728x90
반응형
SMALL
| 키워드 | 인증기준 | 차이점 |
| 정책 | 1.1.5 정책수립 | 1.1 관리체계 기반마련 - 경최조범정자 •정책수립 - 경영진의 의지와방향, 역할과책임, 대상과 범위 , 활동의 근거 •지침/절차/매뉴얼, 승인 , 이해하기 쉬운, •내부관리계획 •재.개정시 승인 *즉 정책.시행문서 작성을 하고 경영진의 승인을 받고 임직원들에게 공유 되어야 한다는 뜻 예) 정책및 지침서가 최근 개정되었으나 임직원에게 공유가 안된 경우 (2.1.1 정책의 유지가 아님) |
| 1.4.1 법적요구사항준수 | 1.4 관리체계 점검및 개선 - 법점개 - 준수해야할 법규 요구사항반영 |
|
| 2.1.1 정책의 유지관리 | 2.1 정책,조직,자산관리 - 정조자 •정책과 시행문서에 대한 정기적인 타당성 검토하고 •필요시 재.개정하고 재.개정 시 이해관계자 승인 •재개정에 대한 이력관리 * 정책과 시행문서간의 일관성 결여 예) 지침서와 절차서간의 패스워드 설정규칙이 상이 예) DB접근통제솔루션을 신규로 도입했으나 내부보안 지침서에 별도의 접근통제사항을 반영하지 않음 (대내외 환경변화를 정책에 반영하지 않음) 예) 정책을 개정했으나 시행기준일을 명시하지 않음 예) 변경된 개인정보보호법 내용을 정책에 반영안함. |
|
| 보호대책 | 1.2.4 보호대책 선정 | 이행계획 , 위험처리(회피,전가,수용,감소) |
| 1.3.1 보호대책 구현 | 이행결과 | |
| 1.3.2 보호대책 공유 | 시행부서,담당자들에 대한 공유&교육 | |
| 정보자산 | 1.2.1 정보자산식별 (누락 불일치) |
1.2 위험관리 - 자현위선 - 자산 식별해서 목록 관리 - 보안등급 부여 |
| 2.1.3 정보자산 관리 (보안등급표시 담당자&책임자 취급절차) |
2.1 정책,조직,자산 - 정조자 - 식별된 자산에 대한 보호대책수립및 책임자지정 |
|
| * 1.2.1 정보자산식별은 자산을 식별하고 보안등급을 설정하는것을 의미하고, 2.1.3 정보자산 관리는 실제 보안등급을 제대로 현장에서 표시가 되고 있는가를 체크하고 관리자를 지정했는지를 말한다. |
||
| 인적보안 | 2.2.1. 주요 직무자 지정 및 관리 | 퇴사하거나 직무가 변경된 직원의 이름이 개인정보 취급자 명단에 그대로 남아 있으면 '2.2.1 주요 직무자 지정및 관리' 의 결함이고, 취급자 명단에서는 제외되었으나 해당 계정과 권한이 그대로 시스템에 남아 있는 경우는 '2.2.5 퇴직 및 직무변경 관리'의 결함이다. (예) 최근 개인정보시스템에 개인정보취급자 명단에서 제외된 인력중 3명의 계정과 권한이 그대로 남아있음 -> 명단에서 제외되었으므로 "주요 직무자지정및 관리"는 충족된거구 실제 계정이 삭제안되었으므로 "퇴직및 직무변경관리" 결함이다. |
| 2.2.5 퇴직 및 직무변경 관리 | ||
| 2.5.6 접근권한 검토 | 미사용한지 6개월이 넘은 계정이 여전히 비활성화안되어 있고 활성화되어 있는 경우는 접근기록을 주기적으로 검토하지 않았다는 뜻. |
|
| 재직직원의 계정이 6개월이상 미사용했는데 계정이 여전히 활성화되어 있으면 접근기록 로그를 주기적으로 검토하지 않은 것이므로 2.5.6 접근권한검토 에 해당하고 재직직원이 아닌 퇴사나 직무변경된 직원이라면 2.2.5 퇴직및직무변경관리 이고 외부직원이라면 2.3.4 외부자계약변경및만료시보안 에 해당된다. |
||
| 물리보안 | 2.4.1 보호구역 지정 | 2.4 물리보안 - 구출정설작반업 - 통제구역.제한구역.접견구역 지정하고 보호대책 수립 - 통제구역은 제한구역의 통제항목을 모두 포함하고 출입자격이 최소한으로 유지되며, 출입을 위하여 추가적인 절차가 필요한 곳 (전산실, 통신장비실,관제실,공조실,발전실) |
| 2.4.2 출입통제 | 2.4 물리보안 - 구출정설작반업 - 위 보호구역은 인가된 사람만이 출입할수있도록 보호대책 수립 - 출입기록 주기적 검토 |
|
| 2.4.3 정보시스템 보호 | 2.4 물리보안 - 구출정설작반업 - 배치 장소 분리 - 전력 및 통신케이블 보호 |
|
| 2.4.4 보호설비 운영 | 2.4 물리보안 - 구출정설작반업 - UPS, 항온항습기,소화기….. |
|
| 2.4.7 업무환경보안 | 2.4 물리보안 - 구출정설작반업 - 클린데스크 |
|
| 사용자 | 2.5.1 사용자계정관리 (발최본 공퇴어) |
2.5 인증및 권한관리 - 계식인비특접 - 사용자계정및권한 등록,변경,말소절차 수립이행 - 최소한의 권한만 부여 - 사용자에게 보안책임이 있음을 인식 (출장가면서 다른사람에게 개인정보취급자 계정을 알려준경우) |
| 2.5.2 사용자 식별 | 2.5 인증 및 권한관리 - 계식인비특접 - 유일한 식별자 할당 - 동일계정 공유시 타당성검토및 승인 및 보완 대책 수립 |
|
| 2.5.3 사용자 인증 (외실실B) | 2.5 인증 및 권한관리 - 계식인비특접 - 로그인실패횟수,접속시간,동시접속제한, 불법 로그인 경고 - 외부에서 접속 시 안전한 인증수단제공 |
|
| 자산식별 | 1.1.4 범위설정 | 1.1 관리체계 기반마련 - 경최조범정자 - 핵심자산을 누락없이 관리체계(ISMS-P)에 포함 - 예외사항은 승인필요 - ISMS-P 범위확인을 위해 문서하 * 다수의 자산혹은 시스템을 통제로 누락했다면 |
| 1.2.1. 정보자산 식별 | 1.2 위험관리 - 자현위선 - ISMS-P 범위내의 모든 자산을 식별 - 보안등급 부여 - 최신으로 유지 * 특정 자산이 식별되지 않고 누락된 경우 |
|
| 2.1.3 정보자산 관리 | 2.1 정책,조직,자산 - 정조자 - 식별된 자산에 대해서 보호대책 수립하고 - 책임자 및 관리자 지정 * 자산을 식별했으나 보안대응을 하지 않은 경우 * 1.2.1 정보자산식별은 자산을 식별하고 보안등급을 설정하는것을 의미 2.1.3 정보자산 관리는 실제 보안등급을 제대로 현장에서 표시가 되고 있는가를 체크하는 것을 말한다 |
|
| 2.4.3 정보시스템 보호 | 2.4 물리보안 - 구출정설작반업 - 물리적 분리 배치 - 케이블,통신,전력 보호 : 랙 실장도 * 랙실장도에만 누락된 경우 |
|
| 업무환경/단말기 |
2.4.7 업무환경보안 | 공용PC,문서고,복합기,사무용기기 등 업무환경을 통해 정보가 노출되지 않도록 하는 것을 말함 예) 클린데스크를 이행안함 예) 가입자서류를 잠금장치가 없는 서랍에 보관 예) 컴퓨터에 화면보호기, 및 패스워드 미설정 예) 공용PC에 대한 대책이 수립되지 않아서 개인정보가 암호화되지 않은 상태로 있거나 보안 업데이트 미적용, 백신 미설치 등 취약한 상태 |
| 2.10.6 업무용 단말기의 보안 | * PC,모바일기기에 대한 네트워크 접근 통제절차 수립 (신청,승인,등록,해지,기기인증이력) * 업무용단말기를 통한 자료공유제한 (공용폴더) * 업무용단말기의 분실,도난으로 인한 정보유출 대책 (킬스위치 MDM설치) 예)모바일기기에 비밀번호 설정이 안되어있는 경우 예)업무용단말기의 공유폴더 사용금지했으나 사용 |
|
728x90
반응형
LIST
'ISMS-P' 카테고리의 다른 글
| ISMS-P 결함사례(1/7) (0) | 2021.01.22 |
|---|---|
| ISMS-P 유사 인증기준 항목 비교 (2/2) (0) | 2021.01.21 |
| ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(3/3) (0) | 2021.01.17 |
| ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(2/3) (0) | 2021.01.15 |
| ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(1/3) (0) | 2021.01.13 |