ISMS-P 인증 기준 세부 점검 항목 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
| 최신판 | 당신의 편집 | ||
| 1번째 줄: | 1번째 줄: | ||
* | *2022년 4월 22일 기준 (현재 기준 최신) | ||
== | ==관리체계 수립 및 운영== | ||
''' | '''1.1. 관리체계 기반 마련''' | ||
*[[ISMS-P 인증 기준 1.1.1 | * [[ISMS-P 인증 기준 1.1.1 경영진의 참여|1.1.1 경영진의 참여]] | ||
*[[ISMS-P 인증 기준 1.1.2 | * [[ISMS-P 인증 기준 1.1.2 최고책임자의 지정|1.1.2 최고책임자의 지정]] | ||
*[[ISMS-P 인증 기준 1.1.3 | * [[ISMS-P 인증 기준 1.1.3 조직 구성|1.1.3 조직 구성]] | ||
*[[ISMS-P 인증 기준 1.1.4 | * [[ISMS-P 인증 기준 1.1.4 범위 설정|1.1.4 범위 설정]] | ||
*[[ISMS-P 인증 기준 1.1.5 | * [[ISMS-P 인증 기준 1.1.5 정책 수립|1.1.5 정책 수립]] | ||
*[[ISMS-P 인증 기준 1.1.6 | * [[ISMS-P 인증 기준 1.1.6 자원 할당|1.1.6 자원 할당]] | ||
''' | '''1.2. 위험 관리''' | ||
*[[ISMS-P 인증 기준 1.2.1 | * [[ISMS-P 인증 기준 1.2.1 정보자산 식별|1.2.1 정보자산 식별]] | ||
*[[ISMS-P 인증 기준 1.2.2 | * [[ISMS-P 인증 기준 1.2.2 현황 및 흐름분석|1.2.2 현황 및 흐름분석]] | ||
*[[ISMS-P 인증 기준 1.2.3 | * [[ISMS-P 인증 기준 1.2.3 위험 평가|1.2.3 위험 평가]] | ||
*[[ISMS-P 인증 기준 1.2.4 | * [[ISMS-P 인증 기준 1.2.4 보호대책 선정|1.2.4 보호대책 선정]] | ||
''' | '''1.3. 관리체계 운영''' | ||
*[[ISMS-P 인증 기준 1.3.1 | * [[ISMS-P 인증 기준 1.3.1 보호대책 구현|1.3.1 보호대책 구현]] | ||
*[[ISMS-P 인증 기준 1.3.2 | * [[ISMS-P 인증 기준 1.3.2 보호대책 공유|1.3.2 보호대책 공유]] | ||
*[[ISMS-P 인증 기준 1.3.3 | * [[ISMS-P 인증 기준 1.3.3 운영현황 관리|1.3.3 운영현황 관리]] | ||
''' | '''1.4. 관리체계 점검 및 개선''' | ||
*[[ISMS-P 인증 기준 1.4.1 | * [[ISMS-P 인증 기준 1.4.1 법적 요구사항 준수 검토|1.4.1 법적 요구사항 준수 검토]] | ||
*[[ISMS-P 인증 기준 1.4.2 | * [[ISMS-P 인증 기준 1.4.2 관리체계 점검|1.4.2 관리체계 점검]] | ||
*[[ISMS-P 인증 기준 1.4.3 | * [[ISMS-P 인증 기준 1.4.3 관리체계 개선|1.4.3 관리체계 개선]] | ||
== | == 보호대책 요구사항 == | ||
''' | '''2.1. 정책, 조직, 자산 관리''' | ||
*[[ISMS-P 인증 기준 2.1.1 | * [[ISMS-P 인증 기준 2.1.1 정책의 유지관리|2.1.1 정책의 유지관리]] | ||
*[[ISMS-P 인증 기준 2.1.2 | * [[ISMS-P 인증 기준 2.1.2 조직의 유지관리|2.1.2 조직의 유지관리]] | ||
*[[ISMS-P 인증 기준 2.1.3 | * [[ISMS-P 인증 기준 2.1.3 정보자산 관리|2.1.3 정보자산 관리]] | ||
''' | '''2.2. 인적 보안''' | ||
*[[ISMS-P 인증 기준 2.2.1 | * [[ISMS-P 인증 기준 2.2.1 주요 직무자 지정 및 관리|2.2.1 주요 직무자 지정 및 관리]] | ||
*[[ISMS-P 인증 기준 2.2.2 | * [[ISMS-P 인증 기준 2.2.2 직무 분리|2.2.2 직무 분리]] | ||
*[[ISMS-P 인증 기준 2.2.3 | * [[ISMS-P 인증 기준 2.2.3 보안 서약|2.2.3 보안 서약]] | ||
*[[ISMS-P 인증 기준 2.2.4 | * [[ISMS-P 인증 기준 2.2.4 인식제고 및 교육훈련|2.2.4 인식제고 및 교육훈련]] | ||
*[[ISMS-P 인증 기준 2.2.5 | * [[ISMS-P 인증 기준 2.2.5 퇴직 및 직무변경 관리|2.2.5 퇴직 및 직무변경 관리]] | ||
*[[ISMS-P 인증 기준 2.2.6 | * [[ISMS-P 인증 기준 2.2.6 보안 위반 시 조치|2.2.6 보안 위반 시 조치]] | ||
''' | '''2.3. 외부자 보안''' | ||
*[[ISMS-P 인증 기준 2.3.1 | * [[ISMS-P 인증 기준 2.3.1 외부자 현황 관리|2.3.1 외부자 현황 관리]] | ||
*[[ISMS-P 인증 기준 2.3.2 | * [[ISMS-P 인증 기준 2.3.2 외부자 계약 시 보안|2.3.2 외부자 계약 시 보안]] | ||
*[[ISMS-P 인증 기준 2.3.3 | * [[ISMS-P 인증 기준 2.3.3 외부자 보안 이행 관리|2.3.3 외부자 보안 이행 관리]] | ||
*[[ISMS-P 인증 기준 2.3.4 | * [[ISMS-P 인증 기준 2.3.4 외부자 계약 변경 및 만료 시 보안|2.3.4 외부자 계약 변경 및 만료 시 보안]] | ||
''' | '''2.4. 물리 보안''' | ||
*[[ISMS-P 인증 기준 2.4.1 | * [[ISMS-P 인증 기준 2.4.1 보호구역 지정|2.4.1 보호구역 지정]] | ||
*[[ISMS-P 인증 기준 2.4.2 | * [[ISMS-P 인증 기준 2.4.2 출입통제|2.4.2 출입통제]] | ||
*[[ISMS-P 인증 기준 2.4.3 | * [[ISMS-P 인증 기준 2.4.3 정보시스템 보호|2.4.3 정보시스템 보호]] | ||
*[[ISMS-P 인증 기준 2.4.4 | * [[ISMS-P 인증 기준 2.4.4 보호설비 운영|2.4.4 보호설비 운영]] | ||
*[[ISMS-P 인증 기준 2.4.5 | * [[ISMS-P 인증 기준 2.4.5 보호구역 내 작업|2.4.5 보호구역 내 작업]] | ||
*[[ISMS-P 인증 기준 2.4.6 | * [[ISMS-P 인증 기준 2.4.6 반출입 기기 통제|2.4.6 반출입 기기 통제]] | ||
*[[ISMS-P 인증 기준 2.4.7 | * [[ISMS-P 인증 기준 2.4.7 업무환경 보안|2.4.7 업무환경 보안]] | ||
''' | '''2.5.인증 및 권한관리''' | ||
*[[ISMS-P 인증 기준 2.5.1 | * [[ISMS-P 인증 기준 2.5.1 사용자 계정 관리|2.5.1 사용자 계정 관리]] | ||
*[[ISMS-P 인증 기준 2.5.2 | * [[ISMS-P 인증 기준 2.5.2 사용자 식별|2.5.2 사용자 식별]] | ||
*[[ISMS-P 인증 기준 2.5.3 | * [[ISMS-P 인증 기준 2.5.3 사용자 인증|2.5.3 사용자 인증]] | ||
*[[ISMS-P 인증 기준 2.5.4 | * [[ISMS-P 인증 기준 2.5.4 비밀번호 관리|2.5.4 비밀번호 관리]] | ||
*[[ISMS-P 인증 기준 2.5.5 | * [[ISMS-P 인증 기준 2.5.5 특수 계정 및 권한 관리|2.5.5 특수 계정 및 권한 관리]] | ||
*[[ISMS-P 인증 기준 2.5.6 | * [[ISMS-P 인증 기준 2.5.6 접근권한 검토|2.5.6 접근권한 검토]] | ||
''' | '''2.6.접근통제''' | ||
*[[ISMS-P 인증 기준 2.6.1 | * [[ISMS-P 인증 기준 2.6.1 네트워크 접근|2.6.1 네트워크 접근]] | ||
*[[ISMS-P 인증 기준 2.6.2 | * [[ISMS-P 인증 기준 2.6.2 정보시스템 접근|2.6.2 정보시스템 접근]] | ||
*[[ISMS-P 인증 기준 2.6.3 | * [[ISMS-P 인증 기준 2.6.3 응용프로그램 접근|2.6.3 응용프로그램 접근]] | ||
*[[ISMS-P 인증 기준 2.6.4 | * [[ISMS-P 인증 기준 2.6.4 데이터베이스 접근|2.6.4 데이터베이스 접근]] | ||
*[[ISMS-P 인증 기준 2.6.5 | * [[ISMS-P 인증 기준 2.6.5 무선 네트워크 접근|2.6.5 무선 네트워크 접근]] | ||
*[[ISMS-P 인증 기준 2.6.6 | * [[ISMS-P 인증 기준 2.6.6 원격접근 통제|2.6.6 원격접근 통제]] | ||
*[[ISMS-P 인증 기준 2.6.7 | * [[ISMS-P 인증 기준 2.6.7 인터넷 접속 통제|2.6.7 인터넷 접속 통제]] | ||
''' | '''2.7. 암호화 적용''' | ||
*[[ISMS-P 인증 기준 2.7.1 | * [[ISMS-P 인증 기준 2.7.1 암호정책 적용|2.7.1 암호정책 적용]] | ||
*[[ISMS-P 인증 기준 2.7.2 | * [[ISMS-P 인증 기준 2.7.2 암호키 관리|2.7.2 암호키 관리]] | ||
''' | '''2.8.정보시스템 도입 및 개발 보안''' | ||
*[[ISMS-P 인증 기준 2.8.1 | * [[ISMS-P 인증 기준 2.8.1 보안 요구사항 정의|2.8.1 보안 요구사항 정의]] | ||
*[[ISMS-P 인증 기준 2.8.2 | * [[ISMS-P 인증 기준 2.8.2 보안 요구사항 검토 및 시험|2.8.2 보안 요구사항 검토 및 시험]] | ||
*[[ISMS-P 인증 기준 2.8.3 | * [[ISMS-P 인증 기준 2.8.3 시험과 운영 환경 분리|2.8.3 시험과 운영 환경 분리]] | ||
*[[ISMS-P 인증 기준 2.8.4 | * [[ISMS-P 인증 기준 2.8.4 시험 데이터 보안|2.8.4 시험 데이터 보안]] | ||
*[[ISMS-P 인증 기준 2.8.5 | * [[ISMS-P 인증 기준 2.8.5 소스 프로그램 관리|2.8.5 소스 프로그램 관리]] | ||
*[[ISMS-P 인증 기준 2.8.6 | * [[ISMS-P 인증 기준 2.8.6 운영환경 이관|2.8.6 운영환경 이관]] | ||
''' | '''2.9.시스템 및 서비스 운영관리''' | ||
*[[ISMS-P 인증 기준 2.9.1 | * [[ISMS-P 인증 기준 2.9.1 변경관리|2.9.1 변경관리]] | ||
*[[ISMS-P 인증 기준 2.9.2 | * [[ISMS-P 인증 기준 2.9.2 성능 및 장애관리|2.9.2 성능 및 장애관리]] | ||
*[[ISMS-P 인증 기준 2.9.3 | * [[ISMS-P 인증 기준 2.9.3 백업 및 복구관리|2.9.3 백업 및 복구관리]] | ||
*[[ISMS-P 인증 기준 2.9.4 | * [[ISMS-P 인증 기준 2.9.4 로그 및 접속기록 관리|2.9.4 로그 및 접속기록 관리]] | ||
*[[ISMS-P 인증 기준 2.9.5 | * [[ISMS-P 인증 기준 2.9.5 로그 및 접속기록 점검|2.9.5 로그 및 접속기록 점검]] | ||
*[[ISMS-P 인증 기준 2.9.6 | * [[ISMS-P 인증 기준 2.9.6 시간 동기화|2.9.6 시간 동기화]] | ||
*[[ISMS-P 인증 기준 2.9.7 | * [[ISMS-P 인증 기준 2.9.7 정보자산의 재사용 및 폐기|2.9.7 정보자산의 재사용 및 폐기]] | ||
''' | '''2.10.시스템 및 서비스 보안관리''' | ||
*[[ISMS-P 인증 기준 2.10.1 | * [[ISMS-P 인증 기준 2.10.1 보안시스템 운영|2.10.1 보안시스템 운영]] | ||
*[[ISMS-P 인증 기준 2.10.2 | * [[ISMS-P 인증 기준 2.10.2 클라우드 보안|2.10.2 클라우드 보안]] | ||
*[[ISMS-P 인증 기준 2.10.3 | * [[ISMS-P 인증 기준 2.10.3 공개서버 보안|2.10.3 공개서버 보안]] | ||
*[[ISMS-P 인증 기준 2.10.4 | * [[ISMS-P 인증 기준 2.10.4 전자거래 및 핀테크 보안|2.10.4 전자거래 및 핀테크 보안]] | ||
*[[ISMS-P 인증 기준 2.10.5 | * [[ISMS-P 인증 기준 2.10.5 정보전송 보안|2.10.5 정보전송 보안]] | ||
*[[ISMS-P 인증 기준 2.10.6 | * [[ISMS-P 인증 기준 2.10.6 업무용 단말기기 보안|2.10.6 업무용 단말기기 보안]] | ||
*[[ISMS-P 인증 기준 2.10.7 | * [[ISMS-P 인증 기준 2.10.7 보조저장매체 관리|2.10.7 보조저장매체 관리]] | ||
*[[ISMS-P 인증 기준 2.10.8 | * [[ISMS-P 인증 기준 2.10.8 패치관리|2.10.8 패치관리]] | ||
*[[ISMS-P 인증 기준 2.10.9 | * [[ISMS-P 인증 기준 2.10.9 악성코드 통제|2.10.9 악성코드 통제]] | ||
''' | '''2.11. 사고 예방 및 대응''' | ||
*[[ISMS-P 인증 기준 2.11.1 | * [[ISMS-P 인증 기준 2.11.1 사고 예방 및 대응체계 구축|2.11.1 사고 예방 및 대응체계 구축]] | ||
*[[ISMS-P 인증 기준 2.11.2 | * [[ISMS-P 인증 기준 2.11.2 취약점 점검 및 조치|2.11.2 취약점 점검 및 조치]] | ||
*[[ISMS-P 인증 기준 2.11.3 | * [[ISMS-P 인증 기준 2.11.3 이상행위 분석 및 모니터링|2.11.3 이상행위 분석 및 모니터링]] | ||
*[[ISMS-P 인증 기준 2.11.4 | * [[ISMS-P 인증 기준 2.11.4 사고 대응 훈련 및 개선|2.11.4 사고 대응 훈련 및 개선]] | ||
*[[ISMS-P 인증 기준 2.11.5 | * [[ISMS-P 인증 기준 2.11.5 사고 대응 및 복구|2.11.5 사고 대응 및 복구]] | ||
''' | '''2.12. 재해복구''' | ||
*[[ISMS-P 인증 기준 2.12.1 | * [[ISMS-P 인증 기준 2.12.1 재해, 재난 대비 안전조치|2.12.1 재해, 재난 대비 안전조치]] | ||
*[[ISMS-P 인증 기준 2.12.2 | * [[ISMS-P 인증 기준 2.12.2 재해 복구 시험 및 개선|2.12.2 재해 복구 시험 및 개선]] | ||
== | == 개인정보 처리단계별 요구사항 == | ||
''' | '''3.1 개인정보 수집 시 보호조치''' | ||
*[[ISMS-P 인증 기준 3.1.1 | * [[ISMS-P 인증 기준 3.1.1 개인정보 수집 제한|3.1.1 개인정보 수집 제한]] | ||
*[[ISMS-P 인증 기준 3.1.2 | * [[ISMS-P 인증 기준 3.1.2 개인정보의 수집 동의|3.1.2 개인정보의 수집 동의]] | ||
*[[ISMS-P 인증 기준 3.1.3 | * [[ISMS-P 인증 기준 3.1.3 주민등록번호 처리 제한|3.1.3 주민등록번호 처리 제한]] | ||
*[[ISMS-P 인증 기준 3.1.4 | * [[ISMS-P 인증 기준 3.1.4 민감정보 및 고유식별정보의 처리 제한|3.1.4 민감정보 및 고유식별정보의 처리 제한]] | ||
*[[ISMS-P 인증 기준 3.1.5 | * [[ISMS-P 인증 기준 3.1.5 간접수집 보호조치|3.1.5 간접수집 보호조치]] | ||
*[[ISMS-P 인증 기준 3.1.6 | * [[ISMS-P 인증 기준 3.1.6 영상정보처리기기 설치·운영|3.1.6 영상정보처리기기 설치·운영]] | ||
*[[ISMS-P 인증 기준 3.1.7 | * [[ISMS-P 인증 기준 3.1.7 홍보 및 마케팅 목적 활용 시 조치|3.1.7 홍보 및 마케팅 목적 활용 시 조치]] | ||
''' | '''3.2. 개인정보 보유 및 이용 시 보호조치''' | ||
*[[ISMS-P 인증 기준 3.2.1 | * [[ISMS-P 인증 기준 3.2.1 개인정보 현황관리|3.2.1 개인정보 현황관리]] | ||
*[[ISMS-P 인증 기준 3.2.2 | * [[ISMS-P 인증 기준 3.2.2 개인정보 품질보장|3.2.2 개인정보 품질보장]] | ||
*[[ISMS-P 인증 기준 3.2. | * [[ISMS-P 인증 기준 3.2.3 개인정보 표시제한 및 이용 시 보호조치|3.2.3 개인정보 표시제한 및 이용 시 보호조치]] | ||
*[[ISMS-P 인증 기준 3.2.4 | * [[ISMS-P 인증 기준 3.2.4 이용자 단말기 접근 보호|3.2.4 이용자 단말기 접근 보호]] | ||
*[[ISMS-P 인증 기준 3.2.5 | * [[ISMS-P 인증 기준 3.2.5 개인정보 목적 외 이용 및 제공|3.2.5 개인정보 목적 외 이용 및 제공]] | ||
''' | '''3.3. 개인정보 제공 시 보호조치''' | ||
*[[ISMS-P 인증 기준 3.3.1 | * [[ISMS-P 인증 기준 3.3.1 개인정보 제3자 제공|3.3.1 개인정보 제3자 제공]] | ||
*[[ISMS-P 인증 기준 3.3.2 | * [[ISMS-P 인증 기준 3.3.2 업무 위탁에 따른 정보주체 고지|3.3.2 업무 위탁에 따른 정보주체 고지]] | ||
*[[ISMS-P 인증 기준 3.3.3 | * [[ISMS-P 인증 기준 3.3.3 영업의 양수 등에 따른 개인정보의 이전|3.3.3 영업의 양수 등에 따른 개인정보의 이전]] | ||
*[[ISMS-P 인증 기준 3.3.4 | * [[ISMS-P 인증 기준 3.3.4 개인정보의 국외이전|3.3.4 개인정보의 국외이전]] | ||
''' | '''3.4. 개인정보 파기 시 보호조치''' | ||
*[[ISMS-P 인증 기준 3.4.1 | * [[ISMS-P 인증 기준 3.4.1 개인정보의 파기|3.4.1 개인정보의 파기]] | ||
*[[ISMS-P 인증 기준 3.4.2 | * [[ISMS-P 인증 기준 3.4.2 처리목적 달성 후 보유 시 조치|3.4.2 처리목적 달성 후 보유 시 조치]] | ||
* [[ISMS-P 인증 기준 3.4.3 휴면 이용자 관리|3.4.3 휴면 이용자 관리]] | |||
''' | '''3.5. 정보주체 권리보호''' | ||
*[[ISMS-P 인증 기준 3.5.1 | * [[ISMS-P 인증 기준 3.5.1 개인정보처리방침 공개|3.5.1 개인정보처리방침 공개]] | ||
*[[ISMS-P 인증 기준 3.5.2 | * [[ISMS-P 인증 기준 3.5.2 정보주체 권리보장|3.5.2 정보주체 권리보장]] | ||
*[[ISMS-P 인증 기준 3.5.3 | * [[ISMS-P 인증 기준 3.5.3 이용내역 통지|3.5.3 이용내역 통지]] | ||
