ISMS-P 주요 암기사항

From IT Wiki
Revision as of 22:30, 26 June 2022 by 심사보 (talk | contribs)

암기 사항

ISMS-P 제도 관련 기간 등 숫자

  • ISMS 의무대상자 인증 의무 취득기간은 차년도 8.31.까지
  • 보완조치 기간 40일, 재조치 요구기간 60일 (총 100일)
  • 심사결과에 대한 이의신청 15일 이내
  • 심사위원회 후 30일 이내 보완조치 요구
  • 사후심사 1년 주기
  • 갱신심사 3년 주기
  • 갱신심사는 유효기간 만료 3개월 전에 신청

주요 법률상 암기사항

개인정보 수집·이용 동의 시 고지 정보

개인정보 처리방침 포함 항목

제3자로부터 개인정보 수집 시 통지 항목

개인정보 유출 시 통지 항목

공공장소 CCTV 설치 시 안내 사항

개인정보 보호책임자 지정 기준

정보보호최고책임자 지정 기준

헷갈리는 심사 기준

결함을 찾는 문제가 헷갈리는 이유는 1. 일부 심사가준에 제목으로 유추하기 힘든 확인사항들이 포함된 경우, 2. 하나의 원인으로 인해 여러 심사기준상의 결함이 발생한 경우가 많기 때문이다. 1번의 경우엔 심사 기준을 정독함으로써 어느 정도 해결이 가능하나, 2번은 가장 근본 적인 원인(root cause)이 되는 결함을 찾는 매커니즘의 이해와 훈련이 필요하다. 모의고사 등을 통해 하나의 원인으로 여러 기준상의 결함이 발생하는 사례들을 확인하고, 해설지 등을 통해 root cause를 찾는 방법을 파악해야 한다. 이는 중복되는 기준들에 따라 판단 근거가 매번 달라지므로 일관된 규칙이나 공식은 없다. 심지어는 심사 현장에서 관례적으로 이루어지는 내용들도 있으므로 사례를 많이 접하고 익히는 것이 중요하다.

아래 내용들은 실제 심사 사례나 모의고사 등을 통해 헷갈리는 사례들을 모아 놓은 것이니 참고할 것. 다만, 사적인 경험이나 문제집에서 도출된 것이며 KISA의 공식 확인이 있었던 것은 아니라 실제 KISA의 인증심사원 문제의 해석 방향과 일치하지 않을 수 도 있으니 주의할 것. 의구심이 있는 내용이 있으면 서로 편집하거나 토론을 통해 해결할 수 있다.

기타 오답

아래 내용은 모두 틀린 오답임. 답은 각주로 추가 바람

  • 인증기관은 인증만 수행 가능하며, 심사기관은 심사만 수행 가능하도록 권한을 분리하여 운영한다.
  • 인증위원회는 정보통신망법 시행령 제47조 및 개인정보 보호법 시행령 제34조의2에 따라 심사기관에서 인증심사 결과 등을 심의하고 의결하기 위해 운영하는 조직이다.
  • 정보보호 관리체계 인증 의무 대상자 중 개인정보를 취급하는 사업자는 정보보호 및 개인정보보호관리체계 인증을 받아야 한다.
  • 휴면회원의 로그인을 위해 아이디, 비밀번호는 원본 DB에 그대로 남겨 두는 것은 3.4.3 휴면이용자 관리 결함이다.
  • 조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 분기별 1회 이상 위험을 평가하여야 한다.
  • 미성년자 개인정보 수집을 위해선 우선 미성년자 법정 대리인에게 수집 동의를 받은 후 필요최소한의 이름, 연락처를 수집하여야 하며, 미성년자 개인정보 수집 완료 후 파기해야 한다.
  • 미성년자의 개인정보 수집을 위해 법정대리인의 실제 날인, 전자서명, 본인확인 등을 확보하여야 하며, 전화를 통해 구두로 확인해선 안 된다.
  • 정보주체(이용자) 이외로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의 획득 책임은 개인정보처리자에게 있다.
  • 정보주체 이외로부터 정보를 수집한 경우, 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 않은 경우에는 관보나 간행물 등을 통해 알릴 수 있다.
  • 신용정보법에 따라 동의를 받아 개인 정보를 제공한 자로부터 수집한 개인정보 또는 법령에 따라 제공한 개인정보는 개인정보를 제공받는 날로부터 3개월 이내 개인에게 알려야 한다.
  • 정기적 수신동의 확인 시 수신자가 아무런 의사표시를 하지 않는 경우에는 수신동의 의사가 철회된 것으로 본다.[1]

각주

  1. 수신자가 아무런 의사표시를 하지 않은 경우 동의를 유지하는 것으로 본다.