정보보호 및 개인정보보호 관리체계를 담당하고 있는 공공 및 기업 정보보호 담당자, CISO, CPO 등 관리자는 물론 신입 사원, 인증 심사원이 되기를 희망하는 사람을 위한 책이다. 이 책은 저자들의 경험을 녹여 기업에서 수행하고 있는 정보보호 업무를 기반으로 통제 항목별 실무 사례를 제공하고 있다. 각 통제 영역별로 기업의 가상 환경 시나리오를 구성해 실제 인증심사 과정을 간접적으로 경험할 수 있고, 심사 과정에서 발견될 수 있는 결함 및 결함 보고서를 작성할 수 있도록 예시를 제공한다. 또한 데이터 3법(개인정보보호법·정보통신망법·신용정보법) 개정이 각 통제항목에 미치는 영향을 분석해서 반영했고, 개정 개인정보보호법(시행 2024. 3. 15) 과 개인정보보호법 시행령(시행 2024. 3. 15)의 내용까지 분석되어 있다.

1장. 정보보호 인증제도 이해
1.1 정보보호 인증제도란?
1.2 ISMS-P 법적 근거
1.3 인증체계
1.4 인증기준

2장. ISMS-P 인증심사 준비
1. 정보보호정책·지침 수립

2. 개인정보 및 정보서비스 흐름도 작성
2.1 개인정보 흐름도
2.2 정보서비스 흐름도

3. 취약점 분석
3.1 서버 취약점 진단
3.2 WEB/WAS/Application 취약점 진단
3.3 네트워크 취약점 진단
3.4 데이터베이스 취약점 진단
3.5 정보보호솔루션 취약점 진단
3.6 모바일 앱 취약점 진단

4. 모의해킹

5. 위험분석 및 평가
5.1 Risk-Based Approach Risk Assessment
5.2 Asset-Based Approach Risk Assessments(자산 기반 위험평가)
__가. 자산 식별 및 중요도 산정
__나. 위협 식별 및 중요도 평가
__다. 위험평가
라. 보호대책 수립
6. 정보보호 감사
7. 정보보호 및 개인정보보호 관리체계 운영명세서

3장. ISMS-P 인증심사 기준 및 심사방법
1. 관리체계 수립 및 운영
1.1 관리체계 기반 마련
__가. 인증 분야 및 항목 설명
1.1.1 경영진의 참여
1.1.2 최고책임자의 지정
1.1.3 조직 구성
1.1.4 범위 설정
1.1.5 정책 수립
1.1.6 자원 할당
__나. 사례 연구
1.2 위험관리
__가. 인증 분야 및 항목 설명
1.2.1 정보자산 식별
1.2.2 현황 및 흐름분석
1.2.3 위험평가
1.2.4 보호대책 선정
__나. 사례 연구
1.3 관리체계 운영
__가. 인증 분야 및 항목 설명
1.3.1 보호대책 구현
1.3.2 보호대책 공유
1.3.3 운영현황 관리
__나. 사례 연구
1.4 관리체계 점검 및 개선
__가. 인증 분야 및 항목 설명
1.4.1 법적 요구사항 준수 검토
1.4.2 관리체계 점검
1.4.3 관리체계 개선
__나. 사례 연구

2. 보호대책 요구사항
2.1 정책, 조직, 자산 관리
__가. 인증 분야 및 항목 설명
2.1.1 정책의 유지관리
2.1.2 조직의 유지관리
2.1.3 정보자산 관리
__나. 사례 연구
2.2 인적 보안
__가. 인증 분야 및 항목 설명
2.2.1 주요 직무자 지정 및 관리
2.2.2 직무 분리
2.2.3 보안 서약
2.2.4 인식제고 및 교육훈련
2.2.5 퇴직 및 직무 변경 관리
2.2.6 보안 위반 시 조치
__나. 사례 연구
2.3 외부자 보안
__가. 인증 분야 및 항목 설명
2.3.1 외부자 현황 관리
2.3.2 외부자 계약 시 보안
2.3.3 외부자 보안 이행 관리
2.3.4 외부자 계약 변경 및 만료 시 보안
__나. 사례 연구
2.4 물리보안
__가. 인증 분야 및 항목 설명
2.4.1 보호구역 지정
2.4.2 출입통제
2.4.3 정보시스템 보호
2.4.4 보호설비 운영
2.4.5 보호구역 내 작업
2.4.6 반출입 기기 통제
2.4.7 업무환경 보안
__나. 사례 연구
2.5 인증 및 권한관리
__가. 인증 분야 및 항목 설명
2.5.1 사용자 계정관리
2.5.2 사용자 식별
2.5.3 사용자 인증
2.5.4 비밀번호 관리
2.5.5 특수 계정 및 권한 관리
2.5.6 접근권한 검토
__나. 사례 연구
2.6 접근통제
__가. 인증 분야 및 항목 설명
2.6.1 네트워크 접근
2.6.2 정보시스템 접근
2.6.3 응용프로그램 접근
2.6.4 데이터베이스 접근
2.6.5 무선 네트워크 접근
2.6.6 원격접근통제
2.6.7 인터넷 접속 통제
__나. 사례 연구
2.7 암호화 적용
__가. 인증 분야 및 항목 설명
2.7.1 암호정책 적용
2.7.2 암호키 관리
__나. 사례 연구
2.8 정보시스템 도입 및 개발 보안
__가. 인증 분야 및 항목 설명
2.8.1 보안 요구사항 정의
2.8.2 보안 요구사항 검토 및 시험
2.8.3 시험과 운영 환경 분리
2.8.4 시험 데이터 보안
2.8.5 소스 프로그램 관리
2.8.6 운영환경 이관
__나. 사례 연구
2.9 시스템 및 서비스 운영관리
__가. 인증 분야 및 항목 설명
2.9.1 변경관리
2.9.2 성능 및 장애관리
2.9.3 백업 및 복구관리
2.9.4 로그 및 접속기록 관리
2.9.5 로그 및 접속기록 점검
2.9.6 시간 동기화
2.9.7 정보자산의 재사용 및 폐기
__나. 사례 연구
2.10 시스템 및 서비스 보안관리
__가. 인증 분야 및 항목 설명
2.10.1 보안 시스템 운영
2.10.2 클라우드 보안
2.10.3 공개 서버 보안
2.10.4 전자거래 및 핀테크 보안
2.10.5 정보전송 보안
2.10.6 업무용 단말기기 보안
2.10.7 보조저장매체 관리
2.10.8 패치관리
2.10.9 악성코드 통제
__나. 사례 연구
2.11 사고 예방 및 대응
__가. 인증 분야 및 항목 설명
2.11.1 사고 예방 및 대응체계 구축
2.11.2 취약점 점검 및 조치
2.11.3 이상행위 분석 및 모니터링
2.11.4 사고 대응 훈련 및 개선
2.11.5 사고 대응 및 복구
__나. 사례 연구
2.12 재해복구
__가. 인증 분야 및 항목 설명
2.12.1 재해, 재난 대비 안전조치
2.12.2 재해복구 시험 및 개선
__나. 사례 연구

3. 개인정보 처리단계별 요구사항
3.1 개인정보 수집 시 보호조치
__가. 인증 분야 및 항목 설명
3.1.1 개인정보 수집·이용
3.1.2 개인정보 수집 제한
3.1.3 주민등록번호 처리 제한
3.1.4 민감정보 및 고유식별정보의 처리 제한
3.1.5 개인정보 간접수집
3.1.6 영상정보처리기기 설치·운영
3.1.7 마케팅 목적의 개인정보 수집·이용
__나. 사례 연구
3.2 개인정보 보유 및 이용 시 보호조치
__가. 인증 분야 및 항목 설명
3.2.1 개인정보 현황 관리
3.2.2 개인정보 품질보장
3.2.3 이용자 단말기 접근 보호
3.2.4 개인정보 목적 외 이용 및 제공
3.2.5 가명정보 처리
3.3 개인정보 제공 시 보호조치
__가. 인증 분야 및 항목 설명
3.3.1 개인정보 제3자 제공
3.3.2 개인정보 처리 업무 위탁
3.3.3 영업의 양도 등에 따른 개인정보 이전
3.3.4 개인정보 국외이전
__나. 사례 연구
3.4 개인정보 파기 시 보호조치
__가. 인증 분야 및 항목 설명
3.4.1 개인정보 파기
3.4.2 처리목적 달성 후 보유 시 조치
__나. 사례 연구
3.5 정보주체 권리보호
__가. 인증 분야 및 항목 설명
3.5.1 개인정보처리방침 공개
3.5.2 정보주체 권리보장
__나. 사례 연구
3.5.3 이용내역 통지

연수권, 신동혁, 박나룡

◈ 이 책에서 다루는 내용 ◈

◆ 입문자를 고려한 정보보호 및 개인정보보호 인증실무 제도 안내
◆ ISMS-P 인증심사원 시험에 최적합하도록 법규 내용 수정
◆ 최신 개정 개인정보보호법 반영
◆ 정보보호 인증심사 수검 준비를 위해 필요한 필수 업무
◆ 통제 항목별 인증기준, 인증 준비사항, 증적 자료
◆ 실제 기업에서 수행하는 통제 항목별 프로세스를 기반으로 한 실무 사례
◆ 클라우드 환경에서 검토해야 할 통제항목 및 실무 사례
◆ 통제 항목별 인증심사원이 중점적으로 검토해야 할 사항
◆ 통제 영역별 가상의 기업 환경 시나리오를 작성해 결함 도출 및 결함 보고서 작성

◈ 이 책의 대상 독자 ◈

정보보호를 공부하거나 ISMS-P를 공부하고 있는 보안담당자, 현업에 종사하거나 이제 막 실무에 입문해 정보보호 업무를 수행할 분들에게 추천한다.
또한 정보보호최고책임자, 개인정보보호책임자 등 임원은 물론, 정보보호 실무 및 보안 인증에 대한 지식을 쌓고 싶은 보안 담당자 클라우드 환경에서의 ISMS-P 인증 실무지식을 쌓고 싶은 ISMS-P 인증심사원 등에게 도움이 될 수 있도록 구성했다.

◆ 조직을 체계적으로 관리해야 되는 정보보호최고책임자(CISO), 개인정보보호책임자(CPO)
◆ ISMS-P 인증 심사원 자격증 시험을 공부하고 있는 보안 담당자
◆ 정보보호 및 개인정보보호 관리체계 기초를 공부하고 있는 학생
◆ 대기업, 중소기업, 스타트업 정보보호 담당자로 입사 예정인 신입 사원
◆ 정보보호 및 개인정보보호 관리체계 실무 지식을 쌓고 싶은 보안 담당자
◆ 인증결함 도출 및 결함 보고서 작성 실무 지식을 쌓고 싶은 보안 담당자
◆ 클라우드 환경에서의 ISMS-P 인증 실무 지식을 쌓고 싶은 ISMS-P 인증심사원

◈ 이 책의 구성 ◈

1장. ‘정보보호 인증제도 이해’에서는 통합된 ISMS-P 인증의 이해도를 높이고자 인증제도 소개, 법적 근거, 인증체계, 인증기준 등을 설명한다.

2장. ‘ISMS-P 인증심사준비‘에서는 정보보호 인증을 취득하기 위해 사전에 준비해야 할 정책/지침 수립, 개인정보 및 정보서비스 흐름도 작성, 취약점 분석, 위험분석 및 평가, 정보보호 감사, 정보보호 및 개인정보보호 관리체계 운영명세서를 다룬다.

3장. ISMS-P 인증심사 기준 및 심사방법에서는 정보보호인증 심사기준 관리체계 수립 및 운영(16개 항목), 보호대책 요구사항(64개 항목), 개인정보처리단계별 요구사항(22개 항목)에 대해 인증기준을 설명하고 각 인증항목별 인증준비사항, 실무 사례, 증적 자료, 심사원 중점 검토사항을 설명한다. 특히, 클라우드 서비스 사용 시에 확인이 필요한 통제항목에 대해서도 실무 사례를 제공한다. 또한 인증통제 분야별로 가상 시나리오를 작성해 실제 심사와 동일하게 정책 및 지침 확인, 인터뷰 또는 실사를 통한 확인, 결함요약, 결함 보고서(2종)를 사례로 제공해 ISMS-P 인증의 시작부터 끝까지 모든 내용을 다룬다.

각종 IT시스템이나 정보보호의 기본지식과 정보보호 인증의 기본 지식이 있는 분들은 쉽게 이해할 수 있다. ISMS-P 준비 절차, 각 항목별 설명, 사례, 결함 도출 및 결함 보고서 작성 등에 대한 이해도를 높여 실무에 활용하거나 정보보호 인증심사원 자격 취득을 준비하는 분에게 도움을 주는 것이 목표다.

◈ 지은이의 말 ◈

“정보보호 관리체계가 뭐지?”, “정보보호나 개인정보보호 관리체계 인증은 어떻게 받는 거야?”

기업의 핵심 정보를 보호하는 데 있어 정보보호 관리체계는 선택이 아닌 반드시 구축해야 하는 필수요소다. 그러나 그 넓은 정보보호 업무 영역을 빠짐없이 체계적으로 관리한다는 것은 여간 어려운 일이 아니다. 다행히 정보보호 및 개인정보보호 관리체계 인증(ISMS-P)과 같은 체계적인 인증제도가 마련돼 있어 그나마 대략적인 업무 범위를 산정하고 내가 해야 할 업무를 정의할 수 있다. 그러나 특정 영역의 정보보호업무 영역을 담당하고 있거나 실무 경험이 부족한 경우에는 전체 정보보호 업무 영역을 이해하고 실무에 활용하는 데 한계가 있다. 이 책은 이러한 문제를 해결하는 데 도움을 주고자 작성됐으며, 다음과 같은 내용을 포함하고 있다.

첫째, 기존의 ISMS(정보보호 관리체계) 인증과 PIMS(개인정보보호 관리체계) 인증이 통합되면서 인증을 받아야 하는 기업 정보보호 담당자나 인증심사원이 혼란스러워하는 부분을 정리했다.

둘째, 각 통제 항목별로 인증획득을 위해 준비해야 할 사항을 상세하게 정리하고, 실무에서 활용하고 있는 사례를 포함해 이해도를 높였다. 해당 사례를 참고해 실무에 활용할 수 있다.

셋째, 각 통제 영역별로 가상 시나리오를 작성해 결함 도출 및 결함 보고서 예시를 제공함으로써 인증심사를 이해할 수 있도록 했다. 가상 시나리오는 실제 인증 심사 프로세스와 동일하게 문서심사 → 현장 심사 → 결함도출 → 결함 보고서 작성 기준으로 작성됐다.

넷째, 4차 산업혁명과 더불어 가장 이슈가 되고 있는 클라우드 플랫폼에 대한 내용을 정보보호 관리체계 관점에서 정리했다. 클라우드 플랫폼으로 이관되고 있는 상황에서 실제 심사를 준비하는 보안담당자나 심사에 참여하는 심사원이 무엇을 중점적으로 준비하고 확인해야 하는지의 기준을 제시하고 이해도를 높이기 위한 실무 사례를 포함했다.

집필진은 기업에서 15년 이상 정보보호 업무 및 다양한 회사의 ISMS, PIMS 인증 경험을 수행한 내용을 기반으로 인증제도 및 정보보호 실무를 정리했다. 이 책을 읽고 나면 통합된 정보보호 및 개인정보보호 관리체계(ISMS-P)를 이해하고 실무에 활용할 수 있을 것이다.