5. ISMS-P 인증심사원 자격검정은 과학기술정보통신부·개인정보보호위원회의 『정보보호 및 개인정보보호 관리체계 인증 등
에 관한 고시』 제4장 인증심사원에 따라 인증심사원 자격 요건, 자격 신청, 자격 발급 및 관리 등이 제정되어 있습니다.
자격검정 시험은 한국인터넷진흥원이 주관하며, 공공 사업 발주시스템인 G2B(나라장터)에 "ISMS-P 인증심사원 자격검정 및
교육 운영" 용역 과제 입찰을 통해 시행됩니다.
입찰에서 수주한 업체가 인증심사원 선발에 관련한 행정 처리를 위한 사무국을 두고, 시험 출제, 집필, 평가, 교육, 선발 등의
업무를 위탁 받아 운영하게 됩니다.
기출문제
미제공
자격검정프로젝트는 CPO포럼에서 진행합니다.
지엽적
지문 양
과다
출제 경향
6. ※『2024년 ISMS-P 인증심사원 자격검정 및 교육 운영』용역과제 제안요청서
<2023년 사례>
응시인원 : 2,500명 이하
필기합격 : 220명
실기합격 : 190명
*최종합격률 : 8%
7.
8.
9.
10. 특징 필기 실기
응시 자격 • •
시험 시간 • •
문항 수 • •
문제 형식
•
•
•
•
교육 기간 • •
응시료 • •
합격률 • •
합격자 발표 • •
매우 어렵습니다.
11. 구분 혜택
자문료
• 심사일 수 20일 이하 : 일 20만원
• 심사일 수 20일 이상 : 일 30만원
• ISMS-P 심사일수 15일 이상 : 일 35만원
• 책임심사원 임명 시 : 일 45만원
전문심사원
활동 가능
• 심사 자문료 : 월 15일 수행 시 500만원 이상
• 컨설팅 전문 프리랜서 : 월 700~2,000만원(평균 : 1,000만원)
제안 평가위원
• KISA 사업 제안서 평가위원 신청 가능
• 평가 보수 : 시간당 10만원 이상
강의료 • 인증 컨설팅 기업 강의 : 시간당 5만원~20만원
쏠쏠한 수입, 노후 준비 가능합니다!
12. 정보보안 최고의 자격증입니다!
구분 ISMS
자격증 위상 •
업무 기회
•
•
•
•
보안 커뮤니티
•
•
보안전문가
•
•
이직 시 혜택 •
19. 頭音
뭘 그런거까지 암기해냐 하냐? 날카롭지 못하면 떨어집니다.
지엽적인 내용도 스토리로 쉽게 암기하세요
위험처리 전략
1. 위험 수용(Acceptance)
(개념) 위험이 발생할 가능성을 그대로 받아 들이는
것
(예시) 기존시스템 운영, 대형 수탁자 관리·감독 생략
2. 위험 감소(Mitigation)
(개념)위험을 줄이기 위한 대책을 구현하는 것
(예시) 시스템 도입, 응용프로그램 구현
3. 위험 전가(Transfer)
(개념) 위험으로 인한 손실을 누군가에게 부담시키는 선택
(예시) 전문업체 활용, 보험
4. 위험 회피(Avoidance)
(개념) 위험이 발생할 상황 자체를 피하는 것
(예시) 시스템 사용 중지, 데이터 파기
회전 감소
20. 1. ISMS-P 엑셀 셀프테스트
- https://cafe.naver.com/ismspwin/90
2. ISMS-P 구글 Quizlet 셀프테스트
- https://cafe.naver.com/ismspwin/27
3. 정보보호 지식 집합소 총 정리
- https://cafe.naver.com/ismspwin/262
85. 역할 및 책임 문서화, 보고체계 O O ●
•CISO, CPO 공식지정, 자격요건 O ●
실무조직, 정보호위원회, 정보보호실무협의체 O ●
핵심자산, 예외사항 근거 관리, 문서화 ● O
정책, 시행문서 승인(CEO, CISO), 임직원 전달 ● O
인력(전문성) 확보, 예산, 인력 지원, 계획, 결과 분석 평가 ● O
기준, 식별, 보안등급, 정기적 최신화 ● O
정보서비스흐름도, 개인정보흐름도, 최신화 ● O
방법론, 계획, 연1회, DOA ,경영진 승인 ●
위험처리(회피, 전가, 감소, 수용), 이행계획 O ●
보호대책 구현 정확성, 효과성, 구체성 진척 보고, 운영명세서 ●
보호대책 담당자, 보호대책 공유&교육 O ●
•(개인)정보보호활동 문서화, 경영진 확인 O ●
법규 최신성, 연1회 검토 O ●
인력(독립성, 전문성), 연1회 경영진 보고 O ●
근본원인, 재발방지 기준 절차 ●
타당성 검토, 환경 변화 제개정, 이해관계자 검토, 이력관리 O ●
담당자 R&R, 평가(MBO, KPI), 의사소통체계(주간보고, 게시판) O ●
보안등급 취급절차, 책임자 & 관리자 O ● O
기준 정의, 지정, 최신화, 개인정보취급자 목록, 최소화 O ● O
직무 분리 기준, 보완통제(상호검토, 상위관리자 승인, 개인계정, 로그감사) ● O O
채용, 퇴직, 외부자, 서약서 보관 O ● O
교육계획, 승인, 연1회 수행, 직무자 별도교육, 적정성 평가 O ●
인사변경 공유, 자산 반납 & 권한 회수 & 결과 확인 O O ●
처벌규정 수립, 적발 시 조치 O O ●
위탁 업무, 시설, 서비스 식별, 위험 파악, 보호대책 마련 ● O O
위탁업체 역량 평가, 계약서(보안요건, 개발요건) ● O O
외부자 점검&감사, 개선계획, 재위탁 시 승인 ● O
외부자 자산, 계정, 권한 회수, 서약서 징구, 중요정보 파기 O ●
보호구역 지정 기준(통제, 제한, 접견), 보호대책 O O ●
출입 통제 절차, 출입 기록 점검 O ● O
특성 고려 배치, 배치도(서버, 랙), 케이블(전력, 통신) ● O
보호설비(항온항습, 화재감지, 소화, 누수, UPS, 발전기, 이중전원), IDC 계약서&검토 O O ● O
보호구역 내 작업신청, 작업기록 검토 O ● O
반출입기기 통제절차(서버, 모바일, 저장매체/보안스티커, 보안SW설치), 반출입 이력 점검 ● O
시설(문서고) ,기기(복합기, 파일서버), 개인 업무환경(PC, 책상) 보호대책, 출력·복사물 보호조치, 검토 ● O
사용자 계정 발급 절차(등록, 변경, 삭제), 최소권한, 계정책임(본인) O ●
유일 식별자, 추측 식별자 제한, 동일식별자 타당성, 보완대책, 책임자 승인 ● O O
인증 절차(로그인 횟수제한, 불법 로그인 시도 경고), 외부 개처시 안전 인증&접속수단 ● O
비밀번호 관리 절차, 작성규칙(사용자, 이용자), 안전한 인증수단 적용 O ●
특수권한 최소인원, 공식 승인, 별도 목록화 ● O O
계정 및 접근권한 변경 이력 남김, 검토기준(주체, 방법, 주기) 수립 및 이행, 문제점 조치 ●
86. 내부망 인가 사용자 접근, 영역 분리 및 접근통제, IP주소 기준(사설 IP), 원거리 구간 보호대책 ● O O
서버,NW,보안시스템 OS 접근 통제, 세션타임아웃, 불필요서비스 제거, 주요서비스 독립서버 ● O
응용 접근권한 차등 부여, 정보 노출 최소화, 세션타임아웃, 동시세션 제한, 관리자 웹페이지, 표시제한 보호조치 ● O
데이터베이스 테이블 목록 식별, 접근통제(응용프로그램, 서버, 사용자) ● O
무선 네트워크 보호대책(인증, 암호화), 사용신청 및 해지절차, 비인가 무선 네트워크 보호대책 ● O
원칙금지, 보완대책(승인, 특정 단말, 허용범위, 기간 한정), 보호대책, 단말기 지정, 임의조작 금지 O O ● O
주요 직무자, 취급 단말기, 주요 정보시스템(DB서버 등) 인터넷 접속통제 , 인터넷망 차단 대상 식별, 적용 O O ●
암호정책(대상, 강도, 사용) 수립, 저장, 전송, 전달 시 암호화 O ●
암호키 관리절차(생성, 이용, 변경, 파기), 복구방안(보관), 암호키 접근권한 최소화 ●
도입 시 타당성 검토 및 인수절차, 보안요구사항 정의, 시큐어코딩 표준 ● O
검토기준(법 요건, 보안요건), 코딩 취약점 점검, 개선조치, 공공기관 개인정보영향평가 수행 O O ●
개발 및 시험과 운영시스템 분리, 어려울 경우 보안대책(상호검토, 변경승인, 상급자, 백업) O O ●
운영데이터 사용 제한, 불가피 사용 시 보완통제(책임자,모니터링,시험후 삭제) O O ●
소스 접근통제 절차, 운영환경 아닌 곳 안전 보관, 변경이력 관리 O ●
운영환경 이관 통제 절차로 실행, 문제 대응 방안 마련, 필요한 파일만 설치 O O ●
정보자산 변경 절차, 변경 수행 전 영향 분석 O O ●
성능 및 용량 모니터링 절차, 초과 시 대응절차, 장애 인지, 대응절차, 장애조치 기록, 재발방지대책 O ●
백업 및 복구절차(대상,주기,방법,절차), 복구테스트, 중요정보 저장 백업매체 소산 O O ● O
로그관리 절차, 생성 보관, 위·변조 및 도난, 분실 방지 안전 보관, 로그 접근권한 최소화, 개처시 접속기록 법준수 O ●
로그 검토기준(비인가 접속, 과다조회), 주기적 점검, 문제 발생 시 사후조치 O ●
정보시스템 표준시간 동기화, 주기적 점검 O ●
재사용 및 폐기 절차 수립, 복구 불가 방법, 폐기이력 및 증적, 폐기절차 계약서, 교체 복구시 대책 O O O ●
보안시스템 운영절차, 접근인원 최소화, 정책 변경 절차, 예외정책 최소화, 정책 타당성 검토, 설치 ● O
• CSP R&R 계약서 반영, 클라우드 보안 통제 정책수립·이행, 관리자 권한 보호대책, 정기적 검토 ● O O
공개서버 보호대책, DMZ에 설치, 보안시스템 통해 보호, 게시 저장 시 절차, 노출 확인 및 차단 ● O
전자거래 및 핀테크 보호대책, 연계 시 송수신 정보 보호대책 수립, 안전성 점검 ● O
외부에 개인정보 전송 정책 수립, 조직 간 개인정보 상호교환 시 협약체결 등 보호대책 O ●
업무용 단말기 접근통제 정책, 공유 시 DLP 정책, 분실 시 DLP 대책, 주기적 점검 ● O
보조저장매체 취급 정책, 관리 실태 주기적 점검, 통제구역 사용 제한, 악성코드 및 DLP 대책, 보관 ● O O
패치관리 정책, 패치현황 관리, 불가시 보완대책, 인터넷 패치 제한, PMS 보호대책 ● O
악성코드 보호대책, 예방탐지 활동, 보안프로그램 최신상태 유지, 감염 시 대응절차 ● O
사고대응체계, 외부기관 침해사고 대응체계 구축 계약서 반영, 외부기관 협조체계 수립 O O ●
취약점 점검 절차 수립 및 정기적 점검, 결과 보고, 최신 보안취약점 발생 파악, 점검 이력 기록관리 O O ●
내외부 침해시도, 개인정보 유출시도, 부정행위 모니터링, 임계치 정의 및 이상행위 판단 등 조치 O ●
침해사고 및 유출사고 대응 모의훈련 계획수립, 모의훈련 연1회 실시, 대응체계 개선 O ●
침해사고 인지 시 대응 및 보고, 정보주체 통지 및 관계기관 신고, 종결 후 공유, 재발방지대책 수립 O O ●
• IT 재해유형 식별, 피해&업무 영향 분석, 핵심 IT서비스 및 시스템 식별, RTO, RPO 정의, BCP ● O
• BCP 수립·이행, 복구전략 및 대책 정기적 검토·보완 O ●
87. 적법요건, 명확 고지 동의, 방법 및 시점, 명확 표시, 만14세(법정대리인), 동의 기록 보관, 처리방침, 추가적 이용 ● O
개인정보 최소한 정보 수집, 최소 이외 개인정보 미동의 가능 사실 고지, 거부권 ● O
주민번호 수집 법적 근거, 법조항 구체적 식별, 대체수단 제공 ● O
민감정보&고유식별정보 별도 동의, 법령 구체적 근거, 민감정보 공개가능성 ● O
간접수집 동의획득 책임(제공자), 사회통념 동의 의사 이용, 자동수집장치, 통지(요구,처리자), 보관 O ●
허용장소 및 목적, 공공기관 공청회, 안내판, 이동형 촬영 표시, 운영관리방침, 보관기간 만료시 파기, 위탁 계약서 ● O O O
홍보 별도 동의, 광고 사전 동의, 2년 확인, 영리목적 광고 고지(전송자, 수신거부방법), 야간 금지 O ●
개인정보 현황 정기적 관리, 공공기관 개인정보파일 등록, 개인정보파일을 처리방침에 공개 ● O
수집 개인정보 최신화, 정보주체 개인정보 품질(정확성, 완전성, 최신성) 유지 O ●
이동통신단말장치 접근권한 고지,동의, 거부권, 동의 및 철회방법 마련 ● O
목적 외 별도 동의, 법적 근거, 제3자 안전조치, 공공기관(목적외 관보&홈페이지 게재, 목적외 대장) O ●
가명처리 절차, 적정 가명처리, 결합전문기관, 추가정보 안전성 확보, 기간 경과 후 파기, 익명처리 O ●
적법 요건, 각각 동의, 명확 고지, 최소정보 제한, 제3자 제공내역 기록보관, 제3자 접근 시 통제, 추가적 제공 O ●
위탁(재위탁) 시 위탁 내용과 수탁자 공개,(업무, 수탁자), 홍보&판매시 통지 O ●
양도·합병 이전 시 통지(도통수면), 통지요건(사실, 받는자, 이전 불원), 본래 목적 이용 O ●
국외이전 적법요건, 고지(목항기거시방국자) 동의, 계약 이행 공개, 법령 준수 국외이전 계약, 보호조치 O O ●
개인정보 보유기간 및 파기 정책, 불필요 시 파기, 안전한 방법 파기, 파기 기록 관리 O ● O
불필요 시 최소 기간, 최소정보 보관, 보존 시 분리보관, 목적 범위 내 처리, 접근권한 최소인원 제한 ● O O
법령 요구내용 포함, 알기 쉬운 용어, 개인정보처리방침 공개, 변경 시 공지, 변경 사항 이력관리 ● O O
권리(열람,정정·삭제,처리정지) 행사 방법 및 절차, 이의제기, 동의 철회 시 파기, 처리 기록, 타인 권리 침해 O ●
개인정보 이용·제공 내역 주기적 통지(5민고 100개 연1회), 통지항목 법 요구항목 포함 O ●