▷ 책소개

정보보호 및 개인정보보호 관리체계를 담당하고 있는 공공 및 기업 정보보호 담당자, CISO, CPO 등 관리자는 물론 신입 사원, 인증 심사원이 되기를 희망하는 사람을 위한 책이다.
이 책은 저자들의 경험을 녹여 기업에서 수행하고 있는 정보보호 업무를 기반으로 통제 항목별 실무 사례를 제공하고 있다.
각 통제 영역별로 기업의 가상 환경 시나리오를 구성해 실제 인증심사 과정을 간접적으로 경험할 수 있고, 심사 과정에서 발견될 수 있는 결함 및 결함 보고서를 작성할 수 있도록 예시를 제공한다. 또한 데이터 3법(개인정보보호법·정보통신망법·신용정보법) 개정이 각 통제항목에 미치는 영향을 분석해서 반영했고, 개정 개인정보보호법(시행 2024. 3. 15) 과 개인정보보호법 시행령(시행 2024. 3. 15)의 내용까지 분석되어 있다.

▷ 목차

1장. 정보보호 인증제도 이해
1.1 정보보호 인증제도란?
1.2 ISMS-P 법적 근거
1.3 인증체계
1.4 인증기준

2장. ISMS-P 인증심사 준비
1. 정보보호정책·지침 수립
2. 개인정보 및 정보서비스 흐름도 작성
2.1 개인정보 흐름도
2.2 정보서비스 흐름도
3. 취약점 분석
3.1 서버 취약점 진단
3.2 WEB/WAS/Application 취약점 진단
3.3 네트워크 취약점 진단
3.4 데이터베이스 취약점 진단
3.5 정보보호솔루션 취약점 진단
3.6 모바일 앱 취약점 진단
4. 모의해킹
5. 위험분석 및 평가
5.1 Risk-Based Approach Risk Assessment
5.2 Asset-Based Approach Risk Assessments(자산 기반 위험평가)
__가. 자산 식별 및 중요도 산정
__나. 위협 식별 및 중요도 평가
__다. 위험평가
라. 보호대책 수립
6. 정보보호 감사
7. 정보보호 및 개인정보보호 관리체계 운영명세서


3장. ISMS-P 인증심사 기준 및 심사방법
1. 관리체계 수립 및 운영
1.1 관리체계 기반 마련
__가. 인증 분야 및 항목 설명
1.1.1 경영진의 참여
1.1.2 최고책임자의 지정
1.1.3 조직 구성
1.1.4 범위 설정
1.1.5 정책 수립
1.1.6 자원 할당
__나. 사례 연구
1.2 위험관리
__가. 인증 분야 및 항목 설명
1.2.1 정보자산 식별
1.2.2 현황 및 흐름분석
1.2.3 위험평가
1.2.4 보호대책 선정
__나. 사례 연구
1.3 관리체계 운영
__가. 인증 분야 및 항목 설명
1.3.1 보호대책 구현
1.3.2 보호대책 공유
1.3.3 운영현황 관리
__나. 사례 연구
1.4 관리체계 점검 및 개선
__가. 인증 분야 및 항목 설명
1.4.1 법적 요구사항 준수 검토
1.4.2 관리체계 점검
1.4.3 관리체계 개선
__나. 사례 연구
2. 보호대책 요구사항
2.1 정책, 조직, 자산 관리
__가. 인증 분야 및 항목 설명
2.1.1 정책의 유지관리
2.1.2 조직의 유지관리
2.1.3 정보자산 관리
__나. 사례 연구
2.2 인적 보안
__가. 인증 분야 및 항목 설명
2.2.1 주요 직무자 지정 및 관리
2.2.2 직무 분리
2.2.3 보안 서약
2.2.4 인식제고 및 교육훈련
2.2.5 퇴직 및 직무 변경 관리
2.2.6 보안 위반 시 조치
__나. 사례 연구
2.3 외부자 보안
__가. 인증 분야 및 항목 설명
2.3.1 외부자 현황 관리
2.3.2 외부자 계약 시 보안
2.3.3 외부자 보안 이행 관리
2.3.4 외부자 계약 변경 및 만료 시 보안
__나. 사례 연구
2.4 물리보안
__가. 인증 분야 및 항목 설명
2.4.1 보호구역 지정
2.4.2 출입통제
2.4.3 정보시스템 보호
2.4.4 보호설비 운영
2.4.5 보호구역 내 작업
2.4.6 반출입 기기 통제
2.4.7 업무환경 보안
__나. 사례 연구
2.5 인증 및 권한관리
__가. 인증 분야 및 항목 설명
2.5.1 사용자 계정관리
2.5.2 사용자 식별
2.5.3 사용자 인증
2.5.4 비밀번호 관리
2.5.5 특수 계정 및 권한 관리
2.5.6 접근권한 검토
__나. 사례 연구
2.6 접근통제
__가. 인증 분야 및 항목 설명
2.6.1 네트워크 접근
2.6.2 정보시스템 접근
2.6.3 응용프로그램 접근
2.6.4 데이터베이스 접근
2.6.5 무선 네트워크 접근
2.6.6 원격접근통제
2.6.7 인터넷 접속 통제
__나. 사례 연구
2.7 암호화 적용
__가. 인증 분야 및 항목 설명
2.7.1 암호정책 적용
2.7.2 암호키 관리
__나. 사례 연구
2.8 정보시스템 도입 및 개발 보안
__가. 인증 분야 및 항목 설명
2.8.1 보안 요구사항 정의
2.8.2 보안 요구사항 검토 및 시험
2.8.3 시험과 운영 환경 분리
2.8.4 시험 데이터 보안
2.8.5 소스 프로그램 관리
2.8.6 운영환경 이관
__나. 사례 연구
2.9 시스템 및 서비스 운영관리
__가. 인증 분야 및 항목 설명
2.9.1 변경관리
2.9.2 성능 및 장애관리
2.9.3 백업 및 복구관리
2.9.4 로그 및 접속기록 관리
2.9.5 로그 및 접속기록 점검
2.9.6 시간 동기화
2.9.7 정보자산의 재사용 및 폐기
__나. 사례 연구
2.10 시스템 및 서비스 보안관리
__가. 인증 분야 및 항목 설명
2.10.1 보안 시스템 운영
2.10.2 클라우드 보안
2.10.3 공개 서버 보안
2.10.4 전자거래 및 핀테크 보안
2.10.5 정보전송 보안
2.10.6 업무용 단말기기 보안
2.10.7 보조저장매체 관리
2.10.8 패치관리
2.10.9 악성코드 통제
__나. 사례 연구
2.11 사고 예방 및 대응
__가. 인증 분야 및 항목 설명
2.11.1 사고 예방 및 대응체계 구축
2.11.2 취약점 점검 및 조치
2.11.3 이상행위 분석 및 모니터링
2.11.4 사고 대응 훈련 및 개선
2.11.5 사고 대응 및 복구
__나. 사례 연구
2.12 재해복구
__가. 인증 분야 및 항목 설명
2.12.1 재해, 재난 대비 안전조치
2.12.2 재해복구 시험 및 개선
__나. 사례 연구
3. 개인정보 처리단계별 요구사항
3.1 개인정보 수집 시 보호조치
__가. 인증 분야 및 항목 설명
3.1.1 개인정보 수집·이용
3.1.2 개인정보 수집 제한
3.1.3 주민등록번호 처리 제한
3.1.4 민감정보 및 고유식별정보의 처리 제한
3.1.5 개인정보 간접수집
3.1.6 영상정보처리기기 설ㅏ楮
3.1.7 마케팅 목적의 개인정보 수집·이용
__나. 사례 연구
3.2 개인정보 보유 및 이용 시 보호조치
__가. 인증 분야 및 항목 설명
3.2.1 개인정보 현황 관리
3.2.2 개인정보 품질보장
3.2.3 이용자 단말기 접근 보호
3.2.4 개인정보 목적 외 이용 및 제공
3.2.5 가명정보 처리
3.3 개인정보 제공 시 보호조치
__가. 인증 분야 및 항목 설명
3.3.1 개인정보 제3자 제공
3.3.2 개인정보 처리 업무 위탁
3.3.3 영업의 양도 등에 따른 개인정보 이전
3.3.4 개인정보 국외이전
__나. 사례 연구
3.4 개인정보 파기 시 보호조치
__가. 인증 분야 및 항목 설명
3.4.1 개인정보 파기
3.4.2 처리목적 달성 후 보유 시 조치
__나. 사례 연구
3.5 정보주체 권리보호
__가. 인증 분야 및 항목 설명
3.5.1 개인정보처리방침 공개
3.5.2 정보주체 권리보장
__나. 사례 연구
3.5.3 이용내역 통지

▷ 저자소개

연수권

2000년 초반부터 정보보호 업무를 시작해서 보안컨설턴트, 넥슨 보안팀장, 쿠팡 보안팀장을 역임했다. 현재 크라우드 펀딩회사인 와디즈에서 CISO로 재직 중이다. 특히 정보보호인증, 클라우드 보안에 관심이 많아 한국인터넷진흥원과 정보보호 관리체계 인증심사, 클라우드 정보보호 관리체계 인증심사, 클라우드 서비스 보안 교육을 진행하고 있으며 상명대학교, 충북대학교에서 정보보호 연계 전공 교수로 후학을 양성하는 데 기여하고 있다.■ 경영학 박사■ 충북대학교 겸임교수 ■ ISMS-P 인증심사원