728x90
반응형
SMALL
3.1. 개인정보 수집 제한
(일과단가) 3. 개인정보 처리단계별 요구사항 - 보제 파권
   3.1 개인정보 수집 시 보호조치 - 동 주민간 영홍
사례 1 : 회원가입 시 서비스 제공을 위해 필요한 최소한의 정보 외의 기타 정보들을 수집하면서 필수항목과
           선택항목으로 구분하지 않고 일괄로 동의를 받는 경우
사례 2 : 회원가입 양식에서 필수정보와 선택정보로 나눠서 동의를 받고 있으나, 필수정보에 포함된 개인정보
           항목에 서비스 제공을 위해 필요한 최소한의 정보 외의 과도한 개인정보 항목이 포함되어 있는 경우
사례 3 : 회원가입 양식에서 필수와 선택 정보를 구분하여 별도 동의를 받도록 되어 있었으나, 선택정보에 대해
          동의하지 않아도 회원가입이 가능함을 정보주체가 인지할 수 있도록 구체적으로 알리지 않은 경우
         (개인정보 입력 양식에 개인정보 항목별로 필수, 선택 여부가 표시되어 있지 않은 경우 등)
사례 4 : 홈페이지 회원가입 화면에서 선택사항에 대해 동의하지 않거나 선택정보를 입력하지 않으면 다음 단계
          넘어가지 않거나 회원가입이 차단되는 경우
기타 1 : 채용시 부모님의 직업등 업무와 직접적인 연관이 없는 개인정보를 수집하고 있음.
기타 2 : 횸페이지 회원가입 시 선택사항 동의를 하지 않으면 회원가입이 불가능
          (반대로 민감정보인 건강상태를 필수정보로 분류하고 동의하지 않으면 회원가입을 거부하는건 가능)
3.1.2 개인정보의 수집 동의
(거등미비14) 3. 개인정보 처리단계별 요구사항 - 보제 파권 
   3.1 개인정보 수집 시 보호조치 -  주민간 영홍
사례 1 : 개인정보 보호법을 적용받는 개인정보처리자가 개인정보 수집 동의 시 고지 사항에 ʻ동의거부 권리 및
           동의 거부에 따른 불이익 내용ʼ을 누락한 경우 (목항기거를 명확하게 표시하여야 한다)
            -> 단 거부에 대한 고지는 개보법(목항기거) 에서만 나오지 망법(목항기)에서는 없다
사례 2 : 개인정보 수집 동의 시 수집하는 개인정보 항목을 구체적으로 명시하지 않고 ʻ~등ʼ과 같이 포괄적으로
           안내하는 경우
사례 3 : 쇼핑몰 홈페이지에서 회원가입 시 회원가입에 필요한 개인정보 외에 추후 물품 구매 시 필요한 결제 ․
          배송 정보를 미리 필수 항목으로 수집하는 경우
사례 4 : Q&A, 게시판을 통해 비회원의 개인정보(이름, 이메일, 휴대폰번호)를 수집하면서 개인정보 수집 동의
          절차를 거치지 않은 경우
사례 5 : 만 14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의를 받지 않은 경우
3.1.3 주민등록번호 처리 제한
  3. 개인정보 처리단계별 요구사항 - 보제 파권 
   3.1 개인정보 수집 시 보호조치 - 동 민간 영홍
사례 1 : 홈페이지 가입과 관련하여 실명확인, 단순 회원관리 목적을 위해 정보주체(이용자)의 동의에 근거하여
          주민등록번호를 수집한 경우
사례 2 : 정보주체의 주민등록번호를 시행규칙이나 지방자치단체의 조례에 근거하여 수집한 경우
사례 3 : 비밀번호 분실 시 본인확인 등의 목적으로 주민등록번호 뒷 7자리를 수집하지만, 관련된 법적 근거가
          없는 경우
사례 4 : 채용전형 진행단계에서 법적 근거 없이 입사지원자의 주민등록번호를 수집한 경우
사례 5 : 콜센터에 상품, 서비스 관련 문의 시 본인확인을 위해 주민등록번호를 수집한 경우
사례 6 : 주민등록번호 수집 법정주의 시행 이전에 수집하여 저장하고 있던 주민등록번호를 현재 법적 근거가
          없음에도 파기하지 않고 보관하고 있는 경우
           -> D기관은 주민등록번호 수정법정주의 시행 이전에 수집.저장했던 주민등록번호를 감사원 규칙에 근거하여
               계속 보관하고 있다. (O)
               ("법률,대통령령,국회규칙,대법원규칙 ,헌법재판소규칙,중앙선거관리위원회규칙 및 감사원규칙에서
                주민등록번호 처리를 요구를 허용한 경우" 에 해당되기 때문)
사례 7 : 주민등록번호 수집의 법적 근거가 있다는 사유로 홈페이지 회원가입 단계에서 대체수단을 제공하지
           아니하고 주민등록번호를 입력받는 본인확인 및 회원가입 방법만을 제공한 경우
기타 : EEE기업은 영업상목적을 위하여 이용자의 주민등록번호 수집.이용이 불가피한 정보통신서비스제공자로서
        방송통신위원회의 고시에 근거하여 주민등록번호를 수집하였다. (O)
        ("정보통신서비스제공자로서 방송통신위원회에서 고시한 경우" 에 해당됨)
3.1.4 민감정보 및 고유식별정보의 처리 제한
  3. 개인정보 처리단계별 요구사항 - 보제 파권 
   3.1 개인정보 수집 시 보호조치 - 동 주간 영홍
사례 1 : 장애인에 대한 요금감면 등 혜택 부여를 위해 장애여부 등 건강에 관한 민감정보를 수집하면서 다른 
          개인정보 항목에 포함하여 일괄 동의를 받은 경우
사례 2 : 회원가입 시 외국인에 한해 외국인등록번호를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 
           받은 경우
사례 3 : 민감정보 또는 고유식별정보에 대하여 별도 동의를 받으면서 고지해야 할 4가지 사항 중에 일부를 누락
           하거나 잘못된 내용으로 고지하는 경우 (동의 거부 권리 및 동의 거부에 따른 불이익 사항을 고지하지 
           않은 경우 등)
기타 : 병력과 운전면허번호을 묶어서 한꺼번에 별도 동의를 받는 경우
* 단, 유전정보와 범죄경력정보는 공공기관의 업무수행시에는 민감정보로 보지 않기 때문에 동의 필요없다.
    예) 경찰서는 업무수행을 위해 정보주체의 유전자정보를 별도의 동의없이 수집이 가능하다.
3.1.5 간접수집 보호조치
수집출처요구
3개월내통지
쿠키수집시 동의
(5,100,3,3) 		 3. 개인정보 처리단계별 요구사항 - 보제 파권 
   3.1 개인정보 수집 시 보호조치 - 동 주 영홍
사례 1 : 인터넷 홈페이지, SNS에 공개된 개인정보를 수집하고 있는 상태에서 정보주체(이용자)의 수집출처 요구
           에 대한 처리절차가 존재하지 않는 경우
사례 2 : 개인정보 보호법 제17조제1항제1호에 따라 다른 사업자로부터 개인정보 제공동의를 근거로 개인정보를
          제공받았으나 이에 대해 해당 정보주체에게 3개월 내에 통지하지 않은 경우(단, 제공받은 사업자가 5만명
         이상 정보주체의 민감정보 또는 고유식별정보를 처리하거나 100만명 이상 정보주체의 개인정보를 처리하
         는 경우)
사례 3 : 서비스 제공과 직접 관련이 없는 타겟 마케팅 목적으로 쿠키에 포함된 개인정보를 동의받지 않고 수집하
          는 경우 (반대로 계약이행에 필요한 경우 동의없이 쿠키정보 수집이 가능하다는 뜻.)
기타 : 정보주체 이외로부터 수집한 개인정보를 처리하는 A회사는 정보주체에게 알린 사실, 알린시기, 알린방법 등
        수집출처에 대해 알린기록을 5년간 보관.관리하였다 (X)
           -> 개인정보 파기시 까지 보관해야 한다.

1.인터넷등 공개된 개인정보
2.다른사람으로부터 받은 개인정보
3.쿠키등 자동수집장치
등 위 3가지의 사례가 나오면 '3.1.5 간접수집 보호조치' 에 해당
3.1.6 영상정보처리기기 설치 ․ 운영
  3. 개인정보 처리단계별 요구사항 - 보제 파권 
   3.1 개인정보 수집 시 보호조치 - 동 주민간 
사례 1 : 영상정보처리기기 안내판의 고지 문구가 일부 누락 되어 운영되고 있거나 영상정보처리기기 운영 ․ 관리
           방침을 수립 ․ 운영하고 있지 않는 경우
사례 2 : 영상정보처리기기 운영 ․ 관리 방침을 수립 운영하고 있으나 방침의 내용과 달리 보관기간을 준수하지
           않고 운영되거나, 영상정보 보호를 위한 접근통제 및 로깅 등 방침에 기술한 사항이 준수 되지 않는 등
          관리가 미흡한 경우
사례 3 : 영상정보처리기기의 설치 ․ 운영 사무를 외부업체에 위탁을 주고 있으나 영상정보의 관리현황 점검에
           관한 사항, 손해배상 책임에 관한 사항 등 법령에서 요구하는 내용을 영상정보처리기기 업무 위탁 계약
          서에 명시하지 않은 경우
사례 4 : 영상정보처리기기의 설치 ․ 운영 사무를 외부업체에 위탁을 주고 있으나 영상정보처리기기 안내판에
          수탁자의 명칭과 연락처를 누락하여 고지한 경우
3.1.7 홍보 및 마케팅 목적 활용 시 조치
  ( 포괄 PUSH DEFAULT 2년) 3. 개인정보 처리단계별 요구사항 - 보제 파권 
   3.1 개인정보 수집 시 보호조치 - 동 주민간 
사례 1 : ʻ홍보 및 마케팅ʼ 목적으로 개인정보를 수집하면서 ʻ부가서비스 제공ʼ, ʻ제휴 서비스 제공ʼ 등과 같이
           목적을 모호하게 안내하는 경우 또는 다른 목적으로 수집하는 개인정보와 구분하지 않고 포괄 동의
           받는 경우
사례 2 : 모바일 앱에서 광고성 정보전송(앱푸시)에 대해 거부 의사를 밝혔으나, 프로그램 오류 등의 이유로 광고성
          앱 푸시가 이루어지는 경우
사례 3 : 온라인 회원가입 화면에서 문자, 이메일에 의한 광고성 정보 전송에 대해 디폴트로 체크되어 있는 경우
사례 4 : 광고성 정보 수신동의 여부에 대해 매 2년 마다 확인을 하지 않은 경우
3.2.1 개인정보 현황관리
  (누등상) 3. 개인정보 처리단계별 요구사항 - 수제 파권
   3.2 개인정보 보유 및 이용시 보호조치 - 품표 단목
사례 1 : 개인정보파일을 홈페이지의 개인정보파일 등록 메뉴를 통해 목록을 관리하고 있으나 그 중 일부 홈페이
          지 서비스와 관련된 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우
사례 2 : 신규 개인정보파일을 구축한지 2개월이 경과하였으나, 해당 개인정보파일을 행정안전부에 등록하지 않은
           경우
사례 3 : 행정안전부에 등록되어 공개된 개인정보파일의 내용(수집하는 개인정보의 항목 등)이 실제 처리하고 있는
           개인정보파일 현황과 상이한 경우
3.2.2 개인정보 품질보장
   3. 개인정보 처리단계별 요구사항 - 수제 파권 
   3.2 개인정보 보유 및 이용시 보호조치 - 표 단목
사례 1 : 인터넷 홈페이지를 통해 회원정보를 변경할 때는 본인확인 절차를 거치고 있으나, 고객센터 상담원과의
           통화를 통한 회원 정보 변경 시에는 본인확인 절차가 미흡하여 회원정보의 불법적인 변경이 가능한 경우
사례 2 : 온라인 회원에 대해서는 개인정보를 변경할 수 있는 방법을 제공하고 있으나, 오프라인 회원에 대해서는
          개인정보를 변경할 수 있는 방법을 제공하고 있지 않은 경우
3.2.3 개인정보 표시제한 및 이용 시 보호조치
  (Like마비) 3. 개인정보 처리단계별 요구사항 - 수제 파권 
   3.2 개인정보 보유 및 이용시 보호조치 - 현품 단목
사례 1 : 개인정보 표시제한 조치 표준이 마련되어 있지 않거나 이를 준수하지 않는 등의 사유로 동일한 개인정보
           항목에 대해 개인정보처리시스템 화면 별로 서로 다른 마스킹 기준이 적용된 경우
사례 2 : 개인정보처리시스템의 화면 상에서는 개인정보가 마스킹되어 표시되어 있으나, 웹브라우저 소스보기를
           통해 마스킹되지 않은 전체 개인정보가 노출되는 경우
사례 3 : 개인정보 검색 화면에서 전체적으로 like 검색이 허용되어 성씨만으로도 불필요하게 과도한 개인정보
           조회되는 경우
사례 4 : 개인정보를 동의 받은 목적을 벗어나 빅데이터 분석에 활용하기 위해 비식별 조치를 하면서 ʻ개인정보
          비식별 조치 가이드라인ʼ에 따른 공식적인 적정성 평가 절차를 거치지 않고 내부 인원만으로 적정성 평가
          를 수행한 경우
3.2.4 이용자 단말기 접근 보호
  3. 개인정보 처리단계별 요구사항 - 수제 파권 
   3.2 개인정보 보유 및 이용시 보호조치 - 현품표 
사례 1 : 스마트폰 앱에서 서비스에 불필요함에도 불구하고 주소록, 사진, 문자 등 스마트폰 내 개인정보 영역에
          접근할 수 있는 권한을 과도하게 설정한 경우
사례 2 : 정보통신서비스 제공자의 스마트폰 앱에서 스마트폰 내 저장되어 있는 정보 및 설치된 기능에 접근하면
          서 접근권한에 대한 고지 및 동의를 받지 않고 있는 경우
사례 3 : 스마트폰 앱의 접근권한에 대한 동의를 받으면서 선택사항에 해당하는 권한을 필수권한으로 고지하여
           동의를 받는 경우
사례 4 : 접근권한에 대한 개별동의가 불가능한 안드로이드 6.0 미만 버전을 지원하는 스마트폰 앱을 배포하면서
          선택적 접근권한을 함께 설정하여, 선택적 접근권한에 대해 거부할 수 없도록 하고 있는 경우
3.2.5 개인정보 목적 외 이용 및 제공
 동법급통 소약범법형
 3. 개인정보 처리단계별 요구사항 - 수제 파권 
   3.2 개인정보 보유 및 이용시 보호조치 - 현품표 
사례 1 : 상품배송을 목적으로 수집한 개인정보를 사전에 동의 받지 않은 자사 상품의 통신판매 광고에 이용한 경우
사례 2 : 고객 만족도 조사, 경품 행사에 응모하기 위해 수집한 개인정보를 자사의 할인판매행사 안내용 광고 발송
           에 이용한 경우
사례 3 : 공공기관이 다른 법률에 근거하여 민원인의 개인정보를 목적 외로 타 기관에 제공하면서 관련 사항을
           관보 또는 인터넷 홈페이지에 게시하지 않은 경우 (제공한후 30일 이내, 10일 이상 게시)
사례 4 : 공공기관이 범죄 수사의 목적으로 경찰서에 개인정보를 제공하면서 ʻ개인정보 목적 외 이용 및 제3자
           제공 대장ʼ에 관련 사항을 기록하지 않은 경우 (범죄의 경우에는 관보 또는 인터넷에 게시안해도 됨)
기타 : 사단법인 남극연구소에서 남극협정을 준수하기 위해 국제기구에 남극 방문신청자의 개인정보를 동의없이
        제공하였다. (조약,그밖의 국제협정을 이행하기 위해 정보주체의 동의없이 외국정부 또는 국제기구에 개인정보를
                        제공하는 것은 '공공기관'에만 해당된다.) 
기타 : 법원에서 재판 수행을 위해 등기소로부터 건물주의 개인정보를 제공받았고 이를 법원 홈페이지에 게시하였다.(X)
           -> 개인정보를 제공받는자가 아닌 개인정보를 제공하는 자의 홈페이지에 게시하여야 한다.
기타 : 교통사고를 당한 의식불명의 환자의 가족에 연락하기 위해 119 구급대가 환자의 신원을 병원에 제공하였다.(O)
           -> 급박한 상황
기타 : 공공기관에서 소관업무를 수행하기 위하여 개인정보를 제3자에게 제공 후 관보에 게재하였다. (X)
           -> 보호위원회의 심의를 거쳐야 한다. 
728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리(1/10)  (0) 2021.02.04
ISMS-P 결함사례 (7/7)  (0) 2021.02.04
ISMS-P 결함사례 (5/7)  (0) 2021.02.01
ISMS-P 결함사례 (4/7)  (0) 2021.01.29
ISMS-P 결함사례 (3/7)  (0) 2021.01.27
728x90
반응형
SMALL
2.4.1 보호구역 지정
  2. 보호대책 요구사항 - 정인외 인접암정 운보사재 
    - 2.4 물리적보안 - 출정설작반업
사례 1 : 내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되어 있으나
           멤버십 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통제구역에서 누락된 경우
사례 2 : 내부 물리보안 지침에 통제구역에 대해서는 지정된 양식의 통제구역 표지판을 설치하도록 명시하고 있
          으나 일부 통제구역에 표시판을 설치하지 않은 경우
2.4.2 출입통제
(출개과퇴)

입기록검토
방된 상태
도한 출입권한
권한목록에 사자가		 2. 보호대책 요구사항 - 정인외 인접암정 운보사재  
    - 2.4 물리적보안 - 정설작반업
사례 1 : 통제구역을 정의하여 보호대책을 수립하고 출입 가능한 임직원을 관리하고 있으나 (여기까지는 2.4.1 보호   
           구역지정), 출입기록을 주기적으로 검토하지 않아 퇴직, 전배 등에 따른 장기 미 출입자가 다수 존재하고
           있는 경우 (출입기록 검토는 '출입통제' 역할)
사례 2 : 전산실, 문서고 등 통제구역에 출입통제 장치가 설치되어 있으나 타당한 사유 또는 승인 없이 장시간
          개방 상태로 유지하고 있는 경우
사례 3 : 일부 외부 협력업체 직원에게 과도하게 전 구역을 상시 출입할 수 있는 출입카드를 부여하고 있는 경우
사례 4 : 통제구역 권한목록에 퇴사자가 존재

기타 : 출입통제 앞에 CCTV 안내판을 설치하지 않았다. (X)
       -> 결함아님.. 공개된 장소가 아니기 때문에 안내판 설치는 의무가 아니다.
2.4.3 정보시스템 보호
  2. 보호대책 요구사항 - 정인외 인접암정 운보사재  
    - 2.4 물리적보안 - 설작반업
사례 1 : 시스템 배치도가 최신 변경사항을 반영하여 업데이트 되지 않아 장애가 발생된 정보시스템을 신속하게
           확인할 수 없는 경우
사례 2 : 서버실 바닥 또는 랙에 많은 케이블이 정리되지 않고 뒤엉켜 있어 전기적으로 간섭, 손상,누수, 부주의
           등에 의한 장애 발생이 우려되는 경우
기타 : 렉실장도를 최신화하지 않아 장애시 장애시스템의 위치를 파악하지 못해 RTO를 초과하여 복구하였다.
2.4.4 보호설비 운영
  2. 보호대책 요구사항 - 정인외 인접암정 운보사재  
    - 2.4 물리적보안 - 출정작반업
사례 1 : 본사 전산실 등 일부 보호구역에 내부 지침에 정한 보호설비를 갖추고 있지 않은 경우
사례 2 : 전산실 내에 UPS, 소화설비 등의 보호설비는 갖추고 있으나 관련 설비에 대한 운영 및 점검기준을 수립
          하고 있지 않은 경우
사례 3 : 운영지침에 따라 전산실 내에 온 ․ 습도 조절기를 설치하였으나 용량 부족으로 인하여 표준 온 ․ 습도를
          유지하지 못하여 장애발생 가능성이 높은 경우.
2.4.5 보호구역 내 작업
(승인 & 점검)

작업 승인
작업기록 분기별 1회 점검		 2. 보호대책 요구사항 - 정인외 인접암정 운보사재  
    - 2.4 물리적보안 - 출정설반업
사례 1 : 전산실 출입로그에는 외부 유지보수 업체 직원의 출입기록이 남아 있으나, 이에 대한 보호구역 작업
          신청 및 승인 내역은 존재하지 않은 경우(내부 규정에 따른 보호구역 작업 신청없이 보호구역 출입 및
           작업이 이루어지고 있는 경우)
사례 2 : 내부 규정에는 보호구역 내 작업기록에 대해 분기별 1회 이상 점검하도록 되어 있으나, 특별한 사유
           없이 장기간 동안 보호구역 내 작업기록에 대한 점검이 이루어지고 있지 않은 경우
2.4.6 반출입 기기 통제
  2. 보호대책 요구사항 - 정인외 인접암정 운보사재  
    - 2.4 물리적보안 - 출정설작
사례 1 : 이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역이동컴퓨팅기기 반입에 대한
           통제를 하고 있지 않아 출입이 허용된 내외부인이 이동컴퓨팅기기를 제약없이 사용하고 있는 경우
사례 2 : 내부 지침에 따라 전산장비 반.출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리책임자의
           서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우
2.4.7 업무환경 보안
  2. 보호대책 요구사항 - 정인외 인접암정 운보사재  
    - 2.4 물리적보안 - 출정설작반
사례 1 : 개인정보 내부관리계획서 내 개인정보보호를 위한 생활보안 점검(클린데스크 운영 등)을 정기적으로
           수행하도록 명시하고 있으나 이를 이행하지 않은 경우
사례 2 : 멤버십 가입신청서 등 개인정보가 포함된 서류를 잠금장치가 없는 사무실 문서함에 보관한 경우
사례 3 : 직원들의 컴퓨터 화면보호기 및 패스워드가 설정되어 있지 않고 휴가자 책상 위에 중요문서가 장기간
           방치되어 있는 경우
사례 4 : 회의실 등 공용 사무 공간에 설치된 공용PC에 대한 보호대책이 수립되어 있지 않아 개인정보가 포함된
          파일이 암호화되지 않은 채로 저장되어 있거나 보안 업데이트 미적용, 백신미설치 등 취약한 상태로 유지
          하고 있는 경우
2.5.1 사용자 계정 관리
 (발최본 공퇴어)

급절차 수립
소한 권한만 부여
인계정에 대한 책임은 본인
유금지(계정)
직,전보시 지체없이 권한 변경.말소
제조사 기본계정은 려운 계정으로 변경
 2. 보호대책 요구사항 - 정인외물 접암정 운보사재
  - 2.5 인증및 권한관리 - 식인비특접
사례 1 : 사용자 및 개인정보취급자에 대한 계정 및 권한에 대한 사용자 등록, 해지 및 승인절차 없이 구두 요청,
          이메일 등으로 처리하여 이에 대한 승인 및 처리 이력이 확인되지 않는 경우
사례 2 : 개인정보취급자가 휴가, 출장, 공가 등에 따른 업무 백업을 사유로 공식적인 절차를 거치지 않고 개인정
           보취급자로 지정되지 않은 인원에게 개인정보취급자 계정을 알려주는 경우
           (즉 휴가가면서 내 아이디/패스워드를 다른사람한테 알려주는거 자체가 결함이 아니라 알려줘도 되지만
            대신 팀장한테 승인을 받는다던지 하는 공식적인 절차의 의해서 알려줘야 한다는 뜻)
사례 3 : 정보시스템 또는 개인정보처리시스템 사용자에게 필요 이상의 과도한 권한을 부여하여 업무상 불필요한
          정보 또는 개인정보에 접근이 가능한 경우
2.5.2 사용자 식별
(제공운admin)

조사에서 제공하는 기본계정
승인없이 계정을
영계정을 개인계정처럼
Admin계정을 그대로 사용		 2. 보호대책 요구사항 - 정인외물 접암정 운보사재 
  - 2.5 인증및 권한관리 - 인비특접
사례 1 : 정보시스템(서버, 네트워크, 침입차단시스템, DBMS 등)의 계정 현황을 확인한 결과, 제조사에서 제공하는
         기본 관리자 계정을 변경하지 않고 사용하고 있는 경우
사례 2 : 개발자가 개인정보처리시스템 계정을 공용으로 사용하고 있으나, 타당성 검토 또는 책임자의 승인 등이
          없이 사용하고 있는 경우
사례 3 : 외부직원이 유지보수하고 있는 정보시스템의 운영계정을 별도의 승인 절차 없이 개인 계정처럼 사용하
           고 있는 경우
사례 4 : 관리자가 Admin 계정의 이름을 바꾸지 않고 그대로 사용하고 있다.

 * 위 사례들은 결국 실제 누가 접근했는지를 정확하게 식별할수 없게 하는 행위들을 가리킨다. 


 ▶ 1인 1계정 발급을 원칙으로 하여 사용자에 대한 책임추적성(Accountability) 확보
▶ 계정 공유 및 공용 계정 사용 제한
▶ 시스템이 사용하는 운영계정은 사용자가 사용하지 못하도록 제한
▶ 시스템 설치 후 제조사 또는 판매사의 기본계정 및 시험계정은 제거 또는 추측이 어려운 계정으로
변경하여 사용(디폴트 패스워드 변경 포함)
▶ 관리자 및 특수권한 계정의 경우 쉽게 추측 가능한 식별자(root, admin, administrator 등)의 사용을 제한

업무상 불가피하게 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의
승인을 받아야 한다.
▶ 업무 분장상 정 ․ 부의 역할이 구분되어 관리자 계정을 공유하는 경우에도 사용자 계정을 별도로 부여
하고 사용자 계정으로 로그인 후 관리자 계정으로 변경
▶ 유지보수 업무 등을 위하여 임시적으로 계정을 공유한 경우 업무 종료 후 즉시 해당 계정의 비밀번호
변경
▶ 업무상 불가피하게 공용계정 사용이 필요한 경우 그 사유와 타당성을 검토하여 책임자의 승인을 받
고 책임추적성을 보장할 추가적인 통제방안 적용
2.5.3 사용자 인증
  (외실실B) 2. 보호대책 요구사항 - 정인외물 접암정 운보사재 
  - 2.5 인증및 권한관리 - 비특접
사례 1 : 개인정보취급자가 공개된 외부 인터넷망을 통해서 개인정보처리시스템에 접근 시 안전한 인증수단(OTP)
          적용하지 않고 아이디 ․ 비밀번호 방식으로만 인증하고 있는 경우
사례 2 : 정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 아이디가 존재하지 않거나 비밀번호가 틀림을
          자세히 표시해주고 있으며, 로그인 실패 횟수에 대한 제한이 없는 경우
사례 3 : 개인정보처리시스템이 Brute Force 공격에 취약한 것으로 확인 된 경우
           (로그인 실패횟수에 제한을 걸었다면 Brute Force 공격이 성공될수 없었겠지..)
2.5.4 비밀번호 관리
  (상임변) 2. 보호대책 요구사항 - 정인외물 접암정 운보사재 
  - 2.5 인증및 권한관리 - 특접
사례 1 : 정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나 일부 정보
           시스템 및 개인정보처리시스템에서 내부 지침과 상이 비밀번호를 사용하고 있는 경우
사례 2 : 비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록
          되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하는 경우
사례 3 : 사용자 및 개인정보취급자의 비밀번호 변경주기가 규정되어 있음에도 불구하고 변경하지 않고 그대로 사용
           하고 있는 경우
2.5.5 특수 계정 및 권한 관리
  2. 보호대책 요구사항 - 정인외물 접암정 운보사재 
  - 2.5 인증및 권한관리 - 인비
사례 1 : 정보시스템 및 개인정보처리시스템의 관리자 및 특수 권한 부여 등의 승인 이력이 시스템이나 문서상
          으로 확인이 되지 않거나, 승인 이력과 특수권한 내역이 서로 일치하지 않는 경우
사례 2 : 내부 규정에는 개인정보 관리자 및 특수권한자를 목록으로 작성 ․ 관리하도록 되어 있으나 이를 작성 ․
          관리하고 있지 않거나, 보안시스템 관리자 등 일부 특수권한이 식별 ․ 관리되지 않는 경우
사례 3 : 정보시스템 및 개인정보처리시스템의 유지보수를 위하여 분기 1회에 방문하는 유지보수용 특수 계정이
          사용기간 제한이 없이 상시로 활성화되어 있는 경우
           (ex) 매월 1회 외주직원이 Anti-Dos 유지보수를 위해 방문하며, 이때 사용되는 계정이 상시 활성화 되어 있음
사례 4 : 관리자 및 특수 권한의 사용 여부를 정기적으로 검토하지 않아 일부 특수권한자의 업무가 변경되었음에
           도 불구하고 기존 관리자 및 특수 권한을 계속 보유하고 있는 경우
           (ex) 방화벽 관리자가 타부서로 발령났으나 여전히 방화벽 접속권한을 보유하고 있음)
2.6.1 네트워크 접근
(V공내외케) 2. 보호대책 요구사항 - 정인외물 인암정 운보사재
  - 2.6 접근통제 - 정응데무원인
사례 1 : 네트워크 구성도와 인터뷰를 통해 확인한 결과, 외부 지점에서 사용하는 정보시스템 및 개인정보처리시
           스템과 IDC에 위치한 서버간의 연결 시 일반 인터넷 회선을 통해 데이터 송수신을 처리하고 있어 내부
           규정에 명시된 VPN이나 전용망 등을 이용한 통신이 이루어지고 있지 않은 경우
사례 2 : 내부망에 위치한 DB서버 등 일부 중요 서버의 IP주소가 내부 규정과 달리 공인 IP로 설정되어 있고, 네트
           워크 접근 차단이 적용되어 있지 않은 경우
사례 3 : 서버팜이 구성되어 있으나 네트워크 접근제어 설정 미흡으로 내부망에서 서버팜으로의 접근이 과도하게
           허용되어 있는 경우
사례 4 : 외부자(외부 개발자, 방문자 등)에게 제공되는 네트워크를 별도의 통제 없이 내부 업무 네트워크와 분리
           하지 않은 경우
사례 5 : 내부 규정과는 달리 MAC 주소 인증, 필수 보안 소프트웨어 설치 등의 보호대책을 적용하지 않은 상태로
           네트워크 케이블 연결만으로 사내 네트워크에 접근 및 이용할 수 있는 경우
2.6.2 정보시스템 접근
 (세경불독 IP제한) 2. 보호대책 요구사항 - 정인외물 인암정 운보사재 
  - 2.6 접근통제 - 응데무원인
서버, 네트워크시스템, 보안시스템 등 정보시스템 별 운영체제(OS)에 접근이 허용
되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가?
Ÿ 정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가?
Ÿ 정보시스템의 사용목적과 관계없는 서비스를 제거하고 있는가?
Ÿ 주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가

사례 1 : 사무실에서 서버관리자가 IDC에 위치한 윈도우 서버에 접근 시 터미널 서비스를 이용하여 접근하고
          있으나 터미널 서비스에 대한 Session Timeout 설정이 되어 있지 않아 장시간 아무런 작업을 하지
          않아도 해당 세션이 차단되지 않는 경우
사례 2 : 서버 간의 접속이 적절히 제한되지 않아 특정 사용자가 본인에게 인가된 서버에 접속한 후 해당 서버를
          경유하여 다른 인가받지 않은 서버에도 접속할 수 있는 경우
사례 3 : 타당한 사유 또는 보완 대책 없이 안전하지 않은 접속 프로토콜(telnet, ftp 등)을 사용하여 접근하고 있으
           며, 불필요한 서비스 및 포트를 오픈하고 있는 경우
사례 4 : 응용프로그램의 시스템에 접근 가능한 IP를 제한하지 않는 경우
2.6.3 응용프로그램 접근
(노관동과Like)
 : 노출
   관리자페이지
   동시접속 제한
   과도한 정보포함
   Like검색		 2. 보호대책 요구사항 - 정인외물 인암정 운보사재 
  - 2.6 접근통제 - 데무원인
사례 1 : 응용프로그램의 개인정보 처리화면 중 일부 화면의 권한 제어 기능에 오류가 존재하여 개인정보 열람
           권한이 없는 사용자에게도 개인정보가 노출되고 있는 경우
사례 2 : 응용프로그램의 관리자 페이지가 외부인터넷에 오픈되어 있으면서 안전한 인증수단이 적용되어 있지
           않은 경우
사례 3 : 응용프로그램에 대해 타당한 사유 없이 세션 타임아웃 또는 동일 사용자 계정의 동시 접속을 제한하고
           있지 않은 경우
사례 4 : ★★응용프로그램을 통해 개인정보를 다운로드 받는 경우 해당 파일 내에 주민등록번호 등 업무상 불필요한
          정보가 과도하게 포함되어 있는 경우
사례 5 : 응용프로그램의 개인정보 조회화면에서 like 검색을 과도하게 허용하고 있어, 모든 사용자가 본인의 업무
           범위를 초과하여 전체 고객 정보를 조회할 수 있는 경우
2.6.4 데이터베이스 접근
(물공괄우임)
물리적 동일서버
DB계정 공유
DB접근권한 일괄부여
우회하여 DB접근
임시테이블		 2. 보호대책 요구사항 - 정인외물 인암정 운보사재 
  - 2.6 접근통제 - 정응무원인
사례 1 : 대량의 개인정보를 보관 ․처리하고 있는 데이터베이스를 인터넷을 통해 접근 가능한 웹 응용프로그램과
          분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우
          또는 DB서버가 DMZ내에 WAS서버와 같이 존재하는 경우
          (프로그램들을 같은 서버에 설치하는 경우 2.6.2 정보시스템 접근 결함이고 이건 DB서버를 다른 서버와 같이
           운영하는 것을 말한다)
사례 2 : 개발자 및 운영자들이 응응 프로그램에서 사용하고 있는 계정을 공유하여 운영 데이터베이스에 접속하고
          있는 경우 (계정공유는 2.5.2 사용자 식별 결함이지만 여기서는 그 계정으로 개인정보처리시스템에 접속한
                       게 아니라 운영 DB에 접속한거기때문에 데이터베이스 접근 결함으로 본다)
사례 3 : 내부 규정에는 데이터베이스의 접속권한을 오브젝트별로 제한하도록 되어 있으나, 데이터베이스 접근권
          한을 운영자에게 일괄 부여하고 있어 개인정보 테이블에 접근할 필요가 없는 운영자에게도 과도하게 접근
         권한이 부여된 경우 (이것도 과도한 권한부여는 2.5.1 사용자계정 결함에 속할수있지만 테이블에 직접 접근
                                  하는 계정을 말하는 것으로 데이터베이스 접근 결함으로 봄)
사례 4 : DB접근제어 솔루션을 도입하여 운영하고 있으나, 데이터베이스 접속자에 대한 IP주소 등이 적절히 제한
          되어 있지 않아 DB접근제어 솔루션을 우회하여 데이터베이스에 접속하고 있는 경우
           (이것도 IP주소제한은 2.6.2.정보시스템 접근 결함으로 볼수 있으나 DB접근제어를 우회하여 DB에 접속한
            것으로 데이터베이스 접근 결함이다.)
사례 5 : 개인정보를 저장하고 있는 데이터베이스의 테이블 현황이 파악되지 않아, 임시로 생성된 테이블에 불필
          요한 개인정보가 파기되지 않고 대량으로 저장되어 있는 경우
2.6.5 무선 네트워크 접근
  2. 보호대책 요구사항 - 정인외물 인암정 운보사재 
  - 2.6 접근통제 - 정응데원인
사례 1 : 외부인용 무선 네트워크와 내부 무선 네트워크 영역대가 동일하여 외부인도 무선네트워크를 통해 별도의
           통제없이 내부 네트워크에 접근이 가능한 경우
사례 2 : 무선 AP 설정 시 정보 송수신 암호화 기능을 설정하였으나 안전하지 않은 방식으로 설정한 경우
사례 3 : 업무 목적으로 내부망에 연결된 무선AP에 대하여 SSID 브로드캐스팅 허용, 무선AP 관리자 비밀번호
           노출(디폴트 비밀번호 사용), 접근제어 미적용 등 보안 설정이 미흡한 경우
2.6.6 원격접근 통제
   (IP VPN 외부) 2. 보호대책 요구사항 - 정인외물 인암정 운보사재 
  - 2.6 접근통제 - 정응데무
사례 1 : 내부 규정에는 시스템에 대한 원격 접근은 원칙적으로 금지하고 불가피한 경우 IP 기반의 접근통제
           통해 승인된 사용자만 접근할 수 있도록 명시하고 있으나 시스템에 대한 원격데스크톱 연결, SSH 접속
           이 IP주소 등으로 제한되어 있지 않아 모든 PC에서 원격 접속이 가능한 경우
사례 2 : 원격운영관리를 위해 VPN을 구축하여 운영하고 있으나 VPN에 대한 사용 승인 또는 접속기간 제한 없이
           상시 허용하고 있는 경우
사례 3 : ★★★ 외부 근무자를 위해 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영 하고 있으나 악성코드
         , 분실․도난 등에 의한 개인정보 유출을 방지하기 위한 적절한 보호대책(백신, 초기화, 암호화 등)을 적용
          하고 있지 않은 경우 ★★★★
기타  : 장애대응을 위해 장애대응전담인원의 핸드폰에 업무용앱을 설치하여 내부시스템을 제어할 수 있게 했으나
         백신 등 별도의 보안조치를 하지 않은 경우
2.6.7 인터넷 접속 통제
(망분리 망간 P2P웹하드) 2. 보호대책 요구사항 - 정인외물 인암정 운보사재 
  - 2.6 접근통제 - 정응데무원
사례 1 : 정보통신망법 등 관련 법규에 따라 망분리를 적용하였으나 개인정보처리시스템의 접근권한 설정 가능자
           등 일부 의무대상자에 대해 망분리 적용이 누락된 경우
사례 2 : 망분리 의무대상으로서 망분리를 적용하였으나 타 서버를 경유한 우회접속이 가능하여 망분리가 적용
          되지 않은 환경에서 개인정보처리시스템 접속 및 개인정보의 다운로드, 파기등이 가능한 경우
사례 3 : DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우
사례 4 : 인터넷 PC와 내부 업무용 PC를 망분리하고 망간 자료전송시스템을 구축 ․ 운영하고 있으나, 자료 전송에
          대한 승인 절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우
사례 5 : 내부 규정에는 개인정보취급자가 P2P 및 웹하드 사이트 접속 시 책임자 승인을 거쳐 특정기간 동안만
           허용하도록 되어 있으나, 승인절차를 거치지 않고 예외 접속이 허용된 사례가 다수 존재하는 경우
728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 결함사례 (5/7)  (0) 2021.02.01
ISMS-P 결함사례 (4/7)  (0) 2021.01.29
ISMS-P 결함사례 (2/7)  (0) 2021.01.25
ISMS-P 결함사례(1/7)  (0) 2021.01.22
ISMS-P 유사 인증기준 항목 비교 (2/2)  (0) 2021.01.21
728x90
반응형
SMALL

 

2.1.1 정책의 유지관리
(일신명변)
일관성
신규도입
명시
변경사항		 2.1 정책,조직,자산 - 조자
 사례 1 : 지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우
 사례 2 : 정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부규정, 지침, 
              절차에 서로 다르게 명시되어 일관성이 없는 경우
 사례 3 : 데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위해 DB 접근통제솔루션을 
              신규로 도입하여 운영하고 있으나 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 내부보안지침에
             접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우
              (대내외 환경변화를 정책에 반영하지 않음)
 사례 4 : 개인정보보호 정책이 개정 되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책의 작성일자
            , 작성자 및 승인자 등이 누락되어 있는 경우
 사례 5 : 개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나 이러한 변경이 개인정보보호 
               정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정하지 않은 경우

   * 단 개정된 정책의 공유및 전달은 "1.1.5 정책수립" 에만 해당된다.

 

2.1.2 조직의 유지관리
(역평의 명) 2.1 정책,조직,자산 - 
사례 1 : 내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임
           정의하고 있으나 실제 운영현황과 일치하지 않는 경우 (①역할과 책임할당)
사례 2 : 정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가
           마련되어 있지 않은 경우 (②평가체계)
사례 3 : 내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가시 반영하도록
           되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우
           (②평가체계   
사례 4 : 정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임
          이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우  (①역할과 책임할당)
2.1.3 정보자산 관리
(보안등급표시, 담당자&책임자, 취급절차) 2.1 정책,조직,자산 - 
사례 1 : 내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우
            (자산을 식별하고 보안등급을 부여하는건 '1.2.1 정보자산 식별' 이고, 실제 자산에 등급 스티커를 표시
             하지 않은 , 즉 이행하지 않는것은 '2.1.3 정보자산관리' 의 결함사항이다.)
사례 2 : 정보자산별 담당자 및 책임자를 식별하지 않았거나, 자산목록 현행화가 미흡하여 퇴직, 전보 등 인사이동
           이 발생하여 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우
사례 3 : 식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록에 기록하고 있으나
           (요기까지는 '1.2.1 정보자산 식별' 이고)
          보안등급에 따른 취급절차를 정의하지 않은 경우
2.2.1 주요 직무자 지정 및 관리
     (누포괄) 2.2 인적보안 - 분서인퇴위
사례 1 : 주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나 대량의 개인정보
          등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자등)을 명단에 누락한 경우
사례 2 : 주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사
          한 인력이 포함되어 있지 않는 등 현행화 관리가 되어 있지 않은 경우
사례 3 : 부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지
           과다하게 개인정보취급자로 지정 경우
사례 4 : 내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 득하고 주요 직무에 따른 보안서약서를
           작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요직무자가 다수 존재하는 경우
2.2.2 직무 분리
  2.2 인적보안 - 서인퇴위
사례 1 : 조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무의 편의성만을 사유로 내부
           규정으로 정한 직무분리 기준을 준수하고 있지 않는 경우
사례 2 : 조직의 특성상 경영진의 승인을 득한 후 개발과 운영 직무를 병행하고 있으나,
            직무자간의 상호 검토
          , 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토 ․ 승인,
          , 직무자의 책임추적성 확보 등의
           보완통제 절차가 마련되어 있지 않은 경우
기타 : Devops 도입으로 인하여 개발과 운영직무를 별도 분리하고 있지 않는 정책을 운영하고 있지만 별도 보안통제
        이루어지지 않는 경우
2.2.3 보안 서약
(신외방포)

입직원 보안서약서
주인력 보안서약서
보안서약서 
정보보호관련 불		 2.2 인적보안 - 인퇴위
사례 1 : 신규 입사자에 대해서는 입사 절차상에 보안서약서를 받도록 규정하고 있으나, 최근에 입사한 일부 직원
          의 보안서약서 작성이 누락된 경우
사례 2 : 임직원에 대해서는 보안서약서를 받고 있으나, 정보처리시스템에 직접 접속이 가능한 외주인력에 대해
          서는 보안서약서를 받지 않는 경우
사례 3 : 제출된 정보보호 및 개인정보보호 서약서를 모아 놓은 문서철이 비인가자가 접근 가능한 상태로 사무실
           책상에 방치되어 있는 등 관리가 미흡한 경우
사례 4 : 개인정보취급자에 대해 보안서약서만 받고 있으나 보안서약서 내에 비밀유지에 대한 내용만 있고
           개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우
2.2.4 인식제고 및 교육훈련
(계외증미)

교육
주직원 교육대상 누락
교육적 
이수자 추가교육		 2.2 인적보안 - 분서퇴위
사례 1 : 전년도에는 연간 정보보호 및 개인정보보호 교육 계획을 수립하여 이행하였으나 당해년도에 타당한 사유
          없이 연간 정보보호 및 개인정보보호 교육 계획을 수립하지 않은 경우
사례 2 : 연간 정보보호 및 개인정보보호 교육 계획에 교육 주기와 대상은 명시하고 있으나 시행일정, 내용 및 방법
          등의 내용이 포함되어 있지 않은 경우
사례 3 : 연간 정보보호 및 개인정보보호 교육 계획에 전 직원을 대상으로 하는 개인정보보호인식 교육은 일정 시간
          계획되어 있으나 개인정보 보호책임자 및 개인정보담당자 등 각 직무별로 필요한 개인정보보호관련 교육
          계획이 포함되어 있지 않은 경우
사례 4 : 정보보호 및 개인정보보호 교육 계획서 및 결과 보고서를 확인한 결과, 인증범위 내의 정보자산 및 설비에
          접근하는 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등)을 교육 대상에서 누락한 경우
사례 5 : 당해 연도 정보보호 및 개인정보보호 교육을 실시하였으나 교육시행 및 평가에 관한 기록 (교육자료, 출석부
        , 평가 설문지, 결과보고서 등) 일부를 남기지 않고 있는 경우
사례 6 : 정보보호 및 개인정보보호 교육 미이수자를 파악하지 않고 있거나 해당 미이수자에 대한 추가교육 방법
         (전달교육, 추가교육, 온라인교육 등)을 수립 ․이행하고 있지 않은 경우
2.2.5 퇴직 및 직무변경 관리
    (남이확) 2.2 인적보안 - 분서인
사례 1 : 직무 변동에 따라 개인정보취급자에서 제외된 인력의 계정과 권한이 개인정보처리시스템에 그대로 남
          있은 경우 -> 퇴직자의 계정이 활성화 되어있어 퇴직자의 계정으로 개인정보처리시스템에 로그인이 가능함.
          ( 퇴직자가 개인정보취급자 명단에 안빠지고 남아있는건 "2.2.1 주요 직무자 지정및 관리" 의 결함이고
            명단에는 빠져있지만 실제 해당 계정이 권한에서 안빠져서 계속해서 접속이 되는 경우는 "퇴직및 직무변경
            관리" 의 결함이다.)
사례 2 : 최근에 퇴직한 주요직무자 및 개인정보취급자에 대하여 자산반납, 권한 회수 등의 퇴직절차 이행 기록
          확인되지 않은 경우
사례 3 : 임직원 퇴직 시 자산반납 관리는 잘 이행하고 있으나 인사규정에서 정한 퇴직자 보안점검 및 퇴직확인서
          를 작성하지 않은 경우
2.2.6 보안 위반 시 조치
  2.2 인적보안 - 분서인퇴
사례 1 : 정보보호 및 개인정보보호 규정 위반자대한 처리 기준 및 절차가 내부 규정에 전혀 포함되어
          있지 않은 경우
사례 2 : 보안시스템(DLP, DB접근제어시스템, 내부정보유출통제시스템 등)을 통해 정책 위반이 탐지된 관련자에게
          경고 메시지를 전달하고 있으나, 이에 대한 소명 및 추가 조사, 징계 처분등 내부 규정에 따른 후속 조치가
          이행되고 있지 않은 경우
2.3.1 외부자 현황 관리
  2. 보호대책 요구사항 - 정인물 인접암정 운보사재 
   - 2.3 외부자보안 - 계보변
사례 1 : 내부 규정에 따라 외부 위탁 및 외부 시설 ․ 서비스 현황을 목록으로 관리하고 있으나, 수개월 전에
           변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우
사례 2 : 관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나 이에 대한 식별 및
           위험평가가 수행되지 않은 경우
2.3.2 외부자 계약 시 보안
  2. 보호대책 요구사항 - 정인물 인접암정 운보사재  
   - 2.3 외부자보안 - 보변
사례 1 : IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우
사례 2 : 개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서 상에 개인정보 보호법 등 법령에서 요구하는
          일부 항목(관리 ․감독에 관한 사항 등)이 포함되어 있지 않은 경우
사례 3 : 인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나 계약서 등에는 위탁업무의 특성
           에 따른 보안요구사항을 식별 ․ 반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고
          있는 경우
         (예) A쇼핑몰은 금번 위탁한 고도화사업은 기존 업무기능의 일부를 개선,추가하는 과제이기 때문에 기존의
             보안체계를 그대로 준용하여 개발을 진행하면 되기 때문에 개발과 관련된 별도의 보안요구사항을 명시하지
             않았다.(X)
기타 : 외부 개발시 개발요구사항에 법률 준거성 검토를 수행하지 않아 법적 요구사항을 반영하지 않았다.
2.3.3 외부자 보안 이행 관리
  2. 보호대책 요구사항 - 정인물 인접암정 운보사재  
   - 2.3 외부자보안 - 
사례 1 : 회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는 외주업체에 대해서는 정기적으로 보안점검을 수행
          하고 있지 않은 경우
사례 2 : 개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나 교육 수행여부를 확인하고
          있지 않은 경우
사례 3 : 정보통신서비스 제공자인 신청기관으로부터 개인정보 처리업무를 위탁받은 수탁자 중 일부가 신청기관
          동의 없이 해당 업무를 재위탁한 경우
사례 4 : 수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안점검을
           충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안점검 결과의 신뢰성이 매우
          떨어지는 경우
2.3.4 외부자 계약 변경 및 만료 시 보안
  2. 보호대책 요구사항 - 정인물 인접암정 운보사재  
   - 2.3 외부자보안 - 계보
사례 1 : 일부 정보시스템에서 계약 만료된 외부자의 계정 및 권한이 삭제되지 않고 존재하는 경우
사례 2 : 외주용역사업 수행과정에서 일부 용역업체 담당자가 교체되거나 계약 만료로 퇴직하였으나 관련 인력들
           에 대한 퇴사시 보안서약서 등 내부 규정에 따른 조치가 이행되지 않은 경우
사례 3 : 개인정보 처리 위탁한 업체와 계약 종료 이후 보유하고 있는 개인정보를 파기했는지 여부를 확인 ․ 점검
           하지 않은 경우

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 결함사례 (4/7)  (0) 2021.01.29
ISMS-P 결함사례 (3/7)  (0) 2021.01.27
ISMS-P 결함사례(1/7)  (0) 2021.01.22
ISMS-P 유사 인증기준 항목 비교 (2/2)  (0) 2021.01.21
ISMS-P 유사 인증기준 항목 비교 (1/2)  (0) 2021.01.19
728x90
반응형
SMALL

2020년도 11월14일에 가락고등학교에서 ISMS-P인증심사원 필기시험을 치뤘습니다.

작년에도 도전했다가 50점대 점수로 낙방한 후 올해 다시 준비를 했는데 코로나때문에 한차례 시험이 연기되는 우여곡절끝에 시험을 봤습니다.

시험을 보면서 좀 당황을 했습니다. 나름대로 이번에는 열심히 준비를 했지만 예상문제와는 좀 다른 형태로 문제가 출제되어서 문제풀면서 멘붕이 왔다고나 할까요.. 

인증기준별 결함사례 370여개를 모두 암기를 했고 문제집도 2~3번 반복해서 풀었고. 정리노트도 열심히 만들어서 딸딸 외웠지만 이번 시험에서는 별로 도움이 안되었습니다. 작년 시험인 경우 인증심사원과 피심사기관 담당자와의 Dialog 형태로 지문이 많이 나왔는데 이번에는 그냥 심사원이 확인한 사항을 죽 나열하는 형태이 지문이 새롭게 출제 되었습니다. 그리고 작년에 법조문이라던가 보안기술에 대해서도 좀 문제가 나왔는데 이번에는 그런 문제는 거의 안나왔습니다. 그리고 환경도 대부분 클라우드 환경에서의  ISMS를 심사하는 형태로 문제가 대다수 출제되었고 특히 작년에 방화벽 설정관련 문제는 2문제 정도 나왔던거 같은데 이번에는 5~6문제 정도 나왔습니다.

한마디로 시중에 나와있는 수험서의 문제형태와는 전혀 다른 형태로 나왔던 것입니다. 느낌은 인증기준에 대한 이해나 결함사례 와 같은건 기본으로 생각하고 물어보지 않고 그 외에 실제 심사에 나가서 시스템이나 방화벽설정등을 이해할수 있는지에 대해서 초점을 맞춰서 물어본거 같습니다..그래서 저같은 단순 Window 애플리케이션 개발자 한테는 조금 어렵게 느껴졌습니다.

시험보고 나와서 참 내가 공부한 내용이 참으로 허무하다는 느낌을 지울 수가 없었습니다. 물론 결과는 나와봐야 알겠지만 50점대 전후로 예상되고 당근 불합격이 예상됩니다. 요행을 바라기에는 확률이 없어 보입니다.  시험보고 나와서는 이 시험은 포기해야겠다는 생각이 들었고 관련 카페도 탈퇴했는데.. 지금 또 생각해보니 이 시험의 장점은 무료라는거 ㅋㅋㅋ 그래서 내년 상반기에 있다는 시험을 다시 한번 봐볼까 하는 미련이 남기도 합니다.

시중에 몇 안되는 수험서를 제작하신 분들도 고민이 많을꺼 같네요.. 수험서를 다시 경향에 맞게 고쳐야 하지 않을까 하는생각이 듭니다. ㅎㅎ

하지만 이게 다 변명이고 핑계일수 있습니다. 이래도 시험에 합격하시는분들은 합격하시는 거구요.. 고득점을 받으신 분들도 있을테구요..다 저의 노력의 부족이라고 생각합니다. 틈틈히 회사에서 공부하고 집에가서도 맘 편히 못쉬고 책을 붙들고 있었는데 일단 시험이 끝나서 홀가분하구요.. 좀 정리했다가 내년에 다시 볼까 합니다.

58점으로 불합격했습니다. ㅠㅠ  (2021.1.5)

 

 

  

728x90
반응형
LIST

'자격증 공부 스토리' 카테고리의 다른 글

2021년도 ISMS-P 인증심사원 실기 후기  (8) 2021.09.12
2021년도 ISMS-P 인증심사원 필기 후기  (2) 2021.08.09
재무 빅데이터 분석사 (FDA)  (1) 2019.12.17
개인정보 영향평가 전문인력(PIA)  (5) 2019.08.30
정보시스템감리사 합격후기 2탄..  (9) 2019.08.30

+ Recent posts

티스토리툴바