▣ 정보보호 인증 및 표준_ISMS-P, CC, TCSEC, PIMS, ISO 27002, ISO 27004, ISO 27014, 개인정보, PIMS, PIPL, ISO 27018, 정보보호관리체계
■ ISMS-P
조직의 주요 정보자산 및 개인정보를 보호하기 위해 관리절차와 과정을 체계적으로 수립하여 지속적으로 관리, 운영하기위한 종합적인 체계 기업 스스로 높은 수준의 보호조치를 취할 수 있는 정보보호 관리체계 인증제도 도입
관리체계 수립 및 운영(16개 항목), 보호대책 요구사항(64개 항목), 개인정보 처리단계별 요구사항(22개 항목) 총 102개
▶ 인증의무대상자(관리체계 수립 및 운영, 보호대책 요구사항)
- 정보통신망서비스를 제공하는 자(ISP), 집적정보통신시설 사업자(IDC)
- 연간 매출액/세입 1,500억원 이상 or 정보통신서비스 부문 전년도 매출액이 100억원 이상 or 3개월간 일일평균 이용자수 100만명 이상
* 연간 매출액/세입 1,500억원 이상인 다음 해당하는 자, 의료법 제3조의 4에 따른 상급종합병원 / 나. 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 고등교육법 제2조에 따른 학교
* 정보통신서비스, 일일평균 이용자수 100만명 이상인자. 다만 전자금융거래법 제2조제3호에 따른 금융회사는 제외
| 1. 관리체계 수립 및 운영 | |
| 1.1 관리체계 기반 마련 | 1.1.1 경영진의 참여 1.1.2 최고책임자의 지정 1.1.3 조직 구성 1.1.4 범위 설정 1.1.5 정책 수립 1.1.6 자원할당 |
| 1.2 위험관리 | 1.2.1 정보자산 식별 1.2.2 현황 및 흐름분석 1.2.3 위험평가 1.2.4 보호대책 선정 |
| 1.3 관리체계 운영 | 1.3.1 보호대책구현 1.3.2 보호대책 공유 1.3.3 운영현황 관리 |
| 1.4 관리체계 점검 및 개선 | 1.4.1 법적요구사항 준수 검토 1.4.2 관리체계 점검 1.4.3 관리체계 개선 |
| 2. 보호대책 요구사항 | |
| 2.1 정책, 조직, 자산관리 | 2.1.1 정책의 유지관리 2.1.2 조직의 유지관리 2.1.3 정보자산 관리 |
| 2.2 인적보안 | 2.2.1 주요 직무자 지정 및 관리 2.2.2 직무 분리 2.2.3 보안서약 2.2.4 인식제고 및 교육훈련 2.2.5 퇴직 및 직무변경 관리 2.2.6 보안 위반시 조치 |
| 2.3 외부자 보안 | 2.3.1 외부자 현황 관리 2.3.2 외부자 계약시 보안 2.3.3 외부자 보안 이행 관리 2.3.4 외부자 계약 변경 및 만료 시 보안 |
| 2.4 물리보안 | 2.4.1 보호구역 지정 2.4.2 출입통제 2.4.3 정보시스템 보호 2.4.4 보호설비 운영 2.4.5 보호구역 내 작업 2.4.6 반출입 기기 통제 2.4.7 업무환경 보안 |
| 2.5 인증 및 권한관리 | 2.5.1 사용자 계정 관리 2.5.2 사용자 식별 2.5.3 사용자 인증 2.5.4 비밀번호 관리 2.5.5 특수계정 및 권한관리 2.5.6 접근권한 검토 |
| 2.6 접근통제 | 2.6.1 네트워크 접근 2.6.2 정보시스템 접근 2.6.3 응용프로그램 접근 2.6.4 데이터베이스 접근 2.6.5 무선 네트워크 접근 2.6.6 원격접근 통제 2.6.6 인터넷 접근 통제 |
| 2.7 암호화 적용 | 2.7.1 암호정책 적용 2.7.2 암호키 관리 |
| 2.8 정보시스템 도입 및 개발 보안 | 2.8.1 보안 요구사항 정의 2.8.2 보안 요구사항 검토 및 시험 2.8.3 시험과 운영환경 분리 2.8.4 시험 데이터 보안 2.8.5 소스 프로그램 관리 2.8.6 운영환경 이관 |
| 2.9 시스템 및 서비스 운영관리 | 2.9.1 변경관리 2.9.2 성능 및 장애관리 2.9.3 백업 및 복구관리 2.9.4 로그 및 접속기록 관리 2.9.5 로그 및 접속기록 점검 2.9.6 시간 동기화 2.8.6 운영환경 이관 |
| 2.10 시스템 및 서비스 보안관리 | 2.10.1 보안시스템 운영 2.10.2 클라우드 보안 2.10.3 공개서버 보안 2.10.4 전자거래 및 핀테크 보안 2.10.5 정보전송 보안 2.10.6 업무용 단말기기 보안 2.10.7 보조저장매체 관리 2.10.2 패치관리 2.10.9 악성코드 통제 |
| 2.11 사고 예방 및 대응 | 2.11.1 사고예방 및 대응체계 구축 2.11.2 취약점 점검 및 조치 2.11.3 이상행위 분석 및 모니터링 2.11.4 사고 대응 훈련 및 개선 2.11.5 사고 대응 복구 |
| 2.12 재해복구 | 2.12.1 재해, 재난 대비 안전조치 2.12.2 재해 복구 시험 및 개선 |
| 3. 개인정보 처리단계별 요구사항 | |
| 3.1 개인정보 수집 시 보호조치 | 3.1.1 개인정보 수집 제한 3.1.2 개인정보의 수집 동의 3.1.3 주민등록번호 처리제한 3.1.4 민감정보 및 고유식별정보의 처리제한 3.1.5 간접수집 보호조치 3.1.6 영상정보처리기기 설치 운영 3.1.7 홍보 및 마케팅 목적 활용 시 조치 |
| 3.2 개인정보 보유 및 이용시 보호조치 | 3.2.1 개인정보 현황관리 3.2.2 개인정보 품질 보장 3.2.3 개인정보 표시제한 및 이용시 보호조치 3.2.4 이용자 단말기 접근보호 3.2.5 개인정보 목적 외 이용 및 제공 |
| 3.3 개인정보 제공 시 보호조치 | 3.3.1 개인정보 제3자 제공 3.3.2 업무 위탁에 따른 정보주체 고지 3.3.3 영업의 양수 등에 따른 개인정보의 이전 3.3.4 개인정보의 국외이전 |
| 3.4 개인정보 파기 시 보호조치 | 3.4.1 개인정보의 파기 3.4.2 처리목적 달성 후 보유 시 조치 3.4.3 휴면 이용자 관리 |
| 3.5 정보주체 권리보호 | 3.5.1 개인정보처리방침 공개 3.5.2 정보주체 권리보장 3.5.3 이용내역 통지 |
■ ISMS의 기준영역은 '관리과정'과 '정보보호대책'으로 구성되어 있음
정보보호관리체계(ISMS)의 인증심사는 정보호호 5단계 관리과정 요구사항 12개 통제사항, 정보보호대책 13개 분양 92개 통제사항 총 104개 통제사항으로 구성되어 있음
2013년 기준으로 이전에 존재하던 '문서화'요구사항은 삭제되었음
- ISMS의 정보보호 관리과정 중 '사후관리'
■ PIMS, PIPL "개인정보보호 관리체계 인증(PIMS)"으로 통합
■ ISMS + PIMS 인증제도 통합에 따른 '정보보호 및 개인정보 관리체계 인증(ISMS-P)'
■ ISMS, CC, TCSEC, PIMS
| 인증/표준 | 설명 |
| ISMS (Information Security Management System) |
좁은 의미로는 정보통신망법에 규정된 인증제도로서 ISMS 넓은 의미로는 조직에서 정보자산을 보호하기 위한 종합적인 체계 조직이 보존해야 할 정보 자산의 기밀성, 무결성, 가용성을 실현하는 절차와 과정을 체계적으로 수립하고 이를 문서화함 관리 및 운영하는 조직의 체계가 인증 기준에 적합한지 심사하여 인증을 부여하는 제도 |
| CC (Common Criteria) |
공동평가 기준, 컴퓨터 제품이 시스템 보안기능 요구사항과 보안보증사항을 만족시키는지를 평가하여 결과의 상호인증까지 모든 지침 및 프로세스를 제정한 국제기준 |
| TCSEC (Trusted Computer Security Evaluation Criteria) |
미국에서 1985년 최초로 만들어진 일명 '오렌지북'임 정보제품의 보안성에 영향을 줄 수 있는 보안요구를 보안정책, 책임성, 신뢰성, 문서화로 분류하여 기본요구사항을 명시적으로 정의하고 수준에 따라 7단계 보안 등급을 규정 |
| PIMS | 기업이 전사차원에서 개인정보보호 활동을 체계적 지속적으로 수행하기 위해 필요한 일련의 보호조치 체계를 구축하였는지 점검하여 일정 수준 이상의 기업에 인증을 부여 |
■ ISO 27004 ISM Metrics & Measurements(정보보호관리 측정 및 척도체계)
ISM에 구현된 정보보안통제의 유효성을 측정하기 위한 프로그램과 프로세스를 규정한 규격으로 무엇을, 어떻게, 언제 측정할 것인지를 제시하여 정보보안의 수준을 파악하고 지속적으로 개선시키기 위한 문서
정보보호 거버넌스에 대한 개념과 원칙 내용은 ISO 27014임
■ ISO 27014:2013 표준의 5대 프로세스
Governance Principles(ISO/IEC 27014:2013)
2018년 108번
정답 : 2번
ISMS(Information Security Management System)
좁은 의미로는 정보통신망법에 규정된 인증제도로서 ISMS
넓은 의미로는 조직에서 정보자산을 보호하기 위한 종합적인 체계
조직이 보존해야 할 정보 자산의 기밀성, 무결성, 가용성을 실현하는 절차와 과정을 체계적으로 수립하고 이를 문서화함
관리 및 운영하는 조직의 체계가 인증 기준에 적합한지 심사하여 인증을 부여하는 제도
2018년부터 PIMS(개인정보보호 관리체계)인증과 통합하여 ISMS-P로 개정
2018년 117번
정답 : 1번
'개발과 운영환경 분리'는 '물리적보안'이 아닌 '정보시스템 도입 및 개발 보안'의 통제항목임
| 2.4 물리보안 | 2.4.1 보호구역 지정 2.4.2 출입통제 2.4.3 정보시스템 보호 2.4.4 보호설비 운영 2.4.5 보호구역 내 작업 2.4.6 반출입 기기 통제 2.4.7 업무환경 보안 |
| 2.8 정보시스템 도입 및 개발 보안 | 2.8.1 보안 요구사항 정의 2.8.2 보안 요구사항 검토 및 시험 2.8.3 시험과 운영환경 분리 2.8.4 시험 데이터 보안 2.8.5 소스 프로그램 관리 2.8.6 운영환경 이관 |
(과학기술정보통신부) 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시
2011년 111번
정답 : 4번
정보보호 인식제고 활동은 조직 구성원 모두를 대상으로 하는 것이 맞음
2013년 120번
정답 : 3번
ISO 27004 ISM Metrics & Measurements(정보보호관리 측정 및 척도체계)
ISM에 구현된 정보보안통제의 유효성을 측정하기 위한 프로그램과 프로세스를 규정한 규격으로 무엇을, 어떻게, 언제 측정할 것인지를 제시하여 정보보안의 수준을 파악하고 지속적으로 개선시키기 위한 문서
2014년 116번
정답 : 1번, 4번
ISMS 인증기준 세부점검 항목 2013.5.15
ISMS의 정보보호 관리과정 중 '사후관리'
2014년 118번
정답 : 4번
정보보호 거버넌스에 대한 개념과 원칙 내용은 ISO 27014임
2015년 104번
정답 : 4번
ISMS의 기준영역은 '관리과정'과 '정보보호대책'으로 구성되어 있음
4) '법적요구사항 준수 검토' 관리과정에 해당하는 내용임
ISMS의 정보보호 관리과정 중 '사후관리'
ISMS-P
| 1.4 관리체계 점검 및 개선 | 1.4.1 법적요구사항 준수 검토 1.4.2 관리체계 점검 1.4.3 관리체계 개선 |
정보보호관리체계(ISMS)의 인증심사는 정보호호 5단계 관리과정 요구사항 12개 통제사항, 정보보호대책 13개 분양 92개 통제사항 총 104개 통제사항으로 구성되어 있음
2013년 기준으로 이전에 존재하던 '문서화'요구사항은 삭제되었음
* ISMS-P로 변경
2015년 105번
정답 : 2번
2)번은 위협분석이 아닌 GAP분석에 대한 설명임
정보보호관리체계(ISMS)인증제도 안내서(2013.03)
정보보호 관리체계 수준현황 분석(GAP분석) : 정보보호 관리체계 인증기준과 기업 내 현재의 관리방안 적용 현황과의 수준 차이를 확인할 수 있음
2015년 118번
정답 : 4번
개인정보보호인증(PIPL)
개인정보 관리체계 심사영역 2. 실행 및 운영 2.3 위험관리 2.3.2 위험평가 수행에 해당하는 심사내용으로 중소기업은 대상이 아님
PIMS, PIPL "개인정보보호 관리체계 인증(PIMS)"으로 통합
ISMS + PIMS 인증제도 통합에 따른 '정보보호 및 개인정보 관리체계 인증(ISMS-P)'
2015년 119번
정답 : 2번
2)번 효율적 보안운영을 위한 계획수립은 없음
정보보호 관리체계 ISO/IEC 27000시리즈, 보안 거버넌스
Governance Principles(ISO/IEC 27014:2013)
2015년 120번
정답 : 3번
컴플라이언스 관리는 '요구사항'이 아닌 '통제목표 및 통제' 내용임
ISO/IEC 27001:2013요구사항 7가지
2016년 117번
정답 : 4번
보증(Assure) : 거버넌스 활동을 실시하고 정보 보안의 원하는 수준을 달성하기 위해 작업 수행, 관련 목표와 행동을 식별하고 확인하는 프로세스
ISO 27014:2013 표준의 5대 프로세스
2016년 120번
정답 : 4번
ISMS의 정보보호 관리과정 중 '사후관리'에 대한 설명임
2017년 112번
정답 : 3번
정보보호 관리체계는 P-D-C-A(Plan-Do-Check_Act) 사이클로 구성되며 ISMS 수립(Plan) - ISMS 구현과 운영(Do) -> ISMS 모니터링과 검토(Check) -> ISMS 관리와 개선(Act)의 수행 절차로 진행됨
2017년 117번
정답 : 1번, 3번
2017년 119번
정답 : 4번
클라우드 환경의 개인식별 정보 처리에 대한 표준은 ISO/IEC 27018임
