Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |
Tags
- 정보보안기사
- 정보보안기사 실기
- 포렌식
- AWS EKS
- SMS-P 인증 기준 안내서 요약
- ISMS
- 해킹
- 모의해킹
- 보안기사
- AWS Elasticsearch
- 정보보안
- 쿠버네티스
- AWS Opensearch
- AWS EKS Udemy
- forensic
- CFReDS
- hacking case
- kubernetes
- TSK
- iam
- 실습
- artifacts
- The Sleuth Kit
- AWS
- AWS 쿠버네티스
- 보안
- isms-p
- k8s
- ISMS-P 인증심사원
- Autopsy
Archives
- Today
- Total
Always-Try(정보보안 및 일상)
ISMS-P 인증 기준 안내서 요약 - 관리체계 (1.3관리체계 기반 마련 ~ 1.4 위험 관리) 본문
정보보안 자격증 + ISMS-P
ISMS-P 인증 기준 안내서 요약 - 관리체계 (1.3관리체계 기반 마련 ~ 1.4 위험 관리)
Always-Try 2021. 9. 8. 03:45ISMS-P 인증 시험을 준비하면서 가장 많이 참고 했던 것은 'ISMS-P 인증 기준 안내서' 이다. 하지만 페이지가 300페이지 가까이 되기 때문에 반복해서 읽으니 시간도 오래 걸리고 눈에도 잘 안들어와서 보고싶은 내용만 추려봤다. 안봐도 알만한 결함들은 제외했다. 만약, ISMS가 처음이라면 인증 기준 안내서를 먼저 보는 걸 추천한다.
1. 관리체계 수립 및 운영
1.3 관리체계 운영
1.3.1 보호대책 구현
- 인증기준:
- 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다.
- 주요 확인사항:
- 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하고 있는가?
- 세부설명:
- 관리체계 인증기준별 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하여야 한다.
- 운영명세서에는 인증기준 선정 여부 / 운영 현황 / 관련 문서(정책, 지침) / 기록(증적자료) / 인증기준 미선정 시 사유 등이 포함 됨
- 결함사례:
- 이행보고서에는 '조치 완료'로 명시되어 있으나, 관련 위험이 여전히 존재하는 경우
- 이행결과를 경영진이 검토 및 확인하고 있지 않은 경우
1.3.2 보호대책 공유
- 결함사례:
- 정보보호대책을 마련하여 구현하고 있으나 관련 내용을 충분히 공유/교육하지 않아 실제 운영 또는 수행 부서 및 담당자가 해당 내용을 인지하지 못하고 있는 경우
1.3.3 운영현황 관리
- 인증기준:
- 상시적 또는 주기적으로 수행하여야 하는 운영활동 기록
- 경영진은 주기적으로 운영 활동의 효과성을 확인하여 관리
- 세부 설명:
- 주기적 또는 상시적인 활동이 요구되는 활동은 수행 주기 및 시점, 수행 주체(담당부서, 담당자) 등을 정의한 문서(운영현황표)를 작성하고 관리
- 주기적 정보보호 및 개인정보 활동 예시
- 주요직무자, 개인정보취급자의 접속기록 검토
- 주요직무자의 접근 권한 검토
- 위원회 개최
- 교육
- 사무실 보안점검
- 정책/지침 개정 검토
- 법적 준거성 검토
- 침해 대응 모의훈련, IT 재해복구 모의훈련
- 내부 감사
- 결함사례:
- 주기적 또는 상시적인 활동이 요구되는 활동 현황을 문서화하지 않은 경우
- 문서화는 이루어졌으나 운영 현황에 대한 주기적인 검토가 이루어지지 않아 활동이 누락되거나 이행 여부를 확인할 수 없는 경우
1.4 관리체계 점검 및 개선
1.4.1 법적 요구사항 준수 검토
- 세부 설명:
- 조직이 준수하여야 하는 정보보호 및 개인정보 관련 법규 파악
- 망법, 개보법, 신용정보법, 위치정보법, 전자금융법, 전자상거래법, 저작권법, 정보통신 기반보호법, 전자서명법, 산업기술 유출방지법, 부정경쟁방지 및 영업비밀보호법
- 망법, 개보법, 신용정보법, 위치정보법, 전자금융법, 전자상거래법, 저작권법, 정보통신 기반보호법, 전자서명법, 산업기술 유출방지법, 부정경쟁방지 및 영업비밀보호법
- 조직이 준수하여야 하는 정보보호 및 개인정보 관련 법규 파악
- 결함사례:
- 망법 및 개보법이 최근 개정되었으나, 개정사항이 조직에 미치는 영향을 검토하지 않았으며 정책서 및 시행문서에도 해당 내용을 반영하지 않아 정책서 및 시행문서의 내용이 법령의 내용과 일치하지 않은 경우
- 조직에서 준수해야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 1년 이상 수행하지 않은 경우
1.4.2 관리체계 점검
- 인증기준:
- 관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고 경영진에게 보고
- 주요 확인사항:
- 법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격 요건 등을 포함한 관리체계 점검 계획을 수립하고 있는가?
- 관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 경영진에게 보고하고 있는가?
- 세부 설명:
- 결함사례:
- 관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 있어 점검의 독립성이 훼손된 경우
1.4.3 관리체계 개선
- 인증기준:
- 점검을 통해 식별된 문제점에 대한 원인을 분석하고 재발방지 대책을 수립/이행
- 경영진은 효과성 여부를 확인
- 중요 확인사항:
- 재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하였는가?(보안 예외 승인 건수, 보안 프로그램 설치율, 악성프로그램 감염율, 자가점검 수행율 등등)
- 결함사례:
- 내부점검을 통해 발견된 정보보호 및 개인정보보호 관리체계 운영상의 문제점이 매번 동일하게 반복되어 발생되는 경우
- 재발방지 대책을 수립하고 핵심성과지표를 마련하여 주기적으로 측정하고 있으나, 경영진 보고가 장기간 이루어지지 않은 경우
'정보보안 자격증 + ISMS-P' 카테고리의 다른 글
| ISMS-P 인증 기준 안내서 요약 - 보호대책 요구사항 (2.5 인증 및 권한 관리 ~ 2.8 정보시스템 도입 및 개발 보안) (0) | 2021.09.09 |
|---|---|
| ISMS-P 인증 기준 안내서 요약 - 보호대책 요구사항 (2.1 정책, 조직, 자산 관리 ~ 2.4 물리보안) (0) | 2021.09.08 |
| ISMS-P 인증 기준 안내서 요약 - 관리체계 (1.1 관리체계 기반 마련 ~ 1.2 위험 관리) (0) | 2021.09.07 |
| 2021년 ISMS-P 인증심사원 자격 시험 필기 합격 후기 (4) | 2021.08.29 |
| ISMS-P 인증심사원이란? (2) | 2021.08.29 |
Comments