1. 표준/지침

(1) OECD 정보보호 가이드 라인(2002)

(2) TCSEC - (미국)

• 오랜지북
• 컴퓨터 시스템 평가 기준
• 7개 등급(D~A)

(3) ITSEC - (유럽 4개국)

• 모든 정보 시스템 평가 기준
• 6개 등급(E~E6, E0)

(4) BS7799

• 기업이 고객의 정보 관리

(5) CC - (국제 공통 평가 기준)

• 보안 보증 요구사항
• 7개 등급(EAL1~EAL7)

[신동혁] ISMS 인증 평가

2. ISMS-P

(1) 관리체계 수립 및 운영

• 4개 분야 16개 인증기준

1. 관리체계 기반 마련
2. 위험 관리
3. 관리체계 운영
4. 관리체계 점검 및 개선

(2) 보호 대책 요구사항

• 12개 분야 64개 인증 기준

1. 정책, 조직, 자산 관리
2. 인적 보안
3. 외부자 보안
4. 물리 보안
5. 인증 및 권한 관리
6. 접근통제
7. 암호화 적용
8. 정보시스템 도입 및 개발 보안
9. 시스템 및 서비스 운영 관리
10. 시스템 및 서비스 보안 관리
11. 사고 예방 및 대응
12. 재해 복구

(3) 개인정보 처리단계별 요구사항

• 5개 분야 22개 인증 기준

1. 개인정보 수집 시 보호 조치
2. 개인정보 보유 및 이용 시 보호조치
3. 개인정보 제공 시 보호조치
4. 개인정보 파괴 시 보호조치
5. 정보주체 권리 보호

+++

ISP망 장애, 마비 ⇒ 경계 단계

주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리해야 한다.