익명 사용자
로그인하지 않음
토론
기여
계정 만들기
로그인
IT위키
검색
ISMS-P 인증심사원 인증 기준 풀이
편집하기 (부분)
IT위키
이름공간
문서
토론
더 보기
더 보기
문서 행위
읽기
편집
원본 편집
역사
경고:
로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다.
로그인
하거나
계정을 생성하면
편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.
스팸 방지 검사입니다. 이것을 입력하지
마세요
!
== 유사한 인증 기준 == * [[ISMS-P 인증 기준 1.1.3.조직 구성|'''1.1.3.조직 구성''']] vs [[ISMS-P 인증 기준 1.1.6.자원 할당|'''1.1.6.자원 할당''']] ** 전문성 있는 인력이 채용이든 아웃소싱이든 확보되어 있지 않다는 내용이 확인되면 1.1.6 결함 ** 전문성 있는 인력의 부재를 알고 있으나 회사 사정상 할당을 해주지 못했다는 내용이 확인되면 1.1.6 결함 ** 다른 단서 없이 보안·개인정보 조직의 인력 구성이 전문성이 없는 경우 1.1.3 결함 * [[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토|'''1.4.1 법적 요구사항 준수 검토''']] vs [[ISMS-P 인증 기준 2.1.1.정책의 유지관리|'''2.1.1.정책의 유지관리''']] * [[ISMS-P 인증 기준 1.2.4.보호대책 선정|'''1.2.4.보호대책 선정''']] vs [[ISMS-P 인증 기준 1.3.1.보호대책 구현|'''1.3.1.보호대책 구현''']] ** [[ISMS-P 인증 기준 1.2.3.위험 평가|1.2.3.위험 평가]] -> [[ISMS-P 인증 기준 1.2.4.보호대책 선정|'''1.2.4.보호대책 선정''']] -> [[ISMS-P 인증 기준 1.3.1.보호대책 구현|'''1.3.1.보호대책 구현''']]으로 이어진다. ** 위험평가 결과에 맞는 보호대책을 선정하고 이행 계획을 승인 받는 과정이 미흡할 경우엔 1.2.4 ** 선정된 보호대책이 일부 이행되지 않았거나 미흡하게 이행된 경우 1.3.1 * [[ISMS-P 인증 기준 1.4.2.관리체계 점검|'''1.4.2.관리체계 점검''']] vs [[ISMS-P 인증 기준 1.4.3.관리체계 개선|'''1.4.3.관리체계 개선''']] ** 관리체계 점검에 따른 문제점이 제대로 고쳐지지 않은 경우 1.4.3이라고 쉽게 생각할 수 있으나, 1.4.2 결합인 경우가 더 많다. ** 1.4.2는 관리체계의 점검뿐만 아니라 기본적인 이행 및 조치 결과 보고까지의 범위를 아우른다. ** 1.4.3의 경우 반복적으로 발생하는 문제에 대해 근본적인 해결을 하는 것을 주안점으로 한다. 즉 단순히 점검 결과의 미이행은 1.4.2에 해당한다. * '''[[ISMS-P 인증 기준 2.3.1.외부자 현황 관리|2.3.1.외부자 현황 관리]]''' vs '''[[ISMS-P 인증 기준 2.3.3.외부자 보안 이행 관리|2.3.3.외부자 보안 이행 관리]]''' ** 외부자에 대한 보호 대책이 적용 되어 있는 상태에서 이행이 안 될 경우엔 2.3.3, 외부자에 대한 보안 대책이 마련되어 있지 않은 경우 2.3.1이다. ** '몰랐다.', '현실적으로 관리가 어렵다' 등의 내용이 나오면 2.3.3에 해당한다. * [[ISMS-P 인증 기준 3.1.1.개인정보 수집 제한|'''3.1.1 개인정보 수집 제한''']] vs [[ISMS-P 인증 기준 3.1.2.개인정보의 수집 동의|'''3.1.2 개인정보 수집 동의''']] * [[ISMS-P 인증 기준 2.8.1.보안 요구사항 정의|'''2.8.1.보안 요구사항 정의''']] vs [[ISMS-P 인증 기준 2.7.1.암호정책 적용|'''2.7.1.암호정책 적용''']] vs [[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토|'''1.4.1.법적 요구사항 준수 검토''']] ** 안전한 암호화 알고리즘 사용은 법적 요구사항이지만, 2.7.1 기준이 별도로 있기 때문에 취약한 암호화 알고리즘 사용은 2.7.1 결함이다.<ref>단, 오래전에 제정된 규정이, 개정되지 않아 취약해진 경우라면 [[ISMS-P 인증 기준 2.1.1.정책의 유지관리|2.1.1.정책의 유지관리]] 결함일수도 있다. (안전한 암호화 알고리즘의 기준 정립은 꽤 오래 전에 이루어졌으므로 그럴 가능성이 낮긴 함)</ref> ** 2.8.1에서 개발 보안 표준을 다루고 있으며, 개발 보안 표준에서 취약한 암호화 알고리즘이 명기되어 있다면 이는 2.8.1 결함이다. 마찬가지로 보안성 검토 기준이 법적 요구사항을 충족하지 못하는 경우에도 2.8.1 위반이 될 수 있다.<ref>코딩 표준의 암호화 알고리즘이 법적 요구사항을 충족하지 못하는 경우엔 2.8.1 결함이라고 안내서에 명확히 나와있다. 그 외에 보안성 검토 기준들이 법적 요구사항을 충족하지 못하는 경우엔 상황을 더 따져보아야 한다. (2.8.1에 따른 타당성 검토 및 인수 절차에 해당하는지, 유지관리의 문제는 아닌지 등)</ref> * [[ISMS-P 인증 기준 2.8.3.시험과 운영 환경 분리|'''2.8.3.시험과 운영 환경 분리''']] vs [[ISMS-P 인증 기준 2.8.5.소스 프로그램 관리|'''2.8.5.소스 프로그램 관리''']] vs [[ISMS-P 인증 기준 2.8.6.운영환경 이관|'''2.8.6.운영환경 이관''']] ** 세가지 인증기준에 모두 운영계에 소스코드가 존재하거나 운영환경(운영계)에서 소스코드가 다루어지는 것에 대한 내용이 있다. ** 2.8.3의 경우 운영환경(운영계)에서 직접 개발을 하지 말라는 것이 주안점이며 ** 2.8.5의 경우 운영환경(운영계)에서 소스코드를 보관 및 관리하지 말라는 것<ref>Java 등 응용 프로그램 개발 시엔 상황이 이해가 어려울 수 있으나, 웹 프로그램, 특히 컴파일이 없는 PHP 등의 개발 환경에서는 운영계에 소스코드가 존재할 수 밖에 없고, 가장 최신화된 소스가 운영계에 있는 소스이다. 소규모 조직의 경우 개발자 PC-운영계 소스코드만으로 소스코드 동기화, 관리 및 개발 반영이 이루어질 수 있는데, 이렇게 하지 말고 [[Git]]이든 [[SVN]]이든 별도 레파지토리를 운영하라는 것이다.</ref>이 주안점이고 ** 2.8.6의 경우 운영환경(운영계)엔 운영에 필요한 파일 외에는 올리지 말라는 것이 주안점이다.
요약:
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는
IT위키:저작권
문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다.
저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소
편집 도움말
(새 창에서 열림)
둘러보기
둘러보기
대문
최근 바뀜
분류별 보기
일반 IT용어
프로젝트 관리
디지털 서비스
블록체인
인공지능
소프트웨어 공학
운영체제
컴퓨터 구조
자료 구조
데이터 과학
데이터베이스
네트워크
프로토콜
보안
컴플라이언스
개인정보보호
표준
경영학
기업 IT
조직/단체
광고
위키 도구
위키 도구
특수 문서 목록
문서 도구
문서 도구
사용자 문서 도구
더 보기
여기를 가리키는 문서
가리키는 글의 최근 바뀜
문서 정보
문서 기록