ISMS-P118 (ISMS-P) 인증 심사 절차 절차 설명 인증심사 시작회의 -인증심사팀과 신청기관의 관련자들이 참석 -인증제도 소개, 심사원 소개, 심사 계획 설명 인증심사 -ISMS-P의 인증기준에 따라 적절하게 운영 여부 확인 -서면심사와 현장심사 병행 -내부 규정의 존재 여부 및 규정이 인증기준 충족 여부 등 심사 -제출한 각종 증적자료의 적정성 확인 -담당자 면담 및 시스템 실사를 통한 인증기준 충족 여부 심사 -중결함(정보보호 및 개인정보관리체계에 중대한 영향이 미치는 사항)이 발견된 경우 인증심사 중단 가능 결함보고서 작성 및 검토 -도출된 문제점을 신청기관 담당자와 최종 확인 -결함 및 중결함, 권고사항 등 정리 및 공유 -결함보고서 작성 인증심사 종료회의 -심사 결과 설명, 발견된 결함사항들에 대한 보완조치 요청 -보완조치 기간, 보완.. 2021. 10. 8. (ISMS-P) 인증대상 및 인증범위 1. ISMS-P 인증대상 구분 사업 유형 근거 필수여부 인증유형 의무대상자 ISP 「전기통신사업법」제6조제1항에 따른 등록을 한 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 필수 ISMS IDC 「정보통신망법」제46조에 따른 집적정보통신시설 사업자 필수 ISMS 병원 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 -「의료법」제3조의4에 따른 상급종합볍원 - 필수 ISMS 학교 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 -직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인「고등교육법」제2조에 따른 학교 필수 ISMS 정보통신서비스제공자 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액.. 2021. 10. 8. (ISMS-P) 인증 추진체계 1. ISMS-P 인증체계 가. ISMS-P 인증체계의 개념도 나. ISMS-P 인증체계의 구성요소 구성요소 특징 설명 정책기관 과학기술정보통신부 개인정보보호위원회 -ISMS-P 인증 협의회 구성 및 운영 -ISMS-P 인증 운영에 관한 정책 사항 협의 -인증제도와 관련한 법제도 개선, 정책결정, 인증기관 및 심사기관 지정 등의 업무 수행 인증기관 한국인터넷진흥원 금융보안원 -(한국인터넷진흥원) 인증위원회 구성 및 운영, 인증심사, 인증서 발급 업무 수행 인증심사원 양성 및 자격 관리 인증제도 및 기준 개선 등 ISMS-P 인증제도 전반에 걸친 업무 수행 -(금융보안원) 금융분야 인증위원회 구성 및 운영, 인증심사, 인증서 발급 업무 수행 인증위원회 35명 이하 위원으로 구성 -인증심사 결과가 인증기준에.. 2021. 10. 8. (ISMS-P) 인증의 법적 근거 1. 정보보호 및 개인정보보호 관리체계 인증제도(ISMS-P)의 개요 가. ISMS-P의 정의 -기업이 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 (개인)정보보호 관리체계가 인증기준에 적합한지를 심사하여 인증을 부여하는 제도 나. ISMS-P의 특징 관련 법령 -「정보통신망법」 제47조와 제47조의2, 같은 법 시행령 제47조부터 제54조까지의 규정 및 같은 법 시행규칙 제3조에 따른 정보보호 관리체계 인증 -「개인정보 보호법」 제32조의2, 같은 법 시행령 제34조의2부터 제34조의8까지의 규정에 따른 개인정보보호 관리체계 인증 관련 고시 -「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 관계 부처 -과학기술정보통신부 -개인정보보호위원회 다. ISMS-P의 기대효과 -(안전성), 정보.. 2021. 10. 8. (ISMS-P) ISMS-P 인증심사원 되기 1. ISMS-P 인증 -ISMS-P 인증기준 안내서 (바이블) -ISMS-P 인증제도 안내서 (참고) *암기 정도까지는 아니더라도 자주 읽어서 익숙해지는 것이 중요하고 질문을 보면 어느 통제항목과 관련이 있는지 또 무엇을 심사해야 하는지 등을 중심으로 학습 *인증제도에 대한 질문도 나오므로 인증제도 안내서 또는 관련 고시를 읽어두는 것도 도움이 됨 2. 법률 -정통망법 (필수) -개인정보보호법 (필수) *관련된 시행령 및 고시 등을 포함하여 준비 필요 -개인정보의 안전성확보조치 기준 고시 -개인정보의 기술적/관리적 보호조치 기준 고시 -정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 등 포함 *나머지 법들은 출제 빈도가 낮아 학습 중에 시간이 있을 때 틈틈히 준비 -정보통신기반보호법 -전자정부법.. 2021. 9. 29. (CSAP) 정보보호시스템 등 도입/운용 관련 보안성 검증 1) CC인증서 보유 필수 제품 정보보호시스템 등 23종은 인증서 보유 필수 가상사설망, 호스트 기반 자료유출방지 제품은 검증필 암호모듈 탐재 필요 국가용 보안요구사항 또는 국가용 보호프로파일을 준수한 경우 보안적합성 검증 신청 절차 생략 가능 (준수하지 않은 경우 도입은 가능하지만 도입 후 보안적합성 검증 신청 2) GS인증서로 안전성이 검증된 경우 스팸메일 차단 시스템, 패치관리 시스템, 망간 자료전송 제품 등 3종 국가용 보안요구사항을 준수한 GS인증서로 안전성이 검증된 경우 안전성 검증필 제품목록에 등재 보안적합성 검증 절차 생략 및 도입/운용 가능 22년부터 GS인증으로 안전성 검증필 제품목록에 신규 등록 불가, 도입 제한 3) 성능평가 결과 확인서로 안전성이 검증된 경우 디도스 대응 장비, 안.. 2021. 8. 31. (CSAP) 클라우드 서비스 제공 과정에서 개인정보 처리 1. 개인정보 수집 관련 근거 가. 개인정보보호법 기준 개인정보보호법 제15조(개인정보의 수집, 이용) 제1항에 따라 정보주체의 동의를 받아 처리 제2항부터 제6항까지 예외 조항에 따라 동의 없이 추가 가능 특히 제4항 정보주체와의 계약 체결, 이행을 위해 불가피한 경우와 제6항 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 (정보주체의 권리보다 우선하는 경우)에 동의 없이 개인정보를 수집 가능 나. 관련 용어 정보주체 : 처리되는 정보에 의해 알아볼 수 있는 사람 개인정보처리자 : 업무를 목적으로 개인정보파일을 운영하기 위해 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 자 개인정보 수탁자 : 개인정보처리자를 대신하여 개인정보파일을 운영하는 자 (이 경우 개인정보처리자는 위탁자가 됨) 2... 2021. 8. 24. (ISMS-P) DB 접근 제어 솔루션 1. 개요 - DB 서버는 조직에 필요한 정보를 저장하는 서버로서 DBMS라는 관리 시스템에 의해 관리되며 인증과정을 거쳐 로그인한 후에 SQL이라는 질의어를 통해서만 해당 정보에 정상적으로 접근 가능 - 일반적으로 DB는 DMZ 구간이 아닌 조직의 가장 내부에 위치하고 있으며 DBMS 자체의 보안 기능과 타 솔루션이 접근 제어를 통해 제어 - 해킹보다는 DB에 접근 권한을 가진 사용자가 권한을 남용하여 정보를 유출하거나 변조하는 위협이 더 클 수 있음 2. DB 접근 제어 필요성 가. 세분화된 사용자 식별 - DBMS에서 수행하는 통제는 DBMS 내부의 계정 단위로 구성 - 많은 조직에서 하나 혹은 소수의 계정에 필요한 모든 테이블을 생성한 후에, 다수의 내부 사용자가 동일 계정을 이용하여 DB에 접근.. 2021. 3. 27. (ISMS-P) DB 암호화 솔루션 1. 개요 - 개인 정보의 유출 사고 등 악의적인 공격에 대응 필요 - DB 보안을 위해 법률 강화 - 외부 유협 외에도 내부자에 의한 유출 사고 방비 - DB 보안을 위한 요구사항은 DB암화, 암호키 관리 2. 암호화 요건 - 민감한 정보의 보안 레벨과 암호화 요구 사항 평가 - 요구사항에 따라 DBMS 자체 또는 외부 솔루션에 의한 암호화 수행 - 암호화, 복호화 키 관리 랜덤키에 의해 암호화된 데이터는 복호화가 어려워짐 - 데이터의 중요성에 따라 암호화 알고리즘, 키 사이즈 선택 어떤 데이터를 암호화할 것인가를 결정하고 데이터 사이즈 증감을 예측한다면 효율적인 암호화된 DB 완성 가능 - 인덱스 암호화 시 주의 필요 대용량 DB에서 인덱스를 가진 컬럼이 암호화되면 인덱스를 활용할 수 없기 때문에 특.. 2021. 3. 27. (CSAP) 물리적 보호구역 지정 클라우드 서비스 보안 운영 명세서 '8.1.1. 물리적 보호구역 지정'에서 - 접견구역 : 외부인이 별다른 출입증 없이 출입이 가능한 구역 (예 : 접견장소 등) - 제한구역 : 비인가된 접근을 방지하기 위하여 별도의 출입통제 장치 및 감시시스템이 설치된 장소로 출입 시 직원카드와 같은 출입증이 필요한 장소 (예 : 부서별 사무실 등) - 통제구역 : 제한구역의 통제항목을 모두 포함하고 출입 자격이 최소인원으로 유지되며 출입을 위하여 추가적인 절차가 필요한 곳 (예 : 전산실, 통신장비실, 관제실, 공조실, 발전실, 전원실 등) 에 대한 부가 설명 간혹 받게되는 질문이 접견 구역은 이해가 되는데 제한구역과 통제구역의 통제 차이가 무엇입니까라는 질문입니다. 아래의 그림처럼 통제구역은 제한구역보다 더 중요한.. 2021. 3. 27. 이전 1 ··· 4 5 6 7 다음
