ISMS-P 인증
ㅇ ISMS-P는 ISMS와 ISMS-P를 선택해 인증을 받을 수 있음
ㅇ 내년부터 ISMS-P의 ISMS (80개 항목)을 선택해서 받아야 하는가 기존의 ISMS (104개 항목) 을 받아야 하는가
웹 모의해킹 시 암호화 적용
ㅇ 사용자가 입력한 계정 정보가 암호화 되어 있는지 확인하려면 와이어샤크 도구를 이용
ㅇ 버프스위트, 피들러와 같은 프록시 도구로 확인하는 것은 잘못된 방법이 아님
ㅇ 웹 모의해킹에서 필수 사항은 네트워크 단 암호화 통신이고, 모바일 앱의 필수 사항은 클라이언트 단과 네트워크 단 암호화를 해야 함
컨설턴트에게 보안 교육을 요청할 때
ㅇ 고객님이 컨설턴트에게 보안 교육을 요구하면 PPT로 작성하여 배포 후 직원들을 대상으로 교육을 해야 함
내부감사 순서
ㅇ 컨설턴트가 고객님에게 내부감사를 수행한다고 일정 전송
ㅇ 메일로 내부감사 계획서 파일 전송
ㅇ 해당 일정에 방문해서 내부감사 체크리스트 기반으로 진단 (ISMS 이행진단 + 알파)
사업 관리
ㅇ 수행계획서 : 워드와 파워포인트가 존재하는데, 워드로 배포 후 최초 투입시 수행 계획에 대해 설명
ㅇ WBS : 해당 폴더에 존재하는 WBS 파일은 수행계획서에 들어감
ㅇ 회의록 : 고객님과 인터뷰할 때마다 회의록을 작성 후 메일로 전송
ㅇ 주간 보고 : 고객님과 일정 협의 후 -> 해당 일정 바로 전날에 주간 보고 파일을 메일로 전송 – 해당 일정에 주간 보고
ㅇ 종료 보고 : 컨설팅 완료 후 수행하는 보고
샘플링 취약점 진단
ㅇ 취약점 진단 시 샘플링 진단할 경우 샘플링한 자산만 취약점 진단, 위험평가 등을 수행할 것
CPPG 자격증
ㅇ 시험 접수를 하면 가이드북을 다운로드할 수 있는 권한이 부여
ㅇ 가이드북 외 별도의 고시, 가이드라인 등 참고해야 함
ㅇ 해당 시험의 중요 포인트를 확인하는게 중요
스크립트
ㅇ 인프라 진단 스크립트로 취약점 진단 시 openssh 버전을 체크하는 로직 추가 필요
ㅇ 하트블리트 취약점이 이슈화 되고 난 뒤 인증 심사 시 openssh 취약한 버전을 확인하고 있고, 취약한 버전을 사용중이라면 결함 사항으로 나오는 경우 있음
ㅇ 우분투 방화벽 확인 : iptables –L 또는 ufw status
제안요청서(RFP)
ㅇ 제안요청서(RFP, Request For Proposal)는 고객이 특정 사업(프로젝트)을 하려고 할 때, 해당 사업을 어떻게 수행해 줄 것인지 구체적인 사항을 제안해줄 것을 공급자들에게 요청하는 공식 문서
ㅇ 제안요청서는 프로젝트 개요, 프로젝트 일정, 프로젝트 투입 인력, 주요 내용 등의 내용을 담고 있음
ㅇ 고객사가 컨설팅 회사에 보내는 문서
ㅇ 공식적으로 고객사가 컨설팅 회사에게 제안요청서를 보내면 컨설팅 회사들은 제안요청서에 명시된 것만 수행
ㅇ 만약, 제안요청서를 보내지 않는 고객사의 경우 컨설팅 회사는 수행계획서에 프로젝트 일정, 프로젝트 투입 인력 등 어떤 업무를 수행할 것인지 상세히 기입하여 고객사에 전달
프로젝트 투입 수행
사업수행 계획서(착수 보고서)
ㅇ 사업수행 계획서와 착수 보고서는 동일한 구성. 하지만, 착수 보고서는 취약점 진단을 할 대상과 수량이 들어감
ㅇ 프로젝트 투입 후 1일차에 본 사업의 프로젝트를 어떻게 진행할 것인지 고객님에게 설명
ㅇ ISMS 방법론
- 위험 분석 단계에서 취약점과 취약성 차이
- 취약성은 발견된 취약점에 대한 측정
ㅇ ISMS 통제항목
- 정보보호 관리과정 : ISMS의 전반적으로 필수 수행하는 과정, 위쪽에 해당
- 정보보호 대책 : 관리과정을 상세히 풀어 쓴 과정
ㅇ 법규 준수항목
- ISMS 통제항목의 관리과정에 법규준수 여부 항목이 존재
- 법규준수 진단을 하지 않으면 인증 심사가 진행되지 않으므로 컨설팅 업체에게 진단해달라고 해야 함
- 개인정보보호법과 정보통신망법의 차이를 알고 있어야 함(공통/차이점 : 50%)
- ISMS는 정보통신망법에 따르고, PIMS는 개인정보보호법과 정보통신망법에 따름
ㅇ 위험관리 방안
- MySQL 포트 변경, 보안 패치 관련 취약점에 대해 위험을 조치할 수 없는 경우 적절한 사유를 적고, 승인을 받아야 함
- 위험을 감소하기 위한 최소한의 활동을 해야 함
ㅇ 보호대책 수립
- 보호대책에서 구축비용, 위험도, 난이도
- 선정된 보호대책의 적용시기를 결정하기 위해 구축비용, 위험도, 난이도 등을 고려하여 우선순위를 선정해야 하는데, 이런 것들을 정확하게 하지 않으면 결함 사항이 나옴
회의록
ㅇ 회의록은 고객님과 인터뷰할 때마다 수시로 작성
ㅇ 고객사 별로 리스트가 다르기도 함
주간보고
ㅇ 금주 일정, 차주 일정을 나눠서 적고, 관리와 기술을 분류하여 누가 어떤 업무를 수행했는지 기입
ㅇ 주간보고는 고객님과 서로 협의하여 일정을 잡아야 함
정보자산 목록 현행화
ㅇ 최초 심사 시 정보자산을 어떻게 식별하며 자산의 중요도 평가를 어떻게 하는지 설명
ㅇ 사후 및 갱신 심사 시 정보자산 목록 파일을 메일로 보내달라고 요청
ㅇ 고객사 별로 자산의 중요도 평가 방법이 상이
네트워크 구성도 및 조직도 확인
ㅇ 네트워크 구성 파악 (인증범위, 망분리, IDC, RACK 등)
ㅇ 직원 조직도, 정보보호 조직도
정보보호 최고책임자(CISO) 신고안내
ㅇ 인터뷰 후 정보보호 최고책임자(CISO, Chief Information Security Officer) 지정 및 신고 앤내
개인정보 처리방침 개정(안)
ㅇ 홈페이지에서 개인정보 처리방침에서 잘못된 내용을 고객님(보안담당자)에게 구두로 전달해야 함
정보보호 관리체계 수준분석(관리적 부문 통제항목 현황분석 인터뷰)
ㅇ 각 담당자 별로 인터뷰 일정을 잡고, 해당 일정에 인터뷰 진행
ㅇ 통제 항목을 모두 숙지한 상태에서 인터뷰를 진행하면서 정리해야 함
ㅇ 프로젝트 일정 상 정보보호 수준분석과 컴플라이언스 수준분석을 최대한 빨리 진행해야 함
보안성 검토 체크리스트
ㅇ 보안성 검토 체크리스트는 회사마다 차이가 존재
ㅇ 주요정보통신기반시설 기술적 취약점 분석 평가 기준을 축소화하여 하지 말 것
관리 인터뷰 일정
ㅇ 관리적 진단 인터뷰는 각 담당자별 인터뷰 가능한 날짜, 인터뷰 내용 요약 등을 메일로 전송
ㅇ 또는, 관리적, 기술적 진단 관련 인터뷰는 메일로 전달하거나 파일로 정리해서 첨부
현황 분석 단계
ㅇ 인증범위 정의서 작성
ㅇ 관리 과정에서 인증범위 정의서를 작성하는 항목이 있는데, 인증범위 정의서를 따로 작성할 필요 없음
ㅇ ISMS 인증신청서로 대체가 가능하며, 이 파일안에 인증범위 정의서의 내용을 포함하고 있음
