익명 사용자
로그인하지 않음
토론
기여
계정 만들기
로그인
IT위키
검색
ISMS-P 인증심사원 인증 기준 풀이
편집하기 (부분)
IT위키
이름공간
문서
토론
더 보기
더 보기
문서 행위
읽기
편집
원본 편집
역사
경고:
로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다.
로그인
하거나
계정을 생성하면
편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.
스팸 방지 검사입니다. 이것을 입력하지
마세요
!
== 제목으로 유추가 어려운 인증 기준 == 아래 내용들은 암기가 필요하다. 세션 타임아웃에 관한 내용이 문제로 나왔을 경우, 상식적으로 "응용프로그램 접근"이나 "정보시스템 접근"과 같은 "접근 통제"와 관련되어 보이는 제목의 인증 기준이 답일 것이라고 유추하기 힘들다. 인증 기준들을 꼼꼼히 읽어보았거나, 역으로 깊게 생각해보면 시스템에 오랫동안 로그인이 유지되어 있으면 자리를 비운 사이 누군가가 접근을 할 수 있게 되는 등의 접근 통제와 관련되었다고 볼 수 있지만, 훈련이 되어 있지 않다면 실전에선 다른 항목에서 결함을 찾으려고 할 가능성도 매우 높기 때문이다. ■ [[ISMS-P 인증 기준 1.1.3.조직 구성|'''1.1.3.조직 구성''']] *조직이 구성되어 있으나 조직이 구성만 되어 있고 운영되지 않는 경우도 포함됨 ■ [[ISMS-P 인증 기준 2.6.3.응용프로그램 접근|'''2.6.3.응용프로그램 접근''']] *중요정보의 필요최소한의 노출 구현 *세션 타임아웃 설정 ■ [[ISMS-P 인증 기준 2.6.2.정보시스템 접근|'''2.6.2.정보시스템 접근''']] *세션 타임아웃 설정 *불필요한 포트 식별 *주요 서비스 독립 서버 운영 ■ [[ISMS-P 인증 기준 2.6.4.데이터베이스 접근|'''2.6.4.데이터베이스 접근''']] *테이블 목록 등 정보 식별 ■ [[ISMS-P 인증 기준 2.8.6.운영환경 이관|'''2.8.6.운영환경 이관''']] * 소스코드를 운영 환경에 두지 않기<ref>소스코드 뿐만 아니라 운영서버에 서비스 실행에 불필요한 파일(배포모듈, 백업본, 개발 관련 문서, 매뉴얼 등) 모두 해당</ref> ■ [[ISMS-P 인증 기준 2.10.1.보안시스템 운영|'''2.10.1.보안시스템 운영''']] * VPN 등 보안시스템에 해당되는 시스템의 계정 관리 미흡 ■ [[ISMS-P 인증 기준 2.10.8.패치관리|'''2.10.8.패치관리''']] * 패치관리시스템의 접근 통제 ■ '''가상자산 사업자의 [[ISMS-P 인증 기준 1.2.3.위험 평가|1.2.3.위험 평가]]''' * 가상자산 사업자의 경우 위험평가 대상으로 다음을 포함한다. ** CEO 사망, 내부유출, 부정거래, 자연재해, 키 분실, 월렛서버 탈취, 멀티시그 제공 여부, 콜드월렛과 핫월렛의 보유액 비율. 노드서버 네트워크 접근 제어 * 자칫 1.2.1 정보자산 식별, 2.6.1 네트워크 접근, 2.6.2 정보시스템 접근, 2.5.2 사용자 인증 등의 결함으로 보일 수 있다. * 하지만 가상자산 사업자이고, 파악되지 않은 위협들이 여러가지 등장하는 경우 1.2.3이 정답일 확률이 높다. ■ '''2,6.*이 아님에도 접근통제를 포함한 인증 기준''' * 네트워크, 정보시스템, 응용프로그램 등 접근통제에 관한 인증 기준들은 [[ISMS-P 인증 기준 2.6.접근통제]]에 몰려 있지만 그 외의 항목에서 특정 대상에 대한 접근통제가 요구되는 경우가 있다. 접근통제에 대한 모든 결함은 2.6 접근통제 기준 중 하나에 포섭이 가능하지만, 의외로 제목으론 유추가 안되는 기준에 접근통제가 요구사항이 정의되어 있어 그 기준이 답이 되는 경우도 있으니 세부 내용을 잘 확인하여야 한다. * '''[[ISMS-P 인증 기준 2.10.1.보안시스템 운영]]''' ** 보안시스템에 대한 접근 통제 * '''[[ISMS-P 인증 기준 2.10.8.패치관리]]''' ** PMS를 운영하는 경우 PMS에 대한 접근 통제 * '''[[ISMS-P 인증 기준 2.9.3.백업 및 복구관리]]''' ** 백업 매체 및 장소에 대한 접근 통제 ■ '''3.*.*이 아님에도 외에 개인정보 보호를 포함한 인증 기준''' * 개인정보 보호와 관련된 인증 기준들은 모두 [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항]]에 있다. 이는 ISMS-P가 아닌 ISMS에는 적용되지 않는 인증 기준들이다. 하지만 ISMS를 받는 경우에도 개인정보와 관련된 일부 요구사항들이 포함되어 있어 ISMS만 받는 상황에서 개인정보 관련 결함이 나올 경우 해당 인증 기준을 선택하여야 한다. * '''[[ISMS-P 인증 기준 2.10.1.보안시스템 운영]]''' ** 개인정보처리시스템에 대한 불법적인 접근 및 개인정보 유출 방지를 위하여 법령에서 정한 기능을 수행하는 보안시스템을 설치·운영 * '''[[ISMS-P 인증 기준 2.6.3.응용프로그램 접근]]''' ** 개인정보의 Like 검색 금지 * '''[[ISMS-P 인증 기준 2.6.6.원격접근 통제]]''' ** 개인정보처리시스템의 관리·운영·개발·보안 등을 목적으로 원격으로 직접 접속하는 단말기(관리용 단말기)에 대하여 보호조치를 적용 * [[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험|'''ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험''']] ** 공공기관 개인정보 영향평가 대상인데 수행하지 못한 경우 ** 이런 다른 법률 준수 여부, 예를 들어 '''[[개인정보 손해배상 책임보험|개인정보 배상책임 보험]]'''이나 [[정보보호 공시 제도|'''정보보호 공시''']] 대상인데 이를 이행하지 않은 경우엔 [[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토|'''1.4.1.법적 요구사항 준수 검토''']] 결함이나, 개인정보 영향평가는 법적 요구사항인 동시에 보안 요구사항 검토와 직결된 문제이므로 1.4.1이 아닌 2.8.2라는 점을 기억해야 함 ** 또한 2.8.2는 대부분 [[ISMS-P 인증 기준 2.8.1.보안 요구사항 정의|'''2.8.1.보안 요구사항 정의''']]에서 정의된 보안 요구사항을 제대로 검토하고 시험하지 못한 경우에 대한 결함을 다루나, 개인정보 영향평가는 따로 정의할 필요가 없는 법적 요구사항이라 '개인정보 영향평가를 해야한다'라는 사실조차 누락한 경우라도 2.8.1이 아닌 2.8.2 결함임
요약:
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는
IT위키:저작권
문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다.
저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소
편집 도움말
(새 창에서 열림)
둘러보기
둘러보기
대문
최근 바뀜
분류별 보기
일반 IT용어
프로젝트 관리
디지털 서비스
블록체인
인공지능
소프트웨어 공학
운영체제
컴퓨터 구조
자료 구조
데이터 과학
데이터베이스
네트워크
프로토콜
보안
컴플라이언스
개인정보보호
표준
경영학
기업 IT
조직/단체
광고
위키 도구
위키 도구
특수 문서 목록
문서 도구
문서 도구
사용자 문서 도구
더 보기
여기를 가리키는 문서
가리키는 글의 최근 바뀜
문서 정보
문서 기록