클라우드 환경까지 고려한 ISMS-P 인증 실무 가이드

연수권,신동혁,박나룡

저자:연수권
2000년초반부터정보보호업무를시작해서보안컨설턴트,넥슨보안팀장,쿠팡보안팀장을역임했다.현재크라우드펀딩회사인와디즈에서CISO로재직중이다.특히정보보호인증,클라우드보안에관심이많아한국인터넷진흥원과정보보호관리체계인증심사,클라우드정보보호관리체계인증심사,클라우드서비스보안교육을진행하고있으며상명대학교,충북대학교에서정보보호연계전공교수로후학을양성하는데기여하고있다.
경영학박사
충북대학교겸임교수
ISMS-P인증심사원

저자:신동혁
2000년초롯데공채,LG그룹,네이버등을거쳐,이커머스쿠팡보안팀장을역임했고,쿠팡에서국내외보안인증8개를진행하고획득했다.우아한형제들을거쳐,데일리호텔(현야놀자M&A)CISO/CPO로근무했고,글로벌오디오플랫폼스푼라디오CISO/CPO및경영진을거쳐,현재는핀테크기업CISO/CPO및경영진으로재직중이다.ISMS-P심사원,개인정보보호법전문강사로활동하고있다.2015년도에는개인정보보호공로를인정받아KISA,방통위에서주최하는개인정보보호인의밤에서수상했으며,개인정보보호협회와함께2018년방송통신위원회국민정책참여단(스타트업프라이버시인큐베이팅)으로활동하며스타트업보안역량향상에기여했다.현재성신여자대학교융합보안공학과겸임교수로후학양성에도기여하고있다.
컴퓨터공학박사
성신여자대학교겸임교수(융합보안공학과)
ISMS-P심사원

저자:박나룡
보안전문업체(안랩코코넛),포털사이트(다음),이커머스(쿠팡),핀테크(브로콜리)에서정보보호및개인정보보호업무를수행했다.2006년ISO27001인증심사를시작하고,2007년ISMS심사원으로활동하며100개이상의국가,공공,민간조직심사에700일이상참여하고있다.현재보안전략연구소를설립해정보보호신뢰성을높이고,정보보호시장의확대를위한다양한활동을수행하고있다.
보안전략연구소소장
ISMS-P선임심사원
ISO27001심사원
정보보호칼럼니스트

1장.정보보호인증제도이해
1.1정보보호인증제도란?
1.2ISMS-P법적근거
1.3인증체계
1.4인증기준

2장.ISMS-P인증심사준비
1.정보보호정책·지침수립
2.개인정보및정보서비스흐름도작성
2.1개인정보흐름도
2.2정보서비스흐름도
3.취약점분석
3.1서버취약점진단
3.2WEB/WAS/Application취약점진단
3.3네트워크취약점진단
3.4데이터베이스취약점진단
3.5정보보호솔루션취약점진단
3.6모바일앱취약점진단
4.모의해킹
5.위험분석및평가
5.1Risk-BasedApproachRiskAssessment
5.2Asset-BasedApproachRiskAssessments(자산기반위험평가)
__가.자산식별및중요도산정
__나.위협식별및중요도평가
__다.위험평가
라.보호대책수립
6.정보보호감사
7.정보보호및개인정보보호관리체계운영명세서

3장.ISMS-P인증심사기준및심사방법
1.관리체계수립및운영
1.1관리체계기반마련
__가.인증분야및항목설명
1.1.1경영진의참여
1.1.2최고책임자의지정
1.1.3조직구성
1.1.4범위설정
1.1.5정책수립
1.1.6자원할당
__나.사례연구
1.2위험관리
__가.인증분야및항목설명
1.2.1정보자산식별
1.2.2현황및흐름분석
1.2.3위험평가
1.2.4보호대책선정
__나.사례연구
1.3관리체계운영
__가.인증분야및항목설명
1.3.1보호대책구현
1.3.2보호대책공유
1.3.3운영현황관리
__나.사례연구
1.4관리체계점검및개선
__가.인증분야및항목설명
1.4.1법적요구사항준수검토
1.4.2관리체계점검
1.4.3관리체계개선
__나.사례연구
2.보호대책요구사항
2.1정책,조직,자산관리
__가.인증분야및항목설명
2.1.1정책의유지관리
2.1.2조직의유지관리
2.1.3정보자산관리
__나.사례연구
2.2인적보안
__가.인증분야및항목설명
2.2.1주요직무자지정및관리
2.2.2직무분리
2.2.3보안서약
2.2.4인식제고및교육훈련
2.2.5퇴직및직무변경관리
2.2.6보안위반시조치
__나.사례연구
2.3외부자보안
__가.인증분야및항목설명
2.3.1외부자현황관리
2.3.2외부자계약시보안
2.3.3외부자보안이행관리
2.3.4외부자계약변경및만료시보안
__나.사례연구
2.4물리보안
__가.인증분야및항목설명
2.4.1보호구역지정
2.4.2출입통제
2.4.3정보시스템보호
2.4.4보호설비운영
2.4.5보호구역내작업
2.4.6반출입기기통제
2.4.7업무환경보안
__나.사례연구
2.5인증및권한관리
__가.인증분야및항목설명
2.5.1사용자계정관리
2.5.2사용자식별
2.5.3사용자인증
2.5.4비밀번호관리
2.5.5특수계정및권한관리
2.5.6접근권한검토
__나.사례연구
2.6접근통제
__가.인증분야및항목설명
2.6.1네트워크접근
2.6.2정보시스템접근
2.6.3응용프로그램접근
2.6.4데이터베이스접근
2.6.5무선네트워크접근
2.6.6원격접근통제
2.6.7인터넷접속통제
__나.사례연구
2.7암호화적용
__가.인증분야및항목설명
2.7.1암호정책적용
2.7.2암호키관리
__나.사례연구
2.8정보시스템도입및개발보안
__가.인증분야및항목설명
2.8.1보안요구사항정의
2.8.2보안요구사항검토및시험
2.8.3시험과운영환경분리
2.8.4시험데이터보안
2.8.5소스프로그램관리
2.8.6운영환경이관
__나.사례연구
2.9시스템및서비스운영관리
__가.인증분야및항목설명
2.9.1변경관리
2.9.2성능및장애관리
2.9.3백업및복구관리
2.9.4로그및접속기록관리
2.9.5로그및접속기록점검
2.9.6시간동기화
2.9.7정보자산의재사용및폐기
__나.사례연구
2.10시스템및서비스보안관리
__가.인증분야및항목설명
2.10.1보안시스템운영
2.10.2클라우드보안
2.10.3공개서버보안
2.10.4전자거래및핀테크보안
2.10.5정보전송보안
2.10.6업무용단말기기보안
2.10.7보조저장매체관리
2.10.8패치관리
2.10.9악성코드통제
__나.사례연구
2.11사고예방및대응
__가.인증분야및항목설명
2.11.1사고예방및대응체계구축
2.11.2취약점점검및조치
2.11.3이상행위분석및모니터링
2.11.4사고대응훈련및개선
2.11.5사고대응및복구
__나.사례연구
2.12재해복구
__가.인증분야및항목설명
2.12.1재해,재난대비안전조치
2.12.2재해복구시험및개선
__나.사례연구
3.개인정보처리단계별요구사항
3.1개인정보수집시보호조치
__가.인증분야및항목설명
3.1.1개인정보수집·이용
3.1.2개인정보수집제한
3.1.3주민등록번호처리제한
3.1.4민감정보및고유식별정보의처리제한
3.1.5개인정보간접수집
3.1.6영상정보처리기기설치·운영
3.1.7마케팅목적의개인정보수집·이용
__나.사례연구
3.2개인정보보유및이용시보호조치
__가.인증분야및항목설명
3.2.1개인정보현황관리
3.2.2개인정보품질보장
3.2.3이용자단말기접근보호
3.2.4개인정보목적외이용및제공
3.2.5가명정보처리
3.3개인정보제공시보호조치
__가.인증분야및항목설명
3.3.1개인정보제3자제공
3.3.2개인정보처리업무위탁
3.3.3영업의양도등에따른개인정보이전
3.3.4개인정보국외이전
__나.사례연구
3.4개인정보파기시보호조치
__가.인증분야및항목설명
3.4.1개인정보파기
3.4.2처리목적달성후보유시조치
__나.사례연구
3.5정보주체권리보호
__가.인증분야및항목설명
3.5.1개인정보처리방침공개
3.5.2정보주체권리보장
__나.사례연구
3.5.3이용내역통지

1장.'정보보호인증제도이해'에서는통합된ISMS-P인증의이해도를높이고자인증제도소개,법적근거,인증체계,인증기준등을설명한다.
2장.'ISMS-P인증심사준비'에서는정보보호인증을취득하기위해사전에준비해야할정책/지침수립,개인정보및정보서비스흐름도작성,취약점분석,위험분석및평가,정보보호감사,정보보호및개인정보보호관리체계운영명세서를다룬다.
3장.'ISMS-P인증심사기준및심사방법'에서는정보보호인증심사기준관리체계수립및운영(16개항목),보호대책요구사항(64개항목),개인정보처리단계별요구사항(22개항목)에대해인증기준을설명하고각인증항목별인증준비사항,실무사례,증적자료,심사원중점검토사항을설명한다.특히,클라우드서비스사용시에확인이필요한통제항목에대해서도실무사례를제공한다.또한인증통제분야별로가상시나리오를작성해실제심사와동일하게정책및지침확인,인터뷰또는실사를통한확인,결함요약,결함보고서(2종)를사례로제공해ISMS-P인증의시작부터끝까지모든내용을다룬다.
각종IT시스템이나정보보호의기본지식과정보보호인증의기본지식이있는분들은쉽게이해할수있다.ISMS-P준비절차,각항목별설명,사례,결함도출및결함보고서작성등에대한이해도를높여실무에활용하거나정보보호인증심사원자격취득을준비하는분에게도움을주는것이목표다.