IT 자격증

위험처리 전략(예시) 위험감소 : 패스워드 도용의 위험을 줄이기 위해 개인정보처리시스템의 로그인 패스워드 복잡도와 길이를 3가지 문자조합 및 8글자 이상으로 강제 설정되도록 패스워드 설정모듈을 개발하여 적용한다. 위험회피 : 회사 홍보용 인터֘넷 홈페이지에서는 회원 관리에 따른 리스크가 크므로 회원 가입을 받지 않는 것으로 변경하고 기존 회원정보는 모두 파기한다. 위험전가 : 중요정보 및 개인정보 유출 시 손해배상 소송 등에 따른 비용 손실을 줄이기 위해 관련 보험에 가입한다. 위험수용 : 유지보수 등 협력업체, 개인정보 처리 수┢자 중 당사에서 직접 관리,감독할 수 없는 PG사, 본인확인기관 등과 같은 대형 수탁자에 대하여는 해당 수탁자가 법령에 의한 정부감독을 받거나 정부로부터 보안인증을 획득한 경우..

IT자격 관련자료/ISMS-P 2019. 5. 16. 16:51

결함사례 사례 1 : 수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의 되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우 사례 2 : 전년도에는 위험평가를 수행하였으나, 금년도에는 자산의 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우 사례 3 : 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나 정보보호 관련 법적 요구 사항 준수여부에 따른 위험을 식별 및 평가하지 않은 경우 사례 4 : 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정하였으나 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우

IT자격 관련자료/ISMS-P 2019. 5. 16. 16:45

결함사례 사례 1 : 관리체계 범위 내 주요 서비스의 업무 절차, 흐름 및 현황에 문서화가 이루어지지 않은 경우 사례 2 : 개인정보 흐름도를 작성하였으나 실제 개인정보의 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락되어 있는 경우 사례 3 : 최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아 변화된 개인정보 흐름이 흐름도에 반영되지 않고 있는 경우

IT자격 관련자료/ISMS-P 2019. 5. 16. 16:43

결함사례 사례 1 : 정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보취급자 PC를 통제하는데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락되어 있는 경우 사례 2 : 정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우 사례 3 : 내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류기준이 일치하지 않은 경우

IT자격 관련자료/ISMS-P 2019. 5. 16. 16:40

결함사례 사례 1 : 정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우 사례 2 : 개인정보처리시스템의 기술적, 관리적 보호조치의 요건을 갖추기 위한 보안 솔루션 등의 비용 을 최고경영자가 지원하지 않고 법적 위험을 수용하고 있는 경우 사례 3 : 인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 타부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우

IT자격 관련자료/ISMS-P 2019. 5. 16. 16:37

결함 사례 사례 1 : 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제 . 개정 시에는 정보보호 및 개인정보보호 위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우 사례 2 : 정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유, 전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우 사례 3 : 정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우

IT자격 관련자료/ISMS-P 2019. 5. 16. 16:34

결함사례 사례 1 : 정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원,PC, 테스트용 단말기 등이 관리체계 범위에서 누락 사례 2 : 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사 결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우 사례 3 : 인증범위 내 조직 및 인력에 적용하고 있는 보안시스템(PC보안, 백신, 패치 등)을 인증범위에서 배제하고 있는 경우 사례 4 : 정보통신망법에 따른 정보보호 관리체계 의무대상자 임에도 불구하고 인터֘넷에 공개되어있는 일부 웹사이트가 관리체계 범위에서 누락된 경우

IT자격 관련자료/ISMS-P 2019. 5. 16. 10:01

결함사례 사례 1 : 정보보호 및 개인정보보호 위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정 할 수 없는 경우 사례 2 : 내부 지침에 따라 중요 정보처리부서 및 개인정보처리부서의 장(팀장급)으로 구성된 정보보호 및 개인정보보호 실무협의체를 구성하였으나, 장기간 운영 실적이 없는 경우 사례 3 : 정보보호 및 개인정보보호 위원회를 개최하였으나 연간 정보보호 및 개인정보보호 계획 및 교육계획, 예산 및 인력 등 정보보호 및 개인정보보호에 관한 주요 사항이 검토 및 의사결정 되지 않은 경우

IT자격 관련자료/ISMS-P 2019. 5. 16. 09:14