Network/Security · 한장정리
[기술사토픽] 정보보호 관리체계(ISMS) 완벽 정리 - 한장정리
ISMS-P 인증, ISO/IEC 27001, NIST CSF, 개인정보보호법·GDPR 핵심 요구사항까지 기술사 빈출 주제를 완벽 정리합니다.
Ⅰ.정보보호 관리체계 표준
| 표준 | 제정기관 | 특징 | 인증 |
|---|---|---|---|
| ISMS-P | KISA(한국) | 정보보호+개인정보보호 통합. 국내 의무 대상 | 연 1회 심사 |
| ISO/IEC 27001 | ISO | 국제 표준 ISMS. PDCA 사이클 기반 | 외부 인증기관 |
| NIST CSF | 미국 NIST | 프레임워크 기반. 5개 기능(식별·보호·탐지·대응·복구) | 자체 평가 |
| SOC 2 | AICPA | 클라우드·SaaS 보안 신뢰성 보고서 | CPA 감사 |
나. ISMS-P 인증 구조
| 영역 | 통제 항목 수 | 주요 내용 |
|---|---|---|
| 관리체계 수립·운영 | 16개 | 정책·조직·자산관리·위험관리 |
| 보호대책 요구사항 | 64개 | 접근통제·암호화·운영보안·물리보안 |
| 개인정보 처리단계별 요구사항 | 22개 | 수집·이용·제공·파기·위탁 |
Ⅱ.개인정보보호법 & GDPR
가. 개인정보보호법 핵심
| 원칙 | 내용 |
|---|---|
| 수집 최소화 | 목적 달성에 필요한 최소한의 개인정보만 수집 |
| 목적 외 이용 금지 | 수집 목적 외 이용·제3자 제공 원칙적 금지 |
| 안전성 확보 | 기술적·관리적·물리적 보호조치 의무 |
| 정보주체 권리 | 열람·정정·삭제·처리정지 요구권 |
| 파기 의무 | 목적 달성 시 지체없이 파기 |
나. GDPR (EU 개인정보보호규정)
| 원칙 | 설명 |
|---|---|
| 적법성·공정성·투명성 | 명확한 법적 근거 필요 |
| 목적 제한 | 명시된 목적으로만 처리 |
| 데이터 최소화 | 필요한 최소 데이터만 |
| 정확성 | 최신·정확 데이터 유지 |
| 보관 기간 제한 | 목적 달성 후 삭제 |
| 무결성·기밀성 | 적절한 보안 조치 |
| GDPR 권리 | 설명 |
|---|---|
| 정보 접근권 | 처리 중인 개인정보 확인 |
| 삭제권(잊혀질 권리) | 개인정보 삭제 요청 |
| 이동권 | 다른 서비스로 데이터 이전 |
| 처리 제한권 | 특정 상황에서 처리 제한 |
시험 포인트
GDPR 위반 과징금: 전 세계 연 매출의 4% 또는 2천만 유로 중 큰 금액.
ISMS-P 의무 대상: 정보통신서비스 제공자(일정 규모 이상)·개인정보 100만명 이상 처리 기업.
Ⅲ.결론
결론
정보보호 관리체계는 기술적 보안을 넘어 조직 전체의 보안 문화를 구축하는 활동입니다.
개인정보보호 강화·공급망 보안·AI 시스템 보안이 새로운 규제 영역으로 확대됩니다.
"컴플라이언스는 보안의 최소 요건이다. 진정한 보안은 그 위에 있다."
블로그: 기술사 학습노트 · imt-log.tistory.com
'네트워크보안' 카테고리의 다른 글
| SASE 보안 아키텍처 개념 정리 (0) | 2026.04.07 |
|---|---|
| 블록체인과 분산원장기술(DLT) 개념 및 활용 정리 (0) | 2026.04.05 |
| 개인정보보호법·정보통신망법 3대 의무 정리 (0) | 2026.04.03 |
| 랜섬웨어 대응 전략과 Zero Trust 보안 모델 총정리 (사전·사후 대응까지) (0) | 2026.03.20 |
| 국내외 주요 해킹 사고 사례 분석 (보안 취약점과 대응 전략 정리) (0) | 2026.03.20 |
