ISMS-P 주요 암기사항
암기 사항
ISMS-P 제도 관련 기간 등 숫자
- ISMS 의무대상자 인증 의무 취득기간은 차년도 8.31.까지
- 보완조치 기간 40일, 재조치 요구기간 60일 (총 100일)
- 심사결과에 대한 이의신청 15일 이내
- 심사위원회 후 30일 이내 보완조치 요구
- 사후심사 1년 주기
- 갱신심사 3년 주기
- 갱신심사는 유효기간 만료 3개월 전에 신청
주요 법률상 암기사항
개인정보 수집·이용 동의 시 고지 정보
개인정보 처리방침 포함 항목
제3자로부터 개인정보 수집 시 통지 항목
개인정보 유출 시 통지 항목
공공장소 CCTV 설치 시 안내 사항
개인정보 보호책임자 지정 기준
정보보호최고책임자 지정 기준
헷갈리는 심사 기준
결함을 찾는 문제가 헷갈리는 이유는 1. 일부 심사가준에 제목으로 유추하기 힘든 확인사항들이 포함된 경우, 2. 하나의 원인으로 인해 여러 심사기준상의 결함이 발생한 경우가 많기 때문이다. 1번의 경우엔 심사 기준을 정독함으로써 어느 정도 해결이 가능하나, 2번은 가장 근본 적인 원인(root cause)이 되는 결함을 찾는 매커니즘의 이해와 훈련이 필요하다. 모의고사 등을 통해 하나의 원인으로 여러 기준상의 결함이 발생하는 사례들을 확인하고, 해설지 등을 통해 root cause를 찾는 방법을 파악해야 한다. 이는 중복되는 기준들에 따라 판단 근거가 매번 달라지므로 일관된 규칙이나 공식은 없다. 심지어는 심사 현장에서 관례적으로 이루어지는 내용들도 있으므로 사례를 많이 접하고 익히는 것이 중요하다.
아래 내용들은 실제 심사 사례나 모의고사 등을 통해 헷갈리는 사례들을 모아 놓은 것이니 참고할 것. 다만, 사적인 경험이나 문제집에서 도출된 것이며 KISA의 공식 확인이 있었던 것은 아니라 실제 KISA의 인증심사원 문제의 해석 방향과 일치하지 않을 수 도 있으니 주의할 것. 의구심이 있는 내용이 있으면 서로 편집하거나 토론을 통해 해결할 수 있다.
- 잘못 구성된(사원, 대리급으로만 구성) 정보보호위원회의 의결로 정보보호 정책이 수립되어 경영진 보고 없이 정책이 배포된 경우,
- (참고) 관련 인증 기준
- 잘못된 정보보호위원회 구성 = ISMS-P 인증 기준 1.1.3.조직 구성
- 잘못된 정보보호 정책 수립 = ISMS-P 인증 기준 1.1.5.정책 수립
- 경영진 보고 누락 = ISMS-P 인증 기준 1.1.1.경영진의 참여
- 잘못된 보호대책 공유 = ISMS-P 인증 기준 1.3.2.보호대책 공유
- (정답 및 해설)
- 인과 관계상 명백히 잘못 구성된 정보보호위원회(조직)의 결정에 따라 발생한 문제이므로, 현 사안에선 가장 근본적인 조직 구성 결함 사례로 봄
- ISMS-P 인증 기준 1.1.3.조직 구성
- (참고) 관련 인증 기준
- 잘못된 배포과정을 통해 업데이트된 시스템이 운영에 배포되어 장애가 발생한 경우,
- (참고) 관련 인증 기준
- 잘못된 배포 과정 = ISMS-P 인증 기준 2.9.1.변경관리
- 잘못된 운영 반영 = ISMS-P 인증 기준 2.8.6.운영환경 이관
- (정답 및 해설)
- 운영환경 이관은 절차적인 계획 수립 및 기본적인 이행 여부의 관점이며, 변경관리는 실무적인 검토 실패에 관한 관점이 강하다.
- 배포 과정에서 실무적으로 과실이 있었던 경우 대부분 변경관리 결함 사례로 처리된다.
- ISMS-P 인증 기준 2.9.1.변경관리
- (참고) 관련 인증 기준
- 업무용 단말에 보안 프로그램들이 설치되어 있으나, 잘못된 예외처리로 보안 결함이 발생한 경우,
- (참고) 관련 인증 기준
- 잘못된 단말 보안 = ISMS-P 인증 기준 2.10.6.업무용 단말기기 보안
- 잘못된 예외처리 운영 = ISMS-P 인증 기준 2.10.1.보안시스템 운영
- (정답 및 해설)
- 업무용 단말기에 필요한 보안 프로그램들이 설치되어 있는 지에 관한 것은 2.10.6의 관점이나,설치되어 있는 프로그램들에 대한 잘못된 운용은 2.10.1에 해당함
- ISMS-P 인증 기준 2.10.1.보안시스템 운영
- (참고) 관련 인증 기준
- 불가피한 사유로 운영 데이터를 시험 데이터로 임시 사용했으나 프로젝트 종료 후 파기하지 않은 경우.
- (참고) 관련 인증 기준
- 시험 데이터 변환, 실 데이터 사용 시 사용 후 파기 = ISMS-P 인증 기준 2.8.4.시험 데이터 보안
- 개인정보 처리목적 달성 시 파기 = ISMS-P 인증 기준 3.4.1.개인정보의 파기
- (정답 및 해설)
- 불가피한 경우 운영 데이터를 시험 데이터로 사용할 수는 있으나 시험 후 데이터 삭제를 철저히 하여야 한다.
- 3.4.1 개인정보의 파기는, 주로 목적에 따라 활용된 데이터의 파기하는 관점에 관한 것이므로 2.8.4가 더 세부적인 측면에서 맞아 떨어짐
- ISMS-P 인증 기준 2.8.4.시험 데이터 보안
- (참고) 관련 인증 기준
- 재해복구 과정에서 개인정보가 포함된 임시 테이블이 생성되었으나 작업 후 삭제되지 않은 채 방치된 경우
- (참고) 관련 인증 기준
- (정답 및 해설)
- 결과적으로 파기되어야 하는 개인정보가 파기되지 않은 문제가 발생하였을 수도 있으나, 근본적으로 재해복구 등의 과정에서 생성된 테이블 목록이 현행화되어 관리되지 못한 문제로, 테이블 목록 관리에 관한 2.6.4.데이터베이스 접근 결함이다.
- ISMS-P 인증 기준 2.6.4.데이터베이스 접근
기타 오답
아래 내용은 모두 틀린 오답임. 답은 각주로 추가 바람
- 인증기관은 인증만 수행 가능하며, 심사기관은 심사만 수행 가능하도록 권한을 분리하여 운영한다.
- 인증위원회는 정보통신망법 시행령 제47조 및 개인정보 보호법 시행령 제34조의2에 따라 심사기관에서 인증심사 결과 등을 심의하고 의결하기 위해 운영하는 조직이다.
- 정보보호 관리체계 인증 의무 대상자 중 개인정보를 취급하는 사업자는 정보보호 및 개인정보보호관리체계 인증을 받아야 한다.
- 휴면회원의 로그인을 위해 아이디, 비밀번호는 원본 DB에 그대로 남겨 두는 것은 3.4.3 휴면이용자 관리 결함이다.
- 조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 분기별 1회 이상 위험을 평가하여야 한다.
- 미성년자 개인정보 수집을 위해선 우선 미성년자 법정 대리인에게 수집 동의를 받은 후 필요최소한의 이름, 연락처를 수집하여야 하며, 미성년자 개인정보 수집 완료 후 파기해야 한다.
- 미성년자의 개인정보 수집을 위해 법정대리인의 실제 날인, 전자서명, 본인확인 등을 확보하여야 하며, 전화를 통해 구두로 확인해선 안 된다.
- 정보주체(이용자) 이외로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의 획득 책임은 개인정보처리자에게 있다.
- 정보주체 이외로부터 정보를 수집한 경우, 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 않은 경우에는 관보나 간행물 등을 통해 알릴 수 있다.
- 신용정보법에 따라 동의를 받아 개인 정보를 제공한 자로부터 수집한 개인정보 또는 법령에 따라 제공한 개인정보는 개인정보를 제공받는 날로부터 3개월 이내 개인에게 알려야 한다.
- 정기적 수신동의 확인 시 수신자가 아무런 의사표시를 하지 않는 경우에는 수신동의 의사가 철회된 것으로 본다.[1]
각주
- ↑ 수신자가 아무런 의사표시를 하지 않은 경우 동의를 유지하는 것으로 본다.
