728x90
반응형
SMALL
키워드 인증기준 차이점
정책 1.1.5 정책수립 1.1 관리체계 기반마련 - 경최조범정자
•정책수립 - 경영진의 의지와방향, 역할과책임, 대상과 범위 , 활동의 근거
•지침/절차/매뉴얼, 승인 , 이해하기 쉬운,
•내부관리계획
•재.개정시 승인
*즉 정책.시행문서 작성을 하고 경영진의 승인을 받고 임직원들에게 공유
 되어야 한다는 뜻
예) 정책및 지침서가 최근 개정되었으나 임직원에게 공유가 안된 경우 
    (2.1.1 정책의 유지가 아님)
1.4.1 법적요구사항준수 1.4 관리체계 점검및 개선 - 법점개
 - 준수해야할 법규 요구사항반영 
2.1.1 정책의 유지관리 2.1 정책,조직,자산관리 - 정조자
•정책과 시행문서에 대한 정기적인 타당성 검토하고
•필요시 재.개정하고 재.개정 시 이해관계자 승인
•재개정에 대한 이력관리
  * 정책과 시행문서간의 일관성 결여
예) 지침서와 절차서간의 패스워드 설정규칙이 상이
예) DB접근통제솔루션을 신규로 도입했으나 내부보안 지침서에 별도의
    접근통제사항을 반영하지 않음
   (대내외 환경변화를 정책에 반영하지 않음)
예) 정책을 개정했으나 시행기준일을 명시하지 않음
예) 변경된 개인정보보호법 내용을 정책에 반영안함.
보호대책 1.2.4 보호대책 선정 이행계획 , 위험처리(회피,전가,수용,감소)
1.3.1 보호대책 구현 이행결과
1.3.2 보호대책 공유 시행부서,담당자들에 대한 공유&교육
정보자산 1.2.1 정보자산식별

      (누락 불일치) 		1.2 위험관리 - 자현위선
 - 자산 식별해서 목록 관리
 - 보안등급 부여
2.1.3 정보자산 관리

      (보안등급표시
       담당자&책임자
       취급절차) 		2.1 정책,조직,자산 - 정조자
 - 식별된 자산에 대한 보호대책수립및 책임자지정
 * 1.2.1 정보자산식별은 자산을 식별하고 보안등급을 설정하는것을 의미하고,
   2.1.3 정보자산 관리는 실제 보안등급을 제대로 현장에서 표시가 되고 있는가를 체크하고
          관리자를 지정했는지를 말한다.
인적보안 2.2.1. 주요 직무자 지정 및 관리 퇴사하거나 직무가 변경된 직원의 이름이 개인정보 취급자 명단에
그대로 남아 있으면 '2.2.1 주요 직무자 지정및 관리' 의 결함이고,
취급자 명단에서는 제외되었으나 해당 계정과 권한이 그대로 시스템에
남아 있는 경우는 '2.2.5 퇴직 및 직무변경 관리'의 결함이다.
(예) 최근 개인정보시스템에 개인정보취급자 명단에서 제외된
     인력중 3명의 계정과 권한이 그대로 남아있음
 -> 명단에서 제외되었으므로 "주요 직무자지정및 관리"는 충족된거구
     실제 계정이 삭제안되었으므로 "퇴직및 직무변경관리" 결함이다.    
2.2.5 퇴직 및 직무변경 관리
2.5.6 접근권한 검토 미사용한지 6개월이 넘은 계정이 여전히 비활성화안되어 있고
활성화되어 있는 경우는 접근기록을 주기적으로 검토하지 않았다는 뜻.
재직직원의 계정이 6개월이상 미사용했는데 계정이 여전히 활성화되어 있으면 접근기록 로그를
주기적으로 검토하지 않은 것이므로 2.5.6 접근권한검토 에 해당하고
재직직원이 아닌 퇴사나 직무변경된 직원이라면 2.2.5 퇴직및직무변경관리 이고
외부직원이라면 2.3.4 외부자계약변경및만료시보안 에 해당된다.
물리보안 2.4.1 보호구역 지정 2.4 물리보안 - 출정설작반업
 - 통제구역.제한구역.접견구역 지정하고 보호대책 수립
 - 통제구역은 제한구역의 통제항목을 모두 포함하고 출입자격이
   최소한으로 유지되며, 출입을 위하여 추가적인 절차가 필요한 곳
   (전산실, 통신장비실,관제실,공조실,발전실)
2.4.2 출입통제 2.4 물리보안 - 구정설작반업
 - 위 보호구역은 인가된 사람만이 출입할수있도록 보호대책 수립
 - 출입기록 주기적 검토
2.4.3 정보시스템 보호 2.4 물리보안 - 구출설작반업
 - 배치 장소 분리
 - 전력 및 통신케이블 보호
2.4.4 보호설비 운영 2.4 물리보안 - 구출정작반업
 - UPS, 항온항습기,소화기…..
2.4.7 업무환경보안 2.4 물리보안 - 구출정설작반
 - 클린데스크
사용자 2.5.1 사용자계정관리
(발최본 공퇴어) 		2.5 인증및 권한관리 - 식인비특접
 - 사용자계정및권한 등록,변경,말소절차 수립이행
 - 최소한의 권한만 부여
 - 사용자에게 보안책임이 있음을 인식
   (출장가면서 다른사람에게 개인정보취급자 계정을 알려준경우)
2.5.2 사용자 식별 2.5 인증 및 권한관리 - 계인비특접
 - 유일한 식별자 할당
 - 동일계정 공유시 타당성검토및 승인 및 보완 대책 수립
2.5.3 사용자 인증 (외실실B) 2.5 인증 및 권한관리 - 계식비특접
 - 로그인실패횟수,접속시간,동시접속제한, 불법 로그인 경고
 - 외부에서 접속 시 안전한 인증수단제공
자산식별 1.1.4 범위설정 1.1 관리체계 기반마련 - 경최조정자
 - 핵심자산을 누락없이 관리체계(ISMS-P)에 포함
 - 예외사항은 승인필요
 - ISMS-P 범위확인을 위해 문서하
 * 다수의 자산혹은 시스템을 통제로 누락했다면
1.2.1. 정보자산 식별 1.2 위험관리 - 현위선
 - ISMS-P 범위내의 모든 자산을 식별
 - 보안등급 부여
 - 최신으로 유지
 * 특정 자산이 식별되지 않고 누락된 경우
2.1.3 정보자산 관리 2.1 정책,조직,자산 - 조자
 - 식별된 자산에 대해서 보호대책 수립하고
 - 책임자 및 관리자 지정

* 자산을 식별했으나 보안대응을 하지 않은 경우
* 1.2.1 정보자산식별은 자산을 식별하고 보안등급을 설정하는것을 의미
  2.1.3 정보자산 관리는 실제 보안등급을 제대로 현장에서 표시가 되고 
         있는가를 체크하는 것을 말한다
2.4.3 정보시스템 보호 2.4 물리보안 - 구출설작반업
 - 물리적 분리 배치
 - 케이블,통신,전력 보호 : 랙 실장도
 * 랙실장도에만 누락된 경우
업무환경/단말기

 2.4.7 업무환경보안 공용PC,문서고,복합기,사무용기기 등 업무환경을 통해 정보가 노출되지
않도록 하는 것을 말함
 예) 클린데스크를 이행안함
 예) 가입자서류를 잠금장치가 없는 서랍에 보관
 예) 컴퓨터에 화면보호기, 및 패스워드 미설정
 예) 공용PC에 대한 대책이 수립되지 않아서 개인정보가 암호화되지 않은
      상태로 있거나 보안 업데이트 미적용, 백신 미설치 등 취약한 상
2.10.6 업무용 단말기의 보안 * PC,모바일기기에 대한 네트워크 접근 통제절차 수립
  (신청,승인,등록,해지,기기인증이력)
* 업무용단말기를 통한 자료공유제한 (공용폴더)
* 업무용단말기의 분실,도난으로 인한 정보유출 대책
   (킬스위치 MDM설치)
예)모바일기기에 비밀번호 설정이 안되어있는 경우
예)업무용단말기의 공유폴더 사용금지했으나 사용

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 결함사례(1/7)  (0) 2021.01.22
ISMS-P 유사 인증기준 항목 비교 (2/2)  (0) 2021.01.21
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(3/3)  (0) 2021.01.17
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(2/3)  (0) 2021.01.15
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(1/3)  (0) 2021.01.13
728x90
반응형
SMALL
2. 보호대책 요구사항 - 정인외물 인접암정 운보사재
2.1 정책,조직,자산 정 – 정조자  2.1.1 정책의 유지관리
2.1.2 조직의 유지관리
2.1.3 정보자산 관리
2.2 인적보안 인 – 직분서인퇴위 2.2.1 주요 직무자 지정 및 관리
2.2.2 직무 분리
2.2.3 보안 서약
2.2.4 인식제고 및 교육훈련
2.2.5 퇴직 및 직무변경 관리
2.2.6 보안 위반 시 조치
2.3 외부자보안 외 – 현계보변 2.3.1 외부자 현황 관리
2.3.2 외부자 계약 시 보안
2.3.3 외부자 보안 이행 관리
2.3.4 외부자 계약 변경 및 만료시 보안
2.4 물리보안 물 – 구출정설작반업  2.4.1 보호구역 지정
2.4.2 출입통제
2.4.3 정보시스템 보호
2.4.4 보호설비 운영
2.4.5 보호구역 내 작업
2.4.6 반출입 기기 통제
2.4.7 업무환경 보안
2.5 인증및 권한관리 인 – 계식인비특접 2.5.1 사용자 계정 관리
2.5.2 사용자 식별
2.5.3 사용자 인증
2.5.4 비밀번호 관리
2.5.5 특수 계정 및 권한관리
2.5.6 접근권한 검토
2.6 접근통제 접 – 네정응데무원인  2.6.1 네트워크 접근
2.6.2 정보시스템 접근
2.6.3 응용프로그램 접근
2.6.4 데이터베이스 접근
2.6.5 무선 네트워크 접근
2.6.6 원격접근 통제
2.6.7 인터넷 접속 통제
2.7 암호화적용 암 – 정키 2.7.1 암호정책 적용
2.7.2 암호키 관리
2.8 정보시스템 도입및개발보안 정 – 요검시데소운 2.8.1 보안 요구사항 정의
2.8.2 보안 요구사항 검토 및 시험
2.8.3 시험과 운영환경 분리
2.8.4 시험 데이터 보안
2.8.5 소스 프로그램 관리
2.8.6 운영환경 이관
2.9 시스템 및 서비스 운영관리 운 – 변성 백로 점시재  2.9.1 변경관리
2.9.2 성능 및 장애관리
2.9.3 백업 및 복구관리
2.9.4 로그 및 접속기록 관리
2.9.5 로그 및 접속기록 점검
2.9.6 시간 동기화
2.9,.7 정보자산 재사용 및 폐기
2.10 시스템 및 서비스 보안관리 보 – 보클 공거전 업보 패악 2.10.1 보안시스템 운영
2.10.2 클라우드 보안
2.10.3 공개서버 보안
2.10.4 전자거래 및 핀테그 보안
2.10.5 정보전송 보안
2.10.6 업무용 단말기 보안
2.10.7 보조저장매체 관리
2.10.8 패치관리
2.10.9 악성코드 통제
2.11 사고예방 및 대응 사 – 체취이훈대 2.11.1 사고예방 및 대응체계 구축
2.11.2 취약점 점검 및 조치
2.11.3 이상행위 분석 및 모니터링
2.11.4 사고대응훈련 및 개선
2.11.5 사고대응 및 복구
2.12 재해복구 재 – 안시 2.12.1 재해.재난 대비 안전조치
2.12.2 재해 복구 시험 및 개선

 

2.1 정책,조직,자산 (정조자)

항목 설명 및 사례 keyword
2.1.1 정책의 유지관리 정책과 시행문서에 대한 정기적인 타당성 검토하고 
•필요시 재.개정하고 재.개정 시 이해관계자 승인 
•재개정에 대한 이력관리 
  * 정책과 시행문서간의 일관성 결여 
예) 지침서와 절차서간의 패스워드 설정규칙이 상이 
예) DB접근통제솔루션을 신규로 도입했으나 내부보안지침서에 별도의  
     접근통제사항을 반영하지 않음 
   (대내외 환경변화를 정책에 반영하지 않음) 
예) 정책을 개정했으나 시행기준일을 명시하지 않음 
예) 변경된 개인정보보호법 내용을 정책에 반영안함.		 타당성 검토,  
환경 변화 제개정,  
이해관계자 검토,  
이력관리 
2.1.2 조직의 유지관리

      (역평의명)		 •구성원의 ①역할과 책임할당, ②평가체계 ,③의사소통 체계 ④명시 
 ① 정보보호 및 개인정보보호 업무 수행과 관련된 조직의 특성을 고려 
   하여 관련 책임자와 담당자의 역할 및 책임을 시행문서에 구체적으로 
   정의하여야 한다.  
 ② 정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할  
   수 있는 체계를 수립하여야 한다 (KPI, MBO 주기적 체크) 
 ③ 정보보호 및 개인정보보호 관련 조직 및 조직의 구성원간 상호  
    의사소통할 수 있는 체계 및 절차를 수립․이행하여야 한다 

 < 정보보호 최고책임자 업무 >  (정취 침대보 암) 
 -. 정보보호 관리체계 수립및 운영,관리 
 -. 정보보호 취약점 분석 및 평가,개선 
 -. 침해사고 예방 및 대응 
 -. 사전 정보보호대책 마련및 보안조치 설계,구현 
 -. 정보보호 사전 보안성 검토 
 -. 중요정보 암호화 및 보안서버의 적합성 검토		 담당자 R&R,  
평가(MBO, KPI),  
의사소통체계 
  (주간보고,게시판) 
2.1.3 정보자산 관리

(보안등급표시,  
 담당자&책임자,  
 취급절차)
 •보안등급 ,자산목록 현행화, 정보자산별 담당자 
 - 식별된 자산에 대해서 보호대책 수립하고 
 - 책임자 및 관리자 지정 
 * 자산을 식별했으나 보안대응을 하지 않은 경우 
 * 지침서에는 보안등급을 표시한다고 했으나 실제 보안등급이 표시되어 
   있지 않은 문서가 발견됨 
 * 1.2.1 정보자산식별은 자산을 식별하고 보안등급을 설정하는것을  
   의미하고, 2.1.3 정보자산 관리는 실제 보안등급을 제대로 현장에서  
   표시가 되고 있는가를 체크하는 것을 말한다. 

 - 정보자산의 보안등급에 따른 취급절차(생성․도입, 저장, 이용, 파기 등) 
   를 정의하고 이에 따라 암호화, 접근통제 등 적절한 보호대책을 정의 
   하고 이행하여야 한다.  
 - 식별된 정보자산에 대하여 자산 도입, 변경, 폐기, 반출입, 보안관리  
   등의 책임을 질 수 있는 책임자와 자산을 실제 관리․운영하는 책임자 
  , 관리자(또는 담당자)를 지정하여 책임소재를 명확하게 하여야 한다. 		 보안등급 취급절차,  
책임자 

 

2.2 인적보안 (직분서인퇴위)

항목 설명 및 사례 keyword
2.2.1 주요 직무자 지정 및 관리 •주요직무자명단, 퇴사한 임직원 포함 ,과다한 주요직무자
 ① 개인정보및 중요정보의 취급, 주요시스템 접근 등 주요 직무의 기준
     을 명확히 정의.
 ② 주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 
     그 목록을 최신으로 관리하여야 한다
 ③ 업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록
     을 관리하여야 한다
    (※ 개인정보취급자의 정의 
       ㆍ임직원, 파견근로자, 시간제근로자 등 개인정보취급자의 지휘․
          감독을 받아 개인정보를 처리하는 자)
 ④ 업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화
     하는 등 관리방안을 수립․이행하여 야 한다. 
예)직무자명단에 DBA가 누락
예)퇴사한 직원이 개인정보취급자 목록에 포함되어 현행화가 안되어 
    있는 경우
예) 부서단위로 개인정보 취급자 권한을 부여하고있어 필요가 없는 
     인원에게까지 취급자 직무자로 지정
예)주요 직무자 지정시 보안팀의 승인을 받아 보안서약서를 징구하도
    록 되어있으나 보안팀 승인없이 직무자권한을 부여 		 기준, 지정, 최신
, 개인정보취급자
, 최소화 
2.2.2 직무 분리 •직무분리기준 수립
•직무분리가 어려운 경우 직무자간 상호검토, 책임추적성 확보등 보완통제 마련
① 권한 오․남용 등으로 인한 잠재적인 피해 예방을 위하여 
    직무 분리 기준을 수립하여 적용 하여야 한다. 
② 직무 분리가 어려운 경우 직무자간의 상호 검토, 직무자의 책임추적성 
     확보 등의 보완통제를 마련하여야 한다		 기준, 
보완통제(상호검토, 
상위관리자 승인, 
개인계정,로그감사) 
2.2.3 보안 서약 •임직원 ①채용시, 외부자에게 ②권한부여시, ③퇴사하는 경우에 각각 
  보안서약서 받음
* 주의할것은 외부업체에 대한 보안결함은 2.3.2 외부자 계약시 보안에 
  해당된다. 
 예) 외주계약시 계약서에 비밀유지에 대한 내용만 있고 개인정보보호에
     대한 내용은 없다. 
    -> 2.2.3 보안서약이 아닌 2.3.2 외부자계약시보안 결함이다		 채용, 
퇴직, 
외부자, 
보관 
2.2.4 인식제고 및 교육훈련 •개인정보보호관련 교육계획
•관리체계범위내 모든 임직원과 외부자가 교육대상임
 (전산실출입청소원,경비원,외주개발자까지도 대상)
•단, 외부업체에 대해서는 직접교육이 아니라 그 업체에서 교육을 하고 
  있는지만 관리.감독하면 된다.		 계획, 
승인, 
연1회, 
직무자 별도, 
평가 
2.2.5 퇴직 및 직무변경 관리 •퇴직 및 직무변경시
  정보자산반납,접근권한회수.조정 처리및 결과확인
  시스템간 계정정보 동기화
① 퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사
    부서, 정보보호및 개인정보보호 부서, 정보시스템 및 개인정보처리
    시스템 운영부서 간에 공유되고 있는가?
② 조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 또는 직무
    변경 시 지체 없는 정보자산 반납, 접근권한 회수 ․조정, 결과 확인 
    등의 절차를 수립 ․ 이행하고 있는가?		 인사변경 공유, 
반납&회수&확인 
2.2.6 보안 위반 시 조치 •위반자에 대한 처리기준수립 및 조치수행
  인사규정, 위반자징계내역, 사고사례전파		 처벌규정, 
적발 시 절차 수행 

 

2.3 외부자보안 (현계보변)

항목 설명 및 사례 keyword
2.3.1 외부자 현황 관리 •외부 위탁 및 서비스 사용현황 목록
•내부시스템을 외부 클라우드로 이전시 식별 및 위험 평가수행		 위탁 업무/시설/서비스 식별, 
위험관리(파악, 보호대책) 
2.3.2 외부자 계약 시 보안 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야한다.
•위탁 계약서에 정보보호관련 요구사항 명시

 * 위탁문서에 포함되어야 할 사항 7개 (금기 목재 안감배)
① 위탁업무 수행목적외 개인정보처리 
② 개인정보의 술적.관리적 보호조치에 관한 사항
③ 위탁업무의 적 및 범위
④ 위탁 제한에 관한 사항
⑤ 개인정보접근에 대한 정성 확보조치 사항
⑥ 위탁업무와 관련하여 보유하고 있는 개인정보의 
    관리 현황 점검 등 독에 관한 사항
⑦ 수탁자가 준수하여야 할 의무를 위반한 경우의 
    손해상 등 책임에 관한 사항		 위탁업체 역량, 
계약서(업무요건, 개발요건) 
2.3.3 외부자 보안 이행 관리 •외부자 보호대책의 이행여부 주기적 점검
•점검시 발견된 문제점에 대한 개선계획 수립.이해
•재위탁시 승인 받았는지		 점검&감사, 
개선계획, 
재위탁 시 승인 
2.3.4 외부자 계약 변경 및  만료 시 보안 •외부자 계약만료 및 담당자 변경 시
 - 정보자산반납,접근계정삭제,중요정보파기,비밀유지 확약서 징구
 - 외부자가 중요정보,개인정보 보유여부 확인 및 폐기,회수절차가 있는지		 회수(자산, 계정, 권한), 
서약서, 파기 

 

2.4 물리보안 (구출정설작반업)

항목 설명 및 사례 keyword
2.4.1 보호구역 지정 •물리적보호구역 지정 - 접견구역 < 제한구역 < 통제구역
•보호구역별 보호대책 마련		 기준(통제, 제한, 접견), 
대책 
2.4.2 출입통제 •물리적보호구역에 대한 출입통제절차를 마련하고, 출입가능 인원현황
  을 관리하며, 출입기록,접근기록을 주기적으로 점검하여 책임추적성
  확보한다.  (출입대장)		 출입 통제 절차,
출입 기록 점검 
2.4.3 정보시스템 보호 •정보시스템을 전산랙,케이지등을 이용해서 분리 배치
배치도 구비 (랙실장도 최신화.현행화)
•전력및 통신케이블 보호
 - 물리적 분리 배치
 - 케이블,통신,전력 보호 : 랙 실장도
 * 랙실장도에만 누락된 경우 		배치,
배치도(서버, 랙),
케이블(전력, 통신) 
2.4.4 보호설비 운영 •화재,수해,정전 등에 대비한 보호설비 운영
 - 항온항습기,UPS,소화기,CCTV,누수감지기,비상등
IDC에 위탁시 계약서에 보호설비 명시		 보호설비(항온항습, 화재감지,소화, 누수, UPS, 발전기, 이중전원),
IDC 계약서&검토 
2.4.5 보호구역 내 작업 •보호구역내 작업시 작업신청및 수행절차 
•작업기록에 대한 주기적 검토		 보호구역 내 작업신청,
작업기록 검토 
2.4.6 반출입 기기 통제 •보호구역내 전산장비 반출입시 반출입내용 기록하고 서명
•통제구역내 노트북 반출입 통제절차수립 및 이해		 통제절차(서버, 모바일, 저장매체/보안스티커 , 보안SW설치),
기록 검토 
2.4.7 업무환경 보안 공용 시설및 사무용기기를 통한 정보유출 대책수립
개인PC, 책상등을 통한 정보유츌 대책 (Clean Desk)
   - 잠금장치, 화면보호기
   - 암호화안된 파일, 보안업데이트 미적용, 백신미설치		 시설(문서고) 기기(복합기 , 파일서버),
개인 업무환경(PC, 책상)대책, 검토 

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(1/3)  (0) 2021.01.13
ISMS-P 인증기준 - 2. 보호대책 요구사항 (3/3)  (0) 2021.01.11
ISMS-P 인증기준 - 2. 보호대책 요구사항 (2/3)  (0) 2021.01.07
ISMS-P 인증기준 - 1. 관리체계 수립 및 운영  (0) 2021.01.06
ISMS-P 인증기준항목 두음신공 정리  (0) 2021.01.06

+ Recent posts

티스토리툴바