'인증심사원' 태그의 글 목록

인증심사원

2021년도 ISMS-P 인증심사원 실기 후기

2021. 9. 12. 15:46

728x90

SMALL

어제 (2021/9/10) 양재동 AT센터에서 ISMS-P인증심사원 실기시험을 치렀습니다.

올해 필기시험 합격자가 대략 90명 정도 되었고 1,2차로 나누어서 실무교육 및 실기시험을

치룬다고 합니다. 저는 1차로 신청해서 9/6~9/10일까지 5일교육을 받았구요.. 물론 코로나때문에

온라인교육이어서 연차5일 내서 집에서 교육 받았습니다.

원래 오프라인 교육을 선호하는 편인데 온라인 교육도 나름 편한 부분이 있네요..

우선 왔다갔다 하는 시간과 비용, 체력소모가 안들어서 좋았구요... 요즘 온라인 교육 tool이 좋아서

그런지 오히려 온라인 교육이 편했습니다. 질문 하기도 좋구요..

이번 5일 실무교육은 내용적으로 참 좋았던거 같습니다.. 이 교육을 필기시험 준비할때부터

들을수 있다면 필기시험에도 많은 도움이 될꺼 같다는 느낌이 강하게 들었구요.

강사님도 이론적으로나 실무적으로나 많은 경험이 있는 분이어서 교육내용이 알찼습니다.

하지만 마지막 금요일에 실기시험이 있기 때문에 계속 긴장하면서 머리를 써가면서 교육을 들어서

그런지 꽤 피곤하였습니다. 게다가 매일 결함보고서 2장 쓰는 과제가 있어서 교육끝나고도 9시까지

책상을 떠날수 없었습니다. 처음에는 결함보고서 한장 쓰는데 한시간 이상 걸렸었는데.. 점점 시간이

단축은 되더라구요..

교육을 들으면서 느낀점은 실제 현장에 투입되어 심사를 하면서 결함을 찾고자 할때 여러가지 고려해야할

사항이 많을 것 같다는 생각이 들었습니다..

1. 우선 IT지식적으로 신청기관 담당자한테 얕잡아 보이면 안되겠다는 생각이 들구요. 담당자가 업무설명

해주는데 제대로 못알다 듣는다든가.. 용어 같은거를 몰라서 물어본다던가 하면 그때부터 이 담당자는

심사원을 신뢰하지 못하고 못도 모르면서 심사한다고 왔구만 하고 생각할꺼 같아요.

그래서 심사가기전에 미리 관련 공부를 열심히 해야 할꺼 같습니다.

관련 법령조항의 습득은 기본이구요..

2. 결함으로 지적을 하고자 할때 신청기관에서 챌린지를 할수 있는 부분을 미리 예상해서 방어할수 있는

능력이 절대 필요하다고 느꼈습니다. 여기서 또 밀리면 지는 거구요.

결국 이말은 확실한 결함을 찾는 게 중요하다는 뜻이겠죠.. 어정쭝한 결함을 지적하다가는 오히려 역공을

당할수 있을꺼 같습니다.

3. 그리고 이번 교육에서 강사님이 강조한 것 중 하나가 바로 심사원의 소양입니다.

간혹 심사원이 갑질아닌 갑질을 한다던지..고압적인 자세, 무슨 신청기관을 취조하는 듯한 자세 등

소양에 관련된 주의사항을 많이 이야기 해주셨습니다.

어쩌면 심사원이 갑이 아니고 비용을 대는 신청기관이 갑일수 있습니다.

4. 문서작성 능력도 좀 필요합니다. 자기가 아는 것을 말로 표현하는 것은 또 다른 영역이고, 마찬가지로

글로 표현하는 것도 또 다른 기술과 연습이 필요할꺼 같습니다.

우스갯소리로 판사는 판결문으로 조지고, 형사는 조서로 조진다는 말이 있듯이 심사원은 결함보고서가

꽃이라고 할수 있습니다. 간결하면서 핵심을 짚는 보고서의 작성이 절대적으로 필요합니다.]

하여튼 이번 교육은 참 많은 것을 깨닫게 해준 교육이었습니다.

하지만 솔직히 일단 실기시험을 통과하는게 주 목적이죠.. ^^

위에 기술한 내용이야 나중에 심사 나가게 되면 필요한 거구 우선 실기시험을 통과하는게 목표이지요,

교육 중간중간 강사님이 시험 팁을 몇가지 주셔서 대충 어떤식으로 나오겠구나 하는 감은 있었는데..

실제 시험에서도 비슷하게 나왔지만 역시 시험은 긴장감이 x100 배 되어서 그런지..더군다나 모두 볼펜으로

쓰는 논술형이라 글씨가 너무 안써지더라구요. ㅠㅠ

혹시 내 글씨를 못알아보면 어쩌지 하는 생각까지 들었습니다.

첨에 2시간 시험시간이 남을꺼 같았었는데.. 남지 않더라구요...

어째든 무사히 시험지와 답안지 제출하고 나왔습니다.. 필기시험보다는 오히려 쉽다는 생각이 들었습니다.

올해부터는 실기시험 불합격해도 다음년도 필기시험 면제를 해주는 걸로 바뀌었지만 내년에 또 5일 연차

내서 듣는건 좀 아닌거 같아서 이번에 합격했으면 맘이 간절하네요..

합격자 발표일도 알려준게 없어서 그냥 하염없이 기다려야 할꺼 같습니다.

어쨋든 필기 3번만에 합격해서 이렇게 실기시험까지 무사히 치룰수 있게 된점을 다행이라고 생각하구요

이번 필기 떨어지면 포기할려고 했거든요.. 그래서 필기시험보고 합격자 발표하기 전에

수험교재도 당근마켓에서 팔아버렸거든요. ㅋㅋ

이젠 자격증 공부는 그만 할려고 합니다.. ISMS-P인증심사원 자격증을 끝으로 목표했던 자격증5개도

모두 취득했구.이젠 나이도... 50이라서 더이상 머리도 안돌아가구요..

2016년 정보시스템감리사 취득후 나중에 감리법인에 들어갈때 유용한 자격증 위주로 해서 올해까지 5년동안

5개의 자격증 공부를 했습니다. 현재 고3인 우리딸이랑 중학교때부터 같이 독서실도 다니고 스터디카페에도

같이 다니고 했네요. ㅎㅎ

올해 딸아이도 대학교에 철썩 합격하고 저도 이 심사원자격증 합격해서 유종의 미를 거두고 싶습니다.

감사합니다.

2021년 11월 26일

금일 오후 3시에 합격문자가 왔습니다.

2021년 12월 27일

딸아이는 고려대학교에 합격했습니다.

728x90

LIST

'자격증 공부 스토리' 카테고리의 다른 글

2021년도 ISMS-P 인증심사원 필기 후기 (2)	2021.08.09
2020년도 ISMS-P 시험 후기 (0)	2020.11.18
재무 빅데이터 분석사 (FDA) (1)	2019.12.17
개인정보 영향평가 전문인력(PIA) (5)	2019.08.30
정보시스템감리사 합격후기 2탄.. (9)	2019.08.30

2021년도 ISMS-P 인증심사원 필기 후기

2021. 8. 9. 12:23

728x90

SMALL

이번에 3번째 도전입니다.

작년에는 58점으로 아깝게 불합격을 했지만

다행히 올해는 62점으로 합격했습니다.

사실 작년에는 합격할 줄 알았는데 떨어졌고,올해는 떨어질 줄 알았는데 붙었습니다.

참 알수없는 시험결과 이네요.

올해 7월3일날 신청중학교에서 시험보고 나온 후 바로 집에와서 수험서 4개를 바로 당근마켓에

팔아버렸습니다. 왜냐면 이번에도 떨어졌다고 생각하고 이 시험은 포기했기 때문입니다.

시험을 보고 난 후 들었던 느낌은... 단순히 인증기준이나 결함사례만을 외워서는 붙기가 쉽지 않다고

생각이 들었기 때문입니다. 실전모의고사의 문제와는 좀 다른 느낌의 문제 형식이었고, 지문이나 보기상의 문구가

참 낯설은 느낌이 많았습니다.

이번 필기시험에 나온 주요 토픽을 간단히 설명하자면 아래와 같습니다.

. 가상자산사업자 , 멀티시그, 핫월렛, 콜드월렛

.EMR (지금도 잘 모르겠음)

.위수탁

.가명처리, 익명처리 (이번에 가명정보 관련해서 법조항도 신설되었기 때문에 반드시 출제가 예상되었음)

.클라우드 (작년부터 많은 비중을 차지하고 있는 토픽입니다. 작년에 제가 이 클라우드때문에 시험을 못본거 같음)

.위치정보보호법 (법조문 자체는 양이 많지 않아서 꼭 보시기 바랍니다.)

.재택근무,VPN, VDI (요즘 코로나때문에 재택근무가 많아지면서 원격접속에 대한 인증관련 내용이 핫이슈임)

.SDN, NFV, Docker, Supervisior.. (오래된 토픽들이 생뚱맞게 나왔음.. 감리사 공부할때 보고 첨 봄)

문제는 수험생이 의지할 곳은 인증기준 및 결함사례를 딸딸 외우고 , 개보법,정통망법,안전성확보기준, 관리적,기술적 보

호조치 기준등 법 조항을 외우는 거 말고는 다른 대안이 없는것도 사실입니다.

수험교재도 거기에 초점이 맞춰져 있기도 하구요..

그래서 저도 인증기준 및 결함사례 공부에 많은 시간을 할애했습니다. 특히 비슷한 인증기준에 대한 구별을 따로

정리를 했구.. 결함사례도 두음신공을 이용해서 아예 다 외울려고 했습니다. 나중에는 결함사례만을 리스트로

정리해서 (약 307개정도 됩니다.) 랜덤하게 결함사례를 보고 이것이 어느 인증기준의 결함사례인지 알수 있을정도로

암기를 했습니다.

그리고 인증기준에 정확한 의미를 파악하고 이해할려고 하는데 노력을 많이 했습니다.

1. 인증기준 정리

- 인증기준에 대해서 KISA에서 제공하는 안내서 및 한권으로 합격하기 수험서를 보면서 나름 키워드 위주로 정리

- 인증기준은 필기시험지에도 나오지만 따로 두음신공으로 항목제목등을 암기

2. 유사한 인증기준 정리

3. 결함사례 두음신공 정리

4. 기간이나 숫자 관련 내용 정리

5. 안전성 확보조치 기준과 기술적.관리적 보호조치 기준 비교

6. 결함리스트 랜덤

7. 개인정보보호법 변경사항 정리

- 이번에 개보법과 정통망법에서 좀 많은 부분이 법 개정이 있었다.

개인정보보호위원회의 역할이 늘어난 점.

정통망법중에서 정보통신서비스제공자등에 대한 법 조항이 개보법에 특례조항으로

옮겨 지고 일부분이 개보법으로 흡수되어진 조항이 있다.

또 새롭게 가명정보처리에 관한 조항이 신설되기도 했다.

7. 정통망법 변경사항 정리

8. 종합정리장

위 정리 내용중에 반드시 암기해야 할 항목을 다시 발췌

일반 IT/보안에 대한 지식 정리

이 외에도 아래와 같은 항목에 대해서 수고스럽지만 일일히 엑셀에다가 정리를 했습니다.

1. OX 단답형 문제,

2. 인증등에 관한 고시,

3. 문제오답정리,

4. 주요정보통신기반시설 보호지침

5.주요정보통신기반시설 취약점 분석 평가 기준

6. 표준개인정보보호지침

7.위치정보법

8.정보통신기반보호법

아직 2차 실기 시험이 남았기 때문에 최종 합격한 상태는 아닙니다.

2차 실기 교육 및 시험에 관련해서 다녀온 후 다시 후기 올리겠습니다.

728x90

LIST

'자격증 공부 스토리' 카테고리의 다른 글

2021년도 ISMS-P 인증심사원 실기 후기 (8)	2021.09.12
2020년도 ISMS-P 시험 후기 (0)	2020.11.18
재무 빅데이터 분석사 (FDA) (1)	2019.12.17
개인정보 영향평가 전문인력(PIA) (5)	2019.08.30
정보시스템감리사 합격후기 2탄.. (9)	2019.08.30

ISMS-P 키워드별 정리(7/10)

2021. 2. 19. 18:08

728x90

SMALL

● 개인정보의 안전성 확보조치 기준과 개인정보의 기술적.관리적 보호조치 기준상의 용어정리

개인정보의 안전성 확보조치 기준	개인정보의 기술적, 관리적 보호조치 기준
1. '정보주체' 란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
2. '개인정보파일' 이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다. (전자문서 뿐만 아니라 수기도 포함)
3. '개인정보처리자' 란 업무를 목적으로 개인정보를 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관,법인,단체및 개인 등을 말한다.
8. '개인정보보호책임자'	1. '개인정보관리책임자'
9. '개인정보취급자' 란 개인정보처리자의 지휘.감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원,파견근로자,시간제근로자 등을 말한다.	2. '개인정보취급자' 란 이용자의 개인정보를 수집.보관.처 리,이용,제공,관리 또는 파기 등의 업무를 하는 자를 말한다.
10. '개인정보처리시스템' 이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.	4. '개인정보처리시스템' 이란 개인정보를 처리할 수 있도 록 체계적으로 구성한 데이터베이스시스템을 말한다.
11. '위험도 분석' 이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별.평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안마련을 위한 종합적으로 분석하는 행위를 말한다
19. '접속기록' 이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알수 있는 계정, 접속일시, 접속자정보, 수행업무 등을 전자적으로 기록한 것을 말한다.	7. '접속기록' 이라 함은 이용자 또는 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 식별자, 접속일시, 접속지를 알수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록하는 것을 말한다.
	3. '내부 관리계획' 이란 정보통신서비스 제공자등이 개인정보의 안전한 취급을 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획을 말한다.
	11. '보안서버' 라 함은 정보통신망에서 송.수신하는 정보를 암호화하여 전송하는 웹서버를 말한다.
	12. '인증정보' 라 함은 개인정보처리시스템 또는 정보통신 망을 관리하는 시스템 등이 요구한 식별자의 신원을 검증하는 데 사용되는 정보를 말한다

● 개인정보보호책임자 (CPO) 지정

국법헌중 고 정3교3군4 34학행
민간기업	사업주 또는 대표자, 임원 (임원이 없는 경우 담당부서장)		개인정보보호법
민간기업	임원, 담당부서장 (상시종업원5명미만시 지정안하거나 대표자가 CPO)		정보통신망법
공공기관	국회,법원,헌법재판소,중앙선관위의 행정사무처리기관 및 중앙행정기관	고위공무원단에 속하는 공무원	개인정보보호법
	정무직공무원을 장으로 하는 국가기관	3급 이상 공무원
	시.도 및 시.도교육청	3급 이상 공무원
	시.군 및 자치구	4급 공무원
	3급 공무원을 장으로 하는 국각기관	4급 이상 공무원
	학교	행정사무 총괄자
	기타 공공기관	개인정보 처리관련업무를 담당하는 부서의 장

정책 (Policy)	반드시 충족해야할 특정 요구사항 또는 규칙에 대한 윤곽을 명세한 문서
표준 (Standard)	모든 사람에게 의해 충족되어야 할 모임 또는 시스템에 특화되거나 절차에 특화된 요구사항
지침 (GuideLine)	최상의 실행을 위해 시스템에 특화되거나 절차에 특화된 제안의 모임
절차 (Procedure)	정보보호 정책 표준 지침을 잘 적용할 수 있도록 도와주는 것으로 사용자 시스템 곤리자 및 운영자가 새로운 계정을 준비하고 적절한 권한을 할당하는 등의 특정 작업을 수행하는 사람들이 따라할 수 있는 자세한 내용
규정	사내의 내부적인 문서로 특정 프로세스 수행 시 반드시 지켜야 할 항목을 나열한 것.

● 암호화 알고리즘 수학적 기반 원리

대칭키	블록암호	DES, AES, ARIA, SEED
대칭키	스트림암호	RC4
공개키	이산대수	DSA, DH, Elgmal
	소인수분해	RSA, Robin
	타원곡선	ECC, ECDSA, KCDSA
해시	MDC	MD5, SHA-1, SHA-2
해시	MAC	HMAC, CMAC, GMAC

● 암전한 암호화 알고리즘

	취약한 알고리즘	안전한 알고리즘
대칭키	DES, RC4 128비트 미만 AES, ARIA, SEED	SEED, 128비트 이상의 ARIA, AES, Blowfish HEIGHT, LEA, KASUMI
공개키	2048비트 미만의 RSA	RSAES-OAEP, RSAES-PKCS1
해시	MD5, SHA-1 , HAS-160	SHA-256 이상 Whirpool

728x90

LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리 (9/10) (0)	2021.06.17
ISMS-P 키워드별 정리 (8/10) (0)	2021.04.28
ISMS-P 키워드별 정리(6/10) (4)	2021.02.17
ISMS-P 키워드별 정리(5/10) (0)	2021.02.15
ISMS-P 키워드별 정리(4/10) (0)	2021.02.10

1. 신청인이 고의로 인증심사의 실시를 지연 또는 방해하거나 신청인의 귀책사유로 인하여 인증심사팀장이
인증심사를 계속 진행하기가 곤란하다고 판단하는 경우
2. 신청인이 제출한 관련자료 등을 검토한 결과 인증심사를 받을 준비가 되었다고 볼수 없는 경우
3. 인증심사 후 보완조치를 최대 100일 (재조치 요구 60일 포함) 이내에 완료하지 못한 경우
4. 천재지변 및 경영환경 변화 등으로 인하여 인증심사 진행이 불가능하다고 판단되는 경우

* 인증심사 기간중에 증적부족 및 인터뷰 스케쥴 지연 등이 발생하는 경우에는 그 전까지 확인된 사항만을
가지고 결함보고서를 작성을 하고 규정된 기간내에 보완조치하도록 가이드를 한다.

● 인증심사원 자격유지조건

유효기간 3년 이내 42시간 이상 수료
- 필수교육 : 1일 (7시간)
- 선택교육 : 5일 (35시간)
인증심사 5일 참여시마다 선택교육 1일 이수한 것으로 인정

● 개인정보 안전성 확보조치 기준

내부관리계획 중 유형2는 해당하지 않는 항목 (위재위)
- 위험도분석 및 대응방안 마련에 관한 사항
- 재해 및 재난대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
- 개인정보처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

● 업무양도양수시 고지

- 고지내용에는 이전받는자의 정보를 고지하는 거지 이전하는 자의 정보를 고지하는 게 아니다.
    1.개인정보를 이전하려는 사실
    2.이전받는자의 성명,주소,전화번호 및 연락처
- 개인정보보호법에서는 양수자가 이미 고지했으면 양수자는 고지 안해도 되지만
   정통망법에서는 무조건 양도자,양수자 각각 고지 해야 한다. (개통명 망통통)
- 고지할때 개별통지가 어려우면 대신 양도자의 홈페이지에 30일 이상 게제만 해도
   된다.

● 주민등록번호 수집.이용 허용 법령 사례

법률	수집주체	사유
금융실명거래 및 비밀보장에 관한법률	금융회사	금융거래시 거래자의 성명,주민등록번호로 실명 확인
전자상거래 등에서의 소비자보호법	전자상거래 사업자	거래기록 및 그와 관련한 개인정보 보존
전자금융 거래법	금융기관, 전자금융업자	전자화폐를 사용하고자 할 경우 실지명의와 연결하여 관리
부가가치세법	일반사업자	세금계산서에 공급받은 자의 주소.성명,주민등록번호 기재
소득세법	원천징수 의무자	원천징수영수증상의 주민등록번호 기재
의료법	병원	진단서.처방전,진료기록부상의 주민등록번호 기재
보험업법	보험회사	각 호에서 정하는 업무수행에 불가피하경우 예) 회사가 단체보험가입때문에 임직원의 주민등록번호처리
자격기본법	공인자격 관리자	공인자격증 기재사항 및 관리를 위해 주민등록번호 수집 이용가능
고용보험법	사업주 또는 훈련기관	직업능력개발 훈련비용 청구를 위한 지원서 작성시 훈련생의 주민등록번호 기재
전기통신사업법	전기통신사업자가 수시기간 에 재출	수사기관이 전기통신사업법에 의한 통신자료 요청 시
전자서명법		공인인증기관
방송법	방송사업자	방송사업자에 대해 정보공개 요구
벤처기업 육성에 관한 특별조치법	벤처기업	주식 교환 시 주주의 주민등록번호 기재사항

● 개인정보보호조치 기준 조항 비교

개인정보의 안전성 확보조치 기준	개인정보의 기술적, 관리적 보호조치 기준
제1조 (목적)	제1조 (목적)
제2조 (정의)	제2조 (정의)
제3조 (안전조치기준 적용)
제4조 (내부관리계획의 수립.시행)	제3조 (내부관리계획의 수립.시행)
제5조 (접근권한의 관리)
제6조 (접근통제)	제4조 (접근통제)
제7조 (개인정보의 암호화)	제6조 (개인정보의 암호화)
제8조 (접속기록 보관 및 점검)	제5조 (접속기록 위변조 방지)
제9조 (악성프로그램 등 방지)	제7조 (악성프로그램 방지)
제10조 (관리용단말기의 안전조치)
제11조 (물리적 안전조치)	제8조 (물리적 접근 방지)
제12조 (재해.재난대비 안전조치)
제13조 (개인정보의 파기)
	제9조 (출력.복사시 보호조치)
	제10조 (개인정보표시제한조치)
	제11조 (규제의 검토)
[별표] 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준

728x90

LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리(7/10) (0)	2021.02.19
ISMS-P 키워드별 정리(6/10) (4)	2021.02.17
ISMS-P 키워드별 정리(4/10) (0)	2021.02.10
ISMS-P 키워드별 정리(3/10) (0)	2021.02.08
ISMS-P 키워드별 정리(2/10) (0)	2021.02.04

ISMS-P 결함사례 (4/7)

2021. 1. 29. 11:24

728x90

SMALL

2.7.1 암호정책 적용
	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.7 암호화적용 - 정키
사례 1 : 내부 정책․지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장및 전송 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우 사례 2 : 암호정책을 수립하면서 해당 기업이 적용받는 법규를 잘못 적용하여(정보통신망법 대상자에게 개인정보 보호법의 암호화 요건 적용) 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우 사례 3 : 개인정보취급자 및 정보주체(이용자)의 비밀번호에 대하여 일방향 암호화를 적용하였으나 안전하지 않은 MD5 알고리즘을 사용한 경우 사례 4 : 정보통신망법 및 내부 규정에 따라 인터넷 웹사이트에 대하여 보안서버를 적용하였으나,회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우 기타 : 회원가입 페이지 주소가 http로 되어 있음에도 별다른 보안프로그램이나 암호적용을 하지 않은 경우 (https로 하던지 아니면 http로 하되 대신 전송시 암호화를 할 수 있는 방안을 마련해야 함) ★★★ 회원가입페이지나 로그인페이지의 URL주소를 유심히 봐야한다. https로 되어있는지.. ★★★★

2.7.2 암호키 관리
	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.7 암호화적용 - 정키
사례 1 : 암호 정책 내에 암호키 관리와 관련된 절차, 방법 등이 명시되어 있지 않아 담당자 별로 암호키 관리 수준 및 방법이 상이한 등 암호키 관리 상에 취약사항이 존재하는 경우 사례 2 : 내부 규정에 중요 정보를 암호화할 경우 관련 책임자 승인 하에 암호화 키를 생성하고 암호키 관리대장을 작성하도록 정하고 있으나, 암호키 관리대장에 일부 암호키가 누락되어 있거나 현행화되어 있지 않은 경우

2.8.1 보안 요구사항 정의
(인증지표) 인수 전 보안성검증기준/절차 보안성검토 수행증적 개발지침에 보안요구사항 개발표준정의서	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.8 정보시스템도입및개발보안 - 요검시데소운
사례 1 : 정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않은 경우 사례 2 : 신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토하도록 내부 규정을 마련하고 있으나 최근 도입한 일부 시스템에 대해 인수테스트(취약점 점검) 등의 관련 보안성검토 수행 증적이 확인되지 않은 경우 사례 3 : 개발 관련 내부 지침에 개발과 관련된 주요 보안요구사항(인증 및 암호화, 보안로그 등)이 정의되어 있지 않은 경우 사례 4 : ʻ개발표준정의서ʼ에 사용자 패스워드를 안전하지 않은 암호화 알고리즘(MD5, SHA1)으로 사용하도록 되어 있어 관련 법적 요구사항을 적절히 반영하지 않는 경우 (2.7.1 암호정책적용 결함 아님!!★)

2.8.2 보안 요구사항 검토 및 시험
(시입취PIA) 시험 입력값 유효성 취약성 점검/개선조치 PIA	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.8 정보시스템도입및개발보안 - 요검시데소운
사례 1 : 정보시스템 구현 이후 개발 관련 내부 지침 및 문서에 정의된 보안요구사항을 시험하지 않고 있는 경우 사례 2 : 응용프로그램 테스트 시나리오 및 기술적 취약점 점검항목에 입력값 유효성 체크 등의 중요 점검항목 일부가 누락된 경우 사례 3 : 구현 또는 시험 과정에서 알려진 기술적 취약성이 존재하는지 여부를 점검하지 않거나, 타당한 사유 또는 승인 없이 확인된 취약성에 대한 개선조치를 이행하지 않은 경우 사례 4 : 공공기관이 5만명 이상 정보주체의 고유식별정보를 처리하는 등 영향평가 의무 대상 개인정보파일 및 개인정보처리시스템을 신규로 구축하면서 영향평가(PIA)를 실시하지 않은 경우 사례 5 : ★★★공공기관이 영향평가(PIA)를 수행한 후 영향평가 기관으로부터 영향평가서를 제출받은 지 2개월이 지났음에도 불구하고 영향평가서를 행정안전부장관에게 제출하지 않은 경우★★★

2.8.3 시험과 운영 환경 분리
(소누경) 소스코드 변경 검토.모니터링 누락 경유	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.8 정보시스템도입및개발보안 - 요검시데소운
사례 1 : 타당한 사유 또는 승인 없이 별도의 개발환경을 구성하지 않고 운영환경에서 직접 소스코드 변경을 수행 하고 있는 경우 사례 2 : 불가피하게 개발시스템과 운영시스템을 분리하지 않고 운영 중에 있으나, 이에 대한 상호검토 내역, 모니터링 내역 등이 누락되어 있는 경우 사례 3 : 개발시스템이 별도로 구성되어 있으나 개발환경으로부터 운영환경으로의 접근이 통제되지 않아 개발자 들이 개발시스템을 경유하여 불필요하게 운영시스템 접근이 가능한 경우 (예) 운영서버에 netstat -at 를 수행해보니깐 ftp 나 ssh 가 연결(established) 되어 있는 걸로 봐서 개발과 운영환경이 분리가 안되어 있는거 같다)

2.8.4 시험 데이터 보안
	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.8 정보시스템도입및개발보안 - 요검시데소운
사례 1 : 개발 서버에서 사용할 시험 데이터 생성에 대한 구체적 기준 및 절차가 수립되어 있지 않은 경우 사례 2 : 타당한 사유 및 책임자 승인 없이 실 운영데이터를 가공하지 않고 시험 데이터로 사용하고 있는 경우 사례 3 : 불가피한 사유로 사전 승인을 받아 실 운영데이터를 시험 용도로 사용하면서, 테스트 DB에 대해 운영 DB 와 동일한 수준의 접근통제를 적용하고 있지 않은 경우 (예) 운영DB를 데이터를 테스트DB 에 복사해서 사용하고 있음에도 테스트서버에 대한 보안등급이 운영서버 보다 낮게 설정되어 있어 접근통제가 미흡한 경우 사례 4 : 실 운영데이터를 테스트 용도로 사용한 후 테스트가 완료되었음에도 실 운영데이터를 테스트 DB에서 삭제하지 않은 경우

2.8.5 소스 프로그램 관리
(이형최) 이전 소스 형상관리 최신 소스	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.8 정보시스템도입및개발보안 - 요검시데소운
사례 1 : 별도의 소스 프로그램 백업 및 형상관리 시스템이 구축되어 있지 않으며, 이전 버전의 소스코드를 운영 서버 또는 개발자 PC에 승인 및 이력관리 없이 보관하고 있는 경우 사례 2 : 형상관리시스템을 구축하여 운영하고 있으나 형상관리시스템 또는 형상관리시스템에 저장된 소스코드에 대한 접근제한, 접근 및 변경이력이 적절히 관리되지 않고 있는 경우 사례 3 : 내부 규정에는 형상관리시스템을 통해 소스 프로그램 버전관리를 하도록 되어 있으나, 최신 버전의 소스 프로그램은 개발자 PC에만 보관되어 있고 이에 대한 별도의 백업이 수행되고 있지 않은 경우

2.8.6 운영환경 이관
	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.8 정보시스템도입및개발보안 - 요검시데소운
사례 1 : 개발․변경이 완료된 소스 프로그램을 운영환경으로 이관 시 검토 ․ 승인하는 절차가 마련되어 있지 않은 경우 사례 2 : 운영서버에 서비스 실행에 불필요한 파일(소스코드 또는 배포모듈, 백업본, 개발 관련 문서,매뉴얼 등)이 존재하는 경우 (운영서버에 소스를 카피해놓고 거기서 컴파일 하는 것은 '소스프로그램관리' 결함이고 운영서버에 소스가 존재하는 경우는 '운영환경이관' 결함이다) 사례 3 : 내부 지침에 운영환경 이관 시 안전한 이관 ․ 복구를 위해 변경작업 요청서 및 결과서를 작성하도록 정하고 있으나 관련 문서가 확인되지 않는 경우

2.9.1 변경관리
D네변 DMZ변경 영향도분석 네트워크 변경 검토및 공지 변경관리시스템 우회	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.9 시스템및 서비스 운영관리 - 변성 백로 점시재
사례 1 : 최근 DMZ 구간 이중화에 따른 변경 작업을 수행하였으나 변경 후 발생할 수 있는 보안위험성 및 성능 평가에 대한 수행 ․ 승인 증적이 확인되지 않은 경우 사례 2 : 최근 네트워크 변경 작업을 수행하였으나 관련 검토 및 공지가 충분히 이루어지지 않아 네트워크 구성도 및 일부 접근통제시스템(침입차단시스템, DB접근제어시스템 등)의 접근통제리스트(ACL)에 적절히 반영되 어 있지 않은 경우 (예) 협력사가 철수했으나 방화벽 운영팀에 공지되지 않아 방화벽ACL rule에 여전히 그때 쓰던 IP가 남아있음 사례 3 : 변경관리시스템을 구축하여 정보시스템 입고 또는 변경 시 성능 및 보안에 미치는 영향을분석 ․ 협의하고 관련 이력을 관리하도록 하고 있으나 해당 시스템을 통하지 않고도 시스템 변경이 가능하며 관련 변경사항 이 적절히 검토되지 않는 경우

2.9.2 성능 및 장애관리
(임초반대)	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.9 시스템및 서비스 운영관리 - 변성 백로 점시재
사례 1 : 성능 및 용량 관리를 위한 대상별 요구사항(임계치 등)을 정의하고 있지 않거나 정기 점검보고서 등에 기록하고 있지 않아 현황을 파악할 수 없는 경우 (예, IPS임계치에 대한 정의및 임계치 초과시 별도의 대응계획이 존재하지 않음) 사례 2 : 성능 또는 용량 기준을 초과하였으나 관련 검토 및 후속조치방안 수립 ․ 이행이 이루어지고 있지 않은 경우 사례 3 : 전산장비 장애대응절차를 수립하고 있으나 네트워크 구성 및 외주업체 변경 등의 내 ․외부 환경변화가 적절히 반영되어 있지 않은 경우 (네트워크 보안장비 장애 시 대응절차가 수립되어 있으나 담당자 연락처가 이전 유지보수 업체인원의 연락처로 되어 있고, 금년도 도입된 신규장비의 대응절차가 누락되어 있는 경우) 사례 4 : 장애처리절차와 장애유형별 조치방법 간에 일관성이 없거나 예상소요시간 산정에 대한 근거가 부족해 신속 ․ 정확하고 체계적인 대응이 어려운 경우

2.9.3 백업 및 복구관리
	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.9 시스템및 서비스 운영관리 - 변성 백로 점시재
사례 1 : 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구 절차가 수립되어 있지 않은 경우 사례 2 : 백업정책을 수립하고 있으나 법적 요구사항에 따라 장기간(6개월, 3년, 5년 등) 보관이 필요한 백업 대상 정보가 백업 정책에 따라 보관되고 있지 않은 경우 사례 3 : 상위 지침 또는 내부 지침에 따라 별도로 백업하여 관리하도록 명시된 일부 시스템(보안시스템 정책 및 로그 등)에 대한 백업이 이행되고 있지 않은 경우 사례 4 : 상위 지침 또는 내부 지침에는 주기적으로 백업매체에 대한 복구 테스트를 수행하도록 정하고 있으나 복구테스트를 장기간 실시하지 않은 경우

2.9.4 로그 및 접속기록 관리
(절차수립-로그기록-로그백업)	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.9 시스템및 서비스 운영관리 - 변성 백로 점시재
사례 1 : 로그 기록 대상, 방법, 보존기간, 검토 주기, 담당자 등에 대한 세부 기준 및 절차가 수립되어 있지 않은 경우 사례 2 : 보안 이벤트 로그, 응용 프로그램 및 서비스 로그(Windows 2008 서버 이상) 등 중요 로그에 대한 최대 크기를 충분하게 설정하지 않아 내부 기준에 정한 기간 동안 기록 ․ 보관되고 있지 않은 경우 사례 3 : 중요 Linux/UNIX 계열 서버에 대한 로그 기록을 별도로 백업하거나 적절히 보호하지 않아 사용자의 명령 실행 기록 및 접속 이력 등을 임의로 삭제할 수 있는 경우 사례 4 : 개인정보처리시스템에 접속한 기록을 확인한 결과 접속자의 계정, 접속 일시, 접속자 IP주소 정보는 남기 고 있으나 수행업무(조회, 변경, 삭제, 다운로드 등)와 관련된 정보를 남기고 있지 않은 경우 사례 5 : 로그 서버의 용량의 충분하지 않아서 개인정보처리시스템 접속기록이 3개월 밖에 남아 있지 않은 경우

2.9.5 로그 및 접속기록 점검
	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.9 시스템및 서비스 운영관리 - 변성 백로 점시재
사례 1 : 중요 정보를 처리하고 있는 정보시스템에 대한 이상접속(휴일 새벽 접속, 우회경로 접속등) 또는 이상행위 (대량 데이터 조회 또는 소량 데이터의 지속적 ․ 연속적 조회 등)에 대한 모니터링 및 경고 ․ 알림 정책 (기준)이 수립되어 있지 않은 경우 사례 2 : 내부 지침 또는 시스템 등에 접근 및 사용에 대한 주기적인 점검 ․ 모니터링 기준을 마련하고 있으나 실제 이상접속 및 이상행위에 대한 검토 내역이 확인되지 않는 경우 사례 3 : 정보통신망법을 적용받는 정보통신서비스 제공자가 개인정보처리시스템의 접속기록 점검주기를 반기 1회로 정하고 있는 경우 (월1회로 변경)

2.9.6 시간 동기화
	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.9 시스템및 서비스 운영관리 - 변성 백로 점시재
사례 1 : 일부 중요 시스템(보안시스템, CCTV 등)의 시각이 표준시와 동기화되어 있지 않으며 관련 동기화 여부에 대한 주기적 점검이 이행되고 있지 않은 경우 사례 2 : 내부 NTP 서버와 시각을 동기화하도록 설정하고 있으나 일부 시스템의 시각이 동기화되지 않고 있고, 이에 대한 원인분석 및 대응이 이루어지고 있지 않은 경우

2.9.7 정보자산의 재사용 및 폐기
	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.9 시스템및 서비스 운영관리 - 변성 백로 점시재
사례 1 : 개인정보취급자 PC를 재사용할 경우 데이터 삭제프로그램을 이용하여 완전삭제 하도록 정책 및 절차가 수립되어 있으나, 실제로는 완전삭제 조치 없이 재사용 하거나 기본 포맷만 하고 재사용하고 있는 등 관련 절차가 이행되고 있지 않은 경우 사례 2 : 외부업체를 통해 저장매체를 폐기하고 있으나, 계약 내용 상 안전한 폐기 절차 및 보호대책에 대한 내용이 누락되어 있고 폐기 이행 증적 확인 및 실사 등의 관리 ․ 감독이 이루어지지 않은 경우 사례 3 : 폐기된 HDD의 일련번호가 아닌 시스템 명을 기록하거나 폐기 대장을 작성하지 않아 폐기 이력 및 추적 할 수 있는 증적을 확인할 수 없는 경우 사례 4 : 회수한 폐기 대상 하드디스크가 완전 삭제되지 않은 상태로 잠금장치 되지 않은 장소에 방치되고 있는 경우

728x90

LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 결함사례 (6/7) (0)	2021.02.04
ISMS-P 결함사례 (5/7) (0)	2021.02.01
ISMS-P 결함사례 (3/7) (0)	2021.01.27
ISMS-P 결함사례 (2/7) (0)	2021.01.25
ISMS-P 결함사례(1/7) (0)	2021.01.22

ISMS-P 결함사례 (3/7)

2021. 1. 27. 16:16

728x90

SMALL

2.4.1 보호구역 지정
	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.4 물리적보안 - 구출정설작반업
사례 1 : 내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되어 있으나 멤버십 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통제구역에서 누락된 경우 사례 2 : 내부 물리보안 지침에 통제구역에 대해서는 지정된 양식의 통제구역 표지판을 설치하도록 명시하고 있 으나 일부 통제구역에 표시판을 설치하지 않은 경우

2.4.2 출입통제
(출개과퇴) 출입기록검토 개방된 상태 과도한 출입권한 권한목록에 퇴사자가	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.4 물리적보안 - 구출정설작반업
사례 1 : 통제구역을 정의하여 보호대책을 수립하고 출입 가능한 임직원을 관리하고 있으나 (여기까지는 2.4.1 보호 구역지정), 출입기록을 주기적으로 검토하지 않아 퇴직, 전배 등에 따른 장기 미 출입자가 다수 존재하고 있는 경우 (출입기록 검토는 '출입통제' 역할) 사례 2 : 전산실, 문서고 등 통제구역에 출입통제 장치가 설치되어 있으나 타당한 사유 또는 승인 없이 장시간 개방 상태로 유지하고 있는 경우 사례 3 : 일부 외부 협력업체 직원에게 과도하게 전 구역을 상시 출입할 수 있는 출입카드를 부여하고 있는 경우 사례 4 : 통제구역 권한목록에 퇴사자가 존재 기타 : 출입통제 앞에 CCTV 안내판을 설치하지 않았다. (X) -> 결함아님.. 공개된 장소가 아니기 때문에 안내판 설치는 의무가 아니다.

2.4.3 정보시스템 보호
	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.4 물리적보안 - 구출정설작반업
사례 1 : 시스템 배치도가 최신 변경사항을 반영하여 업데이트 되지 않아 장애가 발생된 정보시스템을 신속하게 확인할 수 없는 경우 사례 2 : 서버실 바닥 또는 랙에 많은 케이블이 정리되지 않고 뒤엉켜 있어 전기적으로 간섭, 손상,누수, 부주의 등에 의한 장애 발생이 우려되는 경우 기타 : 렉실장도를 최신화하지 않아 장애시 장애시스템의 위치를 파악하지 못해 RTO를 초과하여 복구하였다.

2.4.4 보호설비 운영
	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.4 물리적보안 - 구출정설작반업
사례 1 : 본사 전산실 등 일부 보호구역에 내부 지침에 정한 보호설비를 갖추고 있지 않은 경우 사례 2 : 전산실 내에 UPS, 소화설비 등의 보호설비는 갖추고 있으나 관련 설비에 대한 운영 및 점검기준을 수립 하고 있지 않은 경우 사례 3 : 운영지침에 따라 전산실 내에 온 ․ 습도 조절기를 설치하였으나 용량 부족으로 인하여 표준 온 ․ 습도를 유지하지 못하여 장애발생 가능성이 높은 경우.

2.4.5 보호구역 내 작업
(승인 & 점검) 작업 승인 작업기록 분기별 1회 점검	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.4 물리적보안 - 구출정설작반업
사례 1 : 전산실 출입로그에는 외부 유지보수 업체 직원의 출입기록이 남아 있으나, 이에 대한 보호구역 작업 신청 및 승인 내역은 존재하지 않은 경우(내부 규정에 따른 보호구역 작업 신청없이 보호구역 출입 및 작업이 이루어지고 있는 경우) 사례 2 : 내부 규정에는 보호구역 내 작업기록에 대해 분기별 1회 이상 점검하도록 되어 있으나, 특별한 사유 없이 장기간 동안 보호구역 내 작업기록에 대한 점검이 이루어지고 있지 않은 경우

2.4.6 반출입 기기 통제
	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.4 물리적보안 - 구출정설작반업
사례 1 : 이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역 내 이동컴퓨팅기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내외부인이 이동컴퓨팅기기를 제약없이 사용하고 있는 경우 사례 2 : 내부 지침에 따라 전산장비 반.출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리책임자의 서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우

2.4.7 업무환경 보안
	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.4 물리적보안 - 구출정설작반업
사례 1 : 개인정보 내부관리계획서 내 개인정보보호를 위한 생활보안 점검(클린데스크 운영 등)을 정기적으로 수행하도록 명시하고 있으나 이를 이행하지 않은 경우 사례 2 : 멤버십 가입신청서 등 개인정보가 포함된 서류를 잠금장치가 없는 사무실 문서함에 보관한 경우 사례 3 : 직원들의 컴퓨터 화면보호기 및 패스워드가 설정되어 있지 않고 휴가자 책상 위에 중요문서가 장기간 방치되어 있는 경우 사례 4 : 회의실 등 공용 사무 공간에 설치된 공용PC에 대한 보호대책이 수립되어 있지 않아 개인정보가 포함된 파일이 암호화되지 않은 채로 저장되어 있거나 보안 업데이트 미적용, 백신미설치 등 취약한 상태로 유지 하고 있는 경우

2.5.1 사용자 계정 관리
(발최본 공퇴어) 발급절차 수립 최소한 권한만 부여 본인계정에 대한 책임은 본인 공유금지(계정) 퇴직,전보시 지체없이 권한 변경.말소 제조사 기본계정은 어려운 계정으로 변경	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.5 인증및 권한관리 - 계식인비특접
사례 1 : 사용자 및 개인정보취급자에 대한 계정 및 권한에 대한 사용자 등록, 해지 및 승인절차 없이 구두 요청, 이메일 등으로 처리하여 이에 대한 승인 및 처리 이력이 확인되지 않는 경우 사례 2 : 개인정보취급자가 휴가, 출장, 공가 등에 따른 업무 백업을 사유로 공식적인 절차를 거치지 않고 개인정 보취급자로 지정되지 않은 인원에게 개인정보취급자 계정을 알려주는 경우 (즉 휴가가면서 내 아이디/패스워드를 다른사람한테 알려주는거 자체가 결함이 아니라 알려줘도 되지만 대신 팀장한테 승인을 받는다던지 하는 공식적인 절차의 의해서 알려줘야 한다는 뜻) 사례 3 : 정보시스템 또는 개인정보처리시스템 사용자에게 필요 이상의 과도한 권한을 부여하여 업무상 불필요한 정보 또는 개인정보에 접근이 가능한 경우

2.5.2 사용자 식별
(제공운admin) 제조사에서 제공하는 기본계정 승인없이 계정을 공유 운영계정을 개인계정처럼 Admin계정을 그대로 사용	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.5 인증및 권한관리 - 계식인비특접
사례 1 : 정보시스템(서버, 네트워크, 침입차단시스템, DBMS 등)의 계정 현황을 확인한 결과, 제조사에서 제공하는 기본 관리자 계정을 변경하지 않고 사용하고 있는 경우 사례 2 : 개발자가 개인정보처리시스템 계정을 공용으로 사용하고 있으나, 타당성 검토 또는 책임자의 승인 등이 없이 사용하고 있는 경우 사례 3 : 외부직원이 유지보수하고 있는 정보시스템의 운영계정을 별도의 승인 절차 없이 개인 계정처럼 사용하 고 있는 경우 사례 4 : 관리자가 Admin 계정의 이름을 바꾸지 않고 그대로 사용하고 있다. * 위 사례들은 결국 실제 누가 접근했는지를 정확하게 식별할수 없게 하는 행위들을 가리킨다. ▶ 1인 1계정 발급을 원칙으로 하여 사용자에 대한 책임추적성(Accountability) 확보 ▶ 계정 공유 및 공용 계정 사용 제한 ▶ 시스템이 사용하는 운영계정은 사용자가 사용하지 못하도록 제한 ▶ 시스템 설치 후 제조사 또는 판매사의 기본계정 및 시험계정은 제거 또는 추측이 어려운 계정으로 변경하여 사용(디폴트 패스워드 변경 포함) ▶ 관리자 및 특수권한 계정의 경우 쉽게 추측 가능한 식별자(root, admin, administrator 등)의 사용을 제한 업무상 불가피하게 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의 승인을 받아야 한다. ▶ 업무 분장상 정 ․ 부의 역할이 구분되어 관리자 계정을 공유하는 경우에도 사용자 계정을 별도로 부여 하고 사용자 계정으로 로그인 후 관리자 계정으로 변경 ▶ 유지보수 업무 등을 위하여 임시적으로 계정을 공유한 경우 업무 종료 후 즉시 해당 계정의 비밀번호 변경 ▶ 업무상 불가피하게 공용계정 사용이 필요한 경우 그 사유와 타당성을 검토하여 책임자의 승인을 받 고 책임추적성을 보장할 추가적인 통제방안 적용

2.5.3 사용자 인증
(외실실B)	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.5 인증및 권한관리 - 계식인비특접
사례 1 : 개인정보취급자가 공개된 외부 인터넷망을 통해서 개인정보처리시스템에 접근 시 안전한 인증수단(OTP)을 적용하지 않고 아이디 ․ 비밀번호 방식으로만 인증하고 있는 경우 사례 2 : 정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 아이디가 존재하지 않거나 비밀번호가 틀림을 자세히 표시해주고 있으며, 로그인 실패 횟수에 대한 제한이 없는 경우 사례 3 : 개인정보처리시스템이 Brute Force 공격에 취약한 것으로 확인 된 경우 (로그인 실패횟수에 제한을 걸었다면 Brute Force 공격이 성공될수 없었겠지..)

2.5.4 비밀번호 관리
(상임변)	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.5 인증및 권한관리 - 계식인비특접
사례 1 : 정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나 일부 정보 시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우 사례 2 : 비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하는 경우 사례 3 : 사용자 및 개인정보취급자의 비밀번호 변경주기가 규정되어 있음에도 불구하고 변경하지 않고 그대로 사용 하고 있는 경우

2.5.5 특수 계정 및 권한 관리
	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.5 인증및 권한관리 - 계식인비특접
사례 1 : 정보시스템 및 개인정보처리시스템의 관리자 및 특수 권한 부여 등의 승인 이력이 시스템이나 문서상 으로 확인이 되지 않거나, 승인 이력과 특수권한 내역이 서로 일치하지 않는 경우 사례 2 : 내부 규정에는 개인정보 관리자 및 특수권한자를 목록으로 작성 ․ 관리하도록 되어 있으나 이를 작성 ․ 관리하고 있지 않거나, 보안시스템 관리자 등 일부 특수권한이 식별 ․ 관리되지 않는 경우 사례 3 : 정보시스템 및 개인정보처리시스템의 유지보수를 위하여 분기 1회에 방문하는 유지보수용 특수 계정이 사용기간 제한이 없이 상시로 활성화되어 있는 경우 (ex) 매월 1회 외주직원이 Anti-Dos 유지보수를 위해 방문하며, 이때 사용되는 계정이 상시 활성화 되어 있음 사례 4 : 관리자 및 특수 권한의 사용 여부를 정기적으로 검토하지 않아 일부 특수권한자의 업무가 변경되었음에 도 불구하고 기존 관리자 및 특수 권한을 계속 보유하고 있는 경우 (ex) 방화벽 관리자가 타부서로 발령났으나 여전히 방화벽 접속권한을 보유하고 있음)

2.6.1 네트워크 접근
(V공내외케)	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.6 접근통제 - 네정응데무원인
사례 1 : 네트워크 구성도와 인터뷰를 통해 확인한 결과, 외부 지점에서 사용하는 정보시스템 및 개인정보처리시 스템과 IDC에 위치한 서버간의 연결 시 일반 인터넷 회선을 통해 데이터 송수신을 처리하고 있어 내부 규정에 명시된 VPN이나 전용망 등을 이용한 통신이 이루어지고 있지 않은 경우 사례 2 : 내부망에 위치한 DB서버 등 일부 중요 서버의 IP주소가 내부 규정과 달리 공인 IP로 설정되어 있고, 네트 워크 접근 차단이 적용되어 있지 않은 경우 사례 3 : 서버팜이 구성되어 있으나 네트워크 접근제어 설정 미흡으로 내부망에서 서버팜으로의 접근이 과도하게 허용되어 있는 경우 사례 4 : 외부자(외부 개발자, 방문자 등)에게 제공되는 네트워크를 별도의 통제 없이 내부 업무 네트워크와 분리 하지 않은 경우 사례 5 : 내부 규정과는 달리 MAC 주소 인증, 필수 보안 소프트웨어 설치 등의 보호대책을 적용하지 않은 상태로 네트워크 케이블 연결만으로 사내 네트워크에 접근 및 이용할 수 있는 경우

2.6.2 정보시스템 접근
(세경불독 IP제한)	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.6 접근통제 - 네정응데무원인
서버, 네트워크시스템, 보안시스템 등 정보시스템 별 운영체제(OS)에 접근이 허용 되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가? 정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가? 정보시스템의 사용목적과 관계없는 서비스를 제거하고 있는가? 주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가 사례 1 : 사무실에서 서버관리자가 IDC에 위치한 윈도우 서버에 접근 시 터미널 서비스를 이용하여 접근하고 있으나 터미널 서비스에 대한 Session Timeout 설정이 되어 있지 않아 장시간 아무런 작업을 하지 않아도 해당 세션이 차단되지 않는 경우 사례 2 : 서버 간의 접속이 적절히 제한되지 않아 특정 사용자가 본인에게 인가된 서버에 접속한 후 해당 서버를 경유하여 다른 인가받지 않은 서버에도 접속할 수 있는 경우 사례 3 : 타당한 사유 또는 보완 대책 없이 안전하지 않은 접속 프로토콜(telnet, ftp 등)을 사용하여 접근하고 있으 며, 불필요한 서비스 및 포트를 오픈하고 있는 경우 사례 4 : 응용프로그램의 시스템에 접근 가능한 IP를 제한하지 않는 경우

2.6.3 응용프로그램 접근
(노관동과Like) : 노출 관리자페이지 동시접속 제한 과도한 정보포함 Like검색	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.6 접근통제 - 네정응데무원인
사례 1 : 응용프로그램의 개인정보 처리화면 중 일부 화면의 권한 제어 기능에 오류가 존재하여 개인정보 열람 권한이 없는 사용자에게도 개인정보가 노출되고 있는 경우 사례 2 : 응용프로그램의 관리자 페이지가 외부인터넷에 오픈되어 있으면서 안전한 인증수단이 적용되어 있지 않은 경우 사례 3 : 응용프로그램에 대해 타당한 사유 없이 세션 타임아웃 또는 동일 사용자 계정의 동시 접속을 제한하고 있지 않은 경우 사례 4 : ★★응용프로그램을 통해 개인정보를 다운로드 받는 경우 해당 파일 내에 주민등록번호 등 업무상 불필요한 정보가 과도하게 포함되어 있는 경우 사례 5 : 응용프로그램의 개인정보 조회화면에서 like 검색을 과도하게 허용하고 있어, 모든 사용자가 본인의 업무 범위를 초과하여 전체 고객 정보를 조회할 수 있는 경우

2.6.4 데이터베이스 접근
(물공괄우임) 물리적 동일서버 DB계정 공유 DB접근권한 일괄부여 우회하여 DB접근 임시테이블	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.6 접근통제 - 네정응데무원인
사례 1 : 대량의 개인정보를 보관 ․처리하고 있는 데이터베이스를 인터넷을 통해 접근 가능한 웹 응용프로그램과 분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우 또는 DB서버가 DMZ내에 WAS서버와 같이 존재하는 경우 (프로그램들을 같은 서버에 설치하는 경우 2.6.2 정보시스템 접근 결함이고 이건 DB서버를 다른 서버와 같이 운영하는 것을 말한다) 사례 2 : 개발자 및 운영자들이 응응 프로그램에서 사용하고 있는 계정을 공유하여 운영 데이터베이스에 접속하고 있는 경우 (계정공유는 2.5.2 사용자 식별 결함이지만 여기서는 그 계정으로 개인정보처리시스템에 접속한 게 아니라 운영 DB에 접속한거기때문에 데이터베이스 접근 결함으로 본다) 사례 3 : 내부 규정에는 데이터베이스의 접속권한을 오브젝트별로 제한하도록 되어 있으나, 데이터베이스 접근권 한을 운영자에게 일괄 부여하고 있어 개인정보 테이블에 접근할 필요가 없는 운영자에게도 과도하게 접근 권한이 부여된 경우 (이것도 과도한 권한부여는 2.5.1 사용자계정 결함에 속할수있지만 테이블에 직접 접근 하는 계정을 말하는 것으로 데이터베이스 접근 결함으로 봄) 사례 4 : DB접근제어 솔루션을 도입하여 운영하고 있으나, 데이터베이스 접속자에 대한 IP주소 등이 적절히 제한 되어 있지 않아 DB접근제어 솔루션을 우회하여 데이터베이스에 접속하고 있는 경우 (이것도 IP주소제한은 2.6.2.정보시스템 접근 결함으로 볼수 있으나 DB접근제어를 우회하여 DB에 접속한 것으로 데이터베이스 접근 결함이다.) 사례 5 : 개인정보를 저장하고 있는 데이터베이스의 테이블 현황이 파악되지 않아, 임시로 생성된 테이블에 불필 요한 개인정보가 파기되지 않고 대량으로 저장되어 있는 경우

2.6.5 무선 네트워크 접근
	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.6 접근통제 - 네정응데무원인
사례 1 : 외부인용 무선 네트워크와 내부 무선 네트워크 영역대가 동일하여 외부인도 무선네트워크를 통해 별도의 통제없이 내부 네트워크에 접근이 가능한 경우 사례 2 : 무선 AP 설정 시 정보 송수신 암호화 기능을 설정하였으나 안전하지 않은 방식으로 설정한 경우 사례 3 : 업무 목적으로 내부망에 연결된 무선AP에 대하여 SSID 브로드캐스팅 허용, 무선AP 관리자 비밀번호 노출(디폴트 비밀번호 사용), 접근제어 미적용 등 보안 설정이 미흡한 경우

2.6.6 원격접근 통제
(IP VPN 외부)	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.6 접근통제 - 네정응데무원인
사례 1 : 내부 규정에는 시스템에 대한 원격 접근은 원칙적으로 금지하고 불가피한 경우 IP 기반의 접근통제를 통해 승인된 사용자만 접근할 수 있도록 명시하고 있으나 시스템에 대한 원격데스크톱 연결, SSH 접속 이 IP주소 등으로 제한되어 있지 않아 모든 PC에서 원격 접속이 가능한 경우 사례 2 : 원격운영관리를 위해 VPN을 구축하여 운영하고 있으나 VPN에 대한 사용 승인 또는 접속기간 제한 없이 상시 허용하고 있는 경우 사례 3 : ★★★ 외부 근무자를 위해 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영 하고 있으나 악성코드 , 분실․도난 등에 의한 개인정보 유출을 방지하기 위한 적절한 보호대책(백신, 초기화, 암호화 등)을 적용 하고 있지 않은 경우 ★★★★ 기타 : 장애대응을 위해 장애대응전담인원의 핸드폰에 업무용앱을 설치하여 내부시스템을 제어할 수 있게 했으나 백신 등 별도의 보안조치를 하지 않은 경우

2.6.7 인터넷 접속 통제
(망분리 망간 P2P웹하드)	2. 보호대책 요구사항 - 정인외물 인접암정 운보사재 - 2.6 접근통제 - 네정응데무원인
사례 1 : 정보통신망법 등 관련 법규에 따라 망분리를 적용하였으나 개인정보처리시스템의 접근권한 설정 가능자 등 일부 의무대상자에 대해 망분리 적용이 누락된 경우 사례 2 : 망분리 의무대상으로서 망분리를 적용하였으나 타 서버를 경유한 우회접속이 가능하여 망분리가 적용 되지 않은 환경에서 개인정보처리시스템 접속 및 개인정보의 다운로드, 파기등이 가능한 경우 사례 3 : DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우 사례 4 : 인터넷 PC와 내부 업무용 PC를 망분리하고 망간 자료전송시스템을 구축 ․ 운영하고 있으나, 자료 전송에 대한 승인 절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우 사례 5 : 내부 규정에는 개인정보취급자가 P2P 및 웹하드 사이트 접속 시 책임자 승인을 거쳐 특정기간 동안만 허용하도록 되어 있으나, 승인절차를 거치지 않고 예외 접속이 허용된 사례가 다수 존재하는 경우

728x90

LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 결함사례 (5/7) (0)	2021.02.01
ISMS-P 결함사례 (4/7) (0)	2021.01.29
ISMS-P 결함사례 (2/7) (0)	2021.01.25
ISMS-P 결함사례(1/7) (0)	2021.01.22
ISMS-P 유사 인증기준 항목 비교 (2/2) (0)	2021.01.21

ISMS 와 ISMS-P

2019. 10. 12. 14:39

728x90

SMALL

정보호호인증(ISMS)과 개인정보보호인증(PIMS) 통합, ISMS-P

ISMS, PIMS 인증 기준의 유사 공통 항목을 통합하고 개인정보 특화 항목 분리
 ISMS-P 인증범위는 정보시스템과 개인정보 모두 고려
 ISMS(신규)인증은 의무사항이나 개인정보 특화 항목은 자율(선택) 사항임
 2019년 5월7일 이후 최초심사는 변경된 인증심사 기준인 ISMS(신규) 및 ISMS-P인증만 심사 가능
(※ 인증 심사일 기준)

ISMS 심사종류

구분	설명	인증위원회 개최여부
최초심사	처음 취득시 중요변경으로 다시 인증 신청시	개최
사후심사	인증취득 이후 매년 1회 이상	미개최
갱신심사	인증유효기간 연장시 만료 3개월 전에 신청	개최

ISMS-P 정책,인증,심사기관

정책기관	인증기관	심사기관
과기부 행정안정부 방송통신위원회	KISA (한국인터넷진흥원) 금융보안원	KISA 금융보안원 한국정보통신진흥협회(KAIT) 한국정보통신기술협회(TTA)
상위수준의 법, 제도, 정책을 수립 인증기관및 심사기관 지정	제도운영, 인증서 발급, 심사원 양성 (단, 심사원 양성및 자격관리, 인증기준 개선은 KISA만 한다)	인증심사 수행

ISMS-P 심사소요 기간
- 2개월 이상 ISMS 운영
- 심사시작일 기준 최소 6주전에 신청서 제출 (준비부터 인증까지는 8개월 소요)
- 심사후 결함 보완조치기간 40일
추가적인 보완조치기간 60일
총 100일

ISMS 인증의무대상(정보통신망법 제47조 2항)

ISP	[전기통신사업법]에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자 (이동통신, 인터넷전화, 인터넷접속서비스) 예) LG U+ , SKT , KT * 정보통신망서비스 제공자라도 모두 의무대상자가 아니고 서울과 광역시에 서비스를 제공하는 제공자만이 의무대상자 이다. (매출액이나 사용자에 관계없이)
IDC	[정보통신망법] 에 따른 집적정보통신시설 사업자 (데이터센터, 서버호스팅, Co-Location 서비스 등) 예) LG CNS, 삼성SDS 데이터센터 (매출액이나 사용자에 관계없이)
다음의 조건중 어느 하나라도 해당하는 자	연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당하는 경우 ① [의료법] 에 따른 상급종합병원 ② 직전연도 12월31일기준 재학생수가 1만명 이상인 [고등교육법] 에 따른 학교 (2년제 대학교, 4년제 대학교, 사이버대학교…)
	정보통신서비스 부문 전년도 매출액이 100억원 이상인 자 (쇼핑몰, 포털, 게임사 등)
	전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자 (쇼핑몰, 포털, 게임, 예약 , 케이블SO)
	매출액 100억원 이상인 재판매사업자 (VIDC)

인증심사 일정

2~3일차	2~3일차	4일차	5일차
[시작회의] - 심사원 소개 - 인증범위 소개 [인증범위설명] - 조직및 물리적 범위 설명 [문서심사] - 정보자산목록 - 정책문서 등 [심사팀 회의] - 추가자료요청 - 인터뷰대상,일정 - 심사주안점	[문서 및 현장심사] [심사팀 회의]	[추가증적 확인 및 인터뷰] [심사팀 회의] [결함보고서 작성]	[검토회의] [종료회의]

ISMS-P 인증기준

ISMS-P 주요 개정사항

728x90

LIST

'정보보안' 카테고리의 다른 글

해시값(Hash Value)과 해시함수(Hash Function) (0)	2019.11.09
블록체인 도입시 보안이슈 (금융편) (0)	2019.11.06
디지털 윤리(Digital Ethics)와 개인정보보호(Privacy) (1)	2019.11.03
양자암호통신 (0)	2019.10.21
블록체인(BlockChain) 도입 시 보안 고려 사항 (0)	2019.10.09

PREV 1 NEXT

1일차	2~3일차	4일차	5일차
[시작회의] - 심사원 소개 - 인증범위 소개 [인증범위설명] - 조직및 물리적범위 설명 [문서심사] - 정보자산목록 - 정책문서 등 [심사팀 회의] - 추가자료요청 - 인터뷰대상,일정 - 심사주안점	[문서 및 현장심사] [심사팀 회의]	[추가증적 확인 및 인터뷰] [심사팀 회의] [결함보고서 작성]	[검토회의] [종료회의]
① 인증 신청인은 인증범위 및 일정 등을 심사수행기관(인증기관 아니고) 과 사전협의하여 신청하여야 한다. ② 서면심사는 별표 7의 인증기준에 적합한지에 대하여 정보보호 및 개인정보보호 관리체계 구축·운영 관련 정책, 지침, 절차 및 이행의 증적자료 검토, 정보보호대책 및 개인정보 처리단계별 요구사항 적용 여부 확인 등의 방법으로 관리적 요소를 심사한다. ③ 현장심사는 서면심사의 결과와 기술적·물리적 보호대책 이행여부를 확인하기 위하여 담당자 면담, 관련 시스템 확인 및 취약점 점검 등의 방법으로 기술적 요소를 심사한다.

IT자격증