얼마 전 2024년 ISMS-P 인증심사원 필기시험 결과가 발표되었습니다.정말 기쁜 합격소식과 아쉬움이 가득한 소식이 함께 들려오며 워낙 어려웠다는 시험의 수준이 간접적으로 느껴졌습니다. 노력하신 만큼 기쁜 결과를 얻으셨길 바라며, 필기 합격자 분들을 위하여 2023년 실기시험 문제 유형과 제가 진행했던 실기 시험 준비 방법을 공유드리려 합니다.    1. ISMS-P 인증심사원 실기전형 합격기준  - 실무교육 수료(80% 이상 참석) 및 실기시험 통과(70점 이상)      > 실무교육 총 35시간 중 7시간 이상 불참 시, 실기시험 응시자격 취소  2. 필기 합격자를 위한 실무교육ISMS-P 인증심사원 실무교육 : 월~금 총 5일간 10시~18시 진행, (2023년 기준) 온라인 교육 3일(월~수),..

외부자현황관리의 경우 업무 위탁(ISMS-P의 경우 개인정보처리업무 위탁 포함)에 따른 위탁사와 재위탁사에 대한 리스트관리, 현황파악에 대한 부분을 중심으로 보게 되며, IDC에서 AWS로의 이전과 같이 퍼블릭클라우드로 이전할 때 위험평가가 되지 않아 문제가 발생한 경우는 클라우드 보안보다 가장 근본적인 원인인 해당 통제항목 2.3.1 외부자 현황관리 결함으로 분류하게 됩니다. ※ ISMS-P [2.3.1 외부자현황관리] 관련법규「개인정보 보호법」 제26조(업무위탁에 따른 개인정보의 처리 제한) ① 개인정보처리자가 제3자에게 개인정보의 처리 업무를 위탁하는 경우에는 다음 각 호의 내용이 포함된 문서로 하여야 한다. 1. 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항 2. 개인정보의 기술적ㆍ관리..

2.2.6 보안 위반 시 조치 통제항목의 경우 보안 규정 위반자에 대한 처벌 규정 및 소명절차를 따랐는지가 큰 포인트가 됩니다. 진행에 앞서 소명(疏明) 단어에 대한 법률적 의미를 짚어보고 가겠습니다. 소명이란? 법관에게 까닭이나 이유를 밝혀 설명하는 것 즉, 판단에 필요한 최소한의 근거 자료를 제시함으로써 확실하다는 심증을 갖게 하는 것이라고 합니다. 업무 진행 시 자주 사용하는 단어에 대한 정확한 의미를 알고 가는 시간이 될 수 있도록 공유드립니다. 항목인증기준주요 확인사항2.2.6보안 위반 시 조치임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립∙이행하여야 한다. 임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무..

항목인증기준주요 확인사항2.2.5퇴직 및 직무변경 관리퇴직 및 직무변경 시 인사∙정보보호∙개인정보보호∙IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수∙조정, 결과확인 등의 절차를 수립∙관리하여야 한다. 퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호 및 개인정보보호 부서, 정보시스템 및 개인정보처리시스템 운영부서 간에 공유되고 있는가?조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 또는 직무변경 시 지체 없는 정보자산 반납, 접근권한 회수∙조정, 결과 확인 등의 절차를 수립∙이행하고 있는가? 퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호부서, 개인정보보호부서, 시스템 운영부서 등 관련 부서 간 신속히 공..

정보보호 및 개인정보보호관리체계(ISMS-P) 인증기준 가운데 교육 및 훈련에 대한 내용은 담고 있는 통제항목 2.2.4 인식제고 및 교육훈련`입니다. 우리가 익히 알고 있고 익숙한 정보보호 및 개인정보보호 교육계획 수립/운영, 효과성 평가 반영, 미이수자 관리 등이 키 포인트이며, 법에서 명시한 교육 기준이 있다면 관련 내용을 꼭 준수해주어야 합니다. 가장 기본적인 법정의무교육 「개인정보보호법」 제28조 에 따른 개인정보보호교육(연 1회 이상) 외에도 각 직무별 전문성을 확보할 수 있도록 인식제고 활동 및 교육훈련이 필요한데, 그중 전자금융감독원의 검사를 받는 기관들의 경우 필수적으로 준수해야 하는 교육시간이 존재합니다. 「개인정보보호법」 제28조(개인정보취급자에 대한 감독)「전자금융감독규정」 제19조..

직무분리는 조직 내에서 업무를 분리하여 각 직무가 서로 독립적으로 수행되도록 하는 것을 의미하며, 직무분리를 통해 내부 통제와 정보보호를 강화할 수 있으며, 내부 공격을 예방하고 정보 자산을 보호하는 데 중요한 역할을 합니다. ※ 주요 직무분리 예시구분담당업무수행 업무 예시개발자 (Developer)시스템 개발 및 유지보수코드 작성, 테스트, 배포 등운영자 (Operator)시스템 운영과 관리서버 관리, 네트워크 설정, 백업 등정보보호 담당자 (Security Officer)정보보호 정책 및 절차를 수립하고 관리보안 감사, 취약점 분석, 보안 교육 등시스템 운영자 (System Administrator)시스템의 기술적인 측면을 관리서버 관리, 사용자 계정 관리, 보안 패치 적용 등 ISMS-P인증심사 (..