(부제) 나는 CISO 이다241 (ISMS-P) 1.2.3. 위험 평가 (항목) 1.2.3. 위험 평가 (내용) 조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. 2021. 10. 21. (ISMS-P) 1.2.2. 현황 및 흐름분석 (항목) 1.2.2. 현황 및 흐름분석 (내용) 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다. 2021. 10. 21. (ISMS-P) 1.2.1. 정보자산 식별 (항목) 1.2.1. 정보자산 식별 (내용) 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. 2021. 10. 21. (ISMS-P) 1.1.6 자원 할당 (항목) 1.1.6 자원 할당 (내용) 최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다. 2021. 10. 21. (ISMS-P) 1.1.5 정책 수립 (항목) 1.1.5 정책 수립 (내용) 정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다. 2021. 10. 14. (ISMS-P) 1.1.4 범위 설정 (항목) 1.1.4. 범위 설정 (내용) 조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다. 2021. 10. 13. (ISMS-P) 1.1.3. 조직 구성 (항목) 1.1.3. 조직 구성 (내용) 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다. 2021. 10. 13. (ISMS-P) 1.1.2. 최고책임자의 지정 (항목) 1.1.2. 최고책임자의 지정 (내용) 최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다. 2021. 10. 12. (ISMS-P) 1.1.1. 경영진의 참여 (항목) 1.1.1. 경영진의 참여 (내용) 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다. 2021. 10. 11. (ISMS-P) 정보보호 및 개인정보 관리체계 인증기준 현황 1. ISMS-P 개념도 2. ISMS-P 구성요소 영역 기준 통제항목 관리체계 수립 및 운영 16개 1.1 관리체계 기반 마련 1.2 위험관리 1.3 관리체계 운영 1.4 관리체계 점검 및 개선 보호대책 요구사항 64개 2.1 정책, 조직, 자산관리 2.2 인적보안 2.3 외부자 보안 2.4 물리보안 2.5 인증 및 권한 관리 2.6 접근통제 2.7 암호화 적용 2.8 정보시스템 도입 및 개발보안 2.9 시스템 및 서비스 운영관리 2.10 시스템 및 서비스 보안관리 2.11 사고 예방 및 대응 2.12 재해복구 개인정보 처리단계별 요구사항 22개 3.1 개인정보 수집 시 보호조치 3.2 개인정보 보유 및 이용 시 보호조치 3.3 개인정보 제공 시 보호조치 3.4 개인정보 파기 시 보호조치 3.5 정보주.. 2021. 10. 11. (ISMS-P) 정보통신서비스 제공자의 범위 1. 정보통신서비스 제공자의 법적 정의 (정보통신망법 제2조제1항제3호) “정보통신서비스 제공자”라 함은 「전기통신사업법」 제2조제8호2)의 규정에 따른 전기통신사업자와 영리를 목적으로 전기통신 사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자 2. 정보통신서비스 제공자의 범위 구분 분류 대상 예시 설명 전기통신사업자 「전기통신사업법」의 규정에 따른 허가․등록․신고 절차를 거친 기간통신사업자,별정통신사업자,부가통신사업자 기간통신사업자 KT SKT LGT 초고속인터넷기업,이동통신사 등 유․무선 통신사업자로서 방송통신위원회의 허가를 얻은 사업자 별정통신사업자 국제전화서비스 재판매 사업자 무선재판매회사 기간통신사업자의 전기통신회선설비 등을 이용하여 기간통신역무를 제공하거나,법령에서 .. 2021. 10. 10. (ISMS-P) 인증 심사 절차 절차 설명 인증심사 시작회의 -인증심사팀과 신청기관의 관련자들이 참석 -인증제도 소개, 심사원 소개, 심사 계획 설명 인증심사 -ISMS-P의 인증기준에 따라 적절하게 운영 여부 확인 -서면심사와 현장심사 병행 -내부 규정의 존재 여부 및 규정이 인증기준 충족 여부 등 심사 -제출한 각종 증적자료의 적정성 확인 -담당자 면담 및 시스템 실사를 통한 인증기준 충족 여부 심사 -중결함(정보보호 및 개인정보관리체계에 중대한 영향이 미치는 사항)이 발견된 경우 인증심사 중단 가능 결함보고서 작성 및 검토 -도출된 문제점을 신청기관 담당자와 최종 확인 -결함 및 중결함, 권고사항 등 정리 및 공유 -결함보고서 작성 인증심사 종료회의 -심사 결과 설명, 발견된 결함사항들에 대한 보완조치 요청 -보완조치 기간, 보완.. 2021. 10. 8. (ISMS-P) 인증대상 및 인증범위 1. ISMS-P 인증대상 구분 사업 유형 근거 필수여부 인증유형 의무대상자 ISP 「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 필수 ISMS IDC 「정보통신망법」제46조에 따른 집적정보통신시설 사업자 필수 ISMS 병원 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 -「의료법」제3조의4에 따른 상급종합볍원 - 필수 ISMS 학교 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 -직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인「고등교육법」제2조에 따른 학교 필수 ISMS 정보통신서비스제공자 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액.. 2021. 10. 8. (ISMS-P) 인증 추진체계 1. ISMS-P 인증체계 가. ISMS-P 인증체계의 개념도 나. ISMS-P 인증체계의 구성요소 구성요소 특징 설명 정책기관 과학기술정보통신부 개인정보보호위원회 -ISMS-P 인증 협의회 구성 및 운영 -ISMS-P 인증 운영에 관한 정책 사항 협의 -인증제도와 관련한 법제도 개선, 정책결정, 인증기관 및 심사기관 지정 등의 업무 수행 인증기관 한국인터넷진흥원 금융보안원 -(한국인터넷진흥원) 인증위원회 구성 및 운영, 인증심사, 인증서 발급 업무 수행 인증심사원 양성 및 자격 관리 인증제도 및 기준 개선 등 ISMS-P 인증제도 전반에 걸친 업무 수행 -(금융보안원) 금융분야 인증위원회 구성 및 운영, 인증심사, 인증서 발급 업무 수행 인증위원회 35명 이하 위원으로 구성 -인증심사 결과가 인증기준에.. 2021. 10. 8. (ISMS-P) 인증의 법적 근거 1. 정보보호 및 개인정보보호 관리체계 인증제도(ISMS-P)의 개요 가. ISMS-P의 정의 -기업이 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 (개인)정보보호 관리체계가 인증기준에 적합한지를 심사하여 인증을 부여하는 제도 나. ISMS-P의 특징 관련 법령 -「정보통신망법」 제47조와 제47조의2, 같은 법 시행령 제47조부터 제54조까지의 규정 및 같은 법 시행규칙 제3조에 따른 정보보호 관리체계 인증 -「개인정보 보호법」 제32조의2, 같은 법 시행령 제34조의2부터 제34조의8까지의 규정에 따른 개인정보보호 관리체계 인증 관련 고시 -「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 관계 부처 -과학기술정보통신부 -개인정보보호위원회 다. ISMS-P의 기대효과 -(안전성), 정보.. 2021. 10. 8. (ISMS-P) ISMS-P 인증심사원 되기 1. ISMS-P 인증 -ISMS-P 인증기준 안내서 (바이블) -ISMS-P 인증제도 안내서 (참고) *암기 정도까지는 아니더라도 자주 읽어서 익숙해지는 것이 중요하고 질문을 보면 어느 통제항목과 관련이 있는지 또 무엇을 심사해야 하는지 등을 중심으로 학습 *인증제도에 대한 질문도 나오므로 인증제도 안내서 또는 관련 고시를 읽어두는 것도 도움이 됨 2. 법률 -정통망법 (필수) -개인정보보호법 (필수) *관련된 시행령 및 고시 등을 포함하여 준비 필요 -개인정보의 안전성확보조치 기준 고시 -개인정보의 기술적/관리적 보호조치 기준 고시 -정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 등 포함 *나머지 법들은 출제 빈도가 낮아 학습 중에 시간이 있을 때 틈틈히 준비 -정보통신기반보호법 -전자정부법.. 2021. 9. 29. (CSAP) 정보보호시스템 등 도입/운용 관련 보안성 검증 1) CC인증서 보유 필수 제품 정보보호시스템 등 23종은 인증서 보유 필수 가상사설망, 호스트 기반 자료유출방지 제품은 검증필 암호모듈 탐재 필요 국가용 보안요구사항 또는 국가용 보호프로파일을 준수한 경우 보안적합성 검증 신청 절차 생략 가능 (준수하지 않은 경우 도입은 가능하지만 도입 후 보안적합성 검증 신청 2) GS인증서로 안전성이 검증된 경우 스팸메일 차단 시스템, 패치관리 시스템, 망간 자료전송 제품 등 3종 국가용 보안요구사항을 준수한 GS인증서로 안전성이 검증된 경우 안전성 검증필 제품목록에 등재 보안적합성 검증 절차 생략 및 도입/운용 가능 22년부터 GS인증으로 안전성 검증필 제품목록에 신규 등록 불가, 도입 제한 3) 성능평가 결과 확인서로 안전성이 검증된 경우 디도스 대응 장비, 안.. 2021. 8. 31. (ISMS-P) 개인정보 수집 시 동의 받는 방법 가. 개인정보 수집 동의 개인정보보호법 제15조(개인정보의 수집 이용) 제1항에 따라 정보주체의 동의를 받거나 법률에서 규정하고 있는 등 해당하는 경우에는 개인정보 수집 가능 (단 수집 목적의 범위 내에서만 이용 가능) 동의를 받을 경우 수집/이용목적, 항목, 보유 및 이용 기간, 동의를 거부할 수 있다는 사실 및 거부에 따른 불이익 내용 등 필수 사항 고지 후 동의 필수 정보는 업무 수행에 필요한 최소한의 정보만으로 구성 필수/선택 정보를 명확히 구분할 수 있도록 구성 ( 필수정보에 '*' 등 표시하고 반드시 입력/작성하도록 요구) 선택정보에 대해 정보주체가 제공을 거부한다는 이유로 필수적인 재화 및 서비스 제공 거부 불가 정보주체에게 미동의 권리 및 거부 시 불이익에 고지 예) 개인정보 수집이용에 동.. 2021. 8. 24. 이전 1 ··· 7 8 9 10 11 12 13 14 다음
