| 변경 전 | 변경 후 | 비고 | ||||
| 1.1. | 관리체계 기반 마련 | 1.1.1 | 경영진의 참여 | 경영진의 참여 | 1.1.1 | |
| 1.1.2 | 최고책임자의 지정 | 1.1.2 | ISMS-P 인증 시 사용 | |||
| 1.1.3 | 조직 구성 | 조직 구성 | 1.1.3 | |||
| 1.1.4 | 범위 설정 | 범위 설정 | 1.1.4 | |||
| 1.1.5 | 정책 수립 | 정책 수립 | 1.1.5 | |||
| 1.1.6 | 자원 할당 | |||||
| 1.2. | 위험 관리 | 1.2.1 | 정보자산 식별 | 정보자산 식별 | 1.2.1 | |
| 1.2.2 | 현황 및 흐름분석 | |||||
| 1.2.3 | 위험 평가 | |||||
| 1.2.4 | 보호대책 선정 | |||||
| 1.3. | 관리체계 운영 | 1.3.1 | 보호대책 구현 | |||
| 1.3.2 | 보호대책 공유 | |||||
| 1.3.3 | 운영현황 관리 | 운영현황 관리 | 1.3.1 | |||
| 1.4. | 관리체계 점검 및 개선 | 1.4.1 | 법적 요구사항 준수 검토 | |||
| 1.4.2 | 관리체계 점검 | 관리체계 점검 (관리체계 개선 통합) | 1.4.1 | |||
| 1.4.3 | 관리체계 개선 | |||||
| 2.1. | 정책, 조직, 자산 관리 | 2.1.1 | 정책의 유지관리 | |||
| 2.1.2 | 조직의 유지관리 | |||||
| 2.1.3 | 정보자산 관리 | |||||
| 2.2. | 인적 보안 | 2.2.1 | 주요 직무자 지정 및 관리 | |||
| 2.2.2 | 직무 분리 | |||||
| 2.2.3 | 보안 서약 | 보안 서약 | 2.1.1 | |||
| 2.2.4 | 인식제고 및 교육훈련 | 인식제고 및 교육훈련 | 2.1.2 | |||
| 2.2.5 | 퇴직 및 직무변경 관리 | |||||
| 2.2.6 | 보안 위반 시 조치 | |||||
| 2.3. | 외부자 보안 | 2.3.1 | 외부자 현황 관리 | |||
| 2.3.2 | 외부자 계약 시 보안 | 외부자 계약 시 보안 | 2.2.1 | |||
| 2.3.3 | 외부자 보안 이행 관리 | |||||
| 2.3.4 | 외부자 계약 변경 및 만료 시 보안 | |||||
| 2.4. | 물리 보안 | 2.4.1 | 보호구역 지정 | 보호구역 지정 (보호구역 내 작업 병합) | 2.3.1 | |
| 2.4.2 | 출입통제 | |||||
| 2.4.3 | 정보시스템 보호 | 정보시스템 보호 | 2.3.2 | |||
| 2.4.4 | 보호설비 운영 | |||||
| 2.4.5 | 보호구역 내 작업 | |||||
| 2.4.6 | 반출입 기기 통제 | 반출입 기기 통제 | 2.3.3 | |||
| 2.4.7 | 업무환경 보안 | 업무환경 보안 | 2.3.4 | |||
| 2.5. | 인증 및 권한관리 | 2.5.1 | 사용자 계정 관리 | 사용자 계정 관리 | 2.4.1 | |
| 2.5.2 | 사용자 식별 | 사용자 식별 | 2.4.2 | |||
| 2.5.3 | 사용자 인증 | 사용자 인증 | 2.4.3 | |||
| 2.5.4 | 비밀번호 관리 | 비밀번호 관리 | 2.4.4 | |||
| 2.5.5 | 특수 계정 및 권한 관리 | |||||
| 2.5.6 | 접근권한 검토 | |||||
| 2.6. | 접근통제 | 2.6.1 | 네트워크 접근 | 네트워크 접근 (무선 네트워크 접근 병합) | 2.5.1 | |
| 2.6.2 | 정보시스템 접근 | 정보시스템 접근 | 2.5.2 | |||
| 2.6.3 | 응용프로그램 접근 | |||||
| 2.6.4 | 데이터베이스 접근 | |||||
| 2.6.5 | 무선 네트워크 접근 | |||||
| 2.6.6 | 원격접근 통제 | 원격접근 통제 | 2.5.3 | |||
| 2.6.7 | 인터넷 접속 통제 | 인터넷 접속 통제 | 2.5.4 | |||
| 2.7. | 암호화 적용 | 2.7.1 | 암호정책 적용 | 암호정책 적용 (암호키 관리 병합) | 2.6.1 | |
| 2.7.2 | 암호키 관리 | |||||
| 2.8. | 정보시스템 도입 및 개발 보안 | 2.8.1 | 보안 요구사항 정의 | 보안 요구사항 정의 | 2.7.1 | |
| 2.8.2 | 보안 요구사항 검토 및 시험 | |||||
| 2.8.3 | 시험과 운영 환경 분리 | 시험과 운영 환경 분리 | 2.7.2 | |||
| 2.8.4 | 시험 데이터 보안 | 시험 데이터 보안 | 2.7.3 | |||
| 2.8.5 | 소스 프로그램 관리 | 소스 프로그램 관리 | 2.7.4 | |||
| 2.8.6 | 운영환경 이관 | |||||
| 2.9. | 시스템 및 서비스 운영관리 | 2.9.1 | 변경관리 | 변경관리 | 2.8.1 | |
| 2.9.2 | 성능 및 장애관리 | |||||
| 2.9.3 | 백업 및 복구관리 | 백업 및 복구관리 | 2.8.2 | |||
| 2.9.4 | 로그 및 접속기록 관리 | 로그 및 접속기록 관리 (로그 및 접속기록 점검 병합) | 2.8.3 | |||
| 2.9.5 | 로그 및 접속기록 점검 | |||||
| 2.9.6 | 시간 동기화 | |||||
| 2.9.7 | 정보자산의 재사용 및 폐기 | |||||
| 2.10. | 시스템 및 서비스 보안관리 | 2.10.1 | 보안시스템 운영 | 보안시스템 운영 | 2.9.1 | |
| 2.10.2 | 클라우드 보안 | 클라우드 보안 | 29.2 | |||
| 2.10.3 | 공개서버 보안 | 공개서버 보안 | 2.9.3 | |||
| 2.10.4 | 전자거래 및 핀테크 보안 | |||||
| 2.10.5 | 정보전송 보안 | |||||
| 2.10.6 | 업무용 단말기기 보안 | 업무용 단말기기 보안 | 2.9.4 | |||
| 2.10.7 | 보조저장매체 관리 | 보조저장매체 관리 | 2.9.5 | |||
| 2.10.8 | 패치관리 | 패치관리 | 2.9.6 | |||
| 2.10.9 | 악성코드 통제 | 악성코드 통제 | 2.9.7 | |||
| 2.11. | 사고 예방 및 대응 | 2.11.1 | 사고 예방 및 대응체계 구축 | 사고 예방 및 대응체계 구축 | 2.10.1 | |
| 2.11.2 | 취약점 점검 및 조치 | 취약점 점검 및 조치 | 2.10.2 | |||
| 2.11.3 | 이상행위 분석 및 모니터링 | |||||
| 2.11.4 | 사고 대응 훈련 및 개선 | |||||
| 2.11.5 | 사고 대응 및 복구 | 사고 대응 및 복구 | 2.10.3 | |||
| 2.12. | 재해복구 | 2.12.1 | 재해, 재난 대비 안전조치 | |||
| 2.12.2 | 재해 복구 시험 및 개선 |
'ISMS-P' 카테고리의 다른 글
| ISMS-P 인증의 표시 (0) | 2023.05.02 |
|---|---|
| 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 (0) | 2023.04.27 |