본문 바로가기

(개인)정보보호/최신ICT 정보 공유 블로그

(부제) 나는 CISO 이다/ISMS-P 인증심사186

(ISMS-P) 1.1.1. 경영진의 참여 (항목) 1.1.1. 경영진의 참여 (내용) 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다. 2021. 10. 11.

(ISMS-P) 정보보호 및 개인정보 관리체계 인증기준 현황 1. ISMS-P 개념도 2. ISMS-P 구성요소 영역 기준 통제항목 관리체계 수립 및 운영 16개 1.1 관리체계 기반 마련 1.2 위험관리 1.3 관리체계 운영 1.4 관리체계 점검 및 개선 보호대책 요구사항 64개 2.1 정책, 조직, 자산관리 2.2 인적보안 2.3 외부자 보안 2.4 물리보안 2.5 인증 및 권한 관리 2.6 접근통제 2.7 암호화 적용 2.8 정보시스템 도입 및 개발보안 2.9 시스템 및 서비스 운영관리 2.10 시스템 및 서비스 보안관리 2.11 사고 예방 및 대응 2.12 재해복구 개인정보 처리단계별 요구사항 22개 3.1 개인정보 수집 시 보호조치 3.2 개인정보 보유 및 이용 시 보호조치 3.3 개인정보 제공 시 보호조치 3.4 개인정보 파기 시 보호조치 3.5 정보주.. 2021. 10. 11.

(ISMS-P) 정보통신서비스 제공자의 범위 1. 정보통신서비스 제공자의 법적 정의 (정보통신망법 제2조제1항제3호) “정보통신서비스 제공자”라 함은 「전기통신사업법」 제2조제8호2)의 규정에 따른 전기통신사업자와 영리를 목적으로 전기통신 사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자 2. 정보통신서비스 제공자의 범위 구분 분류 대상 예시 설명 전기통신사업자 「전기통신사업법」의 규정에 따른 허가․등록․신고 절차를 거친 기간통신사업자,별정통신사업자,부가통신사업자 기간통신사업자 KT SKT LGT 초고속인터넷기업,이동통신사 등 유․무선 통신사업자로서 방송통신위원회의 허가를 얻은 사업자 별정통신사업자 국제전화서비스 재판매 사업자 무선재판매회사 기간통신사업자의 전기통신회선설비 등을 이용하여 기간통신역무를 제공하거나,법령에서 .. 2021. 10. 10.

(ISMS-P) 인증 심사 절차 절차 설명 인증심사 시작회의 -인증심사팀과 신청기관의 관련자들이 참석 -인증제도 소개, 심사원 소개, 심사 계획 설명 인증심사 -ISMS-P의 인증기준에 따라 적절하게 운영 여부 확인 -서면심사와 현장심사 병행 -내부 규정의 존재 여부 및 규정이 인증기준 충족 여부 등 심사 -제출한 각종 증적자료의 적정성 확인 -담당자 면담 및 시스템 실사를 통한 인증기준 충족 여부 심사 -중결함(정보보호 및 개인정보관리체계에 중대한 영향이 미치는 사항)이 발견된 경우 인증심사 중단 가능 결함보고서 작성 및 검토 -도출된 문제점을 신청기관 담당자와 최종 확인 -결함 및 중결함, 권고사항 등 정리 및 공유 -결함보고서 작성 인증심사 종료회의 -심사 결과 설명, 발견된 결함사항들에 대한 보완조치 요청 -보완조치 기간, 보완.. 2021. 10. 8.

(ISMS-P) 인증대상 및 인증범위 1. ISMS-P 인증대상 구분 사업 유형 근거 필수여부 인증유형 의무대상자 ISP 「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 필수 ISMS IDC 「정보통신망법」제46조에 따른 집적정보통신시설 사업자 필수 ISMS 병원 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 -「의료법」제3조의4에 따른 상급종합볍원 - 필수 ISMS 학교 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 -직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인「고등교육법」제2조에 따른 학교 필수 ISMS 정보통신서비스제공자 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액.. 2021. 10. 8.

(ISMS-P) 인증 추진체계 1. ISMS-P 인증체계 가. ISMS-P 인증체계의 개념도 나. ISMS-P 인증체계의 구성요소 구성요소 특징 설명 정책기관 과학기술정보통신부 개인정보보호위원회 -ISMS-P 인증 협의회 구성 및 운영 -ISMS-P 인증 운영에 관한 정책 사항 협의 -인증제도와 관련한 법제도 개선, 정책결정, 인증기관 및 심사기관 지정 등의 업무 수행 인증기관 한국인터넷진흥원 금융보안원 -(한국인터넷진흥원) 인증위원회 구성 및 운영, 인증심사, 인증서 발급 업무 수행 인증심사원 양성 및 자격 관리 인증제도 및 기준 개선 등 ISMS-P 인증제도 전반에 걸친 업무 수행 -(금융보안원) 금융분야 인증위원회 구성 및 운영, 인증심사, 인증서 발급 업무 수행 인증위원회 35명 이하 위원으로 구성 -인증심사 결과가 인증기준에.. 2021. 10. 8.

(ISMS-P) 인증의 법적 근거 1. 정보보호 및 개인정보보호 관리체계 인증제도(ISMS-P)의 개요 가. ISMS-P의 정의 -기업이 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 (개인)정보보호 관리체계가 인증기준에 적합한지를 심사하여 인증을 부여하는 제도 나. ISMS-P의 특징 관련 법령 -「정보통신망법」 제47조와 제47조의2, 같은 법 시행령 제47조부터 제54조까지의 규정 및 같은 법 시행규칙 제3조에 따른 정보보호 관리체계 인증 -「개인정보 보호법」 제32조의2, 같은 법 시행령 제34조의2부터 제34조의8까지의 규정에 따른 개인정보보호 관리체계 인증 관련 고시 -「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 관계 부처 -과학기술정보통신부 -개인정보보호위원회 다. ISMS-P의 기대효과 -(안전성), 정보.. 2021. 10. 8.

(ISMS-P) ISMS-P 인증심사원 되기 1. ISMS-P 인증 -ISMS-P 인증기준 안내서 (바이블) -ISMS-P 인증제도 안내서 (참고) *암기 정도까지는 아니더라도 자주 읽어서 익숙해지는 것이 중요하고 질문을 보면 어느 통제항목과 관련이 있는지 또 무엇을 심사해야 하는지 등을 중심으로 학습 *인증제도에 대한 질문도 나오므로 인증제도 안내서 또는 관련 고시를 읽어두는 것도 도움이 됨 2. 법률 -정통망법 (필수) -개인정보보호법 (필수) *관련된 시행령 및 고시 등을 포함하여 준비 필요 -개인정보의 안전성확보조치 기준 고시 -개인정보의 기술적/관리적 보호조치 기준 고시 -정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 등 포함 *나머지 법들은 출제 빈도가 낮아 학습 중에 시간이 있을 때 틈틈히 준비 -정보통신기반보호법 -전자정부법.. 2021. 9. 29.

(ISMS-P) 개인정보 수집 시 동의 받는 방법 가. 개인정보 수집 동의 개인정보보호법 제15조(개인정보의 수집 이용) 제1항에 따라 정보주체의 동의를 받거나 법률에서 규정하고 있는 등 해당하는 경우에는 개인정보 수집 가능 (단 수집 목적의 범위 내에서만 이용 가능) 동의를 받을 경우 수집/이용목적, 항목, 보유 및 이용 기간, 동의를 거부할 수 있다는 사실 및 거부에 따른 불이익 내용 등 필수 사항 고지 후 동의 필수 정보는 업무 수행에 필요한 최소한의 정보만으로 구성 필수/선택 정보를 명확히 구분할 수 있도록 구성 ( 필수정보에 '*' 등 표시하고 반드시 입력/작성하도록 요구) 선택정보에 대해 정보주체가 제공을 거부한다는 이유로 필수적인 재화 및 서비스 제공 거부 불가 정보주체에게 미동의 권리 및 거부 시 불이익에 고지 예) 개인정보 수집이용에 동.. 2021. 8. 24.

(ISMS-P) 비식별 처리, 익명처리, 가명처리 1. 비식별 조치와 가명/익명 처리 가. 비식별 조치와 가명 처리 구분 ISO/IEC 20889 ISO 25237 NIST IR 8053 개인정보 비식별조치 가이드라인 비식별 조치 비식별 조치 비식별 조치 비식별 조치 비식별 조치 익명 처리 가명 처리 통제된 재식별이 있는 가명 처리 가역적 가명 처리 가역적 가명 처리 통제된 재식별이 없는 가명 처리 비가역적 가명 처리 비가역적 가명 처리 가명 처리 -추가 정보란 가명 처리 과정에서 생성 또는 사용되는 정보, 복원 과정에서 사용, 결합되는 정보 -개인정보보호법 제3조의2 제7항에 따라 개인정보처리자는 개인정보를 익명 또는 가명으로 처리하여도 개인정보 수집 목적을 달성할 수 있는 경우 익명처리가 가능한 경우에는 익명에 의하여, 익명처리로 목적을 달성할 수 .. 2021. 8. 16.

(ISMS-P) 개인정보의 유형 (가명정보, 익명정보) 가. 개인정보의 유형 근거 유형 설명 특징 개인정보 (개인정보보호법 제2조 제1항) 개인식별정보 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 (직접)식별자 개인식별가능정보 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보 (간접/준)식별자, 민감정보 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소 요되는 시간, 비용, 기술 등을 합리적으로 고려 가명정보 개인식별정보 또는 개인식별가능정보를 가명처리함으로써 원래의 상태로 복원하기 위한 추가정보의 사용 결합 없이는 특정 개인을 알아볼 수 없는 정보 비개인정보 (개인정보보호법 제58조의2) 익명정보 시간, 비용, 기술 등을 합리적으로 고려할 때 다른 정보.. 2021. 8. 16.

(ISMS-P) 데이터 보호 -CSAP의 도메인 '12. 데이터 보호'와 관련된 통제항목들과 클라우드 서비스 유형별(IaaS/SaaS/SECaaS/DaaS) 통제 사항 정리 2021. 8. 10.

(ISMS-P) 데이터 폐기 1. 데이터 폐기의 개요 가. 데이터 폐기의 정의 이용자와의 서비스 종료 또는 이전 시, 이용자의 데이터를 재사용할 수 없도록 정보 삭제 나. 데이터 폐기의 특징 이용자 완전 삭제 (복구가 불가능 하도록 삭제) 백업된 데이터에 대한 삭제 방안 마련 2. 데이터 폐기의 개념도 및 구성요소 가. 데이터 폐기의 개념도 나. 데이터 폐기의 구성요소 구분 대상 설명 Virtual resource VM Object Storage NAS -공개 또는 상용 툴을 사용 삭제 -자체 개발한 툴을 이용하여 이용자의 데이터가 저장된 위치에 새로운(무의미한) 데이터를 중복하여 저장하는 방법 -랜덤 키로 데이터 생성 후 해당 파일에 덮어 쓰기 Database Table Space Table Column -저장된 데이터 삭제 -삭.. 2021. 8. 10.

(ISMS-P) 암호 정책 수립 1. 암호 정책 수립의 개요 가. 정의 중요정보의 전송 및 저장 시 안전한 보호를 위한 정책 수립 및 이행 나. 특징 암호 대상은 취급 정보 민감도 및 중요도에 따라 정의 암호화 대상별 암호화 방식과 알고리즘 강도 정의 암호키 관리 대책 정보 전송 및 저장 시 암호화 방안 암호화 관련 시스템 운영 담당자 역할 및 책임 정의 암호화 관련 법적 요구사항 반영 (개인정보보호 관련 법률 등) 2. 암호 정책 수립과 관련된 통제항목 가. 암호 정책 수립과 관련된 통제항목 개념도 나. 암호 정책 수립과 관련된 통제항목 요소 통제항목 특징 설명 9.1.5. 공개서버 보안 SSL TLS -웹 서버 등을 통한 개인정보 등 중요정보를 송 ∙ 수신 시 SSL(Secure Socket Layer)/TLS(Transport L.. 2021. 8. 10.

(ISMS-P) (MySQL & Maria DB) 데이터베이스의 시스템 로그 유형 1. MySQL & Maria DB의 로그 개요 가. 로그의 정의 -데이터베이스 자신의 상태를 기록하기 위해 로그를 기록 나. 로그의 유형 유형 설명 Error log 시작, 종료, 운영 중에 발생되는 Error 상태를 기록 General query log 클라이언트로부터 수행된 SQL 문법 기록 Binary log 변경된 데이터 혹은 수행된 SQL문 기록 Relay log 복제 마스터 서버로부터 변경된 데이터를 수신한 로그 Slow query log long_query_time 파라미터에서 설정된 시간보다 오래 수행될 경우 기록되는 로그 DDL log DDL 언어가 수행될 때 기록되는 로그 -특정 설정을 하지 않는 한 기본적으로 디렉터리에 저장 2. 로그 생성 파라미터 및 결과 확인 방법 가. 로그 생.. 2021. 7. 27.

(ISMS-P) (MySQL & Maria DB) 데이터베이스의 감사로그 관리 Maria DB는 5.5.37과 10.0.10 버전부터 audit plugin 내장 1) Plugin이 위치하는 디렉터리 확인 >show global variables like 'plugin_dir%'; 2) 1)에서 확인한 위치에 라이브러리 파일 복사 3) plugin 설치 여부 확인 4) audit 환경 변수 설정 확인 5) OS에서 plugin 설치 >install plugin server_audit soname 'server_audit.so'; 6) plugin 설치 여부 확인 >select * from mysql.plugin; 7) audit 설정 여부 >show global variables like 'server_audit%'; 8) my.cnf에 환경 변수 설정 server_audit_ev.. 2021. 7. 27.

(ISMS-P) (Windows) 윈도우 시스템에서 설정 가능한 고급 감사 정책 1. (윈도우키+secpol)에서 감사 정책 [보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책] -'보안 설정 > 고급 감사 정책 구성'의 보안 감사 정책 설정은 정의된 활동을 추적하여 중요한 비즈니스 관련 및 보안 관련 규칙의 준수를 감사 가능 2. [보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책] [보안 설정 > 고급 감사 정책 구성 > 시스템 감사 정책]에서 생성 가능한 감사 유형 유형 설명 계정 로그온 -도메인 컨트롤러 또는 로컬 SAM(보안 계정 관리자)에서 계정 데이터를 인증하려는 시도를 기록 계정 관리 -사용자 및 컴퓨터 계정 및 그룹에 대한 변경 내용을 모니터링 가능 세부 추적 -자세한 추적 보안 정책 설정 및 감사 이벤트를 사용하여 해당 컴퓨터에서 개별 응용 프로그램 .. 2021. 7. 25.

(ISMS-P) (Windows) 윈도우 시스템에서 설정 가능한 로컬 감사 정책 1. (윈도우키+secpol)에서 감사 정책 -감사 설정을 구성하지 않으면 보안 관련 문제 상황 동안 어떠한 일이 발생했는지 파악하기란 거의 불가능 -구성된 감사 설정에서 이벤트를 생성하는 허가된 작업이 너무 많으면 보안 이벤트 로그가 불필요한 데이터로 가득 차게 되며 전체 컴퓨터 성능에도 영향을 줄 수 있음 2. [로컬 정책 > 감사 정책] [로컬 정책 > 감사 정책]에서 생성 가능한 감사 이벤트의 유형 구분 설명 개체 액세스 감사 -파일, 폴더, 레지스트리 키, 프린터 등 감사 요구 사항을 지정하는 SACL(시스템 액세스 제어 목록)이 있는 개체에 액세스하는 사용자의 이벤트를 감사할지 여부를 결정 계정 관리 감사 -컴퓨터의 각 계정 관리 이벤트를 감사할지 여부를 결정 계정 로그온 이벤트 감사 -이벤트.. 2021. 7. 25.

이전 1 ··· 6 7 8 9 10 11 다음

티스토리툴바