ISMS-P 실무가이드

Part 1. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증제도 개요
1.1. 국내외 인증제도 현황
1.1.1 인증제도 도입배경
1.1.2 인증제도의 필요성
1.1.3 인증제도 추진 현황
1.1.4 인증제도 법적근거
1.1.5 국제 인증제도 현황

1.2. ISMS-P 인증제도 이해
1.1.1 ISMS-P 인증 개요
1.1.2 ISMS-P 인증 대상
1.1.3 ISMS-P 인증 절차 체계
1.1.4 ISMS-P 인증 범위
1.1.5 ISMS-P 인증 심사기준
1.1.6 ISMS-P 인증 심사원

Part 2. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준
1편. 관리체계 수립 및 운영
1.1 관리체계 기반 마련
1.1.1 경영진의 참여
1.1.2 최고책임자의 지정
1.1.3 조직 구성
1.1.4 범위 설정
1.1.5 정책 수립
1.1.6 자원 할당

1.2 위험 관리
1.2.1 정보자산 식별
1.2.2 현황 및 흐름분석
1.2.3 위험 평가
1.2.4 보호대책 선정

1.3 관리체계 운영
1.3.1 보호대책 구현
1.3.2 보호대책 공유
1.3.3 운영현황 관리

1.4 관리체계 점검 및 개선
1.4.1 법적 요구사항 준수 검토
1.4.2 관리체계 점검
1.4.3 관리체계 개선
2편. 보호대책 요구사항
2.1.1 정책의 유지관리
2.1정책, 조직, 자산 관리
2.2 인적 보안
2.3 외부자 보안

2.1.2 조직의 유지관리
2.2.1 주요 직무자 지정 및 관리
2.2.2 직무 분리
2.2.3 보안 서약
2.2.4 인식제고 및 교육훈련
2.2.5 퇴직 및 직무변경 관리
2.2.6 보안 위반 시 조치

2.1.3 정보자산 관리
2.3.1 외부자 현황 관리
2.3.2 외부자 계약 시 보안
2.3.3 외부자 보안 이행 관리
2.3.4 외부자 계약 변경 및 만료 시 보안

2.4 물리 보안
2.4.1 보호구역 지정
2.4.2 출입통제
2.4.3 정보시스템 보호
2.4.4 보호설비 운영
2.4.5 보호구역 내 작업
2.4.6 반출입 기기 통제
2.4.7 업무환경 보안

2.5 인증 및 권한관리
2.5.1 사용자 계정 관리
2.5.2 사용자 식별
2.5.3 사용자 인증
2.5.4 비밀번호 관리
2.5.5 특수 계정 및 권한 관리
2.5.6 접근권한 검토

2.6 접근통제
2.6.1 네트워크 접근
2.6.2 정보시스템 접근
2.6.3 응용프로그램 접근
2.6.4 데이터베이스 접근
2.6.5 무선 네트워크 접근
2.6.6 원격접근 통제
2.6.7 인터넷 접속 통제

2.7 암호화 적용
2.7.1 암호정책 적용
2.7.2 암호키 관리

2.8 정보시스템 도입 및 개발 보안
2.8.1 보안 요구사항 정의
2.8.2 보안 요구사항 검토 및 시험
2.8.3 시험과 운영 환경 분리
2.8.4 시험 데이터 보안
2.8.5 소스 프로그램 관리
2.8.6 운영환경 이관

2.9 시스템 및 서비스 운영관리
2.9.1 변경관리
2.9.2 성능 및 장애관리
2.9.3 백업 및 복구관리
2.9.4 로그 및 접속기록 관리
2.9.5 로그 및 접속기록 점검
2.9.6 시간 동기화
2.9.7 정보자산의 재사용 및 폐기

2.10 시스템 및 서비스 보안관리
2.10.1 보안시스템 운영
2.10.2 클라우드 보안
2.10.3 공개서버 보안
2.10.4 전자거래 및 핀테크 보안
2.10.5 정보전송 보안
2.10.6 업무용 단말기기 보안
2.10.7 보조저장매체 관리
2.10.8 패치관리
2.10.9 악성코드 통제

2.11 사고 예방 및 대응
2.11.1 사고 예방 및 대응체계 구축
2.11.2 취약점 점검 및 조치
2.11.3 이상행위 분석 및 모니터링
2.11.4 사고 대응 훈련 및 개선
2.11.5 사고 대응 및 복구

2.12 재해복구
2.12.1 재해, 재난 대비 안전조치
2.12.2 재해 복구 시험 및 개선

3편. 개인정보 처리 단계별 요구사항
3.1 개인정보 수집 시 보호조치
3.1.1 개인정보 수집 제한
3.1.2 개인정보의 수집 동의
3.1.3 주민등록번호 처리 제한
3.1.4 민감정보 및 고유식별정보의 처리 제한
3.1.5 간접수집 보호조치
3.1.6 영상정보처리기기 설치·운영
3.1.7 홍보 및 마케팅 목적 활용 시 조치

3.2 개인정보 보유 및 이용 시 보호조치
3.2.1 개인정보 현황관리
3.2.2 개인정보 품질보장
3.2.3 개인정보 표시제한 및 이용 시 보호조치
3.2.4 이용자 단말기 접근 보호
3.2.5 개인정보 목적 외 이용 및 제공

3.3 개인정보 제공 시 보호조치
3.3.1 개인정보 제3자 제공
3.3.2 업무 위탁에 따른 정보주체 고지
3.3.3 영업의 양수 등에 따른 개인정보의 이전
3.3.4 개인정보의 국외이전

3.4 개인정보 파기 시 보호조치
3.4.1 개인정보의 파기
3.4.2 처리목적 달성 후 보유 시 조치
3.4.3 휴면 이용자 관리

3.5 정보주체 권리보호
3.5.1 개인정보처리방침 공개
3.5.2 정보주체 권리보장
3.5.3 이용내역 통지

Part 3. 부록
- ISMS-P 인증 심사기준
- (구)ISMS 인증 심사기준
- (구)PIMS 인증 심사기준
- (구)ISMS 인증 심사기준 보호대책 항목별 관리체계 구축 흐름도
- 개인정보의 안전 조치 기준 법률간의 주요내용 비교
- 정보보호시스템 및 네트워크 구성도
- 국제·국내 정보보호 인증제도 현황
- 해킹과 침해사고 및 정책 흐름 History Map
- 협회 소개