정보보안 관련 법규 체계
국내 정보보안 법규는 개인정보 보호, 정보통신 보안, 사이버 위협 대응을 아우르는 체계를 갖추고 있습니다. 정보보안기사 시험에서는 주요 법률의 핵심 조항, 위반 시 제재, ISMS-P 인증 절차가 핵심 출제 범위입니다.
개인정보 보호법 핵심
- 개인정보 처리 원칙(7대 원칙): 목적 명확성, 최소 수집, 목적 범위 내 이용, 정확성 보장, 안전한 관리, 공개 원칙, 권리 보장
- 동의 요건: 만 14세 미만 아동은 법정 대리인 동의 필요
- 개인정보 침해 신고: 침해 사실 인지 72시간 이내 개인정보보호위원회 신고 (GDPR과 동일)
- 가명정보: 추가 정보 없이는 식별 불가한 정보. 통계작성·연구·공익적 기록보존 목적 동의 없이 활용 가능
정보통신망 이용촉진 및 정보보호에 관한 법률
- 정보보호 조치 의무: 정보통신서비스 제공자는 기술적·관리적·물리적 보호 조치 의무
- 침해사고 신고: 침해사고 발생 시 한국인터넷진흥원(KISA) 또는 과학기술정보통신부 장관에게 신고
- 정보보호 최고책임자(CISO): 일정 규모 이상 정보통신서비스 제공자는 CISO 지정 의무
ISMS-P 인증
ISMS-P(정보보호 및 개인정보보호 관리체계 인증)는 정보보호 관리체계(ISMS)와 개인정보보호 관리체계(PIMS)를 통합한 국내 인증 제도입니다.
- 의무 대상: 정보통신망 서비스 제공자(매출 100억 이상 또는 이용자 100만 이상), 집적정보통신시설 운영자, ISP
- 인증 기준: 관리체계 수립·운영(16개) + 보호 대책(64개) + 개인정보 처리 단계별 요구사항(22개) = 총 102개 항목
- 유효 기간: 3년 (매년 사후 심사)
- 인증 기관: KISA(한국인터넷진흥원), 정보통신진흥협회(KAIT)
주요 국제 표준 및 프레임워크
- ISO/IEC 27001: 정보보호 관리체계 국제 표준. PDCA(Plan-Do-Check-Act) 사이클
- GDPR(General Data Protection Regulation): EU 개인정보보호 규정. 역외 적용. 위반 시 전 세계 매출 4% 또는 2천만 유로 중 높은 금액
- NIST CSF(Cybersecurity Framework): 5개 핵심 기능(Identify-Protect-Detect-Respond-Recover)
- PCI DSS: 카드 결제 정보 보호 표준. 12개 요구사항
정보보안기사 기출 핵심 정리
- 개인정보 7대 원칙: 목적 명확성·최소 수집·목적 범위 내 이용 등
- ISMS-P 의무 대상: 매출 100억 이상 또는 이용자 100만 이상
- ISMS-P 인증 기간: 3년, 매년 사후 심사
- GDPR 위반 제재: 전 세계 매출 4% 또는 2천만 유로
- NIST CSF 5기능: Identify-Protect-Detect-Respond-Recover