템 보호 | · 통신 및 전력 케이블이 손상을 입지 않도록 물리적 환경 보호. | |
| 보호설비 운영 | ||
| 보호구역 내 작업 | · 작업 절차 이행 · 작업 기록 검토 |
|
| 반출입 기기 통제 | ||
| 업무환경 보안 | · 출력물 보안 | |
| 인증 및 권한관리 | 사용자 계정 관리 | |
| 사용자 식별 | ||
| 사용자 인증 | ||
| 비밀번호 관리 | ||
| 특수 계정 및 권한 관리 | · 관리자 | |
| 접근 권한 검토 | · 사용자 계정의 등록, 이용, 삭제, 접근 권한 부여 이력은 3년간 보관, 전자적 기록만 인정됨. · 매월 점검 |
|
| 접근 통제 | 네트워크 접근 | · 업무목적 및 중요도에 따른 네트워크 분리 (DMZ, 서버팜, DB존, 개발존 등) |
| 정보시스템 접근 | · 안전한 접근 수단으로 통제 | |
| 응용 프로그램 접근 | ||
| 데이터베이스 접근 | ||
| 무선 네트워크 접근 | ||
| 원격접근 통제 | · VPN 사용(2 Factor 인증) | |
| 인터넷 접속 통제 | · P2P, 웹하드, 메신저 등 비업무사이트 차단. · 망 분리: 개인정보 다운로드, 권한 변경이 가능한 PC는 인터넷 차단. |
|
| 암호화 적용 | 암호정책 적용 | |
| 암호키 관리 | ||
| 정보시스템 도입 및 개발 보안 | 보안 요구사항 정의 | |
| 보안 요구사항 검토 및 시험 | ||
| 시험과 운영 환경 분리 | ||
| 시험 데이터 보안 | ||
| 소스 프로그램 관리 | ||
| 운영환경 이관 | ||
| 시스템 및 서비스 운영관리 | 변경관리 | |
| 성능 및 장애 관리 | ||
| 백업 및 복구 관리 | ||
| 로그 및 접속 기록 관리 | · 일자, 시간 · ID · 접속지 정보(IP) · 행위(조회 / 수정 / 삭제) · 호출 Parameter |
|
| 로그 및 접속 기록 점검 | ||
| 시간 동기화 | ||
| 정보자산의 재사용 및 폐기 | ||
| 시스템 및 서비스 보안관리 | 보안시스템 운영 | |
| 클라우드 보안 | · Saas, PaaS, IaaS | |
| 공개서버 보안 | ||
| 전자거래 및 핀테크 보안 | · 전자문서 | |
| 정보전송 보안 | · 고유식별정보, 민감한 정보는 내부망으로. | |
| 업무용 단말기기 보안 | ||
| 보조저장매체 관리 | ||
| 패치관리 | ||
| 악성코드 통제 | ||
| 사고 예방 및 대응 | 사고 예방 및 대응체계 구축 | |
| 취약점 점검 및 조치 | ||
| 이상 행위 분석 및 모니터링 | ||
| 사고 대응 훈련 및 개선 | ||
| 사고 대응 및 복구 | ||
| 재해 복구 | 재해 · 재난 대비 안전조치 | |
| 재해 복구 시험 및 개선 |
1.3. 개인정보처리 단계별 요구사항
| 분야 | 항목 | 세부 내용 |
| 개인정보 수집 시 보호조치 | 개인정보의 수집 제한 | · 정보주체의 동의를 근거로 수집하는 경우에는 적법한 방법으로 동의를 받아야 함. · 만 14세 미만 아동의 개인정보 수집의 경우에는 법정대리인의 동의 필요. |
| 개인정보의 수집 동의 | · 선택적 동의 사항에 동의하지 않았다는 이유로 서비스 제공을 거부하지 않아야 함. | |
| 주민등록번호 처리 제한 | ||
| 민감정보 및 고유식별정보의 처리 제한 | ||
| 개인정보 간접 수집 | ||
| 영상정보처리기기 설치 · 운영 | · 고정형 영상정보처리기기를 공개된 장소에 설치 · 운영하거나, · 이동형 영상정보처리기기를 공개된 장소에서 업무를 목적으로 운영하는 경우 · 법적 요구사항 준수, 보호대첵 수립 · 이행. |
|
| 마케팅 목적 활용 시 조치 | · 2년마다 재동의 | |
| 개인정보 보유 및 이용 시 보호조치 | 개인정보 현황 관리 | |
| 개인정보 품질 보장 | ||
| 이용자 단말기 접근 보호 | ||
| 개인정보 목적 외 이용 및 제공 | ||
| 가명정보 처리 | · 목적 제한 준수, 결합제한, 안전조치, 금지의무 등 법적 요건 준수. · 적정 수준의 가명처리 보장. |
|
| 개인정보 제공 시 보호조치 | 개인정보 제3자 제공 | · 정보주체의 동의 필요 |
| 개인정보 처리 업무위탁 | ||
| 영업의 양수 등에 따른 개인정보의 이전 | ||
| 개인정보의 국외이전 | ||
| 개인정보 파기 시 보호조치 | 개인정보의 파기 | |
| 처리목적 달성 후 보유 시 조치 | ||
| 정보주체 권리보호 | 개인정보처리방침 공개 | · 정보주체가 알기 쉽도록 수립. |
| 정보주체 권리 보장 | ||
| 이용내역 통지 |
2. ISMS 의무 인증 대상
1. 정보통신망서비스(KT와 같은 ISP) 제공자
2. 집적정보통신시설(IDC) 사업자
3. 연 매출 100억 이상, 또는 이용자 수 100만명 이상의 정보통신서비스 사업자.
4. 연 매출 1500억 이상의 상급종합병원, 재학생 수 1만명 이상의 학교.
3. ISMS-P 심사 종류
| 종류 | 설명 |
| 최조 심사 | · 최초 인증 취득을 위한 심사 · 인증 기준, 법률/제도, 인증 범위 변경 시 최초 심사 필요. |
| 사후 심사 | · 연 1회 이상 관리체계를 지속 유지 중인지 심사. |
| 갱신 심사 | · 유효기간(3년) 만료 전, 유효기간 연장을 목적으로 하는 심사. |
4. ISMS-P 인증심사원
| 종류 | 설명 |
| 심사원(보) | 인증심사원 자격 신청 요건을 만족한 자로서, 한국인터넷진흥원의 인증심사원 양성 과정을 통과하여 자격을 취득한 자. |
| 심사원 | 심사원(보)가 인증심사에 4회 이상 참여, 심사일수의 합이 20일 이상인 자. |
| 선임심사원 | 심사원 자격 취득자로서 ISMS-P 인증심사를 3회 이상 참여, 심사일수의 합이 15일 이상인 자. |
* ISMS-P 인증심사원 자격 요건 (2024년 기준)
'정보보안기사 > 정보보안 관리 및 법규' 카테고리의 다른 글
| [정보보안기사] 개인정보 안전성 확보조치 기준 (0) | 2024.08.07 |
|---|---|
| [정보보안기사] 가명처리 (0) | 2024.08.07 |
| [정보보안기사] 개인정보보호법 일부 내용 (0) | 2024.08.07 |
| [정보보안기사] BCP(사업 연속성 계획), DRS(재해 복구 시스템) (0) | 2024.08.07 |