조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다. ※ 내용정리 조직이 정보보호 및 개인정보 보호와 관련된 법률, 규정, 계약상의 요구사항을 식별하고, 이를 지속적으로 준수하고 있는지 검토. 즉 "어떤 법을 지켜야 하는지", 실제로 잘 수행하고 있는지 문서화하고 점검하는 항목. - 적용대상 법률 및 규정 식별  > 조직이 준수해야 할 관련 법적·규제 요건을 식별   : 개인정보보호법   : 정보통신망법   : 전자금융거래법 등등등    - 법적 요구사항 목록화 및 문서화  > 해당 법률/규제에 따라 조직이 따라야 할 주요 조항, 의무사항 정리  > 이름 법적 요구사항 검토 목록표, 매트릭스, 내부 규정 비교표 ..

※인증기준 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영활동의 효과성을 확인하여 관리하여야 한다. ※ 내용정리 수립된 보호대책이 실제로 제대로 운영되고 있는지 지속적으로 점검·관리하는 활동, 단순히 정책이나 시스템을 도입하는 것에 그치지 않고, 보호대책이 현재도 유효하고 효과적으로 작동 중인지 주기적으로 확인하고 유지관리하는지를 평가하는 항목 - 보호대책 운영상태 점검  > 조직이 도입한 보안솔루션, 정책, 절차가 계획대로 운영되고 있는지 정기적으로 확인    : 백업 시스템이 정상 작동하는지 확인    : 로그 기록이 정상 수집되고 있는지 확인    : 접근권한이 정책대로 유지되고 있..

[isms-p 정리] 1.3.2.보호대책 공유 ※인증기준 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다. ※ 내용정리 조직 내에서 수립하고 구현한 보호대책을 임직원, 협력사 등 관련 대상에게 명확하게 전달하고 인식시키는 것을 요구, 정보보호와 개인정보 보호를 위한 규칙과 절차를 공유하여 구성원들이 준수하도록 만드는 활동 - 보호대책 내부 공유  > 정보보호 정책, 개인정보 처리지침, 업무별 보안 절차 등 보호대책을 임·직원이 이해하고 따라야 하므로 내부 전파 필요  > 사내 업무게시판 게시, 이메일 공지, 정기 보안 교육등을 통해 구성원 전파 - 협력업체 및 외부 이해관계자 공유  > 위탁/수탁 계약 시 보호조치 의무 포함  ..

※ 인증기준 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다. ※ 내용정리 앞선 1.2.4_보호대책 설정 항목에서 선정한 보호대책을 실제로 운영 환경에 적용하고, 효과적으로 실행하고 있는지를 점검하는 항목, 즉, 선정된 보호조치가 실제로 시스템, 인력, 업무 프로세스에 반영되어 운영되고 있는지를 확인하는 단계. - 보호대책의 실행 여부 확인  > 위험 평가에 따라 선정된 보안 대책이 실제로 시스템, 장비, 정책, 인력교육 등 조직 전반에 구현되었는지 확인 - 적절한 보호 수준 유지   > 구현된 보호대책이 조직의 정보보호 요구사항 및 자산의 중요도에 적정한 수준으로 적용되어야 함  > 과도하거나 미흡한 설정이 없는지 검토 - 증적확보  >..

※ 인증기준 위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정·담당자·예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다. ※ 내용정리 앞선 위험 평가(1.2.3) 결과를 바탕으로, 식별된 위험에 대해 적절하고 효과적인 보호조치를 수립하고 적용하는 단계 - 위험평가 기반 대책 수립  > 1.2.3에서 도출된 "위험수준(예: 높음/중간/낮음)"에 따라, 각각의 자산에 필요한 보안 조치 결정  > 예: 개인정보가 저장된 서버가 "위험도 높음"으로 평가 되었다면, 접근통제·암호화·이중인증 등의 대책 적용 - 적절한 보호대책 선택  > 조직 환경에 맞는 기술적, 물리적, 관리적 대책을 종합적으로 고려하여 선정   · 기술적 대책: ..

※ 인증기준 조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. ※ 내용정리 - 위험 평가의 목적  > 정보자산이 직면한 위협과 취약점을 파악하고, 이를 통해 보안 사고의 발생 가능성과 영향도를 분석, 조직에 실질적인 영향을 미칠 수 있는 위험을 사전에 파악하여 대응 전략을 수립하기 위함.   - 평가 대상 자산  > 앞선 항목(1.2.1~1.2.2)에서 식별된 정보자산과 그 흐름이 평가 대상. 개인정보, 핵심 비즈니스 시스템, 서버, 네트워크 장비, 외부 연계 시스템 등.   - 위험 평가 절차 (일반적인 단계)  ① 자산 식별: 보호할..

※ 인증기준 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다. ※ 내용정리 개인정보와 중요정보가 조직 내에서 어떤 경로로 흐르고, 어떤 시스템 및 사람과 연결되는지 파악하여 보안상 위험 요소를 사전에 식별하고 관리하는 항목 - 정보의 흐름 및 사용경로 파악  > 개인정보나 중요정보가 어디에서 발생(수집)되고 있으며, 어떤 시스템을 거쳐, 어떤 조직/부서에서 처리되고, 어디에 저장 또는 전달되는지를 흐름도 형태로 분석하여야 함   - 데이터 흐름도(Flow Chart) 작성  > 수집, 저장, 처리, 제공, 파기 등 정보의 LifeCycle를 시각화하여 흐름도를 문서화하여야 함.  > 흐름도는 ..

※인증기준 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. ※ 내용정리 조직이 보호해야 할 정보자산을 정의하고, 이를 체계적으로 관리하기 위해 수행해야 하는 과정,  정보자산을 식별하는 것은 보안 위험 분석, 보호 조치 수립, 자산의 중요도 평가 등의 기초가 된다. - 정보자산의 정의  > 조직이 운영하는 정보 및 IT 관련 자산, 보호하여야 하는 데이터와 이를 처리하는 시스템을 포함   주요 정보자산 유형   > 데이터 자산: 개인정보, 기업 기밀 정보, 고객 정보, 금융 정보 등.   > 소프트웨어 자산: 애플리케이션, 운영체제, 보안 솔루션 등.   > 하드웨어 자산: 서버, 네트워크 장비..