Kyu's Thought Diary

정보보호최고책임자(CISO)의 정의* CISO(Chief Information Security Officer) : 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리 업무를 총괄하는 임직원을 지칭 정보통신서비스안녕하세요.저는 현재 중소기업(정확히는 중기업, 100억이상의 쇼핑몰 매출)에서 보안담당자로 근무하고 있는 세진파파입니다.  정보보호 관리체계를 회사에 도입하면서 그에 대한 지식이 전무한 상태로 인증심사를 준비하고 진행하면서 알게된 정보보호 최고책임자(CISO)의 역할과 책임등을 CISO를 담당하시는 이사님과 함께 정리하게 되었습니다. 정보통신서비스란?정보통신망법 제2조(정의)2. "정보통신서비스"란 「전기통신사업법」 제2조제6호에 따른 전기통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공을..

ISMS-P 인증 2.5 인증 및 권한관리2.5.1 사용자 계정 관리2.5.2 사용자 식별2.5.3 사용자 인증2.5.4 비밀번호 관리2.5.5 특수 계정 및 권한 관리2.5.6 접근권한 검토 ISMS-P 간편인증(7의2)2.4 인증 및 권한관리2.4.1 사용자 계정 관리2.4.2 사용자 식별2.4.3 사용자 인증2.4.4 비밀번호 관리 ISMS-P 간편인증(7의3) 2.5 인증 및 권한관리2.5.1 사용자 계정 관리2.5.2 사용자 식별2.5.3 사용자 인증2.5.4 비밀번호 관리(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업  개요인증기준정보시스템 관리, 개인정보 및 중요정..

ISMS-P 인증 2.5 인증 및 권한관리2.5.1 사용자 계정 관리2.5.2 사용자 식별2.5.3 사용자 인증2.5.4 비밀번호 관리2.5.5 특수 계정 및 권한 관리2.5.6 접근권한 검토 ISMS-P 간편인증(7의2)2.4 인증 및 권한관리2.4.1 사용자 계정 관리2.4.2 사용자 식별2.4.3 사용자 인증2.4.4 비밀번호 관리 ISMS-P 간편인증(7의3) 2.5 인증 및 권한관리2.5.1 사용자 계정 관리2.5.2 사용자 식별2.5.3 사용자 인증2.5.4 비밀번호 관리(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업  개요인증기준법적 요구사항, 외부 위협요인 등을 ..

ISMS-P 인증 2.5 인증 및 권한관리2.5.1 사용자 계정 관리2.5.2 사용자 식별2.5.3 사용자 인증2.5.4 비밀번호 관리2.5.5 특수 계정 및 권한 관리2.5.6 접근권한 검토 ISMS-P 간편인증(7의2)2.4 인증 및 권한관리2.4.1 사용자 계정 관리2.4.2 사용자 식별2.4.3 사용자 인증2.4.4 비밀번호 관리 ISMS-P 간편인증(7의3) 2.5 인증 및 권한관리2.5.1 사용자 계정 관리2.5.2 사용자 식별2.5.3 사용자 인증2.5.4 비밀번호 관리(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업  개요인증기준정보시스템과 개인정보 및 중요정보에 ..

ISMS-P 인증 2.5 인증 및 권한관리2.5.1 사용자 계정 관리2.5.2 사용자 식별2.5.3 사용자 인증2.5.4 비밀번호 관리2.5.5 특수 계정 및 권한 관리2.5.6 접근권한 검토2.4.7 업무환경 보안 ISMS-P 간편인증(7의2)2.4 인증 및 권한관리2.4.1 사용자 계정 관리2.4.2 사용자 식별2.4.3 사용자 인증2.4.4 비밀번호 관리 ISMS-P 간편인증(7의3) 2.5 인증 및 권한관리2.5.1 사용자 계정 관리2.5.2 사용자 식별2.5.3 사용자 인증2.5.4 비밀번호 관리(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업  개요인증기준사용자 계정은..

ISMS-P 인증 2.5 인증 및 권한관리2.5.1 사용자 계정 관리2.5.2 사용자 식별2.5.3 사용자 인증2.5.4 비밀번호 관리2.5.5 특수 계정 및 권한 관리2.5.6 접근권한 검토 ISMS-P 간편인증(7의2)2.4 인증 및 권한관리2.4.1 사용자 계정 관리2.4.2 사용자 식별2.4.3 사용자 인증2.4.4 비밀번호 관리 ISMS-P 간편인증(7의3) 2.5 인증 및 권한관리2.5.1 사용자 계정 관리2.5.2 사용자 식별2.5.3 사용자 인증2.5.4 비밀번호 관리(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업  개요인증기준정보시스템과 개인정보 및 중요정보에 ..

ISMS-P 인증 2.4 물리 보안2.4.1 보호구역 지정2.4.2 출입통제2.4.3 정보시스템 보호2.4.4 보호설비 운영2.4.5 보호구역 내 작업2.4.6 반출입 기기 통제2.4.7 업무환경 보안 ISMS-P 간편인증(7의3)2.4 물리 보안2.4.1 출입통제2.4.2 업무환경 보안 ISMS-P 간편인증(7의2) 2.3 물리 보안2.3.1 보호구역 지정2.3.2 정보시스템 보호2.3.3 반출입 기기 통제2.3.4 업무환경 보안(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업  개요인증기준공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무..

ISMS-P 인증 2.4 물리 보안2.4.1 보호구역 지정2.4.2 출입통제2.4.3 정보시스템 보호2.4.4 보호설비 운영2.4.5 보호구역 내 작업2.4.6 반출입 기기 통제2.4.7 업무환경 보안 ISMS-P 간편인증(7의3)2.4 물리 보안2.4.1 출입통제2.4.2 업무환경 보안 ISMS-P 간편인증(7의2) 2.3 물리 보안2.3.1 보호구역 지정2.3.2 정보시스템 보호2.3.3 반출입 기기 통제2.3.4 업무환경 보안(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업 IDC 및 사무실에서 휴대용 노트북을 반출할 경우에 정기적으로 백신 / DLP 등 보안패치가 제대로 ..

ISMS 인증을 준비하면서 제일 힘들었던 영역중 하나가 위험평가 영역이었습니다. 다행스럽게도 내년부터는 간편인증으로 갈아타기 때문에 위험평가 영역은 패스해도 되지만 최초심사와 사후1차 심사과정에서도 제일 어려웠던 영역이 위험평가 부분이었습니다.  참고로 활용할 수 있는 문서가 없어서 좀 오래된 문서이기는 하지만 KISA 에서 제공하는 '위험관리 가이드' 기초로 지식을 넓혀가게 되었습니다.    ISMS-P 인증 대상 기업에서는 1.2.3 항목이 유지되었고요.ISMS-P 간편인증 대상(7의2,7의3) 기업에서는 1.2.3 항목이 삭제되었습니다. (7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 ..

ISMS-P 인증 2.4 물리 보안2.4.1 보호구역 지정2.4.2 출입통제2.4.3 정보시스템 보호2.4.4 보호설비 운영2.4.5 보호구역 내 작업2.4.6 반출입 기기 통제2.4.7 업무환경 보안 ISMS-P 간편인증(7의3)2.4 물리 보안2.4.1 출입통제2.4.2 업무환경 보안 ISMS-P 간편인증(7의2) 2.3 물리 보안2.3.1 보호구역 지정2.3.2 정보시스템 보호2.3.3 반출입 기기 통제2.3.4 업무환경 보안(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업  개요인증기준보호구역에 위치한 정보시스템의 중요도 및 특성에 따라 온도·습도 조절, 화재감지, 소화설..