대마왕's 인덕원 클래스161

자동차 기능 안전 표준(ISO26262) 요건 달성을 위한 안전 메커니즘 구현 현재 자동차 도메인의 주된 키워드 중 하나는 A-SPICE와 더불어 ISO26262, 바로 자동차 기능 안전 표준입니다. 거의 모든 OEM들이 협력업체에게 ISO26262를 요구하고 있습니다. ISO26262의 요구사항들을 달성하기 위해서는 다양한 활동들을 수행해야 합니다. System/HW/SW 각 단계 별로 안전 분석을 통한 효과적인 안전 메커니즘을 선정하고 설계에 반영해야만 합니다. 이러한 OEM의 요구사항에 대응하기 위해서는 자동차 전장 시스템에서 발생할 수 있는 오류 유형과 오류 유형 별로 적용할 수 있는 안전 메커니즘의 이해는 필수적이라 할 수 있습니다. 본 강의에서는 전장 시스템에서 발생할 수 있는 오류 유형과 안..

□ 정보보호 관리체계 인증의무 불이행 ㅇ (현황) 전국에서 정보통신망서비스를 제공하는 자 등 주요 정보통신서비스 제공자 등은 정보보호 관리체계 인증을 받아야 함(정보통신망법 제47조제2항) - 인증의무 위반의 경우에는 과태료(기준금액 3,000만원)를 부과 ㅇ (처분대상) 인증의무 대상자가 된 해의 다음 연도 8월 31일까지 인증심사위의 인증 결정을 받지 못한 자 ※인증 결정 후 인증기관의 인증서 교부절차를 제외한 실제 인증 결정일을 기준으로 함 ㅇ (처분종류) 과태료(기준금액 3,000만원) 및 시정조치 명령 □ 사후심사 불이행 ㅇ (현황) 정보보호 관리체계 인증의무자는 인증을 받은 후 매년 사후심사(사후관리)를 받아야 함(정보통신망법 제47조제8항 및 제10항) ㅇ (처분대상) 인증서상의 유효기간 개..

TTA에서 ISMS-P 실무자를 대상으로 하는 교육을 실시합니다. 중소기업재직자의 경우 개인 부담은 없는 과정으로 관심 있는 분들은 참고하시기 바랍니다. - 정보보호관리체계를 구축하고 운영에 필요한 지식과 위험 관리 방법 등 학습 ◎ 교육개요 본 교육은 국가인적자원개발 컨소시엄 사업의 일환으로 한국정보통신기술협회와 「IT 품질 전문인력 육성」 컨소시엄 협약을 맺은 기업의 소속 재직자(고용보험 가입자)를 대상으로 합니다. ○ 과 정 명 : 정보보호관리체계(ISMS-P) 구축 및 운영 실무 (1차) ○ 교육기간 : 2023년 2월 27일(월) ~ 2월 28일(화) 2일, 14시간 ○ 교육장소 : 한국정보통신기술협회(TTA) 9층 컨소시엄교육장 ○ 교육대상 : TTA 아카데미 컨소시엄 협약기업 재직자(협약기업..

이번 주는 공공기관 심사를 왔다. 항상 공공기관은 실망을 주지 않는다. 매체제어와 문서보안이 설치되어 있지만 USB 부팅을 통해 정보 유출이 가능하다고 하니 CMOS 비밀번호는 직원만 안다고 한다. 그리고 직원은 내부 직원이니 믿을만 한다고 한다. 그럼 믿는 직원이 있는데 보안 제품은 왜 필요하지? 배신은 항상 믿는 사람이 하고 나를 미는 사람은 항상 내 등 뒤에 있다. 동료를 믿지 못하는 것이 보안이 아닐까... 얄밉게 떠난 님아 얄밉게 떠난 님아 내 청춘 내 순정을 뺏어 버리고 얄밉게 떠난 님아 더벅머리 사나이에 상처를 주고 너 혼자 미련 없이 떠날 수가 있을까 배신자여 배신자여 사랑의 배신자여 얄밉게 떠난 님아 얄밉게 떠난 님아 내 청춘 내 행복을 짓밟아 놓고 얄밉게 떠난 님아 더벅머리 사나이에 상..

구분 문제 답 Compute SSD Server가 보장하는 기본 IOPS는 얼마인가요? 4,000 IOPS 표준서버보다 10~20배 이상의 고성능 I/O를 제공하는 SSD가 장착된 서버(최대 20000) Compute 이미지 프로세싱 / 렌더링 / 과학 연산 / 머신 러닝 등 고성능 연산처리에 최적화된 서버는? GPU Server 현재는 콘솔에서 생성제한된 상태 - 이용하려면 고객센터로 연락해야 함 Compute 단독으로 제공된 서버 위에서 하나의 클라우드 서버만을 생성해 제공하는 서비스의 서버는? VDS (Virtual Dedicated Server) 물리 서버 제공 방식이지만 클라우드 서비스 형태로 제공되기 때문에 일반 서버처럼 기존의 네이버 클라우드 플랫폼 서비스와 연동해 서비스를 이용할 수 있음...

어제 술자리에서 들은 이야기... 요즘 DevOps가 뜨고 있는데 ISMS-P 심사에는 항상 결함이네요. 글쎄... CISA, CISSP 미국 놈 자격증 공부할때 개발과 운영이 분리되어야 좋은 거다고 할때는 언제고 이제와서는 개발과 운영을 함께해야 좋은 거라고 하네.. 개발과 운영을 분리하는 것은 책임과 권한을 명확히 하는 것을 의미한다. 개발자가 몰래 운영 환경에 와서 소스 코드를 변경하지 않도록 통제하는 것이다.(미국은 그런 일들이 비일비재했었나보다. SOX 법까지 만들 정도면...) DevOps는 개발자가 개발하고 운영하고 모니터링하는 환경인데... 예를 들면 추적성을 명확히 식별할 수 있다면 문제가 없지 않을까? 개발과 운영을 명확히 분리하는 이유가 책임 추적성을 위한 것이라면 DevOps도 동일..

우리가 주로 하는 위험 분석은 자산 기반 분석법이다. 자산을 식별해서 위험을 도출하고 대책을 마련하는 방식인데 전통적인 위험분석 방법이다. 이러한 방식에서는 자산 식별이 되지 않거나 망분리와 같은 위험은 도출되기 힘들다. 그래서 ISO27001:2018..인가 컨텍스트 기반 위험 분석을 도입한다.(연도는 맞나 모르겠다,) 개인정보흐름도도 이러한 이유에도 도입된 것으로 알고 있다...아님 말고.. 개인정보흐름도도 현황 분석을 위한 필수 산출물이다. 그런데 개인정보흐름표가 없다고 결함인가? 이게 결함인 이유는 어설픈 PIA 전문인력 때문이다. PIA에서는 개인정보흐름표를 근간으로 개인정보흐름도를 작성한다. 그런데 그건 PIA에서의 방법론이고 ISMS-P 에서는 강제하고 있지 않다. 따라서 필수 산출물도 아니..

조직 규모가 크거나 다양한 사업을 수행하다 보면, 혹은 정치적인 이유로.. CPO가 다수인 경우가 있다. M&A를 다수 하는 경우에도 서비스마다 특성에 따라 CPO를 두는 경우가 있다. CPO가 1명이여야 한다고 어떤 고집 센 심사원은 결함을 주려고 한다. 하지만 법령에도 CPO가 1명이여야 한다는 규정은 없다. 고집 센 심사원은 생활법률 FAQ에서 공공기관을 대상으로 한 문답을 가지고 근거로 하는데... 일단 공공기관도 아니고, 생활법률도 유권 해석을 하는 기관도 아니다. 따라서 하나의 의견일 뿐이다. 심사가 자기가 보기에 문제가 있어 보아는 것을 결함으로 해서는 안된다. 법적 근거가 있거나, 인증 기준에 위배되거나, 내부 규정을 위반한 것이 결함이다. 주관적인 의견을 가지고 결함 보고서 쓰는 것은 올..