ISMS-P 인증심사원 주요 암기사항 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
6번째 줄: | 6번째 줄: | ||
*보완조치 기간 '''40일''', 재조치 요구기간 '''60일''' (총 '''100일''') | *보완조치 기간 '''40일''', 재조치 요구기간 '''60일''' (총 '''100일''') | ||
*심사결과에 대한 이의신청 '''15일''' 이내 | *심사결과에 대한 이의신청 '''15일''' 이내 | ||
* | *심사기관은 인증위원회 후 '''30일''' 이내 보완조치 요구 | ||
*사후심사 '''1년''' 주기 | *사후심사 '''1년''' 주기 | ||
*갱신심사 '''3년''' 주기 | *갱신심사 '''3년''' 주기 | ||
*갱신심사는 유효기간 만료 '''3개월''' 전에 신청 | *갱신심사는 유효기간 만료 '''3개월''' 전에 신청 | ||
== 주요 법률상 암기사항 == | == 주요 법률상 암기사항 == | ||
법률적인 암기사항들은 상당 비율이 개인정보 보호와 관련되어 나온다. CPPG 공부를 했다면 큰 도움이 될 수도 있다. 개인정보 보호 분야가 일반적인 보안 분야보다 법에서 | 법률적인 암기사항들은 상당 비율이 개인정보 보호와 관련되어 나온다. CPPG 공부를 했다면 큰 도움이 될 수도 있다. 개인정보 보호 분야가 일반적인 보안 분야보다 법에서 정해진대로 수행하는 정형화된 부분이 많고 법령 및 고시에서 몇가지를 정하여 나열하고 있는 경우가 많기 때문에 문제를 출제하기가 수월하다. | ||
'''개인정보 수집·이용 동의 시 고지 정보''' | |||
'''개인정보 수집·이용 동의 | |||
#개인정보의 수집·이용 '''목'''적 | #개인정보의 수집·이용 '''목'''적 | ||
40번째 줄: | 20번째 줄: | ||
#개인정보의 보유 및 이용'''기'''간 | #개인정보의 보유 및 이용'''기'''간 | ||
#동의를 '''거'''부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 | #동의를 '''거'''부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용 | ||
'''서면 동의 시 중요하게 표시하여야 하는 내용''' | '''서면 동의 시 중요하게 표시하여야 하는 내용''' | ||
57번째 줄: | 30번째 줄: | ||
'''서면 동의 시 중요한 내용의 표시 방법''' | '''서면 동의 시 중요한 내용의 표시 방법''' | ||
#글씨의 | #글씨의 크기는 최소한 9포인트 이상으로서 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 할 것 | ||
#글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것 | |||
#동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것 | #동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것 | ||
77번째 줄: | 51번째 줄: | ||
#*제공받은 날부터 3개월 이내에 통지하거나 | #*제공받은 날부터 3개월 이내에 통지하거나 | ||
#*그 동의를 받은 날부터 '''기산하여 연 1회 이상''' 통지 | #*그 동의를 받은 날부터 '''기산하여 연 1회 이상''' 통지 | ||
'''법률에 따라 주민등록번호를 수집 가능한 경우'''<ref>[[ISMS-P 인증 기준 3.1.3.주민등록번호 처리 제한|안내서에서 명시한]] 개인정보 보호법, 정보통신망법의 사항만 기술하였다. 금융실명제법, 소득세법 등 개별 법률에서 규정한 경우들이 많으며, 이들 모두 아래의 1번 사항에 해당한다.</ref> | '''법률에 따라 주민등록번호를 수집 가능한 경우'''<ref>[[ISMS-P 인증 기준 3.1.3.주민등록번호 처리 제한|안내서에서 명시한]] 개인정보 보호법, 정보통신망법의 사항만 기술하였다. 금융실명제법, 소득세법 등 개별 법률에서 규정한 경우들이 많으며, 이들 모두 아래의 1번 사항에 해당한다.</ref> | ||
94번째 줄: | 59번째 줄: | ||
#본인확인기관으로 지정받은 경우 | #본인확인기관으로 지정받은 경우 | ||
#「전기통신사업법」 제38조제1항에 따라 기간 통신사업자로부터 이동통신서비스 등을 제공받아 재판매하는 전기통신사업자가 제23조의3에 따라 본인확인기관으로 지정받은 이동통신사업자의 본인확인업무 수행과 관련하여 이용자의 주민 등록번호를 수집·이용하는 경우 | #「전기통신사업법」 제38조제1항에 따라 기간 통신사업자로부터 이동통신서비스 등을 제공받아 재판매하는 전기통신사업자가 제23조의3에 따라 본인확인기관으로 지정받은 이동통신사업자의 본인확인업무 수행과 관련하여 이용자의 주민 등록번호를 수집·이용하는 경우 | ||
'''기록 보관 및 점검''' | |||
*'''접속 기록 보관''' | |||
**최소 '''1년''' 이상 | |||
**다음의 경우엔 최소 '''2년''' 이상 | |||
***5만 명 이상의 정보주체에 관하여 개인정보를 처리 | |||
***고유식별정보 또는 민감정보를 처리 | |||
***「전기통신사업법」 제5조에 따른 기간통신사업자 | |||
*'''접속기록 점검''' | |||
**'''월 1회''' 이상 | |||
*'''권한 변경 기록 보관''' | |||
**개인정보처리자: 최소 '''3년''' | |||
**정보통신서비스 제공자 등: 최소 '''5년''' | |||
'''타 법령에 따른 보유기간(예시)''' | '''타 법령에 따른 보유기간(예시)''' | ||
103번째 줄: | 82번째 줄: | ||
#*④ 소비자의 불만 또는 분쟁처리에 관한 기록: '''3년''' | #*④ 소비자의 불만 또는 분쟁처리에 관한 기록: '''3년''' | ||
#통신비밀보호법컴퓨터 통신 또는 인터넷의 로그기록 자료, 정보통신기기의 위치를 확인할 수 있는 접속지 추적 자료: '''3개월''' | #통신비밀보호법컴퓨터 통신 또는 인터넷의 로그기록 자료, 정보통신기기의 위치를 확인할 수 있는 접속지 추적 자료: '''3개월''' | ||
'''개인정보 | '''개인정보 처리방침 포함 항목''' | ||
#개인정보의 처리 목적 | |||
#처리하는 개인정보의 항목 | |||
#개인정보의 처리 및 보유 기간 | |||
#개인정보의 제3자 제공에 관한 사항(해당하는 경우에만 정한다) | |||
#개인정보의 파기에 관한 사항 | |||
#개인정보 처리 수탁자 담당자 연락처, 수탁자의 관리 현황 점검 결과 등 개인정보처리 위탁에 관한 사항(해당하는 경우에만 정한다) | |||
#영 제30조제1항에 따른 개인정보의 안전성 확보조치에 관한 사항 | |||
#개인정보의 열람, 정정·삭제, 처리정지 요구권 등 정보주체의 권리·의무 및 그 행사방법에 관한 사항 | |||
#개인정보 처리방침의 변경에 관한 사항 | |||
#개인정보 보호책임자에 관한 사항 | |||
#개인정보의 열람청구를 접수·처리하는 부서 | |||
#정보주체의 권익침해에 대한 구제방법 | |||
'''내부 관리계획 포함 사항''' | |||
#개인정보 보호책임자의 지정에 관한 사항 | |||
#개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항 | |||
# | #개인정보취급자에 대한 교육에 관한 사항 | ||
# | #접근 권한의 관리에 관한 사항 | ||
# | #접근 통제에 관한 사항 | ||
#개인정보의 | #개인정보의 암호화 조치에 관한 사항 | ||
# | #접속기록 보관 및 점검에 관한 사항 | ||
# | #악성프로그램 등 방지에 관한 사항 | ||
# | #물리적 안전조치에 관한 사항 | ||
# | #개인정보 보호조직에 관한 구성 및 운영에 관한 사항 | ||
#개인정보 | #개인정보 유출사고 대응 계획 수립·시행에 관한 사항 | ||
# | #위험도 분석 및 대응방안 마련에 관한 사항 | ||
# | #재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항 | ||
# | #개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 | ||
#그 밖에 개인정보 보호를 위하여 필요한 사항 | |||
'''개인정보 이용 내역 통지 대상''' | '''개인정보 이용 내역 통지 대상''' | ||
# | #전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일평균 100만 명 이상이거나, | ||
#정보통신서비스 부문 전년도(전 사업연도) 매출액이 100억 원 이상인 정보통신서비스제공자등 | |||
'''개인정보 이용 내역 통지 방법 및 예외''' | '''개인정보 이용 내역 통지 방법 및 예외''' | ||
#'''통지 주기''': 연 1회 이상 | #'''통지 주기''': 연 1회 이상 | ||
#'''통지 방법''': | #'''통지 방법''': 전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 어느 하나의 방법 | ||
#'''통지 예외''': 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우 | #'''통지 예외''': 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우 | ||
'''개인정보 이용내역 통지 항목''' | '''개인정보 이용내역 통지 항목''' | ||
#개인정보의 수집·이용 | #개인정보의 수집·이용 목적 및 수집한 개인정보의 항목 | ||
#개인정보를 제공받은 | #개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목<ref>다만 「통신비밀보호법」 제13조, 제13조의2, 제13조의4 및 「전기통신사업법」 제83조제3항에 따라 제공한 정보는 제외</ref> | ||
'''개인정보 유출 시 통지 및 신고 의무 및 기한''' | '''개인정보 유출 시 통지 및 신고 의무 및 기한''' | ||
#'''(정보주체 통지)''' 유출 건수와 상관 없이 | #'''(정보주체 통지)''' 유출 건수와 상관 없이 지체 없이 통지 | ||
#'''(정부당국 신고)''' 유출된 정보주체의 수가 1천명 이상인 경우<ref>개인정보보호위원회 또는 한국인터넷진흥원에 신고</ref> | #'''(정부당국 신고)''' 유출된 정보주체의 수가 1천명 이상인 경우<ref>개인정보보호위원회 또는 한국인터넷진흥원에 신고</ref> | ||
#'''(홈페이지 게시)''' | #'''(홈페이지 게시)''' 유출된 정보주체의 수가 1천명 이상인 경우 | ||
'''개인정보 유출 시 통지 항목''' | '''개인정보 유출 시 통지 항목''' | ||
169번째 줄: | 145번째 줄: | ||
#'''정보통신서비스''' 제공자등의 대응 '''조치''' | #'''정보통신서비스''' 제공자등의 대응 '''조치''' | ||
#이용자가 상담 등을 접수할 수 있는 '''부서 및 연락처''' | #이용자가 상담 등을 접수할 수 있는 '''부서 및 연락처''' | ||
'''공개된 장소에 영상정보처리기기를 설치·운영할 수 있는 경우'''<ref>아래에도 불구하고 목용탕, 탈의실 등 사생활을 현저히 침해할 수 있는 경우엔 설치 불가. 그럼에도 불구하고 교도소 등 특수 시설엔 예외적으로 허용됨</ref> | |||
''' | |||
#법령에서 구체적으로 허용하고 있는 경우 | |||
#범죄의 예방 및 수사를 위하여 필요한 경우 | |||
#시설안전 및 화재 예방을 위하여 필요한 경우 | |||
#교통단속을 위하여 필요한 경우 | |||
#교통정보의 수집·분석 및 제공을 위하여 필요한 경우 | |||
'''영상정보처리기기 설치 시 안내판에 포함시킬 사항'''<ref>군사시설, 국가 중요시설, 국가보안 시설은 안내판을 설치하지 않을 수 있음</ref> | |||
#설치 목적 및 장소 | |||
#촬영 범위 및 시간 | |||
#관리책임자 이름 및 연락처 | |||
#위탁받은 자의 명칭 및 연락처(영상정보처리기기 설치·운영 사무 위탁 시) | |||
'''영상정보처리기기 운영·관리 방침에 포함될 사항''' | |||
#영상정보처리기기의 설치 근거 및 설치 목적 | |||
#영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위 | |||
#관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람 | |||
#영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법 | |||
#영상정보처리기기운영자의 영상정보 확인 방법 및 장소 | |||
#정보주체의 영상정보 열람 등 요구에 대한 조치 | |||
#영상정보 보호를 위한 기술적ㆍ관리적 및 물리적 조치 | |||
#그 밖에 영상정보처리기기의 설치ㆍ운영 및 관리에 필요한 사항 | |||
'''가명처리하여 정보주체 동의 없이 사용 가능한 분야''' | |||
#통계 작성 (시장조사 등 상업적 목적의 통계작성을 포함) | |||
#과학적 연구 (산업적 연구를 포함) | |||
#공익적 기록보존 | |||
'''개인정보 처리자 유형''' | |||
{| class="wikitable" | {| class="wikitable" | ||
!적용 대상 | !적용 대상 | ||
290번째 줄: | 185번째 줄: | ||
|'''유형1 - 완화''' | |'''유형1 - 완화''' | ||
*정보주체 1만명 미만 소상공인, 단체, 개인 | *정보주체 1만명 미만 소상공인, 단체, 개인 | ||
| | | | ||
*제4조: | *제4조: 내부 관리계획 수립 | ||
*제5조 ①: 개인정보처리권한 | *제5조 ①: 개인정보처리권한 차등 부여, ⑥: 비밀번호 연속 오입력 차단 | ||
*제6조 ②: | *제6조 ②: 외부에서 개인정보처리시스템 접속 시 전용선·VPN 등 사용 | ||
*제6조 ④: | *제6조 ④: 연1회 취약점 점검, ⑤: 세션 타임아웃 | ||
*제7조 ⑥: | *제7조 ⑥: 암호키 관리 | ||
*제12조 ①: | *제12조 ①: 재해재난 대비, ②: 백업 및 복구 계획 | ||
|- | |- | ||
|'''유형2 - 표준''' | |'''유형2 - 표준''' | ||
302번째 줄: | 197번째 줄: | ||
*정보주체 100만명 미만 중소기업 | *정보주체 100만명 미만 중소기업 | ||
*정보주체 10만명 미만 대기업, 중견기업, 공공기관 | *정보주체 10만명 미만 대기업, 중견기업, 공공기관 | ||
| | | | ||
*제4조 ①: | *제4조 ①: 내부 관리계획 수립 시 '''아래 사항 제외''' | ||
** | **위험도 분석 및 대응방안 마련에 관한 사항 | ||
** | **재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항 | ||
** | **인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 | ||
*제7조 ⑥: | *제7조 ⑥: 암호키 관리 | ||
*제12조 ①: | *제12조 ①: 재해재난 대비, ②: 백업 및 복구 계획 | ||
|- | |- | ||
|'''유형3 - 강화''' (그 외) | |'''유형3 - 강화''' (그 외) | ||
|없음 (전체 다 해당) | |없음 (전체 다 해당) | ||
|} | |} | ||
'''개인정보 보호책임자 지정 기준''' | |||
*'''공공기관''' | |||
''' | *#'''헌법기관 및 중앙행정기관''': 고위공무원<ref>그에 상당하는 공무원. 이하 공무원 직급에 관한 모든 케이스에서 동일하다.</ref> | ||
*#'''정무직공무원이 장인 기관''': 3급 이상 공무원 | |||
*#'''고위공무원이 장인 기관''': 4급 이상 공무원 | |||
*#'''시도·교육청''': 3급 이상 공무원 | |||
*#'''시군·자치구''': 4급 이상 공무원 | |||
*#'''각급 학교''': 해당 학교의 행정사무를 총괄하는 사람 | |||
*#'''그 외 공공기관등''': 개인정보 처리 관련 업무를 담당하는 부서의 장 | |||
*'''그 외''' | |||
*#사업주 또는 대표자 | |||
*#임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장) | |||
'''정보보호최고책임자 지정 후 신고하지 않아도 되는 경우''' | '''정보보호최고책임자 지정 후 신고하지 않아도 되는 경우''' | ||
403번째 줄: | 227번째 줄: | ||
#소기업 | #소기업 | ||
#중기업 (아래 제외) | #중기업 (아래 제외) | ||
#*전기통신사업자 | |||
#*ISMS 의무 대상 | #*ISMS 의무 대상 | ||
#* | #*개인정보처리자 | ||
#*통신판매업자 | #*통신판매업자 | ||
'''정보보호최고책임자를 임원(이사)으로 지정해야 하는 경우 (※ +겸직금지)''' | '''정보보호최고책임자를 임원(이사)으로 지정해야 하는 경우 (※ +겸직금지)''' | ||
423번째 줄: | 247번째 줄: | ||
*#해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 '''부서의 장으로 1년 이상 근무'''한 경력이 있는 사람 | *#해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 '''부서의 장으로 1년 이상 근무'''한 경력이 있는 사람 | ||
*'''정보보호책임자를 임원으로 지정해야 하고 겸직이 금지된 경우''' | *'''정보보호책임자를 임원으로 지정해야 하고 겸직이 금지된 경우''' | ||
*#정보보호 분야 업무 4년 이상 수행 경력 | *#정보보호 분야 업무 4년 이상 수행 경력 | ||
*#정보보호 분야 업무를 수행한 경력과 정보기술 분야의 업무를 수행한 경력을 합산한 기간이 5년(그 중 2년 이상은 정보보호 분야의 업무를 수행) | *#정보보호 분야 업무를 수행한 경력과 정보기술 분야의 업무를 수행한 경력을 합산한 기간이 5년(그 중 2년 이상은 정보보호 분야의 업무를 수행) | ||
429번째 줄: | 252번째 줄: | ||
'''망분리 의무 대상'''<ref>여러 수험서에서 공공기관을 대상으로 한 결함 사례를 찾는 문제가 나오면 망분리를 지적하는 지문은 잘못된 지문으로 취급된다. 이는 대부분의 공공기관들이 아래 요건에 충족이 안 되기 떄문인데, 실제론 공공기관 중에서도 정보통신서비스 제공자나 금융회사 등의 대상이 될 있을 수 있으므로 주의해야 한다.</ref> | '''망분리 의무 대상'''<ref>여러 수험서에서 공공기관을 대상으로 한 결함 사례를 찾는 문제가 나오면 망분리를 지적하는 지문은 잘못된 지문으로 취급된다. 이는 대부분의 공공기관들이 아래 요건에 충족이 안 되기 떄문인데, 실제론 공공기관 중에서도 정보통신서비스 제공자나 금융회사 등의 대상이 될 있을 수 있으므로 주의해야 한다.</ref> | ||
# | #정보통신서비스 제공자 등 | ||
#*전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 이상 | #*전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 이상 또는 정보통신서비스부문 전년도 매출액이 100억 원 이상 | ||
#**개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우엔 망 분리 | #**개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우엔 망 분리 | ||
#금융회사 | #금융회사 | ||
#본인신용정보관리업자(마이데이터 사업자) | #본인신용정보관리업자(마이데이터 사업자) | ||
'''암호화 대상'''<ref>개인정보 보호법에 따른 암호화 대상 개인정보 한정</ref> | |||
{| class="wikitable" | |||
!구분 | |||
!개인정보처리자 | |||
!정보통신서비스 제공자 | |||
|- | |||
|'''정보통신망을 통한 전송 시''' | |||
|고유식별정보, 비밀번호, 생체인식정보 | |||
|개인정보, 인증정보 | |||
|- | |||
|'''보조저장매체로 저장·전달 시''' | |||
|고유식별정보, 비밀번호, 생체인식정보 | |||
|개인정보 | |||
|- | |||
| rowspan="3" |'''개인정보 처리시스템 저장 시''' | |||
| colspan="2" |주민등록번호, 비밀번호, 생체인식정보 (다만 비밀번호는 일방향 암호화) | |||
|- | |||
| - | |||
|신용카드번호, 계좌번호 | |||
|- | |||
|여권번호, 외국인등록번호, 운전면허번호 | |||
인터넷구간, DMZ 저장 시 암호화 저장 | |||
내부망 저장 시 암호화 저장 또는 위험도 분석 (또는 영향평가) | |||
|여권번호, 외국인등록번호, 운전면허번호 | |||
|- | |||
|'''업무용 컴퓨터/ 모바일 기기 저장 시''' | |||
|고유식별정보, 비밀번호, 생체인식정보 | |||
|개인정보 | |||
|} | |||
'''정보주체의 권리''' | |||
''' | *열람, 정정, 삭제, 처리정지 요구 | ||
*개인정보 처리자는 요구를 받은 날로부터 '''10일 내''' 회신 | |||
'''개인정보 파기''' | |||
''' | |||
* | *특별한 사정이 없는 한 개인정보가 불필요하게 된 때로부터 '''5일 내''' 파기 | ||
== 주요 기술적 암기사항 == | == 주요 기술적 암기사항 == | ||
사실 기술 관련 문제는 정해진 범위는 없으나 대략 보안산업기사 필기 수준의 문제 범위는 모두 포함된다고 봐야 한다. 보안기사나 보안산업기사 책을 훑어 보거나, 만약 취득하지 않았다면 같이 공부해서 취득하는 것도 도움이 될 수 있다. | 사실 기술 관련 문제는 정해진 범위는 없으나 대략 보안산업기사 필기 수준의 문제 범위는 모두 포함된다고 봐야 한다. 보안기사나 보안산업기사 책을 훑어 보거나, 만약 취득하지 않았다면 같이 공부해서 취득하는 것도 도움이 될 수 있다. | ||
'''안전한 [[암호화 알고리즘]]''' | *'''안전한 [[암호화 알고리즘]]''' | ||
{| class="wikitable" | {| class="wikitable" | ||
493번째 줄: | 318번째 줄: | ||
|[[SHA-1]], [[HAS-160]], [[MD5]] | |[[SHA-1]], [[HAS-160]], [[MD5]] | ||
|} | |} | ||
*'''[[대칭키 암호화]]와 [[공개키 암호화]]''' | |||
*'''[[해시]]''' | |||
'''[[ | *'''[[전자서명]]''' | ||
* | *'''[[전자 봉투]]''' | ||
'''[[ | *[[공개키 기반 구조|'''공개키 기반 구조(PKI)''']], '''[[X.509]]''' | ||
* | |||
'''[[ | |||
*''' | |||
*'''[[리눅스 유저 로그]]''' | |||
**[[리눅스 wtmp|wtmp]], [[리눅스 lastlog|lastlog]] 등은 필수적으로 알아둘 것 | |||
*'''[[리눅스 권한]]''' | |||
**777, 644 등이 어떤 의미를 가지는지 알고 있어야 한다. | |||
*'''[[리눅스 shadow]]''' | |||
*'''[[가상 사설망]]''' | *'''[[가상 사설망]]''' | ||
*'''[[IPSec]]''' | *'''[[IPSec]]''' | ||
*[[서비스 거부 공격]] | |||
*[[서비스 거부 공격 | |||
*[[분산 서비스 거부 공격]] | *[[분산 서비스 거부 공격]] | ||
* | *[[스니핑]] | ||
== 오답 보기 암기 == | == 오답 보기 암기 == | ||
571번째 줄: | 344번째 줄: | ||
*한국인터넷진흥원과 금융보안원은 각각 인증위원회를 구성하며, 인증위원회가 모여 인증협의회를 구성한다.<ref>인증협의회는 정책기관(과기정통부, 개인정보위)간의 협의체다.</ref> | *한국인터넷진흥원과 금융보안원은 각각 인증위원회를 구성하며, 인증위원회가 모여 인증협의회를 구성한다.<ref>인증협의회는 정책기관(과기정통부, 개인정보위)간의 협의체다.</ref> | ||
*한국인터넷진흥원과 금융보안원은 각각 인증심사 및 인증서 발급, 인증심사원 양성 및 자격관리, 제도관리 등을 수행하는 인증기관이나 금융보안원은 금융분야에 대한 제도만 관장한다.<ref>금융보안원은 제도 운영, 심사원 양성 및 자격 관리 등은 수행하지 않는다. 오로지 인증심사 및 인증서 발급역할만 하는 인증기관이다. </ref> | *한국인터넷진흥원과 금융보안원은 각각 인증심사 및 인증서 발급, 인증심사원 양성 및 자격관리, 제도관리 등을 수행하는 인증기관이나 금융보안원은 금융분야에 대한 제도만 관장한다.<ref>금융보안원은 제도 운영, 심사원 양성 및 자격 관리 등은 수행하지 않는다. 오로지 인증심사 및 인증서 발급역할만 하는 인증기관이다. </ref> | ||
*인증심사원, 심사기관, 인증기관의 자격을 취소하고자 하는 경우 자격심의위원회를 개최하여야 하며 자격심의위원회는 제29조의 인증위원회 위원 3인 이상을 포함하여구성한다. | *인증심사원, 심사기관, 인증기관의 자격을 취소하고자 하는 경우 자격심의위원회를 개최하여야 하며 자격심의위원회는 제29조의 인증위원회 위원 3인 이상을 포함하여구성한다. | ||
*인증기준은 관리체계 수립 및 운영 22개, 보호대책 요구사항 64개, 개인정보 처리단계별 요구사항 16개로, 총 102개로 구성되어 있다.<ref>관리체계 수립 및 운영이 16개, 개인정보 처리단계별 요구사항이 22개이다.</ref> | *인증기준은 관리체계 수립 및 운영 22개, 보호대책 요구사항 64개, 개인정보 처리단계별 요구사항 16개로, 총 102개로 구성되어 있다.<ref>관리체계 수립 및 운영이 16개, 개인정보 처리단계별 요구사항이 22개이다.</ref> | ||
*하나의 원인으로 인해 다수의 결함사항이 나온 경우 심사팀장의 결정에 따라 경미한 경우엔 하나의 사항으로 갈음할 수 있다.<ref>원래 하나의 원인으로 다수의 결함이 나온 경우 가장 근본적인 원인에 관련된 사항 하나만을 결함처리 한다. 경미성을 따지거나 심사팀장이 결정할 문제가 아니다.</ref> | *하나의 원인으로 인해 다수의 결함사항이 나온 경우 심사팀장의 결정에 따라 경미한 경우엔 하나의 사항으로 갈음할 수 있다.<ref>원래 하나의 원인으로 다수의 결함이 나온 경우 가장 근본적인 원인에 관련된 사항 하나만을 결함처리 한다. 경미성을 따지거나 심사팀장이 결정할 문제가 아니다.</ref> | ||
579번째 줄: | 351번째 줄: | ||
*정보보호 관리체계 인증 의무 대상자 중 개인정보를 취급하는 사업자는 정보보호 및 개인정보보호관리체계 인증을 받아야 한다.<ref>ISMS까지가 의무이다. 개인정보를 취급한다고 해도 ISMS까지만 받으면 되고 ISMS-P는 선택사항이다.</ref> | *정보보호 관리체계 인증 의무 대상자 중 개인정보를 취급하는 사업자는 정보보호 및 개인정보보호관리체계 인증을 받아야 한다.<ref>ISMS까지가 의무이다. 개인정보를 취급한다고 해도 ISMS까지만 받으면 되고 ISMS-P는 선택사항이다.</ref> | ||
*의무 대상자를 판별할 때 중개 쇼핑몰과 자체 쇼핑몰을 같이 운영하는 쇼핑몰은 입점료와 자체 쇼핑몰을 통한 제품 판매액을 더해 매출액을 계산한다.<ref>중개 쇼핑몰의 경우 입점료는 판매 중개수수료가 주요 매출액이다. (판매 중개수수료 + 입점료(해당하는 경우) + 자체 쇼핑몰을 통한 제품 판매액)</ref> | *의무 대상자를 판별할 때 중개 쇼핑몰과 자체 쇼핑몰을 같이 운영하는 쇼핑몰은 입점료와 자체 쇼핑몰을 통한 제품 판매액을 더해 매출액을 계산한다.<ref>중개 쇼핑몰의 경우 입점료는 판매 중개수수료가 주요 매출액이다. (판매 중개수수료 + 입점료(해당하는 경우) + 자체 쇼핑몰을 통한 제품 판매액)</ref> | ||
*연간 매출액 또는 세입이 1,500억원 이상인 종합병원과 대학교는 정보보호 관리체계 인증 의무 대상자이다.<ref>종합병원이 모두 대상은 아니다. 중증질환에 대해 난이도가 높은 진료행위를 하는 상급종합병원이 대상이다.</ref> | |||
*연간 매출액 또는 세입이 1,500억원 이상인 | |||
*인증신청 시 신청자가 원하는 인증 범위, 인증 일정을 구체적으로 명시하여 신청하여야 한다. 하지만 이는 추후 심사기관과의 협의 과정에 조정될 수도 있다.<ref>사전에 심사기관과 협의를 다 한다음 신청하여야 한다.</ref> | *인증신청 시 신청자가 원하는 인증 범위, 인증 일정을 구체적으로 명시하여 신청하여야 한다. 하지만 이는 추후 심사기관과의 협의 과정에 조정될 수도 있다.<ref>사전에 심사기관과 협의를 다 한다음 신청하여야 한다.</ref> | ||
*2개월 이상 관리체계 구축 운영 후 신청을 접수하고 인증수수료를 납부하면 예비점검 → 인증심사 → 심사결과보고서 작성 → 인증위원회 개최 순서대로 진행된다.<ref>심사준비 상태를 점검하는 예비점검 이후에 인증수수료 청구·납부가 이루어진다.</ref> | *2개월 이상 관리체계 구축 운영 후 신청을 접수하고 인증수수료를 납부하면 예비점검 → 인증심사 → 심사결과보고서 작성 → 인증위원회 개최 순서대로 진행된다.<ref>심사준비 상태를 점검하는 예비점검 이후에 인증수수료 청구·납부가 이루어진다.</ref> | ||
591번째 줄: | 360번째 줄: | ||
*휴면회원의 로그인을 위해 아이디, 비밀번호는 원본 DB에 그대로 남겨 두는 것은 3.4.3 휴면이용자 관리 결함이다.<ref>휴면회원의 접근을 위해 아이디와 비밀번호는 원본 DB에 남길 수 있다. 로그인을 함으로써 휴면 해제를 하는 경우가 많으므로 로그인을 위한 최소한의 정보는 남길 수 있다.</ref> | *휴면회원의 로그인을 위해 아이디, 비밀번호는 원본 DB에 그대로 남겨 두는 것은 3.4.3 휴면이용자 관리 결함이다.<ref>휴면회원의 접근을 위해 아이디와 비밀번호는 원본 DB에 남길 수 있다. 로그인을 함으로써 휴면 해제를 하는 경우가 많으므로 로그인을 위한 최소한의 정보는 남길 수 있다.</ref> | ||
*조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 분기별 1회 이상 위험을 평가하여야 한다.<ref>[[ISMS-P 인증 기준 1.2.3.위험 평가]]에 따르면 연1회의 평가가 필요하다.</ref> | *조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 분기별 1회 이상 위험을 평가하여야 한다.<ref>[[ISMS-P 인증 기준 1.2.3.위험 평가]]에 따르면 연1회의 평가가 필요하다.</ref> | ||
*미성년자 개인정보 수집을 위해선 우선 미성년자 법정 대리인에게 수집 동의를 | *미성년자 개인정보 수집을 위해선 우선 미성년자 법정 대리인에게 수집 동의를 받은 후 필요최소한의 이름, 연락처를 수집하여야 하며, 미성년자 개인정보 수집 완료 후 파기해야 한다.<ref>미성년자의 개인정보를 수집하기 위해 필요최소한의 법정대리인 정보인 이름, 연락처를 받는 경우엔 법정대리인의 동의가 불필요하다.</ref> | ||
*미성년자의 개인정보 수집을 위해 법정대리인의 실제 날인, 전자서명, 본인확인 등을 확보하여야 하며, 전화를 통해 구두로 확인해선 안 된다. | *미성년자의 개인정보 수집을 위해 법정대리인의 실제 날인, 전자서명, 본인확인 등을 확보하여야 하며, 전화를 통해 구두로 확인해선 안 된다. | ||
*정보주체(이용자) 이외로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의 획득 책임은 개인정보처리자에게 있다. | *정보주체(이용자) 이외로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의 획득 책임은 개인정보처리자에게 있다. | ||
599번째 줄: | 368번째 줄: | ||
*통제구역 중 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 경우 제한구역으로 설정하여 관리하여야 한다.<ref>출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 곳이 통제구역이다. 제한구역은 통제구역보다 낮은 단계의 보호구역이다. (관련 항목: [[ISMS-P 인증 기준 2.4.1.보호구역 지정]])</ref> | *통제구역 중 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 경우 제한구역으로 설정하여 관리하여야 한다.<ref>출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 곳이 통제구역이다. 제한구역은 통제구역보다 낮은 단계의 보호구역이다. (관련 항목: [[ISMS-P 인증 기준 2.4.1.보호구역 지정]])</ref> | ||
*[[클라우드 보안인증제|CSAP]] 등 클라우드 보안인증을 받은 클라우드를 사용하는 경우 물리 보안 등 일부 항목은 증적 없이 충족하는 것으로 인정될 수 있다.<ref>클라우드를 사용하더라도 물리 보안이 어떻게 이루어지고 있는지에 대해 클라우드 서비스 제공자로부터 파악하여 증적을 제시하여야 한다.</ref> | *[[클라우드 보안인증제|CSAP]] 등 클라우드 보안인증을 받은 클라우드를 사용하는 경우 물리 보안 등 일부 항목은 증적 없이 충족하는 것으로 인정될 수 있다.<ref>클라우드를 사용하더라도 물리 보안이 어떻게 이루어지고 있는지에 대해 클라우드 서비스 제공자로부터 파악하여 증적을 제시하여야 한다.</ref> | ||
*서버관리 시스템의 비밀번호 작성 규칙과 | *서버관리 시스템의 비밀번호 작성 규칙과 개인정초 처리시스템의 비밀번호 작성 규칙이 다른 경우 [[ISMS-P 인증 기준 2.1.1.정책의 유지관리|2.1.1 정책의 유지관리]] 결함이다.<ref>그럴 가능성이 높긴 하지만 단정할 수 없다. 상위 정책에 비밀번호 작성 규칙이 있거나 규칙을 통일해야 한다는 내용이 있으면 정책의 유지관리 결함이겠지만, 상위 정책이 존재하지 않고 업무별 정책에서 정하도록 하는 경우라 할지라도 그게 결함이라고 할 순 없다.</ref> | ||
*정보통신서비스제공자가 내부 정책에 따라 영문, 숫자 조합으로 8자리의 비밀번호를 사용하고 있는 경우 [[ISMS-P 인증 기준 2.5.4.비밀번호 관리|2.5.4 비밀번호 관리]] 결함이다.<ref>정책에서 비밀번호를 그렇게 쓰도록 하였다면 정책 부터 법적 요구사항을 충족하지 못한 것이다. 그런 경우 [[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토]] 결함이다.</ref> | *정보통신서비스제공자가 내부 정책에 따라 영문, 숫자 조합으로 8자리의 비밀번호를 사용하고 있는 경우 [[ISMS-P 인증 기준 2.5.4.비밀번호 관리|2.5.4 비밀번호 관리]] 결함이다.<ref>정책에서 비밀번호를 그렇게 쓰도록 하였다면 정책 부터 법적 요구사항을 충족하지 못한 것이다. 그런 경우 [[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토]] 결함이다.</ref> | ||
*여러명의 서버 관리자가 접근통제 프로그램을 통해 개별적으로 부여된 계정으로 안전하게 로그인 하였으나, 서버에선 모두 root 계정을 공용으로 사용하는 경우 [[ISMS-P 인증 기준 2.5.2.사용자 식별|2.5.2.사용자 식별]] 및 [[ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리|2.5.5. 특수 계정 및 권한 관리]] 결함이다.<ref>보안상 안전하지 않은 것은 맞다. 하지만 서버접근통제 프로그램에서 개인별 계정이 부여되서 사용자 식별이 되고 있고, 계정 공유 시 보호조치나 특수 권한의 사용은 예외적으로 허용되는 경우가 있기 때문에 제시된 문장만으론 결함이라고 할 수 없다. 여러명의 서버 관리자가 특수한 목적으로, 임시적으로 root 계정을 사용하는 것이고, 이에 대해 강화된 절차를 통해 권한을 정당하게 부여받은 것이라면 사용 가능하다.</ref> | *여러명의 서버 관리자가 접근통제 프로그램을 통해 개별적으로 부여된 계정으로 안전하게 로그인 하였으나, 서버에선 모두 root 계정을 공용으로 사용하는 경우 [[ISMS-P 인증 기준 2.5.2.사용자 식별|2.5.2.사용자 식별]] 및 [[ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리|2.5.5. 특수 계정 및 권한 관리]] 결함이다.<ref>보안상 안전하지 않은 것은 맞다. 하지만 서버접근통제 프로그램에서 개인별 계정이 부여되서 사용자 식별이 되고 있고, 계정 공유 시 보호조치나 특수 권한의 사용은 예외적으로 허용되는 경우가 있기 때문에 제시된 문장만으론 결함이라고 할 수 없다. 여러명의 서버 관리자가 특수한 목적으로, 임시적으로 root 계정을 사용하는 것이고, 이에 대해 강화된 절차를 통해 권한을 정당하게 부여받은 것이라면 사용 가능하다.</ref> | ||
607번째 줄: | 376번째 줄: | ||
*전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일평균 100만 명 이상이거나, 전년도 매출액이 100억 원 이상인 개인정보 처리자는 1년에 한번 이용자들에게 이용내역을 통지하여야 한다.<ref>전체 개인정보처리자가 아닌 정보통신서비스제공자만 해당한다. 또한 매출액 기준도 정보통신 부문 매출액 100억 이상인 경우만 해당한다.</ref> | *전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일평균 100만 명 이상이거나, 전년도 매출액이 100억 원 이상인 개인정보 처리자는 1년에 한번 이용자들에게 이용내역을 통지하여야 한다.<ref>전체 개인정보처리자가 아닌 정보통신서비스제공자만 해당한다. 또한 매출액 기준도 정보통신 부문 매출액 100억 이상인 경우만 해당한다.</ref> | ||
*공공장소에 설치된 영상정보처리기기는 녹음 기능, 줌(Zoom)기능, 방향 전환 기능을 사용할 수 없다.<ref>최초 설치 목적과 동일한 목적으로는 줌(Zoom)과 방향 전환도 가능하다.</ref> | *공공장소에 설치된 영상정보처리기기는 녹음 기능, 줌(Zoom)기능, 방향 전환 기능을 사용할 수 없다.<ref>최초 설치 목적과 동일한 목적으로는 줌(Zoom)과 방향 전환도 가능하다.</ref> | ||
== 같이 보기 == | == 같이 보기 == |