NCS(국가직무능력표준) 기반 직무수행능력평가 교재!

이 책은 2015년 제정된 국가직무능력표준(NCS:National Competency Standards) 기반 채용 흐름은 2016년에 이르러 대부분의 공공기관으로 확산되어 향후 직무능력에 기반한 채용 제도가 확산되고는 추세이며, 2018년 대다수 공기업과 대기업들이 NCS와 블라인드 채용 제도에 동참하고 있으며, 정보보안산업계 또한 직무능력 중심의 채용제도로 전환하고 있습니다.

최근 정보시스템에 대한 사이버위협은 나날이 지능화·고도화되는 공격의 지속적인 증가와 유사한 피해가 반복적인 발생하고 있어 정보보호의 중요성이 부각되고 있으며, 정부는 법률에 근거하여 공공기간과 기업을 대상으로 지난 2002년 ISMS인증, 2011년 PIMS 인증, 2013년 PIPL 인증, 2016년 PIMS통합(PIPL), 2018년 11월 정보보호관리체계(ISMS)·개인정보보호관리체계(PIMS) 인증을 통합한 ISMS-P 인증제를 의무화하고 인증심사원을 배출하고 있습니다.

정보보호 인증심사원은 다양한 지식과 사고로 심사원으로서의 자질과 품위를 가지고 국내 정보보호의 저변 확대와 보급차원에서 심혈을 기울여야하며, 새로운 사이버위협으로부터 신속한 대응을 위해 인증심사원의 역량강화와 심사품질 향상 등 지속적인 지원이 필요합니다.

이 책은 NCS 학습모듈에 의거 정보보호진단 분석 세분류 능력단위인 정보보호관리체계 인증(7수준) 기반으로 하고 있으며, KISA에서 시행하는 ISMS-P 인증심사원 자격검정시험을 대비할 수 있도록 구성했습니다.

[목 차]

Part 1. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증제도 개요
1.1. 국내외 인증제도 현황
1.1.1 인증제도 도입배경
1.1.2 인증제도의 필요성
1.1.3 인증제도 추진 현황
1.1.4 인증제도 법적근거
1.1.5 국제 인증제도 현황

1.2. ISMS-P 인증제도 이해
1.1.1 ISMS-P 인증 개요
1.1.2 ISMS-P 인증 대상
1.1.3 ISMS-P 인증 절차 체계
1.1.4 ISMS-P 인증 범위
1.1.5 ISMS-P 인증 심사기준
1.1.6 ISMS-P 인증 심사원

Part 2. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증기준
1편. 관리체계 수립 및 운영
1.1 관리체계 기반 마련
1.1.1 경영진의 참여
1.1.2 최고책임자의 지정
1.1.3 조직 구성
1.1.4 범위 설정
1.1.5 정책 수립
1.1.6 자원 할당

1.2 위험 관리
1.2.1 정보자산 식별
1.2.2 현황 및 흐름분석
1.2.3 위험 평가
1.2.4 보호대책 선정

1.3 관리체계 운영
1.3.1 보호대책 구현
1.3.2 보호대책 공유
1.3.3 운영현황 관리

1.4 관리체계 점검 및 개선
1.4.1 법적 요구사항 준수 검토
1.4.2 관리체계 점검
1.4.3 관리체계 개선

2편. 보호대책 요구사항
2.1.1 정책의 유지관리
2.1정책, 조직, 자산 관리
2.2 인적 보안
2.3 외부자 보안

2.1.2 조직의 유지관리
2.2.1 주요 직무자 지정 및 관리
2.2.2 직무 분리
2.2.3 보안 서약
2.2.4 인식제고 및 교육훈련
2.2.5 퇴직 및 직무변경 관리
2.2.6 보안 위반 시 조치

2.1.3 정보자산 관리
2.3.1 외부자 현황 관리
2.3.2 외부자 계약 시 보안
2.3.3 외부자 보안 이행 관리
2.3.4 외부자 계약 변경 및 만료 시 보안

2.4 물리 보안
2.4.1 보호구역 지정
2.4.2 출입통제
2.4.3 정보시스템 보호
2.4.4 보호설비 운영
2.4.5 보호구역 내 작업
2.4.6 반출입 기기 통제
2.4.7 업무환경 보안

2.5 인증 및 권한관리
2.5.1 사용자 계정 관리
2.5.2 사용자 식별
2.5.3 사용자 인증
2.5.4 비밀번호 관리
2.5.5 특수 계정 및 권한 관리
2.5.6 접근권한 검토

2.6 접근통제
2.6.1 네트워크 접근
2.6.2 정보시스템 접근
2.6.3 응용프로그램 접근
2.6.4 데이터베이스 접근
2.6.5 무선 네트워크 접근
2.6.6 원격접근 통제
2.6.7 인터넷 접속 통제

2.7 암호화 적용
2.7.1 암호정책 적용
2.7.2 암호키 관리

2.8 정보시스템 도입 및 개발 보안
2.8.1 보안 요구사항 정의
2.8.2 보안 요구사항 검토 및 시험
2.8.3 시험과 운영 환경 분리
2.8.4 시험 데이터 보안
2.8.5 소스 프로그램 관리
2.8.6 운영환경 이관

2.9 시스템 및 서비스 운영관리
2.9.1 변경관리
2.9.2 성능 및 장애관리
2.9.3 백업 및 복구관리
2.9.4 로그 및 접속기록 관리
2.9.5 로그 및 접속기록 점검
2.9.6 시간 동기화
2.9.7 정보자산의 재사용 및 폐기

2.10 시스템 및 서비스 보안관리
2.10.1 보안시스템 운영
2.10.2 클라우드 보안
2.10.3 공개서버 보안
2.10.4 전자거래 및 핀테크 보안
2.10.5 정보전송 보안
2.10.6 업무용 단말기기 보안
2.10.7 보조저장매체 관리
2.10.8 패치관리
2.10.9 악성코드 통제

2.11 사고 예방 및 대응
2.11.1 사고 예방 및 대응체계 구축
2.11.2 취약점 점검 및 조치
2.11.3 이상행위 분석 및 모니터링
2.11.4 사고 대응 훈련 및 개선
2.11.5 사고 대응 및 복구

2.12 재해복구
2.12.1 재해, 재난 대비 안전조치
2.12.2 재해 복구 시험 및 개선

3편. 개인정보 처리 단계별 요구사항
3.1 개인정보 수집 시 보호조치
3.1.1 개인정보 수집 제한
3.1.2 개인정보의 수집 동의
3.1.3 주민등록번호 처리 제한
3.1.4 민감정보 및 고유식별정보의 처리 제한
3.1.5 간접수집 보호조치
3.1.6 영상정보처리기기 설치·운영
3.1.7 홍보 및 마케팅 목적 활용 시 조치

3.2 개인정보 보유 및 이용 시 보호조치
3.2.1 개인정보 현황관리
3.2.2 개인정보 품질보장
3.2.3 개인정보 표시제한 및 이용 시 보호조치
3.2.4 이용자 단말기 접근 보호
3.2.5 개인정보 목적 외 이용 및 제공

3.3 개인정보 제공 시 보호조치
3.3.1 개인정보 제3자 제공
3.3.2 업무 위탁에 따른 정보주체 고지
3.3.3 영업의 양수 등에 따른 개인정보의 이전
3.3.4 개인정보의 국외이전

3.4 개인정보 파기 시 보호조치
3.4.1 개인정보의 파기
3.4.2 처리목적 달성 후 보유 시 조치
3.4.3 휴면 이용자 관리

3.5 정보주체 권리보호
3.5.1 개인정보처리방침 공개
3.5.2 정보주체 권리보장
3.5.3 이용내역 통지

Part 3. 부록
- ISMS-P 인증 심사기준
- (구)ISMS 인증 심사기준
- (구)PIMS 인증 심사기준
- (구)ISMS 인증 심사기준 보호대책 항목별 관리체계 구축 흐름도
- 개인정보의 안전 조치 기준 법률간의 주요내용 비교
- 정보보호시스템 및 네트워크 구성도
- 국제·국내 정보보호 인증제도 현황
- 해킹과 침해사고 및 정책 흐름 History Map
- 협회 소개

정보보호 부문 국내 최초 NCS 적용 ISMS-P 인증심사원 자격시험 수험서!

「정보보호인정협회」는 정보보호 인증심사원간의 휴먼네트워크 활성화를 통하여 회원 스스로 경쟁력을 높여 나가기 위해 지난 2015년 3월 창립하여 정보보호관련 전문도서 18종의 편찬과 지능정보보안아카데미 운영을 통한 전문 인재양성을 위해 노력하고 있습니다.

[ISMS-P 실무가이드] 교재는 ISO27001·ISMS-P 인증심사원, 정보보안 관련자격 소지자(CPPG, 정보보안기사, 정보보안산업기사, SIS1급, SIS2급, CISA, CISSP, 유관자격 기술사 등), 기업 보안담당자, 컨설턴트, 정보보호 관련 대학 및 대학원생들에게 'ISMS 인증심사 시 무엇을 해야 하는가?'에 대한 방향을 제시해 줄 뿐만 아니라 구체적인 예시를 통해 정보보호 및 정보보안담당자의 현실적인 문제 등 실무 현장에서 필수적인 내용들을 수록하여, ISMS-P 인증심사기관과 관련인들을 위해 매우 쉽게 풀어낸 국내 최초의 NCS(국가직무능력표준)기반 직무수행능력평가 교재입니다.

제4차 산업혁명의 미래 IoT 초연결 사회를 대비하는 생애주기형 시큐리티 인력양성(잠재인력 발굴 → 예비인력 육성 → 경력단절 해소 → 전문인력 양성 → 전문역량 강화 → 최고인재 육성) 전략에 맞추어 “정보보호활용능력, 정보보안관제사, 정보보안진단원, 정보보호최고책임관리사” 등 정보보호 및 정보보안 분야의 초급 인재부터 최고급 인재까지 정보보안산업에서 요구되는 실무형 맞춤 인재 양성과 차세대 글로벌 융합형 인재를 배출해 나가기 위해 지속적으로 노력해 나갈 것입니다.

공병철
(사)한국사이버감시단 대표이사, 정보보호인정협회 회장, ㈜에스링크 대표이사ISMS-P 인증심사원, ISO 국제 인증심사원

고범재
정보보호인정협회 이사, ISMS 인증심사원, ISO 국제 인증심사원

김형구
정보보호인정협회 부회장, ISMS, PIMS, ISO 국제 인증심사원

박종문
정보보호인정협회 부회장, ISMS, PIMS, ISO 국제 인증심사원

송병룡
정보보호인정협회 부회장, ISMS, PIMS, ISO 국제 인증심사원

이원연
정보보호인정협회 부회장, ISMS, PIMS, ISO 국제 인증심사원

오법영
정보보호인정협회 부회장, ISM S, PIMS, ISO 국제 인증심사원

오원철
정보보호인정협회 부회장, ISMS 인증심사원, ISO 국제 인증심사원

여동균
정보보호인정협회 부회장, ISMS 인증심사원, ISO 국제 인증심사원

조규호
정보보호인정협회 이사, ISMS 인증심사원, ISO 국제 인증심사원

장진섭
정보보호인정협회 이사, ISMS, PIMS, ISO 국제 인증심사원

심택수
정보보호인정협회 수석부회장, ISMS, PIMS, ISO 국제 인증심사원

한철동
정보관리 기술사, ISMS, PIMS, ISO 국제 인증심사원

김기환
정보보호인정협회 부회장, ISMS, PIMS, ISO 국제 인증심사원

마기평
정보보호인정협회 이사, ISMS, PIMS, ISO 국제 인증심사원

김상원
정보보호인정협회 이사, ISMS, PIMS, ISO 국제 인증심사원