필수정보

『정보보호 및 개인정보보호 관리체계 개론』 은 〈정보보호 관리체계 개론〉, 〈정보보호 관리체계 구축·운영〉, 〈정보보호 및 개인정보보호 관리체계 인증〉, 〈정보보호 및 개인정보보호 컨설팅 입문〉, 〈개인정보보호 관리체계 개론〉 을 수록하고 있는 책이다.

CHAPTER 01 정보보호 관리체계 개론
1. 정보보호 이해
(1) 정보(information)
(2) 정보보호의 핵심 원칙
(3) 정보보호의 중요성 및 필요성
2. 정보보호 관리체계 개념
(1) 관리체계 이해
(2) 관리체계(Management System)
(3) 프로세스 접근방법
3. (개인)정보보호 관리체계 구축 필요성
(1) 관리체계는 정보보호의 가장 기본이자 시작
(2) 관리체계 구축 및 인증 필요성
(3) 관리체계 구축 장점
4. 정보보호 관리체계 분류
4.1 해외 정보보호 관리체계
(1) ISO/IEC 27001
(2) 일본의 정보보호 관리체계
(3) 미국의 정보보호 관리체계(FISMA)
4.2 국내 정보보호 관리체계
(1) 정보보호 관리체계(ISMS)
(2) 주요정보통신기반시설
(3) 정보보호관리 등급제
4.3 국내·외 유사 정보보호 관리체계 비교
(1) 국내·외 관리체계 비교
(2) 국내·외 관리체계 인증기준 비교
5. 기업의 보안관리 전략 수립
(1) 체계적이고 효과적인 보안관리 전략 수립
(2) 기업의 보안관리 프로그램
(3) 기업 경영의 필수 요소
CHAPTER 02 정보보호 관리체계 구축·운영
1. 관리체계 구축 절차 및 방법
(1) 관리체계 구축 표준(프레임워크) 선정
(2) 관리체계 구축 절차
(3) 프로세스 접근 방식에 따른 구축
(4) 관리체계 프레임워크와 PDCA
2. 관리체계 구축 준비 및 계획 수립 단계(Step 1)
(1) 관리체계 구축 계획 수립
3. 관리체계 기반 마련 단계(Step 2)
3.1 (관리체계 기반 마련) 경영진의 참여
(1) 경영진 참여의 중요성
(2) 경영진 역할
(3) 내부통제시스템, 위험 관리시스템, 의사결정시스템
3.2 (관리체계 기반 마련) 최고책임자의 지정
(1) 정보보호 최고책임자 지정
3.3 (관리체계 기반 마련) 조직 구성
(1) (개인)정보보호 조직 구성 필요성
(2) (개인)정보보호 실무조직, 위원회, 협의체 등 조직 구성
3.4 (관리체계 기반 마련) 범위 설정
(1) 범위 설정 요구사항
(2) 범위 설정 방법 및 내용
3.5 (관리체계 기반 마련) 정책 수립
(1) (개인)정보보호 정책 수립 절차
(2) (개인)정보보호 정책 내용
(3) 경영진의 승인
3.6 (관리체계 기반 마련) 자원 할당
(1) 자원 할당
4. 위험 관리 단계(Step 3)
4.1 (위험 관리) 정보자산 식별
(1) 정보자산 식별
(2) 자산 평가
4.2 (위험 관리) 현황 및 흐름분석
(1) 현황 분석
(2) 흐름 분석
4.3 (위험 관리) 위험 평가
(1) 위험 관리 과정
(2) 위험 관리 필요성과 구성요소
(3) 위험 관리 방법 및 계획 수립
(4) 위험 분석·평가 절차
(5) 위협 식별 및 평가
(6) 취약점 식별 및 평가
(7) 우려사항(Concern)
(8) 위험 평가
(9) 위험 처리
4.4 (위험 관리) 보호대책 선정
(1) 정보보호대책 선정
(2) 이행계획 수립
(3) 관리체계 운영명세서 관리
5. 관리체계 운영 단계(Step 4)
5.1 (관리체계 운영) 보호대책 구현
(1) 통제의 효과적 구현 및 평가
(2) 보안 영역별 보호대책 적용
5.2 (관리체계 운영) 보호대책 공유
(1) 교육 및 훈련계획 수립
(2) 교육 및 훈련 내용
5.3 (관리체계 운영) 운영현황 관리
(1) 운영현황 문서화
(2) 운영현황 관리
6. 관리체계 점검 및 개선(Step 5)
6.1 (관리체계 점검 및 개선) 법적 요구사항 준수 검토
(1) 관련 법규 검토
(2) 관련 법규 현황 파악 및 준수여부 검토
6.2 (관리체계 점검 및 개선) 관리체계 점검
(1) 관리체계 점검
(2) 정보보호 감사보고서
(3) 감사인의 자격 요건
6.3 (관리체계 점검 및 개선) 관리체계 개선
(1) 개선활동의 목표 설정 및 문서화
(2) 개선활동 방법
(3) 관리체계 인증 신청
7. 관리체계 문서 관리
7.1 효과적인 문서 관리
(1) 문서 체계
(2) 문서의 종류
7.2 관리체계 문서화 요구사항
(1) 관리체계 수립 및 운영 단계 문서 요구사항
(2) 정보보호 대책 수립 단계 문서 요구사항
(3) 개인정보 처리 단계 문서 요구사항
(4) 인증의 신청 서류
CHAPTER 03 정보보호 및 개인정보보호 관리체계 인증
1. 관리체계 인증 개요
1.1 관리체계 인증의 필요성
1.2 관리체계 인증 단계
(1) 준비 단계
(2) 인증심사 단계
(3) 인증 단계
(4) 사후관리 단계
2. 관리체계 인증기준과 인증심사
(1) 인증기준 이해
(2) 인증심사 개요
3. 인증심사 절차 및 심사 수행
3.1 인증심사 절차 이해
(1) 단계별 인증심사 절차
(2) 인증심사 준비
3.2 인증심사 수행
(1) 단계별 인증심사
4. 인증심사 기법 및 방법
(1) 인증심사 기법
(2) 인증심사 방법
5. 인증 및 사후관리
5.1 인증심사 절차
(1) 인증 절차
(2) 인증심사 단계
5.2 사후관리 단계
(1) 사후심사
(2) 갱신검사
6. 인증기관 및 심사기관 요구사항
6.1 인증기관 및 심사기관 지정 절차
(1) 지정 공고
(2) 지정 기준 및 절차
(3) 인증기관 및 심사기관의 사후관리
(4) 공정성 및 독립성 확보
(5) 인증기관 및 심사기관의 지정취소 등
7. 인증심사원 요구사항
7.1 인증심사원의 자격, 역할, 자질, 역량
(1) 인증심사원 자격 요건
(2) 인증심사원 역할 및 책임
(3) 인증심사원의 자질 및 역량
7.2 인증심사원 보안관리
(1) 윤리강령 및 보안서약서 제출
(2) 심사원 보안관리 업무기준
CHAPTER 04 정보보호 및 개인정보보호 컨설팅 입문
1. (개인)정보보호 컨설팅 이해
1.1 정보보호 컨설팅 개념 및 역사
(1) 정보보호 컨설팅 개념
(2) 국내 정보보호 컨설팅 역사
(3) (개인)정보보호 컨설팅 서비스 유형 및 방법론 필요성
1.2 (개인)정보보호 컨설팅 모델 및 절차
(1) 관리체계 컨설팅 모델
(2) 관리체계 컨설팅 절차
1.3 (개인)정보보호 컨설팅 프로젝트 수행시 고려사항
(1) (개인)정보보호 컨설팅 프로젝트 필요성
(2) 효과적인 정보보호 컨설팅 대응 전략
(3) 정보보호 컨설팅 활용 전략
(4) 정보보호 컨설팅업체 선정 방법
(5) 정보보호 컨설팅 실패 및 성공 요인
2. (개인)정보보호 컨설팅 프로젝트 수행 절차
(1) 프로젝트 절차
(2) 제안요청서(RFP) 발송 또는 공고
(3) 제안서 제출 및 발표
(4) 업체선정
(5) 계약 체결
(6) 프로젝트 수행 및 완료
3. (개인)정보보호 컨설팅 프로젝트 수행 방법
3.1 요구사항 및 현황(GAP) 분석
(1) 요구사항 정의 및 컨설팅 범위 설정
(2) GAP 분석 및 업무 현황 분석
3.2 위험 관리
(1) 정보자산 식별 및 평가
(2) 위협 분석 평가
(3) 취약점 분석·평가
(4) 위험 분석·평가
(5) 위험 평가
3.3 정보보호대책 구현
(1) 관리체계 운영명세서
3.4 사후관리
(1) 사후관리 절차
3.5 정보보호 컨설팅 프로젝트 결과보고서 작성
3.6 인증의 신청
4. 정보보호 컨설턴트 요구사항
(1) 정보보호 컨설턴트 정의 및 역량
(2) 정보보호 컨설턴트 자질 및 역할
CHAPTER 05 개인정보보호 관리체계 개론
1. 개인정보보호의 이해
1.1 개인정보의 개요
(1) 개인정보의 정의
(2) 주요국의 개인정보 활용 현황
(3) 개인정보의 개념
(4) 다른 개념과의 구별
1.2 개인정보의 유형
(1) 개인정보의 유형 분류
(2) 개인정보보호의 필요성
(3) 개인정보의 가치산정
(4) 기업의 사회적 책임(CSR, Corporate Social Responsibility)
(5) 개인정보보호의 원칙 비교
2. 개인정보보호 관련 법률 이해
2.1 국내·외 개인정보 보호 관련 법률 현황
(1) 국내 개인정보보호 체계
(2) 데이터 3법 개요
2.2 EU GDPR(General Data Protection Regulation)
(1) 개요
(2) 개인정보 정의와 적용대상 범위
(3) GDPR의 개인정보 기본 처리 원칙
(4) 동의 요건의 강화 및 아동 개인정보 처리에 대한 동의 원칙
(5) 개인정보의 합법 처리 기준
(6) One Stop Shop 메커니즘의 도입
(7) 프로세서에 대한 적용
(8) 정보주체의 권리
(9) 책임성과 거버넌스
(10) DPO 지정 의무
(11) 개인정보 역외 이전 메커니즘
(12) 개인정보 침해 시 통지의무
(13) 제재
(14) 인증제도 및 인증기관에 대한 인정
2.3 미국 CCPA(California Consumer Privacy Act, CCPA)
(1) 개요
(2) 적용 범위
(3) 소비자(정보주체)의 권리
(4) 개인정보의 처리 동의 및 공개
(5) 위반 시 벌금
3. 개인정보의 가치 보호 및 활용
3.1 개인정보보호 원칙 및 기준
(1) 개인정보보호 8대 원칙
(2) 정보 주체의 권리
(3) 개인정보의 안전성 확보 조치 기준
(4) 영상정보처리기기 설치 및 운영 기본 원칙
(5) 공공정보 개방ㆍ공유에 따른 개인정보보호 기본 방침 및 단계별
적용 원칙
3.2 분쟁해결 절차
(1) 개인정보 분쟁조정
(2) 집단분쟁조정
(3) 단체 소송
3.3 개인정보 가명처리 및 활용
(1) 가명정보 처리 원칙
(2) 가명정보 처리 절차
(3) 가명정보 결합·반출 절차
(4) 가명정보의 안전한 관리
4. 개인정보 생명주기
4.1 개인정보 생명주기 개요
(1) 개인정보 생명주기(Life-Cycle)란
(2) 생명주기에 따른 보호대책
4.2 개인정보 생명주기 단계별 보호조치
(1) 개인정보 수집에 따른 보호조치
(2) 개인정보 보유 및 이용에 따른 보호조치
(3) 개인정보 제공에 따른 보호조치
(4) 개인정보 파기에 따른 보호조치
5. 개인정보의 안전성 확보 조치
(1) 내부관리계획의 수립ㆍ시행
(2) 접근권한의 관리
(3) 접근통제
(4) 개인정보의 암호화
(5) 접속기록의 보관 및 점검
(6) 악성프로그램 등 방지
(7) 관리용 단말기의 안전조치
(8) 물리적 안전조치
(9) 재해·재난 대비 안전조치
(10) 개인정보의 파기
(11) 개인정보 처리방침의 수립 및 공개
(12) 정보주체 권리보호
6. 개인정보보호 관리체계 표준
(1) 개인정보보호 관리체계 개요
(2) ISO/IEC 27701
7. 개인정보 영향평가
7.1 개인정보 영향평가 개요
(1) 개인정보 영향평가 개념
(2) 영향평가 대상
(3) 영향평가 절차
(4) 영향평가 수행 방법
(5) 영향평가 항목
(6) 영향평가서 제출
(7) 영향평가 개선사항 이행
7.2 개인정보 영향평가 단계별 세부 절차 및 방법
(1) 사전준비단계
(2) 영향평가 수행단계
(3) 이행단계
7.3 개인정보 영향평가기관 요구사항
(1) 개인정보 영향평가기관 지정 기준
(2) 개인정보 영향평가기관의 지정 절차
부록

장상수