ISMS-P 주요 암기사항
암기 사항
ISMS-P 제도 관련 기간 등 숫자
- ISMS 의무대상자 인증 의무 취득기간은 차년도 8.31.까지
- 보완조치 기간 40일, 재조치 요구기간 60일 (총 100일)
- 심사결과에 대한 이의신청 15일 이내
- 심사위원회 후 30일 이내 보완조치 요구
- 사후심사 1년 주기
- 갱신심사 3년 주기
- 갱신심사는 유효기간 만료 3개월 전에 신청
주요 법률상 암기사항
법률적인 암기사항들은 상당 비율이 개인정보 보호와 관련되어 나온다. CPPG 공부를 했다면 큰 도움이 될 수도 있다. 개인정보 보호 분야가 일반적인 보안 분야보다 법에서 정해진대로 수행하는 정형화된 부분이 많고 법령 및 고시에서 몇가지를 정하여 나열하고 있는 경우가 많기 때문에 문제를 출제하기가 수월하다.
개인정보 수집·이용 동의 시 고지 정보
- 개인정보의 수집·이용 목적
- 수집하려는 개인정보의 항목
- 개인정보의 보유 및 이용기간
- 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
서면 동의 시 중요하게 표시하여야 하는 내용
- 개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
- 처리하는 개인정보 항목 중 민감정보, 여권번호, 운전면허번호, 외국인등록번호
- 개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)
- 개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적
서면 동의 시 중요한 내용의 표시 방법
- 글씨의 크기는 최소한 9포인트 이상으로서 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 할 것
- 글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것
- 동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것
정보주체 이외로부터의 수집 시 통지 대상
- 5만 명 이상 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 자
- 100만 명 이상의 정보주체에 관한 개인정보를 처리하는 자
정보주체 이외로부터의 수집 시 통지 항목
- 개인정보의 수집 출처
- 개인정보의 처리 목적
- 개인정보 처리의 정지를 요구할 권리가 있다는 사실
정보주체 이외로부터의 수집 시 통지 시기
- (기본) 개인정보를 제공받는 날로부터 3개월 이내
- (예외) 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는
- 제공받은 날부터 3개월 이내에 통지하거나
- 그 동의를 받은 날부터 기산하여 연 1회 이상 통지
법률에 따라 주민등록번호를 수집 가능한 경우[1]
- 법률·대통령령·국회규칙·대법원규칙·헌법재판소 규칙·중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
- 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
- 주민등록번호 처리가 불가피한 경우로서 개인 정보보호위원회가 고시로 정하는 경우
- 본인확인기관으로 지정받은 경우
- 「전기통신사업법」 제38조제1항에 따라 기간 통신사업자로부터 이동통신서비스 등을 제공받아 재판매하는 전기통신사업자가 제23조의3에 따라 본인확인기관으로 지정받은 이동통신사업자의 본인확인업무 수행과 관련하여 이용자의 주민 등록번호를 수집·이용하는 경우
개인정보 처리방침 포함 항목
- 개인정보의 처리 목적
- 처리하는 개인정보의 항목
- 개인정보의 처리 및 보유 기간
- 개인정보의 제3자 제공에 관한 사항(해당하는 경우에만 정한다)
- 개인정보의 파기에 관한 사항
- 개인정보 처리 수탁자 담당자 연락처, 수탁자의 관리 현황 점검 결과 등 개인정보처리 위탁에 관한 사항(해당하는 경우에만 정한다)
- 영 제30조제1항에 따른 개인정보의 안전성 확보조치에 관한 사항
- 개인정보의 열람, 정정·삭제, 처리정지 요구권 등 정보주체의 권리·의무 및 그 행사방법에 관한 사항
- 개인정보 처리방침의 변경에 관한 사항
- 개인정보 보호책임자에 관한 사항
- 개인정보의 열람청구를 접수·처리하는 부서
- 정보주체의 권익침해에 대한 구제방법
내부 관리계획 포함 사항
- 개인정보 보호책임자의 지정에 관한 사항
- 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
- 개인정보취급자에 대한 교육에 관한 사항
- 접근 권한의 관리에 관한 사항
- 접근 통제에 관한 사항
- 개인정보의 암호화 조치에 관한 사항
- 접속기록 보관 및 점검에 관한 사항
- 악성프로그램 등 방지에 관한 사항
- 물리적 안전조치에 관한 사항
- 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
- 개인정보 유출사고 대응 계획 수립·시행에 관한 사항
- 위험도 분석 및 대응방안 마련에 관한 사항
- 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
- 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
- 그 밖에 개인정보 보호를 위하여 필요한 사항
개인정보 이용 내역 통지 대상
- 전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일평균 100만 명 이상이거나,
- 정보통신서비스 부문 전년도(전 사업연도) 매출액이 100억 원 이상인 정보통신서비스제공자등
개인정보 이용 내역 통지 방법 및 예외
- 통지 주기: 연 1회 이상
- 통지 방법: 전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 어느 하나의 방법
- 통지 예외: 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우
개인정보 이용내역 통지 항목
- 개인정보의 수집·이용 목적 및 수집한 개인정보의 항목
- 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목[2]
개인정보 유출 시 통지 및 신고 의무 및 기한
- (정보주체 통지) 유출 건수와 상관 없이 지체 없이 통지
- (정부당국 신고) 유출된 정보주체의 수가 1천명 이상인 경우[3]
- (홈페이지 게시) 유출된 정보주체의 수가 1천명 이상인 경우
개인정보 유출 시 통지 항목
- 유출등이 된 개인정보 항목
- 유출등이 발생한 시점과 경위
- 이용자가 피해를 최소화하기 위해 취할 수 있는 조치
- 정보통신서비스 제공자등의 대응 조치
- 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
공개된 장소에 영상정보처리기기를 설치·운영할 수 있는 경우[4]
- 법령에서 구체적으로 허용하고 있는 경우
- 범죄의 예방 및 수사를 위하여 필요한 경우
- 시설안전 및 화재 예방을 위하여 필요한 경우
- 교통단속을 위하여 필요한 경우
- 교통정보의 수집·분석 및 제공을 위하여 필요한 경우
영상정보처리기기 설치 시 안내판에 포함시킬 사항[5]
- 설치 목적 및 장소
- 촬영 범위 및 시간
- 관리책임자 이름 및 연락처
- 위탁받은 자의 명칭 및 연락처(영상정보처리기기 설치·운영 사무 위탁 시)
영상정보처리기기 운영·관리 방침에 포함될 사항
- 영상정보처리기기의 설치 근거 및 설치 목적
- 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위
- 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람
- 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법
- 영상정보처리기기운영자의 영상정보 확인 방법 및 장소
- 정보주체의 영상정보 열람 등 요구에 대한 조치
- 영상정보 보호를 위한 기술적ㆍ관리적 및 물리적 조치
- 그 밖에 영상정보처리기기의 설치ㆍ운영 및 관리에 필요한 사항
가명처리하여 정보주체 동의 없이 사용 가능한 분야
- 통계 작성 (시장조사 등 상업적 목적의 통계작성을 포함)
- 과학적 연구 (산업적 연구를 포함)
- 공익적 기록보존
개인정보 보호책임자 지정 기준
- 공공기관
- 헌법기관 및 중앙행정기관: 고위공무원[6]
- 정무직공무원이 장인 기관: 3급 이상 공무원
- 고위공무원이 장인 기관: 4급 이상 공무원
- 시도·교육청: 3급 이상 공무원
- 시군·자치구: 4급 이상 공무원
- 각급 학교: 해당 학교의 행정사무를 총괄하는 사람
- 그 외 공공기관등: 개인정보 처리 관련 업무를 담당하는 부서의 장
- 그 외
- 사업주 또는 대표자
- 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
정보보호최고책임자를 임원으로 지정해야 하는 경우
- 직전 사업연도 말 기준 자산총액이 5조원 이상인 자
- ISMS 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 5천억원 이상인 자
망분리 의무 대상[7]
- 정보통신서비스 제공자 등
- 전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 이상 또는 정보통신서비스부문 전년도 매출액이 100억 원 이상
- 개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우엔 망 분리
- 전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 이상 또는 정보통신서비스부문 전년도 매출액이 100억 원 이상
- 금융회사
- 본인신용정보관리업자(마이데이터 사업자)
암호화 대상[8]
구분 | 개인정보처리자 | 정보통신서비스 제공자 |
---|---|---|
정보통신망을 통한 전송 시 | 고유식별정보, 비밀번호, 생체인식정보 | 개인정보, 인증정보 |
보조저장매체로 저장·전달 시 | 고유식별정보, 비밀번호, 생체인식정보 | 개인정보 |
개인정보 처리시스템 저장 시 | 주민등록번호, 비밀번호, 생체인식정보 (다만 비밀번호는 일방향 암호화) | |
- | 신용카드번호, 계좌번호 | |
여권번호, 외국인등록번호, 운전면허번호
인터넷구간, DMZ 저장 시 암호화 저장 내부망 저장 시 암호화 저장 또는 위험도 분석 (또는 영향평가) |
여권번호, 외국인등록번호, 운전면허번호 | |
업무용 컴퓨터/ 모바일 기기 저장 시 | 고유식별정보, 비밀번호, 생체인식정보 | 개인정보 |
안전한 암호화 알고리즘
구분 | 안전한 알고리즘 | 안전하지 않은 알고리즘 |
---|---|---|
대칭키 암호 알고리즘 | SEED, ARIA-128/192/256, AES-128/192/256, HIGHT, LEA 등 | DES, RC4 |
공개키 암호 알고리즘 | RSAES-OAEP, RSAES-PKCS1 등 | (키 길이 기준)[9] |
일방향 암호 알고리즘 | SHA-256/384/512 등 | SHA-1, MD5 |
주요 기술적 암기사항
사실 기술 관련 문제는 정해진 범위는 없으나 대략 보안산업기사 필기 수준의 문제 범위는 모두 포함된다고 봐야 한다. 보안기사나 보안산업기사 책을 훑어 보거나, 만약 취득하지 않았다면 같이 공부해서 취득하는 것도 도움이 될 수 있다.
- 리눅스 유저 로그
- 리눅스 권한
- 777, 644 등이 어떤 의미를 가지는지 알고 있어야 한다.
- 권한을 다루는 단순 질의형 기술 문제로 출제되기도 하고, 사례에서 이를 알아야 결함을 찾을 수 있는 경우가 있을 수 있다.
- 리눅스 shadow
헷갈리는 심사 기준
결함을 찾는 문제가 헷갈리는 이유는 1. 일부 심사가준에 제목으로 유추하기 힘든 확인사항들이 포함된 경우, 2. 하나의 원인으로 인해 여러 심사기준상의 결함이 발생한 경우가 많기 때문이다. 1번의 경우엔 심사 기준을 정독함으로써 어느 정도 해결이 가능하나, 2번은 가장 근본 적인 원인(root cause)이 되는 결함을 찾는 매커니즘의 이해와 훈련이 필요하다. 모의고사 등을 통해 하나의 원인으로 여러 기준상의 결함이 발생하는 사례들을 확인하고, 해설지 등을 통해 root cause를 찾는 방법을 파악해야 한다. 이는 중복되는 기준들에 따라 판단 근거가 매번 달라지므로 일관된 규칙이나 공식은 없다. 심지어는 심사 현장에서 관례적으로 이루어지는 내용들도 있으므로 사례를 많이 접하고 익히는 것이 중요하다.
제목으로 유추가 어려운 심사 기준
- 세션 타임아웃 설정.
- 취약한 서비스 및 포트 관리
- 주요 서비스 독립 서버 운영
- 테이블 목록 등 정보 식별
중첩된 심사 기준 판단 사례
아래 내용들은 실제 심사 사례나 모의고사 등을 통해 헷갈리는 사례들을 모아 놓은 것이니 참고할 것. 다만, 사적인 경험이나 문제집에서 도출된 것이며 KISA의 공식 확인이 있었던 것은 아니라 실제 KISA의 인증심사원 문제의 해석 방향과 일치하지 않을 수 도 있으니 주의할 것. 의구심이 있는 내용이 있으면 서로 편집하거나 토론을 통해 해결할 수 있다.
- 잘못 구성된(사원, 대리급으로만 구성) 정보보호위원회의 의결로 정보보호 정책이 수립되어 경영진 보고 없이 정책이 배포된 경우,
- (참고) 관련 인증 기준
- 잘못된 정보보호위원회 구성 = ISMS-P 인증 기준 1.1.3.조직 구성
- 잘못된 정보보호 정책 수립 = ISMS-P 인증 기준 1.1.5.정책 수립
- 경영진 보고 누락 = ISMS-P 인증 기준 1.1.1.경영진의 참여
- 잘못된 보호대책 공유 = ISMS-P 인증 기준 1.3.2.보호대책 공유
- (정답 및 해설)
- 인과 관계상 명백히 잘못 구성된 정보보호위원회(조직)의 결정에 따라 발생한 문제이므로, 현 사안에선 가장 근본적인 조직 구성 결함 사례로 봄
- ISMS-P 인증 기준 1.1.3.조직 구성
- (참고) 관련 인증 기준
- 잘못된 배포과정을 통해 업데이트된 시스템이 운영에 배포되어 장애가 발생한 경우,
- (참고) 관련 인증 기준
- 잘못된 배포 과정 = ISMS-P 인증 기준 2.9.1.변경관리
- 잘못된 운영 반영 = ISMS-P 인증 기준 2.8.6.운영환경 이관
- (정답 및 해설)
- 운영환경 이관은 절차적인 계획 수립 및 기본적인 이행 여부의 관점이며, 변경관리는 실무적인 검토 실패에 관한 관점이 강하다.
- 배포 과정에서 실무적으로 과실이 있었던 경우 대부분 변경관리 결함 사례로 처리된다.
- ISMS-P 인증 기준 2.9.1.변경관리
- (참고) 관련 인증 기준
- 업무용 단말에 보안 프로그램들이 설치되어 있으나, 잘못된 예외처리로 보안 결함이 발생한 경우,
- (참고) 관련 인증 기준
- 잘못된 단말 보안 = ISMS-P 인증 기준 2.10.6.업무용 단말기기 보안
- 잘못된 예외처리 운영 = ISMS-P 인증 기준 2.10.1.보안시스템 운영
- (정답 및 해설)
- 업무용 단말기에 필요한 보안 프로그램들이 설치되어 있는 지에 관한 것은 2.10.6의 관점이나,설치되어 있는 프로그램들에 대한 잘못된 운용은 2.10.1에 해당함
- ISMS-P 인증 기준 2.10.1.보안시스템 운영
- (참고) 관련 인증 기준
- 불가피한 사유로 운영 데이터를 시험 데이터로 임시 사용했으나 프로젝트 종료 후 파기하지 않은 경우.
- (참고) 관련 인증 기준
- 시험 데이터 변환, 실 데이터 사용 시 사용 후 파기 = ISMS-P 인증 기준 2.8.4.시험 데이터 보안
- 개인정보 처리목적 달성 시 파기 = ISMS-P 인증 기준 3.4.1.개인정보의 파기
- (정답 및 해설)
- 불가피한 경우 운영 데이터를 시험 데이터로 사용할 수는 있으나 시험 후 데이터 삭제를 철저히 하여야 한다.
- 3.4.1 개인정보의 파기는, 주로 목적에 따라 활용된 데이터의 파기하는 관점에 관한 것이므로 2.8.4가 더 세부적인 측면에서 맞아 떨어짐
- ISMS-P 인증 기준 2.8.4.시험 데이터 보안
- (참고) 관련 인증 기준
- 재해복구 과정에서 개인정보가 포함된 임시 테이블이 생성되었으나 작업 후 삭제되지 않은 채 방치된 경우
- (참고) 관련 인증 기준
- (정답 및 해설)
- 결과적으로 파기되어야 하는 개인정보가 파기되지 않은 문제가 발생하였을 수도 있으나, 근본적으로 재해복구 등의 과정에서 생성된 테이블 목록이 현행화되어 관리되지 못한 문제로, 테이블 목록 관리에 관한 2.6.4.데이터베이스 접근 결함이다.
- ISMS-P 인증 기준 2.6.4.데이터베이스 접근
기타 오답
아래 내용은 모두 틀린 오답임. 답은 각주로 추가 바람
- 인증기관은 인증만 수행 가능하며, 심사기관은 심사만 수행 가능하도록 권한을 분리하여 운영한다.
- 인증위원회는 정보통신망법 시행령 제47조 및 개인정보 보호법 시행령 제34조의2에 따라 심사기관에서 인증심사 결과 등을 심의하고 의결하기 위해 운영하는 조직이다.
- 정보보호 관리체계 인증 의무 대상자 중 개인정보를 취급하는 사업자는 정보보호 및 개인정보보호관리체계 인증을 받아야 한다.
- 휴면회원의 로그인을 위해 아이디, 비밀번호는 원본 DB에 그대로 남겨 두는 것은 3.4.3 휴면이용자 관리 결함이다.
- 조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 분기별 1회 이상 위험을 평가하여야 한다.
- 미성년자 개인정보 수집을 위해선 우선 미성년자 법정 대리인에게 수집 동의를 받은 후 필요최소한의 이름, 연락처를 수집하여야 하며, 미성년자 개인정보 수집 완료 후 파기해야 한다.
- 미성년자의 개인정보 수집을 위해 법정대리인의 실제 날인, 전자서명, 본인확인 등을 확보하여야 하며, 전화를 통해 구두로 확인해선 안 된다.
- 정보주체(이용자) 이외로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의 획득 책임은 개인정보처리자에게 있다.
- 정보주체 이외로부터 정보를 수집한 경우, 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 않은 경우에는 관보나 간행물 등을 통해 알릴 수 있다.
- 신용정보법에 따라 동의를 받아 개인 정보를 제공한 자로부터 수집한 개인정보 또는 법령에 따라 제공한 개인정보는 개인정보를 제공받는 날로부터 3개월 이내 개인에게 알려야 한다.
- 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 경우 수신자의 명시적인 사전 동의를 받고, 1년 마다 정기적으로 수신자의 수신동의 여부를 확인하여야 한다.[10]
- 정기적 수신동의 확인 시 수신자가 아무런 의사표시를 하지 않는 경우에는 수신동의 의사가 철회된 것으로 본다.[11]
- 업무용으로 노트북을 사용하고 있지만 노트북을 업무용 PC에 준하여 관리하고 있는 경우 기존 PC의 보안 지침을 준용하고 모바일 기기에 대한 별도 기준은 마련하지 않아도 된다.[12]
- 통제구역 중 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 경우 제한구역으로 설정하여 관리하여야 한다.[13]
각주
- ↑ 안내서에서 명시한 개인정보 보호법, 정보통신망법의 사항만 기술하였다. 금융실명제법, 소득세법 등 개별 법률에서 규정한 경우들이 많으며, 이들 모두 아래의 1번 사항에 해당한다.
- ↑ 다만 「통신비밀보호법」 제13조, 제13조의2, 제13조의4 및 「전기통신사업법」 제83조제3항에 따라 제공한 정보는 제외
- ↑ 개인정보보호위원회 또는 한국인터넷진흥원에 신고
- ↑ 아래에도 불구하고 목용탕, 탈의실 등 사생활을 현저히 침해할 수 있는 경우엔 설치 불가. 그럼에도 불구하고 교도소 등 특수 시설엔 예외적으로 허용됨
- ↑ 군사시설, 국가 중요시설, 국가보안 시설은 안내판을 설치하지 않을 수 있음
- ↑ 그에 상당하는 공무원. 이하 공무원 직급에 관한 모든 케이스에서 동일하다.
- ↑ 여러 수험서에서 공공기관을 대상으로 한 결함 사례를 찾는 문제가 나오면 망분리를 지적하는 지문은 잘못된 지문으로 취급된다. 이는 대부분의 공공기관들이 아래 요건에 충족이 안 되기 떄문인데, 실제론 공공기관 중에서도 정보통신서비스 제공자나 금융회사 등의 대상이 될 있을 수 있으므로 주의해야 한다.
- ↑ 개인정보 보호법에 따른 암호화 대상 개인정보 한정
- ↑ 현재 일반적으로 사용되는 공개키 알고리즘 중 알고리즘 자체가 취약하다고 평가된 경우는 없으나 키 길이가 2048 미만일 경우 안전하지 않은 것으로 본다.
- ↑ ISMS-P 인증 기준 3.1.7.홍보 및 마케팅 목적 활용 시 조치에 따르면 정기적 수신동의는 2년에 한번씩 받을 수 있다.
- ↑ ISMS-P 인증 기준 3.1.7.홍보 및 마케팅 목적 활용 시 조치에 따르면 수신자가 아무런 의사표시를 하지 않은 경우 동의를 유지하는 것으로 본다.
- ↑ ISMS-P 인증 기준 2.10.6.업무용 단말기기 보안에 따르면 업무적인 목적으로 모바일기기를 사용하고 있으면 모바일 기기에 대한 기준, 정책이 마련되어 있어야 한다. PC와 동일하게 보안 프로그램들을 설치한다고 동등한 기준으로 운용한다고 주장 하더라도 휴대성이 있는 업무용 기기이므로 최소한의 별도 기준이 필요하다.
- ↑ 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 곳이 통제구역이다. 제한구역은 통제구역보다 낮은 단계의 보호구역이다. (관련 항목: ISMS-P 인증 기준 2.4.1.보호구역 지정)