대마왕's 인덕원 클래스161

식목일을 기념하여 드디어 시험 공고가 나왔다.

교육신청 강좌개요 과정명강사명교육기간교육시간정원교육장특이사항교육문의 정보보호관리체계(ISMS-P) 인증 및 심사 실무 (1차) 유지호 2023-03-02 ~ 2023-03-03 14 시간 18 명 한국정보통신기술협회(TTA/분당 서현) 9층 컨소시엄 교육장 ※ '접수중'은 수강확정 상태가 아니며, '수강확정' 상태는 교육 시작 7일 전 확인 가능 E-mail. champ@tta.or.kr ※교육 커리큘럼과 강사는 사정에 의해 변경 될 수 있습니다. f페이스북 공유 강좌내용 교육목표강좌내용 - 내부/외부 인증 심사원으로써 정보보호관리체계(ISMS-P) 인증 기준 및 시스템 점검, 보고서 작성 등 고급 지식 학습 ◎ 교육개요 본 교육은 국가인적자원개발 컨소시엄 사업의 일환으로 한국정보통신기술협회와 「IT 품..

□ 정보보호 관리체계 인증의무 불이행 ㅇ (현황) 전국에서 정보통신망서비스를 제공하는 자 등 주요 정보통신서비스 제공자 등은 정보보호 관리체계 인증을 받아야 함(정보통신망법 제47조제2항) - 인증의무 위반의 경우에는 과태료(기준금액 3,000만원)를 부과 ㅇ (처분대상) 인증의무 대상자가 된 해의 다음 연도 8월 31일까지 인증심사위의 인증 결정을 받지 못한 자 ※인증 결정 후 인증기관의 인증서 교부절차를 제외한 실제 인증 결정일을 기준으로 함 ㅇ (처분종류) 과태료(기준금액 3,000만원) 및 시정조치 명령 □ 사후심사 불이행 ㅇ (현황) 정보보호 관리체계 인증의무자는 인증을 받은 후 매년 사후심사(사후관리)를 받아야 함(정보통신망법 제47조제8항 및 제10항) ㅇ (처분대상) 인증서상의 유효기간 개..

TTA에서 ISMS-P 실무자를 대상으로 하는 교육을 실시합니다. 중소기업재직자의 경우 개인 부담은 없는 과정으로 관심 있는 분들은 참고하시기 바랍니다. - 정보보호관리체계를 구축하고 운영에 필요한 지식과 위험 관리 방법 등 학습 ◎ 교육개요 본 교육은 국가인적자원개발 컨소시엄 사업의 일환으로 한국정보통신기술협회와 「IT 품질 전문인력 육성」 컨소시엄 협약을 맺은 기업의 소속 재직자(고용보험 가입자)를 대상으로 합니다. ○ 과 정 명 : 정보보호관리체계(ISMS-P) 구축 및 운영 실무 (1차) ○ 교육기간 : 2023년 2월 27일(월) ~ 2월 28일(화) 2일, 14시간 ○ 교육장소 : 한국정보통신기술협회(TTA) 9층 컨소시엄교육장 ○ 교육대상 : TTA 아카데미 컨소시엄 협약기업 재직자(협약기업..

이번 주는 공공기관 심사를 왔다. 항상 공공기관은 실망을 주지 않는다. 매체제어와 문서보안이 설치되어 있지만 USB 부팅을 통해 정보 유출이 가능하다고 하니 CMOS 비밀번호는 직원만 안다고 한다. 그리고 직원은 내부 직원이니 믿을만 한다고 한다. 그럼 믿는 직원이 있는데 보안 제품은 왜 필요하지? 배신은 항상 믿는 사람이 하고 나를 미는 사람은 항상 내 등 뒤에 있다. 동료를 믿지 못하는 것이 보안이 아닐까... 얄밉게 떠난 님아 얄밉게 떠난 님아 내 청춘 내 순정을 뺏어 버리고 얄밉게 떠난 님아 더벅머리 사나이에 상처를 주고 너 혼자 미련 없이 떠날 수가 있을까 배신자여 배신자여 사랑의 배신자여 얄밉게 떠난 님아 얄밉게 떠난 님아 내 청춘 내 행복을 짓밟아 놓고 얄밉게 떠난 님아 더벅머리 사나이에 상..

어제 술자리에서 들은 이야기... 요즘 DevOps가 뜨고 있는데 ISMS-P 심사에는 항상 결함이네요. 글쎄... CISA, CISSP 미국 놈 자격증 공부할때 개발과 운영이 분리되어야 좋은 거다고 할때는 언제고 이제와서는 개발과 운영을 함께해야 좋은 거라고 하네.. 개발과 운영을 분리하는 것은 책임과 권한을 명확히 하는 것을 의미한다. 개발자가 몰래 운영 환경에 와서 소스 코드를 변경하지 않도록 통제하는 것이다.(미국은 그런 일들이 비일비재했었나보다. SOX 법까지 만들 정도면...) DevOps는 개발자가 개발하고 운영하고 모니터링하는 환경인데... 예를 들면 추적성을 명확히 식별할 수 있다면 문제가 없지 않을까? 개발과 운영을 명확히 분리하는 이유가 책임 추적성을 위한 것이라면 DevOps도 동일..

우리가 주로 하는 위험 분석은 자산 기반 분석법이다. 자산을 식별해서 위험을 도출하고 대책을 마련하는 방식인데 전통적인 위험분석 방법이다. 이러한 방식에서는 자산 식별이 되지 않거나 망분리와 같은 위험은 도출되기 힘들다. 그래서 ISO27001:2018..인가 컨텍스트 기반 위험 분석을 도입한다.(연도는 맞나 모르겠다,) 개인정보흐름도도 이러한 이유에도 도입된 것으로 알고 있다...아님 말고.. 개인정보흐름도도 현황 분석을 위한 필수 산출물이다. 그런데 개인정보흐름표가 없다고 결함인가? 이게 결함인 이유는 어설픈 PIA 전문인력 때문이다. PIA에서는 개인정보흐름표를 근간으로 개인정보흐름도를 작성한다. 그런데 그건 PIA에서의 방법론이고 ISMS-P 에서는 강제하고 있지 않다. 따라서 필수 산출물도 아니..