|
|
| (사용자 2명의 중간 판 35개는 보이지 않습니다) |
| 1번째 줄: |
1번째 줄: |
| ==암기 사항==
| | #넘겨주기 [[ISMS-P 인증심사원 주요 암기사항]] |
| | |
| ====ISMS-P 제도 관련 기간 등 숫자====
| |
| | |
| *ISMS 의무대상자 인증 의무 취득기간은 차년도 '''8.31.'''까지
| |
| *보완조치 기간 '''40일''', 재조치 요구기간 '''60일''' (총 '''100일''')
| |
| *심사결과에 대한 이의신청 '''15일''' 이내
| |
| *심사위원회 후 '''30일''' 이내 보완조치 요구
| |
| *사후심사 '''1년''' 주기
| |
| *갱신심사 '''3년''' 주기
| |
| *갱신심사는 유효기간 만료 '''3개월''' 전에 신청
| |
| | |
| ==== 주요 법률상 암기사항 ====
| |
| 개인정보 수집·이용 동의 시 고지 정보
| |
| | |
| *
| |
| | |
| 개인정보 처리방침 포함 항목
| |
| | |
| *
| |
| | |
| 제3자로부터 개인정보 수집 시 통지 항목
| |
| | |
| *
| |
| | |
| 개인정보 유출 시 통지 항목
| |
| | |
| *
| |
| | |
| 공공장소 CCTV 설치 시 안내 사항
| |
| | |
| 개인정보 보호책임자 지정 기준
| |
| | |
| 정보보호최고책임자 지정 기준
| |
| | |
| == 헷갈리는 심사 기준 ==
| |
| 아래는 문제집에서 발췌되거나 토론을 통해 취합되는 내용이므로, 실제 KISA의 인증심사원 문제의 해석 방향과 일치하지 않을 수 도 있음
| |
| | |
| *'''잘못 구성된(사원, 대리급으로만 구성) 정보보호위원회의 의결로 정보보호 정책이 수립되어 경영진 보고 없이 정책이 배포된 경우,'''
| |
| **'''(참고)''' 관련 인증 기준
| |
| ***잘못된 정보보호위원회 구성 = [[ISMS-P 인증 기준 1.1.3.조직 구성]]
| |
| ***잘못된 정보보호 정책 수립 = [[ISMS-P 인증 기준 1.1.5.정책 수립]]
| |
| ***경영진 보고 누락 = [[ISMS-P 인증 기준 1.1.1.경영진의 참여]]
| |
| ***잘못된 보호대책 공유 = [[ISMS-P 인증 기준 1.3.2.보호대책 공유]]
| |
| **'''(정답)''' [[ISMS-P 인증 기준 1.1.3.조직 구성]]
| |
| ***인과 관계상 명백히 잘못 구성된 정보보호위원회(조직)의 결정에 따라 발생한 문제이므로, 현 사안에선 가장 근본적인 조직 구성 결함 사례로 봄
| |
| ***1.1.5는 중복 결함이 아닌지? 보강 바람
| |
| *'''잘못된 배포과정을 통해 업데이트된 시스템이 운영에 배포되어 장애가 발생한 경우,'''
| |
| **'''(참고)''' 관련 인증 기준
| |
| ***잘못된 배포 과정 = [[ISMS-P 인증 기준 2.9.1.변경관리]]
| |
| ***잘못된 운영 반영 = [[ISMS-P 인증 기준 2.8.6.운영환경 이관]]
| |
| **'''(정답)''' [[ISMS-P 인증 기준 2.9.1.변경관리]]
| |
| ***배포 과정에 따른 잘못은 변경관리 결함 사례로 본다.
| |
| ***운영환경 이관은 절차적인 계획 수립 및 기본적인 이행의 관점이며, 변경관리는 실무적인 검토 실패에 관한 관점이 강하다.
| |
| *'''업무용 단말에 보안 프로그램들이 설치되어 있으나, 잘못된 예외처리로 보안 결함이 발생한 경우,'''
| |
| **'''(참고)''' 관련 인증 기준
| |
| ***잘못된 단말 보안 = [[ISMS-P 인증 기준 2.10.6.업무용 단말기기 보안]]
| |
| ***잘못된 예외처리 운영 = [[ISMS-P 인증 기준 2.10.1.보안시스템 운영]]
| |
| **'''(정답)''' [[ISMS-P 인증 기준 2.10.1.보안시스템 운영]]
| |
| ***업무용 단말기에 필요한 보안 프로그램들이 설치되어 있는 지에 관한 것은 2.10.6의 관점이나,
| |
| ***설치되어 있는 프로그램들에 대한 잘못된 운용은 2.10.1에 해당함
| |
| *'''불가피한 사유로 운영 데이터를 시험 데이터로 임시 사용했으나 프로젝트 종료 후 파기하지 않은 경우.'''
| |
| **'''(참고)''' 관련 인증 기준
| |
| ***시험 데이터 변환, 실 데이터 사용 시 사용 후 파기 = [[ISMS-P 인증 기준 2.8.4.시험 데이터 보안]]
| |
| ***개인정보 처리목적 달성 시 파기 = [[ISMS-P 인증 기준 3.4.1.개인정보의 파기]]
| |
| **'''(정답)''' [[ISMS-P 인증 기준 2.8.4.시험 데이터 보안]]
| |
| ***불가피한 경우 운영 데이터를 시험 데이터로 사용할 수는 있으나 시험 후 데이터 삭제를 철저히 하여야 한다.
| |
| ***3.4.1 개인정보의 파기는, 주로 목적에 따라 활용된 데이터의 파기하는 관점에 관한 것이므로 2.8.4가 더 세부적인 측면에서 맞아 떨어짐
| |
| *'''재해복구 과정에서 개인정보가 포함된 임시 테이블이 생성되었으나 작업 후 삭제되지 않은 채 방치된 경우'''
| |
| **'''(참고)''' 관련 인증 기준
| |
| ***[[ISMS-P 인증 기준 3.4.1.개인정보의 파기]]
| |
| ***[[ISMS-P 인증 기준 2.6.4.데이터베이스 접근]]
| |
| **'''(정답)'''
| |
| ***결과적으로 파기되어야 하는 개인정보가 파기되지 않은 문제가 발생하였을 수도 있으나, 근본적으로 재해복구 등의 과정에서 생성된 테이블 목록이 현행화되어 관리되지 못한 문제로, 테이블 목록 관리에 관한 2.6.4.데이터베이스 접근 결함이다.
| |
| ***[[ISMS-P 인증 기준 2.6.4.데이터베이스 접근]]
| |
| | |
| ====기타 오답====
| |
| '''아래 내용은 모두 틀린 오답임. 답은 각주로 추가 바람'''
| |
| | |
| *인증기관은 인증만 수행 가능하며, 심사기관은 심사만 수행 가능하도록 권한을 분리하여 운영한다.
| |
| *인증위원회는 정보통신망법 시행령 제47조 및 개인정보 보호법 시행령 제34조의2에 따라 심사기관에서 인증심사 결과 등을 심의하고 의결하기 위해 운영하는 조직이다.
| |
| *정보보호 관리체계 인증 의무 대상자 중 개인정보를 취급하는 사업자는 정보보호 및 개인정보보호관리체계 인증을 받아야 한다.
| |
| *휴면회원의 로그인을 위해 아이디, 비밀번호는 원본 DB에 그대로 남겨 두는 것은 3.4.3 휴면이용자 관리 결함이다.
| |
| *조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 분기별 1회 이상 위험을 평가하여야 한다.
| |
| *미성년자 개인정보 수집을 위해선 우선 미성년자 법정 대리인에게 수집 동의를 받은 후 필요최소한의 이름, 연락처를 수집하여야 하며, 미성년자 개인정보 수집 완료 후 파기해야 한다.
| |
| *미성년자의 개인정보 수집을 위해 법정대리인의 실제 날인, 전자서명, 본인확인 등을 확보하여야 하며, 전화를 통해 구두로 확인해선 안 된다.
| |
| *정보주체(이용자) 이외로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의 획득 책임은 개인정보처리자에게 있다.
| |
| *정보주체 이외로부터 정보를 수집한 경우, 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 않은 경우에는 관보나 간행물 등을 통해 알릴 수 있다.
| |
| *신용정보법에 따라 동의를 받아 개인 정보를 제공한 자로부터 수집한 개인정보 또는 법령에 따라 제공한 개인정보는 개인정보를 제공받는 날로부터 3개월 이내 개인에게 알려야 한다.
| |
| *정기적 수신동의 확인 시 수신자가 아무런 의사표시를 하지 않는 경우에는 수신동의 의사가 철회된 것으로 본다.<ref>수신자가 아무런 의사표시를 하지 않은 경우 동의를 유지하는 것으로 본다.</ref>
| |
| | |
| ==각주==
| |
| <references />
| |
