익명 사용자
로그인하지 않음
토론
기여
계정 만들기
로그인
IT위키
검색
ISMS-P 인증심사원 주요 암기사항
편집하기 (부분)
IT위키
이름공간
문서
토론
더 보기
더 보기
문서 행위
읽기
편집
원본 편집
역사
경고:
로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다.
로그인
하거나
계정을 생성하면
편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.
스팸 방지 검사입니다. 이것을 입력하지
마세요
!
== 오답 보기 암기 == '''아래 내용은 모두 틀린 오답임. 오답이라는 것은 해당 내용이 아예 틀렸거나, 아니면 해당 문장만으론 틀렸다고 단정할 수 없는 경우이다. 그냥 틀렸다는 사실 뿐만 아니라 왜 틀렸는지 알아야 한다. 그리고 맞는 말이 되기 위해 어떤 부분이 어떻게 수정되어야 하는지 알아야 한다.''' '''인증 제도 관련''' *ISMS-P 제도의 정책 기관으론 대표적으로 개인정보보호위원회, 과학기술정보통신부, 방송통신위원회, 행정안전부가 있다.<ref>행정안전부와 방송통신위원회는 [[데이터 3법]] 개정 이전의 정책기관들이며, 현재는 정책 기관이 아니다.</ref> *한국인터넷진흥원과 금융보안원은 각각 인증위원회를 구성하며, 인증위원회가 모여 인증협의회를 구성한다.<ref>인증협의회는 정책기관(과기정통부, 개인정보위)간의 협의체다.</ref> *한국인터넷진흥원과 금융보안원은 각각 인증심사 및 인증서 발급, 인증심사원 양성 및 자격관리, 제도관리 등을 수행하는 인증기관이나 금융보안원은 금융분야에 대한 제도만 관장한다.<ref>금융보안원은 제도 운영, 심사원 양성 및 자격 관리 등은 수행하지 않는다. 오로지 인증심사 및 인증서 발급역할만 하는 인증기관이다. </ref> *인증심사원, 심사기관, 인증기관의 자격을 취소하고자 하는 경우 자격심의위원회를 개최하여야 하며 자격심의위원회는 제29조의 인증위원회 위원 3인 이상을 포함하여구성한다.<ref>자격심의위원회는 인증심사원의 자격취소의 적합여부를 심의, 의결하기 위해 조직된다.(정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 - 제16조제2항)</ref> *과학정보통신부와 개인정보보호위원회는 법제도 개선 및 정책 결정, 제도 운영, 인증품질 관리, 인증기관 및 심사기관 지정 등의 업무를 수행한다.<ref>제도운영, 인증품질관리는 한국인터넷진흥원(KISA)에서 수행한다.</ref> *인증기준은 관리체계 수립 및 운영 22개, 보호대책 요구사항 64개, 개인정보 처리단계별 요구사항 16개로, 총 102개로 구성되어 있다.<ref>관리체계 수립 및 운영이 16개, 개인정보 처리단계별 요구사항이 22개이다.</ref> *하나의 원인으로 인해 다수의 결함사항이 나온 경우 심사팀장의 결정에 따라 경미한 경우엔 하나의 사항으로 갈음할 수 있다.<ref>원래 하나의 원인으로 다수의 결함이 나온 경우 가장 근본적인 원인에 관련된 사항 하나만을 결함처리 한다. 경미성을 따지거나 심사팀장이 결정할 문제가 아니다.</ref> *인증기관은 인증만 수행 가능하며, 심사기관은 심사만 수행 가능하도록 권한을 분리하여 운영한다.<ref>심사기관은 심사만 가능한 것이 맞지만 인증기관은 심사도 하고 인증도 한다.</ref> *인증위원회는 정보통신망법 시행령 제47조 및 개인정보 보호법 시행령 제34조의2에 따라 심사기관에서 인증심사 결과 등을 심의하고 의결하기 위해 운영하는 조직이다.<ref>인증위원회는 심사기관이 아니라 인증기관에서 운영한다.</ref> *정보보호 관리체계 인증 의무 대상자 중 개인정보를 취급하는 사업자는 정보보호 및 개인정보보호관리체계 인증을 받아야 한다.<ref>ISMS까지가 의무이다. 개인정보를 취급한다고 해도 ISMS까지만 받으면 되고 ISMS-P는 선택사항이다.</ref> *의무 대상자를 판별할 때 중개 쇼핑몰과 자체 쇼핑몰을 같이 운영하는 쇼핑몰은 입점료와 자체 쇼핑몰을 통한 제품 판매액을 더해 매출액을 계산한다.<ref>중개 쇼핑몰의 경우 입점료는 판매 중개수수료가 주요 매출액이다. (판매 중개수수료 + 입점료(해당하는 경우) + 자체 쇼핑몰을 통한 제품 판매액)</ref> *정보통신서비스랑 직접 연계되지 않고 데이터 복제등의 방법으로 관리되는 ERD, DW, CRM, 백업DB 등 또한 개인정보가 포함된다면 인증 범위에 포함된다.<ref>정보통신서비스와 직접적인 관련성이 낮은 전사적자원관리시스템(ERP), 분석용데이터베이스 (DW), 그룹웨어 등 기업 내부 시스템, 영업/마케팅 조직은 일반적으로 인증범위에서 제외한다.</ref> *인증 의무대상인 정보통신서비스제공자의 경우 영리를 목적으로 하지 않고 정보통신망을 위해 단순히 정보를제공하거나 정보의 제공을 매개하는 경우 인증 범위에서 제외된다.<ref>영리를 목적으로 하지 않더라도 정보통신망을 통해 정보를 제공하거나 정보의 제공을 매개하는 서비스는 모두 인증범위에 포함한다.</ref> *연간 매출액 또는 세입이 1,500억원 이상인 종합병원은 정보보호 관리체계 인증 의무 대상자이다.<ref>종합병원이 모두 대상은 아니다. 중증질환에 대해 난이도가 높은 진료행위를 하는 상급종합병원이 대상이다.</ref> *연간 세입이 1,500원 이상이거나 재학생 수가 1만명 이상인 대학교는 인증 의무 대상자이다.<ref>연간 세입이 1,500원 이상이고, 재학생 수가 1만명 이상인 대학교 이어야 한다.</ref> *인증신청 시 신청자가 원하는 인증 범위, 인증 일정을 구체적으로 명시하여 신청하여야 한다. 하지만 이는 추후 심사기관과의 협의 과정에 조정될 수도 있다.<ref>사전에 심사기관과 협의를 다 한다음 신청하여야 한다.</ref> *2개월 이상 관리체계 구축 운영 후 신청을 접수하고 인증수수료를 납부하면 예비점검 → 인증심사 → 심사결과보고서 작성 → 인증위원회 개최 순서대로 진행된다.<ref>심사준비 상태를 점검하는 예비점검 이후에 인증수수료 청구·납부가 이루어진다.</ref> *ISMS-P 인증 제도상 "결함 사항"이란 신청인의 정보보호 관리체계가 인증심사기준에 규정된 요구사항을 충족하지 못하는 사항이 발견되고 있으며 발견된 문제점이 정보보호 및 개인정보보호 관리체계에 중대한 영향을 미치는 사항을 말한다.<ref>중결함 사항에 관한 설명이다. 결함 사항은 요구사항에 충족은 못하지만 중대한 영향을 미치지 않는 사항을 말한다. 결함 사항은 여러 개가 나올 수 있고 보완 조치를 하면 된다. 그러나 중결함 사항이 있는 경우 인증심사가 중단될 수도 있다.</ref> '''인증 기준 관련''' *휴면회원의 로그인을 위해 아이디, 비밀번호는 원본 DB에 그대로 남겨 두는 것은 3.4.3 휴면이용자 관리 결함이다.<ref>휴면회원의 접근을 위해 아이디와 비밀번호는 원본 DB에 남길 수 있다. 로그인을 함으로써 휴면 해제를 하는 경우가 많으므로 로그인을 위한 최소한의 정보는 남길 수 있다.</ref> *조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 분기별 1회 이상 위험을 평가하여야 한다.<ref>[[ISMS-P 인증 기준 1.2.3.위험 평가]]에 따르면 연1회의 평가가 필요하다.</ref> *미성년자 개인정보 수집을 위해선 우선 미성년자 법정 대리인에게 수집 동의를 받고 필요최소한의 이름, 연락처를 수집하여야 하며, 미성년자 개인정보 수집 완료 후 파기해야 한다.<ref>미성년자의 개인정보를 수집하기 위해 필요최소한의 법정대리인 정보인 이름, 연락처를 받는 경우엔 법정대리인의 동의가 불필요하다.</ref> *미성년자의 개인정보 수집을 위해 법정대리인의 실제 날인, 전자서명, 본인확인 등을 확보하여야 하며, 전화를 통해 구두로 확인해선 안 된다. *정보주체(이용자) 이외로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의 획득 책임은 개인정보처리자에게 있다. *정보주체 이외로부터 정보를 수집한 경우, 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 않은 경우에는 관보나 간행물 등을 통해 알릴 수 있다. *정기적 수신동의 확인 시 수신자가 아무런 의사표시를 하지 않는 경우에는 수신동의 의사가 철회된 것으로 본다.<ref>[[ISMS-P 인증 기준 3.1.7.홍보 및 마케팅 목적 활용 시 조치]]에 따르면 수신자가 아무런 의사표시를 하지 않은 경우 동의를 유지하는 것으로 본다.</ref> *업무용으로 노트북을 사용하고 있지만 노트북을 업무용 PC에 준하여 관리하고 있는 경우 기존 PC의 보안 지침을 준용하고 모바일 기기에 대한 별도 기준은 마련하지 않아도 된다.<ref>[[ISMS-P 인증 기준 2.10.6.업무용 단말기기 보안]]에 따르면 업무적인 목적으로 모바일기기를 사용하고 있으면 모바일 기기에 대한 기준, 정책이 마련되어 있어야 한다. PC와 동일하게 보안 프로그램들을 설치한다고 동등한 기준으로 운용한다고 주장 하더라도 휴대성이 있는 업무용 기기이므로 최소한의 별도 기준이 필요하다.</ref> *통제구역 중 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 경우 제한구역으로 설정하여 관리하여야 한다.<ref>출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 곳이 통제구역이다. 제한구역은 통제구역보다 낮은 단계의 보호구역이다. (관련 항목: [[ISMS-P 인증 기준 2.4.1.보호구역 지정]])</ref> *[[클라우드 보안인증제|CSAP]] 등 클라우드 보안인증을 받은 클라우드를 사용하는 경우 물리 보안 등 일부 항목은 증적 없이 충족하는 것으로 인정될 수 있다.<ref>클라우드를 사용하더라도 물리 보안이 어떻게 이루어지고 있는지에 대해 클라우드 서비스 제공자로부터 파악하여 증적을 제시하여야 한다.</ref> *서버관리 시스템의 비밀번호 작성 규칙과 개인정보처리시스템의 비밀번호 작성 규칙이 다른 경우 [[ISMS-P 인증 기준 2.1.1.정책의 유지관리|2.1.1 정책의 유지관리]] 결함이다.<ref>그럴 가능성이 높긴 하지만 단정할 수 없다. 상위 정책에 비밀번호 작성 규칙이 있거나 규칙을 통일해야 한다는 내용이 있으면 정책의 유지관리 결함이겠지만, 상위 정책이 존재하지 않고 업무별 정책에서 정하도록 하는 경우라 할지라도 그게 결함이라고 할 순 없다.</ref> *정보통신서비스제공자가 내부 정책에 따라 영문, 숫자 조합으로 8자리의 비밀번호를 사용하고 있는 경우 [[ISMS-P 인증 기준 2.5.4.비밀번호 관리|2.5.4 비밀번호 관리]] 결함이다.<ref>정책에서 비밀번호를 그렇게 쓰도록 하였다면 정책 부터 법적 요구사항을 충족하지 못한 것이다. 그런 경우 [[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토]] 결함이다.</ref> *여러명의 서버 관리자가 접근통제 프로그램을 통해 개별적으로 부여된 계정으로 안전하게 로그인 하였으나, 서버에선 모두 root 계정을 공용으로 사용하는 경우 [[ISMS-P 인증 기준 2.5.2.사용자 식별|2.5.2.사용자 식별]] 및 [[ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리|2.5.5. 특수 계정 및 권한 관리]] 결함이다.<ref>보안상 안전하지 않은 것은 맞다. 하지만 서버접근통제 프로그램에서 개인별 계정이 부여되서 사용자 식별이 되고 있고, 계정 공유 시 보호조치나 특수 권한의 사용은 예외적으로 허용되는 경우가 있기 때문에 제시된 문장만으론 결함이라고 할 수 없다. 여러명의 서버 관리자가 특수한 목적으로, 임시적으로 root 계정을 사용하는 것이고, 이에 대해 강화된 절차를 통해 권한을 정당하게 부여받은 것이라면 사용 가능하다.</ref> '''법률 관련''' *전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일평균 100만 명 이상이거나, 전년도 매출액이 100억 원 이상인 개인정보 처리자는 1년에 한번 이용자들에게 이용내역을 통지하여야 한다.<ref>전체 개인정보처리자가 아닌 정보통신서비스제공자만 해당한다. 또한 매출액 기준도 정보통신 부문 매출액 100억 이상인 경우만 해당한다.</ref> *공공장소에 설치된 영상정보처리기기는 녹음 기능, 줌(Zoom)기능, 방향 전환 기능을 사용할 수 없다.<ref>최초 설치 목적과 동일한 목적으로는 줌(Zoom)과 방향 전환도 가능하다.</ref> *모회사가 운영하는 홈페이지 내에서 자회사의 정보를 제공하고 있고 자회사는 해당 홈페이지를 운영하지 않는 경우, 자회사 또한 정보통신서비스 제공자에 해당한다.<ref>모회사와 자회사의 계약에 따른 내부 법률관계는 별론으로 하고, 자회사는 홈페이지의 운영 주체가 아니므로, 정보통신서비스 제공자에 해당하지 않는 것으로 판단됨([[정보통신서비스 제공자]] 문서 참고)</ref> *공적 분야에서 직무를 수행한 공무원의 성명·직위, 공표를 목적으로 작성 또는 취득한 정보(심의회 위원명단, 수상자명단) 등 공적 생활에서 형성된 정보 및 이미 공개된 정보 등은 개인정보로 보지 않는다.<ref>공적 분야에서 직무를 수행한 공무원의 성명·직위, 공표를 목적으로 작성 또는 취득한 정보(심의회 위원명단, 수상자명단)는 정부의 정보공개업무편람에서 공개 가능하다고 판단한 정보들의 예시이다. 개인정보인지 여부와는 별개이며, 공적 생활에서 형성된 정보 및 이미 공개된 정보 또한 개인정보라는 것은 대법 2021다105482 판결에서 판시한 사실이다.</ref> *개인정보처리자는 가명정보를 처리하는 경우에는 원래의 상태로 복원하기 위한 추가 정보를 별도로 분리하여 보관ㆍ관리하는 등 해당 정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 않도록 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적ㆍ관리적 및 물리적 조치를 하여야 한다. 다만 가명처리되어 활용되고 있는 개인정보의 주체가 처리 정지를 요구하는 경우 개인정보처리자는 해당 정보주체의 정보를 제거하기 위해 추가정보를 사용할 수 있다.<ref>가명처리된 정보에 대해선 열람요구권, 정정·삭제요구권, 처리정지 요구권을 행사할 수 없다. ([[개인정보 보호법 제28조의7]])</ref> *개인정보보호위원회는 개인정보처리자가 가명정보 처리 시 금지 의무를 위반하여 특정 개인을 알아보기 위한 목적으로 정보를 처리한 경우 전체 매출액의 100분의 4 이하에 해당하는 금액을 과징금으로 부과할 수 있다. 매출액이 없거나 매출액의 산정이 곤란한 경우로서 대통령령으로 정하는 경우에는 4억원 또는 자본금의 100분의 4 중 큰 금액 이하로 과징금을 부과할 수 있다.<ref>매출액 및 자본금의 100분의 3([[개인정보 보호법 제28조의6]])</ref> *개인정보처리자는 개인정보를 국외의 제3자에게 제공하는 경우, 일반적인 제3자 제공 시에 고지하고 동의받는 내용에 더하여 개인정보가 이전되는 국가, 이전일시 및 이전 방법을 고지하고 동의 받아야 한다.<ref>개인정보처리자는 국외 이전시에도 제3자 제공과 동일하게 고지하고 동의 받으면 된다. 이전되는 국가, 일시 및 방법을 알려야 하는 의무는 정보통신서비스제공자에게만 있다.</ref> *개인정보의 주체는 자연인이어야 하며, 법인 또는 단체의 이름, 주소, 대표 연락처, 업무별 연락처, 영업실적 등은 개인정보에 해당하지 않는다. 다만 개인사업자의 경우 상호명, 사업장주소, 전화번호, 사업자등록번호, 납세액 등의 정보는 개인정보에 해당한다.<ref>개인사업자도 나열된 것과 같이 사업자 그 자체에 대한 정보는 개인정보가 아니다. 다만 개인사업자의 대표자 정보는 개인정보가 될 수 있다.</ref> *재화 등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 거래가 있은 날로부터 1년 이내에 자신이 처리하고 수신자와 거래한 것과 동종의 재화 등에 대한 영리목적의 광고성 정보를 전송하려는 경우는 별도의 동의가 필요 없다.<ref>※ 거래관계에 의한 광고성 정보전송 수신동의 예외 1. 재화 등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 거래가 있은 날로부터 '''6개월''' 이내에 자신이 처리하고 수신자와 거래한 것과 동종의 재화 등에 대한 영리목적의 광고성 정보를 전송하려는 경우 2. 「방문판매 등에 관한 법률」에 따른 전화권유판매자가 육성으로 수신자에게 개인정보의 수집 출처를 고지하고 전화권유를 하는 경우</ref> *전년도 말 기준 직전 3개월 일일평균 개인정보주체 100만 명 이상이거나, 정보통신서비스 부문 전년도 매출액이 100억 원 이상인 정보통신서비스제공자들은 개인정보취급자의 업무용 PC를 인터넷이 안 되는 환경으로 망분리 해야 한다.<ref>모든 개인정보취급자가 대상은 아니다. 개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우에만 의무적으로 망 분리를 해야 한다.</ref> *비영리기관의 경우 원칙적으론 정보통신서비스제공자에 해당되지 않아 개인정보 손해배상책임 보장제도의 대상이 아니다. 하지만 수탁자의 경우 정보통신서비스제공자로부터 수탁받아 관리하는 개인정보의 수가 전년도 말 기준 직전 3개월 간 일일평균 이용자수가 1천명 이상이고 수탁업무에 따른 매출액 수준이 5천만원 이상인 경우 손해배상책임 보장의무가 따른다.<ref>원칙적으로 수탁자에겐 의무가 없다.</ref>
요약:
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는
IT위키:저작권
문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다.
저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소
편집 도움말
(새 창에서 열림)
둘러보기
둘러보기
대문
최근 바뀜
분류별 보기
일반 IT용어
프로젝트 관리
디지털 서비스
블록체인
인공지능
소프트웨어 공학
운영체제
컴퓨터 구조
자료 구조
데이터 과학
데이터베이스
네트워크
프로토콜
보안
컴플라이언스
개인정보보호
표준
경영학
기업 IT
조직/단체
광고
위키 도구
위키 도구
특수 문서 목록
문서 도구
문서 도구
사용자 문서 도구
더 보기
여기를 가리키는 문서
가리키는 글의 최근 바뀜
문서 정보
문서 기록