ISMS-P 주요 암기사항: Difference between revisions

From IT Wiki
No edit summary
No edit summary
Line 76: Line 76:
*휴면회원의 로그인을 위해 아이디, 비밀번호는 원본 DB에 그대로 남겨 두는 것은 3.4.3 휴면이용자 관리 결함이다.
*휴면회원의 로그인을 위해 아이디, 비밀번호는 원본 DB에 그대로 남겨 두는 것은 3.4.3 휴면이용자 관리 결함이다.
*조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 분기별 1회 이상 위험을 평가하여야 한다.
*조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 분기별 1회 이상 위험을 평가하여야 한다.
*미성년자 개인정보 수집을 위해선 우선 미성년자 법정 대리인에게 수집 동의를 받은 후 필요최소한의 이름, 연락처를 수집하여야 하며, 미성년자 개인정보 수집 완료 후 파기해야 한다.
*미성년자의 개인정보 수집을 위해 법정대리인의 실제 날인, 전자서명, 본인확인 등을 확보하여야 하며, 전화를 통해 구두로 확인해선 안 된다.


==각주==
==각주==

Revision as of 15:33, 20 June 2022

암기 사항

법률 근거

  • 정보통신망법 제47조(정보보호 관리체계의 인증)
  • 정보통신망법 제47조의2(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관의 지정취소 등)
  • 정보통신망법 시행령 제47조(정보보호 관리체계 인증의 방법ㆍ절차ㆍ범위 등)
  • 정보통신망법 시행령 제48조(정보보호 관리체계 인증의 수수료)
  • 정보통신망법 시행령 제49조(정보보호 관리체계 인증 대상자의 범위)
  • 정보통신망법 시행령 제51조(인증의 사후관리)
  • 정보통신망법 시행령 제52조(인증표시 및 홍보)
  • 정보통신망법 시행령 제53조(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관의 지정기준)
  • 정보통신망법 시행령 제53조의2(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관의 지정절차 등)
  • 정보통신망법 시행령 제53조의3(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관 지정의 유효기간)
  • 정보통신망법 시행령 제53조의4(정보보호 관리체계 인증기관 및 정보보호 관리체계 심사기관의 사후관리)
  • 정보통신망법 시행령 제54조(지정취소 등의 기준)
  • 개인정보 보호법 제32조의2(개인정보 보호 인증)
  • 개인정보 보호법 시행령 제34조의2(개인정보 보호 인증의 기준ㆍ방법ㆍ절차 등)
  • 개인정보 보호법 시행령 제34조의3(개인정보 보호 인증의 수수료)
  • 개인정보 보호법 시행령 제34조의4(인증취소)
  • 개인정보 보호법 시행령 제34조의5(인증의 사후관리)
  • 개인정보 보호법 시행령 제34조의6(개인정보 보호 인증 전문기관)
  • 개인정보 보호법 시행령 제34조의7(인증의 표시 및 홍보)
  • 개인정보 보호법 시행령 제34조의8(개인정보 보호 인증심사원의 자격 및 자격 취소 요건)

기간 등 숫자

  • ISMS 의무대상자 인증 의무 취득기간은 차년도 8.31.까지
  • 보완조치 기간 40일, 재조치 요구기간 60일 (총 100일)
  • 심사결과에 대한 이의신청 15일 이내
  • 심사위원회 후 30일 이내 보완조치 요구
  • 사후심사 1년 주기
  • 갱신심사 3년 주기
  • 갱신심사는 유효기간 만료 3개월 전에 신청

헷갈리는 심사 기준

아래는 문제집에서 발췌되거나 토론을 통해 취합되는 내용이므로, 실제 KISA의 인증심사원 문제의 해석 방향과 일치하지 않을 수 도 있음

기타 오답

아래 내용은 모두 틀린 오답임

  • 인증기관은 인증만 수행 가능하며, 심사기관은 심사만 수행 가능하도록 권한을 분리하여 운영한다.
  • 인증위원회는 정보통신망법 시행령 제47조 및 개인정보 보호법 시행령 제34조의2에 따라 심사기관에서 인증심사 결과 등을 심의하고 의결하기 위해 운영하는 조직이다.
  • 정보보호 관리체계 인증 의무 대상자 중 개인정보를 취급하는 사업자는 정보보호 및 개인정보보호관리체계 인증을 받아야 한다.
  • 휴면회원의 로그인을 위해 아이디, 비밀번호는 원본 DB에 그대로 남겨 두는 것은 3.4.3 휴면이용자 관리 결함이다.
  • 조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 분기별 1회 이상 위험을 평가하여야 한다.
  • 미성년자 개인정보 수집을 위해선 우선 미성년자 법정 대리인에게 수집 동의를 받은 후 필요최소한의 이름, 연락처를 수집하여야 하며, 미성년자 개인정보 수집 완료 후 파기해야 한다.
  • 미성년자의 개인정보 수집을 위해 법정대리인의 실제 날인, 전자서명, 본인확인 등을 확보하여야 하며, 전화를 통해 구두로 확인해선 안 된다.

각주