ISMS-P 인증심사원 인증 기준 풀이: Difference between revisions

From IT위키
(새 문서: *'''상위 문서: ISMS-P 인증심사원 교본''' ==암기 사항== ====ISMS-P 제도 관련 기간 등 숫자==== *ISMS 의무대상자 인증 의무 취득기간은 차년도 '''8.31.'''까지 *보완조치 기간 '''40일''', 재조치 요구기간 '''60일''' (총 '''100일''') *심사결과에 대한 이의신청 '''15일''' 이내 *심사기관은 인증위원회 후 '''30일''' 이내 보완조치 요구 *사후심사 '''1년''' 주기 *갱신심사 '''3년'''...)
 
 
(23 intermediate revisions by 5 users not shown)
Line 1: Line 1:
*'''상위 문서: [[ISMS-P 인증심사원 교본]]'''
*'''상위 문서: [[ISMS-P 인증심사원 교본]]'''
결함을 찾는 문제가 헷갈리는 이유는 '''1. 일부 심사가준에 제목으로 유추하기 힘든 확인사항들이 포함된 경우''', '''2. 하나의 원인으로 인해 여러 심사기준상의 결함이 발생한 경우'''가 많기 때문이다. 1번의 경우엔 심사 기준을 정독함으로써 어느 정도 해결이 가능하나, 2번은 '''가장 근본 적인 원인(root cause)'''이 되는 결함을 찾는 매커니즘의 이해와 훈련이 필요하다. 모의고사 등을 통해 하나의 원인으로 여러 기준상의 결함이 발생하는 사례들을 확인하고, 해설지 등을 통해 root cause를  찾는 방법을 파악해야 한다. 이는 중복되는 기준들에 따라 판단 근거가 매번 달라지므로 일관된 규칙이나 공식은 없다. 심지어는 심사 현장에서 관례적으로 이루어지는 내용들도 있으므로 사례를 많이 접하고 익히는 것이 중요하다.


==암기 사항==
== 유사한 인증 기준 ==


====ISMS-P 제도 관련 기간 숫자====
* 1.2.1 정보자산식별 vs 2.1.3 정보자산관리
** 1.2.1 정보식별은 자산에 대해 보안등급을 부여하라는 내용이고 2.1.3은 부여받은 보안등급을 표시(워터마킹, 바코드 )하라는 내용입니다


*ISMS 의무대상자 인증 의무 취득기간은 차년도 '''8.31.'''까지
* [[ISMS-P 인증 기준 1.1.3.조직 구성|'''1.1.3.조직 구성''']] vs [[ISMS-P 인증 기준 1.1.6.자원 할당|'''1.1.6.자원 할당''']]
*보완조치 기간 '''40일''', 재조치 요구기간 '''60일''' (총 '''100일''')
** 전문성 있는 인력이 채용이든 아웃소싱이든 확보되어 있지 않다는 내용이 확인되면 1.1.6 결함
*심사결과에 대한 이의신청 '''15일''' 이내
** 전문성 있는 인력의 부재를 알고 있으나 회사 사정상 할당을 해주지 못했다는 내용이 확인되면 1.1.6 결함
*심사기관은 인증위원회 후 '''30일''' 이내 보완조치 요구
** 다른 단서 없이 보안·개인정보 조직의 인력 구성이 전문성이 없는 경우 1.1.3 결함
*사후심사 '''1년''' 주기
* [[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토|'''1.4.1 법적 요구사항 준수 검토''']] vs [[ISMS-P 인증 기준 2.1.1.정책의 유지관리|'''2.1.1.정책의 유지관리''']]
*갱신심사 '''3년''' 주기
* [[ISMS-P 인증 기준 1.2.4.보호대책 선정|'''1.2.4.보호대책 선정''']] vs [[ISMS-P 인증 기준 1.3.1.보호대책 구현|'''1.3.1.보호대책 구현''']]
*갱신심사는 유효기간 만료 '''3개월''' 전에 신청
** [[ISMS-P 인증 기준 1.2.3.위험 평가|1.2.3.위험 평가]] -> [[ISMS-P 인증 기준 1.2.4.보호대책 선정|'''1.2.4.보호대책 선정''']] -> [[ISMS-P 인증 기준 1.3.1.보호대책 구현|'''1.3.1.보호대책 구현''']]으로 이어진다.
** 위험평가 결과에 맞는 보호대책을 선정하고 이행 계획을 승인 받는 과정이 미흡할 경우엔 1.2.4
** 선정된 보호대책이 일부 이행되지 않았거나 미흡하게 이행된 경우 1.3.1
* [[ISMS-P 인증 기준 1.4.2.관리체계 점검|'''1.4.2.관리체계 점검''']] vs [[ISMS-P 인증 기준 1.4.3.관리체계 개선|'''1.4.3.관리체계 개선''']]
** 관리체계 점검에 따른 문제점이 제대로 고쳐지지 않은 경우 1.4.3이라고 쉽게 생각할 수 있으나, 1.4.2 결합인 경우가 더 많다.
** 1.4.2는 관리체계의 점검뿐만 아니라 기본적인 이행 및 조치 결과 보고까지의 범위를 아우른다.
** 1.4.3의 경우 반복적으로 발생하는 문제에 대해 근본적인 해결을 하는 것을 주안점으로 한다. 즉 단순히 점검 결과의 미이행은 1.4.2에 해당한다.
* '''[[ISMS-P 인증 기준 2.3.1.외부자 현황 관리|2.3.1.외부자 현황 관리]]''' vs '''[[ISMS-P 인증 기준 2.3.3.외부자 보안 이행 관리|2.3.3.외부자 보안 이행 관리]]'''
** 외부자에 대한 보호 대책이 적용 되어 있는 상태에서 이행이 안 될 경우엔 2.3.3, 외부자에 대한 보안 대책이 마련되어 있지 않은 경우 2.3.1이다.
** '몰랐다.', '현실적으로 관리가 어렵다' 등의 내용이 나오면 2.3.3에 해당한다.
* [[ISMS-P 인증 기준 3.1.1.개인정보 수집 제한|'''3.1.1 개인정보 수집 제한''']] vs [[ISMS-P 인증 기준 3.1.2.개인정보의 수집 동의|'''3.1.2 개인정보 수집 동의''']]
* [[ISMS-P 인증 기준 2.8.1.보안 요구사항 정의|'''2.8.1.보안 요구사항 정의''']] vs [[ISMS-P 인증 기준 2.7.1.암호정책 적용|'''2.7.1.암호정책 적용''']] vs [[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토|'''1.4.1.법적 요구사항 준수 검토''']]
** 안전한 암호화 알고리즘 사용은 법적 요구사항이지만, 2.7.1 기준이 별도로 있기 때문에 취약한 암호화 알고리즘 사용은 2.7.1 결함이다.<ref>단, 오래전에 제정된 규정이, 개정되지 않아 취약해진 경우라면  [[ISMS-P 인증 기준 2.1.1.정책의 유지관리|2.1.1.정책의 유지관리]] 결함일수도 있다. (안전한 암호화 알고리즘의 기준 정립은 꽤 오래 전에 이루어졌으므로 그럴 가능성이 낮긴 함)</ref>
** 2.8.1에서 개발 보안 표준을 다루고 있으며, 개발 보안 표준에서 취약한 암호화 알고리즘이 명기되어 있다면 이는 2.8.1 결함이다. 마찬가지로 보안성 검토 기준이 법적 요구사항을 충족하지 못하는 경우에도 2.8.1 위반이 될 수 있다.<ref>코딩 표준의 암호화 알고리즘이 법적 요구사항을 충족하지 못하는 경우엔 2.8.1 결함이라고 안내서에 명확히 나와있다. 그 외에 보안성 검토  기준들이 법적 요구사항을 충족하지 못하는 경우엔 상황을 더 따져보아야 한다. (2.8.1에 따른 타당성 검토 및 인수 절차에 해당하는지, 유지관리의 문제는 아닌지 등)</ref>
* [[ISMS-P 인증 기준 2.8.3.시험과 운영 환경 분리|'''2.8.3.시험과 운영 환경 분리''']] vs [[ISMS-P 인증 기준 2.8.5.소스 프로그램 관리|'''2.8.5.소스 프로그램 관리''']] vs [[ISMS-P 인증 기준 2.8.6.운영환경 이관|'''2.8.6.운영환경 이관''']]
** 세가지 인증기준에 모두 운영계에 소스코드가 존재하거나 운영환경(운영계)에서 소스코드가 다루어지는 것에 대한 내용이 있다.
** 2.8.3의 경우 운영환경(운영계)에서 직접 개발을 하지 말라는 것이 주안점이며
** 2.8.5의 경우 운영환경(운영계)에서 소스코드를 보관 및 관리하지 말라는 것<ref>Java 등 응용 프로그램 개발 시엔 상황이 이해가 어려울 수 있으나, 웹 프로그램, 특히 컴파일이 없는 PHP 등의 개발 환경에서는 운영계에 소스코드가 존재할 수 밖에 없고, 가장 최신화된 소스가 운영계에 있는 소스이다. 소규모 조직의 경우 개발자 PC-운영계 소스코드만으로 소스코드 동기화, 관리 및 개발 반영이 이루어질 수 있는데, 이렇게 하지 말고 [[Git]]이든 [[SVN]]이든 별도 레파지토리를 운영하라는 것이다.</ref>이 주안점이고
** 2.8.6의 경우 운영환경(운영계)엔 운영에 필요한 파일 외에는 올리지 말라는 것이 주안점이다.


====주요 법률상 암기사항====
== 제목으로 유추가 어려운 인증 기준 ==
법률적인 암기사항들은 상당 비율이 개인정보 보호와 관련되어 나온다. CPPG 공부를 했다면 큰 도움이 될 수도 있다. 개인정보 보호 분야가 일반적인 보안 분야보다 법에서 정해진대로 수행하는 정형화된 부분이 많고 법령 및 고시에서 몇가지를 정하여 나열하고 있는 경우가 많기 때문에 문제를 출제하기가 수월하다.
아래 내용들은 암기가 필요하다.  세션 타임아웃에 관한 내용이 문제로 나왔을 경우, 상식적으로 "응용프로그램 접근"이나 "정보시스템 접근"과 같은 "접근 통제"와 관련되어 보이는 제목의 인증 기준이 답일 것이라고 유추하기 힘들다. 인증 기준들을 꼼꼼히 읽어보았거나, 역으로 깊게 생각해보면 시스템에 오랫동안 로그인이 유지되어 있으면 자리를 비운 사이 누군가가 접근을 할 수 있게 되는 등의 접근 통제와 관련되었다고 볼 수 있지만, 훈련이 되어 있지 않다면 실전에선 다른 항목에서 결함을 찾으려고 할 가능성도 매우 높기 때문이다.


'''개인정보 수집·이용 동의 시 고지 정보'''
■ [[ISMS-P 인증 기준 1.1.3.조직 구성|'''1.1.3.조직 구성''']]
*조직이 구성되어 있으나 조직이 구성만 되어 있고 운영되지 않는 경우도 포함됨
■ [[ISMS-P 인증 기준 2.6.3.응용프로그램 접근|'''2.6.3.응용프로그램 접근''']]


#개인정보의 수집·이용 '''목'''적
*중요정보의 필요최소한의 노출 구현
#수집하려는 개인정보의 '''항'''목
*세션 타임아웃 설정
#개인정보의 보유 및 이용'''기'''간
#동의를 '''거'''부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용


'''서면 동의 시 중요하게 표시하여야 하는 내용'''
■ [[ISMS-P 인증 기준 2.6.2.정보시스템 접근|'''2.6.2.정보시스템 접근''']]


#개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
*세션 타임아웃 설정
#처리하는 개인정보 항목 중 민감정보, 여권번호, 운전면허번호, 외국인등록번호
*불필요한 포트 식별
#개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)
*주요 서비스 독립 서버 운영
#개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적


'''서면 동의 시 중요한 내용의 표시 방법'''
■ [[ISMS-P 인증 기준 2.6.4.데이터베이스 접근|'''2.6.4.데이터베이스 접근''']]


#글씨의 크기는 최소한 9포인트 이상으로서 다른 내용보다 20퍼센트 이상 크게 하여 알아보기 쉽게 할 것
*테이블 목록 등 정보 식별
#글씨의 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것
[[ISMS-P 인증 기준 2.8.6.운영환경 이관|'''2.8.6.운영환경 이관''']]
#동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것
 
'''정보주체 이외로부터의 수집 시 통지 대상'''
 
#5만 명 이상 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 자
#100만 명 이상의 정보주체에 관한 개인정보를 처리하는 자
 
'''정보주체 이외로부터의 수집 시 통지 항목'''
 
#개인정보의 수집 출처
#개인정보의 처리 목적
#개인정보 처리의 정지를 요구할 권리가 있다는 사실
 
'''정보주체 이외로부터의 수집 시 통지 시기'''
 
#'''(기본)''' 개인정보를 제공받는 날로부터 3개월 이내
#'''(예외)''' 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는
#*제공받은 날부터 3개월 이내에 통지하거나
#*그 동의를 받은 날부터 '''기산하여 연 1회 이상''' 통지
 
'''법률에 따라 주민등록번호를 수집 가능한 경우'''<ref>[[ISMS-P 인증 기준 3.1.3.주민등록번호 처리 제한|안내서에서 명시한]] 개인정보 보호법, 정보통신망법의 사항만 기술하였다. 금융실명제법, 소득세법 등 개별 법률에서 규정한 경우들이 많으며, 이들 모두 아래의 1번 사항에 해당한다.</ref>
 
#법률·대통령령·국회규칙·대법원규칙·헌법재판소 규칙·중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
#정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
#주민등록번호 처리가 불가피한 경우로서 개인 정보보호위원회가 고시로 정하는 경우
#본인확인기관으로 지정받은 경우
#「전기통신사업법」 제38조제1항에 따라 기간 통신사업자로부터 이동통신서비스 등을 제공받아 재판매하는 전기통신사업자가 제23조의3에 따라 본인확인기관으로 지정받은 이동통신사업자의 본인확인업무 수행과 관련하여 이용자의 주민 등록번호를 수집·이용하는 경우
 
'''기록 보관 및 점검'''


*'''접속 기록 보관'''
* 소스코드를 운영 환경에 두지 않기<ref>소스코드 뿐만 아니라 운영서버에 서비스 실행에 불필요한 파일(배포모듈, 백업본, 개발 관련 문서, 매뉴얼 등) 모두 해당</ref>
**최소 '''1년''' 이상
■ [[ISMS-P 인증 기준 2.10.1.보안시스템 운영|'''2.10.1.보안시스템 운영''']]
**다음의 경우엔 최소 '''2년''' 이상
***5만 명 이상의 정보주체에 관하여 개인정보를 처리
***고유식별정보 또는 민감정보를 처리
***「전기통신사업법」 제5조에 따른 기간통신사업자
*'''접속기록 점검'''
**'''월 1회''' 이상
*'''권한 변경 기록 보관'''
**개인정보처리자: 최소 '''3년'''
**정보통신서비스 제공자 등: 최소 '''5년'''


'''타 법령에 따른 보유기간(예시)'''
* VPN 등 보안시스템에 해당되는 시스템의 계정 관리 미흡


#전자상거래 등에서 소비자 보호에 관한 법률
■ [[ISMS-P 인증 기준 2.10.8.패치관리|'''2.10.8.패치관리''']]
#*① 표시·광고에 관한 기록: '''6개월'''
#*② 계약 또는 청약철회 등에 관한 기록: '''5년'''
#*③ 대금결제 및 재화 등의 공급에 관한 기록: '''5년'''
#*④ 소비자의 불만 또는 분쟁처리에 관한 기록: '''3년'''
#통신비밀보호법컴퓨터 통신 또는 인터넷의 로그기록 자료, 정보통신기기의 위치를 확인할 수 있는 접속지 추적 자료: '''3개월'''


'''개인정보 처리방침 포함 항목'''
* 패치관리시스템의 접근 통제


#개인정보의 처리 목적
■ '''가상자산 사업자의 [[ISMS-P 인증 기준 1.2.3.위험 평가|1.2.3.위험 평가]]'''
#처리하는 개인정보의 항목
#개인정보의 처리 및 보유 기간
#개인정보의 제3자 제공에 관한 사항(해당하는 경우에만 정한다)
#개인정보의 파기에 관한 사항
#개인정보 처리 수탁자 담당자 연락처, 수탁자의 관리 현황 점검 결과 등 개인정보처리 위탁에 관한 사항(해당하는 경우에만 정한다)
#영 제30조제1항에 따른 개인정보의 안전성 확보조치에 관한 사항
#개인정보의 열람, 정정·삭제, 처리정지 요구권 등 정보주체의 권리·의무 및 그 행사방법에 관한 사항
#개인정보 처리방침의 변경에 관한 사항
#개인정보 보호책임자에 관한 사항
#개인정보의 열람청구를 접수·처리하는 부서
#정보주체의 권익침해에 대한 구제방법


'''내부 관리계획 포함 사항'''
* 가상자산 사업자의 경우 위험평가 대상으로 다음을 포함한다.
** CEO 사망, 내부유출, 부정거래, 자연재해, 키 분실, 월렛서버 탈취, 멀티시그 제공 여부, 콜드월렛과 핫월렛의 보유액 비율. 노드서버 네트워크 접근 제어
* 자칫 1.2.1 정보자산 식별, 2.6.1 네트워크 접근, 2.6.2 정보시스템 접근, 2.5.2 사용자 인증 등의 결함으로 보일 수 있다.
* 하지만 가상자산 사업자이고, 파악되지 않은 위협들이 여러가지 등장하는 경우 1.2.3이 정답일 확률이 높다.
'''2,6.*이 아님에도 접근통제를 포함한 인증 기준'''


#개인정보 보호책임자의 지정에 관한 사항
* 네트워크, 정보시스템, 응용프로그램 등 접근통제에 관한 인증 기준들은 [[ISMS-P 인증 기준 2.6.접근통제]]에 몰려 있지만 그 외의 항목에서 특정 대상에 대한 접근통제가 요구되는 경우가 있다. 접근통제에 대한 모든 결함은 2.6 접근통제 기준 중 하나에 포섭이 가능하지만, 의외로 제목으론 유추가 안되는 기준에 접근통제가 요구사항이 정의되어 있어 그 기준이 답이 되는 경우도 있으니 세부 내용을 잘 확인하여야 한다.
#개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
* '''[[ISMS-P 인증 기준 2.10.1.보안시스템 운영]]'''
#개인정보취급자에 대한 교육에 관한 사항
** 보안시스템에 대한 접근 통제
#접근 권한의 관리에 관한 사항
* '''[[ISMS-P 인증 기준 2.10.8.패치관리]]'''
#접근 통제에 관한 사항
** PMS를 운영하는 경우 PMS에 대한 접근 통제
#개인정보의 암호화 조치에 관한 사항
* '''[[ISMS-P 인증 기준 2.9.3.백업 복구관리]]'''
#접속기록 보관 및 점검에 관한 사항
** 백업 매체 장소에 대한 접근 통제
#악성프로그램 등 방지에 관한 사항
#물리적 안전조치에 관한 사항
#개인정보 보호조직에 관한 구성 및 운영에 관한 사항
#개인정보 유출사고 대응 계획 수립·시행에 관한 사항
#위험도 분석 대응방안 마련에 관한 사항
#재해 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
#개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
#그 밖에 개인정보 보호를 위하여 필요한 사항


'''개인정보 이용 내역 통지 대상'''
'''3.*.*이 아님에도 외에 개인정보 보호를 포함한 인증 기준'''


#전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일평균 100만 명 이상이거나,
* 개인정보 보호와 관련된 인증 기준들은 모두 [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항]]에 있다. 이는 ISMS-P가 아닌 ISMS에는 적용되지 않는 인증 기준들이다. 하지만 ISMS를 받는 경우에도 개인정보와 관련된 일부 요구사항들이 포함되어 있어 ISMS만 받는 상황에서 개인정보 관련 결함이 나올 경우 해당 인증 기준을 선택하여야 한다.
#정보통신서비스 부문 전년도(전 사업연도) 매출액이 100억 원 이상인 정보통신서비스제공자등
* '''[[ISMS-P 인증 기준 2.10.1.보안시스템 운영]]'''
 
** 개인정보처리시스템에 대한 불법적인 접근 및 개인정보 유출 방지를 위하여 법령에서 정한 기능을 수행하는 보안시스템을 설치·운영
'''개인정보 이용 내역 통지 방법 및 예외'''
* '''[[ISMS-P 인증 기준 2.6.3.응용프로그램 접근]]'''
 
** 개인정보의 Like 검색 금지
#'''통지 주기''': 연 1회 이상
* '''[[ISMS-P 인증 기준 2.6.6.원격접근 통제]]'''
#'''통지 방법''': 전자우편·서면·모사전송·전화 또는 이와 유사한 방법 중 어느 하나의 방법
** 개인정보처리시스템의 관리·운영·개발·보안 등을 목적으로 원격으로 직접 접속하는 단말기(관리용 단말기)에 대하여 보호조치를 적용
#'''통지 예외''': 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우
* [[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험|'''ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험''']]
 
** 공공기관 개인정보 영향평가 대상인데 수행하지 못한 경우
'''개인정보 이용내역 통지 항목'''
** 이런 다른 법률 준수 여부, 예를 들어 '''[[개인정보 손해배상 책임보험|개인정보 배상책임 보험]]'''이나 [[정보보호 공시 제도|'''정보보호 공시''']] 대상인데 이를 이행하지 않은 경우엔 [[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토|'''1.4.1.법적 요구사항 준수 검토''']] 결함이나, 개인정보 영향평가는 법적 요구사항인 동시에 보안 요구사항 검토와 직결된 문제이므로 1.4.1이 아닌 2.8.2라는 점을 기억해야 함
 
** 또한 2.8.2는 대부분 [[ISMS-P 인증 기준 2.8.1.보안 요구사항 정의|'''2.8.1.보안 요구사항 정의''']]에서 정의된 보안 요구사항을 제대로 검토하고 시험하지 못한 경우에 대한 결함을 다루나, 개인정보 영향평가는 따로 정의할 필요가 없는 법적 요구사항이라 '개인정보 영향평가를 해야한다'라는 사실조차 누락한 경우라도 2.8.1이 아닌 2.8.2 결함임
#개인정보의 수집·이용 목적 및 수집한 개인정보의 항목
#개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목<ref>다만 「통신비밀보호법」 제13조, 제13조의2, 제13조의4 및 「전기통신사업법」 제83조제3항에 따라 제공한 정보는 제외</ref>
 
'''개인정보 유출 시 통지 및 신고 의무 및 기한'''
 
#'''(정보주체 통지)''' 유출 건수와 상관 없이 지체 없이 통지
#'''(정부당국 신고)''' 유출된 정보주체의 수가 1천명 이상인 경우<ref>개인정보보호위원회 또는 한국인터넷진흥원에 신고</ref>
#'''(홈페이지 게시)''' 유출된 정보주체의 수가 1천명 이상인 경우
 
'''개인정보 유출 시 통지 항목'''
 
#유출등이 된 '''개인정보 항목'''
#유출등이 발생한 '''시점'''과 '''경위'''
#'''이용자'''가 피해를 최소화하기 위해 취할 수 있는 '''조치'''
#'''정보통신서비스''' 제공자등의 대응 '''조치'''
#이용자가 상담 등을 접수할 수 있는 '''부서 및 연락처'''
 
'''공개된 장소에 영상정보처리기기를 설치·운영할 수 있는 경우'''<ref>아래에도 불구하고 목용탕, 탈의실 등 사생활을 현저히 침해할 수 있는 경우엔 설치 불가. 그럼에도 불구하고 교도소 등 특수 시설엔 예외적으로 허용됨</ref>
 
#법령에서 구체적으로 허용하고 있는 경우
#범죄의 예방 및 수사를 위하여 필요한 경우
#시설안전 및 화재 예방을 위하여 필요한 경우
#교통단속을 위하여 필요한 경우
#교통정보의 수집·분석 및 제공을 위하여 필요한 경우
 
'''영상정보처리기기 설치 시 안내판에 포함시킬 사항'''<ref>군사시설, 국가 중요시설, 국가보안 시설은 안내판을 설치하지 않을 수 있음</ref>
 
#설치 목적 및 장소
#촬영 범위 및 시간
#관리책임자 이름 및 연락처
#위탁받은 자의 명칭 및 연락처(영상정보처리기기 설치·운영 사무 위탁 시)
 
'''영상정보처리기기 운영·관리 방침에 포함될 사항'''
 
#영상정보처리기기의 설치 근거 및 설치 목적
#영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위
#관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람
#영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법
#영상정보처리기기운영자의 영상정보 확인 방법 및 장소
#정보주체의 영상정보 열람 등 요구에 대한 조치
#영상정보 보호를 위한 기술적ㆍ관리적 및 물리적 조치
#그 밖에 영상정보처리기기의 설치ㆍ운영 및 관리에 필요한 사항
 
'''가명처리하여 정보주체 동의 없이 사용 가능한 분야'''
 
#통계 작성 (시장조사 등 상업적 목적의 통계작성을 포함)
#과학적 연구 (산업적 연구를 포함)
#공익적 기록보존
 
'''개인정보 처리자 유형'''
{| class="wikitable"
!적용 대상
!안전조치 제외 기준
|-
|'''유형1 - 완화'''
*정보주체 1만명 미만 소상공인, 단체, 개인
|
*제4조: 내부 관리계획 수립
*제5조 ①: 개인정보처리권한 차등 부여, ⑥: 비밀번호 연속 오입력 차단
*제6조 ②: 외부에서 개인정보처리시스템 접속 시 전용선·VPN 등 사용
*제6조 ④: 연1회 취약점 점검, ⑤: 세션 타임아웃
*제7조 ⑥: 암호키 관리
*제12조 ①: 재해재난 대비, ②: 백업 및 복구 계획
|-
|'''유형2 - 표준'''
*정보주체 1만명 이상 소상공인, 단체, 개인
*정보주체 100만명 미만 중소기업
*정보주체 10만명 미만 대기업, 중견기업, 공공기관
|
*제4조 ①: 내부 관리계획 수립 시 '''아래 사항 제외'''
**위험도 분석 및 대응방안 마련에 관한 사항
**재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
**인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
*제7조 ⑥: 암호키 관리
*제12조 ①: 재해재난 대비, ②: 백업 및 복구 계획
|-
|'''유형3 - 강화''' (그 외)
|없음 (전체 다 해당)
|}
'''개인정보 보호책임자 지정 기준'''
 
*'''공공기관'''
*#'''헌법기관 및 중앙행정기관''': 고위공무원<ref>그에 상당하는 공무원. 이하 공무원 직급에 관한 모든 케이스에서 동일하다.</ref>
*#'''정무직공무원이 장인 기관''': 3급 이상 공무원
*#'''고위공무원이 장인 기관''': 4급 이상 공무원
*#'''시도·교육청''': 3급 이상 공무원
*#'''시군·자치구''': 4급 이상 공무원
*#'''각급 학교''': 해당 학교의 행정사무를 총괄하는 사람
*#'''그 외 공공기관등''': 개인정보 처리 관련 업무를 담당하는 부서의 장
*'''그 외'''
*#사업주 또는 대표자
*#임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)
 
'''정보보호최고책임자 지정 후 신고하지 않아도 되는 경우'''
 
#자본금 1억원 이하
#소기업
#중기업 (아래 제외)
#*전기통신사업자
#*ISMS 의무 대상
#*개인정보처리자
#*통신판매업자
 
'''정보보호최고책임자를 임원(이사)으로 지정해야 하는 경우 (※ +겸직금지)'''
 
#직전 사업연도 말 기준 자산총액이 '''5조원 이상'''인 자
#ISMS 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 '''5천억원 이상'''인 자
 
'''정보보호최고책임자의 전문성 요건'''
 
*'''정보보호책임자를 지정 후 신고해야 하는 경우'''
*#정보보호 또는 정보기술 분야의 국내 또는 외국의 '''석사학위''' 이상 학위를 취득한 사람
*#정보보호 또는 정보기술 분야의 국내 또는 외국의 '''학사학위'''를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 '''3년 이상 수행'''한 경력이 있는 사람
*#정보보호 또는 정보기술 분야의 국내 또는 외국의 '''전문학사학위'''를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 '''5년 이상 수행'''한 경력이 있는 사람
*#정보보호 또는 정보기술 분야의 업무를 '''10년 이상 수행'''한 경력이 있는 사람
*#법 제47조제6항제5호에 따른 '''정보보호 관리체계 인증심사원'''의 자격을 취득한 사람
*#해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 '''부서의 장으로 1년 이상 근무'''한 경력이 있는 사람
*'''정보보호책임자를 임원으로 지정해야 하고 겸직이 금지된 경우'''
*#정보보호 분야 업무 4년 이상 수행 경력
*#정보보호 분야 업무를 수행한 경력과 정보기술 분야의 업무를 수행한 경력을 합산한 기간이 5년(그 중 2년 이상은 정보보호 분야의 업무를 수행)
 
'''망분리 의무 대상'''<ref>여러 수험서에서 공공기관을 대상으로 한 결함 사례를 찾는 문제가 나오면 망분리를 지적하는 지문은 잘못된 지문으로 취급된다. 이는 대부분의 공공기관들이 아래 요건에 충족이 안 되기 떄문인데, 실제론 공공기관 중에서도 정보통신서비스 제공자나 금융회사 등의 대상이 될 있을 수 있으므로 주의해야 한다.</ref>
 
#정보통신서비스 제공자 등
#*전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 이상 또는 정보통신서비스부문 전년도 매출액이 100억 원 이상
#**개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우엔 망 분리
#금융회사
#본인신용정보관리업자(마이데이터 사업자)
 
'''암호화 대상'''<ref>개인정보 보호법에 따른 암호화 대상 개인정보 한정</ref>
{| class="wikitable"
!구분
!개인정보처리자
!정보통신서비스 제공자
|-
|'''정보통신망을 통한 전송 시'''
|고유식별정보, 비밀번호, 생체인식정보
|개인정보, 인증정보
|-
|'''보조저장매체로 저장·전달 시'''
|고유식별정보, 비밀번호, 생체인식정보
|개인정보
|-
| rowspan="3" |'''개인정보 처리시스템 저장 시'''
| colspan="2" |주민등록번호, 비밀번호, 생체인식정보 (다만 비밀번호는 일방향 암호화)
|-
| -
|신용카드번호, 계좌번호
|-
|여권번호, 외국인등록번호, 운전면허번호
인터넷구간, DMZ 저장 시 암호화 저장
내부망 저장 시 암호화 저장 또는 위험도 분석 (또는 영향평가)
|여권번호, 외국인등록번호, 운전면허번호
|-
|'''업무용 컴퓨터/ 모바일 기기 저장 시'''
|고유식별정보, 비밀번호, 생체인식정보
|개인정보
|}
'''정보주체의 권리'''
 
*열람, 정정, 삭제, 처리정지 요구
*개인정보 처리자는 요구를 받은 날로부터 '''10일 내''' 회신
 
'''개인정보 파기'''
 
*특별한 사정이 없는 한 개인정보가 불필요하게 된 때로부터 '''5일 내''' 파기
 
====주요 기술적 암기사항====
사실 기술 관련 문제는 정해진 범위는 없으나 대략 보안산업기사 필기 수준의 문제 범위는 모두 포함된다고 봐야 한다. 보안기사나 보안산업기사 책을 훑어 보거나, 만약 취득하지 않았다면 같이 공부해서 취득하는 것도 도움이 될 수 있다.
 
*'''안전한 [[암호화 알고리즘]]'''
 
{| class="wikitable"
!구분
!안전한 알고리즘
!안전하지 않은 알고리즘
|-
|대칭키 암호 알고리즘
|[[SEED]], [[3DES]]<ref>기존 DES와의 호환성을 위해 DES를 활용해 반복적인 연산을 함으로써 안전성을 높인 알고리즘으로, 취약하다고 분류하지는 않지만 그렇다고 사용을 권장하진 않는다. 불가피한 경우 사용을 허용하는 정도.</ref>, [[ARIA|ARIA-128/192/256]], [[AES|AES-128/192/256]], [[HIGHT]], [[LEA]] 등
|[[DES]], [[RC4]]
|-
|공개키 암호 알고리즘
|RSAES-OAEP, RSAES-PKCS1 등
|(키 길이 기준)<ref>현재 일반적으로 사용되는 공개키 알고리즘 중 알고리즘 자체가 취약하다고 평가된 경우는 없으나 키 길이가 2048 미만일 경우 안전하지 않은 것으로 본다.</ref>
|-
|일방향 암호 알고리즘
|[[SHA|SHA-256/384/512]] 등
|[[SHA-1]], [[HAS-160]], [[MD5]]
|}
 
*'''[[대칭키 암호화]]와 [[공개키 암호화]]'''
*'''[[해시]]'''
*'''[[전자서명]]'''
*'''[[전자 봉투]]'''
*[[공개키 기반 구조|'''공개키 기반 구조(PKI)''']], '''[[X.509]]'''
 
*'''[[리눅스 유저 로그]]'''
**[[리눅스 wtmp|wtmp]], [[리눅스 lastlog|lastlog]] 등은 필수적으로 알아둘 것
*'''[[리눅스 권한]]'''
**777, 644 등이 어떤 의미를 가지는지 알고 있어야 한다.
*'''[[리눅스 shadow]]'''
*'''[[가상 사설망]]'''
*'''[[IPSec]]'''
 
==헷갈리는 심사 기준==
결함을 찾는 문제가 헷갈리는 이유는 1. 일부 심사가준에 제목으로 유추하기 힘든 확인사항들이 포함된 경우, 2. 하나의 원인으로 인해 여러 심사기준상의 결함이 발생한 경우가 많기 때문이다. 1번의 경우엔 심사 기준을 정독함으로써 어느 정도 해결이 가능하나, 2번은 가장 근본 적인 원인(root cause)이 되는 결함을 찾는 매커니즘의 이해와 훈련이 필요하다. 모의고사 등을 통해 하나의 원인으로 여러 기준상의 결함이 발생하는 사례들을 확인하고, 해설지 등을 통해 root cause를  찾는 방법을 파악해야 한다. 이는 중복되는 기준들에 따라 판단 근거가 매번 달라지므로 일관된 규칙이나 공식은 없다. 심지어는 심사 현장에서 관례적으로 이루어지는 내용들도 있으므로 사례를 많이 접하고 익히는 것이 중요하다.
 
===제목으로 유추가 어려운 심사 기준===
[[ISMS-P 인증 기준 2.6.3.응용프로그램 접근|'''ISMS-P 인증 기준 2.6.3.응용프로그램 접근''']]
 
*중요정보의 필요최소한의 노출 구현
*세션 타임아웃 설정
 
[[ISMS-P 인증 기준 2.6.2.정보시스템 접근|'''ISMS-P 인증 기준 2.6.2.정보시스템 접근''']]
 
*세션 타임아웃 설정
*불필요한 포트 식별
*주요 서비스 독립 서버 운영
 
[[ISMS-P 인증 기준 2.6.4.데이터베이스 접근|'''ISMS-P 인증 기준 2.6.4.데이터베이스 접근''']]
 
*테이블 목록 등 정보 식별
 
[[ISMS-P 인증 기준 1.1.3.조직 구성|'''ISMS-P 인증 기준 1.1.3.조직 구성''']]
 
*조직이 구성되어 있으나 조직이 구성만 되어 있고 운영되지 않는 경우도 포함됨
 
===빈출 결함 사례===


== 빈출 결함 사례 ==
*'''서버에서 CURL이 된다.'''
*'''서버에서 CURL이 된다.'''
**-> [[ISMS-P 인증 기준 2.6.7.인터넷 접속 통제]] 결함
**[[ISMS-P 인증 기준 2.6.7.인터넷 접속 통제]] 결함
*'''서버에서 텔넷이 된다.'''
*'''서버에서 텔넷이 된다.'''
**-> [[ISMS-P 인증 기준 2.6.2.정보시스템 접근]] 결함
**[[ISMS-P 인증 기준 2.6.2.정보시스템 접근]] 결함
*'''불필요한 방화벽이 있다.'''
*'''불필요한 방화벽 정책이 있다.'''
**-> [[ISMS-P 인증 기준 2.10.1.보안시스템 운영]] 결함
**▶ '''[[ISMS-P 인증 기준 2.10.1.보안시스템 운영|2.10.1.보안시스템 운영]]''' 결함
**취약한 네트워크 방화벽 정책이 있다 -> 그런데 실제로 해당 정책이 동작은 되지 않는다 -> 불필요한 정책을 삭제하지 않은 2.10.1 결함임
**취약한 네트워크 방화벽 정책이 있다 -> 그런데 실제로 해당 정책이 동작은 되지 않는다 -> 불필요한 정책을 삭제하지 않은 2.10.1 결함임
**만약 정책이 실제로 동작하는 정책인 경우 [[ISMS-P 인증 기준 2.6.1.네트워크 접근]], [[ISMS-P 인증 기준 2.6.7.인터넷 접속 통제]] 결함일 수 있음
**방화벽 정책이라고 무조건 [[ISMS-P 인증 기준 2.6.1.네트워크 접근|2.6.1.네트워크 접근]] 결함이 아님에 주의
**만약 정책이 실제로 동작하는 정책인 경우 [[ISMS-P 인증 기준 2.6.1.네트워크 접근|2.6.1.네트워크 접근]], [[ISMS-P 인증 기준 2.6.7.인터넷 접속 통제|2.6.7.인터넷 접속 통제]] 결함일 수 있음
*'''ISMS 인증심사 중 개인정보 보호법 위반 발견'''
*'''ISMS 인증심사 중 개인정보 보호법 위반 발견'''
**-> [[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토]]
**▶ '''[[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토|1.4.1.법적 요구사항 준수 검토]]''' 결함
**개인정보 보호법 위반 사항이면 대부분 3.x.x 기준에 대한 결함인 경우가 많다. 하지만 ISMS-P가 아닌 ISMS 인증 심사의 경우 3.x.x 기준은 심사 대상이 아니다.
**개인정보 보호법 위반 사항이면 대부분 3.x.x 기준에 대한 결함인 경우가 많다. 하지만 ISMS-P가 아닌 ISMS 인증 심사의 경우 3.x.x 기준은 심사 대상이 아니다.
**그렇다고 개인정보와 관련되어선 결함을 잡지 못하는 것은 아니다. 명백히 법령·고시 위반이 발견된 경우 1.4.1로 결함처리 가능하다.
**그렇다고 개인정보와 관련되어선 결함을 잡지 못하는 것은 아니다. 명백히 법령·고시 위반이 발견된 경우 1.4.1로 결함처리 가능하다.
*'''개인정보 Like 검색됨'''
*'''개인정보 Like 검색됨'''
**-> (ISMS 인증인 경우) [[ISMS-P 인증 기준 2.6.3.응용프로그램 접근|ISMS-P 인증 기준 2.6.3.응용프로그램 접근]]
**(ISMS 인증인 경우) [[ISMS-P 인증 기준 2.6.3.응용프로그램 접근|'''2.6.3.응용프로그램 접근''']] '''결함'''
**-> (ISMS-P 인증인 경우) [[ISMS-P 인증 기준 3.2.3.개인정보 표시제한 및 이용 시 보호조치]]
**<s>(ISMS-P 인증인 경우) [[ISMS-P 인증 기준 3.2.3.개인정보 표시제한 및 이용 시 보호조치|'''3.2.3.개인정보 표시제한 및 이용 시 보호조치''']] 결함</s>
*'''보안감사(관리체계 점검) 수행 시 수행인력에 평가대상 조직의 구성원이 있는 경우'''
**▶ [[ISMS-P 인증 기준 1.4.2.관리체계 점검|'''1.4.2.관리체계 점검''']] 결함
*'''시스템 백업 주기가 재해 복구 계획의 RPO를 충족하지 못할 경우'''
**▶ '''[[ISMS-P 인증 기준 2.12.1.재해, 재난 대비 안전조치|2.12.1.재해, 재난 대비 안전조치]]''' 결함
**[[ISMS-P 정책의 유지관리|정책의 유지관리]]나 [[ISMS-P 백업 및 복구관리|백업 및 복구관리]] 결함이 아님을 주의
*'''새롭게 도입한 장비, 시스템에 대한 보안성 검토가 이루어지지 않았다.'''
**'''▶ [[ISMS-P 인증 기준 2.8.1.보안 요구사항 정의|2.8.1.보안 요구사항 정의]]''' 결함
**검토가 이루어지지 않았다고 해서 [[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험|2.8.2.보안 요구사항 검토 및 시험]] 결함이 아님을 주의
*'''정보 자산들에게 잘못된 보안등급이 부여되어 있거나 보안등급이 최신화되지 않음'''
**'''▶ [[ISMS-P 인증 기준 1.2.1.정보자산 식별|1.2.1.정보자산 식별]]''' 결함
**[[ISMS-P 인증 기준 1.2.3.위험 평가|1.2.3.위험 평가]] 결함이 아님을 주의
*'''운영 환경에서 소스코드가 존재'''
**'''▶ [[ISMS-P 인증 기준 2.8.6.운영환경 이관|2.8.6.운영환경 이관]]''' 결함
**[[ISMS-P 인증 기준 2.8.5.소스 프로그램 관리|2.8.5.소스 프로그램 관리]] 결함이 아님을 주의<ref>해당 항목에도 운영 환경에 소스코드를 두지 말라는 내용이 있으나, 원칙만 제시되어 있으며, 2.8.6에선 주요 확인사항과 결함 사례에서 모두 해당 요구사항 확인 가능</ref>
*'''회원가입, 로그인, 개인정보 수정 화면 등이 https가 아닌 http로 되어 있다.'''
**'''▶ [[ISMS-P 인증 기준 2.7.1.암호정책 적용|2.7.1.암호정책 적용]]''' 결함


===중첩된 심사 기준 판단 사례===
== 중첩된 인증 기준 판단 사례 ==
아래 내용들은 실제 심사 사례나 모의고사 등을 통해 헷갈리는 사례들을 모아 놓은 것이니 참고할 것. 다만, 사적인 경험이나 문제집에서 도출된 것이며 KISA의 공식 확인이 있었던 것은 아니라 실제 KISA의 인증심사원 문제의 해석 방향과 일치하지 않을 수 도 있으니 주의할 것. 의구심이 있는 내용이 있으면 서로 편집하거나 토론을 통해 해결할 수 있다.
아래 내용들은 실제 심사 사례나 모의고사 등을 통해 헷갈리는 사례들을 모아 놓은 것이니 참고할 것. 다만, 사적인 경험이나 문제집에서 도출된 것이며 KISA의 공식 확인이 있었던 것은 아니라 실제 KISA의 인증심사원 문제의 해석 방향과 일치하지 않을 수 도 있으니 주의할 것. 의구심이 있는 내용이 있으면 서로 편집하거나 토론을 통해 해결할 수 있다.


<blockquote>'''사용자 계정 발급 절차 없이 하나의 계정을 여러명이 쓰거나 한명이 여러개의 계정을 만들어 사용하여 계정별 사용자에 대한 식별이 불가한 경우'''</blockquote>
하나의 문제가 두 가지 이상의 인증 기준에 따른 결함으로 중첩되어 해당하는 경우, 가장 기본적인 판단 기준은 아래와 같다.
 
* '''두 인증 기준에 따른 결함이 서로 인과관계가 있을 경우''', 더 근본적인 원인(root cause)에 해당하는 인증 기준이 정답이 된다.
** 시기적으로나 업무 절차적으로 더 선순위에 해당하거나, 더 큰 범위의 포괄적인 문제를 관장하는 경우가 더 근본적이라고 판단할 수 있다.
* '''두 인증 기준에 중첩되어 해당되지만 인과간계를 갖지 않는 경우''', 더 정확하게 맞아 떨어지는(best fit) 인증 기준이 정답이 된다.
** B에 대한 문제인데, 1번 인증기준은 A, B, C에 모두 해당될 수 있는 경우이고 2번 인증 기준은 B에만 해당될 수 있다면 2번 인증 기준이 정답이 된다.
 
'''위 두 가지 기준으로 판단된 실제 사례들은 아래를 통해 확인할 수 있다.'''<blockquote>'''사용자 계정 발급 절차 없이 하나의 계정을 여러 명이 쓰거나 한 명이 여러 개의 계정을 만들어 사용하여 계정별 사용자에 대한 식별이 불가한 경우'''</blockquote>


*'''(참고)''' 관련 인증 기준
*'''(참고)''' 관련 인증 기준
**[[ISMS-P 인증 기준 2.5.1.사용자 계정 관리]]
**[[ISMS-P 인증 기준 2.5.1.사용자 계정 관리|2.5.1.사용자 계정 관리]]
**[[ISMS-P 인증 기준 2.5.2.사용자 식별]]
**[[ISMS-P 인증 기준 2.5.2.사용자 식별|2.5.2.사용자 식별]]
*'''(정답 및 해설)'''  
*'''(정답 및 판단근거)'''  
**더 근본적인 원인을 찾는 대표적인 사례라고 할 수 있다. 일단 지금 사례만 보았을 때는 2.5.1과 2.5.2의 결함 사례에 모두 해당이 된다. 하지만 여기서 계정의 사용자가 식별이 되지 않는 문제는 명백하게 사용자 계정 발급 절차가 없음에 기인한다고 볼 수 있다.
**더 근본적인 원인을 찾는 대표적인 사례라고 할 수 있다. 일단 지금 사례만 보았을 때는 2.5.1과 2.5.2의 결함 사례에 모두 해당이 된다. 하지만 여기서 계정의 사용자가 식별이 되지 않는 문제는 명백하게 사용자 계정 발급 절차가 없음에 기인한다고 볼 수 있다.
**만약 계정 발급 절차가 있는데도 불구하고 계정이 무분별하게 생성되고 사용자 식별이 안되는 경우라면 2.5.2 결함일 수 있다. 하지만 이 두 가지 모두에서 결함이 확인된다면 2.5.1을 해결하면 두가지 문제가 모두 해결될 수도 있다고 판단하고 우선 2.5.1을 결함으로 잡게 된다.
**만약 계정 발급 절차가 있는데도 불구하고 계정이 무분별하게 생성되고 사용자 식별이 안되는 경우라면 2.5.2 결함일 수 있다. 하지만 이 두 가지 모두에서 결함이 확인된다면 2.5.1을 해결하면 두가지 문제가 모두 해결될 수도 있다고 판단하고 우선 2.5.1을 결함으로 잡게 된다.
**'''답) [[ISMS-P 인증 기준 2.5.1.사용자 계정 관리]]'''
**'''답) [[ISMS-P 인증 기준 2.5.1.사용자 계정 관리|2.5.1.사용자 계정 관리]]'''


<br /><blockquote>'''잘못 구성된(사원, 대리급으로만 구성) 정보보호위원회의 의결로 정보보호 정책이 수립되어 경영진 보고 없이 정책이 배포된 경우'''</blockquote>
<br /><blockquote>'''잘못 구성된(사원, 대리급으로만 구성) 정보보호위원회의 의결로 정보보호 정책이 수립되어 경영진 보고 없이 정책이 배포된 경우'''</blockquote>


*'''(참고)''' 관련 인증 기준
*'''(참고)''' 관련 인증 기준
**잘못된 정보보호위원회 구성 = [[ISMS-P 인증 기준 1.1.3.조직 구성]]
**잘못된 정보보호위원회 구성 = [[ISMS-P 인증 기준 1.1.3.조직 구성|1.1.3.조직 구성]]
**잘못된 정보보호 정책 수립 = [[ISMS-P 인증 기준 1.1.5.정책 수립]]
**잘못된 정보보호 정책 수립 = [[ISMS-P 인증 기준 1.1.5.정책 수립|1.1.5.정책 수립]]
**경영진 보고 누락 = [[ISMS-P 인증 기준 1.1.1.경영진의 참여]]
**경영진 보고 누락 = [[ISMS-P 인증 기준 1.1.1.경영진의 참여|1.1.1.경영진의 참여]]
**잘못된 보호대책 공유 = [[ISMS-P 인증 기준 1.3.2.보호대책 공유]]
**잘못된 보호대책 공유 = [[ISMS-P 인증 기준 1.3.2.보호대책 공유|1.3.2.보호대책 공유]]
*'''(정답 및 해설)'''  
*'''(정답 및 판단근거)'''  
**인과 관계상 명백히 잘못 구성된 정보보호위원회(조직)의 결정에 따라 발생한 문제이므로, 현 사안에선 가장 근본적인(root cause) 조직 구성 결함 사례로 봄
**인과 관계상 명백히 잘못 구성된 정보보호위원회(조직)의 결정에 따라 발생한 문제이므로, 현 사안에선 가장 근본적인(root cause) 조직 구성 결함 사례로 봄
**'''답) [[ISMS-P 인증 기준 1.1.3.조직 구성]]'''
**'''답) [[ISMS-P 인증 기준 1.1.3.조직 구성]]'''
<blockquote>'''PMS(패치 관리 시스템)에 접근통제가 제대로 되지 않아 외주 직원이 상시 접근 가능한 경우'''</blockquote>
*'''(참고)''' 관련 인증 기준
**[[ISMS-P 인증 기준 2.6.1.네트워크 접근|2.6.1.네트워크 접근]]
**[[ISMS-P 인증 기준 2.6.2.정보시스템 접근|2.6.2.정보시스템 접근]]
**[[ISMS-P 인증 기준 2.6.3.응용프로그램 접근|2.6.3.응용프로그램 접근]]
**[[ISMS-P 인증 기준 2.10.1.보안시스템 운영|2.10.1.보안시스템 운영]]
**[[ISMS-P 인증 기준 2.10.8.패치관리|2.10.8.패치관리]]
*'''(정답 및 판단근거)'''
**경우에 따라 다를 수 있으나, 2.10.8 패치관리 인증 기준에 PMS에 대한 접근통제 요구사항이 있다는 점을 주의해야 한다.
**네트워크 망 구성의 전반적인 통제 미흡으로 PMS에 접근 통제가 미흡해진 상황이라면 2.6.1 네트워크 접근이 root cause로 판단되어 정합일수도 있지만, 대상이 PMS라면  굳이 상황판단이 애매한 문제는 출제하지 않을 가능성이 높다. 2.6.2 정보시스템은 서버 등 운영체제에 직접 접근하는 경우가 대상이라 해당사항이 없다.
**2.6.3 응용 프로그램 접근도 큰 의미에서는 현재 상황을 포함한다고 볼 수 있으며, 2.10.1에서도 PMS를 다루고 있다. 하지만 이들이 PMS에 대한 접근 통제에 대한 root cause라고 보긴 어렵다. Best fit 관점에선 2.6.3이 더 넓은 범위를 포함하고, 2.10.1이 좀 더 좁은 범위로 특정되어 있지만, 2.10.8은 PMS에 대해서만 직접적으로 다루고 있는 인증 기준이므로 가장 best fit에 해당한다고 할 수 있다.
**'''답) [[ISMS-P 인증 기준 2.10.8.패치관리|2.10.8.패치관리]]'''


<br /><blockquote>'''잘못된 배포과정을 통해 업데이트된 시스템이 운영에 배포되어 장애가 발생한 경우,'''</blockquote>
<br /><blockquote>'''잘못된 배포과정을 통해 업데이트된 시스템이 운영에 배포되어 장애가 발생한 경우'''</blockquote>


*'''(참고)''' 관련 인증 기준
*'''(참고)''' 관련 인증 기준
**잘못된 배포 과정 = [[ISMS-P 인증 기준 2.9.1.변경관리]]
**잘못된 배포 과정 = [[ISMS-P 인증 기준 2.9.1.변경관리|2.9.1.변경관리]]
**잘못된 운영 반영 = [[ISMS-P 인증 기준 2.8.6.운영환경 이관]]
**잘못된 운영 반영 = [[ISMS-P 인증 기준 2.8.6.운영환경 이관|2.8.6.운영환경 이관]]
*'''(정답 및 해설)'''  
*'''(정답 및 판단근거)'''  
**운영환경 이관은 절차적인 계획 수립 및 기본적인 이행 여부의 관점이며, 변경관리는 실무적인 검토 실패에 관한 관점이 강하다.
**운영환경 이관은 절차적인 계획 수립 및 기본적인 이행 여부의 관점이며, 변경관리는 실무적인 검토 실패에 관한 관점이 강하다.
**운영환경 배포에 대한 절차가 마련되지 않은 경우라면 2.8.6 결함이지만, 배포 과정에서 실무적으로 과실이 있었던 경우 대부분 변경관리 결함 사례로 처리된다.
**운영환경 배포에 대한 절차가 마련되지 않은 경우라면 2.8.6 결함이지만, 배포 과정에서 실무적으로 과실이 있었던 경우 대부분 변경관리 결함 사례로 처리된다.
Line 413: Line 184:


*'''(참고)''' 관련 인증 기준
*'''(참고)''' 관련 인증 기준
**잘못된 단말 보안 = [[ISMS-P 인증 기준 2.10.6.업무용 단말기기 보안]]
**잘못된 단말 보안 = [[ISMS-P 인증 기준 2.10.6.업무용 단말기기 보안|2.10.6.업무용 단말기기 보안]]
**잘못된 예외처리 운영 = [[ISMS-P 인증 기준 2.10.1.보안시스템 운영]]
**잘못된 예외처리 운영 = [[ISMS-P 인증 기준 2.10.1.보안시스템 운영|2.10.1.보안시스템 운영]]
*'''(정답 및 해설)'''  
*'''(정답 및 판단근거)'''  
**업무용 단말기에 필요한 보안 프로그램들이 설치되어 있는 지에 관한 것은 2.10.6의 관점이나,설치되어 있는 프로그램들에 대한 잘못된 운용은 2.10.1에 해당함
**업무용 단말기에 필요한 보안 프로그램들이 설치되어 있는 지에 관한 것은 2.10.6의 관점이나,설치되어 있는 프로그램들에 대한 잘못된 운용은 2.10.1에 해당함
**'''답) [[ISMS-P 인증 기준 2.10.1.보안시스템 운영]]'''
**'''답) [[ISMS-P 인증 기준 2.10.1.보안시스템 운영|2.10.1.보안시스템 운영]]'''


<br /><blockquote>'''불가피한 사유로 운영 데이터를 시험 데이터로 임시 사용했으나 프로젝트 종료 후 파기하지 않은 경우.'''</blockquote>
<br /><blockquote>'''불가피한 사유로 운영 데이터를 시험 데이터로 임시 사용했으나 프로젝트 종료 후 파기하지 않은 경우.'''</blockquote>


*'''(참고)''' 관련 인증 기준
*'''(참고)''' 관련 인증 기준
**시험 데이터 변환, 실 데이터 사용 시 사용 후 파기 = [[ISMS-P 인증 기준 2.8.4.시험 데이터 보안]]
**시험 데이터 변환, 실 데이터 사용 시 사용 후 파기 = [[ISMS-P 인증 기준 2.8.4.시험 데이터 보안|2.8.4.시험 데이터 보안]]
**개인정보 처리목적 달성 시 파기 = [[ISMS-P 인증 기준 3.4.1.개인정보의 파기]]
**개인정보 처리목적 달성 시 파기 = [[ISMS-P 인증 기준 3.4.1.개인정보의 파기|3.4.1.개인정보의 파기]]
*'''(정답 및 해설)'''   
*'''(정답 및 판단근거)'''   
**불가피한 경우 운영 데이터를 시험 데이터로 사용할 수는 있으나 시험 후 데이터 삭제를 철저히 하여야 한다.
**불가피한 경우 운영 데이터를 시험 데이터로 사용할 수는 있으나 시험 후 데이터 삭제를 철저히 하여야 한다.
**3.4.1 개인정보의 파기는, 주로 목적에 따라 활용된 데이터의 파기하는 관점에 관한 것이므로 2.8.4가 더 세부적인 측면에서 맞아 떨어짐
**다른 인증 기준에 따른 파기와, 포괄적인 3.4.1.개인정보 파기가 경합한다면 대부분 다른 인증 기준에 따른 파기가 정답인 경우가 많다. 인증 기준이 중첩되면 root cause나 best fit을 찾아야 하는데, 다른 기준에 따른 파기와 관련하여 일반적인 내용의 3.4.1 개인정보의 파기가 시기적으로나 업무 절차적으로나 root cause가 되긴 어렵기 때문
**[[ISMS-P 인증 기준 2.8.4.시험 데이터 보안]]
**답) [[ISMS-P 인증 기준 2.8.4.시험 데이터 보안|'''2.8.4.시험 데이터 보안''']]


<br /><blockquote>'''재해복구 과정에서 개인정보가 포함된 임시 테이블이 생성되었으나 작업 후 삭제되지 않은 채 방치된 경우'''</blockquote>
<br /><blockquote>'''재해복구 과정에서 개인정보가 포함된 임시 테이블이 생성되었으나 작업 후 삭제되지 않은 채 방치된 경우'''</blockquote>


*'''(참고)''' 관련 인증 기준
*'''(참고)''' 관련 인증 기준
**[[ISMS-P 인증 기준 3.4.1.개인정보의 파기]]
**[[ISMS-P 인증 기준 3.4.1.개인정보의 파기|3.4.1.개인정보의 파기]]
**[[ISMS-P 인증 기준 2.6.4.데이터베이스 접근]]
**[[ISMS-P 인증 기준 2.6.4.데이터베이스 접근|2.6.4.데이터베이스 접근]]
*'''(정답 및 해설)'''  
*'''(정답 및 판단근거)'''  
**결과적으로 파기되어야 하는 개인정보가 파기되지 않은 문제가 발생하였을 수도 있으나, 근본적으로 재해복구 등의 과정에서 생성된 테이블 목록이 현행화되어 관리되지 못한 문제로, 테이블 목록 관리에 관한 2.6.4.데이터베이스 접근 결함이다.
**결과적으로 파기되어야 하는 개인정보가 파기되지 않은 문제가 발생하였을 수도 있으나, 근본적으로 재해복구 등의 과정에서 생성된 테이블 목록이 현행화되어 관리되지 못한 문제로, 테이블 목록 관리에 관한 2.6.4.데이터베이스 접근 결함이다.
**'''답) [[ISMS-P 인증 기준 2.6.4.데이터베이스 접근]]'''
**'''답) [[ISMS-P 인증 기준 2.6.4.데이터베이스 접근|2.6.4.데이터베이스 접근]]'''


<br /><blockquote>'''망분리 대상 내부망 PC에서 인터넷으로 접근할 수 있는 방화벽 정책이 들어가 있으나 실제 다른 네트워크 장비에 의해 차단되고 있는 경우'''</blockquote>
<br /><blockquote>'''망분리 대상 내부망 PC에서 인터넷으로 접근할 수 있는 방화벽 정책이 들어가 있으나 실제 다른 네트워크 장비에 의해 차단되고 있는 경우'''</blockquote>


*'''(참고)''' 관련 인증 기준
*'''(참고)''' 관련 인증 기준
**[[ISMS-P 인증 기준 2.6.1.네트워크 접근]]
**[[ISMS-P 인증 기준 2.6.1.네트워크 접근|2.6.1.네트워크 접근]]
**[[ISMS-P 인증 기준 2.6.7.인터넷 접속 통제]]
**[[ISMS-P 인증 기준 2.6.7.인터넷 접속 통제|2.6.7.인터넷 접속 통제]]
**[[ISMS-P 인증 기준 2.10.1.보안시스템 운영]]
**[[ISMS-P 인증 기준 2.10.1.보안시스템 운영|2.10.1.보안시스템 운영]]
*'''(정답 및 해설)'''
*'''(정답 및 판단근거)'''
**방화벽이 잘못 들어가 있는 것을 보고 2.6.1 네트워크 접근이나 2.6.7 인터넷 접속 통제 를 의심할 수도 있으나 실제로 인터넷에 접속되지 않고 있기 때문에 해당 항목에 대해선 결함이 아니다.
**방화벽이 잘못 들어가 있는 것을 보고 2.6.1 네트워크 접근이나 2.6.7 인터넷 접속 통제 를 의심할 수도 있으나 실제로 인터넷에 접속되지 않고 있기 때문에 해당 항목에 대해선 결함이 아니다.
**다만 불필요한 방화벽 정책이 삭제되지 않고 남아 있으므로 2.10.1. 보안시스템 운영 결함으로 볼 수 있다.
**다만 불필요한 방화벽 정책이 삭제되지 않고 남아 있으므로 2.10.1. 보안시스템 운영 결함으로 볼 수 있다.
**'''답) [[ISMS-P 인증 기준 2.10.1.보안시스템 운영]]'''
**'''답) [[ISMS-P 인증 기준 2.10.1.보안시스템 운영|2.10.1.보안시스템 운영]]'''
<blockquote>'''시스템 유지보수 등 부수적인 업무를 담당하는 계열사 직원들의 계정이, 직원이 퇴사한 이후에도 삭제되지 않고 그대로 존재하고 있는 경우'''</blockquote>
 
*'''(참고)''' 관련 인증 기준
**[[ISMS-P 인증 기준 2.5.1.사용자 계정 관리|2.5.1.사용자 계정 관리]]
**[[ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리|2.5.5.특수 계정 및 권한 관리]]
*'''(정답 및 판단근거)'''
**논란이 있을 수 있다. 계열사 직원이 내부에서 상시적으로 업무를 수행하는 파견직 등이라면 2.5.1의 "전보, 퇴직 등 인사이동 발생 시 지체 없이 접근권한 변경 또는 말소"라는 기준에 대한 결함일 수 있다.
**다만 계열사 직원이 외부인이고, 상시적으로 접근을 하지 않으며, 다소 특수한 업무를 하는 경우엔 2.5.5에 대한 결함으로 판단될 가능성이 높다. 특히 "<u>정보시스템 유지보수 등 외부자에게 부여하는 특수권한은 필요시에만 생성, 업무 종료 후에는 즉시 삭제 또는 정지하는 절차를 적용</u>"이라는 내용이 명시적으로 들어가 있으므로 '시스템 유지보수'와 관련된 외부 직원일 경우 대부분 2.5.5에 대한 결함으로 볼 수 있다.
**'''답) [[ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리]]'''
<blockquote>'''사내에 들어와서 일하는 위탁업체 직원들이 BYOD로 가져온 업무용 노트북에 백신 설치가 되어 있지 않은 경우'''</blockquote>
 
*'''(참고)''' 관련 인증 기준
**[[ISMS-P 인증 기준 2.10.6.업무용 단말기기 보안|2.10.6.업무용 단말기기 보안]]
**[[ISMS-P 인증 기준 2.3.3.외부자 보안 이행 관리|2.3.3.외부자 보안 이행 관리]]
*'''(정답 및 판단근거)'''
**논란이 있을 수 있다. 다만, 외부자 보안 이행 관리는 위탁 계약서, 내부정책 등에 보안조치 미이행에 대한 인증 기준이므로 계약서나 내부정책의 내용이 있어어야 확실하다.
**내규에 따라서 위탁직원들이 사내 업무용 단말기를 사용하도록 되어 있으면 2.10.6 결함으로 판단될 수도 있다.
**하지만 노트북을 외부에서 가져와서 사용하는 경우엔 2.3.3 결함으로 판단될 가능성이 높다.
**'''답) [[ISMS-P 인증 기준 2.3.3.외부자 보안 이행 관리|2.3.3.외부자 보안 이행 관리]]'''
<blockquote>'''시스템 시간이 UTC로 되어 있어서 시간을 잘못 파악하여 보안 사고나 컴플라이언스 위반이 나타난 경우'''</blockquote>
 
*'''(참고)''' 관련 인증 기준
**[[ISMS-P 인증 기준 2.9.6.시간 동기화|2.9.6.시간 동기화]]
**[[ISMS-P 인증 기준 2.11.1.사고 예방 및 대응체계 구축|2.11.1.사고 예방 및 대응체계 구축]]
*'''(정답 및 판단근거)'''
**시스템 시간의 기준이 한국 표준시간과 맞지 않는다는 것이 항상 시간 동기화 결함은 아니다. 클라우드 서비스나 글로벌 서비스를 운영하는 경우라면 표준시가 불가피하게 다르게 운영될 수도 있다.
**이를 제대로 인지하지 못하여 사고로 이어지는 경우엔 2.9.6은 결함으로 잡을 수 없기에 2.11.1 결함이 된다.
**그러나 논란의 소지가 있을 수 있는데, 한국 표준시로 설정하는데 문제가 전혀 없는데도 불구하고 외국 시간으로 잘못 설정되어 있었다면 해당 문제를 유발한 2.9.6가 root cause 관점에서  결함이 될 수도 있다.
**'''답) [[ISMS-P 인증 기준 2.11.1.사고 예방 및 대응체계 구축|2.11.1.사고 예방 및 대응체계 구축]]'''
<blockquote>'''백업 대상과 방법을 정의한 지침에서 백업 주기는 주1회로 되어 있는 시스템이, 재해 복구계획에선 RPO가 3일로 설정된 경우'''</blockquote>
 
*'''(참고)''' 관련 인증 기준
**[[ISMS-P 인증 기준 2.1.1.정책의 유지관리|2.1.1.정책의 유지관리]]
**[[ISMS-P 인증 기준 2.9.3.백업 및 복구관리|2.9.3.백업 및 복구관리]]
**[[ISMS-P 인증 기준 2.12.1.재해, 재난 대비 안전조치|2.12.1.재해, 재난 대비 안전조치]]
*'''(정답 및 판단근거)'''
**논란이 있을 순 있으나, 정책의 유지관리 결함이라고 하기엔 시스템별 백업 주기나 RPO는 실무적인 수치로, 정책이나 지침의 레벨이라고 보기 어렵다.
**백업 및 복구관리 결함이라고 하기엔 백업 및 복구 자체만을 기준으로 보기엔 결함의 근거가 없다. 또한 재해 복구 계획이 백업 및 복구관리 기준보다 더 상위 정책·지침이라고 볼 수 없으므로 주1회 백업이 잘못되었다고 판단할 수 없다.
**'''답) [[ISMS-P 인증 기준 2.12.1.재해, 재난 대비 안전조치|2.12.1.재해, 재난 대비 안전조치]]'''
<blockquote>'''백업 대상과 방법을 정의한 지침에서 백업 주기는 주1회로 되어 있는 시스템이, 재해 복구계획에선 RPO가 3일로 설정된 경우'''</blockquote>
 
*'''(참고)''' 관련 인증 기준
**[[ISMS-P 인증 기준 2.1.1.정책의 유지관리|2.1.1.정책의 유지관리]]
**[[ISMS-P 인증 기준 2.9.3.백업 및 복구관리|2.9.3.백업 및 복구관리]]
**[[ISMS-P 인증 기준 2.12.1.재해, 재난 대비 안전조치|2.12.1.재해, 재난 대비 안전조치]]
*'''(정답 및 판단근거)'''
**논란이 있을 순 있으나, 정책의 유지관리 결함이라고 하기엔 시스템별 백업 주기나 RPO는 실무적인 수치로, 정책이나 지침의 레벨이라고 보기 어렵다.
**백업 및 복구관리 결함이라고 하기엔 백업 및 복구 자체만을 기준으로 보기엔 결함의 근거가 없다. 또한 재해 복구 계획이 백업 및 복구관리 기준보다 더 상위 정책·지침이라고 볼 수 없으므로 주1회 백업이 잘못되었다고 판단할 수 없다.
**'''답) [[ISMS-P 인증 기준 2.12.1.재해, 재난 대비 안전조치|2.12.1.재해, 재난 대비 안전조치]]'''
 


<br /><blockquote>'''내부 지침에선 적절한 비밀번호 정책을 제시하고 있으나 실제 운영시스템의 비밀번호 설정 규칙은 취약하게 들어가 있는 경우'''
<br /><blockquote>'''내부 지침에선 적절한 비밀번호 정책을 제시하고 있으나 실제 운영시스템의 비밀번호 설정 규칙은 취약하게 들어가 있는 경우'''
Line 455: Line 276:


*'''(참고)''' 관련 인증 기준
*'''(참고)''' 관련 인증 기준
**[[ISMS-P 인증 기준 2.5.4.비밀번호 관리]]
**[[ISMS-P 인증 기준 2.5.4.비밀번호 관리|2.5.4.비밀번호 관리]]
**[[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험]]
**[[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험|2.8.2.보안 요구사항 검토 및 시험]]
*'''(정답 및 해설)'''
*'''(정답 및 판단근거)'''
**논란이 있을 수 있다. 실제로 지침과 다른 비밀번호를 사용하고 있는 것이 확인되는 경우 2.5.4. 비밀번호 관리 결함(비밀번호 관리 규칙 수립·이행에서 '이행')으로 볼 수도 있다.
**논란이 있을 수 있다. 실제로 지침과 다른 비밀번호를 사용하고 있는 것이 확인되는 경우 2.5.4. 비밀번호 관리 결함(비밀번호 관리 규칙 수립·이행에서 '이행')으로 볼 수도 있다.
**하지만 실제 비밀번호가 아니라 비밀번호 설정 규칙의 불일치라면 이는 2.8.2에 걸릴 가능성이 더 높다. 특히 비밀번호 뿐만 아니라 여러가지 실무적인 사항들이 지침과 다르게 적용된 것들이 무더기로 보인다면 이는 답이 2.8.2일 확률이 매우 높다.
**하지만 실제 비밀번호가 아니라 비밀번호 설정 규칙의 불일치라면 이는 2.8.2에 걸릴 가능성이 더 높다. 특히 비밀번호 뿐만 아니라 여러가지 실무적인 사항들이 지침과 다르게 적용된 것들이 무더기로 보인다면 이는 답이 2.8.2일 확률이 매우 높다.
**참고로 지침에 비밀번호 정책이 적절하게 있다는 것을 보여주지 않고, 단순히 패스워드 규칙만이 증적으로 제시된 상황이라면 2.5.4가 답이다.
**참고로 지침에 비밀번호 정책이 적절하게 있다는 것을 보여주지 않고, 단순히 패스워드 규칙만이 증적으로 제시된 상황이라면 2.5.4가 답이다.
**'''답) [[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험]]'''
**'''답) [[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험|2.8.2.보안 요구사항 검토 및 시험]]'''
<blockquote>'''내부 지침에선 적절한 비밀번호 정책을 제시하고 있으나 실제 운영시스템의 비밀번호 설정 규칙은 취약하게 들어가 있는 경우'''


<br /><blockquote>'''시스템 유지보수 등 부수적인 업무를 담당하는 계열사 직원들의 계정이, 직원이 퇴사한 이후에도 삭제되지 않고 그대로 존재하고 있는 경우'''</blockquote>
*ex) 지침에선 영문+숫자 10자 이상으로 설정토록 하였으나, OOO 시스템의 비밀번호 설정 규칙을 검증하는 로직에는 영문+숫자로 8자리 이상으로 설정토록 하고 있는 경우
</blockquote>


*'''(참고)''' 관련 인증 기준
*'''(참고)''' 관련 인증 기준
**[[ISMS-P 인증 기준 2.5.1.사용자 계정 관리]]
**[[ISMS-P 인증 기준 2.5.4.비밀번호 관리|2.5.4.비밀번호 관리]]
**[[ISMS-P 인증 기준 2.5.5.특수 계정 권한 관리]]
**[[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험|2.8.2.보안 요구사항 검토 시험]]
*'''(정답 및 해설)'''
*'''(정답 및 판단근거)'''
**논란이 있을 수 있다. 계열사 직원이 내부에서 상시적으로 업무를 수행하는 파견직 등이라면 2.5.1의 "전보, 퇴직 등 인사이동 발생 시 지체 없이 접근권한 변경 또는 말소"라는 기준에 대한 결함일 수 있다.
**논란이 있을 수 있다. 실제로 지침과 다른 비밀번호를 사용하고 있는 것이 확인되는 경우 2.5.4. 비밀번호 관리 결함(비밀번호 관리 규칙 수립·이행에서 '이행')으로 볼 수도 있다.
**다만 계열사 직원이 외부인이고, 상시적으로 접근을 하지 않으며, 다소 특수한 업무를 하는 경우엔 2.5.5에 대한 결함으로 판단될 가능성이 높다. 특히 "<u>정보시스템 유지보수 등 외부자에게 부여하는 특수권한은 필요시에만 생성, 업무 종료 후에는 즉시 삭제 또는 정지하는 절차를 적용</u>"이라는 내용이 명시적으로 들어가 있으므로 '시스템 유지보수'와 관련된 외부 직원일 경우 대부분 2.5.5에 대한 결함으로 볼 수 있다.
**하지만 실제 비밀번호가 아니라 비밀번호 설정 규칙의 불일치라면 이는 2.8.2에 걸릴 가능성이 높다. 특히 비밀번호 뿐만 아니라 여러가지 실무적인 사항들이 지침과 다르게 적용된 것들이 무더기로 보인다면 이는 답이 2.8.2일 확률이 매우 높다.
**'''답) [[ISMS-P 인증 기준 2.5.5.특수 계정 권한 관리]]'''
**참고로 지침에 비밀번호 정책이 적절하게 있다는 것을 보여주지 않고, 단순히 패스워드 규칙만이 증적으로 제시된 상황이라면 2.5.4가 답이다.
 
**'''답) [[ISMS-P 인증 기준 2.8.2.보안 요구사항 검토 및 시험|2.8.2.보안 요구사항 검토 시험]]'''
<br /><blockquote>'''시스템 시간이 UTC로 되어 있어서 시간을 잘못 파악하여 보안 사고나 컴플라이언스 위반이 나타난 경우'''</blockquote>
<blockquote>'''법적으로 잘못된 내용이 사고 대응지침에 들어가 있는 경우'''</blockquote>


*'''(참고)''' 관련 인증 기준
*'''(참고)''' 관련 인증 기준
**[[ISMS-P 인증 기준 2.9.6.시간 동기화]]
**[[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토|1.4.1.법적 요구사항 준수 검토]]
**[[ISMS-P 인증 기준 2.11.1.사고 예방 및 대응체계 구축]]
**[[ISMS-P 인증 기준 2.1.1.정책의 유지관리|2.1.1.정책의 유지관리]]
*'''(정답 및 해설)'''
**[[ISMS-P 인증 기준 2.11.1.사고 예방 및 대응체계 구축|2.11.1.사고 예방 및 대응체계 구축]]
**시스템 시간의 기준이 한국 표준시간과 맞지 않는다는 것이 항상 시간 동기화 결함은 아니다. 클라우드 서비스나 글로벌 서비스를 운영하는 경우라면 표준시는 다를 수 있다.
*'''(판단근거)'''
**하지만 이를 제대로 인지하지 못하여 사고로 이어지는 경우엔 사고 2.11.1 결함일 가능성이 높다.
**논란이 있을 수 있다. 모두가 답이 될 있으며, 실제로 위 관련 인증기준들이 모두 보기로 나오려면 이에 대한 인과관계나 처리 과정들이 기술된 증적이 있어야 한다. 제정될 부터 잘못되었는지, 법이 개정되었는데 업데이트가 안 된건지, 아니면 시고 대응지침만 날림으로 작성된 것인지 봐야 한다.
**그러나 논란의 소지가 있을 수 있는데, 한국 표준시로 설정하는데 문제가 전혀 없는데도 불구하고 외국 시간으로 잘못 설정되어 있었다면 2.9.6 결함이 될 수도 있다.
**하지만 문제에서 그러한 히스토리를 찾을 수 없고 문제에 저 셋 중 하나가 나온다면 그걸 답으로 선택할 수 있다. 이렇게 답이 여러 개가 될 수 있는 문제들은 대부분 논란의 소지가 될 수 있는 다른 보기를 없앤다. 그렇기 때문에 "법적으로 위배된 내용이 있네? 이거 저번에 개정된 내용인데" 라는 배경지식만으로 1.4.1이나 2.1.1일 것이라고 단정짓고 답안지에 2.11.1이 있어도 무시하는 일은 없어야 한다. 셋중에 하나는 분명히 결함이라고 인지할 수 있어야 하며, 셋중에 하나만 보기에서 제시가 되었다면 답으로 선택하면 된다.
**'''답) [[ISMS-P 인증 기준 2.11.1.사고 예방 및 대응체계 구축]]'''
**그러한 히스토리가 나오지 않는데 위의 보기가 여러 개가 나온다면 출제오류라고 주장할 수 있다.<ref>하지만 이의제기를 받아주지 않는 것이 현실</ref>  
 
== 같이 보기 ==
====기타 오답====
'''아래 내용은 모두 틀린 오답임. 오답이라는 것은 해당 내용이 아예 틀렸거나, 아니면 해당 문장만으론 틀렸다고 단정할 수 없는 경우이다. 그냥 틀렸다는 사실 뿐만 아니라 왜 틀렸는지 알아야 한다. 그리고 맞는 말이 되기 위해 어떤 부분이 어떻게 수정되어야 하는지 알아야 한다.'''
 
'''인증 제도 관련'''
 
*ISMS-P 제도의 정책 기관으론 대표적으로 개인정보보호위원회, 과학기술정보통신부, 방송통신위원회, 행정안전부가 있다.<ref>행정안전부와 방송통신위원회는 [[데이터 3법]] 개정 이전의 정책기관들이며, 현재는 정책 기관이 아니다.</ref>
*한국인터넷진흥원과 금융보안원은 각각 인증위원회를 구성하며, 인증위원회가 모여 인증협의회를 구성한다.<ref>인증협의회는 정책기관(과기정통부, 개인정보위)간의 협의체다.</ref>
*한국인터넷진흥원과 금융보안원은 각각 인증심사 및 인증서 발급, 인증심사원 양성 및 자격관리, 제도관리 등을 수행하는 인증기관이나 금융보안원은 금융분야에 대한 제도만 관장한다.<ref>금융보안원은 제도 운영, 심사원 양성 및 자격 관리 등은 수행하지 않는다. 오로지 인증심사 및 인증서 발급역할만 하는 인증기관이다. </ref>
*인증심사원, 심사기관, 인증기관의 자격을 취소하고자 하는 경우 자격심의위원회를 개최하여야 하며 자격심의위원회는 제29조의 인증위원회 위원 3인 이상을 포함하여구성한다.
*인증기준은 관리체계 수립 및 운영 22개, 보호대책 요구사항 64개, 개인정보 처리단계별 요구사항 16개로, 총 102개로 구성되어 있다.<ref>관리체계 수립 및 운영이 16개, 개인정보 처리단계별 요구사항이 22개이다.</ref>
*하나의 원인으로 인해 다수의 결함사항이 나온 경우 심사팀장의 결정에 따라 경미한 경우엔 하나의 사항으로 갈음할 있다.<ref>원래 하나의 원인으로 다수의 결함이 나온 경우 가장 근본적인 원인에 관련된 사항 하나만을 결함처리 한다. 경미성을 따지거나 심사팀장이 결정할 문제가 아니다.</ref>
*인증기관은 인증만 수행 가능하며, 심사기관은 심사만 수행 가능하도록 권한을 분리하여 운영한다.<ref>심사기관은 심사만 가능한 것이 맞지만 인증기관은 심사도 하고 인증도 한다.</ref>
*인증위원회는 정보통신망법 시행령 제47조 및 개인정보 보호법 시행령 제34조의2에 따라 심사기관에서 인증심사 결과 등을 심의하고 의결하기 위해 운영하는 조직이다.<ref>인증위원회는 심사기관이 아니라 인증기관에서 운영한다.</ref>
*정보보호 관리체계 인증 의무 대상자 중 개인정보를 취급하는 사업자는 정보보호 및 개인정보보호관리체계 인증을 받아야 한다.<ref>ISMS까지가 의무이다. 개인정보를 취급한다고 해도 ISMS까지만 받으면 되고 ISMS-P는 선택사항이다.</ref>
*의무 대상자를 판별할 중개 쇼핑몰과 자체 쇼핑몰을 같이 운영하는 쇼핑몰은 입점료와 자체 쇼핑몰을 통한 제품 판매액을 더해 매출액을 계산한다.<ref>중개 쇼핑몰의 경우 입점료는 판매 중개수수료가 주요 매출액이다. (판매 중개수수료 + 입점료(해당하는 경우) + 자체 쇼핑몰을 통한 제품 판매액)</ref>
*연간 매출액 또는 세입이 1,500억원 이상인 종합병원과 대학교는 정보보호 관리체계 인증 의무 대상자이다.<ref>종합병원이 모두 대상은 아니다. 중증질환에 대해 난이도가 높은 진료행위를 하는 상급종합병원이 대상이다.</ref>
*인증신청 시 신청자가 원하는 인증 범위, 인증 일정을 구체적으로 명시하여 신청하여야 한다. 하지만 이는 추후 심사기관과의 협의 과정에 조정될 수도 있다.<ref>사전에 심사기관과 협의를 다 한다음 신청하여야 한다.</ref>
*2개월 이상 관리체계 구축 운영 후 신청을 접수하고 인증수수료를 납부하면 예비점검 → 인증심사 → 심사결과보고서 작성 → 인증위원회 개최 순서대로 진행된다.<ref>심사준비 상태를 점검하는 예비점검 이후에 인증수수료 청구·납부가 이루어진다.</ref>
*ISMS-P 인증 제도상 "결함 사항"이란 신청인의 정보보호 관리체계가 인증심사기준에 규정된 요구사항을 충족하지 못하는 사항이 발견되고 있으며 발견된 문제점이 정보보호 및 개인정보보호 관리체계에 중대한 영향을 미치는 사항을 말한다.<ref>중결함 사항에 관한 설명이다. 결함 사항은 요구사항에 충족은 못하지만 중대한 영향을 미치지 않는 사항을 말한다. 결함 사항은 여러 개가 나올 있고 보완 조치를 하면 된다. 그러나 중결함 사항이 있는 경우 인증심사가 중단될 수도 있다.</ref>
 
'''인증 기준 관련'''
 
*휴면회원의 로그인을 위해 아이디, 비밀번호는 원본 DB에 그대로 남겨 두는 것은 3.4.3 휴면이용자 관리 결함이다.<ref>휴면회원의 접근을 위해 아이디와 비밀번호는 원본 DB에 남길 수 있다. 로그인을 함으로써 휴면 해제를 하는 경우가 많으므로 로그인을 위한 최소한의 정보는 남길 수 있다.</ref>
*조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 분기별 1회 이상 위험을 평가하여야 한다.<ref>[[ISMS-P 인증 기준 1.2.3.위험 평가]]에 따르면 연1회의 평가가 필요하다.</ref>
*미성년자 개인정보 수집을 위해선 우선 미성년자 법정 대리인에게 수집 동의를 받은 후 필요최소한의 이름, 연락처를 수집하여야 하며, 미성년자 개인정보 수집 완료 후 파기해야 한다.<ref>미성년자의 개인정보를 수집하기 위해 필요최소한의 법정대리인 정보인 이름, 연락처를 받는 경우엔 법정대리인의 동의가 불필요하다.</ref>
*미성년자의 개인정보 수집을 위해 법정대리인의 실제 날인, 전자서명, 본인확인 등을 확보하여야 하며, 전화를 통해 구두로 확인해선 안 된다.
*정보주체(이용자) 이외로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의 획득 책임은 개인정보처리자에게 있다.
*정보주체 이외로부터 정보를 수집한 경우, 수집한 정보에 연락처 등 정보주체에게 알릴 수 있는 개인정보가 포함되지 않은 경우에는 관보나 간행물 등을 통해 알릴 수 있다.
*정기적 수신동의 확인 시 수신자가 아무런 의사표시를 하지 않는 경우에는 수신동의 의사가 철회된 것으로 본다.<ref>[[ISMS-P 인증 기준 3.1.7.홍보 및 마케팅 목적 활용 시 조치]]에 따르면 수신자가 아무런 의사표시를 하지 않은 경우 동의를 유지하는 것으로 본다.</ref>
*업무용으로 노트북을 사용하고 있지만 노트북을 업무용 PC에 준하여 관리하고 있는 경우 기존 PC의 보안 지침을 준용하고 모바일 기기에 대한 별도 기준은 마련하지 않아도 된다.<ref>[[ISMS-P 인증 기준 2.10.6.업무용 단말기기 보안]]에 따르면 업무적인 목적으로 모바일기기를 사용하고 있으면 모바일 기기에 대한 기준, 정책이 마련되어 있어야 한다. PC와 동일하게 보안 프로그램들을 설치한다고 동등한 기준으로 운용한다고 주장 하더라도 휴대성이 있는 업무용 기기이므로 최소한의 별도 기준이 필요하다.</ref>
*통제구역 중 출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 경우 제한구역으로 설정하여 관리하여야 한다.<ref>출입자격이 최소인원으로 유지되며 출입을 위하여 추가 절차가 필요한 곳이 통제구역이다. 제한구역은 통제구역보다 낮은 단계의 보호구역이다. (관련 항목: [[ISMS-P 인증 기준 2.4.1.보호구역 지정]])</ref>
*[[클라우드 보안인증제|CSAP]] 등 클라우드 보안인증을 받은 클라우드를 사용하는 경우 물리 보안 등 일부 항목은 증적 없이 충족하는 것으로 인정될 수 있다.<ref>클라우드를 사용하더라도 물리 보안이 어떻게 이루어지고 있는지에 대해 클라우드 서비스 제공자로부터 파악하여 증적을 제시하여야 한다.</ref>
*서버관리 시스템의 비밀번호 작성 규칙과 개인정초 처리시스템의 비밀번호 작성 규칙이 다른 경우 [[ISMS-P 인증 기준 2.1.1.정책의 유지관리|2.1.1 정책의 유지관리]] 결함이다.<ref>그럴 가능성이 높긴 하지만 단정할 수 없다. 상위 정책에 비밀번호 작성 규칙이 있거나 규칙을 통일해야 한다는 내용이 있으면 정책의 유지관리 결함이겠지만, 상위 정책이 존재하지 않고 업무별 정책에서 정하도록 하는 경우라 할지라도 그게 결함이라고 할 순 없다.</ref>
*정보통신서비스제공자가 내부 정책에 따라 영문, 숫자 조합으로 8자리의 비밀번호를 사용하고 있는 경우 [[ISMS-P 인증 기준 2.5.4.비밀번호 관리|2.5.4 비밀번호 관리]] 결함이다.<ref>정책에서 비밀번호를 그렇게 쓰도록 하였다면 정책 부터 법적 요구사항을 충족하지 못한 것이다. 그런 경우 [[ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토]] 결함이다.</ref>
*여러명의 서버 관리자가 접근통제 프로그램을 통해 개별적으로 부여된 계정으로 안전하게 로그인 하였으나, 서버에선 모두 root 계정을 공용으로 사용하는 경우 [[ISMS-P 인증 기준 2.5.2.사용자 식별|2.5.2.사용자 식별]] 및  [[ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리|2.5.5. 특수 계정 및 권한 관리]] 결함이다.<ref>보안상 안전하지 않은 것은 맞다. 하지만 서버접근통제 프로그램에서 개인별 계정이 부여되서 사용자 식별이 되고 있고, 계정 공유 시 보호조치나 특수 권한의 사용은 예외적으로 허용되는 경우가 있기 때문에 제시된 문장만으론 결함이라고 할 수 없다. 여러명의 서버 관리자가 특수한 목적으로, 임시적으로 root 계정을 사용하는 것이고, 이에 대해 강화된 절차를 통해 권한을 정당하게 부여받은 것이라면 사용 가능하다.</ref>
 
'''법률 관련'''


*전년도 말 기준 직전 3개월간 개인정보가 저장·관리되고 있는 이용자 수가 일평균 100만 명 이상이거나, 전년도 매출액이 100억 원 이상인 개인정보 처리자는 1년에 한번 이용자들에게 이용내역을 통지하여야 한다.<ref>전체 개인정보처리자가 아닌 정보통신서비스제공자만 해당한다. 또한 매출액 기준도 정보통신 부문 매출액 100억 이상인 경우만 해당한다.</ref>
* [[ISMS-P 인증심사원 주요 암기사항]]
*공공장소에 설치된 영상정보처리기기는 녹음 기능, 줌(Zoom)기능, 방향 전환 기능을 사용할 수 없다.<ref>최초 설치 목적과 동일한 목적으로는 줌(Zoom)과 방향 전환도 가능하다.</ref>


==각주==
==각주==
<references />
<references />

Latest revision as of 12:19, 18 May 2024

결함을 찾는 문제가 헷갈리는 이유는 1. 일부 심사가준에 제목으로 유추하기 힘든 확인사항들이 포함된 경우, 2. 하나의 원인으로 인해 여러 심사기준상의 결함이 발생한 경우가 많기 때문이다. 1번의 경우엔 심사 기준을 정독함으로써 어느 정도 해결이 가능하나, 2번은 가장 근본 적인 원인(root cause)이 되는 결함을 찾는 매커니즘의 이해와 훈련이 필요하다. 모의고사 등을 통해 하나의 원인으로 여러 기준상의 결함이 발생하는 사례들을 확인하고, 해설지 등을 통해 root cause를 찾는 방법을 파악해야 한다. 이는 중복되는 기준들에 따라 판단 근거가 매번 달라지므로 일관된 규칙이나 공식은 없다. 심지어는 심사 현장에서 관례적으로 이루어지는 내용들도 있으므로 사례를 많이 접하고 익히는 것이 중요하다.

유사한 인증 기준[edit | edit source]

  • 1.2.1 정보자산식별 vs 2.1.3 정보자산관리
    • 1.2.1 정보식별은 자산에 대해 보안등급을 부여하라는 내용이고 2.1.3은 부여받은 보안등급을 표시(워터마킹, 바코드 등)하라는 내용입니다
  • 1.1.3.조직 구성 vs 1.1.6.자원 할당
    • 전문성 있는 인력이 채용이든 아웃소싱이든 확보되어 있지 않다는 내용이 확인되면 1.1.6 결함
    • 전문성 있는 인력의 부재를 알고 있으나 회사 사정상 할당을 해주지 못했다는 내용이 확인되면 1.1.6 결함
    • 다른 단서 없이 보안·개인정보 조직의 인력 구성이 전문성이 없는 경우 1.1.3 결함
  • 1.4.1 법적 요구사항 준수 검토 vs 2.1.1.정책의 유지관리
  • 1.2.4.보호대책 선정 vs 1.3.1.보호대책 구현
  • 1.4.2.관리체계 점검 vs 1.4.3.관리체계 개선
    • 관리체계 점검에 따른 문제점이 제대로 고쳐지지 않은 경우 1.4.3이라고 쉽게 생각할 수 있으나, 1.4.2 결합인 경우가 더 많다.
    • 1.4.2는 관리체계의 점검뿐만 아니라 기본적인 이행 및 조치 결과 보고까지의 범위를 아우른다.
    • 1.4.3의 경우 반복적으로 발생하는 문제에 대해 근본적인 해결을 하는 것을 주안점으로 한다. 즉 단순히 점검 결과의 미이행은 1.4.2에 해당한다.
  • 2.3.1.외부자 현황 관리 vs 2.3.3.외부자 보안 이행 관리
    • 외부자에 대한 보호 대책이 적용 되어 있는 상태에서 이행이 안 될 경우엔 2.3.3, 외부자에 대한 보안 대책이 마련되어 있지 않은 경우 2.3.1이다.
    • '몰랐다.', '현실적으로 관리가 어렵다' 등의 내용이 나오면 2.3.3에 해당한다.
  • 3.1.1 개인정보 수집 제한 vs 3.1.2 개인정보 수집 동의
  • 2.8.1.보안 요구사항 정의 vs 2.7.1.암호정책 적용 vs 1.4.1.법적 요구사항 준수 검토
    • 안전한 암호화 알고리즘 사용은 법적 요구사항이지만, 2.7.1 기준이 별도로 있기 때문에 취약한 암호화 알고리즘 사용은 2.7.1 결함이다.[1]
    • 2.8.1에서 개발 보안 표준을 다루고 있으며, 개발 보안 표준에서 취약한 암호화 알고리즘이 명기되어 있다면 이는 2.8.1 결함이다. 마찬가지로 보안성 검토 기준이 법적 요구사항을 충족하지 못하는 경우에도 2.8.1 위반이 될 수 있다.[2]
  • 2.8.3.시험과 운영 환경 분리 vs 2.8.5.소스 프로그램 관리 vs 2.8.6.운영환경 이관
    • 세가지 인증기준에 모두 운영계에 소스코드가 존재하거나 운영환경(운영계)에서 소스코드가 다루어지는 것에 대한 내용이 있다.
    • 2.8.3의 경우 운영환경(운영계)에서 직접 개발을 하지 말라는 것이 주안점이며
    • 2.8.5의 경우 운영환경(운영계)에서 소스코드를 보관 및 관리하지 말라는 것[3]이 주안점이고
    • 2.8.6의 경우 운영환경(운영계)엔 운영에 필요한 파일 외에는 올리지 말라는 것이 주안점이다.

제목으로 유추가 어려운 인증 기준[edit | edit source]

아래 내용들은 암기가 필요하다. 세션 타임아웃에 관한 내용이 문제로 나왔을 경우, 상식적으로 "응용프로그램 접근"이나 "정보시스템 접근"과 같은 "접근 통제"와 관련되어 보이는 제목의 인증 기준이 답일 것이라고 유추하기 힘들다. 인증 기준들을 꼼꼼히 읽어보았거나, 역으로 깊게 생각해보면 시스템에 오랫동안 로그인이 유지되어 있으면 자리를 비운 사이 누군가가 접근을 할 수 있게 되는 등의 접근 통제와 관련되었다고 볼 수 있지만, 훈련이 되어 있지 않다면 실전에선 다른 항목에서 결함을 찾으려고 할 가능성도 매우 높기 때문이다.

1.1.3.조직 구성

  • 조직이 구성되어 있으나 조직이 구성만 되어 있고 운영되지 않는 경우도 포함됨

2.6.3.응용프로그램 접근

  • 중요정보의 필요최소한의 노출 구현
  • 세션 타임아웃 설정

2.6.2.정보시스템 접근

  • 세션 타임아웃 설정
  • 불필요한 포트 식별
  • 주요 서비스 독립 서버 운영

2.6.4.데이터베이스 접근

  • 테이블 목록 등 정보 식별

2.8.6.운영환경 이관

  • 소스코드를 운영 환경에 두지 않기[4]

2.10.1.보안시스템 운영

  • VPN 등 보안시스템에 해당되는 시스템의 계정 관리 미흡

2.10.8.패치관리

  • 패치관리시스템의 접근 통제

가상자산 사업자의 1.2.3.위험 평가

  • 가상자산 사업자의 경우 위험평가 대상으로 다음을 포함한다.
    • CEO 사망, 내부유출, 부정거래, 자연재해, 키 분실, 월렛서버 탈취, 멀티시그 제공 여부, 콜드월렛과 핫월렛의 보유액 비율. 노드서버 네트워크 접근 제어
  • 자칫 1.2.1 정보자산 식별, 2.6.1 네트워크 접근, 2.6.2 정보시스템 접근, 2.5.2 사용자 인증 등의 결함으로 보일 수 있다.
  • 하지만 가상자산 사업자이고, 파악되지 않은 위협들이 여러가지 등장하는 경우 1.2.3이 정답일 확률이 높다.

2,6.*이 아님에도 접근통제를 포함한 인증 기준

3.*.*이 아님에도 외에 개인정보 보호를 포함한 인증 기준

빈출 결함 사례[edit | edit source]

중첩된 인증 기준 판단 사례[edit | edit source]

아래 내용들은 실제 심사 사례나 모의고사 등을 통해 헷갈리는 사례들을 모아 놓은 것이니 참고할 것. 다만, 사적인 경험이나 문제집에서 도출된 것이며 KISA의 공식 확인이 있었던 것은 아니라 실제 KISA의 인증심사원 문제의 해석 방향과 일치하지 않을 수 도 있으니 주의할 것. 의구심이 있는 내용이 있으면 서로 편집하거나 토론을 통해 해결할 수 있다.

하나의 문제가 두 가지 이상의 인증 기준에 따른 결함으로 중첩되어 해당하는 경우, 가장 기본적인 판단 기준은 아래와 같다.

  • 두 인증 기준에 따른 결함이 서로 인과관계가 있을 경우, 더 근본적인 원인(root cause)에 해당하는 인증 기준이 정답이 된다.
    • 시기적으로나 업무 절차적으로 더 선순위에 해당하거나, 더 큰 범위의 포괄적인 문제를 관장하는 경우가 더 근본적이라고 판단할 수 있다.
  • 두 인증 기준에 중첩되어 해당되지만 인과간계를 갖지 않는 경우, 더 정확하게 맞아 떨어지는(best fit) 인증 기준이 정답이 된다.
    • B에 대한 문제인데, 1번 인증기준은 A, B, C에 모두 해당될 수 있는 경우이고 2번 인증 기준은 B에만 해당될 수 있다면 2번 인증 기준이 정답이 된다.

위 두 가지 기준으로 판단된 실제 사례들은 아래를 통해 확인할 수 있다.

사용자 계정 발급 절차 없이 하나의 계정을 여러 명이 쓰거나 한 명이 여러 개의 계정을 만들어 사용하여 계정별 사용자에 대한 식별이 불가한 경우

  • (참고) 관련 인증 기준
  • (정답 및 판단근거)
    • 더 근본적인 원인을 찾는 대표적인 사례라고 할 수 있다. 일단 지금 사례만 보았을 때는 2.5.1과 2.5.2의 결함 사례에 모두 해당이 된다. 하지만 여기서 계정의 사용자가 식별이 되지 않는 문제는 명백하게 사용자 계정 발급 절차가 없음에 기인한다고 볼 수 있다.
    • 만약 계정 발급 절차가 있는데도 불구하고 계정이 무분별하게 생성되고 사용자 식별이 안되는 경우라면 2.5.2 결함일 수 있다. 하지만 이 두 가지 모두에서 결함이 확인된다면 2.5.1을 해결하면 두가지 문제가 모두 해결될 수도 있다고 판단하고 우선 2.5.1을 결함으로 잡게 된다.
    • 답) 2.5.1.사용자 계정 관리


잘못 구성된(사원, 대리급으로만 구성) 정보보호위원회의 의결로 정보보호 정책이 수립되어 경영진 보고 없이 정책이 배포된 경우

PMS(패치 관리 시스템)에 접근통제가 제대로 되지 않아 외주 직원이 상시 접근 가능한 경우

  • (참고) 관련 인증 기준
  • (정답 및 판단근거)
    • 경우에 따라 다를 수 있으나, 2.10.8 패치관리 인증 기준에 PMS에 대한 접근통제 요구사항이 있다는 점을 주의해야 한다.
    • 네트워크 망 구성의 전반적인 통제 미흡으로 PMS에 접근 통제가 미흡해진 상황이라면 2.6.1 네트워크 접근이 root cause로 판단되어 정합일수도 있지만, 대상이 PMS라면 굳이 상황판단이 애매한 문제는 출제하지 않을 가능성이 높다. 2.6.2 정보시스템은 서버 등 운영체제에 직접 접근하는 경우가 대상이라 해당사항이 없다.
    • 2.6.3 응용 프로그램 접근도 큰 의미에서는 현재 상황을 포함한다고 볼 수 있으며, 2.10.1에서도 PMS를 다루고 있다. 하지만 이들이 PMS에 대한 접근 통제에 대한 root cause라고 보긴 어렵다. Best fit 관점에선 2.6.3이 더 넓은 범위를 포함하고, 2.10.1이 좀 더 좁은 범위로 특정되어 있지만, 2.10.8은 PMS에 대해서만 직접적으로 다루고 있는 인증 기준이므로 가장 best fit에 해당한다고 할 수 있다.
    • 답) 2.10.8.패치관리


잘못된 배포과정을 통해 업데이트된 시스템이 운영에 배포되어 장애가 발생한 경우

  • (참고) 관련 인증 기준
  • (정답 및 판단근거)
    • 운영환경 이관은 절차적인 계획 수립 및 기본적인 이행 여부의 관점이며, 변경관리는 실무적인 검토 실패에 관한 관점이 강하다.
    • 운영환경 배포에 대한 절차가 마련되지 않은 경우라면 2.8.6 결함이지만, 배포 과정에서 실무적으로 과실이 있었던 경우 대부분 변경관리 결함 사례로 처리된다.
    • 답) ISMS-P 인증 기준 2.9.1.변경관리


업무용 단말에 보안 프로그램들이 설치되어 있으나, 잘못된 예외처리로 보안 결함이 발생한 경우,


불가피한 사유로 운영 데이터를 시험 데이터로 임시 사용했으나 프로젝트 종료 후 파기하지 않은 경우.

  • (참고) 관련 인증 기준
  • (정답 및 판단근거)
    • 불가피한 경우 운영 데이터를 시험 데이터로 사용할 수는 있으나 시험 후 데이터 삭제를 철저히 하여야 한다.
    • 다른 인증 기준에 따른 파기와, 포괄적인 3.4.1.개인정보 파기가 경합한다면 대부분 다른 인증 기준에 따른 파기가 정답인 경우가 많다. 인증 기준이 중첩되면 root cause나 best fit을 찾아야 하는데, 다른 기준에 따른 파기와 관련하여 일반적인 내용의 3.4.1 개인정보의 파기가 시기적으로나 업무 절차적으로나 root cause가 되긴 어렵기 때문
    • 답) 2.8.4.시험 데이터 보안


재해복구 과정에서 개인정보가 포함된 임시 테이블이 생성되었으나 작업 후 삭제되지 않은 채 방치된 경우

  • (참고) 관련 인증 기준
  • (정답 및 판단근거)
    • 결과적으로 파기되어야 하는 개인정보가 파기되지 않은 문제가 발생하였을 수도 있으나, 근본적으로 재해복구 등의 과정에서 생성된 테이블 목록이 현행화되어 관리되지 못한 문제로, 테이블 목록 관리에 관한 2.6.4.데이터베이스 접근 결함이다.
    • 답) 2.6.4.데이터베이스 접근


망분리 대상 내부망 PC에서 인터넷으로 접근할 수 있는 방화벽 정책이 들어가 있으나 실제 다른 네트워크 장비에 의해 차단되고 있는 경우

  • (참고) 관련 인증 기준
  • (정답 및 판단근거)
    • 방화벽이 잘못 들어가 있는 것을 보고 2.6.1 네트워크 접근이나 2.6.7 인터넷 접속 통제 를 의심할 수도 있으나 실제로 인터넷에 접속되지 않고 있기 때문에 해당 항목에 대해선 결함이 아니다.
    • 다만 불필요한 방화벽 정책이 삭제되지 않고 남아 있으므로 2.10.1. 보안시스템 운영 결함으로 볼 수 있다.
    • 답) 2.10.1.보안시스템 운영

시스템 유지보수 등 부수적인 업무를 담당하는 계열사 직원들의 계정이, 직원이 퇴사한 이후에도 삭제되지 않고 그대로 존재하고 있는 경우

  • (참고) 관련 인증 기준
  • (정답 및 판단근거)
    • 논란이 있을 수 있다. 계열사 직원이 내부에서 상시적으로 업무를 수행하는 파견직 등이라면 2.5.1의 "전보, 퇴직 등 인사이동 발생 시 지체 없이 접근권한 변경 또는 말소"라는 기준에 대한 결함일 수 있다.
    • 다만 계열사 직원이 외부인이고, 상시적으로 접근을 하지 않으며, 다소 특수한 업무를 하는 경우엔 2.5.5에 대한 결함으로 판단될 가능성이 높다. 특히 "정보시스템 유지보수 등 외부자에게 부여하는 특수권한은 필요시에만 생성, 업무 종료 후에는 즉시 삭제 또는 정지하는 절차를 적용"이라는 내용이 명시적으로 들어가 있으므로 '시스템 유지보수'와 관련된 외부 직원일 경우 대부분 2.5.5에 대한 결함으로 볼 수 있다.
    • 답) ISMS-P 인증 기준 2.5.5.특수 계정 및 권한 관리

사내에 들어와서 일하는 위탁업체 직원들이 BYOD로 가져온 업무용 노트북에 백신 설치가 되어 있지 않은 경우

  • (참고) 관련 인증 기준
  • (정답 및 판단근거)
    • 논란이 있을 수 있다. 다만, 외부자 보안 이행 관리는 위탁 계약서, 내부정책 등에 보안조치 미이행에 대한 인증 기준이므로 계약서나 내부정책의 내용이 있어어야 확실하다.
    • 내규에 따라서 위탁직원들이 사내 업무용 단말기를 사용하도록 되어 있으면 2.10.6 결함으로 판단될 수도 있다.
    • 하지만 노트북을 외부에서 가져와서 사용하는 경우엔 2.3.3 결함으로 판단될 가능성이 높다.
    • 답) 2.3.3.외부자 보안 이행 관리

시스템 시간이 UTC로 되어 있어서 시간을 잘못 파악하여 보안 사고나 컴플라이언스 위반이 나타난 경우

  • (참고) 관련 인증 기준
  • (정답 및 판단근거)
    • 시스템 시간의 기준이 한국 표준시간과 맞지 않는다는 것이 항상 시간 동기화 결함은 아니다. 클라우드 서비스나 글로벌 서비스를 운영하는 경우라면 표준시가 불가피하게 다르게 운영될 수도 있다.
    • 이를 제대로 인지하지 못하여 사고로 이어지는 경우엔 2.9.6은 결함으로 잡을 수 없기에 2.11.1 결함이 된다.
    • 그러나 논란의 소지가 있을 수 있는데, 한국 표준시로 설정하는데 문제가 전혀 없는데도 불구하고 외국 시간으로 잘못 설정되어 있었다면 해당 문제를 유발한 2.9.6가 root cause 관점에서 결함이 될 수도 있다.
    • 답) 2.11.1.사고 예방 및 대응체계 구축

백업 대상과 방법을 정의한 지침에서 백업 주기는 주1회로 되어 있는 시스템이, 재해 복구계획에선 RPO가 3일로 설정된 경우

  • (참고) 관련 인증 기준
  • (정답 및 판단근거)
    • 논란이 있을 순 있으나, 정책의 유지관리 결함이라고 하기엔 시스템별 백업 주기나 RPO는 실무적인 수치로, 정책이나 지침의 레벨이라고 보기 어렵다.
    • 백업 및 복구관리 결함이라고 하기엔 백업 및 복구 자체만을 기준으로 보기엔 결함의 근거가 없다. 또한 재해 복구 계획이 백업 및 복구관리 기준보다 더 상위 정책·지침이라고 볼 수 없으므로 주1회 백업이 잘못되었다고 판단할 수 없다.
    • 답) 2.12.1.재해, 재난 대비 안전조치

백업 대상과 방법을 정의한 지침에서 백업 주기는 주1회로 되어 있는 시스템이, 재해 복구계획에선 RPO가 3일로 설정된 경우

  • (참고) 관련 인증 기준
  • (정답 및 판단근거)
    • 논란이 있을 순 있으나, 정책의 유지관리 결함이라고 하기엔 시스템별 백업 주기나 RPO는 실무적인 수치로, 정책이나 지침의 레벨이라고 보기 어렵다.
    • 백업 및 복구관리 결함이라고 하기엔 백업 및 복구 자체만을 기준으로 보기엔 결함의 근거가 없다. 또한 재해 복구 계획이 백업 및 복구관리 기준보다 더 상위 정책·지침이라고 볼 수 없으므로 주1회 백업이 잘못되었다고 판단할 수 없다.
    • 답) 2.12.1.재해, 재난 대비 안전조치



내부 지침에선 적절한 비밀번호 정책을 제시하고 있으나 실제 운영시스템의 비밀번호 설정 규칙은 취약하게 들어가 있는 경우

  • ex) 지침에선 영문+숫자 10자 이상으로 설정토록 하였으나, OOO 시스템의 비밀번호 설정 규칙을 검증하는 로직에는 영문+숫자로 8자리 이상으로 설정토록 하고 있는 경우
  • (참고) 관련 인증 기준
  • (정답 및 판단근거)
    • 논란이 있을 수 있다. 실제로 지침과 다른 비밀번호를 사용하고 있는 것이 확인되는 경우 2.5.4. 비밀번호 관리 결함(비밀번호 관리 규칙 수립·이행에서 '이행')으로 볼 수도 있다.
    • 하지만 실제 비밀번호가 아니라 비밀번호 설정 규칙의 불일치라면 이는 2.8.2에 걸릴 가능성이 더 높다. 특히 비밀번호 뿐만 아니라 여러가지 실무적인 사항들이 지침과 다르게 적용된 것들이 무더기로 보인다면 이는 답이 2.8.2일 확률이 매우 높다.
    • 참고로 지침에 비밀번호 정책이 적절하게 있다는 것을 보여주지 않고, 단순히 패스워드 규칙만이 증적으로 제시된 상황이라면 2.5.4가 답이다.
    • 답) 2.8.2.보안 요구사항 검토 및 시험

내부 지침에선 적절한 비밀번호 정책을 제시하고 있으나 실제 운영시스템의 비밀번호 설정 규칙은 취약하게 들어가 있는 경우

  • ex) 지침에선 영문+숫자 10자 이상으로 설정토록 하였으나, OOO 시스템의 비밀번호 설정 규칙을 검증하는 로직에는 영문+숫자로 8자리 이상으로 설정토록 하고 있는 경우
  • (참고) 관련 인증 기준
  • (정답 및 판단근거)
    • 논란이 있을 수 있다. 실제로 지침과 다른 비밀번호를 사용하고 있는 것이 확인되는 경우 2.5.4. 비밀번호 관리 결함(비밀번호 관리 규칙 수립·이행에서 '이행')으로 볼 수도 있다.
    • 하지만 실제 비밀번호가 아니라 비밀번호 설정 규칙의 불일치라면 이는 2.8.2에 걸릴 가능성이 더 높다. 특히 비밀번호 뿐만 아니라 여러가지 실무적인 사항들이 지침과 다르게 적용된 것들이 무더기로 보인다면 이는 답이 2.8.2일 확률이 매우 높다.
    • 참고로 지침에 비밀번호 정책이 적절하게 있다는 것을 보여주지 않고, 단순히 패스워드 규칙만이 증적으로 제시된 상황이라면 2.5.4가 답이다.
    • 답) 2.8.2.보안 요구사항 검토 및 시험

법적으로 잘못된 내용이 사고 대응지침에 들어가 있는 경우

  • (참고) 관련 인증 기준
  • (판단근거)
    • 논란이 있을 수 있다. 모두가 답이 될 수 있으며, 실제로 위 관련 인증기준들이 모두 보기로 나오려면 이에 대한 인과관계나 처리 과정들이 기술된 증적이 있어야 한다. 제정될 때 부터 잘못되었는지, 법이 개정되었는데 업데이트가 안 된건지, 아니면 시고 대응지침만 날림으로 작성된 것인지 봐야 한다.
    • 하지만 문제에서 그러한 히스토리를 찾을 수 없고 문제에 저 셋 중 하나가 나온다면 그걸 답으로 선택할 수 있다. 이렇게 답이 여러 개가 될 수 있는 문제들은 대부분 논란의 소지가 될 수 있는 다른 보기를 없앤다. 그렇기 때문에 "법적으로 위배된 내용이 있네? 이거 저번에 개정된 내용인데" 라는 배경지식만으로 1.4.1이나 2.1.1일 것이라고 단정짓고 답안지에 2.11.1이 있어도 무시하는 일은 없어야 한다. 셋중에 하나는 분명히 결함이라고 인지할 수 있어야 하며, 셋중에 하나만 보기에서 제시가 되었다면 답으로 선택하면 된다.
    • 그러한 히스토리가 나오지 않는데 위의 보기가 여러 개가 나온다면 출제오류라고 주장할 수 있다.[6]

같이 보기[edit | edit source]

각주[edit | edit source]

  1. 단, 오래전에 제정된 규정이, 개정되지 않아 취약해진 경우라면 2.1.1.정책의 유지관리 결함일수도 있다. (안전한 암호화 알고리즘의 기준 정립은 꽤 오래 전에 이루어졌으므로 그럴 가능성이 낮긴 함)
  2. 코딩 표준의 암호화 알고리즘이 법적 요구사항을 충족하지 못하는 경우엔 2.8.1 결함이라고 안내서에 명확히 나와있다. 그 외에 보안성 검토 기준들이 법적 요구사항을 충족하지 못하는 경우엔 상황을 더 따져보아야 한다. (2.8.1에 따른 타당성 검토 및 인수 절차에 해당하는지, 유지관리의 문제는 아닌지 등)
  3. Java 등 응용 프로그램 개발 시엔 상황이 이해가 어려울 수 있으나, 웹 프로그램, 특히 컴파일이 없는 PHP 등의 개발 환경에서는 운영계에 소스코드가 존재할 수 밖에 없고, 가장 최신화된 소스가 운영계에 있는 소스이다. 소규모 조직의 경우 개발자 PC-운영계 소스코드만으로 소스코드 동기화, 관리 및 개발 반영이 이루어질 수 있는데, 이렇게 하지 말고 Git이든 SVN이든 별도 레파지토리를 운영하라는 것이다.
  4. 소스코드 뿐만 아니라 운영서버에 서비스 실행에 불필요한 파일(배포모듈, 백업본, 개발 관련 문서, 매뉴얼 등) 모두 해당
  5. 해당 항목에도 운영 환경에 소스코드를 두지 말라는 내용이 있으나, 원칙만 제시되어 있으며, 2.8.6에선 주요 확인사항과 결함 사례에서 모두 해당 요구사항 확인 가능
  6. 하지만 이의제기를 받아주지 않는 것이 현실