ISMS-P 인증 기준 101개 리스트

1. 관리체계 수립 및 운영 (16개)

  1.1. 관리체계 기반 마련 (6개)

     1.1.1. 경영진의 참여

     1.1.2. 최고책임자의 지정

     1.1.3. 조직 구성

     1.1.4. 범위 설정

     1.1.5. 정책 수립

     1.1.6. 자원 할당

 

  1.2. 위험 관리 (4개)

     1.2.1. 정보자산 식별

     1.2.2. 현황 및 흐름분석

     1.2.3. 위험 평가

     1.2.4. 보호대책 선정

 

  1.3. 관리체계 운영 (3개)

     1.3.1. 보호대책 구현

     1.3.2. 보호대책 공유

     1.3.3. 운영현황 관리

 

  1.4. 관리체계 점검 및 개선 (3개)

     1.4.1. 법적 요구사항 준수 검토

     1.4.2. 관리체계 점검

     1.4.3. 관리체계 개선

 

 

 

2. 보호대책 요구사항 (64개)

  2.1. 정책, 조직, 자산 관리 (3개)

    2.1.1. 정책의 유지관리

    2.1.2. 조직의 유지관리

    2.1.3. 정보자산 관리

 

  2.2. 인적 보안 (6개)

    2.2.1. 주요 직무자 지정 및 관리

    2.2.2. 직무 분리

    2.2.3. 보안 서약

    2.2.4. 인식제고 및 교육훈련

    2.2.5. 퇴직 및 직무변경 관리

    2.2.6. 보안 위반 시 조치

 

  2.3. 외부자 보안 (4개)

    2.3.1. 외부자 현황 관리

    2.3.2. 외부자 계약 시 보안

    2.3.3. 외부자 보안 이행 관리

    2.3.4. 외부자 계약 변경 및 만 시 보안

 

  2.4. 물리 보안 (7개)

    2.4.1. 보호구역 지정

    2.4.2. 출입통제

    2.4.3. 정보시스템 보호

    2.4.4. 보호설비 운영

    2.4.5. 보호구역 내 작업

    2.4.6. 반출입 기기 통제

    2.4.7. 업무환경 보안

 

  2.5. 인증 및 권한관리 (6개)

    2.5.1. 사용자 계정 관리

    2.5.2. 사용자 식별

    2.5.3. 사용자 인증

    2.5.4. 비밀번호 관리

    2.5.5. 특수 계정 및 권한 관리

    2.5.6. 접근권한 검토

 

  2.6. 접근통제 (7개)

    2.6.1. 네트워크 접근

    2.6.2. 정보시스템 접근

    2.6.3. 응용프로그램 접근

    2.6.4. 데이터베이스 접근

    2.6.5. 무선 네트워크 접근

    2.6.6. 원격접근 통제

    2.6.7. 인터넷 접속 통제

 

  2.7. 암호화 적용 (2개)

    2.7.1. 암호정책 적용

    2.7.2. 암호키 관리

 

  2.8. 정보시스템 도입 및 개발 보안 (6개)

    2.8.1. 보안 요구사항 정의

    2.8.2. 보안 요구사항 검토 및 시험

    2.8.3. 시험과 운영 환경 분리

    2.8.4. 시험 데이터 보안

    2.8.5. 소스 프로그램 관리

    2.8.6. 운영환경 이관

 

  2.9. 시스템 및 서비스 운영관리 (7개)

    2.9.1. 변경관리

    2.9.2. 성능 및 장애관리

    2.9.3. 백업 및 복구관리

    2.9.4. 로그 및 접속기록 관리

    2.9.5. 로그 및 접속기록 점검

    2.9.6. 시간 동기화

    2.9.7. 정보자산의 재사용 및 폐기

 

  2.10. 시스템 및 서비스 보안관리 (9개)

    2.10.1. 보안시스템 운영

    2.10.2. 클라우드 보안

    2.10.3. 공개서버 보안

    2.10.4. 전자거래 및 핀테크 보안

    2.10.5. 정보전송 보안

    2.10.6. 업무용 단말기기 보안

    2.10.7. 보조저장매체 관리

    2.10.8. 패치관리

    2.10.9. 악성코드 통제

 

  2.11. 사고 예방 및 대응 (5개)

    2.11.1. 사고 예방 및 대응체계 구축

    2.11.2. 취약점 점검 및 조치

    2.11.3. 이상행위 분석 및 모니터링

    2.11.4. 사고 대응 훈련 및 개선

    2.11.5. 사고 대응 및 복구

 

  2.12. 재해 복구 (2개)

    2.12.1. 재해·재난 대비 안전조치

    2.12.2 재해 복구 시험 및 개선

 

 

 

3. 개인정보 처리 단계별 요구사항 (21개)

  3.1. 개인정보 수집 시 보호조치 (7개)

    3.1.1. 개인정보 수집·이용

    3.1.2. 개인정보 수집 제한

    3.1.3. 주민등록번호 처리 제한

    3.1.4. 민감정보 및 고유식별정보의 처리 제한

    3.1.5. 개인정보 간접수집

    3.1.6. 영상정보처리기기 설치·운영

    3.1.7. 마케팅 목적의 개인정보 수집·운영

 

  3.2. 개인정보 보유 및 이용 시 보호조치 (5개)

    3.2.1. 개인정보 현황관리

    3.2.2. 개인정보 품질보장

    3.2.3. 이용자 단말기 접근 보호

    3.2.4. 개인정보 목적 외 이용 및 제공

    3.2.5. 가명정보 처리

 

  3.3. 개인정보 제공 시 보호조치 (4개)

    3.3.1. 개인정보 제 3자 제공

    3.3.2. 개인정보 처리 업무 위탁

    3.3.3. 영업의 양도 등에 따른 개인정보 이전

    3.3.4. 개인정보 국외이전

 

  3.4. 개인정보 파기 시 보호조치 (2개)

    3.4.1. 개인정보 파기

    3.4.2. 처리목적 달성 후 보유시 조치

    

  3.5. 정보주체 권리보호 (3개)

    3.5.1. 개인정보 처리방침 공개

    3.5.2. 정보주체 권리보장

    3.5.3. 정보주체에 대한 통지