[태그:] 정보보호관리체계
taeho의 정보보호관리체계 관련 글입니다.
-
[강의] 공공기관 전문자격증(ISMS-P인증심사원) 취득과정 (5일)
ISMS-P 인증의 수요는 조직 내·외부의 정보 유출 및 침해시도가 점점 증가함에 따라 함께 증가하고 있다. ISMS-P 인증제도는 정보통신망 이용촉진 및 정보보호에 관한 법률 제47조와 개인정보보호법 제32조의2에 근거를 두고 시행되고 있으며 주체적인 제도의 운영은 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시에 따라 한국인터넷 진흥원에서 운영하고 있다. 7년 전 즈음이었던가? 20년 넘는 조직생활에 지쳐 1년 쯤 쉬며 ISMS-P 인증심사에 집중하여 관련 지식을 체계적으로 쌓고 그 다음을 생각해보기로 했다가 심사업계에 …
-
[강의]중소기업 정보보호 담당자를 위한 ISMS-P 구축운영 과정 (2022)
필자가 주업으로 삼고 있는 일은 ISMS-P 인증심사다. 그리고 추가로 이따금씩 섭외가 오는 다른 일(물론 정보보호 분야의 일)도 하고 있다. 그 중에서 2022년의 가장 의미있는 일은 바로 "중소기업 정보보호 담당자를 위한 (개인)정보보호관리체계 구축·운영 교육"이 아닐까 싶다. IT분야에 뛰어들고 일하면서 이런 저런 다양한 업무를 수행했지만 개인적으로 "교육"만큼 크게 의미부여가 되는 일은 없었다. 내 경험한 것 중에서 타인에게 도움이 될만한 경험을 전달하는 일. 그것이 바로 교육의 의미라고 생각된다. 당연히 교육에 나서는 강 …
-
중소기업 정보보호담당자를 위한 ISMS-P 구축·운영 과정 강의 (2021)
첫 강의의 추억 내가 처음으로 교육을 했던 경험은 1996년 전후였던 것으로 기억된다. 아마도 IMF 경제위기가 터지기 직전 이었을 것이다. 시군구청의 주전산기 운영 및 개발을 담당하고 있던 전산담당자 대상 개발교육을 경기도청에서 진행했었는데 그 강의를 담당하게 되었다. 당시에는 정부주도로 국산 중형 주전산기(TICOM 3 서버)를 개발하였고 Unix 운영체제와 Ingres라는 (PostgreSQL의 아버지뻘 되는 RDBMS) RDBMS를 표준으로 선정하여 포팅하였고 전국 시군구에 보급하였다. 그리고 이 서버에 상하수도 요금 정산 …
-
커버로스 인증서버 구축하기(kerberos / KDC)
여러 대의 서버를 운영하다 보면 맞닥뜨리는 어려움 중 하나가 바로 ID와 비밀번호의 관리다. 많은 엔지니어들과 많은 서버... 그리고 각 서버마다 접근권한을 어떻게 관리할 것인가하는 문제는 보안 관점에서 매우 골치아픈 문제다. 이 문제를 해결하기 위해 사용되는 여러 솔루션들이 있는데 그 중 하나가 바로 커버로스(Kerberos)다. 커버로스는 "티켓"을 기반으로 동작하는 컴퓨터 네트워크 인증 암호화 프로토콜로서 비보안 네트워크에서 통신하는 노드(서버)가 안전하게 다른 노드(서버)를 식별할 수 있게 허용한다. 클라이언트 서 …
-
Windows 10의 무선랜 접속 이력 검토하기 (netsh 명령)
이런 저런 심사나 감사 업무를 수행하다보면 이따금씩 Windows 10 PC에서 와이파이 접속 이력을 검토해야할 필요가 생긴다. 임직원들이 스마트폰 태더링이나 LTE라우터의 사용 또는 외부 무선 와이파이의 접속하는 것을 차단하기 위해 매체제어시스템 등을 보호대책으로 적용하지만 정책 적용 실수나 매체제어시스템의 오류 등으로 인해 무선랜 사용이 가능해지는 순간이 발생할 수 있기 때문이다. 때문에 정보보호담당자는 IT내부감사 등을 통해 공용PC나 임직원의 PC에서 무선 와이파이 접속이력이 존재하는지를 주기적으로 샘플링을 통해 검토할 필요 …
-
우분투 리눅스의 RADIUS 클라이언트 설정하기 (pam_radius_auth)
앞의 포스트에서 Windows Server 2012의 Active Directory에 Radius 서버 설정 방법을 포스팅했다. 이제 우분투 리눅스에 SSH 접속 시 AD의 인증을 받을 수 있도록 Ubuntu 리눅스 서버가 Radius 클라이언트로 동작하도록 설정할 차례다. 일반적으로 Radius 인증은 라우터, L3스위치, L4스위치 등 네트워크 장비의 관리자 계정 또는 무선 네트워크 접속 시 사용자 인증을 위해 사용하는 경우가 많지만 리눅스 서버의 사용자 접속 시 인증을 위해서도 사용할 수 있다. 이는 리눅스나 유닉스가 PAM …
-
리눅스 서버 계정 관리를 위해 Active Directory를 인증서버(Radius)로 사용하기
아주 오래 전 (벌써 5년 전...)에 NIS를 이용해 서버 운영체제의 계정을 통합관리하고 NFS 서버를 연동해 로그인 할 때만 NIS 클라이언트에 NFS 서버에 있는 사용자의 홈디렉토리를 마운트해 사용할 수 있게 하는 테스트 환경을 구축했었다. (NIS, NFS, autofs 를 활용한 홈디렉토리 automount 환경 구성하기) 이 테스트 환경의 경우 삼성전자의 CAE 환경에서 연구원들의 연구지원 시스템의 환경에서 SecureOS가 정상적으로 동작하는지를 테스트하기 위해 구성한 환경이었다. 하지만 이런 환경은 일반적인 시스템에 …
-
[ISMS-P]기술적 관리적 보호조치 기준 vs 안전성 확보조치 기준 비교표
얼마 전 ISMS-P 인증심사원 자격전환 (구ISMS에서 신ISMS-P로) 시험에 합격하면서 6월에 첫 ISMS-P 인증심사를 나가게 되었다. 아무래도 ISMS에 구)PIMS의 개인정보라이프사이클 및 법적 요구사항에 대해 더 깊이 있게 살펴봐야 하기 때문에 조금은 더 까다로운 심사가 될 듯 하다. 그러면서 다시 한번..(글로만 보면 자꾸 잊는다.) 정보통신망법과 개인정보보호법을 정리한 내용들을 살펴보고 있는 중이다. 그 와중에 자격전환 시험 준비를 하면서 정리해두었던 자료들 중에 정보통신망법의 하위 고시인 [기술적ㆍ관리적 보호조치 …
-
ISMS-P 인증심사원 자격증 취득하다.
심사원의 자질(?)이 논란이 되어 2015년 신설된 정보보호관리체계(ISMS)인증 심사원 선발시험. 나는 바로 그 1회 시험에 응시하여 ISMS인증심사원 자격을 취득했었다. 그런데 비슷한 형제(?)겪이었던 개인정보보호관리체계(PIMS)인증과 제도가 통합되었다. 그로인해 작년 부터 소문만(?) 무성했던 ISMS 인증심사원 자격과 PIMS인증심사원 자격도 통합이되었다. 나는 ISMS 심사원자격 하나만 갖고 있었기에 자격전환 시험을 치러야 했다. ISMS와 PIMS 두개 모두 자격을 취득하고 있는 분들은 시험이 면제되는 파격적인 특혜(? …
-
[ISMS-P]개인정보처리 위탁 동의를 받는 방법 (정보통신망법과 개인정보보호법의 차이)
지난 번에 개인정보보호법과 정보통신망법의 주요 차이점에 대해 포스팅한 적이 있습니다. (여기) 지난 번 포스팅에 이어 이번에도 두 법령의 차이점에 대한 포스팅 입니다. 온라인과 오프라인에서 개인정보를 수집할 때에는 개인정보보호법과 정보통신망법에서 규정하고 있는 개인정보 수집·이용 동의 방법을 적용하여 이용자(정보주체)의 동의를 받아야 합니다. 그런데... 동의를 받는 방법 중에서 "개인정보처리 위탁"에 대한 동의를 개인정보 수집·이용 동의와 구분하여 별도로 받아야 하는가에 대한 규정이 정보통신망법과 개인정보보호법에서 미묘하게 차이가 …