※인증기준최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다. ※ 내용정리정보보호 및 개인정보 보호 활동을 효과적으로 수행하기 위해 필요한 인력, 예산, 기술적 자원을 적절하게 배정 - 정보보호와 개인정보보호를 위한 자원 식별 및 정의  > 인력자원: 보안담당자, 개인정보보호 담당자, 침해사고 대응팀(cert) 등  > 재정자원: 보안솔루션 도입 비용, 보안 교육 비용, 외부 컨설팅 비용 등  > 기술자원: 보안시스템(방화벽, IPS/IDS, DB ACL, DLP 등), 로그관리 시스템 등   - 자원의 배정 및 운영  > 조직의 규모와 보안요구사항에 맞게 자원 배정  > 정보보호 및 개인정보 보호 업무 ..

※인증기준 정보보호와 개인정보보호 정책 및 시행문서를 수립·작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다. ※ 내용정리 - 정보보호와 개인정보보호 업무에 대한 정책 및 시행문서 수립·작성 - 법적·규제 요구사항을 반영  > 정보통신망법, 개인정보 보호법, 전자금융거래법 등 관련 법률 및 규제를 고려하여 정책을 수립·작성  > 조직의 산업 특성에 맞는 보안 기준 및 국제표준(iso 27001, NIST 등) 도 반영 가능   - 수립된 정책은 CISO or CPO의 검토를 거쳐 경영진의 승인 필요  > 승인된 정책은 조직 내 공식적인 문서로 관리   - 조직 내..

※인증기준 조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다. ※ 내용정리- 정보보호 및 개인정보 보호 적용범위 정의 > isms-p 관리체계를 적용할 조직의 업무, 서비스, 시스템, 위치 등을 식별  ※ 고려사항 > 조직의 목적 및 운영방식: 보안 적용이 필요한 주요 업무 및 서비스 식별 > 법적 및 규제 요구사항 관련법류(개인정보보호법, 전자금융거래법 등)과 업계 표준 준수 여부 > 보호해야 할 자산: 개인정보, 중요기밀정보, IT인프라 등 > 위험도 평가: 보안 위협과 보호 필요성이 높은 영역 포함 - 적용 범위 문서화 및 공식 승인 > 정보보호 및 개인정보 보호 관리체계..

※인증기준 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다. ※ 내용정리정보보호 및 개인정보 보호를 효과적으로 운영하기 위해 적절한 조직을 구성하고 역할을 정의하는 것을 요구- 정보보호 및 개인정보 보호 조직 구성  > 조직 내 정보보호 및 개인정보 보호를 담당하는 전담 조직 구성  > 규모와 특성에 따라 전담 조직, 겸임 조직, 또는 외부 전문가 활용 방식으로 운영 가능 - 역할 및 책임 정의  > 정보보호 및 개인정보 보호 업무를 수행할 조직 및 담당자의 역할과 책임을 정의 - 전사적 협력 체..

※인증기준 최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다. ※ 내용정리조직의 규모와 특성을 고려하여 정보보호 및 개인정보 보호 업무를 총괄할 최고책임자를 공식적으로 지정해야 함 관계법령에 따라 자격요건에 충족하는 책임자(임원급) 를 지정해야함 정보보호 최고책임자(CISO)와 개인정보 보호책임자(CPO)의 지정, 책임 및 역할을 내부 정보보호 정책문서에 명시해야 함 결함사례1. 최고책임자 공식 지정 없음 D사는 정보보호 및 개인정보 보호 관리체계를 운영하면서도 최고책임자(CISO 또는 CPO)를 공식적으로 지정하지 않았다. 내부적으로 정보보호 및 개인정보 보호 업무를 담당하는 부서..

※인증기준 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다. ※ 내용정리- 경영진 / 권한위임자 참여 > 정보보호 및 개인정보 보호 결정에 대해 경영진 / 권한위임자가 결정에 참여하지 않거나, 관련 증적이 확인되지 않을 경우- 장기간 관련 보고 안함. > 정보보호 및 개인정보 보호 현황에 대해 분기별로 보고하도록 명시되어 있지만, 장기간 보고가 이뤄지지 않을 경우- 참여할 수 있는 절차 수립 > 경영진 / 권한위임자가 참여할 수 있는 보고 절차가 없을 경우 - 업무에 참여를 명시한 정책 or 문서화된 증적 > 경영진 / 권한위임자의 정보보호 및 개인정보보호 업무에 참여를 명시한 정책 또는 문서화된..

AWS WorkSpaces를 단독으로 사용한다고 ISMS-P 인증이 자동으로 되는 건 아니지만, 적절한 보안 정책을 적용하면 망분리 요구사항을 충족할 수 있음. - 네트워크 구성 >AWS VPC 내에서 내부망(WorkSpaces)과 외부망을 별도 서브넷으로 분리. >인터넷과 내부망 간 직접적인 네트워크 연결 차단. >WorkSpaces에서 인터넷 접속을 제한하고, 내부망만 사용하도록 설정. - 접근통제 및 인증 >WorkSpaces 사용자 계정에 MFA(다중 인증) 적용. >AWS IAM을 활용해 권한 최소화 원칙 적용. >특정 IP 또는 VPN을 통한 접속만 허용. - 데이터 보호 및 감사 로그 >WorkSpaces 사용 시 로컬 데이터 저장 제한 (DLP 적용). >WorkSpaces 세션 및 사용자..