반응형
Notice
Recent Posts
Recent Comments
Link
«   2025/04   »
1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30
Archives
Today
Total
관리 메뉴

목록인증심사 (6)

eldorado

ISMS-P 인증 기준 2.4.7.업무환경 보안

주요사항개인·공용 시설/사무기기 보호대책 수립·이행, 준수 여부 주기적 검토인증기준공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무환경(업무용 PC, 책상 등)을 통해 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립·이행하여야 한다.확인사항문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용 기기에 대한 보호대책을 수립·이행하고 있는가?업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유·노출을 방지하기 위한 보호대책을 수립·이행하고 있는가?개인 및 공용업무 환경에서의 정보보호 준수여부를 주기적으로 검토하고 있는가?세부설명문서고, 공용 PC, 복합기, 파..
인증심사 2025. 3. 31. 14:38
ISMS-P 인증 기준 2.4.5.보호구역 내 작업

주요사항작업신청 및 수행절차 수립·이행, 작업기록 주기적 검토인증기준보호구역 내에서의 비인가행위 및 권한 오·남용 등을 방지하기 위한 작업 절차를 수립·이행하고, 작업 기록을 주기적으로 검토하여야 한다.확인사항정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립·이행하고 있는가?보호구역내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하고 있는가?가상자산 사업자 확인사항월렛룸내 작업 시, 관련 책임자 승인 및 작업절차(코인 이관절차, 감사인 동반 입장 등)를 수립/이행하고 있는가?세부 설명정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립..
인증심사 2025. 3. 31. 13:39
[개인정보] 비밀번호 작성규칙

개인정보의_기술적_관리적_보호조치_기준(제2021-3호)_해설서(2022.10.) 제4조(접근통제)   ⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을포함하는 비밀번호 작성규칙을 수립하고, 이를 적용․운용하여야 한다.     1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류이상을 조합하여 최소 8자리 이상의 길이로 구성     2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한비밀번호는 사용하지 않는 것을 권고     3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경
인증심사 2025. 1. 8. 13:53
[CISSP] 1일차 스터디

[인증이란] - 사용자가 식별 후에 검증을 받고자 인증수단을 제시하여 검증을 받는것 - 시스템이 그 사용자에 대해서 검증(인정)해주는 단계 [참조모니터, Reference monitor] - 우회 불가능성(완전성) - 부정조작 불가능(격리성) - 테스트 할 정도로 크기가 작어야 한다(검증 가능성) [통제 유형] - 예방 - 탐지 - 교정 [분산도스공격 줄이기] - 분산도스 공격의 주체인 트로이목마에 감연된 PC 수를 줄인다. - 조직의 시스템이 분산도스 공격의 에이전트로 활용되지 않도록 한다.
인증심사 2022. 12. 12. 14:29
CISSP Study(1)

위험 완화, 절감 통제 유형 일반적인 통제 분야는 예방, 탐지, 교정통제가 있다. 무결성 속성 내부 일관성 사례는 DB에서 소계의 합계가 전체 항목의 합계가 같은 것을 의미 DDoS 사고 건수 줄이는 방법 공격 주체인 트로이목마에 감연된 PC 수를 감소, 공격 에이전트로 활용되지 않게 관리 IP Spoofing Attack 패킷을 IP 수준에서 변경하여 시스템으로 하여금 알려진 개체와 통신하는 것으로 믿게하여 시스템 접근을 얻어내는 기법 재생공격 예방 방법 Time Stamps AND VPN 강제적 접근 통제(MAC, Mandatory Access Control) 보안 레이블(주체와 객체)에 따라 접근을 제어하는 기술 - 벨라파듈라 모델(BLP, Bell-LaPadula Confidentiality Mo..
인증심사 2021. 6. 30. 11:54
PCI-DSS 인증

PCI DSS(Payment Card Industry Data Security Standard)는 주요 신용 카드 회사에서 개발한 데이터 보호 규정의 집합으로, 결제 카드 데이터를 저장, 처리 또는 전송하는 모든 법인 및 사업체에 적용됩니다. 카드 회사와의 계약 조건에 따라 카드 데이터를 취급하는 매장 및 기타 업체는 PCI DSS 규정 준수 요건을 충족하지 못할 경우 벌금이 부과될 수 있습니다. 이러한 요건은 내용이 복잡하기 때문에, PCI DSS를 처음 도입할 경우 고수준의 PCI 규정 준수 체크리스트를 활용하는 것이 편리합니다. 조직에 따라서는 세부적인 PCI 규정 준수 체크리스트를 작성하여 해당 표준을 구현하기 위한 가이드로 활용할 수도 있습니다. PCI 규정 준수 체크리스트의 12가지 고수준 요..
인증심사 2020. 2. 4. 22:28
Prev 1 Next