[태그:] 정보보호관리체계
taeho의 정보보호관리체계 관련 글입니다.
-
중국의 유해 트래픽을 차단하다
인터넷에는 유해한 트래픽이 넘쳐난다. 그 중에서도 중국에서 다른 나라로 유입되는 트래픽은 유별나게도 유해한 트래픽이 많다. 우리나라로 유입되는 다양한 트래픽도 대부분 유해한 트래픽이라 해도 과언이 아니다. 그리고 그런 중국발 유해 트래픽은 필자의 블로그로도 유입된다. 그런데 최근에 갑자기 그 트래픽이 많아지기 시작했다. 워드프레스 블로그의 방문자 로그 분석 필자는 다음화면과 같이 방문자의 로그를 로그 수집서버에 수집하여 종종 분석하고 있다. 로그는 다음 화면과 같이 시간, 글제목, 글URL, IP, Referer 주소, 플랫폼의 …
-
2026년 (개인)정보보호 관리체계 구축·운영 과정 (KISA주관/5일)
2026년에도 한국인터넷진흥원에서는 중소기업의 정보보호담당자를 위한 (개인)정보보호 관리체계 구축·운영 과정 교육을 진행합니다. 이 교육은 단순히 ISMS-P 인증을 쉽게 통과하거나 ISMS-P 인증심사원 자격 취득에 중점을 두어 교육하지는 않습니다. 실제로 (개인)정보보호 관리체계를 구축하고 운영하는데 필요한 전반적인 내용을 하루 6시간, 5일 동안 설명합니다. 2026년 (개인)정보보호관리체계 구축·운영 교육 연간 일정 다만, ISMS-P 인증을 획득해야 하는 중소기업의 정보보호담당자를 위한 교육이기에 (개인)정보보호 관리체계 …
-
정보보호 정책·지침과 개인정보 내부 관리계획의 차이
필자는 거의 전업으로 활동하고 있는 9년 차 ISMS-P 인증심사원이다. 꽤 많은 기업과 일부 공기업 그리고 공공기관에 ISMS 및 ISMS-P 인증심사 그리고 내부 감사 등을 위해 방문해 보면 많이 궁금해하는 것 중 하나가 바로 이 글에서 설명하고자 하는 정보보호 정책·지침과 개인정보보호법에서 언급되고 있는 개인정보 내부 관리계획의 차이가 무엇인가 하는 점이다. 개인정보 내부관리 계획 작성 가이드 사실 본인도 이 두 문서의 차이가 무엇일까를 많이 고민했다. 사실 고민할 수 밖에 없다. 그 어떤 책자나 법령해설서 등에서도 기업 및 …
-
ISMS-P 인증심사원을 전업으로 할 때의 수입
어느새 2025년을 정리해야 할 때가 되었다. 올해로서 소위 "프리"로 일한 지 햇수로 9년이 되었지만 블로그에 1년 동안 어느 정도 일을 하고 있는지 기록한 적이 없었다. 그래서 정보보안 업계의 종사자들이 많이 궁금해 하는 전업 ISMS-P 인증심사원의 수입을 추측해 볼 수 있도록 1년 간 수행한 심사와 그 외의 업무량에 대해 기록해 보고자 한다. 전업 ISMS-P 인증심사원 활동의 시작 필자는 2015년에 실시된 제1회 ISMS 인증심사원 필기 시험에 합격하여 심사원양성 교육과 실기시험을 거쳐 심사원 자격을 취득했다. 그리고 …
-
ISMS-P 인증제도의 실상과 개선 방향
2024년부터 이동통신사, 금융기관을 비롯한 여러 곳에서 대형 보안 사고가 과거 그 어느 때보다 연쇄적으로 발생하고 있다. 이 글을 보러 왔을 정도로 정보보안에 관심이 있는 사람이라면 최근 발생한 해킹으로 인한 보안사고가 어느 기업의 어떤 사고인지를 굳이 언급하지 않아도 되리라 생각된다. 언론은 너무도 가벼운 존재다 최근 연쇄적으로 발생하고 있는 랜섬웨어로 인한 서비스 중단, 해킹으로 인한 개인정보 유출 등 보안사고가 터지면서 언론들이 수 많은 기사들을 쏟아내고 있다. 필자가 ISMS-P 인증제도 분야에 종사하고 있어서 관련 내용 …
-
ISMS-P 인증을 받아도 침해사고가 발생하는 이유
SK텔레콤. 해킹으로 가입자 USIM 정보 대량 탈취당하다 2025년 봄. 초 대형 해킹 사건이 SK텔레콤 이동통신망 관리시스템에서 발생했다. 최종적으로 해커가 침투한 시스템은 HSS(Home Subscriber Server)라는 시스템이다. HSS는 LTE/5G에서 이동통신망의 핵심 코어 시스템 중 하나로서 이동통신가입자가 휴대폰을 켰을 때 최초로 단말기의 연결을 인지하는 기지국과 연결된 MME(Mobility Management Entity)시스템이 HSS에게 해당 단말기가 이동통신망에 연결되어도 되는지 인증을 요청한다. 그리 …
-
[강의] 중소기업 정보보호담당자를 위한 ISMS-P 구축·운영 교육 (5일 과정/연 6회)
ISMS (정보보호관리체계)란? ISMS는 Information Security Management System 이다. 즉 "정보보호 관리체계"로 번역된다. 그리고 ISMS의 정의에 대해 살펴보면 다음과 같이 정의되어 있다. 먼저 국제 표준인 ISO/IEC 27001에서는 "조직의 정보자산을 보호하고 기밀성, 무결성, 가용성을 보장하기 위한 체계적인 보안관리 체계"로 정의하고 있고 한국인터넷진흥원의 자료에서는 "조직의 정보자산을 보호하기 위하여 관리적, 기술적, 물리적 보호조치를 체계적이고 지속적으로 수행하는 관리쳬계"로 정의하고 …
-
ISMS 간편인증 대상 기업 기준
개인정보를 수집·이용(이를 "개인정보처리"라 함)하는 정보통신서비스 제공자 중 정보통신망 이용촉진 및 정보보호 등에 관한 법률(이하 정보통신망법) 제47조(정보보호 관리체계의 인증)에서 규정한 조건에 해당되는 자는 의무적으로 받아야 하는 정보보안 관련 인증이 바로 ISMS 인증이다. ISMS 인증 (정보보호 관리체계 인증) 이란? ISMS 란 Information Security Management System 즉, "정보보호 관리체계"라고 할 수 있다. 그리고 정보보호 관리체계란 "정보처리 과정에서 발생할 수 있는 정보의 유출, …
-
[ISMS-P인증심사원] 전문자격증 취득과정 강의 준비
2022년에 이어 모 공공기관의 내부 임직원 대상 교육 과정 중 전문자격증취득과정(ISMS-P인증심사원) 강의를 진행하게 되었다. 2022년에는 강사가 변경되면서 급하게 필자가 담당하게 되었기에 교재 준비도 조금은 미흡했었는데도 불구하고 감사하게도 2023년 강의도 의뢰해주셨다. 2023년 강의 교재는 한 달 훨씬 전부터 편집작업에 들어가 강의 2주 전인 어제... 교재의 시작에서 끝까지 일관된 체계로 수정과 편집을 마쳤다. 그리고 다음과 같은 내용을 추가로 반영하였다. 2023년 3월에 개정되어 9월에 시행된 개인정보보호법과 시 …
-
[강의]중소기업 ISMS-P 구축·운영 과정 (2023)
ISMS-P 인증심사원으로 활동하고 계신 임지석님과 함께 3년 째 진행하고 있는 정보보호 및 개인정보보호 관리체계(ISMS-P) 구축 및 운영 교육이 올해(2023년)에도 진행중이다. 한국인터넷진흥원에서 주관하고 있으며 올해는 씨드젠에서 운영을 지원하고 있다. 현재 2차 교육까지 진행하였고 3차 교육이 접수마감되어 다음 주에 오프라인으로 진행될 예정이다. 오늘, 6월8일 기준으로 4차 교육이 접수중이다. 수강하고자 하는 중소기업 정보보호 담당자는 이곳에서 접수하면 된다. 교육을 수강한 중소기업을 대상으로 신청을 받아 선정된 기업을 …