728x90
반응형
SMALL
키워드 인증기준 차이점
정책 1.1.5 정책수립 1.1 관리체계 기반마련 - 경최조범정자
•정책수립 - 경영진의 의지와방향, 역할과책임, 대상과 범위 , 활동의 근거
•지침/절차/매뉴얼, 승인 , 이해하기 쉬운,
•내부관리계획
•재.개정시 승인
*즉 정책.시행문서 작성을 하고 경영진의 승인을 받고 임직원들에게 공유
 되어야 한다는 뜻
예) 정책및 지침서가 최근 개정되었으나 임직원에게 공유가 안된 경우 
    (2.1.1 정책의 유지가 아님)
1.4.1 법적요구사항준수 1.4 관리체계 점검및 개선 - 법점개
 - 준수해야할 법규 요구사항반영 
2.1.1 정책의 유지관리 2.1 정책,조직,자산관리 - 정조자
•정책과 시행문서에 대한 정기적인 타당성 검토하고
•필요시 재.개정하고 재.개정 시 이해관계자 승인
•재개정에 대한 이력관리
  * 정책과 시행문서간의 일관성 결여
예) 지침서와 절차서간의 패스워드 설정규칙이 상이
예) DB접근통제솔루션을 신규로 도입했으나 내부보안 지침서에 별도의
    접근통제사항을 반영하지 않음
   (대내외 환경변화를 정책에 반영하지 않음)
예) 정책을 개정했으나 시행기준일을 명시하지 않음
예) 변경된 개인정보보호법 내용을 정책에 반영안함.
보호대책 1.2.4 보호대책 선정 이행계획 , 위험처리(회피,전가,수용,감소)
1.3.1 보호대책 구현 이행결과
1.3.2 보호대책 공유 시행부서,담당자들에 대한 공유&교육
정보자산 1.2.1 정보자산식별

      (누락 불일치) 		1.2 위험관리 - 자현위선
 - 자산 식별해서 목록 관리
 - 보안등급 부여
2.1.3 정보자산 관리

      (보안등급표시
       담당자&책임자
       취급절차) 		2.1 정책,조직,자산 - 정조자
 - 식별된 자산에 대한 보호대책수립및 책임자지정
 * 1.2.1 정보자산식별은 자산을 식별하고 보안등급을 설정하는것을 의미하고,
   2.1.3 정보자산 관리는 실제 보안등급을 제대로 현장에서 표시가 되고 있는가를 체크하고
          관리자를 지정했는지를 말한다.
인적보안 2.2.1. 주요 직무자 지정 및 관리 퇴사하거나 직무가 변경된 직원의 이름이 개인정보 취급자 명단에
그대로 남아 있으면 '2.2.1 주요 직무자 지정및 관리' 의 결함이고,
취급자 명단에서는 제외되었으나 해당 계정과 권한이 그대로 시스템에
남아 있는 경우는 '2.2.5 퇴직 및 직무변경 관리'의 결함이다.
(예) 최근 개인정보시스템에 개인정보취급자 명단에서 제외된
     인력중 3명의 계정과 권한이 그대로 남아있음
 -> 명단에서 제외되었으므로 "주요 직무자지정및 관리"는 충족된거구
     실제 계정이 삭제안되었으므로 "퇴직및 직무변경관리" 결함이다.    
2.2.5 퇴직 및 직무변경 관리
2.5.6 접근권한 검토 미사용한지 6개월이 넘은 계정이 여전히 비활성화안되어 있고
활성화되어 있는 경우는 접근기록을 주기적으로 검토하지 않았다는 뜻.
재직직원의 계정이 6개월이상 미사용했는데 계정이 여전히 활성화되어 있으면 접근기록 로그를
주기적으로 검토하지 않은 것이므로 2.5.6 접근권한검토 에 해당하고
재직직원이 아닌 퇴사나 직무변경된 직원이라면 2.2.5 퇴직및직무변경관리 이고
외부직원이라면 2.3.4 외부자계약변경및만료시보안 에 해당된다.
물리보안 2.4.1 보호구역 지정 2.4 물리보안 - 출정설작반업
 - 통제구역.제한구역.접견구역 지정하고 보호대책 수립
 - 통제구역은 제한구역의 통제항목을 모두 포함하고 출입자격이
   최소한으로 유지되며, 출입을 위하여 추가적인 절차가 필요한 곳
   (전산실, 통신장비실,관제실,공조실,발전실)
2.4.2 출입통제 2.4 물리보안 - 구정설작반업
 - 위 보호구역은 인가된 사람만이 출입할수있도록 보호대책 수립
 - 출입기록 주기적 검토
2.4.3 정보시스템 보호 2.4 물리보안 - 구출설작반업
 - 배치 장소 분리
 - 전력 및 통신케이블 보호
2.4.4 보호설비 운영 2.4 물리보안 - 구출정작반업
 - UPS, 항온항습기,소화기…..
2.4.7 업무환경보안 2.4 물리보안 - 구출정설작반
 - 클린데스크
사용자 2.5.1 사용자계정관리
(발최본 공퇴어) 		2.5 인증및 권한관리 - 식인비특접
 - 사용자계정및권한 등록,변경,말소절차 수립이행
 - 최소한의 권한만 부여
 - 사용자에게 보안책임이 있음을 인식
   (출장가면서 다른사람에게 개인정보취급자 계정을 알려준경우)
2.5.2 사용자 식별 2.5 인증 및 권한관리 - 계인비특접
 - 유일한 식별자 할당
 - 동일계정 공유시 타당성검토및 승인 및 보완 대책 수립
2.5.3 사용자 인증 (외실실B) 2.5 인증 및 권한관리 - 계식비특접
 - 로그인실패횟수,접속시간,동시접속제한, 불법 로그인 경고
 - 외부에서 접속 시 안전한 인증수단제공
자산식별 1.1.4 범위설정 1.1 관리체계 기반마련 - 경최조정자
 - 핵심자산을 누락없이 관리체계(ISMS-P)에 포함
 - 예외사항은 승인필요
 - ISMS-P 범위확인을 위해 문서하
 * 다수의 자산혹은 시스템을 통제로 누락했다면
1.2.1. 정보자산 식별 1.2 위험관리 - 현위선
 - ISMS-P 범위내의 모든 자산을 식별
 - 보안등급 부여
 - 최신으로 유지
 * 특정 자산이 식별되지 않고 누락된 경우
2.1.3 정보자산 관리 2.1 정책,조직,자산 - 조자
 - 식별된 자산에 대해서 보호대책 수립하고
 - 책임자 및 관리자 지정

* 자산을 식별했으나 보안대응을 하지 않은 경우
* 1.2.1 정보자산식별은 자산을 식별하고 보안등급을 설정하는것을 의미
  2.1.3 정보자산 관리는 실제 보안등급을 제대로 현장에서 표시가 되고 
         있는가를 체크하는 것을 말한다
2.4.3 정보시스템 보호 2.4 물리보안 - 구출설작반업
 - 물리적 분리 배치
 - 케이블,통신,전력 보호 : 랙 실장도
 * 랙실장도에만 누락된 경우
업무환경/단말기

 2.4.7 업무환경보안 공용PC,문서고,복합기,사무용기기 등 업무환경을 통해 정보가 노출되지
않도록 하는 것을 말함
 예) 클린데스크를 이행안함
 예) 가입자서류를 잠금장치가 없는 서랍에 보관
 예) 컴퓨터에 화면보호기, 및 패스워드 미설정
 예) 공용PC에 대한 대책이 수립되지 않아서 개인정보가 암호화되지 않은
      상태로 있거나 보안 업데이트 미적용, 백신 미설치 등 취약한 상
2.10.6 업무용 단말기의 보안 * PC,모바일기기에 대한 네트워크 접근 통제절차 수립
  (신청,승인,등록,해지,기기인증이력)
* 업무용단말기를 통한 자료공유제한 (공용폴더)
* 업무용단말기의 분실,도난으로 인한 정보유출 대책
   (킬스위치 MDM설치)
예)모바일기기에 비밀번호 설정이 안되어있는 경우
예)업무용단말기의 공유폴더 사용금지했으나 사용

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 결함사례(1/7)  (0) 2021.01.22
ISMS-P 유사 인증기준 항목 비교 (2/2)  (0) 2021.01.21
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(3/3)  (0) 2021.01.17
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(2/3)  (0) 2021.01.15
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(1/3)  (0) 2021.01.13
728x90
반응형
SMALL

 

1. 관리체계 수립 및 운영 - 기위운점
1.1 관리체계 기반 마련 기 - 경최조범정자 1.1.1 영진의 참여
1.1.2 고책임자의 지정
1.1.3 직구성
1.1.4 위설정
1.1.5 책수립
1.1.6 원할당
1.2 위험관리 위 - 자현위선 1.2.1 정보산 식별
1.2.2 황 및 흐름분석
1.2.3 험평가
1.2.4 보호대책
1.3 관리체계 운영 운 - 구공운 1.3.1 보호대책
1.3.2 보호대책
1.3.3 영현황 관리
1.4 관리체계 점검 및 개선 점 - 법점개 1.4.1 적 요구사항 준수 검토
1.4.2 관리체계
1.4.3 관리체계

 

2. 보호대책 요구사항 - 정인외물 인접암정 운보사재
2.1 정책,조직,자산 정 – 정조자  2.1.1 책의 유지관리
2.1.2 직의 유지관리
2.1.3 정보산 관리
2.2 인적보안 인 – 직분서인퇴위 2.2.1 주요 무자 지정 및 관리
2.2.2 직무 
2.2.3 보안 
2.2.4 식제고 및 교육훈련
2.2.5 직 및 직무변경 관리
2.2.6 보안 반 시 조치
2.3 외부자보안 외 – 현계보변 2.3.1 외부자 황 관리
2.3.2 외부자 약 시 보안
2.3.3 외부자 안 이행 관리
2.3.4 외부자 계약 경 및 만료시 보안
2.4 물리보안 물 – 구출정설작반업  2.4.1 보호역 지정
2.4.2 입통제
2.4.3 보시스템 보호
2.4.4 보호비 운영
2.4.5 보호구역 내
2.4.6 출입 기기 통제
2.4.7 무환경 보안
2.5 인증및 권한관리 인 – 계식인비특접 2.5.1 사용자 정 관리
2.5.2 사용자
2.5.3 사용자
2.5.4 밀번호 관리
2.5.5 수 계정 및 권한관리
2.5.6 근권한 검토
2.6 접근통제 접 – 네정응데무원인  2.6.1 트워크 접근
2.6.2 보시스템 접근
2.6.3 용프로그램 접근
2.6.4 이터베이스 접근
2.6.5 선 네트워크 접근
2.6.6 격접근 통제
2.6.7 터넷 접속 통제
2.7 암호화적용 암 – 정키 2.7.1 암호책 적용
2.7.2 암호 관리
2.8 정보시스템 도입및개발보안 정 – 요검시데소운 2.8.1 보안 구사항 정의
2.8.2 보안 요구사항 토 및 시험
2.8.3 험과 운영환경 분리
2.8.4 시험 이터 보안
2.8.5 스 프로그램 관리
2.8.6 영환경 이관
2.9 시스템 및 서비스 운영관리 운 – 변성 백로 점시재  2.9.1 경관리
2.9.2 능 및 장애관리
2.9.3 업 및 복구관리
2.9.4 그 및 접속기록 관리
2.9.5 로그 및 접속기록
2.9.6 간 동기화
2.9.7 정보자산 사용 및 폐기
2.10 시스템 및 서비스 보안관리 보 – 보클 공거전 업보 패악 2.10.1 안시스템 운영
2.10.2 라우드 보안
2.10.3 개서버 보안
2.10.4 전자래 및 핀테그 보안
2.10.5 정보송 보안
2.10.6 무용 단말기 보안
2.10.7 조저장매체 관리
2.10.8 치관리
2.10.9 성코드 통제
2.11 사고예방 및 대응 사 – 체취이훈대 2.11.1 사고예방 및 대응계 구축
2.11.2 약점 점검 및 조치
2.11.3 상행위 분석 및 모니터링
2.11.4 사고대응련 및 개선
2.11.5 사고응 및 복구
2.12 재해복구 재 – 안시 2.12.1 재해.재난 대비 전조치
2.12.2 재해 복구 험 및 개선

 

3. 개인정보 처리 단계별 요구사항 - 수보제파권
3.1 개인정보 수집 시 보호조치 수 - 제동 주민간 영홍 3.1.1 개인정보 수집
3.1.2 개인정보 수집
3.1.3 민등록번호 처리제한
3.1.4 감정보및고유식별정보처리제한
3.1.5 접수집 시 보호조치
3.1.6 상정보처리기기 설치.운영
3.1.7 보및 마케팅 목적 활용시 조치
3.2 개인정보 보유 및 이용시 보호조치 보 - 현품표 단목 3.2.1 개인정보 황관리
3.2.2 개인정보 질보장
3.2.3 개인정보 시제한 및 이용시 보호조치
3.2.4 이용자 말기 접근 보호
3.2.5 개인정보 적외 이용 및 제공
3.3 개인정보 제공 시 보호조치 제 - 3위영국 3.3.1 개인정보 제3자 제공
3.3.2 업무탁에 따른 정보주체 고지
3.3.3 업의 양수에 따른 개인정보이전
3.3.4 개인정보의 외이전
3.4 개인정보 파기 시 보호조치 파 - 파목휴 3.4.1 개인정보의
3.4.2 처리적 달성 후 보유 시 조치
3.4.3 면 이용자 관리 
3.5 정보주체 권리보장 권 - 처권통 3.5.1 개인정보리방침 공개
3.5.2 정보추제 리보장
3.5.2 이용내역
728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(1/3)  (0) 2021.01.13
ISMS-P 인증기준 - 2. 보호대책 요구사항 (3/3)  (0) 2021.01.11
ISMS-P 인증기준 - 2. 보호대책 요구사항 (2/3)  (0) 2021.01.07
ISMS-P 인증기준 - 2. 보호대책 요구사항 (1/3)  (0) 2021.01.06
ISMS-P 인증기준 - 1. 관리체계 수립 및 운영  (0) 2021.01.06
728x90
반응형
SMALL

2020년도 11월14일에 가락고등학교에서 ISMS-P인증심사원 필기시험을 치뤘습니다.

작년에도 도전했다가 50점대 점수로 낙방한 후 올해 다시 준비를 했는데 코로나때문에 한차례 시험이 연기되는 우여곡절끝에 시험을 봤습니다.

시험을 보면서 좀 당황을 했습니다. 나름대로 이번에는 열심히 준비를 했지만 예상문제와는 좀 다른 형태로 문제가 출제되어서 문제풀면서 멘붕이 왔다고나 할까요.. 

인증기준별 결함사례 370여개를 모두 암기를 했고 문제집도 2~3번 반복해서 풀었고. 정리노트도 열심히 만들어서 딸딸 외웠지만 이번 시험에서는 별로 도움이 안되었습니다. 작년 시험인 경우 인증심사원과 피심사기관 담당자와의 Dialog 형태로 지문이 많이 나왔는데 이번에는 그냥 심사원이 확인한 사항을 죽 나열하는 형태이 지문이 새롭게 출제 되었습니다. 그리고 작년에 법조문이라던가 보안기술에 대해서도 좀 문제가 나왔는데 이번에는 그런 문제는 거의 안나왔습니다. 그리고 환경도 대부분 클라우드 환경에서의  ISMS를 심사하는 형태로 문제가 대다수 출제되었고 특히 작년에 방화벽 설정관련 문제는 2문제 정도 나왔던거 같은데 이번에는 5~6문제 정도 나왔습니다.

한마디로 시중에 나와있는 수험서의 문제형태와는 전혀 다른 형태로 나왔던 것입니다. 느낌은 인증기준에 대한 이해나 결함사례 와 같은건 기본으로 생각하고 물어보지 않고 그 외에 실제 심사에 나가서 시스템이나 방화벽설정등을 이해할수 있는지에 대해서 초점을 맞춰서 물어본거 같습니다..그래서 저같은 단순 Window 애플리케이션 개발자 한테는 조금 어렵게 느껴졌습니다.

시험보고 나와서 참 내가 공부한 내용이 참으로 허무하다는 느낌을 지울 수가 없었습니다. 물론 결과는 나와봐야 알겠지만 50점대 전후로 예상되고 당근 불합격이 예상됩니다. 요행을 바라기에는 확률이 없어 보입니다.  시험보고 나와서는 이 시험은 포기해야겠다는 생각이 들었고 관련 카페도 탈퇴했는데.. 지금 또 생각해보니 이 시험의 장점은 무료라는거 ㅋㅋㅋ 그래서 내년 상반기에 있다는 시험을 다시 한번 봐볼까 하는 미련이 남기도 합니다.

시중에 몇 안되는 수험서를 제작하신 분들도 고민이 많을꺼 같네요.. 수험서를 다시 경향에 맞게 고쳐야 하지 않을까 하는생각이 듭니다. ㅎㅎ

하지만 이게 다 변명이고 핑계일수 있습니다. 이래도 시험에 합격하시는분들은 합격하시는 거구요.. 고득점을 받으신 분들도 있을테구요..다 저의 노력의 부족이라고 생각합니다. 틈틈히 회사에서 공부하고 집에가서도 맘 편히 못쉬고 책을 붙들고 있었는데 일단 시험이 끝나서 홀가분하구요.. 좀 정리했다가 내년에 다시 볼까 합니다.

58점으로 불합격했습니다. ㅠㅠ  (2021.1.5)

 

 

  

728x90
반응형
LIST

'자격증 공부 스토리' 카테고리의 다른 글

2021년도 ISMS-P 인증심사원 실기 후기  (8) 2021.09.12
2021년도 ISMS-P 인증심사원 필기 후기  (2) 2021.08.09
재무 빅데이터 분석사 (FDA)  (1) 2019.12.17
개인정보 영향평가 전문인력(PIA)  (5) 2019.08.30
정보시스템감리사 합격후기 2탄..  (9) 2019.08.30

+ Recent posts

티스토리툴바