ISMS-P 인증심사원 주요 암기사항 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
24번째 줄: | 24번째 줄: | ||
**발행 연도에서의 부여순서 | **발행 연도에서의 부여순서 | ||
*인증 혜택 | *인증 혜택 | ||
** | **'''추가 바람''' | ||
== 주요 법률상 암기사항 == | == 주요 법률상 암기사항 == | ||
57번째 줄: | 53번째 줄: | ||
'''서면 동의 시 중요한 내용의 표시 방법''' | '''서면 동의 시 중요한 내용의 표시 방법''' | ||
#글씨의 | #글씨의 크기는 최소한 9포인트 이상으로서 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 할 것 | ||
#글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것 | |||
#동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것 | #동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것 | ||
124번째 줄: | 121번째 줄: | ||
*#임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장) | *#임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장) | ||
'''개인정보 처리방침 포함 항목''' | '''개인정보 처리방침 포함 항목 (목항기삼 파수안정 변책청구)''' | ||
#개인정보의 처리 '''목적''' | #개인정보의 처리 '''목적''' | ||
#처리하는 개인정보의 '''항목''' | |||
#개인정보의 처리 및 보유 '''기간''' | #개인정보의 처리 및 보유 '''기간''' | ||
#개인정보의 '''제3자 제공'''에 관한 사항(해당하는 경우에만 정한다) | #개인정보의 '''제3자 제공'''에 관한 사항(해당하는 경우에만 정한다) | ||
#개인정보의 ''' | #개인정보의 '''파기'''에 관한 사항 | ||
#개인정보 처리 '''수탁자''' 담당자 연락처, 수탁자의 관리 현황 점검 결과 등 개인정보처리 위탁에 관한 사항(해당하는 경우에만 정한다) | |||
#개인정보 처리 ''' | #영 제30조제1항에 따른 개인정보의 '''안전성''' 확보조치에 관한 사항 | ||
#''' | #개인정보의 열람, 정정·삭제, 처리정지 요구권 등 '''정보주체의 권리'''·의무 및 그 행사방법에 관한 사항 | ||
# | #개인정보 처리방침의 '''변경'''에 관한 사항 | ||
#개인정보 | #개인정보 '''보호책임자'''에 관한 사항 | ||
# | #개인정보의 열람'''청구'''를 접수·처리하는 '''부서''' | ||
# | #정보주체의 권익침해에 대한 '''구제방법''' | ||
# | |||
'''개인정보 이용 내역 통지 대상''' | '''개인정보 이용 내역 통지 대상''' | ||
# | #전년도 말 기준 직전 '''3개월'''간 개인정보가 저장·관리되고 있는 이용자 수가 '''일평균 100만 명''' 이상이거나, | ||
#정보통신서비스 부문 전년도(전 사업연도) '''매출액이 100억 원''' 이상인 정보통신서비스제공자등 | |||
'''개인정보 이용 내역 통지 방법 및 예외''' | '''개인정보 이용 내역 통지 방법 및 예외''' | ||
#'''통지 주기''': 연 1회 이상 | #'''통지 주기''': 연 1회 이상 | ||
#'''통지 방법''': | #'''통지 방법''': 전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 어느 하나의 방법 | ||
#'''통지 예외''': 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우 | #'''통지 예외''': 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우 | ||
157번째 줄: | 154번째 줄: | ||
'''개인정보 유출 시 통지 및 신고 의무 및 기한''' | '''개인정보 유출 시 통지 및 신고 의무 및 기한''' | ||
#'''(정보주체 통지)''' 유출 건수와 상관 없이 | #'''(정보주체 통지)''' 유출 건수와 상관 없이 지체 없이 통지 | ||
#'''(정부당국 신고)''' 유출된 정보주체의 수가 1천명 이상인 경우<ref>개인정보보호위원회 또는 한국인터넷진흥원에 신고</ref> | #'''(정부당국 신고)''' 유출된 정보주체의 수가 1천명 이상인 경우<ref>개인정보보호위원회 또는 한국인터넷진흥원에 신고</ref> | ||
#'''(홈페이지 게시)''' | #'''(홈페이지 게시)''' 유출된 정보주체의 수가 1천명 이상인 경우 | ||
'''개인정보 유출 시 통지 항목''' | '''개인정보 유출 시 통지 항목''' | ||
184번째 줄: | 180번째 줄: | ||
'''[[개인정보 손해배상 책임보험]] 가입금액''' | '''[[개인정보 손해배상 책임보험]] 가입금액''' | ||
* 최소 기준: | * 최소 기준: 1천명, 매출액 5천만원 이상 | ||
* 5천 -> 1억 -> 2억 -> 5억 -> 10억 | * 5천 -> 1억 -> 2억 -> 5억 -> 10억 | ||
196번째 줄: | 192번째 줄: | ||
|10억원 | |10억원 | ||
|- | |- | ||
|50억원 | |50억원 초과 | ||
|5억원 | |5억원 | ||
|- | |- | ||
|5천만원 | |5천만원 이상 | ||
|2억원 | |2억원 | ||
|- | |- | ||
| rowspan="3" | | | rowspan="3" |10만명 이상 | ||
|800억원 초과 | |800억원 초과 | ||
|5억원 | |5억원 | ||
|- | |- | ||
|50억원 | |50억원 초과 | ||
|2억원 | |2억원 | ||
|- | |- | ||
|5천만원 | |5천만원 이상 | ||
|1억원 | |1억원 | ||
|- | |- | ||
| rowspan="3" |''' | | rowspan="3" |'''1천명''' 이상 | ||
|800억원 초과 | |800억원 초과 | ||
|2억원 | |2억원 | ||
|- | |- | ||
|50억원 | |50억원 초과 | ||
|1억원 | |1억원 | ||
|- | |- | ||
| | |'''5천만원''' 이상 | ||
|5천만원 | |5천만원 | ||
|} | |} | ||
225번째 줄: | 221번째 줄: | ||
=== 안전성 확보조치 기준 === | === 안전성 확보조치 기준 === | ||
'''내부 관리계획 포함 사항 (책책교접접 암호접속 악성물리 조사위 재난수탁)''' | '''내부 관리계획 포함 사항 (책책교접접 암호접속 악성물리 조사위 재난수탁)''' | ||
#개인정보 '''보호책임자의 지정'''에 관한 사항 | |||
# 개인정보 | #개인정보 보호책임자 및 개인정보취급자의 '''역할 및 책임'''에 관한 사항 | ||
# 개인정보 | #개인정보취급자에 대한 '''교육'''에 관한 사항 | ||
#'''접근 권한'''의 관리에 관한 사항 | |||
# 개인정보취급자에 대한 | #'''접근 통제'''에 관한 사항 | ||
# 접근 | #개인정보의 '''암호화''' 조치에 관한 사항 | ||
# 접근 | #'''접속기록''' 보관 및 점검에 관한 사항 | ||
# 개인정보의 암호화 조치에 관한 사항 | #'''악성프로그램''' 등 '''방지'''에 관한 사항 | ||
# 접속기록 보관 및 점검에 관한 사항 | #'''물리적 안전조치'''에 관한 사항 | ||
# 악성프로그램 등 | #개인정보 보호'''조직'''에 관한 구성 및 운영에 관한 사항 | ||
# | #개인정보 유출'''사고 대응''' 계획 수립·시행에 관한 사항 | ||
# | #'''위험도''' 분석 및 대응방안 마련에 관한 사항 | ||
# 개인정보 | #'''재해 및 재난''' 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항 | ||
# | #개인정보 처리업무를 위탁하는 경우 '''수탁자'''에 대한 관리 및 감독에 관한 사항 | ||
# 개인정보 처리업무를 위탁하는 경우 | #'''그 밖'''에 개인정보 보호를 위하여 필요한 사항 | ||
# | |||
'''기록 보관 및 점검''' | '''기록 보관 및 점검''' | ||
*'''접속 기록''' | *'''접속 기록''' | ||
254번째 줄: | 247번째 줄: | ||
*'''권한 변경 기록''' | *'''권한 변경 기록''' | ||
**개인정보처리자, 신용정보회사등: 최소 '''3년''' '''보관''' | **개인정보처리자, 신용정보회사등: 최소 '''3년''' '''보관''' | ||
**정보통신서비스 제공자 등: 최소 '''5년''' '''보관''' | |||
'''개인정보 암호화 대상'''<ref>개인정보 보호법에 따른 암호화 대상 개인정보 한정</ref> | '''개인정보 암호화 대상'''<ref>개인정보 보호법에 따른 암호화 대상 개인정보 한정</ref> | ||
{| class="wikitable" | {| class="wikitable" | ||
283번째 줄: | 277번째 줄: | ||
|개인정보 | |개인정보 | ||
|} | |} | ||
''' | '''개인정보 처리자 유형''' | ||
{| class="wikitable" | {| class="wikitable" | ||
!적용 대상 | !적용 대상 | ||
322번째 줄: | 316번째 줄: | ||
#교통단속을 위하여 필요한 경우 | #교통단속을 위하여 필요한 경우 | ||
#교통정보의 수집·분석 및 제공을 위하여 필요한 경우 | #교통정보의 수집·분석 및 제공을 위하여 필요한 경우 | ||
'''영상정보처리기기 설치 시 안내판에 포함시킬 사항'''<ref>군사시설, 국가 중요시설, 국가보안 시설은 안내판을 설치하지 않을 수 있음</ref> '''(목장시범관위)''' | '''영상정보처리기기 설치 시 안내판에 포함시킬 사항'''<ref>군사시설, 국가 중요시설, 국가보안 시설은 안내판을 설치하지 않을 수 있음</ref> '''(목장시범관위)''' | ||
328번째 줄: | 321번째 줄: | ||
#설치 목적 및 장소 | #설치 목적 및 장소 | ||
#촬영 범위 및 시간 | #촬영 범위 및 시간 | ||
#관리책임자 | #관리책임자 이름 및 연락처 | ||
#위탁받은 자의 명칭 및 연락처(영상정보처리기기 설치·운영 사무 위탁 시) | #위탁받은 자의 명칭 및 연락처(영상정보처리기기 설치·운영 사무 위탁 시) | ||
423번째 줄: | 416번째 줄: | ||
*#해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 '''부서의 장으로 1년 이상 근무'''한 경력이 있는 사람 | *#해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 '''부서의 장으로 1년 이상 근무'''한 경력이 있는 사람 | ||
*'''정보보호책임자를 임원으로 지정해야 하고 겸직이 금지된 경우''' | *'''정보보호책임자를 임원으로 지정해야 하고 겸직이 금지된 경우''' | ||
*#정보보호 분야 업무 4년 이상 수행 경력 | *#정보보호 분야 업무 4년 이상 수행 경력 | ||
*#정보보호 분야 업무를 수행한 경력과 정보기술 분야의 업무를 수행한 경력을 합산한 기간이 5년(그 중 2년 이상은 정보보호 분야의 업무를 수행) | *#정보보호 분야 업무를 수행한 경력과 정보기술 분야의 업무를 수행한 경력을 합산한 기간이 5년(그 중 2년 이상은 정보보호 분야의 업무를 수행) | ||
429번째 줄: | 421번째 줄: | ||
'''망분리 의무 대상'''<ref>여러 수험서에서 공공기관을 대상으로 한 결함 사례를 찾는 문제가 나오면 망분리를 지적하는 지문은 잘못된 지문으로 취급된다. 이는 대부분의 공공기관들이 아래 요건에 충족이 안 되기 떄문인데, 실제론 공공기관 중에서도 정보통신서비스 제공자나 금융회사 등의 대상이 될 있을 수 있으므로 주의해야 한다.</ref> | '''망분리 의무 대상'''<ref>여러 수험서에서 공공기관을 대상으로 한 결함 사례를 찾는 문제가 나오면 망분리를 지적하는 지문은 잘못된 지문으로 취급된다. 이는 대부분의 공공기관들이 아래 요건에 충족이 안 되기 떄문인데, 실제론 공공기관 중에서도 정보통신서비스 제공자나 금융회사 등의 대상이 될 있을 수 있으므로 주의해야 한다.</ref> | ||
# | #정보통신서비스 제공자 등 | ||
#*전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 이상 | #*전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 이상 또는 정보통신서비스부문 전년도 매출액이 100억 원 이상 | ||
#**개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우엔 망 분리 | #**개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우엔 망 분리 | ||
#금융회사 | #금융회사 | ||
#본인신용정보관리업자(마이데이터 사업자) | #본인신용정보관리업자(마이데이터 사업자) | ||
599번째 줄: | 590번째 줄: | ||
*통제구역 중 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 경우 제한구역으로 설정하여 관리하여야 한다.<ref>출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 곳이 통제구역이다. 제한구역은 통제구역보다 낮은 단계의 보호구역이다. (관련 항목: [[ISMS-P 인증 기준 2.4.1.보호구역 지정]])</ref> | *통제구역 중 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 경우 제한구역으로 설정하여 관리하여야 한다.<ref>출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 곳이 통제구역이다. 제한구역은 통제구역보다 낮은 단계의 보호구역이다. (관련 항목: [[ISMS-P 인증 기준 2.4.1.보호구역 지정]])</ref> | ||
*[[클라우드 보안인증제|CSAP]] 등 클라우드 보안인증을 받은 클라우드를 사용하는 경우 물리 보안 등 일부 항목은 증적 없이 충족하는 것으로 인정될 수 있다.<ref>클라우드를 사용하더라도 물리 보안이 어떻게 이루어지고 있는지에 대해 클라우드 서비스 제공자로부터 파악하여 증적을 제시하여야 한다.</ref> | *[[클라우드 보안인증제|CSAP]] 등 클라우드 보안인증을 받은 클라우드를 사용하는 경우 물리 보안 등 일부 항목은 증적 없이 충족하는 것으로 인정될 수 있다.<ref>클라우드를 사용하더라도 물리 보안이 어떻게 이루어지고 있는지에 대해 클라우드 서비스 제공자로부터 파악하여 증적을 제시하여야 한다.</ref> | ||
*서버관리 시스템의 비밀번호 작성 규칙과 | *서버관리 시스템의 비밀번호 작성 규칙과 개인정초 처리시스템의 비밀번호 작성 규칙이 다른 경우 [[ISMS-P 인증 기준 2.1.1.정책의 유지관리|2.1.1 정책의 유지관리]] 결함이다.<ref>그럴 가능성이 높긴 하지만 단정할 수 없다. 상위 정책에 비밀번호 작성 규칙이 있거나 규칙을 통일해야 한다는 내용이 있으면 정책의 유지관리 결함이겠지만, 상위 정책이 존재하지 않고 업무별 정책에서 정하도록 하는 경우라 할지라도 그게 결함이라고 할 순 없다.</ref> | ||
*정보통신서비스제공자가 내부 정책에 따라 영문, 숫자 조합으로 8자리의 비밀번호를 사용하고 있는 경우 [[ISMS-P 인증 기준 2.5.4.비밀번호 관리|2.5.4 비밀번호 관리]] 결함이다.<ref>정책에서 비밀번호를 그렇게 쓰도록 하였다면 정책 부터 법적 요구사항을 충족하지 못한 것이다. 그런 경우 [[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토]] 결함이다.</ref> | *정보통신서비스제공자가 내부 정책에 따라 영문, 숫자 조합으로 8자리의 비밀번호를 사용하고 있는 경우 [[ISMS-P 인증 기준 2.5.4.비밀번호 관리|2.5.4 비밀번호 관리]] 결함이다.<ref>정책에서 비밀번호를 그렇게 쓰도록 하였다면 정책 부터 법적 요구사항을 충족하지 못한 것이다. 그런 경우 [[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토]] 결함이다.</ref> | ||
*여러명의 서버 관리자가 접근통제 프로그램을 통해 개별적으로 부여된 계정으로 안전하게 로그인 하였으나, 서버에선 모두 root 계정을 공용으로 사용하는 경우 [[ISMS-P 인증 기준 2.5.2.사용자 식별|2.5.2.사용자 식별]] 및 [[ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리|2.5.5. 특수 계정 및 권한 관리]] 결함이다.<ref>보안상 안전하지 않은 것은 맞다. 하지만 서버접근통제 프로그램에서 개인별 계정이 부여되서 사용자 식별이 되고 있고, 계정 공유 시 보호조치나 특수 권한의 사용은 예외적으로 허용되는 경우가 있기 때문에 제시된 문장만으론 결함이라고 할 수 없다. 여러명의 서버 관리자가 특수한 목적으로, 임시적으로 root 계정을 사용하는 것이고, 이에 대해 강화된 절차를 통해 권한을 정당하게 부여받은 것이라면 사용 가능하다.</ref> | *여러명의 서버 관리자가 접근통제 프로그램을 통해 개별적으로 부여된 계정으로 안전하게 로그인 하였으나, 서버에선 모두 root 계정을 공용으로 사용하는 경우 [[ISMS-P 인증 기준 2.5.2.사용자 식별|2.5.2.사용자 식별]] 및 [[ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리|2.5.5. 특수 계정 및 권한 관리]] 결함이다.<ref>보안상 안전하지 않은 것은 맞다. 하지만 서버접근통제 프로그램에서 개인별 계정이 부여되서 사용자 식별이 되고 있고, 계정 공유 시 보호조치나 특수 권한의 사용은 예외적으로 허용되는 경우가 있기 때문에 제시된 문장만으론 결함이라고 할 수 없다. 여러명의 서버 관리자가 특수한 목적으로, 임시적으로 root 계정을 사용하는 것이고, 이에 대해 강화된 절차를 통해 권한을 정당하게 부여받은 것이라면 사용 가능하다.</ref> |