728x90
반응형
SMALL
오늘부터는 ISMS-P 인증기준에 대한 항목별 요약정리를 해보고자 합니다.
참고로 저는 2020년도 11월달에 시행한 인증심사원 자격시험에 58점으로 불합격했습니다. ㅠㅠ
2번째 낙방이지만 21년도에도 다시한번 도전할 예정입니다.
<두음신공>
| 1. 관리체계 수립 및 운영 - 기위운점 |
||
| 1.1 관리체계 기반 마련 | 기 - 경최조범정자 | 1.1.1 경영진의 참여 1.1.2 최고책임자의 지정 1.1.3 조직구성 1.1.4 범위설정 1.1.5 정책수립 1.1.6 자원할당 |
| 1.2 위험관리 | 위 - 자현위선 | 1.2.1 정보자산 식별 1.2.2 현황 및 흐름분석 1.2.3 위험평가 1.2.4 보호대책 선정 |
| 1.3 관리체계 운영 | 운 - 구공운 | 1.3.1 보호대책 구현 1.3.2 보호대책 공유 1.3.3 운영현황 관리 |
| 1.4 관리체계 점검 및 개선 | 점 - 법점개 | 1.4.1 법적 요구사항 준수 검토 1.4.2 관리체계 점검 1.4.3 관리체계 개선 |
1.1 관리체계 기반 마련 (경최조범정자)
| 항목 | 설명 및 사례 | keyword |
| 1.1.1 경영진이 참여 (권장절증) 경영진or권한위임자가 참여 장기간 보고안함 참여할수 있는 보고,검토,승인 절차 수립 안함 참여 명시한 정책or문서 증적없음 |
•관리체계 운영의 중요사항에 대해서 경영진의 참여가 이루어질수 있도 록 보고 및 의사결정체계를 수립 예) 위험평가 결과에 대해 최고경영자에게 보고를 수행하지 않았다. 사례 1 : 중요 정보보호 활동을 수행하면서 관련 활동 보고, 승인 등 의 사결정에 경영진 또는 경영진의 권한을 위임받은 자가 참여 하지 않았거나 관련 증적이 확인되지 않는 경우 사례 2 : 정보보호및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록 명시하였으 나, 장기간 관련 보고를 수행하지 않은 경우 기타 : 경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고,검토 및 승인 절차가 수립되 지 않았다. 기타 : 경영진의 정보보호및 개인정보보호 업무에 참여를 명시한 정책 또는 문서화된 증적이 없다. |
R&R 보고체계 |
| 1.1.2 최고책임자의 지정 | •정보보호 최고책임자(CISO) - 신고대상 (과기정통부장관에게 90일 이 내 신고) •개인정보 보호책임자(CPO) - 사업주,대표,임원,부서의 장 (임원이 없는 경우 개인정보 처리업무를 담당하는 부서의 장으로 임명가능) •둘다 임원급 * ISMS의무대상자중 직전 사업년도말 기준 자산총액이 5천억원 이상, 또는 자산총액이 5조원 이상인 기업은 CISO는 다른 업무를 겸직할수 없다. * 상시종업원 5명 미만시 정보통신서비스제공자는 CPO지정안할수 있으며 이때에는 대표자가 CPO가 됨 * 정통망법 시행령 제36조의7 (정보보호 최고책임자의 신고방법 및 절차) : 정보보호최고책임자를 지정하고 신고해야 하는 정보통신서비스 제 공자는 신고의무가 발생한 날로부터 90일 이내에 과학기술정보통 신부장관에게 신고해야 한다. <정보보호최고책임자(CISO) 신고 대상> 1.내용선별 소프트웨어 개발및 보급사업자 2. ISMS 인증의무 대상자 3. 특수유형 온라인서비스 제공자로 상시 종업원수가 5명이상이거나 전년도말 기준 직전 3개월간의 일일평균 이용자수가 1천명 이상인 자 4. 통신판매업자로서 상시 종업원수가 5명이상인 5. 음란물 및 사행성개임물 차단 프로그렘 제공 5. 상시 종업원수가 1천명 이상인 자 |
CISO, CPO 공식지정 요건 |
| 1.1.3 조직구성 | 실무조직,위원회,협의체 예) 정보보호위원회를 구성했으나 실제 위원구성에 임원이상의 실질적 의사결정자가 없는 경우 1. 정보보호위원회, 실무조직,협의체등 조직이 구성되어 있는가 2. 구성된 조직의 구성원이 적절하게 의사결정을 할수 있는 사람으로 되어 있는가? 3. 조직의 활동이 증적으로 확인되는가? 단, 구성원이 IT관련 전문성이 꼭 있어야 하는 것은 아니다. |
실무조직, 위원회, 협의체 |
| 1.1.4 범위설정 | 관리체계 범위설정 , 예외사항은 승인 , 문서작성 - 핵심자산을 누락없이 관리체계(ISMS-P)에 포함 - 예외사항은 승인필요 - ISMS-P 범위확인을 위해 문서화 * 다수의 자산혹은 시스템을 통제로 누락했다면 1. 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시 험시스템, 외주업체직원, PC, 단말기 등이 관리체계 범위에서 누락됨. 2. 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사 업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원, 사업부 서 등의 핵심조직(인력)을 인증범위에 포함하지 않은 경우 3. 인증범위 내 조직 및 인력에 적용하고 있는 보안시스템 (PC보안, 백 신, 패치 등)을 인증범위에서 배제하고 있는 경우 4. 정보보호 관리체계 의무대상자임에도 불구하고 인터넷에 공개되어 있는 일부 웹사이트가 관리체계 범위에 누락된 경우 |
핵심 문서화 예외 |
| 1.1.5 정책수립 | •정책수립 - 경영진의 의지와방향,역할과책임 대상과 범위, 활동의 근거 •조직이 수행하는 정보보호및 개인정보보호 활동의 근거를 포함하는 최 상위 수준의 정책 수립 •지침/절차/매뉴얼, 승인 , 이해하기 쉬운, •내부관리계획 (지역교권 통암기 악물조 유 위재위 / 지역 내이 위도) •재.개정시 승인 *즉 정책.시행문서 작성을 하고 경영진의 승인을 받고 임직원들에게 공유되어야 한다는 뜻 예)정책및 지침서가 최근 개정되었으나 임직원에게 공유가 안된 경우 (2.1.1 정책의 유지가 아님) 정책이 임직원에게 공유가 되어서 정책을 잘 준수할 수있도록 해야함. 즉 정책이니 지침이 이 제대로 공유가 안되어서 임직원이 몰라서 정보보호 지침을 못지키는 경우는 '정책수립' 결함이다. 예) 중요서버를 도입했을때 지침에 따라 통제구역에 두어야 하는데 몰라서 그냥 사무실 한구석에 둔 경우는 통제구역지정과 관련된 '2.4.1 보호구역지정' 결함이 아니고 1.1.5 정책수립' 결함이다. |
정책 시행문서 승인 (CEO, CISO) 전달 |
| 1.1.6 자원할당 | •전문성갖춘 인력, 예산과 인력 지원 •인증취득후 인력과 예산을 다른 용도로 전환 |
인력(전문성) 확보, 예산, 인력 지원, 계획, 결과 분석 평가 |
1.2 위험관리 (자현위선)
| 항목 | 설명 및 사례 | keyword |
| 1.2.1 정보자산 식별 | •식별하여 자산목록 ,중요도 결정(보안등급) ,최신유지 - ISMS-P 범위내의 모든 자산을 식별 - 보안등급 부여 (내부지침 분류기준과 실제 자산관리대장의 분류기준이 일치해야함) - 최신으로 유지 * 특정 자산이 식별되지 않고 누락된 경우 1 : 자산목록에서 중요정보 취급자 및 개인정보취급자, PC를 통제하는데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락 2 : 내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우 3 : 회원DB서버에 대해서는 중요도를 3으로 식별했으나 회원DB서버에 대한 백업서버에 대해서는 중요도를 2로 평가한 경우 (둘다 같은 중요도로 식별해야 한다.) |
기준, 식별, 보안등급, 정기적 최신화 |
| 1.2.2 현황 및 흐름분석 | •정보서비스흐름도 , 개인정보흐름도 , 문서의 최신성 - 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석 하고 업무 절차와 흐름을 파악하여 문서화하며, - 이를 주기적으로 검토하여 최신성을 유지하여야 한다. |
정보서비스흐름도, 개인정보흐름도, 최신화 |
| 1.2.3 위험평가 | •수용할수 있는 위험은 경영진의 승인 •위험관리계획,위험평가,위험식별,수용가능위험수준 •조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. 사례 : 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표위험수준을 설정하였으나 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우 |
방법론, 계획, 연1회, DOA , 경영진 승인 |
| 1.2.4 보호대책 선정 | •보호대책 , 이행계획 •식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정 •보호대책의 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보고 위험감소-위험을줄일려고 개발보완 위험회피-리스크있는 회원가입 포기 위험전가-보험가입 위험수용-단 법률위반에 해당하는 위험은 위험수용에 포함되면 안된 다. (예) 대외기관 연계시 개인정보 전송시에 침해사고 위협이 없으므로 암호화 안하고 전송한다. (X) -> 개인정보 기술적.관리적 보호조치 기준 제6조(개인정보 암호화) 규정에 위배되는 위험을 위험수용으로 할수없다. |
위험처리(회피,전가,감소,수용), 이행계획 |
1.3 관리체계 운영 (구공운)
| 항목 | 설명 및 사례 | keyword |
| 1.3.1 보호대책 구현 | •선정한 보호대책의 구현과 이행결과 확인 및 보고 •이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여 부를 경영진이 확인할 수 있도록 보고 •관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체 적으로 작성. |
보호대책 구현 정확성, 효과성, 구체성 진척 보고 |
| 1.3.2 보호대책 공유 | •구현된 보호대책을 운영할 시행부서 및 교육 - 구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악 - 구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육 '1.1.5 정책수립의 공유' 는 정책을 임직원 모두에게 공유한다는 것이고, '1.3.2 보호대책 공유' 는 보호대책을 구현/시행할 부서 및 담당자에게 공유(교육) 한다는 뜻이다. |
담당, 공유&교육 |
| 1.3.3 운영현황 관리 | - 관리체계 운영을 위해 주기적 또는 상시적으로 수행해야 하는 정보보호 및 개인정 보보호 활동을 문서화하여 관리하고 있는가? - 경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고 이를 관리하고 있는가? 예) 매월 정보보호의 날 같은 활동을 말한다 |
(개인)정보보호활동 문서화, 경영진 확인 |
1.4 관리체계 점검 및 개선 (법점개)
| 항목 | 설명 및 사례 | keyword |
| 1.4.1 법적 요구사항 준수 검토 | •법개정사항 반영 , 연1회이상 법적 준거성 검토 - 준수해야할 법규 요구사항반영 |
법규 최신성, 연1회 검토 |
| 1.4.2 관리체계 점검 | •독립성과 전문성 인력이 연1회이상 관리체계 점검 및 경영진 보고 - 법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검 계획을 수립하고 있는가? - 관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 경영진에게 보고하고 있는가? |
인력(독립성, 전문성), 연1회 경영진 보고 |
| 1.4.3 관리체계 개선 | •재발방지대책 및 핵심성과지표 수립 •핵심성과지표-지침위반율,예외승인건수,보안프로그램 설치율 ,악성프로그램감영율,자가검침율 - 법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계 상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립․이행하고 있는가? - 재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하였는가? -> 핵심성과지표를 통해 효과 확인 |
근본원인, 재발방지 기준 절차 |
728x90
반응형
LIST
'ISMS-P' 카테고리의 다른 글
| ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(1/3) (0) | 2021.01.13 |
|---|---|
| ISMS-P 인증기준 - 2. 보호대책 요구사항 (3/3) (0) | 2021.01.11 |
| ISMS-P 인증기준 - 2. 보호대책 요구사항 (2/3) (0) | 2021.01.07 |
| ISMS-P 인증기준 - 2. 보호대책 요구사항 (1/3) (0) | 2021.01.06 |
| ISMS-P 인증기준항목 두음신공 정리 (0) | 2021.01.06 |