ISMS-P 주요 암기사항: Difference between revisions
From CS Wiki
(새 문서: == 암기 사항 == ==== 법률 근거 ==== * 정보통신망법 제47조(정보보호 관리체계의 인증) * 정보통신망법 제47조의2(정보보호 관리체계 인증기...) |
No edit summary |
||
Line 1: | Line 1: | ||
== 암기 사항 == | ==암기 사항== | ||
==== 법률 근거 ==== | ====법률 근거==== | ||
* 정보통신망법 제47조(정보보호 관리체계의 인증) | *정보통신망법 제47조(정보보호 관리체계의 인증) | ||
* 정보통신망법 제47조의2(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관의 지정취소 등) | *정보통신망법 제47조의2(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관의 지정취소 등) | ||
* 정보통신망법 시행령 제47조(정보보호 관리체계 인증의 방법ㆍ절차ㆍ범위 등) | *정보통신망법 시행령 제47조(정보보호 관리체계 인증의 방법ㆍ절차ㆍ범위 등) | ||
* 정보통신망법 시행령 제48조(정보보호 관리체계 인증의 수수료) | *정보통신망법 시행령 제48조(정보보호 관리체계 인증의 수수료) | ||
* 정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위) | *정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위) | ||
* 정보통신망법 시행령 제51조(인증의 사후관리) | *정보통신망법 시행령 제51조(인증의 사후관리) | ||
* 정보통신망법 시행령 제52조(인증표시 및 홍보) | *정보통신망법 시행령 제52조(인증표시 및 홍보) | ||
* 정보통신망법 시행령 제53조(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관의 지정기준) | *정보통신망법 시행령 제53조(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관의 지정기준) | ||
* 정보통신망법 시행령 제53조의2(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관의 지정절차 등) | *정보통신망법 시행령 제53조의2(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관의 지정절차 등) | ||
* 정보통신망법 시행령 제53조의3(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관 지정의 유효기간) | *정보통신망법 시행령 제53조의3(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관 지정의 유효기간) | ||
* 정보통신망법 시행령 제53조의4(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관의 사후관리) | *정보통신망법 시행령 제53조의4(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관의 사후관리) | ||
* 정보통신망법 시행령 제54조(지정취소 등의 기준) | *정보통신망법 시행령 제54조(지정취소 등의 기준) | ||
* 개인정보 보호법 제32조의2(개인정보 보호 인증) | *개인정보 보호법 제32조의2(개인정보 보호 인증) | ||
* 개인정보 보호법 시행령 제34조의2(개인정보 보호 인증의 기준ㆍ방법ㆍ절차 등) | *개인정보 보호법 시행령 제34조의2(개인정보 보호 인증의 기준ㆍ방법ㆍ절차 등) | ||
* 개인정보 보호법 시행령 제34조의3(개인정보 보호 인증의 수수료) | *개인정보 보호법 시행령 제34조의3(개인정보 보호 인증의 수수료) | ||
* 개인정보 보호법 시행령 제34조의4(인증취소) | *개인정보 보호법 시행령 제34조의4(인증취소) | ||
* 개인정보 보호법 시행령 제34조의5(인증의 사후관리) | *개인정보 보호법 시행령 제34조의5(인증의 사후관리) | ||
* 개인정보 보호법 시행령 제34조의6(개인정보 보호 인증 전문기관) | *개인정보 보호법 시행령 제34조의6(개인정보 보호 인증 전문기관) | ||
* 개인정보 보호법 시행령 제34조의7(인증의 표시 및 홍보) | *개인정보 보호법 시행령 제34조의7(인증의 표시 및 홍보) | ||
* 개인정보 보호법 시행령 제34조의8(개인정보 보호 인증심사원의 자격 및 자격 취소 요건) | *개인정보 보호법 시행령 제34조의8(개인정보 보호 인증심사원의 자격 및 자격 취소 요건) | ||
==== 기간 등 숫자 ==== | ====기간 등 숫자==== | ||
* ISMS 의무대상자 인증 의무 취득기간은 차년도 '''8.31.'''까지 | *ISMS 의무대상자 인증 의무 취득기간은 차년도 '''8.31.'''까지 | ||
* 보완조치 기간 '''40일''', 재조치 요구기간 '''60일''' (총 '''100일''') | *보완조치 기간 '''40일''', 재조치 요구기간 '''60일''' (총 '''100일''') | ||
* 심사결과에 대한 이의신청 '''15일''' 이내 | *심사결과에 대한 이의신청 '''15일''' 이내 | ||
* 심사위원회 후 '''30일''' 이내 보완조치 요구 | *심사위원회 후 '''30일''' 이내 보완조치 요구 | ||
* 사후심사 '''1년''' 주기 | *사후심사 '''1년''' 주기 | ||
* 갱신심사 '''3년''' 주기 | *갱신심사 '''3년''' 주기 | ||
* 갱신심사는 유효기간 만료 '''3개월''' 전에 신청 | *갱신심사는 유효기간 만료 '''3개월''' 전에 신청 | ||
==== 헷갈리는 심사 기준 ==== | ====헷갈리는 심사 기준==== | ||
* '''잘못된 정보보호위원회 구성 따른 의결로 정보보호 정책이 수립되어 경영진 보고 없이 정책이 배포된 경우,''' | *'''잘못된 정보보호위원회 구성 따른 의결로 정보보호 정책이 수립되어 경영진 보고 없이 정책이 배포된 경우,''' | ||
** 가장 근본적인 조직 구성 결함 사례로 봄 | **가장 근본적인 조직 구성 결함 사례로 봄 | ||
** (참고) 관련 인증 기준 | **(참고) 관련 인증 기준 | ||
*** 잘못된 정보보호위원회 구성 = [[ISMS-P 인증 기준 1.1.3.조직 구성]] | ***잘못된 정보보호위원회 구성 = [[ISMS-P 인증 기준 1.1.3.조직 구성]] | ||
*** 잘못된 정보보호 정책 수립 = [[ISMS-P 인증 기준 1.1.5.정책 수립]] | ***잘못된 정보보호 정책 수립 = [[ISMS-P 인증 기준 1.1.5.정책 수립]] | ||
*** 경영진 보고 누락 = [[ISMS-P 인증 기준 1.1.1.경영진의 참여]] | ***경영진 보고 누락 = [[ISMS-P 인증 기준 1.1.1.경영진의 참여]] | ||
*** 잘못된 보호대책 공유 = [[ISMS-P 인증 기준 1.3.2.보호대책 공유]] | ***잘못된 보호대책 공유 = [[ISMS-P 인증 기준 1.3.2.보호대책 공유]] | ||
* '''잘못된 배포과정을 통해 업데이트된 시스템이 운영에 배포되어 장애가 발생한 경우,''' | *'''잘못된 배포과정을 통해 업데이트된 시스템이 운영에 배포되어 장애가 발생한 경우,''' | ||
** 배포 과정에 따른 잘못은 변경관리 결함 사례로 봄 | **배포 과정에 따른 잘못은 변경관리 결함 사례로 봄 | ||
** (참고) 관련 인증 기준 | **(참고) 관련 인증 기준 | ||
*** 잘못된 배포 과정 = [[ISMS-P 인증 기준 2.9.1.변경관리]] | ***잘못된 배포 과정 = [[ISMS-P 인증 기준 2.9.1.변경관리]] | ||
*** 잘못된 운영 반영 = [[ISMS-P 인증 기준 2.8.6.운영환경 이관]] | ***잘못된 운영 반영 = [[ISMS-P 인증 기준 2.8.6.운영환경 이관]] | ||
* '''업무용 단말에 보안 프로그램들이 설치되어 있으나, 잘못된 예외처리로 보안 결함이 발생한 경우,''' | *'''업무용 단말에 보안 프로그램들이 설치되어 있으나, 잘못된 예외처리로 보안 결함이 발생한 경우,''' | ||
** 보안 시스템 운용 결함 사례로 봄 | **보안 시스템 운용 결함 사례로 봄 | ||
** (참고) 관련 인증 기준 | **(참고) 관련 인증 기준 | ||
*** 잘못된 단말 보안 = [[ISMS-P 인증 기준 2.10.6.업무용 단말기기 보안]] | ***잘못된 단말 보안 = [[ISMS-P 인증 기준 2.10.6.업무용 단말기기 보안]] | ||
*** 잘못된 예외처리 운영 = [[ISMS-P 인증 기준 2.10.1.보안시스템 운영]] | ***잘못된 예외처리 운영 = [[ISMS-P 인증 기준 2.10.1.보안시스템 운영]] | ||
==== 기타 오답 ==== | ====기타 오답==== | ||
'''아래 내용은 모두 틀린 오답임''' | |||
* 인증기관은 인증만 수행 가능하며, 심사기관은 심사만 수행 가능하도록 권한을 분리하여 운영한다. | *인증기관은 인증만 수행 가능하며, 심사기관은 심사만 수행 가능하도록 권한을 분리하여 운영한다. | ||
* 인증위원회는 정보통신망법 시행령 제47조 및 개인정보 보호법 시행령 제34조의2에 따라 심사기관에서 인증심사 결과 등을 심의하고 의결하기 위해 운영하는 조직이다. | *인증위원회는 정보통신망법 시행령 제47조 및 개인정보 보호법 시행령 제34조의2에 따라 심사기관에서 인증심사 결과 등을 심의하고 의결하기 위해 운영하는 조직이다. | ||
* 정보보호 관리체계 인증 의무 대상자 중 개인정보를 취급하는 사업자는 정보보호 및 개인정보보호관리체계 인증을 받아야 한다. | *정보보호 관리체계 인증 의무 대상자 중 개인정보를 취급하는 사업자는 정보보호 및 개인정보보호관리체계 인증을 받아야 한다. | ||
*휴면회원의 로그인을 위해 아이디, 비밀번호는 원본 DB에 그대로 남겨 두는 것은 3.4.3 휴면이용자 관리 결함이다. |
Revision as of 22:40, 16 June 2022
암기 사항
법률 근거
- 정보통신망법 제47조(정보보호 관리체계의 인증)
- 정보통신망법 제47조의2(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관의 지정취소 등)
- 정보통신망법 시행령 제47조(정보보호 관리체계 인증의 방법ㆍ절차ㆍ범위 등)
- 정보통신망법 시행령 제48조(정보보호 관리체계 인증의 수수료)
- 정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위)
- 정보통신망법 시행령 제51조(인증의 사후관리)
- 정보통신망법 시행령 제52조(인증표시 및 홍보)
- 정보통신망법 시행령 제53조(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관의 지정기준)
- 정보통신망법 시행령 제53조의2(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관의 지정절차 등)
- 정보통신망법 시행령 제53조의3(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관 지정의 유효기간)
- 정보통신망법 시행령 제53조의4(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관의 사후관리)
- 정보통신망법 시행령 제54조(지정취소 등의 기준)
- 개인정보 보호법 제32조의2(개인정보 보호 인증)
- 개인정보 보호법 시행령 제34조의2(개인정보 보호 인증의 기준ㆍ방법ㆍ절차 등)
- 개인정보 보호법 시행령 제34조의3(개인정보 보호 인증의 수수료)
- 개인정보 보호법 시행령 제34조의4(인증취소)
- 개인정보 보호법 시행령 제34조의5(인증의 사후관리)
- 개인정보 보호법 시행령 제34조의6(개인정보 보호 인증 전문기관)
- 개인정보 보호법 시행령 제34조의7(인증의 표시 및 홍보)
- 개인정보 보호법 시행령 제34조의8(개인정보 보호 인증심사원의 자격 및 자격 취소 요건)
기간 등 숫자
- ISMS 의무대상자 인증 의무 취득기간은 차년도 8.31.까지
- 보완조치 기간 40일, 재조치 요구기간 60일 (총 100일)
- 심사결과에 대한 이의신청 15일 이내
- 심사위원회 후 30일 이내 보완조치 요구
- 사후심사 1년 주기
- 갱신심사 3년 주기
- 갱신심사는 유효기간 만료 3개월 전에 신청
헷갈리는 심사 기준
- 잘못된 정보보호위원회 구성 따른 의결로 정보보호 정책이 수립되어 경영진 보고 없이 정책이 배포된 경우,
- 가장 근본적인 조직 구성 결함 사례로 봄
- (참고) 관련 인증 기준
- 잘못된 정보보호위원회 구성 = ISMS-P 인증 기준 1.1.3.조직 구성
- 잘못된 정보보호 정책 수립 = ISMS-P 인증 기준 1.1.5.정책 수립
- 경영진 보고 누락 = ISMS-P 인증 기준 1.1.1.경영진의 참여
- 잘못된 보호대책 공유 = ISMS-P 인증 기준 1.3.2.보호대책 공유
- 잘못된 배포과정을 통해 업데이트된 시스템이 운영에 배포되어 장애가 발생한 경우,
- 배포 과정에 따른 잘못은 변경관리 결함 사례로 봄
- (참고) 관련 인증 기준
- 잘못된 배포 과정 = ISMS-P 인증 기준 2.9.1.변경관리
- 잘못된 운영 반영 = ISMS-P 인증 기준 2.8.6.운영환경 이관
- 업무용 단말에 보안 프로그램들이 설치되어 있으나, 잘못된 예외처리로 보안 결함이 발생한 경우,
- 보안 시스템 운용 결함 사례로 봄
- (참고) 관련 인증 기준
- 잘못된 단말 보안 = ISMS-P 인증 기준 2.10.6.업무용 단말기기 보안
- 잘못된 예외처리 운영 = ISMS-P 인증 기준 2.10.1.보안시스템 운영
기타 오답
아래 내용은 모두 틀린 오답임
- 인증기관은 인증만 수행 가능하며, 심사기관은 심사만 수행 가능하도록 권한을 분리하여 운영한다.
- 인증위원회는 정보통신망법 시행령 제47조 및 개인정보 보호법 시행령 제34조의2에 따라 심사기관에서 인증심사 결과 등을 심의하고 의결하기 위해 운영하는 조직이다.
- 정보보호 관리체계 인증 의무 대상자 중 개인정보를 취급하는 사업자는 정보보호 및 개인정보보호관리체계 인증을 받아야 한다.
- 휴면회원의 로그인을 위해 아이디, 비밀번호는 원본 DB에 그대로 남겨 두는 것은 3.4.3 휴면이용자 관리 결함이다.