Daily Report

관리체계 인증기준 1번째 영역인 '1. 관리체계 수립 및 운영' 부터 살펴보자. 이번 영역에서는 총 16개의 세부 인증기준 중에서 '1.1. 관리체계 기반 마련' 분야에서 '1.1.6 자원 할당' 항목을 확인해보자. 해당 '1.1.6 자원 할당' 항목의 활동을 증빙하기 위한 증적자료 예시는 다음과 같다. 다음은 결함사례를 살펴보자.

관리체계 인증기준 1번째 영역인 '1. 관리체계 수립 및 운영' 부터 살펴보자. 이번 영역에서는 총 16개의 세부 인증기준 중에서 '1.1. 관리체계 기반 마련' 분야에서 '1.1.5 정책 수립' 항목을 확인해보자. 해당 '1.1.5 정책 수립' 항목의 활동을 증빙하기 위한 증적자료 예시는 다음과 같다. 다음은 결함사례를 살펴보자.

관리체계 인증기준 1번째 영역인 '1. 관리체계 수립 및 운영' 부터 살펴보자. 이번 영역에서는 총 16개의 세부 인증기준 중에서 '1.1. 관리체계 기반 마련' 분야에서 '1.1.4 범위 설정' 항목을 확인해보자. 해당 '1.1.4 범위 설정' 항목의 활동을 증빙하기 위한 증적자료 예시는 다음과 같다. 다음은 결함사례를 살펴보자.

관리체계 인증기준 1번째 영역인 '1. 관리체계 수립 및 운영' 부터 살펴보자. 이번 영역에서는 총 16개의 세부 인증기준 중에서 '1.1. 관리체계 기반 마련' 분야에서 '1.1.3 조직 구성' 항목을 확인해보자. 이번 '1.1.3 조직 구성' 항목에서는 정보보호 위원회 / 협의체가 구성되어 운영되고 있는지 확인하고 있다. 해당 '1.1.3 조직 구성' 항목의 활동을 증빙하기 위한 증적자료 예시는 다음과 같다. 직무기술서 양식 정보보호 및 개인정보보호 위원회/실무협의체 정보보호 위원회/실무협의체는 아래의 글에서 참고하시길 바란다. https://dailylearn.tistory.com/131?category=1057354 [ISMS/ISMS-P] 1.1.1 경영진의 참여 관리체계 인증기준 1번째 영역인..

관리체계 인증기준 1번째 영역인 '1. 관리체계 수립 및 운영' 부터 살펴보자. 이번 영역에서는 총 16개의 세부 인증기준 중에서 '1.1. 관리체계 기반 마련' 분야에서 '1.1.2 최고책임자의 지정' 항목을 확인해보자. 이번 항목에서는 임원급의 자격요건을 충족한 정보보호 최고책임자 및 개인정보 보호책임자를 공식적으로 임명하고 있는지 확인하고 있다. 해당 '1.1.2 최고책임자의 지정'의 활동을 증빙하기 위한 증적자료 예시는 다음과 같다. 정보보호 최고책임자 및 개인정보 보호책임자 참고자료 그 외 증적 참고자료는 아래 페이지에서 다운받을 수 있다. https://dailylearn.tistory.com/131?category=1057354 [ISMS/ISMS-P] 1.1.1 경영진의 참여 관리체계 인증..

관리체계 인증기준 1번째 영역인 '1. 관리체계 수립 및 운영' 부터 살펴보자. 이번 영역에서는 총 16개의 세부 인증기준을 다루게 된다. 우리는 그 중에서 '1.1. 관리체계 기반 마련' 분야에서 '1.1.1 경영진의 참여' 항목을 확인해보자. 위와 같은 인증기준과 확인사항을 확인해보면 이번 항목에서는 경영진이 적극적으로 기업의 정보보호 및 개인정보보호 활동에 참여가 이루어지고 있는지 확인하고, 그에 맞는 절차가 수립 및 이행되고 있는지 확인하게 된다. 해당 '1.1.1 경영진의 참여'의 활동을 증빙하기 위한 증적자료 예시는 다음과 같다. 다음은 참고할 수 있는 증적자료 예시이다. 해당 자료들을 이용하여 인증심사 자료 준비에 도움이 됬으면 한다. 정보보호 및 개인정보보호 정책 및 지침 개인정보 내부관리..

정보보호 및 개인정보보호 관리체계 인증 소개 정보보호 및 개인정보보호 관리체계 인증기준은 크게 3개의 영역에서 총 102개의 인증기준으로 구성되어 있다. 관리체계 수립 및 운영(16개) 보호대책 요구사항(64개) 개인정보 처리 단계별 요구사항(22개) 정보보호 관리체계(ISMS) 인증을 받고자 하는 신청기관은 '1. 관리체계 수립 및 운영(16개)', '2. 보호대책 요구사항(64개)' 2개 영역에서 80개의 인증기준을 적용받게 되며 정보보호 및 관리체계(ISMS-P) 인증을 받고자 하는 신청기관은 '3. 개인정보 처리 단계별 요구사항(22개)'를 포함하여 102개의 인증기준을 적용받게 된다. 정보보호 및 개인정보보호 관리체계 인증기준 구성은 다음과 같다. 1. 관리체계 수립 및 운영 '관리체계 수립 및..

SMB 취약점(MS17-010)은 MS SMB 프로토콜의 메모리 파괴 취약점으로, 인증을 거치지 않은 공격자가 원격에서 해당 취약점을 악용하여 웜(worm)과 같은 공격 효과를 가져올 수 있는 취약점이다. 해당 취약점은 OS가 SMB 3.1.1 프로토콜의 압축패킷을 처리하는 과정에서 오류가 발생하여 야기되는 취약점으로, 공격자는 조작된 패킷을 악용하여 원격에서 인증을 거치지 않은 상태로 원격코드 실행이 가능하다. 또한 직접 SMB 서버를 직접 공격하여 RCE 취약점을 악용할 수 있을 뿐만 아니라, SMB 클라이언트를 공격하여 공격자가 특정한 웹페이지, 압축파일, 공유파일, office 문서 등을 조작하는 방식으로 취약점을 트리거 할 수 있다. 여기서, SMB(Server Message Block)가 어떠..

WebGoat란 OWASP에서 제공되는 웹 보안 취약성을 내포한 웹 어플리케이션이다. XSS, Injection, Backdoor 등 각 웹 보안 취약성을 이해하고 공격 방법을 이해할 수 있도록 만들어져 있으며, 각 단계별로 풀어나가면서 웹 취약성에 대해 이해하고 대응할 수 있도록 도움을 준다. 설치순서 1. CentOS 시스템 업데이트 $ sudo yum install epel-release $ sudo yum update -y && sudo reboot 2. WebGoat 다운 wget https://github.com/WebGoat/WebGoat/releases/download/7.1/webgoat-container-7.1-exec.jar Build software better, together G..

OWASP 란 무엇인가? OWASP(The Open Web Application Security Project)는 오픈소스 웹 애플리케이션 보안 프로젝트입니다. 주로 웹에 관한 정보노출, 악성 파일 및 스크립트, 보안 취약점 등을 연구하며, 10대 웹 애플리케이션의 취약점 (OWASP TOP 10)을 발표했습니다. OWASP TOP 10은 웹 애플리케이션 취약점 중에서 빈도가 많이 발생하고, 보안상 영향을 크게 줄 수 있는 것들 10가지를 선정하여 2004년, 2007년, 2010년, 2013년, 2017년을 기준으로 발표되었고, 문서가 공개되었습니다. 아래 첨부파일은 2017년 기준 발표된 OWASP Top10 문서입니다. OWASP Top 10 List 다음 글에서는 각 리스트별 내용에 대해서 세부적..