ISMS-P 인증심사원 주요 암기사항: Difference between revisions
(→오답 보기 암기: 각주로 틀린 이유 설명.) |
(→주요 기술적 암기사항: 백업방식에 2개 추가(자동화 백업, 합성백업)) |
||
(32 intermediate revisions by 23 users not shown) | |||
Line 24: | Line 24: | ||
**발행 연도에서의 부여순서 | **발행 연도에서의 부여순서 | ||
*인증 혜택 | *인증 혜택 | ||
**''' | **과학기술정보통신부 - 정보보호 전문서비스 기업 지정 시 '업무 수행능력 심사 평가표'의 정보보호 인증기업 항목에 만점(5점) 부여 ※ 정보보호 전문서비스 기업지정 등에 관한 고시 (과학기술정보통신부 고시 제2017-24호, 별표2) - 보안관제 전문기업 지정 시 '업무수행능력 평가기준'의 정보보호 인증기업 항목에 만점(5점) 부여 ※ 보안관제 전문기업 지정 등에 관한 공고 (과학기술정보통신부 공고 제2019-441호, 별표2) | ||
**KISA - 물품 구매·제조, 용역 및 공사, 위탁연구 등에 있어 계약자 선정 평가 시 가점 부여 | |||
**한국기업 지배구조원 - 상장기업 대상 ESG평가 일부 항목(사회부분) 대체 | |||
**국토 교통부 - 스마트 도시 기반 시설의 보호에 대해 정보보호 관리체계 인증취득 권고 ※ 스마트도시 조성 및 산업진흥 등에 관한 법률 제22조 2항 | |||
**교육부 - 사이버 대학의 원격교육설비에 대해 정보보호 관리체계 인증취득을 권고 ※ 원격교육 설비 기준 고시 (교육부 고시 제2019-213호) | |||
== 주요 법률상 암기사항 == | == 주요 법률상 암기사항 == | ||
Line 53: | Line 57: | ||
'''서면 동의 시 중요한 내용의 표시 방법''' | '''서면 동의 시 중요한 내용의 표시 방법''' | ||
#글씨의 | #글씨의 크기, 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것 | ||
#동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것 | #동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것 | ||
Line 66: | Line 69: | ||
#개인정보의 수집 출처 | #개인정보의 수집 출처 | ||
#개인정보의 처리 목적 | #개인정보의 처리 목적 | ||
#개인정보 처리의 정지를 | #개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실 | ||
'''정보주체 이외로부터의 수집 시 통지 시기''' | '''정보주체 이외로부터의 수집 시 통지 시기''' | ||
Line 121: | Line 124: | ||
*#임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장) | *#임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장) | ||
'''개인정보 처리방침 포함 항목 | '''개인정보 처리방침 포함 항목''' | ||
#개인정보의 처리 '''목적''' | #개인정보의 처리 '''목적''' | ||
#개인정보의 처리 및 보유 '''기간''' | #개인정보의 처리 및 보유 '''기간''' | ||
#개인정보의 '''제3자 제공'''에 관한 사항(해당하는 경우에만 정한다) | #개인정보의 '''제3자 제공'''에 관한 사항(해당하는 경우에만 정한다) | ||
#개인정보의 ''' | #개인정보의 '''파'''기절차 및 파기방법(보존하여야 하는 경우 보존근거와 보존 항목 포함) | ||
#개인정보 처리 ''' | #'''민'''감정보의 공개 가능성 및 비공개를 선택하는 방법 (해당하는 경우에만 정한다) | ||
# | #개인정보 처리 '''위탁'''에 관한 사항(해당하는 경우에만 정한다) | ||
# | #'''가'''명정보의 처리 등에 관한 사항(해당하는 경우에만 정한다) | ||
#개인정보 | #정보주체와 법정대리인의 '''권리'''ㆍ의무 및 그 행사방법에 관한 사항 | ||
# | #개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충 처리 부서의 명칭과 '''연락처''' | ||
#개인정보의 | #인터넷 접속정보파일 등 개인정보를 '''자동으로 수집'''하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다) | ||
# | #처리하는 개인정보의 '''항목''' | ||
#영 제30조에 따른 개인정보의 '''안전성''' 확보조치에 관한 사항 | |||
'''개인정보 이용 내역 통지 대상''' | '''개인정보 이용 내역 통지 대상''' | ||
#전년도 말 기준 직전 '''3개월'''간 | #5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 자 | ||
#100만명 이상의 정보주체에 관하여 개인정보를 처리하는자 (전년도 말 기준 직전 '''3개월'''간 일일평균을 기준으로 산정) | |||
'''개인정보 이용 내역 통지 방법 및 예외''' | '''개인정보 이용 내역 통지 방법 및 예외''' | ||
#'''통지 주기''': 연 1회 이상 | #'''통지 주기''': 연 1회 이상 | ||
#'''통지 방법''': | #'''통지 방법''': 서면·전자우편·문자전송 등 정보주체가 통지 내용을 쉽게 확인할 수 있는 방법 | ||
#'''통지 예외''': 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우 | #'''통지 예외''': 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우 | ||
Line 154: | Line 157: | ||
'''개인정보 유출 시 통지 및 신고 의무 및 기한''' | '''개인정보 유출 시 통지 및 신고 의무 및 기한''' | ||
#'''(정보주체 통지)''' 유출 건수와 상관 없이 | #'''(정보주체 통지)''' 유출 건수와 상관 없이 72시간 이내 통지 | ||
#'''(정부당국 신고)''' 유출된 정보주체의 수가 1천명 이상인 경우<ref>개인정보보호위원회 또는 한국인터넷진흥원에 신고</ref> | #'''(정부당국 신고)''' 유출된 정보주체의 수가 1천명 이상인 경우<ref>개인정보보호위원회 또는 한국인터넷진흥원에 신고</ref> | ||
#'''(홈페이지 게시)''' 유출된 | #'''(홈페이지 게시)''' 정보주체 연락처를 알수 없는 경우 홈페이지 or 사업장 30일 이상 게시 | ||
#(산용정보법) 유출된 신용정보주체의 사가 1만명 이상인 경우 | |||
'''개인정보 유출 시 통지 항목''' | '''개인정보 유출 시 통지 항목''' | ||
Line 180: | Line 184: | ||
'''[[개인정보 손해배상 책임보험]] 가입금액''' | '''[[개인정보 손해배상 책임보험]] 가입금액''' | ||
* 최소 기준: | * 최소 기준: 1만명, 매출액 10억 이상 | ||
* 5천 -> 1억 -> 2억 -> 5억 -> 10억 | * 5천 -> 1억 -> 2억 -> 5억 -> 10억 | ||
{| class="wikitable" | {| class="wikitable" | ||
! | !정보주체 수 | ||
! | !매출액등<ref>정보통신분야 서비스의 매출액이 아닌 전체 매출액 기준임에 주의</ref> | ||
!최저가입(적립)금액 | !최저가입(적립)금액 | ||
|- | |- | ||
Line 192: | Line 196: | ||
|10억원 | |10억원 | ||
|- | |- | ||
|50억원 | |50억원 초과~800억원 이하 | ||
|5억원 | |5억원 | ||
|- | |- | ||
| | |10억원 이상~50억원 이하 | ||
|2억원 | |2억원 | ||
|- | |- | ||
| rowspan="3" | | | rowspan="3" |10만~100만명 | ||
|800억원 초과 | |800억원 초과 | ||
|5억원 | |5억원 | ||
|- | |- | ||
|50억원 | |50억원 초과~800억원 이하 | ||
|2억원 | |2억원 | ||
|- | |- | ||
| | |10억원 이상~50억원 이하 | ||
|1억원 | |1억원 | ||
|- | |- | ||
| rowspan="3" |''' | | rowspan="3" |'''1만~10만명''' | ||
|800억원 초과 | |800억원 초과 | ||
|2억원 | |2억원 | ||
|- | |- | ||
|50억원 | |50억원 초과~800억원 이하 | ||
|1억원 | |1억원 | ||
|- | |- | ||
| | |10억원 이상~50억원 이하 | ||
|5천만원 | |5천만원 | ||
|} | |} | ||
Line 221: | Line 225: | ||
=== 안전성 확보조치 기준 === | === 안전성 확보조치 기준 === | ||
'''내부 관리계획 포함 사항 (책책교접접 암호접속 악성물리 조사위 재난수탁)''' | '''내부 관리계획 포함 사항 (책책교접접 암호접속 악성물리 조사위 재난수탁)''' | ||
#개인정보 | |||
#개인정보 | # 개인정보 보호 조직의 구성 및 운영에 관한 사항 | ||
#개인정보취급자에 대한 | # 개인정보 보호책임자의 자격요건 및 지정에 관한 사항 | ||
# | # 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항 | ||
# | # 개인정보취급자에 대한 관리ㆍ감독 및 교육에 관한 사항 | ||
#개인정보의 | # 접근 권한의 관리에 관한 사항 | ||
# | # 접근 통제에 관한 사항 | ||
# | # 개인정보의 암호화 조치에 관한 사항 | ||
# | # 접속기록 보관 및 점검에 관한 사항 | ||
# | # 악성프로그램 등 방지에 관한 사항 | ||
#개인정보 | # 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항 | ||
# | # 물리적 안전조치에 관한 사항 | ||
# 개인정보 유출사고 대응 계획 수립ㆍ시행에 관한 사항 | |||
#개인정보 처리업무를 위탁하는 경우 | # 위험 분석 및 관리에 관한 사항 | ||
# | # 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 | ||
# 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항 | |||
# 그 밖에 개인정보 보호를 위하여 필요한 사항 | |||
'''기록 보관 및 점검''' | '''기록 보관 및 점검''' | ||
*'''접속 기록''' | *'''접속 기록''' | ||
Line 247: | Line 254: | ||
*'''권한 변경 기록''' | *'''권한 변경 기록''' | ||
**개인정보처리자, 신용정보회사등: 최소 '''3년''' '''보관''' | **개인정보처리자, 신용정보회사등: 최소 '''3년''' '''보관''' | ||
'''개인정보 암호화 대상'''<ref>개인정보 보호법에 따른 암호화 대상 개인정보 한정</ref> | '''개인정보 암호화 대상'''<ref>개인정보 보호법에 따른 암호화 대상 개인정보 한정</ref> | ||
{| class="wikitable" | {| class="wikitable" | ||
Line 277: | Line 283: | ||
|개인정보 | |개인정보 | ||
|} | |} | ||
'''개인정보 처리자 유형''' | '''<s>개인정보 처리자 유형('23.9 조항 삭제)</s>''' | ||
{| class="wikitable" | {| class="wikitable" | ||
!적용 대상 | !적용 대상 | ||
Line 316: | Line 322: | ||
#교통단속을 위하여 필요한 경우 | #교통단속을 위하여 필요한 경우 | ||
#교통정보의 수집·분석 및 제공을 위하여 필요한 경우 | #교통정보의 수집·분석 및 제공을 위하여 필요한 경우 | ||
#영상정보 저장하지 않는 요건 | |||
'''영상정보처리기기 설치 시 안내판에 포함시킬 사항'''<ref>군사시설, 국가 중요시설, 국가보안 시설은 안내판을 설치하지 않을 수 있음</ref> '''(목장시범관위)''' | '''영상정보처리기기 설치 시 안내판에 포함시킬 사항'''<ref>군사시설, 국가 중요시설, 국가보안 시설은 안내판을 설치하지 않을 수 있음</ref> '''(목장시범관위)''' | ||
Line 321: | Line 328: | ||
#설치 목적 및 장소 | #설치 목적 및 장소 | ||
#촬영 범위 및 시간 | #촬영 범위 및 시간 | ||
#관리책임자 | #관리책임자 연락처 ※ 법 개정으로 관리자의 성명 표기 의무는 삭제됨 | ||
#위탁받은 자의 명칭 및 연락처(영상정보처리기기 설치·운영 사무 위탁 시) | #위탁받은 자의 명칭 및 연락처(영상정보처리기기 설치·운영 사무 위탁 시) | ||
Line 343: | Line 350: | ||
'''개인정보 보호법 가명정보 특례 조항(적용되지 않는 조항)''' | '''개인정보 보호법 가명정보 특례 조항(적용되지 않는 조항)''' | ||
* 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지) | * 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지) | ||
* 제27조(영업양도 등에 따른 개인정보의 이전 제한) | * 제27조(영업양도 등에 따른 개인정보의 이전 제한) | ||
* 제34조(개인정보 유출 통지 등) | * 제34조(개인정보 유출 통지 등) | ||
Line 352: | Line 358: | ||
* 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례) | * 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례) | ||
* 제39조의4(개인정보 유출등의 통지ㆍ신고에 대한 특례) | * 제39조의4(개인정보 유출등의 통지ㆍ신고에 대한 특례) | ||
* 제39조의7(이용자의 권리 등에 대한 특례) | * 제39조의7(이용자의 권리 등에 대한 특례) | ||
* 제39조의8(개인정보 이용내역의 통지) | * 제39조의8(개인정보 이용내역의 통지) | ||
Line 399: | Line 404: | ||
#*전기통신사업자 | #*전기통신사업자 | ||
#*통신판매업자 | #*통신판매업자 | ||
#*개인정보처리자 | #*개인정보 처리방침을 공개해야 하는 개인정보처리자 | ||
'''정보보호최고책임자를 임원(이사)으로 지정해야 하는 경우 (※ +겸직금지)''' | '''정보보호최고책임자를 임원(이사)으로 지정해야 하는 경우 (※ +겸직금지)''' | ||
Line 416: | Line 421: | ||
*#해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 '''부서의 장으로 1년 이상 근무'''한 경력이 있는 사람 | *#해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 '''부서의 장으로 1년 이상 근무'''한 경력이 있는 사람 | ||
*'''정보보호책임자를 임원으로 지정해야 하고 겸직이 금지된 경우''' | *'''정보보호책임자를 임원으로 지정해야 하고 겸직이 금지된 경우''' | ||
*#상근 | |||
*#정보보호 분야 업무 4년 이상 수행 경력 | *#정보보호 분야 업무 4년 이상 수행 경력 | ||
*#정보보호 분야 업무를 수행한 경력과 정보기술 분야의 업무를 수행한 경력을 합산한 기간이 5년(그 중 2년 이상은 정보보호 분야의 업무를 수행) | *#정보보호 분야 업무를 수행한 경력과 정보기술 분야의 업무를 수행한 경력을 합산한 기간이 5년(그 중 2년 이상은 정보보호 분야의 업무를 수행) | ||
Line 421: | Line 427: | ||
'''망분리 의무 대상'''<ref>여러 수험서에서 공공기관을 대상으로 한 결함 사례를 찾는 문제가 나오면 망분리를 지적하는 지문은 잘못된 지문으로 취급된다. 이는 대부분의 공공기관들이 아래 요건에 충족이 안 되기 떄문인데, 실제론 공공기관 중에서도 정보통신서비스 제공자나 금융회사 등의 대상이 될 있을 수 있으므로 주의해야 한다.</ref> | '''망분리 의무 대상'''<ref>여러 수험서에서 공공기관을 대상으로 한 결함 사례를 찾는 문제가 나오면 망분리를 지적하는 지문은 잘못된 지문으로 취급된다. 이는 대부분의 공공기관들이 아래 요건에 충족이 안 되기 떄문인데, 실제론 공공기관 중에서도 정보통신서비스 제공자나 금융회사 등의 대상이 될 있을 수 있으므로 주의해야 한다.</ref> | ||
# | #개인정보처리자 | ||
#*전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 | #*전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 이상 | ||
#**개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우엔 망 분리 | #**개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우엔 망 분리 | ||
#(클라우드 서비스) 개인정보처리서비스 이용시 해당 서비스외 인터넷 차단 | |||
#금융회사 | #금융회사 | ||
#본인신용정보관리업자(마이데이터 사업자) | #본인신용정보관리업자(마이데이터 사업자) | ||
Line 451: | Line 458: | ||
* 제외 대상 | * 제외 대상 | ||
** 공공기관, 소기업, 금융회사 및 전자금융업자<ref>정보통신업 또는 도‧소매업을 주된 업종으로 하지 않는 전자금융회사</ref> | ** 공공기관, 소기업, 금융회사 및 전자금융업자<ref>정보통신업 또는 도‧소매업을 주된 업종으로 하지 않는 전자금융회사</ref> | ||
* 공시기한 : 매년 '''6월 30일까지''' | |||
* 벌금 | * 벌금 | ||
** 1천만원 이하 벌금 | ** 1천만원 이하 벌금 | ||
Line 463: | Line 471: | ||
== 주요 기술적 암기사항 == | == 주요 기술적 암기사항 == | ||
사실 기술 관련 문제는 정해진 범위는 없으나 대략 보안산업기사 필기 수준의 문제 범위는 모두 포함된다고 봐야 한다. 보안기사나 보안산업기사 책을 훑어 보거나, 만약 취득하지 않았다면 같이 공부해서 취득하는 것도 도움이 될 수 있다. | 사실 기술 관련 문제는 정해진 범위는 없으나 대략 보안산업기사 필기 수준의 문제 범위는 모두 포함된다고 봐야 한다. 보안기사나 보안산업기사 책을 훑어 보거나, 만약 취득하지 않았다면 같이 공부해서 취득하는 것도 도움이 될 수 있다. | ||
Line 473: | Line 483: | ||
|- | |- | ||
|대칭키 암호 알고리즘 | |대칭키 암호 알고리즘 | ||
|[[SEED]] | |[[SEED]], [[ARIA|ARIA-128/192/256]], [[AES|AES-128/192/256]], [[HIGHT]], [[LEA]] 등 | ||
|[[DES]], [[RC4]] | |[[DES]], [[RC4]] | ||
|- | |- | ||
Line 537: | Line 547: | ||
**'''UDP Flooding:''' 다량의 UDP 패킷을 전송 | **'''UDP Flooding:''' 다량의 UDP 패킷을 전송 | ||
*[[분산 서비스 거부 공격]] | *[[분산 서비스 거부 공격]] | ||
** | **특징 : DoS 공격에 사용되는 패킷의 공통된 특징은 '''조작된 시작 주소''' | ||
**공격의 종류 | |||
**'''(DNS Reflection Attack''') 공격자가 피해자의 IP로 위장(스푸핑)하여 네임서버에 비정상 DNS 질의를 요청하고 요청을 받은 네임서버는 DNS 응답값을 위장한 IP로 전송하여 공격대상의 회선대역폭 고갈 → 출발지 포트가 53/UDP이면서 목적지 주소가 DNS서버가 아닌 UDP 패킷 차단 설정 | |||
**'''(NTP Reflection Attack)''' 스푸핑된 IP(피해자의 IP)로 NTP 서버에게 비정상적인 요청 패킷을 보내서 되돌아오는 응답값을 공격 payload로 활용하는 공격 → 출발 포트가 123/UDP인 패킷 차단 설정 | |||
**'''(Memcached Reflection Attack)''' memcached 서버의 기능을 악용하여 저장된 캐싱 데이터를 가능한 많이 요청하는 request 명령을 요청하고 스푸핑된 피해자의 IP로 대규모 응답이 가게 만드는 공격기법 → UDP 프로토콜을 사용하며 11211번을 출발지 port로 사용하는 패킷 차단 설정, memcached 서버 외부 노출 차단 | |||
**'''(ARMS Reflection Attack)''' 피해자의 IP로 출발지 IP를 변조한 후 취약한 Apple Mac 컴퓨터를 대상으로 원격접속 요청을 보내고, 돌아오는 응답 패킷을 피해자 시스템으로 보내는 공격기법이다. → UDP 프로토콜을 사용하여 3283번을 출발지 Port로 사용하는 패킷 차단 설정 | |||
*'''[[스니핑]]''' | *'''[[스니핑]]''' | ||
*'''비식별 조치 모델 - 통계적 보호 모델''' | *'''비식별 조치 모델 - 통계적 보호 모델''' | ||
Line 551: | Line 566: | ||
**'''증분 백업(Incremental Backup)''' | **'''증분 백업(Incremental Backup)''' | ||
***수정된 데이터만 백업, Archive Bit를 재설정 | ***수정된 데이터만 백업, Archive Bit를 재설정 | ||
**자동화 백업(CDP) : 이미지 방식의 백업으로 분단위까지 백업을 받고 필요시 특정 백업시점으로 복원할 수 있음 | |||
**합성 백업 : 기존의 전체 백업본과 여러개의 증분 백업분을 하나로 통합하는 백업 | |||
**'''차등 백업(Differential Backup)''' | **'''차등 백업(Differential Backup)''' | ||
***기존 백업 이후 수정된 데이터를 백업. Archive Bit 재설정 없이 누적 백업 | ***기존 백업 이후 수정된 데이터를 백업. Archive Bit 재설정 없이 누적 백업 | ||
Line 562: | Line 579: | ||
*한국인터넷진흥원과 금융보안원은 각각 인증위원회를 구성하며, 인증위원회가 모여 인증협의회를 구성한다.<ref>인증협의회는 정책기관(과기정통부, 개인정보위)간의 협의체다.</ref> | *한국인터넷진흥원과 금융보안원은 각각 인증위원회를 구성하며, 인증위원회가 모여 인증협의회를 구성한다.<ref>인증협의회는 정책기관(과기정통부, 개인정보위)간의 협의체다.</ref> | ||
*한국인터넷진흥원과 금융보안원은 각각 인증심사 및 인증서 발급, 인증심사원 양성 및 자격관리, 제도관리 등을 수행하는 인증기관이나 금융보안원은 금융분야에 대한 제도만 관장한다.<ref>금융보안원은 제도 운영, 심사원 양성 및 자격 관리 등은 수행하지 않는다. 오로지 인증심사 및 인증서 발급역할만 하는 인증기관이다. </ref> | *한국인터넷진흥원과 금융보안원은 각각 인증심사 및 인증서 발급, 인증심사원 양성 및 자격관리, 제도관리 등을 수행하는 인증기관이나 금융보안원은 금융분야에 대한 제도만 관장한다.<ref>금융보안원은 제도 운영, 심사원 양성 및 자격 관리 등은 수행하지 않는다. 오로지 인증심사 및 인증서 발급역할만 하는 인증기관이다. </ref> | ||
*인증심사원, 심사기관, 인증기관의 자격을 취소하고자 하는 경우 자격심의위원회를 개최하여야 하며 자격심의위원회는 제29조의 인증위원회 위원 3인 이상을 포함하여구성한다. | *인증심사원, 심사기관, 인증기관의 자격을 취소하고자 하는 경우 자격심의위원회를 개최하여야 하며 자격심의위원회는 제29조의 인증위원회 위원 3인 이상을 포함하여구성한다.<ref>자격심의위원회는 인증심사원의 자격취소의 적합여부를 심의, 의결하기 위해 조직된다.(정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 - 제16조제2항)</ref> | ||
*과학정보통신부와 개인정보보호위원회는 법제도 개선 및 정책 결정, 제도 운영, 인증품질 관리, 인증기관 및 심사기관 지정 등의 업무를 수행한다.<ref>제도운영, 인증품질관리는 한국인터넷진흥원(KISA)에서 수행한다.</ref> | *과학정보통신부와 개인정보보호위원회는 법제도 개선 및 정책 결정, 제도 운영, 인증품질 관리, 인증기관 및 심사기관 지정 등의 업무를 수행한다.<ref>제도운영, 인증품질관리는 한국인터넷진흥원(KISA)에서 수행한다.</ref> | ||
*인증기준은 관리체계 수립 및 운영 22개, 보호대책 요구사항 64개, 개인정보 처리단계별 요구사항 16개로, 총 102개로 구성되어 있다.<ref>관리체계 수립 및 운영이 16개, 개인정보 처리단계별 요구사항이 22개이다.</ref> | *인증기준은 관리체계 수립 및 운영 22개, 보호대책 요구사항 64개, 개인정보 처리단계별 요구사항 16개로, 총 102개로 구성되어 있다.<ref>관리체계 수립 및 운영이 16개, 개인정보 처리단계별 요구사항이 22개이다.</ref> | ||
Line 570: | Line 587: | ||
*정보보호 관리체계 인증 의무 대상자 중 개인정보를 취급하는 사업자는 정보보호 및 개인정보보호관리체계 인증을 받아야 한다.<ref>ISMS까지가 의무이다. 개인정보를 취급한다고 해도 ISMS까지만 받으면 되고 ISMS-P는 선택사항이다.</ref> | *정보보호 관리체계 인증 의무 대상자 중 개인정보를 취급하는 사업자는 정보보호 및 개인정보보호관리체계 인증을 받아야 한다.<ref>ISMS까지가 의무이다. 개인정보를 취급한다고 해도 ISMS까지만 받으면 되고 ISMS-P는 선택사항이다.</ref> | ||
*의무 대상자를 판별할 때 중개 쇼핑몰과 자체 쇼핑몰을 같이 운영하는 쇼핑몰은 입점료와 자체 쇼핑몰을 통한 제품 판매액을 더해 매출액을 계산한다.<ref>중개 쇼핑몰의 경우 입점료는 판매 중개수수료가 주요 매출액이다. (판매 중개수수료 + 입점료(해당하는 경우) + 자체 쇼핑몰을 통한 제품 판매액)</ref> | *의무 대상자를 판별할 때 중개 쇼핑몰과 자체 쇼핑몰을 같이 운영하는 쇼핑몰은 입점료와 자체 쇼핑몰을 통한 제품 판매액을 더해 매출액을 계산한다.<ref>중개 쇼핑몰의 경우 입점료는 판매 중개수수료가 주요 매출액이다. (판매 중개수수료 + 입점료(해당하는 경우) + 자체 쇼핑몰을 통한 제품 판매액)</ref> | ||
*정보통신서비스랑 직접 연계되지 않고 데이터 복제등의 방법으로 관리되는 ERD, DW, CRM, 백업DB 등 또한 개인정보가 포함된다면 인증 범위에 포함된다. | *정보통신서비스랑 직접 연계되지 않고 데이터 복제등의 방법으로 관리되는 ERD, DW, CRM, 백업DB 등 또한 개인정보가 포함된다면 인증 범위에 포함된다.<ref>정보통신서비스와 직접적인 관련성이 낮은 전사적자원관리시스템(ERP), 분석용데이터베이스 (DW), 그룹웨어 등 기업 내부 시스템, 영업/마케팅 조직은 일반적으로 인증범위에서 제외한다.</ref> | ||
*인증 의무대상인 정보통신서비스제공자의 경우 영리를 목적으로 하지 않고 정보통신망을 위해 단순히 정보를제공하거나 정보의 제공을 매개하는 경우 인증 범위에서 제외된다. | *인증 의무대상인 정보통신서비스제공자의 경우 영리를 목적으로 하지 않고 정보통신망을 위해 단순히 정보를제공하거나 정보의 제공을 매개하는 경우 인증 범위에서 제외된다.<ref>영리를 목적으로 하지 않더라도 정보통신망을 통해 정보를 제공하거나 정보의 제공을 매개하는 서비스는 모두 인증범위에 포함한다.</ref> | ||
*연간 매출액 또는 세입이 1,500억원 이상인 종합병원은 정보보호 관리체계 인증 의무 대상자이다.<ref>종합병원이 모두 대상은 아니다. 중증질환에 대해 난이도가 높은 진료행위를 하는 상급종합병원이 대상이다.</ref> | *연간 매출액 또는 세입이 1,500억원 이상인 종합병원은 정보보호 관리체계 인증 의무 대상자이다.<ref>종합병원이 모두 대상은 아니다. 중증질환에 대해 난이도가 높은 진료행위를 하는 상급종합병원이 대상이다.</ref> | ||
*연간 세입이 1,500원 이상이거나 재학생 수가 1만명 이상인 대학교는 인증 의무 대상자이다. | *연간 세입이 1,500원 이상이거나 재학생 수가 1만명 이상인 대학교는 인증 의무 대상자이다.<ref>연간 세입이 1,500원 이상이고, 재학생 수가 1만명 이상인 대학교 이어야 한다.</ref> | ||
*인증신청 시 신청자가 원하는 인증 범위, 인증 일정을 구체적으로 명시하여 신청하여야 한다. 하지만 이는 추후 심사기관과의 협의 과정에 조정될 수도 있다.<ref>사전에 심사기관과 협의를 다 한다음 신청하여야 한다.</ref> | *인증신청 시 신청자가 원하는 인증 범위, 인증 일정을 구체적으로 명시하여 신청하여야 한다. 하지만 이는 추후 심사기관과의 협의 과정에 조정될 수도 있다.<ref>사전에 심사기관과 협의를 다 한다음 신청하여야 한다.</ref> | ||
*2개월 이상 관리체계 구축 운영 후 신청을 접수하고 인증수수료를 납부하면 예비점검 → 인증심사 → 심사결과보고서 작성 → 인증위원회 개최 순서대로 진행된다.<ref>심사준비 상태를 점검하는 예비점검 이후에 인증수수료 청구·납부가 이루어진다.</ref> | *2개월 이상 관리체계 구축 운영 후 신청을 접수하고 인증수수료를 납부하면 예비점검 → 인증심사 → 심사결과보고서 작성 → 인증위원회 개최 순서대로 진행된다.<ref>심사준비 상태를 점검하는 예비점검 이후에 인증수수료 청구·납부가 이루어진다.</ref> | ||
Line 580: | Line 597: | ||
'''인증 기준 관련''' | '''인증 기준 관련''' | ||
*휴면회원의 로그인을 위해 아이디, 비밀번호는 원본 DB에 그대로 남겨 두는 것은 3.4.3 휴면이용자 관리 결함이다.<ref>휴면회원의 접근을 위해 아이디와 비밀번호는 원본 DB에 남길 수 있다. 로그인을 함으로써 휴면 해제를 하는 경우가 많으므로 로그인을 위한 최소한의 정보는 남길 수 있다.</ref> | *<s>휴면회원의 로그인을 위해 아이디, 비밀번호는 원본 DB에 그대로 남겨 두는 것은 3.4.3 휴면이용자 관리 결함이다.<ref>휴면회원의 접근을 위해 아이디와 비밀번호는 원본 DB에 남길 수 있다. 로그인을 함으로써 휴면 해제를 하는 경우가 많으므로 로그인을 위한 최소한의 정보는 남길 수 있다.</ref></s> | ||
*조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 분기별 1회 이상 위험을 평가하여야 한다.<ref>[[ISMS-P 인증 기준 1.2.3.위험 평가]]에 따르면 연1회의 평가가 필요하다.</ref> | *조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 분기별 1회 이상 위험을 평가하여야 한다.<ref>[[ISMS-P 인증 기준 1.2.3.위험 평가]]에 따르면 연1회의 평가가 필요하다.</ref> | ||
*미성년자 개인정보 수집을 위해선 우선 미성년자 법정 대리인에게 수집 동의를 받고 필요최소한의 이름, 연락처를 수집하여야 하며, 미성년자 개인정보 수집 완료 후 파기해야 한다.<ref>미성년자의 개인정보를 수집하기 위해 필요최소한의 법정대리인 정보인 이름, 연락처를 받는 경우엔 법정대리인의 동의가 불필요하다.</ref> | *미성년자 개인정보 수집을 위해선 우선 미성년자 법정 대리인에게 수집 동의를 받고 필요최소한의 이름, 연락처를 수집하여야 하며, 미성년자 개인정보 수집 완료 후 파기해야 한다.<ref>미성년자의 개인정보를 수집하기 위해 필요최소한의 법정대리인 정보인 이름, 연락처를 받는 경우엔 법정대리인의 동의가 불필요하다.</ref> | ||
Line 590: | Line 607: | ||
*통제구역 중 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 경우 제한구역으로 설정하여 관리하여야 한다.<ref>출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 곳이 통제구역이다. 제한구역은 통제구역보다 낮은 단계의 보호구역이다. (관련 항목: [[ISMS-P 인증 기준 2.4.1.보호구역 지정]])</ref> | *통제구역 중 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 경우 제한구역으로 설정하여 관리하여야 한다.<ref>출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 곳이 통제구역이다. 제한구역은 통제구역보다 낮은 단계의 보호구역이다. (관련 항목: [[ISMS-P 인증 기준 2.4.1.보호구역 지정]])</ref> | ||
*[[클라우드 보안인증제|CSAP]] 등 클라우드 보안인증을 받은 클라우드를 사용하는 경우 물리 보안 등 일부 항목은 증적 없이 충족하는 것으로 인정될 수 있다.<ref>클라우드를 사용하더라도 물리 보안이 어떻게 이루어지고 있는지에 대해 클라우드 서비스 제공자로부터 파악하여 증적을 제시하여야 한다.</ref> | *[[클라우드 보안인증제|CSAP]] 등 클라우드 보안인증을 받은 클라우드를 사용하는 경우 물리 보안 등 일부 항목은 증적 없이 충족하는 것으로 인정될 수 있다.<ref>클라우드를 사용하더라도 물리 보안이 어떻게 이루어지고 있는지에 대해 클라우드 서비스 제공자로부터 파악하여 증적을 제시하여야 한다.</ref> | ||
*서버관리 시스템의 비밀번호 작성 규칙과 | *서버관리 시스템의 비밀번호 작성 규칙과 개인정보처리시스템의 비밀번호 작성 규칙이 다른 경우 [[ISMS-P 인증 기준 2.1.1.정책의 유지관리|2.1.1 정책의 유지관리]] 결함이다.<ref>그럴 가능성이 높긴 하지만 단정할 수 없다. 상위 정책에 비밀번호 작성 규칙이 있거나 규칙을 통일해야 한다는 내용이 있으면 정책의 유지관리 결함이겠지만, 상위 정책이 존재하지 않고 업무별 정책에서 정하도록 하는 경우라 할지라도 그게 결함이라고 할 순 없다.</ref> | ||
*정보통신서비스제공자가 내부 정책에 따라 영문, 숫자 조합으로 8자리의 비밀번호를 사용하고 있는 경우 [[ISMS-P 인증 기준 2.5.4.비밀번호 관리|2.5.4 비밀번호 관리]] 결함이다.<ref>정책에서 비밀번호를 그렇게 쓰도록 하였다면 정책 부터 법적 요구사항을 충족하지 못한 것이다. 그런 경우 [[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토]] 결함이다.</ref> | *정보통신서비스제공자가 내부 정책에 따라 영문, 숫자 조합으로 8자리의 비밀번호를 사용하고 있는 경우 [[ISMS-P 인증 기준 2.5.4.비밀번호 관리|2.5.4 비밀번호 관리]] 결함이다.<ref>정책에서 비밀번호를 그렇게 쓰도록 하였다면 정책 부터 법적 요구사항을 충족하지 못한 것이다. 그런 경우 [[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토]] 결함이다.</ref> | ||
*여러명의 서버 관리자가 접근통제 프로그램을 통해 개별적으로 부여된 계정으로 안전하게 로그인 하였으나, 서버에선 모두 root 계정을 공용으로 사용하는 경우 [[ISMS-P 인증 기준 2.5.2.사용자 식별|2.5.2.사용자 식별]] 및 [[ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리|2.5.5. 특수 계정 및 권한 관리]] 결함이다.<ref>보안상 안전하지 않은 것은 맞다. 하지만 서버접근통제 프로그램에서 개인별 계정이 부여되서 사용자 식별이 되고 있고, 계정 공유 시 보호조치나 특수 권한의 사용은 예외적으로 허용되는 경우가 있기 때문에 제시된 문장만으론 결함이라고 할 수 없다. 여러명의 서버 관리자가 특수한 목적으로, 임시적으로 root 계정을 사용하는 것이고, 이에 대해 강화된 절차를 통해 권한을 정당하게 부여받은 것이라면 사용 가능하다.</ref> | *여러명의 서버 관리자가 접근통제 프로그램을 통해 개별적으로 부여된 계정으로 안전하게 로그인 하였으나, 서버에선 모두 root 계정을 공용으로 사용하는 경우 [[ISMS-P 인증 기준 2.5.2.사용자 식별|2.5.2.사용자 식별]] 및 [[ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리|2.5.5. 특수 계정 및 권한 관리]] 결함이다.<ref>보안상 안전하지 않은 것은 맞다. 하지만 서버접근통제 프로그램에서 개인별 계정이 부여되서 사용자 식별이 되고 있고, 계정 공유 시 보호조치나 특수 권한의 사용은 예외적으로 허용되는 경우가 있기 때문에 제시된 문장만으론 결함이라고 할 수 없다. 여러명의 서버 관리자가 특수한 목적으로, 임시적으로 root 계정을 사용하는 것이고, 이에 대해 강화된 절차를 통해 권한을 정당하게 부여받은 것이라면 사용 가능하다.</ref> | ||
Line 604: | Line 621: | ||
*개인정보처리자는 개인정보를 국외의 제3자에게 제공하는 경우, 일반적인 제3자 제공 시에 고지하고 동의받는 내용에 더하여 개인정보가 이전되는 국가, 이전일시 및 이전 방법을 고지하고 동의 받아야 한다.<ref>개인정보처리자는 국외 이전시에도 제3자 제공과 동일하게 고지하고 동의 받으면 된다. 이전되는 국가, 일시 및 방법을 알려야 하는 의무는 정보통신서비스제공자에게만 있다.</ref> | *개인정보처리자는 개인정보를 국외의 제3자에게 제공하는 경우, 일반적인 제3자 제공 시에 고지하고 동의받는 내용에 더하여 개인정보가 이전되는 국가, 이전일시 및 이전 방법을 고지하고 동의 받아야 한다.<ref>개인정보처리자는 국외 이전시에도 제3자 제공과 동일하게 고지하고 동의 받으면 된다. 이전되는 국가, 일시 및 방법을 알려야 하는 의무는 정보통신서비스제공자에게만 있다.</ref> | ||
*개인정보의 주체는 자연인이어야 하며, 법인 또는 단체의 이름, 주소, 대표 연락처, 업무별 연락처, 영업실적 등은 개인정보에 해당하지 않는다. 다만 개인사업자의 경우 상호명, 사업장주소, 전화번호, 사업자등록번호, 납세액 등의 정보는 개인정보에 해당한다.<ref>개인사업자도 나열된 것과 같이 사업자 그 자체에 대한 정보는 개인정보가 아니다. 다만 개인사업자의 대표자 정보는 개인정보가 될 수 있다.</ref> | *개인정보의 주체는 자연인이어야 하며, 법인 또는 단체의 이름, 주소, 대표 연락처, 업무별 연락처, 영업실적 등은 개인정보에 해당하지 않는다. 다만 개인사업자의 경우 상호명, 사업장주소, 전화번호, 사업자등록번호, 납세액 등의 정보는 개인정보에 해당한다.<ref>개인사업자도 나열된 것과 같이 사업자 그 자체에 대한 정보는 개인정보가 아니다. 다만 개인사업자의 대표자 정보는 개인정보가 될 수 있다.</ref> | ||
*재화 등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 거래가 있은 날로부터 1년 이내에 자신이 처리하고 수신자와 거래한 것과 동종의 재화 등에 대한 영리목적의 광고성 정보를 전송하려는 경우는 별도의 동의가 필요 없다. | *재화 등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 거래가 있은 날로부터 1년 이내에 자신이 처리하고 수신자와 거래한 것과 동종의 재화 등에 대한 영리목적의 광고성 정보를 전송하려는 경우는 별도의 동의가 필요 없다.<ref>※ 거래관계에 의한 광고성 정보전송 수신동의 예외 | ||
1. 재화 등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 거래가 있은 날로부터 '''6개월''' 이내에 자신이 처리하고 수신자와 거래한 것과 동종의 재화 등에 대한 영리목적의 광고성 정보를 전송하려는 경우 | |||
2. 「방문판매 등에 관한 법률」에 따른 전화권유판매자가 육성으로 수신자에게 개인정보의 수집 출처를 고지하고 전화권유를 하는 경우</ref> | |||
*전년도 말 기준 직전 3개월 일일평균 개인정보주체 100만 명 이상이거나, 정보통신서비스 부문 전년도 매출액이 100억 원 이상인 정보통신서비스제공자들은 개인정보취급자의 업무용 PC를 인터넷이 안 되는 환경으로 망분리 해야 한다.<ref>모든 개인정보취급자가 대상은 아니다. 개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우에만 의무적으로 망 분리를 해야 한다.</ref> | *전년도 말 기준 직전 3개월 일일평균 개인정보주체 100만 명 이상이거나, 정보통신서비스 부문 전년도 매출액이 100억 원 이상인 정보통신서비스제공자들은 개인정보취급자의 업무용 PC를 인터넷이 안 되는 환경으로 망분리 해야 한다.<ref>모든 개인정보취급자가 대상은 아니다. 개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우에만 의무적으로 망 분리를 해야 한다.</ref> | ||
*비영리기관의 경우 원칙적으론 정보통신서비스제공자에 해당되지 않아 개인정보 손해배상책임 보장제도의 대상이 아니다. 하지만 수탁자의 경우 정보통신서비스제공자로부터 수탁받아 관리하는 개인정보의 수가 전년도 말 기준 직전 3개월 간 일일평균 이용자수가 1천명 이상이고 수탁업무에 따른 매출액 수준이 5천만원 이상인 경우 손해배상책임 보장의무가 따른다.<ref>원칙적으로 수탁자에겐 의무가 없다.</ref> | *비영리기관의 경우 원칙적으론 정보통신서비스제공자에 해당되지 않아 개인정보 손해배상책임 보장제도의 대상이 아니다. 하지만 수탁자의 경우 정보통신서비스제공자로부터 수탁받아 관리하는 개인정보의 수가 전년도 말 기준 직전 3개월 간 일일평균 이용자수가 1천명 이상이고 수탁업무에 따른 매출액 수준이 5천만원 이상인 경우 손해배상책임 보장의무가 따른다.<ref>원칙적으로 수탁자에겐 의무가 없다.</ref> |
Latest revision as of 10:22, 31 July 2024
- 상위 문서: ISMS-P 인증심사원 교본
ISMS-P 제도 관련 기간 등 숫자[edit | edit source]
- ISMS 의무대상자 인증 의무 취득기간은 차년도 8.31.까지
- 보완조치 기간 40일, 재조치 요구기간 60일 (총 100일)
- 심사결과에 대한 이의신청 15일 이내
- 심사수행기관은 인증위원회 종료 다음날부터 30일 이내 신청인에게 보완조치 요구
- 사후심사 1년 주기
- 갱신심사 3년 주기
- 갱신심사는 유효기간 만료 3개월 전에 신청
- 인증기관 및 심사기관 지정 유효기간 3년
- 연장을 원할 경우 만료 6개월 전부터 끝나는 시점 전에 신청[1]
- 수수료 감면
- 소기업: 30%
- 인증심사 생략: 20%
- 정보보호 공시: 30%
- 인증번호 표시 방법 (ISMS - P - OOOO - 0000 - 0000)
- ISMS (고정)
- P(개인정보를 포함한 경우)
- 인증기관
- 최초 인증발행 연도
- 발행 연도에서의 부여순서
- 인증 혜택
- 과학기술정보통신부 - 정보보호 전문서비스 기업 지정 시 '업무 수행능력 심사 평가표'의 정보보호 인증기업 항목에 만점(5점) 부여 ※ 정보보호 전문서비스 기업지정 등에 관한 고시 (과학기술정보통신부 고시 제2017-24호, 별표2) - 보안관제 전문기업 지정 시 '업무수행능력 평가기준'의 정보보호 인증기업 항목에 만점(5점) 부여 ※ 보안관제 전문기업 지정 등에 관한 공고 (과학기술정보통신부 공고 제2019-441호, 별표2)
- KISA - 물품 구매·제조, 용역 및 공사, 위탁연구 등에 있어 계약자 선정 평가 시 가점 부여
- 한국기업 지배구조원 - 상장기업 대상 ESG평가 일부 항목(사회부분) 대체
- 국토 교통부 - 스마트 도시 기반 시설의 보호에 대해 정보보호 관리체계 인증취득 권고 ※ 스마트도시 조성 및 산업진흥 등에 관한 법률 제22조 2항
- 교육부 - 사이버 대학의 원격교육설비에 대해 정보보호 관리체계 인증취득을 권고 ※ 원격교육 설비 기준 고시 (교육부 고시 제2019-213호)
주요 법률상 암기사항[edit | edit source]
법률적인 암기사항들은 상당 비율이 개인정보 보호와 관련되어 나온다. CPPG 공부를 했다면 큰 도움이 될 수도 있다. 개인정보 보호 분야가 일반적인 보안 분야보다 법에서 정해진 대로 수행하는 정형화된 부분이 많고 법령 및 고시에서 몇가지를 정하여 나열하고 있는 경우가 많기 때문에 문제를 출제하기가 수월하다.
개인정보 보호 일반[edit | edit source]
개인정보 수집·이용 동의 항목
- 개인정보의 수집·이용 목적
- 수집하려는 개인정보의 항목
- 개인정보의 보유 및 이용기간
- 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
개인정보 제3자 제공 시 동의 항목
- 개인정보를 제공받는 자
- 개인정보를 제공받는 자의 개인정보 이용 목적
- 제공하는 개인정보의 항목
- 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
- 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
서면 동의 시 중요하게 표시하여야 하는 내용
- 개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
- 처리하는 개인정보 항목 중 민감정보, 여권번호, 운전면허번호, 외국인등록번호
- 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)
- 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적
서면 동의 시 중요한 내용의 표시 방법
- 글씨의 크기, 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것
- 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것
정보주체 이외로부터의 수집 시 통지 대상
- 5만 명 이상 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 자
- 100만 명 이상의 정보주체에 관한 개인정보를 처리하는 자
정보주체 이외로부터의 수집 시 통지 항목
- 개인정보의 수집 출처
- 개인정보의 처리 목적
- 개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실
정보주체 이외로부터의 수집 시 통지 시기
- (기본) 개인정보를 제공받는 날로부터 3개월 이내
- (예외) 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는
- 제공받은 날부터 3개월 이내에 통지하거나
- 그 동의를 받은 날부터 기산하여 연 1회 이상 통지
개인정보 위수탁 시 계약서에 포함될 사항
- 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
- 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항
- 위탁업무의 목적 및 범위
- 재위탁 제한에 관한 사항[2]
- 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
- 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
- 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
법률에 따라 주민등록번호를 수집 가능한 경우[3]
- 법률·대통령령·국회규칙·대법원규칙·헌법재판소 규칙·중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
- 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
- 주민등록번호 처리가 불가피한 경우로서 개인 정보보호위원회가 고시로 정하는 경우
- 본인확인기관으로 지정받은 경우
- 「전기통신사업법」 제38조제1항에 따라 기간 통신사업자로부터 이동통신서비스 등을 제공받아 재판매하는 전기통신사업자가 제23조의3에 따라 본인확인기관으로 지정받은 이동통신사업자의 본인확인업무 수행과 관련하여 이용자의 주민 등록번호를 수집·이용하는 경우
타 법령에 따른 보유기간(예시)
- 전자상거래 등에서 소비자 보호에 관한 법률
- ① 표시·광고에 관한 기록: 6개월
- ② 계약 또는 청약철회 등에 관한 기록: 5년
- ③ 대금결제 및 재화 등의 공급에 관한 기록: 5년
- ④ 소비자의 불만 또는 분쟁처리에 관한 기록: 3년
- 통신비밀보호법컴퓨터 통신 또는 인터넷의 로그기록 자료, 정보통신기기의 위치를 확인할 수 있는 접속지 추적 자료: 3개월
정보주체의 권리
- 열람, 정정, 삭제, 처리정지 요구
- 개인정보 처리자는 요구를 받은 날로부터 10일 내 회신
개인정보 파기
- 특별한 사정이 없는 한 개인정보가 불필요하게 된 때로부터 5일 내 파기[4]
개인정보 보호책임자 지정 기준
- 공공기관
- 헌법기관 및 중앙행정기관: 고위공무원[5]
- 정무직공무원이 장인 기관: 3급 이상 공무원
- 고위공무원이 장인 기관: 4급 이상 공무원
- 시도·교육청: 3급 이상 공무원
- 시군·자치구: 4급 이상 공무원
- 각급 학교: 해당 학교의 행정사무를 총괄하는 사람
- 그 외 공공기관등: 개인정보 처리 관련 업무를 담당하는 부서의 장
- 그 외
- 사업주 또는 대표자
- 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
개인정보 처리방침 포함 항목
- 개인정보의 처리 목적
- 개인정보의 처리 및 보유 기간
- 개인정보의 제3자 제공에 관한 사항(해당하는 경우에만 정한다)
- 개인정보의 파기절차 및 파기방법(보존하여야 하는 경우 보존근거와 보존 항목 포함)
- 민감정보의 공개 가능성 및 비공개를 선택하는 방법 (해당하는 경우에만 정한다)
- 개인정보 처리 위탁에 관한 사항(해당하는 경우에만 정한다)
- 가명정보의 처리 등에 관한 사항(해당하는 경우에만 정한다)
- 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
- 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충 처리 부서의 명칭과 연락처
- 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
- 처리하는 개인정보의 항목
- 영 제30조에 따른 개인정보의 안전성 확보조치에 관한 사항
개인정보 이용 내역 통지 대상
- 5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 자
- 100만명 이상의 정보주체에 관하여 개인정보를 처리하는자 (전년도 말 기준 직전 3개월간 일일평균을 기준으로 산정)
개인정보 이용 내역 통지 방법 및 예외
- 통지 주기: 연 1회 이상
- 통지 방법: 서면·전자우편·문자전송 등 정보주체가 통지 내용을 쉽게 확인할 수 있는 방법
- 통지 예외: 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우
개인정보 이용내역 통지 항목
- 개인정보의 수집·이용 목적 및 수집한 개인정보의 항목
- 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목[6]
개인정보 유출 시 통지 및 신고 의무 및 기한
- (정보주체 통지) 유출 건수와 상관 없이 72시간 이내 통지
- (정부당국 신고) 유출된 정보주체의 수가 1천명 이상인 경우[7]
- (홈페이지 게시) 정보주체 연락처를 알수 없는 경우 홈페이지 or 사업장 30일 이상 게시
- (산용정보법) 유출된 신용정보주체의 사가 1만명 이상인 경우
개인정보 유출 시 통지 항목
- 유출등이 된 개인정보 항목
- 유출등이 발생한 시점과 경위
- 이용자가 피해를 최소화하기 위해 취할 수 있는 조치
- 정보통신서비스 제공자등의 대응 조치
- 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
개인정보 국외 이전 동의 시 고지사항
- 개인정보처리자: 제3자 제공과 동일
- 정보통신서비스제공자: 아래와 같음(제3자 제공과 상이)
- 1. 이전되는 개인정보 항목
- 2. 개인정보가 이전되는 국가, 이전일시 및 이전 방법
- 3. 개인정보를 이전받는 자의 이름(법인인 경우 그 명칭 및 정보관리책임자의 연락처)
- 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간
개인정보 국외 이전 시 계약에 반영할 사항
- 1. 개인정보 보호를 위한 안전성 확보 조치
- 2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
- 3. 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치
개인정보 손해배상 책임보험 가입금액
- 최소 기준: 1만명, 매출액 10억 이상
- 5천 -> 1억 -> 2억 -> 5억 -> 10억
정보주체 수 | 매출액등[8] | 최저가입(적립)금액 |
---|---|---|
100만명 이상 | 800억원 초과 | 10억원 |
50억원 초과~800억원 이하 | 5억원 | |
10억원 이상~50억원 이하 | 2억원 | |
10만~100만명 | 800억원 초과 | 5억원 |
50억원 초과~800억원 이하 | 2억원 | |
10억원 이상~50억원 이하 | 1억원 | |
1만~10만명 | 800억원 초과 | 2억원 |
50억원 초과~800억원 이하 | 1억원 | |
10억원 이상~50억원 이하 | 5천만원 |
안전성 확보조치 기준[edit | edit source]
내부 관리계획 포함 사항 (책책교접접 암호접속 악성물리 조사위 재난수탁)
- 개인정보 보호 조직의 구성 및 운영에 관한 사항
- 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
- 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항
- 개인정보취급자에 대한 관리ㆍ감독 및 교육에 관한 사항
- 접근 권한의 관리에 관한 사항
- 접근 통제에 관한 사항
- 개인정보의 암호화 조치에 관한 사항
- 접속기록 보관 및 점검에 관한 사항
- 악성프로그램 등 방지에 관한 사항
- 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항
- 물리적 안전조치에 관한 사항
- 개인정보 유출사고 대응 계획 수립ㆍ시행에 관한 사항
- 위험 분석 및 관리에 관한 사항
- 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
- 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항
- 그 밖에 개인정보 보호를 위하여 필요한 사항
기록 보관 및 점검
- 접속 기록
- 권한 변경 기록
- 개인정보처리자, 신용정보회사등: 최소 3년 보관
개인정보 암호화 대상[10]
구분 | 개인정보처리자 | 정보통신서비스 제공자 |
---|---|---|
정보통신망을 통한 전송 시 | 고유식별정보, 비밀번호, 생체인식정보 | 개인정보, 인증정보 |
보조저장매체로 저장·전달 시 | 고유식별정보, 비밀번호, 생체인식정보 | 개인정보 |
개인정보 처리시스템 저장 시 | 주민등록번호, 비밀번호, 생체인식정보 (다만 비밀번호는 일방향 암호화) | |
- | 신용카드번호, 계좌번호 | |
여권번호, 외국인등록번호, 운전면허번호
인터넷구간, DMZ 저장 시 암호화 저장 내부망 저장 시 암호화 저장 또는 위험도 분석 (또는 영향평가) |
여권번호, 외국인등록번호, 운전면허번호 | |
업무용 컴퓨터/ 모바일 기기 저장 시 | 고유식별정보, 비밀번호, 생체인식정보 | 개인정보 |
개인정보 처리자 유형('23.9 조항 삭제)
적용 대상 | 안전조치 제외 기준 |
---|---|
유형1 - 완화
|
내차 외연세차 암재백
|
유형2 - 표준
|
내위수난 암재백
|
유형3 - 강화 (그 외) | 없음 (전체 다 해당) |
영상정보처리기기 관련[edit | edit source]
공개된 장소에 영상정보처리기기를 설치·운영할 수 있는 경우[11]
- 법령에서 구체적으로 허용하고 있는 경우
- 범죄의 예방 및 수사를 위하여 필요한 경우
- 시설안전 및 화재 예방을 위하여 필요한 경우
- 교통단속을 위하여 필요한 경우
- 교통정보의 수집·분석 및 제공을 위하여 필요한 경우
- 영상정보 저장하지 않는 요건
영상정보처리기기 설치 시 안내판에 포함시킬 사항[12] (목장시범관위)
- 설치 목적 및 장소
- 촬영 범위 및 시간
- 관리책임자 연락처 ※ 법 개정으로 관리자의 성명 표기 의무는 삭제됨
- 위탁받은 자의 명칭 및 연락처(영상정보처리기기 설치·운영 사무 위탁 시)
영상정보처리기기 운영·관리 방침에 포함될 사항 (목범근대위 책권시장 운영방 열기)
- 영상정보처리기기의 설치 근거 및 설치 목적
- 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위
- 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람
- 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법
- 영상정보처리기기운영자의 영상정보 확인 방법 및 장소
- 정보주체의 영상정보 열람 등 요구에 대한 조치
- 영상정보 보호를 위한 기술적ㆍ관리적 및 물리적 조치
- 그 밖에 영상정보처리기기의 설치ㆍ운영 및 관리에 필요한 사항
가명정보·가명처리 및 결합[edit | edit source]
가명처리하여 정보주체 동의 없이 사용 가능한 분야
- 통계 작성 (시장조사 등 상업적 목적의 통계작성을 포함)
- 과학적 연구 (산업적 연구를 포함)
- 공익적 기록보존
개인정보 보호법 가명정보 특례 조항(적용되지 않는 조항)
- 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)
- 제27조(영업양도 등에 따른 개인정보의 이전 제한)
- 제34조(개인정보 유출 통지 등)
- ① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.
- 제35조(개인정보의 열람)
- 제36조(개인정보의 정정ㆍ삭제)
- 제37조(개인정보의 처리정지 등)
- 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)
- 제39조의4(개인정보 유출등의 통지ㆍ신고에 대한 특례)
- 제39조의7(이용자의 권리 등에 대한 특례)
- 제39조의8(개인정보 이용내역의 통지)
신용정보법 가명정보 특례 조항(적용되지 않는 조항)
- 제32조(개인신용정보의 제공·활용에 대한 동의)
- ⑦ 제6항 각 호에 따라 개인신용정보를 타인에게 제공하려는 자 또는 제공받은 자는 대통령령으로 정하는 바에 따라 개인신용정보의 제공 사실 및 이유 등을 사전에 해당 신용정보주체에게 알려야 한다. 다만, 대통령령으로 정하는 불가피한 사유가 있는 경우에는 인터넷 홈페이지 게재 또는 그 밖에 유사한 방법을 통하여 사후에 알리거나 공시할 수 있다.
- 제33조의2(개인신용정보의 전송요구)
- 제35조(신용정보 이용 및 제공사실의 조회)
- 제35조의2(개인신용평점 하락 가능성 등에 대한 설명의무)
- 제35조의3(신용정보제공·이용자의 사전통지)
- 제36조(상거래 거절 근거 신용정보의 고지 등)
- 제36조의2(자동화평가 결과에 대한 설명 및 이의제기 등)
- 제37조(개인신용정보 제공 동의 철회권 등)
- 제38조(신용정보의 열람 및 정정청구 등)
- 제38조의2(신용조회사실의 통지 요청)
- 제38조의3(개인신용정보의 삭제 요구)
- 제39조(무료 열람권)
- 제39조의2(채권자변동정보의 열람 등)
- 제39조의3(신용정보주체의 권리행사 방법 및 절차)
- 제39조의4(개인신용정보 누설통지 등)
위치정보 보호[edit | edit source]
정보주체의 동의 없이 위치정보 수집이 가능한 경우
- 1. 제29조제1항에 따른 긴급구조기관의 긴급구조요청 또는 같은 조 제7항에 따른 경보발송요청이 있는 경우
- 2. 제29조제2항에 따른 경찰관서의 요청이 있는 경우
- 3. 다른 법률에 특별한 규정이 있는 경우
위치정보 수집 동의를 받을 때 고지 정보
- 위치정보사업자의 상호, 주소, 전화번호 그 밖의 연락처
- 개인위치정보주체 및 법정대리인(제25조제1항에 따라 법정대리인의 동의를 얻어야 하는 경우로 한정한다)의 권리와 그 행사방법
- 위치정보사업자가 위치기반서비스사업자에게 제공하고자 하는 서비스의 내용
- 위치정보 수집사실 확인자료의 보유근거 및 보유기간
- 개인위치정보의 보유목적 및 보유기간
- 개인위치정보의 수집방법
정보보호 일반[edit | edit source]
정보보호최고책임자 지정 후 신고하지 않아도 되는 경우
- 자본금 1억원 이하
- 소기업
- 중기업 (아래 제외)
- ISMS 의무 대상
- 전기통신사업자
- 통신판매업자
- 개인정보 처리방침을 공개해야 하는 개인정보처리자
정보보호최고책임자를 임원(이사)으로 지정해야 하는 경우 (※ +겸직금지)
- 직전 사업연도 말 기준 자산총액이 5조원 이상인 자
- ISMS 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자
정보보호최고책임자의 전문성 요건
- 정보보호책임자를 지정 후 신고해야 하는 경우
- 정보보호 또는 정보기술 분야의 국내 또는 외국의 석사학위 이상 학위를 취득한 사람
- 정보보호 또는 정보기술 분야의 국내 또는 외국의 학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 3년 이상 수행한 경력이 있는 사람
- 정보보호 또는 정보기술 분야의 국내 또는 외국의 전문학사학위를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 5년 이상 수행한 경력이 있는 사람
- 정보보호 또는 정보기술 분야의 업무를 10년 이상 수행한 경력이 있는 사람
- 법 제47조제6항제5호에 따른 정보보호 관리체계 인증심사원의 자격을 취득한 사람
- 해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 부서의 장으로 1년 이상 근무한 경력이 있는 사람
- 정보보호책임자를 임원으로 지정해야 하고 겸직이 금지된 경우
- 상근
- 정보보호 분야 업무 4년 이상 수행 경력
- 정보보호 분야 업무를 수행한 경력과 정보기술 분야의 업무를 수행한 경력을 합산한 기간이 5년(그 중 2년 이상은 정보보호 분야의 업무를 수행)
망분리 의무 대상[13]
- 개인정보처리자
- 전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 이상
- 개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우엔 망 분리
- 전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 이상
- (클라우드 서비스) 개인정보처리서비스 이용시 해당 서비스외 인터넷 차단
- 금융회사
- 본인신용정보관리업자(마이데이터 사업자)
광고 수신 여부 확인 시 수신자에게 알려야 할 사항
- 1. 전송자의 명칭
- 2. 수신동의 날짜 및 수신에 동의한 사실
- 3. 수신동의에 대한 유지 또는 철회 의사를 표시하는 방법
정보통신서비스 제공자 영리목적 광고 관련 통지사항
- 14일 이내에 다음 각 호의 사항을 해당 수신자에게 통지[14]
- 전송자의 명칭
- 수신자의 수신동의, 수신거부 또는 수신동의 철회 사실
- 해당 의사를 표시한 날짜
- 처리 결과
전자금융시스템의 원장 수정
- 중요원장에 직접 접근하여 조회·수정·삭제·삽입하는 경우 아래 기록을 5년 이상 보관
- 1. 작업자
- 2. 작업내용
정보보호공시 의무자
- 아래 조건 중 하나에 해당하는 경우 의무 대상[15]
- 사업분야: ISP, IDC, 상급종합병원, CSP(IaaS 제공 기준)
- 매출액: CISO 지정·신고 대상, 매출액 3000억 이상
- 이용자 수: 정보통신서비스 일일평균 이용자 수 100만명 이상
- 제외 대상
- 공공기관, 소기업, 금융회사 및 전자금융업자[16]
- 공시기한 : 매년 6월 30일까지
- 벌금
- 1천만원 이하 벌금
정보보호공시 내용
- ① 정보기술부문 투자 현황 대비 정보보호부문 투자현황
- ② 정보기술부문 인력 대비 정보보호부문 전담인력 현황
- ③ 정보보호 관련 인증ㆍ평가ㆍ점검 등에 관한 사항
- ④ 그 밖에 이용자의 정보보호를 위한 활동 현황
각종 벌금[edit | edit source]
주요 기술적 암기사항[edit | edit source]
사실 기술 관련 문제는 정해진 범위는 없으나 대략 보안산업기사 필기 수준의 문제 범위는 모두 포함된다고 봐야 한다. 보안기사나 보안산업기사 책을 훑어 보거나, 만약 취득하지 않았다면 같이 공부해서 취득하는 것도 도움이 될 수 있다.
안전한 암호화 알고리즘
구분 | 안전한 알고리즘 | 안전하지 않은 알고리즘 |
---|---|---|
대칭키 암호 알고리즘 | SEED, ARIA-128/192/256, AES-128/192/256, HIGHT, LEA 등 | DES, RC4 |
공개키 암호 알고리즘 | RSAES-OAEP, RSAES-PKCS1 등 | (키 길이 기준)[17] |
일방향 암호 알고리즘 | SHA-256/384/512 등 | SHA-1, HAS-160, MD5 |
- 역상 암호화
- 제2역상 암호화
- 777, 644 등이 어떤 의미를 가지는지 알고 있어야 한다.
- 콜론(:)이 구분자로 사용되며, 총 9개의 필드로 이루어져 있다.
- ① : $②$③$④ : ④ : ⑤ : ⑥ : ⑦ : ⑧ : ⑨
- 가상 사설망
- IPSec
- AH: 무결성, 인증 (암호화X)
- ESP: AH+암호화
- 전송모드: 헤더 제외, 페이로드 보호
- 터널모드: 전체 보호
- 서비스 거부 공격
- Ping Of Death: Attack IP 단편화(fragment)를 재조 합 부하 유발
- Land Attack: 출발지와 목적지가 같은 패킷(자기 자신을 반복적으로 공격)
- Smurf Attack: 출발지를 공격 대상 IP로 위조한 ICMP 패킷 브로드캐스트(응답 부하 유발)
- Teardrop Attack: 분할된 IP 단편의 offset값을 서로 중첩되도록 조작하여 에러와 부하 유발
- SYN Flooding: 다량의 TCP SYN 패킷을 전송
- UDP Flooding: 다량의 UDP 패킷을 전송
- 분산 서비스 거부 공격
- 특징 : DoS 공격에 사용되는 패킷의 공통된 특징은 조작된 시작 주소
- 공격의 종류
- (DNS Reflection Attack) 공격자가 피해자의 IP로 위장(스푸핑)하여 네임서버에 비정상 DNS 질의를 요청하고 요청을 받은 네임서버는 DNS 응답값을 위장한 IP로 전송하여 공격대상의 회선대역폭 고갈 → 출발지 포트가 53/UDP이면서 목적지 주소가 DNS서버가 아닌 UDP 패킷 차단 설정
- (NTP Reflection Attack) 스푸핑된 IP(피해자의 IP)로 NTP 서버에게 비정상적인 요청 패킷을 보내서 되돌아오는 응답값을 공격 payload로 활용하는 공격 → 출발 포트가 123/UDP인 패킷 차단 설정
- (Memcached Reflection Attack) memcached 서버의 기능을 악용하여 저장된 캐싱 데이터를 가능한 많이 요청하는 request 명령을 요청하고 스푸핑된 피해자의 IP로 대규모 응답이 가게 만드는 공격기법 → UDP 프로토콜을 사용하며 11211번을 출발지 port로 사용하는 패킷 차단 설정, memcached 서버 외부 노출 차단
- (ARMS Reflection Attack) 피해자의 IP로 출발지 IP를 변조한 후 취약한 Apple Mac 컴퓨터를 대상으로 원격접속 요청을 보내고, 돌아오는 응답 패킷을 피해자 시스템으로 보내는 공격기법이다. → UDP 프로토콜을 사용하여 3283번을 출발지 Port로 사용하는 패킷 차단 설정
- 스니핑
- 비식별 조치 모델 - 통계적 보호 모델
- 백업 방식
- 일반 백업(전체 백업, Full Backup)
- 모든 데이터를 백업, Archive Bit를 재설정
- 증분 백업(Incremental Backup)
- 수정된 데이터만 백업, Archive Bit를 재설정
- 자동화 백업(CDP) : 이미지 방식의 백업으로 분단위까지 백업을 받고 필요시 특정 백업시점으로 복원할 수 있음
- 합성 백업 : 기존의 전체 백업본과 여러개의 증분 백업분을 하나로 통합하는 백업
- 차등 백업(Differential Backup)
- 기존 백업 이후 수정된 데이터를 백업. Archive Bit 재설정 없이 누적 백업
- 일반 백업(전체 백업, Full Backup)
오답 보기 암기[edit | edit source]
아래 내용은 모두 틀린 오답임. 오답이라는 것은 해당 내용이 아예 틀렸거나, 아니면 해당 문장만으론 틀렸다고 단정할 수 없는 경우이다. 그냥 틀렸다는 사실 뿐만 아니라 왜 틀렸는지 알아야 한다. 그리고 맞는 말이 되기 위해 어떤 부분이 어떻게 수정되어야 하는지 알아야 한다.
인증 제도 관련
- ISMS-P 제도의 정책 기관으론 대표적으로 개인정보보호위원회, 과학기술정보통신부, 방송통신위원회, 행정안전부가 있다.[18]
- 한국인터넷진흥원과 금융보안원은 각각 인증위원회를 구성하며, 인증위원회가 모여 인증협의회를 구성한다.[19]
- 한국인터넷진흥원과 금융보안원은 각각 인증심사 및 인증서 발급, 인증심사원 양성 및 자격관리, 제도관리 등을 수행하는 인증기관이나 금융보안원은 금융분야에 대한 제도만 관장한다.[20]
- 인증심사원, 심사기관, 인증기관의 자격을 취소하고자 하는 경우 자격심의위원회를 개최하여야 하며 자격심의위원회는 제29조의 인증위원회 위원 3인 이상을 포함하여구성한다.[21]
- 과학정보통신부와 개인정보보호위원회는 법제도 개선 및 정책 결정, 제도 운영, 인증품질 관리, 인증기관 및 심사기관 지정 등의 업무를 수행한다.[22]
- 인증기준은 관리체계 수립 및 운영 22개, 보호대책 요구사항 64개, 개인정보 처리단계별 요구사항 16개로, 총 102개로 구성되어 있다.[23]
- 하나의 원인으로 인해 다수의 결함사항이 나온 경우 심사팀장의 결정에 따라 경미한 경우엔 하나의 사항으로 갈음할 수 있다.[24]
- 인증기관은 인증만 수행 가능하며, 심사기관은 심사만 수행 가능하도록 권한을 분리하여 운영한다.[25]
- 인증위원회는 정보통신망법 시행령 제47조 및 개인정보 보호법 시행령 제34조의2에 따라 심사기관에서 인증심사 결과 등을 심의하고 의결하기 위해 운영하는 조직이다.[26]
- 정보보호 관리체계 인증 의무 대상자 중 개인정보를 취급하는 사업자는 정보보호 및 개인정보보호관리체계 인증을 받아야 한다.[27]
- 의무 대상자를 판별할 때 중개 쇼핑몰과 자체 쇼핑몰을 같이 운영하는 쇼핑몰은 입점료와 자체 쇼핑몰을 통한 제품 판매액을 더해 매출액을 계산한다.[28]
- 정보통신서비스랑 직접 연계되지 않고 데이터 복제등의 방법으로 관리되는 ERD, DW, CRM, 백업DB 등 또한 개인정보가 포함된다면 인증 범위에 포함된다.[29]
- 인증 의무대상인 정보통신서비스제공자의 경우 영리를 목적으로 하지 않고 정보통신망을 위해 단순히 정보를제공하거나 정보의 제공을 매개하는 경우 인증 범위에서 제외된다.[30]
- 연간 매출액 또는 세입이 1,500억원 이상인 종합병원은 정보보호 관리체계 인증 의무 대상자이다.[31]
- 연간 세입이 1,500원 이상이거나 재학생 수가 1만명 이상인 대학교는 인증 의무 대상자이다.[32]
- 인증신청 시 신청자가 원하는 인증 범위, 인증 일정을 구체적으로 명시하여 신청하여야 한다. 하지만 이는 추후 심사기관과의 협의 과정에 조정될 수도 있다.[33]
- 2개월 이상 관리체계 구축 운영 후 신청을 접수하고 인증수수료를 납부하면 예비점검 → 인증심사 → 심사결과보고서 작성 → 인증위원회 개최 순서대로 진행된다.[34]
- ISMS-P 인증 제도상 "결함 사항"이란 신청인의 정보보호 관리체계가 인증심사기준에 규정된 요구사항을 충족하지 못하는 사항이 발견되고 있으며 발견된 문제점이 정보보호 및 개인정보보호 관리체계에 중대한 영향을 미치는 사항을 말한다.[35]
인증 기준 관련
휴면회원의 로그인을 위해 아이디, 비밀번호는 원본 DB에 그대로 남겨 두는 것은 3.4.3 휴면이용자 관리 결함이다.[36]- 조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 분기별 1회 이상 위험을 평가하여야 한다.[37]
- 미성년자 개인정보 수집을 위해선 우선 미성년자 법정 대리인에게 수집 동의를 받고 필요최소한의 이름, 연락처를 수집하여야 하며, 미성년자 개인정보 수집 완료 후 파기해야 한다.[38]
- 미성년자의 개인정보 수집을 위해 법정대리인의 실제 날인, 전자서명, 본인확인 등을 확보하여야 하며, 전화를 통해 구두로 확인해선 안 된다.
- 정보주체(이용자) 이외로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의 획득 책임은 개인정보처리자에게 있다.
- 정보주체 이외로부터 정보를 수집한 경우, 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 않은 경우에는 관보나 간행물 등을 통해 알릴 수 있다.
- 정기적 수신동의 확인 시 수신자가 아무런 의사표시를 하지 않는 경우에는 수신동의 의사가 철회된 것으로 본다.[39]
- 업무용으로 노트북을 사용하고 있지만 노트북을 업무용 PC에 준하여 관리하고 있는 경우 기존 PC의 보안 지침을 준용하고 모바일 기기에 대한 별도 기준은 마련하지 않아도 된다.[40]
- 통제구역 중 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 경우 제한구역으로 설정하여 관리하여야 한다.[41]
- CSAP 등 클라우드 보안인증을 받은 클라우드를 사용하는 경우 물리 보안 등 일부 항목은 증적 없이 충족하는 것으로 인정될 수 있다.[42]
- 서버관리 시스템의 비밀번호 작성 규칙과 개인정보처리시스템의 비밀번호 작성 규칙이 다른 경우 2.1.1 정책의 유지관리 결함이다.[43]
- 정보통신서비스제공자가 내부 정책에 따라 영문, 숫자 조합으로 8자리의 비밀번호를 사용하고 있는 경우 2.5.4 비밀번호 관리 결함이다.[44]
- 여러명의 서버 관리자가 접근통제 프로그램을 통해 개별적으로 부여된 계정으로 안전하게 로그인 하였으나, 서버에선 모두 root 계정을 공용으로 사용하는 경우 2.5.2.사용자 식별 및 2.5.5. 특수 계정 및 권한 관리 결함이다.[45]
법률 관련
- 전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일평균 100만 명 이상이거나, 전년도 매출액이 100억 원 이상인 개인정보 처리자는 1년에 한번 이용자들에게 이용내역을 통지하여야 한다.[46]
- 공공장소에 설치된 영상정보처리기기는 녹음 기능, 줌(Zoom)기능, 방향 전환 기능을 사용할 수 없다.[47]
- 모회사가 운영하는 홈페이지 내에서 자회사의 정보를 제공하고 있고 자회사는 해당 홈페이지를 운영하지 않는 경우, 자회사 또한 정보통신서비스 제공자에 해당한다.[48]
- 공적 분야에서 직무를 수행한 공무원의 성명·직위, 공표를 목적으로 작성 또는 취득한 정보(심의회 위원명단, 수상자명단) 등 공적 생활에서 형성된 정보 및 이미 공개된 정보 등은 개인정보로 보지 않는다.[49]
- 개인정보처리자는 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관ㆍ관리하는 등 해당 정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. 다만 가명처리되어 활용되고 있는 개인정보의 주체가 처리 정지를 요구하는 경우 개인정보처리자는 해당 정보주체의 정보를 제거하기 위해 추가정보를 사용할 수 있다.[50]
- 개인정보보호위원회는 개인정보처리자가 가명정보 처리 시 금지 의무를 위반하여 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우 전체 매출액의 100분의 4 이하에 해당하는 금액을 과징금으로 부과할 수 있다. 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 4억원 또는 자본금의 100분의 4 중 큰 금액 이하로 과징금을 부과할 수 있다.[51]
- 개인정보처리자는 개인정보를 국외의 제3자에게 제공하는 경우, 일반적인 제3자 제공 시에 고지하고 동의받는 내용에 더하여 개인정보가 이전되는 국가, 이전일시 및 이전 방법을 고지하고 동의 받아야 한다.[52]
- 개인정보의 주체는 자연인이어야 하며, 법인 또는 단체의 이름, 주소, 대표 연락처, 업무별 연락처, 영업실적 등은 개인정보에 해당하지 않는다. 다만 개인사업자의 경우 상호명, 사업장주소, 전화번호, 사업자등록번호, 납세액 등의 정보는 개인정보에 해당한다.[53]
- 재화 등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 거래가 있은 날로부터 1년 이내에 자신이 처리하고 수신자와 거래한 것과 동종의 재화 등에 대한 영리목적의 광고성 정보를 전송하려는 경우는 별도의 동의가 필요 없다.[54]
- 전년도 말 기준 직전 3개월 일일평균 개인정보주체 100만 명 이상이거나, 정보통신서비스 부문 전년도 매출액이 100억 원 이상인 정보통신서비스제공자들은 개인정보취급자의 업무용 PC를 인터넷이 안 되는 환경으로 망분리 해야 한다.[55]
- 비영리기관의 경우 원칙적으론 정보통신서비스제공자에 해당되지 않아 개인정보 손해배상책임 보장제도의 대상이 아니다. 하지만 수탁자의 경우 정보통신서비스제공자로부터 수탁받아 관리하는 개인정보의 수가 전년도 말 기준 직전 3개월 간 일일평균 이용자수가 1천명 이상이고 수탁업무에 따른 매출액 수준이 5천만원 이상인 경우 손해배상책임 보장의무가 따른다.[56]
같이 보기[edit | edit source]
각주[edit | edit source]
- ↑ 신청 후 결과를 통지 받기 전까지는 지정이 유효한 것으로 봄
- ↑ 재위탁 제한이지 '금지'가 아님을 주의. 일반적으로 재위탁을 위해선 위탁자에게 사전에 알리거나 협의를 해야한다는 내용이 들어간다.
- ↑ 안내서에서 명시한 개인정보 보호법, 정보통신망법의 사항만 기술하였다. 금융실명제법, 소득세법 등 개별 법률에서 규정한 경우들이 많으며, 이들 모두 아래의 1번 사항에 해당한다.
- ↑ 5일이 법정 기한은 아니며, 특별한 사정이 있으면 5일을 초과할 수도 있음.
- ↑ 그에 상당하는 공무원. 이하 공무원 직급에 관한 모든 케이스에서 동일하다.
- ↑ 다만 「통신비밀보호법」 제13조, 제13조의2, 제13조의4 및 「전기통신사업법」 제83조제3항에 따라 제공한 정보는 제외
- ↑ 개인정보보호위원회 또는 한국인터넷진흥원에 신고
- ↑ 정보통신분야 서비스의 매출액이 아닌 전체 매출액 기준임에 주의
- ↑ 9.0 9.1 개인정보처리자, 정보통신서비스제공자, 신용정보회사등 공통
- ↑ 개인정보 보호법에 따른 암호화 대상 개인정보 한정
- ↑ 아래에도 불구하고 목용탕, 탈의실 등 사생활을 현저히 침해할 수 있는 경우엔 설치 불가. 그럼에도 불구하고 교도소 등 특수 시설엔 예외적으로 허용됨
- ↑ 군사시설, 국가 중요시설, 국가보안 시설은 안내판을 설치하지 않을 수 있음
- ↑ 여러 수험서에서 공공기관을 대상으로 한 결함 사례를 찾는 문제가 나오면 망분리를 지적하는 지문은 잘못된 지문으로 취급된다. 이는 대부분의 공공기관들이 아래 요건에 충족이 안 되기 떄문인데, 실제론 공공기관 중에서도 정보통신서비스 제공자나 금융회사 등의 대상이 될 있을 수 있으므로 주의해야 한다.
- ↑ 온라인 서비스는 대부분 동의/철회 직후 문자로 날아온다. "저희가 당신이 선택한 사항들을 잘 기록해 두었습니다." 라고 정보주체에게 인지시켜 주는 과정이라는 취지를 이해해야 한다. 분쟁이 생겼을 때 이 기록을 통해 해결할 수 있다.
- ↑ ISMS 인증 의무 기준과 유사하나, 조금씩 다른 점을 잘 체크하여야 한다. 대학교가 빠졌고 CSP가 들어갔다. 매출액 기준도 ISMS는 정보통신서비스제공자는 100억, 상금종합병원은 1500억이었는데 여기선 3000억으로 통일되었다.
- ↑ 정보통신업 또는 도‧소매업을 주된 업종으로 하지 않는 전자금융회사
- ↑ 현재 일반적으로 사용되는 공개키 알고리즘 중 알고리즘 자체가 취약하다고 평가된 경우는 없으나 키 길이가 2048 미만일 경우 안전하지 않은 것으로 본다.
- ↑ 행정안전부와 방송통신위원회는 데이터 3법 개정 이전의 정책기관들이며, 현재는 정책 기관이 아니다.
- ↑ 인증협의회는 정책기관(과기정통부, 개인정보위)간의 협의체다.
- ↑ 금융보안원은 제도 운영, 심사원 양성 및 자격 관리 등은 수행하지 않는다. 오로지 인증심사 및 인증서 발급역할만 하는 인증기관이다.
- ↑ 자격심의위원회는 인증심사원의 자격취소의 적합여부를 심의, 의결하기 위해 조직된다.(정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 - 제16조제2항)
- ↑ 제도운영, 인증품질관리는 한국인터넷진흥원(KISA)에서 수행한다.
- ↑ 관리체계 수립 및 운영이 16개, 개인정보 처리단계별 요구사항이 22개이다.
- ↑ 원래 하나의 원인으로 다수의 결함이 나온 경우 가장 근본적인 원인에 관련된 사항 하나만을 결함처리 한다. 경미성을 따지거나 심사팀장이 결정할 문제가 아니다.
- ↑ 심사기관은 심사만 가능한 것이 맞지만 인증기관은 심사도 하고 인증도 한다.
- ↑ 인증위원회는 심사기관이 아니라 인증기관에서 운영한다.
- ↑ ISMS까지가 의무이다. 개인정보를 취급한다고 해도 ISMS까지만 받으면 되고 ISMS-P는 선택사항이다.
- ↑ 중개 쇼핑몰의 경우 입점료는 판매 중개수수료가 주요 매출액이다. (판매 중개수수료 + 입점료(해당하는 경우) + 자체 쇼핑몰을 통한 제품 판매액)
- ↑ 정보통신서비스와 직접적인 관련성이 낮은 전사적자원관리시스템(ERP), 분석용데이터베이스 (DW), 그룹웨어 등 기업 내부 시스템, 영업/마케팅 조직은 일반적으로 인증범위에서 제외한다.
- ↑ 영리를 목적으로 하지 않더라도 정보통신망을 통해 정보를 제공하거나 정보의 제공을 매개하는 서비스는 모두 인증범위에 포함한다.
- ↑ 종합병원이 모두 대상은 아니다. 중증질환에 대해 난이도가 높은 진료행위를 하는 상급종합병원이 대상이다.
- ↑ 연간 세입이 1,500원 이상이고, 재학생 수가 1만명 이상인 대학교 이어야 한다.
- ↑ 사전에 심사기관과 협의를 다 한다음 신청하여야 한다.
- ↑ 심사준비 상태를 점검하는 예비점검 이후에 인증수수료 청구·납부가 이루어진다.
- ↑ 중결함 사항에 관한 설명이다. 결함 사항은 요구사항에 충족은 못하지만 중대한 영향을 미치지 않는 사항을 말한다. 결함 사항은 여러 개가 나올 수 있고 보완 조치를 하면 된다. 그러나 중결함 사항이 있는 경우 인증심사가 중단될 수도 있다.
- ↑ 휴면회원의 접근을 위해 아이디와 비밀번호는 원본 DB에 남길 수 있다. 로그인을 함으로써 휴면 해제를 하는 경우가 많으므로 로그인을 위한 최소한의 정보는 남길 수 있다.
- ↑ ISMS-P 인증 기준 1.2.3.위험 평가에 따르면 연1회의 평가가 필요하다.
- ↑ 미성년자의 개인정보를 수집하기 위해 필요최소한의 법정대리인 정보인 이름, 연락처를 받는 경우엔 법정대리인의 동의가 불필요하다.
- ↑ ISMS-P 인증 기준 3.1.7.홍보 및 마케팅 목적 활용 시 조치에 따르면 수신자가 아무런 의사표시를 하지 않은 경우 동의를 유지하는 것으로 본다.
- ↑ ISMS-P 인증 기준 2.10.6.업무용 단말기기 보안에 따르면 업무적인 목적으로 모바일기기를 사용하고 있으면 모바일 기기에 대한 기준, 정책이 마련되어 있어야 한다. PC와 동일하게 보안 프로그램들을 설치한다고 동등한 기준으로 운용한다고 주장 하더라도 휴대성이 있는 업무용 기기이므로 최소한의 별도 기준이 필요하다.
- ↑ 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 곳이 통제구역이다. 제한구역은 통제구역보다 낮은 단계의 보호구역이다. (관련 항목: ISMS-P 인증 기준 2.4.1.보호구역 지정)
- ↑ 클라우드를 사용하더라도 물리 보안이 어떻게 이루어지고 있는지에 대해 클라우드 서비스 제공자로부터 파악하여 증적을 제시하여야 한다.
- ↑ 그럴 가능성이 높긴 하지만 단정할 수 없다. 상위 정책에 비밀번호 작성 규칙이 있거나 규칙을 통일해야 한다는 내용이 있으면 정책의 유지관리 결함이겠지만, 상위 정책이 존재하지 않고 업무별 정책에서 정하도록 하는 경우라 할지라도 그게 결함이라고 할 순 없다.
- ↑ 정책에서 비밀번호를 그렇게 쓰도록 하였다면 정책 부터 법적 요구사항을 충족하지 못한 것이다. 그런 경우 ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토 결함이다.
- ↑ 보안상 안전하지 않은 것은 맞다. 하지만 서버접근통제 프로그램에서 개인별 계정이 부여되서 사용자 식별이 되고 있고, 계정 공유 시 보호조치나 특수 권한의 사용은 예외적으로 허용되는 경우가 있기 때문에 제시된 문장만으론 결함이라고 할 수 없다. 여러명의 서버 관리자가 특수한 목적으로, 임시적으로 root 계정을 사용하는 것이고, 이에 대해 강화된 절차를 통해 권한을 정당하게 부여받은 것이라면 사용 가능하다.
- ↑ 전체 개인정보처리자가 아닌 정보통신서비스제공자만 해당한다. 또한 매출액 기준도 정보통신 부문 매출액 100억 이상인 경우만 해당한다.
- ↑ 최초 설치 목적과 동일한 목적으로는 줌(Zoom)과 방향 전환도 가능하다.
- ↑ 모회사와 자회사의 계약에 따른 내부 법률관계는 별론으로 하고, 자회사는 홈페이지의 운영 주체가 아니므로, 정보통신서비스 제공자에 해당하지 않는 것으로 판단됨(정보통신서비스 제공자 문서 참고)
- ↑ 공적 분야에서 직무를 수행한 공무원의 성명·직위, 공표를 목적으로 작성 또는 취득한 정보(심의회 위원명단, 수상자명단)는 정부의 정보공개업무편람에서 공개 가능하다고 판단한 정보들의 예시이다. 개인정보인지 여부와는 별개이며, 공적 생활에서 형성된 정보 및 이미 공개된 정보 또한 개인정보라는 것은 대법 2021다105482 판결에서 판시한 사실이다.
- ↑ 가명처리된 정보에 대해선 열람요구권, 정정·삭제요구권, 처리정지 요구권을 행사할 수 없다. (개인정보 보호법 제28조의7)
- ↑ 매출액 및 자본금의 100분의 3(개인정보 보호법 제28조의6)
- ↑ 개인정보처리자는 국외 이전시에도 제3자 제공과 동일하게 고지하고 동의 받으면 된다. 이전되는 국가, 일시 및 방법을 알려야 하는 의무는 정보통신서비스제공자에게만 있다.
- ↑ 개인사업자도 나열된 것과 같이 사업자 그 자체에 대한 정보는 개인정보가 아니다. 다만 개인사업자의 대표자 정보는 개인정보가 될 수 있다.
- ↑ ※ 거래관계에 의한 광고성 정보전송 수신동의 예외 1. 재화 등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 거래가 있은 날로부터 6개월 이내에 자신이 처리하고 수신자와 거래한 것과 동종의 재화 등에 대한 영리목적의 광고성 정보를 전송하려는 경우 2. 「방문판매 등에 관한 법률」에 따른 전화권유판매자가 육성으로 수신자에게 개인정보의 수집 출처를 고지하고 전화권유를 하는 경우
- ↑ 모든 개인정보취급자가 대상은 아니다. 개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우에만 의무적으로 망 분리를 해야 한다.
- ↑ 원칙적으로 수탁자에겐 의무가 없다.