ISMS-P 인증심사원 교본: Difference between revisions
No edit summary |
Tag: Manual revert |
||
(21 intermediate revisions by 9 users not shown) | |||
Line 1: | Line 1: | ||
==인증 | *ISMS-P 인증심사원 교본은 '''[https://open.kakao.com/o/gX7VCo7d 기술사/감리사/<u>ISMS-P</u> 수험생 오픈카톡 방]'''에서 함께 만들고 있습니다. | ||
==시험 범위== | |||
아래에서 다루는 모든 내용이 시험 범위이다. 인증 개요부터 관련 법률, 기술적인 지식까지 모두 시험에 나올 수 있다. | |||
==인증 제도== | |||
===인증 제도 안내서=== | |||
「ISMS-P 인증제도 안내서」의 모든 내용은 출제 대상이다. 인증 심사 기준에 따라 결함을 찾는 문제는 판단 기준이 모호해, 출제기관에서 채점을 하기 전까진 정답 여부룰 확신할 수 없는데 반해, 인증 제도 문제는 정답이 명확하므로 여기서 점수를 최대한 확보해 놓는 것이 중요하다. [[KISA]] 홈페이지에서 「ISMS-P 인증제도 안내서」를 다운받아 보는 것이 좋지만, 아래 문서들에 안내서의 내용들이 정리되어 있다. | |||
*[[정보보호 및 개인정보보호관리체계 인증|'''정보보호 및 개인정보보호관리체계 인증''']] | |||
**추진 경과 | |||
**인증 종류 | |||
**[[ISMS-P 인증 추진체계|인증 추진체계]] | |||
**[[ISMS-P 인증 대상|인증 대상]] | |||
**[[ISMS-P 인증 범위|인증 범위]] 등 | |||
===법률 근거=== | |||
근거 법률상의 대부분의 내용은 위에서 설명한 인증제도 안내서에 대부분 풀어서 설명되어 있지만, 일부 법령 및 고시에만 있는 내용들도 있다. 안내서에 없더라도 법령 및 고시에 있는 내용들 또한 시험 범위이다. | |||
*'''[[정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조|정보통신망법]] 제47조제3항ㆍ제4항 - 과학기술정보통신부 소관''' | |||
**정보통신망법 시행령 제47조부터 제53조의2 | |||
***정보통신망법 시행규칙 제3조 | |||
****[https://www.law.go.kr/%ED%96%89%EC%A0%95%EA%B7%9C%EC%B9%99/%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EB%B0%8F%EA%B0%9C%EC%9D%B8%EC%A0%95%EB%B3%B4%EB%B3%B4%ED%98%B8%EA%B4%80%EB%A6%AC%EC%B2%B4%EA%B3%84%EC%9D%B8%EC%A6%9D%EB%93%B1%EC%97%90%EA%B4%80%ED%95%9C%EA%B3%A0%EC%8B%9C 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(과기정통부)] | |||
*'''[[개인정보 보호법 제32조의2]] - 개인정보보호위원회 소관''' | |||
**개인정보 보호법 시행령 제34조의2~제34조의8 | |||
***[https://www.law.go.kr/행정규칙/(개인정보보호위원회)정보보호및개인정보보호관리체계인증등에관한고시 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(개인정보위)] | |||
이는 ISMS-P 인증 제도에 관한 법적 기준으로, 인증에서 다루는 법률 전체가 간접적으로 시험범위라고 볼 수 있다. '''[[ISMS-P 인증심사원 자격 시험 출제 범위]]'''에서도 다양한 IT·보안 관련 법령 및 고시들이 시험범위로 나열되어 있다. | |||
===인증 제도 안내서에 없는 주요 내용=== | |||
인증 제도 안내서는 기본적으로 "정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시"의 대부분의 내용이 해설서처럼 설명되어 있음에도 불구하고 일부 고시에는 있는데 안내서에서 다루고 있지 않는 내용들이 있다. 그 중 시험에 자주 출제되는 내용은 아래와 같다.<ref>아래에 나열되어 있지 않더라도, 고시 전체가 다 시험 범위이니 숙지하여야 한다.</ref> | |||
*'''인증심사원 등급별 자격 요건(제12조 관련)''' | |||
**심사원보: 인증심사원 자격 신청 요건을 만족하는 자로서 인터넷진흥원이 수행하는 인증심사원 양성과정 통과하여 자격을 취득한 자 | |||
**심사원: 심사원보 자격 취득자로서 인증심사에 4회 이상 참여하고 심사일수의 합이 20일 이상인 자 | |||
**선임심사원: 심사원 자격 취득자로서 정보보호 및 개인정보보호 관리체계 인증심사를 3회 이상 참여하고 심사일수의 합이 15일 이상인 자 | |||
*[[ISMS-P 인증심사의 일부 생략|'''인증심사 일부 생략의 범위(제20조 관련)''']] | |||
**[[ISO/IEC 27001]] 인증을 득한 경우 | |||
**[[주요정보통신기반시설]] 취약점 분석·평가를 받은 경우 | |||
**수탁자가 ISMS-P 인증을 받은 경우 | |||
*'''수수료 할인 대상''' | |||
**소기업: 30% | |||
**인증심사 생략: 20% | |||
**정보보호 공시: 30% | |||
*인증을 취득한 자는 인증서 유효기간 만료 3개월 전에 갱신심사를 신청하여야 한다. | |||
*인증위원회는 정보보호 및 개인정보보호 관련 분야에 학식과 경험이 있는 위원 35인 이내의 위원으로 구성하고 위원장은 위원 중에서 호선한다. | |||
*인증위원회의 회의는 인터넷진흥원 또는 인증기관의 요구로 개최하되, 회의마다 위원장과 인증위원의 전문분야를 고려하여 6인 이상의 인증위원으로 구성한다. | |||
==인증심사 기준== | |||
'''101개의 인증 기준이 가장 주요한 시험범위'''이다. 실제 사례를 기반으로 결함 항목을 찾는 문제가 나온다. 언뜻 제목만 보고도 쉽게 집어낼 것 같지만 실제론 교묘하게 결함이 아닌데도 불구하고 보안 담당자와 심사원의 인터뷰를 통해 문제가 있는 것처럼 꾸미거나, 하나의 결함이 여러 인증 기준에 해당하는 경우 그 중 가장 적절하고 근본적인 문제(Root cause)를 찾는 것이 어렵다. 따라서 당연한 내용 같아 보이는 인증 기준도 세부 설명과 결함 사례까지 꼼꼼하게 정독하고 익혀야 한다. | |||
*[[ISMS-P 인증 기준]] | *[[ISMS-P 인증 기준]] | ||
*[[ISMS-P 인증 기준 세부 점검 항목]] | *[[ISMS-P 인증 기준 세부 점검 항목|'''ISMS-P 인증 기준 세부 점검 항목''']] | ||
*[ | **[[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1. 관리체계 수립 및 운영]] | ||
*[ | **[[ISMS-P 인증 기준 2.보호대책 요구사항|2. 보호대책 요구사항]] | ||
**[[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3. 개인정보 처리단계별 요구사항]] | |||
==자격 | ==자격 제도== | ||
====[[ISMS-P 인증심사원 자격 시험 응시 요건|응시 요건]]==== | ====[[ISMS-P 인증심사원 자격 시험 응시 요건|응시 요건]]==== | ||
Line 13: | Line 65: | ||
*다음의 인증심사원 자격 신청 요건(❶~❸)을 모두 충족 | *다음의 인증심사원 자격 신청 요건(❶~❸)을 모두 충족 | ||
**❶ 4년제 대학졸업 이상 또는 이와 동등학력을 취득한 자로서 | **❶ 4년제 대학졸업 이상 또는 이와 동등학력을 취득한 자로서 | ||
**❷ 정보보호 및 개인정보보호 경력을 각 1년 이상 필수로 보유하고 | **❷ 정보보호 및 개인정보보호 경력을 '''각 1년 이상''' 필수로 보유하고 | ||
**❸ 정보보호, 개인정보보호 또는 정보기술 경력을 합하여 6년 | **❸ 정보보호, 개인정보보호 또는 정보기술 경력을 '''합하여 6년 이상'''을 보유 | ||
====필기시험 분야 및 내용==== | ====필기시험 분야 및 내용==== | ||
Line 23: | Line 75: | ||
|'''출제 분야''' | |'''출제 분야''' | ||
|[[ISMS-P 인증심사원 자격 시험 출제 범위|'''출제범위 상세 보기''']] | |[[ISMS-P 인증심사원 자격 시험 출제 범위|'''출제범위 상세 보기''']] | ||
*ISMS-P 인증제도 | |||
* ISMS-P 인증제도 | *ISMS-P 인증기준 | ||
* ISMS-P 인증기준 | *개인정보보호 관련 법규 | ||
* 개인정보보호 관련 법규 | *정보보호 이론 및 기술, 개인정보 생명주기 | ||
* 정보보호 이론 및 기술, 개인정보 생명주기 | |||
|- | |- | ||
|'''문제 유형''' | |'''문제 유형''' | ||
Line 39: | Line 90: | ||
|- | |- | ||
|'''합격 기준''' | |'''합격 기준''' | ||
| | |60점 이상 | ||
|} | |||
====문제 유형==== | |||
{| class="wikitable" | |||
!No | |||
!출제 유형 | |||
!설명 | |||
|- | |||
|1 | |||
|'''단순질의형''' | |||
|인증제도, 인증기준, 보안기술, 관련 법률에 대한 이해도 측정 | |||
|- | |||
|2 | |||
|'''복합응용형''' | |||
|인증제도, 인증기준, 보안기술, 관련 법률을 두 개 이상 연계하여 판단할 수 있는 응용능력 측정 | |||
|- | |||
|3 | |||
|'''상황판단형''' | |||
|상황에 따라 인증제도, 인증기준, 보안기술, 관련 법률을 종합적으로 판단할 수 있는 능력 측정 | |||
|} | |} | ||
====합격률==== | ====합격률==== | ||
*'''필기''': 5 | *'''필기''': 5%전후 | ||
*'''실기''': | *'''실기''': 80~90% | ||
== | ==[[ISMS-P 인증심사원 주요 암기사항|주요 암기사항]]== | ||
'''(위 제목을 클릭하면 이동)''' 인증심사원 시험의 출제 범위가 보안 및 개인정보 보호와 관련된 광범위한 법률과 기술을 대상으로 하고 있으므로 실제로 이에 대해 포괄적으로 실무를 수행해본 사람이 아니면 풀 수 없는 문제가 많다. 그래도 시험에 자주 출제되는, 실무적으로 중요하게 다뤄지거나 문제를 내기에 용이한 암기사항들을 외워 둠으로써 어느정도 대비할 수 있다. | |||
===[https://q.fran.kr/ismsp 훈련용 랜덤 출제 문제] | *인증제도 관련 암기사항 | ||
*법률 제도적 암기사항 | |||
*보안 기술 관련 암기사항 | |||
*주요 오답 보기 | |||
== [[ISMS-P 인증심사원 인증 기준 풀이|인증 기준 풀이]] == | |||
'''(위 제목을 클릭하면 이동)''' 인증심사원 수험생들이 공부 과정에서 헷갈리는 부분들을 공부하고 공동으로 메모를 남겨둔 위키를 활용할 수 있다. 아무나 편집 가능하므로 읽기만 하기 보다 스스로 헷갈렸던 부분을 추가로 기록·정리하면서 공부를 하면 도움이 된다. | |||
*유사한 인증 기준 | |||
*제목으로 유추가 어려운 인증 기준 | |||
*빈출 결함 사례 | |||
*중첩된 인증 기준 판단 사례 | |||
== [https://q.fran.kr/ismsp 훈련용 랜덤 출제 문제] == | |||
결함 사례를 기준으로 결함 항목을 찾는 문제의 비중이 가장 높다. 기준 안내서에 소개되어 있는 결함 사례를 기준으로 랜덤으로 문제를 출제해주는 도구가 만들어져 있으니 시간이 날 때마다 풀어보면 결함 사례를 익히는데 큰 도움이 된다. | 결함 사례를 기준으로 결함 항목을 찾는 문제의 비중이 가장 높다. 기준 안내서에 소개되어 있는 결함 사례를 기준으로 랜덤으로 문제를 출제해주는 도구가 만들어져 있으니 시간이 날 때마다 풀어보면 결함 사례를 익히는데 큰 도움이 된다. | ||
*[https://q.fran.kr/ismsp '''바로가기'''] | *[https://q.fran.kr/ismsp '''바로가기'''] | ||
=== | == 각주 == | ||
<references /> | |||
Latest revision as of 19:08, 10 August 2024
- ISMS-P 인증심사원 교본은 기술사/감리사/ISMS-P 수험생 오픈카톡 방에서 함께 만들고 있습니다.
시험 범위[edit | edit source]
아래에서 다루는 모든 내용이 시험 범위이다. 인증 개요부터 관련 법률, 기술적인 지식까지 모두 시험에 나올 수 있다.
인증 제도[edit | edit source]
인증 제도 안내서[edit | edit source]
「ISMS-P 인증제도 안내서」의 모든 내용은 출제 대상이다. 인증 심사 기준에 따라 결함을 찾는 문제는 판단 기준이 모호해, 출제기관에서 채점을 하기 전까진 정답 여부룰 확신할 수 없는데 반해, 인증 제도 문제는 정답이 명확하므로 여기서 점수를 최대한 확보해 놓는 것이 중요하다. KISA 홈페이지에서 「ISMS-P 인증제도 안내서」를 다운받아 보는 것이 좋지만, 아래 문서들에 안내서의 내용들이 정리되어 있다.
법률 근거[edit | edit source]
근거 법률상의 대부분의 내용은 위에서 설명한 인증제도 안내서에 대부분 풀어서 설명되어 있지만, 일부 법령 및 고시에만 있는 내용들도 있다. 안내서에 없더라도 법령 및 고시에 있는 내용들 또한 시험 범위이다.
- 정보통신망법 제47조제3항ㆍ제4항 - 과학기술정보통신부 소관
- 정보통신망법 시행령 제47조부터 제53조의2
- 정보통신망법 시행규칙 제3조
- 정보통신망법 시행령 제47조부터 제53조의2
- 개인정보 보호법 제32조의2 - 개인정보보호위원회 소관
- 개인정보 보호법 시행령 제34조의2~제34조의8
이는 ISMS-P 인증 제도에 관한 법적 기준으로, 인증에서 다루는 법률 전체가 간접적으로 시험범위라고 볼 수 있다. ISMS-P 인증심사원 자격 시험 출제 범위에서도 다양한 IT·보안 관련 법령 및 고시들이 시험범위로 나열되어 있다.
인증 제도 안내서에 없는 주요 내용[edit | edit source]
인증 제도 안내서는 기본적으로 "정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시"의 대부분의 내용이 해설서처럼 설명되어 있음에도 불구하고 일부 고시에는 있는데 안내서에서 다루고 있지 않는 내용들이 있다. 그 중 시험에 자주 출제되는 내용은 아래와 같다.[1]
- 인증심사원 등급별 자격 요건(제12조 관련)
- 심사원보: 인증심사원 자격 신청 요건을 만족하는 자로서 인터넷진흥원이 수행하는 인증심사원 양성과정 통과하여 자격을 취득한 자
- 심사원: 심사원보 자격 취득자로서 인증심사에 4회 이상 참여하고 심사일수의 합이 20일 이상인 자
- 선임심사원: 심사원 자격 취득자로서 정보보호 및 개인정보보호 관리체계 인증심사를 3회 이상 참여하고 심사일수의 합이 15일 이상인 자
- 인증심사 일부 생략의 범위(제20조 관련)
- ISO/IEC 27001 인증을 득한 경우
- 주요정보통신기반시설 취약점 분석·평가를 받은 경우
- 수탁자가 ISMS-P 인증을 받은 경우
- 수수료 할인 대상
- 소기업: 30%
- 인증심사 생략: 20%
- 정보보호 공시: 30%
- 인증을 취득한 자는 인증서 유효기간 만료 3개월 전에 갱신심사를 신청하여야 한다.
- 인증위원회는 정보보호 및 개인정보보호 관련 분야에 학식과 경험이 있는 위원 35인 이내의 위원으로 구성하고 위원장은 위원 중에서 호선한다.
- 인증위원회의 회의는 인터넷진흥원 또는 인증기관의 요구로 개최하되, 회의마다 위원장과 인증위원의 전문분야를 고려하여 6인 이상의 인증위원으로 구성한다.
인증심사 기준[edit | edit source]
101개의 인증 기준이 가장 주요한 시험범위이다. 실제 사례를 기반으로 결함 항목을 찾는 문제가 나온다. 언뜻 제목만 보고도 쉽게 집어낼 것 같지만 실제론 교묘하게 결함이 아닌데도 불구하고 보안 담당자와 심사원의 인터뷰를 통해 문제가 있는 것처럼 꾸미거나, 하나의 결함이 여러 인증 기준에 해당하는 경우 그 중 가장 적절하고 근본적인 문제(Root cause)를 찾는 것이 어렵다. 따라서 당연한 내용 같아 보이는 인증 기준도 세부 설명과 결함 사례까지 꼼꼼하게 정독하고 익혀야 한다.
자격 제도[edit | edit source]
응시 요건[edit | edit source]
- 다음의 인증심사원 자격 신청 요건(❶~❸)을 모두 충족
- ❶ 4년제 대학졸업 이상 또는 이와 동등학력을 취득한 자로서
- ❷ 정보보호 및 개인정보보호 경력을 각 1년 이상 필수로 보유하고
- ❸ 정보보호, 개인정보보호 또는 정보기술 경력을 합하여 6년 이상을 보유
필기시험 분야 및 내용[edit | edit source]
구분 | 내용 |
---|---|
출제 분야 | 출제범위 상세 보기
|
문제 유형 | 객관식 5지 선다(단순질의, 복합응용, 상황판단) |
문항 수 | 50문제 |
시험 시간 | 120분 |
합격 기준 | 60점 이상 |
문제 유형[edit | edit source]
No | 출제 유형 | 설명 |
---|---|---|
1 | 단순질의형 | 인증제도, 인증기준, 보안기술, 관련 법률에 대한 이해도 측정 |
2 | 복합응용형 | 인증제도, 인증기준, 보안기술, 관련 법률을 두 개 이상 연계하여 판단할 수 있는 응용능력 측정 |
3 | 상황판단형 | 상황에 따라 인증제도, 인증기준, 보안기술, 관련 법률을 종합적으로 판단할 수 있는 능력 측정 |
합격률[edit | edit source]
- 필기: 5%전후
- 실기: 80~90%
주요 암기사항[edit | edit source]
(위 제목을 클릭하면 이동) 인증심사원 시험의 출제 범위가 보안 및 개인정보 보호와 관련된 광범위한 법률과 기술을 대상으로 하고 있으므로 실제로 이에 대해 포괄적으로 실무를 수행해본 사람이 아니면 풀 수 없는 문제가 많다. 그래도 시험에 자주 출제되는, 실무적으로 중요하게 다뤄지거나 문제를 내기에 용이한 암기사항들을 외워 둠으로써 어느정도 대비할 수 있다.
- 인증제도 관련 암기사항
- 법률 제도적 암기사항
- 보안 기술 관련 암기사항
- 주요 오답 보기
인증 기준 풀이[edit | edit source]
(위 제목을 클릭하면 이동) 인증심사원 수험생들이 공부 과정에서 헷갈리는 부분들을 공부하고 공동으로 메모를 남겨둔 위키를 활용할 수 있다. 아무나 편집 가능하므로 읽기만 하기 보다 스스로 헷갈렸던 부분을 추가로 기록·정리하면서 공부를 하면 도움이 된다.
- 유사한 인증 기준
- 제목으로 유추가 어려운 인증 기준
- 빈출 결함 사례
- 중첩된 인증 기준 판단 사례
훈련용 랜덤 출제 문제[edit | edit source]
결함 사례를 기준으로 결함 항목을 찾는 문제의 비중이 가장 높다. 기준 안내서에 소개되어 있는 결함 사례를 기준으로 랜덤으로 문제를 출제해주는 도구가 만들어져 있으니 시간이 날 때마다 풀어보면 결함 사례를 익히는데 큰 도움이 된다.
각주[edit | edit source]
- ↑ 아래에 나열되어 있지 않더라도, 고시 전체가 다 시험 범위이니 숙지하여야 한다.