Kyu's Thought Diary

ISMS-P 인증 2.4 물리 보안2.4.1 보호구역 지정2.4.2 출입통제2.4.3 정보시스템 보호2.4.4 보호설비 운영2.4.5 보호구역 내 작업2.4.6 반출입 기기 통제2.4.7 업무환경 보안 ISMS-P 간편인증(7의3)2.4 물리 보안2.4.1 출입통제2.4.2 업무환경 보안 ISMS-P 간편인증(7의2) 2.3 물리 보안2.3.1 보호구역 지정2.3.2 정보시스템 보호2.3.3 반출입 기기 통제2.3.4 업무환경 보안(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업 IDC 및 사무실에서 휴대용 노트북을 반출할 경우에 정기적으로 백신 / DLP 등 보안패치가 제대로 ..

ISMS 인증을 준비하면서 제일 힘들었던 영역중 하나가 위험평가 영역이었습니다. 다행스럽게도 내년부터는 간편인증으로 갈아타기 때문에 위험평가 영역은 패스해도 되지만 최초심사와 사후1차 심사과정에서도 제일 어려웠던 영역이 위험평가 부분이었습니다.  참고로 활용할 수 있는 문서가 없어서 좀 오래된 문서이기는 하지만 KISA 에서 제공하는 '위험관리 가이드' 기초로 지식을 넓혀가게 되었습니다.    ISMS-P 인증 대상 기업에서는 1.2.3 항목이 유지되었고요.ISMS-P 간편인증 대상(7의2,7의3) 기업에서는 1.2.3 항목이 삭제되었습니다. (7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 ..

ISMS-P 인증 2.4 물리 보안2.4.1 보호구역 지정2.4.2 출입통제2.4.3 정보시스템 보호2.4.4 보호설비 운영2.4.5 보호구역 내 작업2.4.6 반출입 기기 통제2.4.7 업무환경 보안 ISMS-P 간편인증(7의3)2.4 물리 보안2.4.1 출입통제2.4.2 업무환경 보안 ISMS-P 간편인증(7의2) 2.3 물리 보안2.3.1 보호구역 지정2.3.2 정보시스템 보호2.3.3 반출입 기기 통제2.3.4 업무환경 보안(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업  개요인증기준보호구역에 위치한 정보시스템의 중요도 및 특성에 따라 온도·습도 조절, 화재감지, 소화설..

ISMS-P 인증 2.4 물리 보안2.4.1 보호구역 지정2.4.2 출입통제2.4.3 정보시스템 보호2.4.4 보호설비 운영2.4.5 보호구역 내 작업2.4.6 반출입 기기 통제2.4.7 업무환경 보안 ISMS-P 간편인증(7의3)2.4 물리 보안2.4.1 출입통제2.4.2 업무환경 보안 ISMS-P 간편인증(7의2) 2.3 물리 보안2.3.1 보호구역 지정2.3.2 정보시스템 보호2.3.3 반출입 기기 통제2.3.4 업무환경 보안(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업 심사팀장은 먼저 네트워크 구성도를 체크할것입니다. 네트워크 구성도를 보면 개인정보처리시스템, 보안시스..

ISMS-P 인증 2.3 외부자 보안2.3.1 외부자 현황 관리2.3.2 외부자 계약 시 보안2.3.3 외부자 보안 이행 관리2.3.4 외부자 계약 변경 및 만료시 보안 ISMS-P 간편인증(7의3)2.3 외부자 보안2.2.1 외부자 계약시 보안 ISMS-P 간편인증(7의2) 2.2 외부자 보안2.2.1 외부작 계약 시 보안(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업개요인증기준외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다. 주요확인사항1. 중요정보 및 개..

ISMS-P 인증 2.2 인적보안2.2.1 주요 직무자 지정 및 관리2.2.2 직무 분리2.2.3 보안 서약2.2.4 인식제고 및 교육훈련2.2.5 퇴직 및 직무변경 관리2.2.6 보안 위반 시 조치 ISMS-P 간편인증(7의3)2.2 인적보안2.2.1 주요 직무자 지정 및 관리2.2.2 보안 서약2.2.3 인식제고 및 교육훈련2.2.4 퇴직 및 직무 변경 관리 ISMS-P 간편인증(7의2) 2.1 인적보안2.1.1 보안 서약2.1.2 인식제고 및 교육훈련(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업 개요인증기준임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별..

ISMS-P 인증 2.2 인적보안2.2.1 주요 직무자 지정 및 관리2.2.2 직무 분리2.2.3 보안 서약2.2.4 인식제고 및 교육훈련2.2.5 퇴직 및 직무변경 관리2.2.6 보안 위반 시 조치 ISMS-P 간편인증(7의3)2.2 인적보안2.2.1 주요 직무자 지정 및 관리2.2.2 보안 서약2.2.3 인식제고 및 교육훈련2.2.4 퇴직 및 직무 변경 관리 ISMS-P 간편인증(7의2) 2.1 인적보안2.1.1 보안 서약2.1.2 인식제고 및 교육훈련(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업 개요인증기준정보자산을 취급하거나 접근권한이 부여된 임직원ㆍ임시직원ㆍ외부자 등..

ISMS-P 인증 / 간편인증(7의3)1.4 관리체계 점검 및 개선1.4.1 법적 요구사항 준수 검토1.4.2 관리체계 점검1.4.3 관리체계 개선 ISMS-P 간편인증(7의2) 1.4 관리체계 점검 및 개선1.4.1 관리체계 점검(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업 개요인증기준관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다. 주요확인사항법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점..

ISMS-P 인증 1.3 관리체계 운영1.3.1 보호대책 구현1.3.2 보호대책 공유1.3.3 운영현황 관리 ISMS-P 간편인증(7의2) 1.3 관리체계 운영1.3.1 운영현황 관리 ISMS-P 간편인증(7의3) 1.3 관리체계 운영1.3.1 운영현황 관리(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업 개요인증기준조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영활동의 효과성을 확인하여 관리하여야 한다. 주요확인사항관리체계 운영을 위해 주기적 또는 상시적으로 수행..

1.2 위험 관리1.2.1 정보자산 식별1.2.2 현황 및 흐름 분석1.2.3 위험 평가1.2.4 보호대책 선정 개요인증기준조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. 주요확인사항정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가?정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가? 세부 설명분류기준 수립 및 자산 식별정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 ..