IT보안, 개인정보보호 이야기

지난 11월 14일에 실시된 ISMS-P 인증심사원 자격 필기시험 결과가 오늘 나왔다. 감격스럽게도 합격하였다. 합격 결과는 문자와 이메일로 받았다. 문자를 먼저 받고나서 누군가 장난으로 문자를 보낸것이 아닐까? 의심되어서 메일까지 확인하였다. 이게 오류가 아니라면 진짜로 합격한게 맞겠지? ㅠㅠ 체감상 시험이 너무 어려웠기 때문에 합격할거라고 예상하지 못했기에 결과를 보고 감격스러웠다. 최종합격도 아닌데 블로그에 포스팅할까 말까를 고민하였으나, 시험에 대해서 더 잊어버리기 전에 포스팅해야겠다고 결정하였다. ISMS-P 시험 관련 정보를 찾는 사람들도, 실기시험 합격 후기보다는 필기 시험 합격 후기를 더 궁금해할 것 같다. 그래서 최종합격하지 않았음에도 불구하고 합격 후기를 작성하기로 했다. 공부기간 나는..

블로그에 언급했듯이, 나는 이번에 ISMS-P 인증심사원 자격시험을 보았다. 8월로 예정되었던 시험이 한번 미뤄지고 11월 14일로 다시 날짜가 잡혔다. 매번 공부한 내용을 블로그에 업로드하며 공부하려고 했으나, 시간이 너무 부족해서, 블로그 업로드를 미루고 공부에 집중하였다. 11월 14일 지난 토요일에 드디어 시험을 치렀다. 인증심사원이 된다면 자문료가 아래와 같다고 한다. 인증심사원 등급 자격 1일 자문료 심사원보 ISMS-P 인증심사원 자격시험 최종합격 200,000원 심사원 심사원보가 4일 이상 20시간 이상 심사하면 심사원으로 승격 300,000원 선임심사원 심사원이 3일 이상 15시간 이상 심사하면 선임심사원으로 승격 350,000원 책임심사원 심사능력이 우수하고 참여율이 높은 심사원은 평가..

오늘은 1.3 관리체계 운영과 1.4 관리체계 점검 및 개선에 대해서 살펴보겠다. 1.3 관리체계 운영은 1.2 위험관리를 통해 식별된 위험에 대해서 보호대책을 수립하고, 그 보호대책에 대한 이행계획을 수립했다면, 그 이행계획을 실제로 구현하고, 운영할 때의 절차 및 준수사항에 대한 내용이다. 1.4 관리체계 점검 및 개선은 관리체계 기준 및 법적 요건에 따라 관리체계 현황을 점검하고 발견된 문제점에 대하여 재발하지 않도록 대책 수립에 관한 내용이다. I. 관리체계 수립 및 운영 - 1.3 관리체계 운영 1.3.1 보호대책 구현 이행 계획에 따라 효과적으로 보호대책을 구현하고 이행 결과의 정확성/효과성을 경영진이 확인할 수 있도록 보고 보호대책 구현 및 운영 현황을 기록한 운영 명세서 작성 보호대책 이행..

오늘은 1.2 위험관리 분야에 대해서 암기할 내용을 정리하겠다. ISMS-P 항목 살펴보기 | I. 관리체계 수립 및 운영 - 1.2 위험관리 1.2.1 정보자산 식별 정보자산 분류기준을 수립하여 관리체계 범위 내의 모든 정보자산을 식별하여 목록화 식별된 정보자산에 대해 법적 요건 및 업무 영향도 등을 고려하여 중요도를 결정하고 보안등급을 부여 정기적으로 정보자산 현황을 조사하여 최신성을 유지 자산명 용도 위치 관리자 관리부서 기밀성, 무결성, 가용성, 법적 준거성 등에 따른 중요도 평가 서비스 영향, 이익 손실, 고객 상실, 대외 이미지 손상 등을 고려 주요 PC를 통제하는 데 사용되는 내부정보 유출 통제 시스템이 누락된 경우 범위 내 제삼자에게 제공받은 개인정보가 있으나 해당 개인정보에 대한 자산 식..

개인정보보호법 제4장 "개인정보의 안전한 관리"(제29조 ~ 제34조의2) 에서는 개인정보의 안전조치 의무, 개인정보 처리방침의 수립, 개인정보 보호책임자의 지정, 개인정보 파일의 등록 및 공개, 개인정보 보호 인증, 개인정보 영향평가, 개인정보 유출 통지, 과징금 부과 등에 대한 내용을 다루고 있다. 오늘은 4장을 살펴보겠다. ISMS-P 개인정보보호법 주요내용 정리(6) 제29조 ~ 제32조 제29조(안전조치 의무) ㅇ 개인정보 처리자는 개인정보의 안전성 확보를 위하여 다음과 같은 조치를 하여야 한다. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립ㆍ시행 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치 개인정보를 안전하게 저장ㆍ전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치 개인..

오늘은 제3장 개인정보 처리 - 제2절 개인정보의 처리제한에 대한 내용을 살펴보겠다. 개인정보보호법만 5번째 포스팅인데, 아직 반도 못 보았다. 생각보다 양이 너무 많다. ISMS항목에서 개인정보 관련 항목 비중은 1/3정도밖에 안되는데, 정보통신망법보다 개인정보보호법이 더 확인해야 할 내용이 많다. 개인정보가 대부분 법률과 유관한 분야이기 때문일 것이다. 제23조(민감정보의 처리 제한), 제24조(고유식별정보의 처리 제한) 민감정보와 고유식별정보의 처리에 대한 규정은 비슷하기 때문에 한꺼번에 살펴보겠다. ㅇ 민감정보의 범위 사상/신념 노동조합/정당의 가입/탈퇴 정치적 견해 건강, 성생활 등에 관한 정보 유전정보 범죄경력정보 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 알아볼 목적으..

오늘은 제3장 개인정보 처리 - 제1절 개인정보의 수집, 이용, 제공 등의 마지막 조항인 제21조와 22조를 살펴보고자 한다. 제21조(개인정보의 파기) ㅇ 개인정보처리자는 보유기간의 경과, 처리 목적의 달성이 되면 지체 없이 개인정보를 다음과 같은 방법으로 복구되지 않도록 파기한다. 전자적 파일 형태 : 영구삭제 기록물, 인쇄물 서면, 기록매체 : 파쇄, 소각 ㅇ 법률에 따라 보존하여야 하는 근거가 있으면 보유기관이 경과하여도 보존할 수 있다. 이 경우에는 운영 중인 개인정보와 분리하여 저장하여야 한다. 제22조(동의를 받는 방법) ㅇ 개인정보 동의를 받을 경우 다음에 해당하는 방법으로 동의를 받아야 한다. 동의 내용이 적힌 서면을 정보주체에게 직접 발급하거나 우편 또는 팩스 등의 방법으로 전달하고, ..

개인정보보호법에서 15조 ~ 22조는 개인정보의 라이프사이클에 대한 조항이다. 제15조~제16조 개인정보의 수집/이용 제17조~제20조 개인정보의 제공, 목적 외 이용/제공 제21조 개인정보의 파기 제22조 동의를 받는 방법 그중 오늘은 개인정보의 제공 및 목적 외 이용/제공 관련 내용인 제18조 ~ 제20조까지 살펴보겠다. 개인정보보호법에서 정리하여야 하는 내용이 정보통신망법보다 훨씬 많다. 제18조(개인정보의 목적 외 이용ㆍ제공 제한) ㅇ개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 이용할 수 있는 경우 (정보통신서비스 제공자는 1,2호만 해당, 5~9호는 공공기관만 해당) 정보주체로부터 별도의 동의를 받은 경우 다른 법률에 특별한 규정이 있는 경우 정보주체 또는 법정대리인이 의사표시를 할 ..

오늘은 개인정보보호법에서 이야기하는 개인정보의 라이프사이클에 대한 조항을 살펴보고자 한다. 제15조~제16조 개인정보의 수집/이용 제17조~제20조 개인정보의 제공, 목적 외 이용/제공 제21조 개인정보의 파기 제22조 동의를 받는 방법 그중 오늘은 제15조 ~ 제17조까지 살펴보겠다. 제15조(개인정보의 수집/이용) ㅇ 개인정보를 수집할 수 있는 경우 정보주체의 동의를 받은 경우 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 공공기관이 법률 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 정보주체와의 계약의 체결 및 이행을 위하여 불가피한 경우 정보주체 또는 그 법정대리인이 의사표현을 할 수 없는 상태에 있거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히..

ISMS-P 인증심사원 자격시험 합격 수기를 읽어보면, 대부분 개인정보보호법, 정보통신망법, 정보보호 및 개인정보보호 인증 등에 관한 고시에 있는 내용은 모두 암기했다고 한다. 나도 법적 요건들을 암기하고자 한다. 그래서 오늘은 개인정보보호법을 정리할 것이다. 데이터 3법 개정으로 개인정보보호법에는 가명정보라는 개념이 신규 도입되었다. 또한 기존에 망법에 있던 개인정보보호 내용이 개인정보보호법으로 넘어왔으니 주의 깊게 봐야 할 것 같다. 개인정보보호법 또한 정보통신망법 정리한 바와 같이 내 뇌피셜 상 숙지해야 한다고 생각하는 내용 위주로 정리하였고, 숙지하지 않아도 된다고 판단되는 부분은 기록하지 않았다. 시간 날 때마다 계속 보면서 암기해야지! 개인정보보호법에 대한 자세한 해석을 알고 싶다면 행정자치부..