ISMS-P 인증

ㅇ ISMS-P는 ISMS와 ISMS-P를 선택해 인증을 받을 수 있음

ㅇ 내년부터 ISMS-P의 ISMS (80개 항목)을 선택해서 받아야 하는가 기존의 ISMS (104개 항목) 을 받아야 하는가


웹 모의해킹 시 암호화 적용

ㅇ 사용자가 입력한 계정 정보가 암호화 되어 있는지 확인하려면 와이어샤크 도구를 이용

ㅇ 버프스위트, 피들러와 같은 프록시 도구로 확인하는 것은 잘못된 방법이 아님

ㅇ 웹 모의해킹에서 필수 사항은 네트워크 단 암호화 통신이고, 모바일 앱의 필수 사항은 클라이언트 단과 네트워크 단 암호화를 해야 함

 

컨설턴트에게 보안 교육을 요청할 때

ㅇ 고객님이 컨설턴트에게 보안 교육을 요구하면 PPT로 작성하여 배포 후 직원들을 대상으로 교육을 해야 함


내부감사 순서

ㅇ 컨설턴트가 고객님에게 내부감사를 수행한다고 일정 전송

ㅇ 메일로 내부감사 계획서 파일 전송

ㅇ 해당 일정에 방문해서 내부감사 체크리스트 기반으로 진단 (ISMS 이행진단 + 알파)


사업 관리

ㅇ 수행계획서 : 워드와 파워포인트가 존재하는데, 워드로 배포 후 최초 투입시 수행 계획에 대해 설명

ㅇ WBS : 해당 폴더에 존재하는 WBS 파일은 수행계획서에 들어감

ㅇ 회의록 : 고객님과 인터뷰할 때마다 회의록을 작성 후 메일로 전송

ㅇ 주간 보고 : 고객님과 일정 협의 후 -> 해당 일정 바로 전날에 주간 보고 파일을 메일로 전송 – 해당 일정에 주간 보고

ㅇ 종료 보고 : 컨설팅 완료 후 수행하는 보고


샘플링 취약점 진단

ㅇ 취약점 진단 시 샘플링 진단할 경우 샘플링한 자산만 취약점 진단, 위험평가 등을 수행할 것


CPPG 자격증

ㅇ 시험 접수를 하면 가이드북을 다운로드할 수 있는 권한이 부여

ㅇ 가이드북 외 별도의 고시, 가이드라인 등 참고해야 함

ㅇ 해당 시험의 중요 포인트를 확인하는게 중요


스크립트

ㅇ 인프라 진단 스크립트로 취약점 진단 시 openssh 버전을 체크하는 로직 추가 필요

ㅇ 하트블리트 취약점이 이슈화 되고 난 뒤 인증 심사 시 openssh 취약한 버전을 확인하고 있고, 취약한 버전을 사용중이라면 결함 사항으로 나오는 경우 있음

ㅇ 우분투 방화벽 확인 : iptables –L 또는 ufw status


제안요청서(RFP)

ㅇ 제안요청서(RFP, Request For Proposal)는 고객이 특정 사업(프로젝트)을 하려고 할 때, 해당 사업을 어떻게 수행해 줄 것인지 구체적인 사항을 제안해줄 것을 공급자들에게 요청하는 공식 문서

ㅇ 제안요청서는 프로젝트 개요, 프로젝트 일정, 프로젝트 투입 인력, 주요 내용 등의 내용을 담고 있음

ㅇ 고객사가 컨설팅 회사에 보내는 문서

ㅇ 공식적으로 고객사가 컨설팅 회사에게 제안요청서를 보내면 컨설팅 회사들은 제안요청서에 명시된 것만 수행

ㅇ 만약, 제안요청서를 보내지 않는 고객사의 경우 컨설팅 회사는 수행계획서에 프로젝트 일정, 프로젝트 투입 인력 등 어떤 업무를 수행할 것인지 상세히 기입하여 고객사에 전달


프로젝트 투입 수행

사업수행 계획서(착수 보고서)

ㅇ 사업수행 계획서와 착수 보고서는 동일한 구성. 하지만, 착수 보고서는 취약점 진단을 할 대상과 수량이 들어감

ㅇ 프로젝트 투입 후 1일차에 본 사업의 프로젝트를 어떻게 진행할 것인지 고객님에게 설명

ㅇ ISMS 방법론

- 위험 분석 단계에서 취약점과 취약성 차이

- 취약성은 발견된 취약점에 대한 측정


ㅇ ISMS 통제항목

- 정보보호 관리과정 : ISMS의 전반적으로 필수 수행하는 과정, 위쪽에 해당

- 정보보호 대책 : 관리과정을 상세히 풀어 쓴 과정


ㅇ 법규 준수항목

- ISMS 통제항목의 관리과정에 법규준수 여부 항목이 존재

- 법규준수 진단을 하지 않으면 인증 심사가 진행되지 않으므로 컨설팅 업체에게 진단해달라고 해야 함

- 개인정보보호법과 정보통신망법의 차이를 알고 있어야 함(공통/차이점 : 50%)

- ISMS는 정보통신망법에 따르고, PIMS는 개인정보보호법과 정보통신망법에 따름


ㅇ 위험관리 방안

- MySQL 포트 변경, 보안 패치 관련 취약점에 대해 위험을 조치할 수 없는 경우 적절한 사유를 적고, 승인을 받아야 함

- 위험을 감소하기 위한 최소한의 활동을 해야 함


ㅇ 보호대책 수립

- 보호대책에서 구축비용, 위험도, 난이도

- 선정된 보호대책의 적용시기를 결정하기 위해 구축비용, 위험도, 난이도 등을 고려하여 우선순위를 선정해야 하는데, 이런 것들을 정확하게 하지 않으면 결함 사항이 나옴


회의록

ㅇ 회의록은 고객님과 인터뷰할 때마다 수시로 작성

ㅇ 고객사 별로 리스트가 다르기도 함


주간보고

ㅇ 금주 일정, 차주 일정을 나눠서 적고, 관리와 기술을 분류하여 누가 어떤 업무를 수행했는지 기입

ㅇ 주간보고는 고객님과 서로 협의하여 일정을 잡아야 함


정보자산 목록 현행화

ㅇ 최초 심사 시 정보자산을 어떻게 식별하며 자산의 중요도 평가를 어떻게 하는지 설명

ㅇ 사후 및 갱신 심사 시 정보자산 목록 파일을 메일로 보내달라고 요청

ㅇ 고객사 별로 자산의 중요도 평가 방법이 상이


네트워크 구성도 및 조직도 확인

ㅇ 네트워크 구성 파악 (인증범위, 망분리, IDC, RACK 등)

ㅇ 직원 조직도, 정보보호 조직도


정보보호 최고책임자(CISO) 신고안내

ㅇ 인터뷰 후 정보보호 최고책임자(CISO, Chief Information Security Officer) 지정 및 신고 앤내


개인정보 처리방침 개정(안)

ㅇ 홈페이지에서 개인정보 처리방침에서 잘못된 내용을 고객님(보안담당자)에게 구두로 전달해야 함


정보보호 관리체계 수준분석(관리적 부문 통제항목 현황분석 인터뷰)

ㅇ 각 담당자 별로 인터뷰 일정을 잡고, 해당 일정에 인터뷰 진행

ㅇ 통제 항목을 모두 숙지한 상태에서 인터뷰를 진행하면서 정리해야 함

ㅇ 프로젝트 일정 상 정보보호 수준분석과 컴플라이언스 수준분석을 최대한 빨리 진행해야 함


보안성 검토 체크리스트

ㅇ 보안성 검토 체크리스트는 회사마다 차이가 존재

ㅇ 주요정보통신기반시설 기술적 취약점 분석 평가 기준을 축소화하여 하지 말 것


관리 인터뷰 일정

ㅇ 관리적 진단 인터뷰는 각 담당자별 인터뷰 가능한 날짜, 인터뷰 내용 요약 등을 메일로 전송

ㅇ 또는, 관리적, 기술적 진단 관련 인터뷰는 메일로 전달하거나 파일로 정리해서 첨부


현황 분석 단계

ㅇ 인증범위 정의서 작성

ㅇ 관리 과정에서 인증범위 정의서를 작성하는 항목이 있는데, 인증범위 정의서를 따로 작성할 필요 없음

ㅇ ISMS 인증신청서로 대체가 가능하며, 이 파일안에 인증범위 정의서의 내용을 포함하고 있음


KISA ISMS


▶ ISMS 위험 시나리오

▶ ISMS 스터디 리뷰

▶ 윈도우 웹서버 IIS 보안


  • 카카오톡-공유
  • 네이버-블로그-공유
  • 네이버-밴드-공유
  • 페이스북-공유
  • 트위터-공유
  • 카카오스토리-공유

댓글을 달아 주세요