728x90
반응형
SMALL

어제 (2021/9/10) 양재동 AT센터에서 ISMS-P인증심사원 실기시험을 치렀습니다.

올해 필기시험 합격자가 대략 90명 정도 되었고 1,2차로 나누어서 실무교육 및 실기시험을

치룬다고 합니다. 저는 1차로 신청해서 9/6~9/10일까지 5일교육을 받았구요.. 물론 코로나때문에

온라인교육이어서 연차5일 내서 집에서 교육 받았습니다.

원래 오프라인 교육을 선호하는 편인데 온라인 교육도 나름 편한 부분이 있네요.. 

우선 왔다갔다 하는 시간과 비용, 체력소모가 안들어서 좋았구요... 요즘 온라인 교육 tool이 좋아서

그런지 오히려 온라인 교육이 편했습니다. 질문 하기도 좋구요.. 

이번 5일 실무교육은 내용적으로 참 좋았던거 같습니다.. 이 교육을 필기시험 준비할때부터 

들을수 있다면 필기시험에도 많은 도움이 될꺼 같다는 느낌이 강하게 들었구요.

강사님도 이론적으로나 실무적으로나 많은 경험이 있는 분이어서 교육내용이 알찼습니다.

하지만 마지막 금요일에 실기시험이 있기 때문에 계속 긴장하면서 머리를 써가면서 교육을 들어서 

그런지 꽤 피곤하였습니다. 게다가 매일 결함보고서 2장 쓰는 과제가 있어서 교육끝나고도 9시까지

책상을 떠날수 없었습니다. 처음에는 결함보고서 한장 쓰는데 한시간 이상 걸렸었는데.. 점점 시간이

단축은 되더라구요.. 

교육을 들으면서 느낀점은 실제 현장에 투입되어 심사를 하면서 결함을 찾고자 할때 여러가지 고려해야할 

사항이 많을 것 같다는 생각이 들었습니다..

1. 우선 IT지식적으로 신청기관 담당자한테 얕잡아 보이면 안되겠다는 생각이 들구요. 담당자가 업무설명

   해주는데 제대로 못알다 듣는다든가.. 용어 같은거를 몰라서 물어본다던가 하면 그때부터 이 담당자는

   심사원을 신뢰하지 못하고 못도 모르면서 심사한다고 왔구만 하고 생각할꺼 같아요.

   그래서 심사가기전에 미리 관련 공부를 열심히 해야 할꺼 같습니다.

   관련 법령조항의 습득은 기본이구요..

2. 결함으로 지적을 하고자 할때 신청기관에서 챌린지를 할수 있는 부분을 미리 예상해서  방어할수 있는

   능력이 절대 필요하다고 느꼈습니다.  여기서 또 밀리면 지는 거구요.

  결국 이말은 확실한 결함을 찾는 게 중요하다는 뜻이겠죠.. 어정쭝한 결함을 지적하다가는 오히려 역공을

  당할수 있을꺼 같습니다.

3. 그리고 이번 교육에서 강사님이 강조한 것 중 하나가 바로 심사원의 소양입니다.

   간혹 심사원이 갑질아닌 갑질을 한다던지..고압적인 자세, 무슨 신청기관을 취조하는 듯한 자세 등

   소양에 관련된 주의사항을 많이 이야기 해주셨습니다.

  어쩌면 심사원이 갑이 아니고 비용을 대는 신청기관이 갑일수 있습니다.

4. 문서작성 능력도 좀 필요합니다. 자기가 아는 것을 말로 표현하는 것은 또 다른 영역이고, 마찬가지로

  글로 표현하는 것도 또 다른 기술과 연습이 필요할꺼 같습니다.

  우스갯소리로 판사는 판결문으로 조지고, 형사는 조서로 조진다는 말이 있듯이 심사원은 결함보고서가

  꽃이라고 할수 있습니다. 간결하면서 핵심을 짚는 보고서의 작성이 절대적으로 필요합니다.]

하여튼 이번 교육은 참 많은 것을 깨닫게 해준 교육이었습니다.

하지만 솔직히 일단 실기시험을 통과하는게 주 목적이죠.. ^^

위에 기술한 내용이야 나중에 심사 나가게 되면 필요한 거구 우선 실기시험을 통과하는게 목표이지요,

교육 중간중간 강사님이 시험 팁을 몇가지 주셔서 대충 어떤식으로 나오겠구나 하는 감은 있었는데..

실제 시험에서도 비슷하게 나왔지만 역시 시험은 긴장감이 x100 배 되어서 그런지..더군다나 모두 볼펜으로

쓰는 논술형이라 글씨가 너무 안써지더라구요. ㅠㅠ

혹시 내 글씨를 못알아보면 어쩌지 하는 생각까지 들었습니다.

첨에 2시간 시험시간이 남을꺼 같았었는데.. 남지 않더라구요... 

어째든 무사히 시험지와 답안지 제출하고 나왔습니다.. 필기시험보다는 오히려 쉽다는 생각이 들었습니다.

올해부터는 실기시험 불합격해도 다음년도 필기시험 면제를 해주는 걸로 바뀌었지만 내년에 또 5일 연차

내서 듣는건 좀 아닌거 같아서 이번에 합격했으면 맘이 간절하네요..

합격자 발표일도 알려준게 없어서 그냥 하염없이 기다려야 할꺼 같습니다.

어쨋든 필기 3번만에 합격해서 이렇게 실기시험까지 무사히 치룰수 있게 된점을 다행이라고 생각하구요

이번 필기 떨어지면 포기할려고 했거든요.. 그래서 필기시험보고 합격자 발표하기 전에

수험교재도 당근마켓에서 팔아버렸거든요. ㅋㅋ

이젠 자격증 공부는 그만 할려고 합니다.. ISMS-P인증심사원 자격증을 끝으로 목표했던 자격증5개도

모두 취득했구.이젠 나이도... 50이라서 더이상 머리도 안돌아가구요..

2016년 정보시스템감리사 취득후 나중에 감리법인에 들어갈때 유용한 자격증 위주로 해서 올해까지 5년동안

5개의 자격증 공부를 했습니다.  현재 고3인 우리딸이랑 중학교때부터 같이 독서실도 다니고 스터디카페에도

같이 다니고 했네요. ㅎㅎ

올해 딸아이도 대학교에 철썩 합격하고 저도 이 심사원자격증 합격해서 유종의 미를 거두고 싶습니다.

감사합니다.

2021년 11월 26일

금일 오후 3시에 합격문자가 왔습니다.

 

2021년 12월 27일

딸아이는 고려대학교에 합격했습니다. 

 

 

728x90
반응형
LIST
728x90
반응형
SMALL

이번에 3번째 도전입니다.

작년에는 58점으로 아깝게 불합격을 했지만

다행히 올해는 62점으로 합격했습니다.

사실 작년에는 합격할 줄 알았는데 떨어졌고,올해는 떨어질 줄 알았는데 붙었습니다.

참 알수없는 시험결과 이네요.

올해 7월3일날 신청중학교에서 시험보고 나온 후 바로 집에와서 수험서 4개를 바로 당근마켓에

팔아버렸습니다.  왜냐면 이번에도 떨어졌다고 생각하고 이 시험은 포기했기 때문입니다.

시험을 보고 난 후 들었던 느낌은... 단순히 인증기준이나 결함사례만을 외워서는 붙기가 쉽지 않다고

생각이 들었기 때문입니다.  실전모의고사의 문제와는 좀 다른 느낌의 문제 형식이었고, 지문이나 보기상의 문구가

참 낯설은 느낌이 많았습니다.  

이번 필기시험에 나온 주요 토픽을 간단히 설명하자면 아래와 같습니다.

. 가상자산사업자 , 멀티시그, 핫월렛, 콜드월렛

.EMR (지금도 잘 모르겠음)

.위수탁

.가명처리, 익명처리 (이번에 가명정보 관련해서 법조항도 신설되었기 때문에 반드시 출제가 예상되었음)

.클라우드 (작년부터 많은 비중을 차지하고 있는 토픽입니다. 작년에 제가 이 클라우드때문에 시험을 못본거 같음)

.위치정보보호법 (법조문 자체는 양이 많지 않아서 꼭 보시기 바랍니다.)

.재택근무,VPN, VDI (요즘 코로나때문에 재택근무가 많아지면서 원격접속에 대한 인증관련 내용이 핫이슈임)

.SDN, NFV, Docker, Supervisior.. (오래된 토픽들이 생뚱맞게 나왔음.. 감리사 공부할때 보고 첨 봄) 

 

문제는 수험생이 의지할 곳은 인증기준 및 결함사례를 딸딸 외우고 , 개보법,정통망법,안전성확보기준, 관리적,기술적 보

호조치 기준등 법 조항을 외우는 거 말고는 다른 대안이 없는것도 사실입니다.

수험교재도 거기에 초점이 맞춰져 있기도 하구요..

그래서 저도 인증기준 및 결함사례 공부에 많은 시간을 할애했습니다. 특히 비슷한 인증기준에 대한 구별을 따로 

정리를 했구.. 결함사례도 두음신공을 이용해서 아예 다 외울려고 했습니다. 나중에는 결함사례만을 리스트로 

정리해서 (약 307개정도 됩니다.) 랜덤하게 결함사례를 보고 이것이 어느 인증기준의 결함사례인지 알수 있을정도로

암기를 했습니다.

그리고 인증기준에 정확한 의미를 파악하고 이해할려고 하는데 노력을 많이 했습니다.

1. 인증기준 정리

    - 인증기준에 대해서 KISA에서 제공하는 안내서 및 한권으로 합격하기 수험서를 보면서 나름 키워드 위주로 정리 

    - 인증기준은 필기시험지에도 나오지만 따로 두음신공으로 항목제목등을 암기

2. 유사한 인증기준 정리

3. 결함사례 두음신공 정리

4. 기간이나 숫자 관련 내용 정리

5. 안전성 확보조치 기준과 기술적.관리적 보호조치 기준 비교

6. 결함리스트 랜덤 

7. 개인정보보호법 변경사항 정리

    - 이번에 개보법과 정통망법에서 좀 많은 부분이 법 개정이 있었다.

      개인정보보호위원회의 역할이 늘어난 점.

      정통망법중에서 정보통신서비스제공자등에 대한 법 조항이 개보법에 특례조항으로 

      옮겨 지고 일부분이 개보법으로 흡수되어진 조항이 있다.

      또 새롭게 가명정보처리에 관한 조항이 신설되기도 했다.

7. 정통망법 변경사항 정리

8. 종합정리장

위 정리 내용중에 반드시 암기해야 할 항목을 다시 발췌

일반 IT/보안에 대한 지식 정리

 

이 외에도 아래와 같은 항목에 대해서 수고스럽지만 일일히 엑셀에다가 정리를 했습니다.

1. OX 단답형 문제,

2. 인증등에 관한 고시,

3. 문제오답정리, 

4. 주요정보통신기반시설 보호지침

5.주요정보통신기반시설 취약점 분석 평가 기준

6. 표준개인정보보호지침

7.위치정보법

8.정보통신기반보호법

 

아직 2차 실기 시험이 남았기 때문에 최종 합격한 상태는 아닙니다.

2차 실기 교육 및 시험에 관련해서 다녀온 후 다시 후기 올리겠습니다.

 

 

 

 

 

728x90
반응형
LIST
728x90
반응형
SMALL

ISMS-P 인증심사 

<인증에 따른 심사구분>

단일심사 하나의 인증만 신청하는 경우 
  - ISMS만 신청하던지 ISMS-P 를 신청하던지 둘중에 선택
혼합심사 같은 관리체계 내에서 일부 서비스만 개인정보흐름을 포함하여
인증을 받고자 하는 혼합심사의 경우 
수수료와 심사과정을 통합하였으며 유효기간 및 심사주기가
동일하고 범위만 다른 2장의 인증서 발급
예시) ISMS인증범위 (금고서비스 운영), ISMS-P 인증범위 (인터
       넷뱅킹 서비스 운영)
예시) 다른 기간에 개별로 받는 인증은 해당하지 않음 
   예) 상반기 ISMS , 하반기 ISMS-P인증

• 개인정보를 이용하여 서비스를 한다고 무조건 ISMS-P 인증을 받아야 하는 것은아님.
   의무대상자는 자체적으로 판단하여 ISMS, ISMS-P 인증 중에서 선택할 수 있다.
 • ISMS,PIMS를 모두 보유한 기업이 개정된 인증기준으로 ISMS-P를 신청하는 경우에는
   최초심사로 진행되며 새로운 인증서가 발급된다.
 • ISMS,PIMS를 모두 보유한 기업이 ISMS 범위가 A,B,C 이고 PIMS 범위가 A,B,D 인경우
   A,B,C,D 모두 개정된 인증기준의 ISMS로 신청할 수 있다.
 • ISO/IEC 27001 인증으로 인증심사의 일부를 생략할수 있는 건 ISMS인증인 경우에만
  가능하다.
 • ISMS인증의무 대상자는 다음해 8월 31일까지 인증을 받아야 한다. 다만 [재난 및 안전
   관리 기본법] 제3조에 따른 재난 발생 등 협의회가 인정하는 불가피한 사유로 8월 31일
   까지 인증을 받지 못한 경우 인증의무이행 기간을 협의회가 정하는 바에 따라 연장할수
   있다.
 • 인증심사의 일부의 범위를 생략하여 심사하는 경우 인터넷진흥원 또는 인증기관이
   인증을 부여할 때에는 그 사실을 인증서에 표기해야 한다.
 • 인증심사 일부 생략의 범위는 
     2.1 정책,조직,자산
     2.2 인적보안
     2.3 외부자보안
     2.4 물리적보안
     2.12 재해복구

• 심사수행기관은 신청인과 협의를 통해 인증기준내에서 인증범위, 업무특성 등을 
  고려하여 인증심사 항목을 조정할 수 있다. (즉 인증기준은 조정할수 없다)
• 인증 신청인은 인증범위 및 일정 등을 심사수행기관과 사전 협의하여 신청하여야 한다
• 인증심사시 심사수행기관은 인증범위의 변경이 필요한 경우 이를 인증기관과 협의하여
  하여야 한다.
• 한국인터넷진흥원은 신규,특수분야의 인증심사를 수행하고 금융보안원은 금융분야 인증
  심사를 수행한다.
• ISMS는 고객센터,영업점,물류센터,개인정보 취급위탁사는 심사하지 않는다.

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리 (8/10)  (0) 2021.04.28
ISMS-P 키워드별 정리(7/10)  (0) 2021.02.19
ISMS-P 키워드별 정리(6/10)  (4) 2021.02.17
ISMS-P 키워드별 정리(5/10)  (0) 2021.02.15
ISMS-P 키워드별 정리(4/10)  (0) 2021.02.10
728x90
반응형
SMALL

● [개인정보의 안전성 확보조치 기준]과 [개인정보의 기술적.관리적 보호조치 기준] 조문 비교

개인정보의 안전성 확보조치 기준 (행정안전부고시) 개인정보의 기술적.관리적 보호조치 기준 (방송통신위원회고시)
제1조 (목적) 제1조 (목적)
이 기준은 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다. ① 이 기준은 이용자의 개인정보를 처리함에 있어서 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성 확보를 위하여 필요한 기술적·관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한다.
② 정보통신서비스 제공자등은 사업규모, 개인정보 보유 수 등을 고려하여 스스로의 환경에 맞는 개인정보 보호조치 기준을 수립하여 시행하여야 한다
제2조 (정의) 제2조 (정의)
1. "정보주체"란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
2. "개인정보파일"이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
3. "개인정보처리자"란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
4. "대기업"이란 「독점규제 및 공정거래에 관한 법률」제14조에 따라 공정거래위원회가 지정한 기업집단을 말한다.
5. "중견기업"이란「중견기업 성장촉진 및 경쟁력 강화에 관한 특별법」제2조에 해당하는 기업을 말한다.
6. "중소기업"이란 「중소기업기본법」제2조 및 동법 시행령 제3조에 해당하는 기업을 말한다.
7. "소상공인"이란 「소상공인 보호 및 지원에 관한 법률」제2조에 해당하는 자를 말한다.
8. "개인정보 보호책임자"란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항에 해당하는 자를 말한다.
9. "개인정보취급자"란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.
10. "개인정보처리시스템"이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.
11. "위험도 분석"이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별·평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다.
12. "비밀번호"란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로 서 타인에게 공개되지 않는 정보를 말한다.
13. "정보통신망"이란 「전기통신기본법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체계를 말한다.
14. "공개된 무선망"이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다.
15. "모바일 기기"란 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용 기기를 말한다.
1. "개인정보 보호책임자"란 이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원을 말한다.
2. "개인정보취급자"란 이용자의 개인정보를 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등의 업무를 하는 자를 말한다.
3. "내부관리계획"이라 함은 정보통신서비스 제공자등이 개인정보의 안전한 처리를 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획을 말한다.
4. "개인정보처리시스템"이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.
5. "망분리"라 함은 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다.
6. "비밀번호"라 함은 이용자 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보
를 말한다.
7. "접속기록"이라 함은 이용자 또는 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록한 것을 말한다.
8. "바이오정보"라 함은 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
9. "P2P(Peer to Peer)"라 함은 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접 연결되어 파일을 공유하는 것을 말한다.
10. "공유설정"이라 함은 컴퓨터 소유자의 파일을 타인이 조회·변경·복사 등을 할 수 있도록 설정하는 것을 말한다.
11. "보안서버"라 함은 정보통신망에서 송·수신하는 정보를 암호화하여 전송하는 웹서버를 말한다.
12. "인증정보"라 함은 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등이 요구한 식별자의 신원을 검증하는데 사용되는 정보를 말한다.
13. "모바일 기기"란 스마트폰, 태블릿PC 등 무선망을 이용할 수 있는 휴대용 기기를 말한다.
14. "보조저장매체"란 이동형 하드디스크(HDD), USB메모리, CD(Compact Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 쉽게 분리·접속할 수 있는 저장매체를 말한다.
제3조 (안전조치 기준 적용)  
개인정보처리자가 개인정보의 안전성 확보에 필요한 조치를 하는 경우에는 [별표] 개인정보처리자유형 및 개인정보 보유량에 따른 안전조치 기준을 적용하여야 한다. 이 경우 개인정보처리자가 어느 유형에 해당하는지에 대한 입증책임은 당해 개인정보처리자가 부담한다.  
제4조 (내부 관리계획의 수립.시행) 
지역교권 통암기 악물조 유 위재위
제3조 (내부관리계획의 수립.시행)   
지역 내이 위도
① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야 한다.
1. 개인정보 보호책임자의 지정에 관한 사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보취급자에 대한 교육에 관한 사항
4. 접근 권한의 관리에 관한 사항
5. 접근 통제에 관한 사항
6. 개인정보의 암호화 조치에 관한 사항
7. 접속기록 보관 및 점검에 관한 사항
8. 악성프로그램 등 방지에 관한 사항
9. 물리적 안전조치에 관한 사항
10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
11.개인정보 유출사고 대응 계획 수립·시행에 관한 사항
12. 위험도 분석 및 대응방안 마련에 관한 사항
13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
15. 그 밖에 개인정보 보호를 위하여 필요한 사항
② [별표]의 유형1에 해당하는 개인정보처리자는 제1항에 따른 내부 관리계획을 수립하지 아니할 수 있고, [별표]의 유형2에 해당하는 개인정보처리자는 제1항제12호부터 제14호까지를 내부 관리계획에 포함하지 아니할 수 있다.

  * 유형1 : 내부관리계획 자체를 수립하지 않아도 됨.
    유형2 : 내부관리계획 항목 중 아래 3가지는 안해도 됨.
               12. 위험도분석,
               13. 재해및재난,
               14. 위탁시 관리감독
① 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보보호 조직을 구성·운영 하여야 한다.
1. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
2. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항
4. 개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항
5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
6. 개인정보의 분실·도난·유출·위조·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항
7. 그 밖에 개인정보보호를 위해 필요한 사항
② 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보 보호책임자 및 개인정보취급자를 대상으로 사업규모, 개인정보 보유 수 등을 고려하여 필요한 교육을 정기적으로 실시하여야 한다.
1. 교육목적 및 대상
2. 교육 내용
3. 교육 일정 및 방법
③ 정보통신서비스 제공자등은 제1항 및 제2항에 대한 세부 계획, 제4조부터 제8조까지의 보호조치 이행을 위한 세부적인 추진방안을 포함한 내부관리계획을 수립·시행하여야 한다.
제5조 (접근 권한의 관리)   
차변 3계 작틀
 
① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.
③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.
⑥개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.
⑦ [별표]의 유형1에 해당하는 개인정보처리자는 제1항 및 제6항을 아니할 수 있다.
안전성확보조치에만 있는거는  "차틀V취세 관재파"

기술적.관리적보호조치에만 있는거 "조백출표규"
여기서 "조" 는 "2문자조합 10자리이상..등 구체적인 비밀번호 작성규칙"을 말함
제6조 (접근통제)
IP IP V접 취세비
제4조 (접근통제)
① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP (Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다.
③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.
④ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.
⑤개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.
⑥ 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS :Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.
⑦ 개인정보처리자는 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
⑧ [별표]의 유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수 있다.  
   2. VPN or 전용선
   4. 취약점 점검
   5. 세션자동아웃
 
   
   
   
   
① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다.
② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.
③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다.
④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다.
⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.
⑦ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.
⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고,이를 적용·운용하여야 한다.
1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고
3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경
⑨ 정보통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.
⑩ 정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다.
제7조 (개인정보의 암호화)  제6조 (개인정보 암호화)
① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
③ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
2. 암호화 미적용시 위험도 분석에 따른 결과
⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.
⑥ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.
⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.
⑧ [별표]의 유형1 유형2에 해당하는 개인정보처리자는 제6항을 아니할 수 있다.  
   6.암호키
① 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.
② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호 알고리즘으로 암호화하여 저장한다.
1. 주민등록번호
2. 여권번호
3. 운전면허번호
4. 외국인등록번호
5. 신용카드번호
6. 계좌번호
7. 바이오정보
③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.
1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
④ 정보통신서비스 제공자등은 이용자의 개인정보를 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 이를 암호화 해야 한다.
제8조 (접속기록의 보관 및 점검)   
1 5 1 2   1회 다안
제5조 (접속기록의 위,변조방지)
① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리하여야 한다. 다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 1명 이상의 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리하여야 한다.
② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 내부관리 계획으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.
③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
① 정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 1년 이상 접속기록을 보존·관리하여야 한다.
② 단, 제1항의 규정에도 불구하고 「전기통신사업법」 제5조의 규정에 따른 기간통신사업자의 경우에는 보존·관리해야할 최소 기간을 2년으로 한다.
③ 정보통신서비스 제공자등은 개인정보취급자의 접속기록이 위·변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다.
제9조 (악성프로그램 등 방지) 제7조 (악성프로그램 방지)
개인정보처리자는 악성프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지
2. 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트를 실시
3. 발견된 악성프로그램 등에 대해 삭제 등 대응 조치
정보통신서비스 제공자등은 악성 프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영하여야 하며, 다음 각호의 사항을 준수하여야 한다.
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지
2. 악성프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시
제10조 (관리용 단말기의 안전조치)  
개인정보처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 다음 각 호의 안전조치를 하여야 한다.
1. 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
2. 본래 목적 외로 사용되지 않도록 조치
3. 악성프로그램 감염 방지 등을 위한 보안조치 적용
 
제11조 (물리적 안전조치)   
출잠반 - 출입통제 , 잠금장치 , 반출입통제
제8조 (물리적 접근 방지)     왼쪽과 동일함
① 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로두고 있는 경우에는 이에 대한 출입통제 절차를 수립·운영하여야 한다.
② 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
③ 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련하여야 한다. 다만, 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 이를 적용하지 아니할 수 있다.
① 정보통신서비스 제공자등은 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소에 대한 출입통제 절차를 수립·운영하여야 한다.
② 정보통신서비스 제공자등은 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
③ 정보통신서비스 제공자등은 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련하여야 한다.
제12조 (재해.재난 대비 안전조치)
대백 - 대응절차 , 백업.복구계획
 
① 개인정보처리자는 화재, 홍수, 단전 등의 재해·재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 한다.
② 개인정보처리자는 재해·재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다.
③ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제1항부터 제2항까지 조치를 이행하지 아니할 수 있다.
 
제13조 (개인정보의 파기)  
① 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다.
1. 완전파괴(소각·파쇄 등)
2. 전용 소자장비를 이용하여 삭제
3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다.
1. 전자적 파일 형태인 경우 : 개인정보를 삭제한후 복구및 재생되지 않도록 관리및 감독
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제
 
  제9조 (출력.복사시 보호조치)
  ① 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보의 출력시(인쇄, 화면표시, 파일생성 등) 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화 한다.
② 정보통신서비스 제공자등은 개인정보가 포함된 종이 인쇄물, 개인정보가 복사된 외부 저장매체 등 개인정보의 출력·복사물을 안전하게 관리하기 위해 출력·복사 기록 등 필요한 보호조치를 갖추어야 한다.
  제10조(개인정보 표시 제한 보호조치)
  정보통신서비스 제공자 등은 개인정보 업무처리를 목적으로 개인정보의 조회, 출력 등
의 업무를 수행하는 과정에서 개인정보보호를 위하여 개인정보를 마스킹하여 표시제한 조치를 취할 수 있다.
  제11조(규제의 재검토)
  방송통신위원회는 「행정규제기본법」 제8조 및 「훈령·예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제334호)에 따라 이 고시에 대하여 2015년 1월 1일을 기준으로 매 3년이 되는 시점(매 3년째의 12월 31일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리 (9/10)  (0) 2021.06.17
ISMS-P 키워드별 정리(7/10)  (0) 2021.02.19
ISMS-P 키워드별 정리(6/10)  (4) 2021.02.17
ISMS-P 키워드별 정리(5/10)  (0) 2021.02.15
ISMS-P 키워드별 정리(4/10)  (0) 2021.02.10
728x90
반응형
SMALL

● 개인정보의 안전성 확보조치 기준과 개인정보의 기술적.관리적 보호조치 기준상의 용어정리

개인정보의 안전성 확보조치 기준 개인정보의 기술적, 관리적 보호조치 기준
1. '정보주체' 란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.  
2. '개인정보파일' 이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다. (전자문서 뿐만 아니라 수기도 포함)  
3. '개인정보처리자' 란 업무를 목적으로 개인정보를 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관,법인,단체및 개인 등을 말한다.  
8. '개인정보보호책임자' 1. '개인정보관리책임자'
9. '개인정보취급자' 란 개인정보처리자의 지휘.감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원,파견근로자,시간제근로자 등을 말한다. 2. '개인정보취급자' 란 이용자의 개인정보를 수집.보관.처
  리,이용,제공,관리 또는 파기 등의 업무를 하는 자를
  말한다.
10. '개인정보처리시스템' 이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다. 4. '개인정보처리시스템' 이란 개인정보를 처리할 수 있도
 록 체계적으로 구성한 데이터베이스시스템을 말한다.
11. '위험도 분석' 이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별.평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안마련을 위한 종합적으로 분석하는 행위를 말한다  
19. '접속기록' 이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알수 있는 계정, 접속일시, 접속자정보, 수행업무 등을 전자적으로 기록한 것을 말한다.  7. '접속기록' 이라 함은 이용자 또는 개인정보취급자 등이
 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 식별자, 접속일시, 접속지를 알수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록하는 것을 말한다.
  3. '내부 관리계획' 이란 정보통신서비스 제공자등이
  개인정보의 안전한 취급을 위하여 개인정보보호 조직의
  구성, 개인정보취급자의 교육, 개인정보 보호조치 등을
  규정한 계획을 말한다.
  11. '보안서버' 라 함은 정보통신망에서 송.수신하는 정보를
  암호화하여 전송하는 웹서버를 말한다.
  12. '인증정보' 라 함은 개인정보처리시스템 또는 정보통신
  망을 관리하는 시스템 등이 요구한 식별자의 신원을
  검증하는 데 사용되는 정보를 말한다

 

● 개인정보보호책임자 (CPO) 지정

국법헌중 고
정3교3군4
34학행
민간기업 사업주 또는 대표자, 임원
(임원이 없는 경우 담당부서장)
개인정보보호법
임원, 담당부서장
(상시종업원5명미만시 지정안하거나 대표자가 CPO)
정보통신망법
공공기관 국회,법원,헌법재판소,중앙선관위의 행정사무처리기관
 및 중앙행정기관
고위공무원단에 속하는 공무원 개인정보보호법
정무직공무원을 장으로 하는
국가기관
3 이상 공무원
시.도 및 시.도교육 3 이상 공무원
시. 및 자치구 4급 공무원
3급 공무원을 장으로 하는
국각기관
4급 이상 공무원
정사무 총괄자
기타 공공기관 개인정보 처리관련업무를 담당하는
부서의 장

 

정책 (Policy) 반드시 충족해야할 특정 요구사항 또는 규칙에 대한 윤곽을 명세한 문서
표준 (Standard) 모든 사람에게 의해 충족되어야 할 모임 또는 시스템에 특화되거나 절차에 특화된
요구사항
지침 (GuideLine) 최상의 실행을 위해 시스템에 특화되거나 절차에 특화된 제안의 모임
절차 (Procedure) 정보보호 정책 표준 지침을 잘 적용할 수 있도록 도와주는 것으로
사용자 시스템 곤리자 및 운영자가 새로운 계정을 준비하고 적절한 권한을 할당하는
 등의 특정 작업을 수행하는 사람들이 따라할 수 있는 자세한 내용
규정 사내의 내부적인 문서로 특정 프로세스 수행 시 반드시 지켜야 할 항목을 나열한 것.

 

● 암호화 알고리즘 수학적 기반 원리

대칭키 블록암호 DES, AES, ARIA, SEED
스트림암호 RC4
공개키 이산대수 DSA, DH, Elgmal
소인수분해 RSA, Robin
타원곡선 ECC, ECDSA, KCDSA
해시 MDC MD5, SHA-1, SHA-2
MAC HMAC, CMAC, GMAC

 

● 암전한 암호화 알고리즘

  취약한 알고리즘 안전한 알고리즘
대칭키 DES, RC4
128비트 미만 AES, ARIA, SEED
SEED,
128비트 이상의 ARIA, AES, Blowfish
HEIGHT, LEA, KASUMI
공개키 2048비트 미만의 RSA RSAES-OAEP, RSAES-PKCS1
해시 MD5, SHA-1 , HAS-160 SHA-256 이상
Whirpool

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리 (9/10)  (0) 2021.06.17
ISMS-P 키워드별 정리 (8/10)  (0) 2021.04.28
ISMS-P 키워드별 정리(6/10)  (4) 2021.02.17
ISMS-P 키워드별 정리(5/10)  (0) 2021.02.15
ISMS-P 키워드별 정리(4/10)  (0) 2021.02.10
728x90
반응형
SMALL

개인정보의 안전성 확보조치 기준과 개인정보의 기술적,관리적 보호조치 기준 비교

개인정보의 안전성 확보조치 기준 개인정보의 기술적, 관리적 보호조치 기준
제1조 목적 제1조 목적
제2조 정의
10. "개인정보처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.
 - 개인정보처리시스템이란 일반적으로 데이터베이스(DB) 내의 데이터에 접근할 수 있도록 해주는 응용시스템을 의미하며, 데이터베이스를 구축하거나 운영하는데 필요한 시스템을 말한다.
 - 업무용 컴퓨터의 경우에도 데이터베이스 응용프로그램이 설치·운영되어 다수의 개인정보취급자가 개인정보를 처리하는 경우에는 개인정보처리시스템에 해당될 수 있다.
- 다만, 데이터베이스 응용프로그램이 설치·운영되지 않는 PC, 노트북과 같은 업무용 컴퓨터는 개인정보처리 시스템에서 제외된다. 
제2조 정의
공개된 무선망”이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다.
 - 공개된 무선망은 커피전문점, 도서관, 공항, 철도역, 버스터미널, 대학, 병원, 유통센터, 호텔 등에 설치될 수 있으며 개인정보처리자가 고객이나 방문객용으로 매장, 로비, 대합실, 회의실, 휴게실,주차장 등의 장소에 설치한 무선접속장치도 이에 해당한다.
 - 개인정보처리자가 직원의 업무처리 목적으로 사무실, 회의실 등에 무선접속장치(AP)를 설치하여 운영하는 경우 “공개된 무선망”에서 제외된다.
· CDMA, WCDMA 등의 기술을 사용하는 이동통신망은 “공개된 무선망”에서 제외된다
 
접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속자 정보, 수행업무 등을 전자적으로 기록한 것을 말한다  
제3조 안전조치 기준 적용 없음
제4조 내부관리계획의 수립.시행
    지역교권 통암기 악물조 유 위재위

1.개인정보보호책임자(CPO)의 지정에 관한 사항
2.개인정보보호책임자 및 개인정보취급자의 역할
  및 책임에 관한 사항 (CISO아님)
3.개인정보취급자의 교육에 관한 사항
4.접근권한의 관리에 관한사항
5.접근통제에 관한 사항
6.개인정보의 암호화조치에 관한 사항
7.접속기록 보관 및 점검에 관한 사항
8.악성프로그램 등 방지에 관한 사항
9.물리적 안전조치에 관한 사항
10.개인정보보호조직에 관한 구성 및 운영에 관한
   사항
11.개인정보 유출사고 대응계획 수립.시행에 관한
  사항.
12.위험도분석 및 대응방안 마련에 관한 사항
13.재해 및 재난대비 개인정보처리시스템의 물리
   적 안전조치에 관한 사항
14.개인정보처리 업무를 위탁하는 경우 수탁자에
   대한 관리 및 감톡에 관한 사항
제3조 내부관리계획의 수립.시행
      지역 내이 위도

1.개인정보관리책임자의 자격요건 및 지정에 관한 사항
2.개인정보관리책임자와 개인정보책임자의 역할 및 책임에
  관한 사항
3.개인정보 내부관리계획의 수립 및 승인에 관한 사항
4.개인정보의 기술적,관리적 보호조치 이행 여부의 내부
  점검에 관한 사항
5.개인정보처리업무를 위탁하는 경우 수탁자에 대한 관리
  감독에 관한 사항
6.개인정보의 도난,분실,누출,변조,훼손 등이 발생한 경우의
  대응절차 및 방법에 관한사항
내부관리계획 중 유형2는 해당하지 않는 항목
  : 위재위
위험도분석 및 대응방안 마련에 관한 사항
재해 및 재난대비 개인정보처리시스템의
    물리적 안전조치에 관한 사항
③ 개인정보처리 업무를 위탁하는 경우 수탁자에   
    대한 관리 및 감독에 관한 사항
 
제5조 접근권한의 관리
:유형1인 경우 다음 2가지 안해도 됨
① 개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여해야 한다.
② 계정및 비밀번호를 일정횟수 이상 틀렸을 경우 접근제한등의 기술적 조치를 취해야 한다
     -> 기술적,관리적보호조치기준에는 없다.
         (즉 정보통신서비스제공자는 해당없음)
정통망법에서는 비밀번호 일정횟수이상 틀린경우에 대한 접근제한사항에 대한 내용은 없다.

사용자패스워드는 내부적으로 설정한 규칙을 준수하면 되는 거지 영어대소문자,숫자,특수문자 조합 8자리이상 2개이상 조합시 10자리 이상 을 따를 필요는 없다. 다만 개인정보취급자는 위 규칙을 준수해야 한다.
제6조 접근통제
① 개인정보처리자는 다음 각호의 조치를 해야 한다.
1.개인정보처리시스템에 대한 접속권한을 IP 주소등으로 제한
2.개인정보처리시스템에 접속한 IP정보를 분석하여 불법적인 정보유출 시도를 탐지

② 외부에서 개인정보처리시스템에 접속하는 경우 VPN 또는 전용선 등 안전한 접속수단이나 안전한 인증수단(OTP) 을 적용 (즉 개보법에서는 둘중에 하나만 적용해도 되고, 망법에서는 둘다 해야 한다.)

③ 개인정보처리시스템, 업무용 컴퓨터, 모바일기기 및 관리용 단말기에 접근통제 조치

연1회이상 취약점 점검 수행

⑤ 일정시간 업무처리 안할시 자동 접속차단
     -> 기술적,관리적보호조치기준에는 없다.
         (즉 정보통신서비스제공자는 해당없음)

⑥ 별도의 개인정보처리시스템 없이 업무용 컴퓨터나 모바일기기를 이용하여 개인정보처리 시  제1항을 적용하지 않을 수 있다. (IP제한) 
  이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS: Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다

유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수있다.
- 안전한 접속수단(VPN,전용선), 안전한 인증수단(OTP) 적용
- 연1회이상 취약점 점검
- 일정시간 업무처리 안할시 자동접속차단
제4조 접근통제
<망분리 대상 - 100 100>
⑥ 전년도말 기준 직전 3개월간 그 개인정보가 저장.관리되고 있는 이용자수가 일일 평균 100만명 이상이거나,정보통신서비스부문 매출액이 100억원 이상인 정보통신서비스제공자는
- 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할수 있거나
- 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터등을 물리적 또는 논리적으로 망분리 해야한다,

* 회원현황만 조회가능한 단순 정보조회자 pc는 망분리 대상이 아니다.
* 개인정보의 기술적,관리적 보호조치 기준 제9조 (개인정보표시제한 보호조치) 에서 정한 미스킹 기준을 따라 개인을 식별할 수 없도록 마스킹 처리가 된 경우에는 망분리 적용대상 아니다.
  반면 DRM을 적용해서 암호화된 개인정보를 다운로드하는 경우에는 DRM과 상관없이 망분리 대상이다.
단순조회자 - 망분리X
마스킹      - 망분리X
DRM        - 망분리O
이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립
개인정보취급자는 비밀번호 작성규칙을 수립하고,이를 적용·운용하여야 한다.
    - 2문자조합 10자리,  3문조합 8자리 등...
  즉 이용자는 그냥 강제는 아니지만, 개인정보취급자(사용자)는 법에 맞는 작성규칙을 따라야 한다.
반면 안전성확보조치기준에서는, 제4조 (접근권한의관리)에서
⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.

<외부접속시 추가인증수단 적용>
외부에서 개인정보처리시스템에 접속을 불가피하게 허용할때에는 사용자계정/비밀번호 이외에 추가적인 인증수단을 적용해야 한다. 예를 들어 vpn적용해서 vpn아이디/비밀번호 접속후 사용자계정/비밀번호 접속으로만 하지 말고 otp등 추가적인 2차 인증수단을 적용해야 한다. 
(개보법에서는 안전한 접속수단(VPN,전용선) or 안전한 인증수단(OTP) 중 하나만
 적용해도 되지만 망법에서는 둘다 적용해야 함)

단순한 조회자권한만 있더라도 otp를 적용해야 한다.
(망분리 대상자와는 달리)
제7조 개인정보의 암호화
:유형1,2인 경우 다음 1가지 안해도 됨
①안전한 암호화키 생성.이용.보관.배포.파기절차를 수립.시행해야 한다.
제6조 개인정보의 암호화
③ 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보및 인증정보를 송.수신할때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호중 하나의 기능을 갖추어야 한다.
  1. 웹서버에 SSL 인증서를 설치하여 전송하는 정보를 암호화하여 송.수신 -> HTTPS 를 말함.
  2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송수신 -> http를 사용하는 대신 암호화해주는 응용프로그램이라도 있어야 한다.
  -> http://www.xxx.co.kr/join 식으로 회원관리페이지 URL인데 별도 암호화해서 전송해주는 응용프로그램도 없이 딸랑 웹방화벽만 있으면 결함.  (2.7.1 암호정책 적용)
제8조 접속기록의 보관 및 점검
 ① 접속한 기록을 1년이상 보관.관리하여야 한다
    다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, (1명이라도)고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템인 경우 2년이상 보관.관리하여야 한다.
 ② 개인정보처리자는 개인정보의 오남용,분실도난,유출,위조,변조,훼손 등에 대응하기위해 접속기록을 월1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우 내부관리계획으로 정하는 바에 따라 그 사유를 반드시 확인해야 한다
 ③ 개인정보처리자는 접속기록이 위.변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
(정보통신제공자와 달리 백업의무를 명시하지는 않았고 따라서 물리적인 저장장치에 보관하지 않아도 된다.)

접속기록관련해서는 3가지가 준수되어야 한다.
    1. 항목 - 계정,접속일시,IP,업무내용 등
    2. 보관 - 1년 or 2년
    3. 위변조방지 - 안전하게 보관 (백업,Hash)
제5조 접속기록의 위.변조 방지
① 정보통신제공자등은 접속한 기록을 월1회 이상 정기적으로 점검하고, 시스템 이상유무의 확인 등을 위하여 최소 1년 이상 접속기록을 보존.관리해야 한다.
② 단 제1항에도 불구하고 기간통신사업자의 경우에는 보존,관리해야 하는 기간을 2년으로 한다.
③ 정보통신제공자등은 접속기록이 위.변조 되지 않도록 별도의 물리적인 저장 장치에 보관하고 정기적으로 백업을 수행 하여야 한다.
제9조 악성프로그램 등 방지 제7조 악성프로그램 방지
제10조 관리용단말기의 안전조치
 "관리용 단말기" 란 개인정보시스템의 관리,운영,개발,보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다.
 
제11조 물리적 안전조치 제8조 물리적 접근방지
제12조 재해.재난대비안전조치
  ① 개인정보처리자는 화재,홍수,단전등의 재해.재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 한다.
 ② 개인정보처리자는 재해.재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련해야 한다.
  유형1, 유형2에 해당하는 개인정보처리자는 위 제1항,제2항의 조치를 이행하지 아니할 수있다
 
 
제13조 개인정보의 파기  
  제9조 출력.복사시 보호조치
  제10조 개인정보표시제한조치
  제11조 규제의 재검토
[별표] 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준  

 

● 개인정보의 안전성 확보조치 기준에만 나오는 항목 (차틀 V취세 관재파)

 안전성 확보조치에만 나오는 항목
  (차틀 V취세 관재파)

 즉 정보통신서비스제공자에게는 해당없는,
    개인정보보호법에 적용받는 공공기관에만 해당.

안전성확보조치에서는 안전한접속수단(VPN,전용선)
                         + 안전한인증수단(OTP)
기술적.관리적에서는 안전한인증수단(OTP)만 명시
접근권한 차등부여
비밀번호 일정횟수이상 틀렸을시 조치

VPN 또는 전용선 등 안전한 접속수단
일정시간 사용하지 않는경우 접속(세션) 차단
연1회이상 취약점 점검

관리용 단말기의 안전조치
재해.재난대비 안전조치
개인정보의 파기
기술적 관리적 보호조치에만 나오는 항목
(조백출표규)
2문자조합10자리이상,3문자조합 8자리 등 비밀번호 구체적인 작성규칙
접속기록 물리적인 저장장치에 백업
출력.복사시 보호조치
개인정보표시 제한조치
규제의 재검토

 

● 유형별 개인정보의 안전성 확보조치 기준

유형 기준 해당 회사 안해되 되는 항목
유형1 (완화)

내차틀 V취세재
1만명 미만의 정보주체에 관한 개인정보를 보유 소상공인,단체,개인 <유형1 - 안해도 되는 것>  ->  내차틀 V취세 재

 (1) 내부관리계획
         <제5조 접근권한의 관리>
 (2) 개인정보처리시스템에 대한 접근권한을 업무
     수행에 필요한 최소한의 범위로 업무담당자
     에 따라 차등 부여해야 한다.
 (3) 계정및 비밀번호를 일정횟수 이상 틀렸을
    경우 접근제한등의 기술적 조치를 취해야 한다
        
         < 제6조 접근통제 >
 (4) VPN,전용선 or OTP 적용
 (5) 연1회이상 취약점 점검
 (6) 일정시간 업무처리 안할시 자동접속차단
     (세션타임아웃)

          <제12조 재해.재난대비안전조치>
유형2 (표준)

위재위 키재
100만명 미만 중소기업 제4조 내부관리계획의 수립.시행
  아래 3가지를 내부관리계획에 포함하지 아니할 수 있다.
 12.위험도분석 및 대응방안 마련에 관한 사항
 13.재해 및 재난대비 개인정보처리시스템의 물리
   적 안전조치에 관한 사항
 14.개인정보처리 업무를 위탁하는 경우 수탁자에
   대한 관리 및 감톡에 관한 사항
제7조 개인정보의 암호화
 ①안전한 암호화키 생성.이용.보관.배포.파기
       절차를 수립.시행해야 한다.

제12조 재해.재난대비안전조치
10만명 미만 대기업, 중견기업, 공공기관
1만명 이상 소상공인, 단체, 개인
유형3 (강화) 10만명 이상 대기업, 중견기업, 공공기관  
100만명 이상 중소기업, 단체  

 

 유형

구분 1만명 미만 1만명 ~ 10만명 미만 10만명 ~ 100만명 미만 100만명 이상
소상공인 유형1 유형2
개인
단체 유형2 유형3
중소기업 유형2 유형3
공공기관 유형2 유형3
대기업
중견기업

 

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리 (8/10)  (0) 2021.04.28
ISMS-P 키워드별 정리(7/10)  (0) 2021.02.19
ISMS-P 키워드별 정리(5/10)  (0) 2021.02.15
ISMS-P 키워드별 정리(4/10)  (0) 2021.02.10
ISMS-P 키워드별 정리(3/10)  (0) 2021.02.08
728x90
반응형
SMALL

인증심사 일정

1일차 2~3일차 4일차 5일차
[시작회의]
 - 심사원 소개
 - 인증범위 소개
[인증범위설명]
 - 조직및 물리적범위 설명
[문서심사]
  - 정보자산목록
  - 정책문서 등
[심사팀 회의]
 - 추가자료요청
 - 인터뷰대상,일정
 - 심사주안점
[문서 및 현장심사]
[심사팀 회의]
[추가증적 확인 및 인터뷰]
[심사팀 회의]
[결함보고서 작성]
[검토회의]
[종료회의]
① 인증 신청인은 인증범위 및 일정 등을 심사수행기관(인증기관 아니고) 과 사전협의하여 신청하여야 한다. 
 서면심사는 별표 7의 인증기준에 적합한지에 대하여 정보보호 및 개인정보보호 관리체계 구축·운영 관련 정책, 지침, 절차 및 이행의 증적자료 검토, 정보보호대책 및 개인정보 처리단계별 요구사항 적용 여부 확인 등의 방법으로 관리적 요소를 심사한다.
 현장심사는 서면심사의 결과와 기술적·물리적 보호대책 이행여부를 확인하기 위하여 담당자 면담, 관련 시스템 확인 및 취약점 점검 등의 방법으로 기술적 요소를 심사한다. 

 

● 인증심사 중단 사유 - 고준보천

 1. 신청인이 고의 인증심사의 실시를 지연 또는 방해하거나 신청인의 귀책사유로 인하여 인증심사팀장
    인증심사를 계속 진행하기가 곤란하다고 판단하는 경우
 2. 신청인이 제출한 관련자료 등을 검토한 결과 인증심사를 받을 준비가 되었다고 볼수 없는 경우
 3. 인증심사 후 보완조치를 최대 100일 (재조치 요구 60일 포함) 이내에 완료하지 못한 경우
 4. 천재지변 및 경영환경 변화 등으로 인하여 인증심사 진행이 불가능하다고 판단되는 경우 

* 인증심사 기간중에 증적부족 및 인터뷰 스케쥴 지연 등이 발생하는 경우에는 그 전까지 확인된 사항만을
  가지고 결함보고서를 작성을 하고 규정된 기간내에 보완조치하도록 가이드를 한다.

 

● 인증심사원 자격유지조건

유효기간 3년 이내 42시간 이상 수료
  - 필수교육 : 1일 (7시간)
  - 선택교육 : 5일 (35시간)
인증심사 5일 참여시마다 선택교육 1일 이수한 것으로 인정

 

● 개인정보 안전성 확보조치 기준

내부관리계획 중 유형2는 해당하지 않는 항목 (위재위)
  - 위험도분석 및 대응방안 마련에 관한 사항
  - 재해 및 재난대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
  - 개인정보처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

 

업무양도양수시 고지

 - 고지내용에는 이전받는자의 정보를 고지하는 거지 이전하는 자의 정보를 고지하는 게 아니다.
    1.개인정보를 이전하려는 사실
    2.이전받는자의 성명,주소,전화번호 및 연락처
 - 개인정보보호법에서는 양수자가 이미 고지했으면 양수자는 고지 안해도 되지만
   정통망법에서는 무조건 양도자,양수자 각각 고지 해야 한다. (개통명 망통통)
 - 고지할때 개별통지가 어려우면 대신 양도자의 홈페이지에 30일 이상 게제만 해도
   된다.

 

주민등록번호 수집.이용 허용 법령 사례

법률 수집주체 사유
금융실명거래 및 비밀보장에 관한법률 금융회사 금융거래시 거래자의 성명,주민등록번호로 실명 확인
전자상거래 등에서의 소비자보호법 전자상거래 사업자 거래기록 및 그와 관련한 개인정보 보존
전자금융 거래법 금융기관, 전자금융업자 전자화폐를 사용하고자 할 경우 실지명의와 연결하여 관리
부가가치세법 일반사업자 세금계산서에 공급받은 자의 주소.성명,주민등록번호 기재
소득세법 원천징수 의무자 원천징수영수증상의 주민등록번호 기재
의료법 병원 진단서.처방전,진료기록부상의 주민등록번호 기재
보험업법 보험회사 각 호에서 정하는 업무수행에 불가피하경우
예) 회사가 단체보험가입때문에 임직원의
    주민등록번호처리
자격기본법 공인자격 관리자 공인자격증 기재사항 및 관리를 위해 주민등록번호 수집
이용가능
고용보험법 사업주 또는 훈련기관 직업능력개발 훈련비용 청구를 위한 지원서 작성시
훈련생의 주민등록번호 기재
전기통신사업법 전기통신사업자가 수시기간
에 재출
수사기관이 전기통신사업법에 의한 통신자료 요청 시
전자서명법   공인인증기관
방송법 방송사업자 방송사업자에 대해 정보공개 요구
벤처기업 육성에
관한 특별조치법
벤처기업 주식 교환 시 주주의 주민등록번호 기재사항

 

 개인정보보호조치 기준 조항 비교

개인정보의 안전성 확보조치 기준 개인정보의 기술적, 관리적 보호조치 기준
제1조 (목적) 제1조 (목적)
제2조 (정의) 제2조 (정의)
제3조 (안전조치기준 적용)  
제4조 (내부관리계획의 수립.시행) 제3조 (내부관리계획의 수립.시행)
제5조 (접근권한의 관리)  
제6조 (접근통제) 제4조 (접근통제)
제7조 (개인정보의 암호화) 제6조 (개인정보의 암호화)
제8조 (접속기록 보관 및 점검) 제5조 (접속기록 위변조 방지)
제9조 (악성프로그램 등 방지) 제7조 (악성프로그램 방지)
제10조 (관리용단말기의 안전조치)  
제11조 (물리적 안전조치) 제8조 (물리적 접근 방지)
제12조 (재해.재난대비 안전조치)  
제13조 (개인정보의 파기)  
  제9조 (출력.복사시 보호조치)
  제10조 (개인정보표시제한조치)
  제11조 (규제의 검토)
[별표] 개인정보처리자 유형 및 개인정보 보유량에
따른 안전조치 기준
 

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리(7/10)  (0) 2021.02.19
ISMS-P 키워드별 정리(6/10)  (4) 2021.02.17
ISMS-P 키워드별 정리(4/10)  (0) 2021.02.10
ISMS-P 키워드별 정리(3/10)  (0) 2021.02.08
ISMS-P 키워드별 정리(2/10)  (0) 2021.02.04
728x90
반응형
SMALL

● 정책(인증)협의회

[정보보호및 개인정보보호 관리체계 인증 등에 관한 고시]
제5조 (협의회의 운영)
① 협의회는 정보보호 및 개인정보보호 관리체계 인증제도 와 관련하여 다음 각 호의 사항을 협의한다.

1. 인증제도 연구 및 개선에 관한 사항
2. 인증제도 운영을 위한 제반사항 검토 및 품질관리에 관한 사항
3. 인증기관 및 심사기관의 지정·재지정 및 업무정지·지정 취소에 관한 사항
   (인증취소는 인터넷진흥원 또는 인증기관에서 담당한다.)
4. 인증기관 및 심사기관의 관리·감독에 관한 사항
5. 인증제도 운영에 따른 민원 처리 및 법적 분쟁에 관한 사항
  (인증심사 결과에 대한 이의처리는 인터넷진흥원이나 인증기관에서 처리한다.)
6. 그 밖에 협의가 필요한 사항

 

● 인증위원회

1. 인증위원회는 35인 이내의 위원으로 구성하되 위원은 정보보호 및 개인정보보호 관련 분야에 학식과 경험이
    있는 자중에서 인터넷진흥원 또는 인증기관의 장이 위촉하며, 위원장은 위원중에서 호선한다.
   인증위원회 회의마다 위원장과 인증위원의 전문분야를 고려하여 6인 이상의 인증위원으로 구성한다.

제29조 (인증위원회 구성)
① 인터넷진흥원 또는 인증기관의 장은 다음 각 호의 사항을 심의.의결하기 위하여 인증위원회를 설치.운영하여야 한다.

   (적취이)
  1.최초심사 또는 갱신심사 결과가 인증기준에 적합한지 여부
  2.인증의 취소에 관한 사항
  3.이의신청에 관한 사항

 

● 인증에 따른 심사구분

단일심사 하나의 인증만 신청하는 경우
 - ISMS만 신청하던지 ISMS-P를 신청하던지 둘중에 선택
혼합심사 같은 관리체계 내에서 일부 서비스만 개인정보흐름을 포함하여 인증을 받고자 하는 혼합심사의 경우
수수료와 심사과정을 통합하였으며 유효기간 및 심사주기가 동일하고 범위만 다른 2장의 인증서 발급
예시) ISMS인증범위 (금고서비스 운영), ISMS-P 인증범위 (인터넷뱅킹 서비스 운영)
예시) 다른 기간에 개별로 받는 인증은 해당하지 않음
   예) 상반기 ISMS , 하반기 ISMS-P인증
 • 개인정보를 이용하여 서비스를 한다고 무조건 ISMS-P 인증을 받아야 하는 것은 아님.
   의무대상자는 자체적으로 판단하여 ISMS, ISMS-P 인증 중에서 선택할 수 있다.
 • ISMS,PIMS를 모두 보유한 기업이 개정된 인증기준으로 ISMS-P를 신청하는 경우에는
   최초심사로 진행되며 새로운 인증서가 발급된다.
 • ISMS,PIMS를 모두 보유한 기업이 ISMS 범위가 A,B,C 이고 PIMS 범위가 A,B,D 인경우
   A,B,C,D 모두 개정된 인증기준의 ISMS로 신청할 수 있다.
 • ISO/IEC 27001 인증으로 인증심사의 일부를 생략할수 있는 건 ISMS인증인 경우에만 가능하다.
 • 인증심사의 일부의 범위를 생략하여 심사하는 경우 인터넷진흥원 또는 인증기관이
   인증을 부여할 때에는 그 사실을 인증서에 표기해야 한다.
 • 인증심사 일부 생략의 범위는
     2.1 정책,조직,자산
     2.2 인적보안
     2.3 외부자보안
     2.4 물리적보안
     2.12 재해복구

심사수행기관은 신청인과 협의를 통해 인증기준내에서 인증범위, 업무특성등을  고려하여 인증심사 항목을 조정할 수 있다. 
• 인증 신청인은 인증범위 및 일정 등을 심사수행기관과 사전 협의하여 신청하여야 한다.
• ISMS는 고객센터,영업점,물류센터,개인정보 취급위탁사는 심사하지 않는다.

 

● 인증수수료

    1. ISMS  - 정보시스템수 , 인력 수
    2. ISMS-P - 정보시스템수 , 인력 수 , 심사복잡도
       *심사복잡도 : ISMS-P는 개인정보위탁사, 서비스 수에 따라 추가금액 적용

● 개인정보분쟁조정위원회와 개인정보보호위원회

개인정보 분쟁조정위원회 개인정보 분쟁조정위원회는 개인정보와 관련한 분쟁사건을 합리적이고 원만하게 조정하여 해결하는 준사법적 기구이다.
1. 워원장1명을 포함하여 20명 이내의 위원으로 구성하며 위원은 당연직 위원과 위촉직 위원으로 구성한다.
2. 조정업무의 효율적 처리를 위하여 조정부를 설치할 수 있으며 조정부는 조정사건의 분야별로 위원장이 지명하는 5명 이내의 위원으로 구성하되 그 중 1명은 변호사 자격이 있는 위원으로 하게된다.
3. 이러한 조정부가 위원회에서 위임받아 의결한 사항은 개인정보 분쟁조정위원회에서 의결한것으로 본다.
개인정보보호위원회 개인정보보호에 관한 사항을 심의.의결하는 대통령 소속 행정위원회이다
1. 위원장 1명과 상임위원 1명을 포함하여 15명 이내로 구성하되, 상임위원은 정무직 공무원으로 임명한다.
2. 위원은
    ① 개인정보보호와 관련한 시민사회단체 또는 소비자단체로부터 추천받은 사람,    
    ② 개인정보처리자로 구성된 사업자단체로부터 추천을 받은 사람,  
    ③ 그 밖에 개인정보에 관한 학식과 경험이 풍부한 사람
  중에서 대통령이 임명하거나 위촉한다.
  다만 5명은 국회가 선출하는 사람과 대법원장이 지명하는 사람을 임명하거나 위촉한다.
3. 위원의 임기는 3년으로 하되, 1차에 한하여 연임할수 있다

 

 - 2개월 이상 ISMS 운영
 - 심사시작일 기준 최소 6주전에 신청서 제출  (준비부터 인증까지는 8개월 소요)
 - 심사후 결함 보완조치기간 40일
   추가적인 보완조치기간 60일
   총 100일

 

● ISMS 인증 의무대상자 기준

ISP

정보통신망서비스
[전기통신사업법]에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서
정보통신망서비스를 제공하는 자 (이동통신, 인터넷전화, 인터넷접속서비스)
예) LG U+ , SKT , KT
 * 정보통신망서비스 제공자라도 모두 의무대상자가 아니고 서울과 광역시에 서비스를
   제공하는 제공자만이 의무대상자 이다. (매출액이나 사용자에 관계없이)
예를 들어 부산광역시에서 ISP 서비스제공자는 의무대상자가 아니다.
서울 과 모든 광역시에서 서비스를 제공하는 사업자만이 대상자이다
IDC

집적정보통신시설
[정보통신망법] 에 따른 집적정보통신시설 사업자
(데이터센터, 서버호스팅,  Co-Location 서비스 등)
예) LG CNS, 삼성SDS 데이터센터
(매출액이나 사용자에 관계없이)

단. VIDC 즉 다른 IDC에 입주해서 재판매하는 사업자는 매출액이 100억원 이상인 경우
에만 의무 대상자이다.
다음의 조건중
어느 하나라도
해당하는 자

 - 상급종합병원(1,500억),
 - 대학교(1만명/1,500억)

 - 100억 정보통신
 - 100만명 정보통신
연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당하는 경우
 -[의료법] 에 따른 상급종합병원
 -직전연도 12월31일기준 재학생수가 1만명 이상인 [고등교육법] 에 따른 학교 
   (2년제 대학교, 4년제 대학교, 사이버대학교…)
정보통신서비스 부문 전년도 매출액이 100억원 이상인 자
(쇼핑몰, 포털, 게임사 등)
전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자
(쇼핑몰, 포털, 게임, 예약 , 케이블SO)
단 금융기관은 제외
* 일일평균이용자수란 PV (Page View)를 말하며 홈페이지에 들어온 접속자가 둘러본
  페이지수를 말한다.

 

● 인증심사원 자격신청 요건

4년제 대학졸업 이상 또는 이와 동등학력을 취득한 자로서 정보보호 및 개인정보보호 경력을 각 1년 이상 필수
보유하고 정보보호, 개인정보보호 또는 정보기술 경력을 합하여 6년 이상을 보유
정보보호 경력 정보보호 관련 박사 학위 취득자 2년
정보보호 관련 석사 학위 취득자
정보보안기사 , CISA , CISSP
1년
개인정보보호 경력 개인정보보호 관련 박사 학위 취득자 2년
개인정보보호 관련 석사 학위 취득자
PIA , CPPG
1년
변호사법에 따른 변호사의 경우에는 6년의 개인정보보호 유관경력을 보유한것 으로 본다 6년
정보기술 경력 정보기술 관련 박사 학위 취득자
기술사 , 감리사
2년
정보기술 관련 석사 학위 취득자
감리원, 정보처리기사, 전자계산기조직응용기사
1년

 

정보보호박사 학위가 있으며, 만2년의 보안경력을 가진 정보관리기술사 K씨 정보보호박사 - 개인정보보호 2년
2년의 보안경력 - 정보보호 2년
정보관리기술사 - 정보기술 2년
개인정보보호석사 학위가 있으며, 만3년의 보안경력과 정보보안기사, CPPG를 보유한 M씨 개인정보보호학사 - 개인정보보호 1년
(또는 CPPG 1년)
만3년 보안경력 - 정보기술 3년
정보보안기사 - 정보보호 1년 
4년제 대학졸업하고 만4년의 보안경력과 CPPG, 정보처리기사를 보유한 G씨 만4년 보안경력 - 정보보호 4년
CPPG              - 개인정보보호 1년
정보처리기사   - 정보기술 1년
4년제 대학졸업하고 , 만3년의 보안경력과 정보안기사, CPPG, 정보처리기사를 보유한 J씨 만3년의 보안경력 - 정보기술 3년
정보보안기사      - 정보보호 1년
CPPG                - 개인정보보호 1년

 

● 인증심사원 등급별 자격요건

심사원보 인증심사원 양성과정을 통과하여 자격을 취득한 자.
심사원 심사원보 자격취득자로서 인증심사에 4회이상 참여하고 심사일수의 합이 20일 이상인 자
선임심사원 심사원 자격취득자로서 정보보호및 개인정보보호 관리체계(ISMS-P) 인증심사를 3회이상 참여하고 심사일수의 합이 15일 이상인 자
책임심사원 인증심사능력에 따라 인터넷진흥원이 매년 책임심사원 지정
선임심사원이 매년 1월 1일 기준으로 1년 동안 다음의 요건을 모두 만족하는 경우 다음해 1년 동안 책임심사원으로 활당
  1. ISMS-P 2회를 포함하여 인증심사 4회 이상 참여하고 심사일수의 합이 20일 이상
  2. 최초 또는 갱신심사 1회 이상 참여
  3. 인증심사 수행 결과에 대한 심사원 평가 충족

 

● 인증심사원 평가항목

인증기준 이해력
심사보고서 작성능력
피심사자와 의사소통능력
결함판단능력
협업 및 심사태도
인증심사관련 이의제기
  ** 취약점 분석 능력은 평가항목 아님!!

"인증심사원" 이란 인터넷진흥원으로부터 인증심사를 수행할 수 있는 자격을 부여받고 인증심사를 수행하는 자를 말한다.

"정보보호 관리체계 인증" 이란 인증신청인의 정보보호 관련 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 것을 말한다.

"인증위원회"란 인터넷진흥원 또는 인증기관의 장이 인증심사 결과를 심의.의결하기 위하여 설치.운영하는 기구로서 위원자와 위원으로 구성된다.

"인증심사"란 신청기관이 수립하여 운영하는 관리체계가 인증기준에 적합한지의 여부를 인터넷진흥원, 인증기관 또는 심사기관이 서면심사 및 현장심사의 방법으로 확인하는 것을
말한다.

"인증기관" 이란 인증에 관한 업무를 수행할 수 있도록 과학기술정보통신부장관, 행정안전부장관 방송통신위원회가 지정하는 기관을 말한다.

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리(6/10)  (4) 2021.02.17
ISMS-P 키워드별 정리(5/10)  (0) 2021.02.15
ISMS-P 키워드별 정리(3/10)  (0) 2021.02.08
ISMS-P 키워드별 정리(2/10)  (0) 2021.02.04
ISMS-P 키워드별 정리(1/10)  (0) 2021.02.04

+ Recent posts