ISMS-P × ITGC 매핑 매트릭스
KISA 2023.11 안내서 기준 101개 인증기준 양방향 인덱스. ISMS 번호 ↔ ITGC 영역 1:1 또는 1:다 매핑.
인증기준 명칭은 작성자 기억 기반. KISA 안내서 원문과 정확히 일치하지 않을 수 있음. 페이지 작성 시 정확한 표기로 점진 보정. 페이지는 점진 작성.
→표기는 작성 완료,(작성 예정)표기는 미작성.
1장 관리체계 수립 및 운영 (16)
| 번호 | 제목 | 분류 | ITGC 영역 | 부영역 | 페이지 |
|---|---|---|---|---|---|
| 1.1.1 | 경영진의 참여 | 간접 | ELC | governance | (작성 예정) |
| 1.1.2 | 최고책임자의 지정 | 간접 | ELC | governance | (작성 예정) |
| 1.1.3 | 조직 구성 | 간접 | ELC | governance | (작성 예정) |
| 1.1.4 | 범위 설정 | 간접 | ELC | governance | (작성 예정) |
| 1.1.5 | 정책 수립 | 간접 | ELC | governance | (작성 예정) |
| 1.1.6 | 자원 할당 | 간접 | ELC | governance | (작성 예정) |
| 1.2.1 | 정보자산 식별 | 간접 | ELC | governance | (작성 예정) |
| 1.2.2 | 현황 및 흐름분석 | 간접 | ELC | governance | (작성 예정) |
| 1.2.3 | 위험 평가 | 간접 | ELC | governance | (작성 예정) |
| 1.2.4 | 보호대책 선정 | 간접 | ELC | governance | (작성 예정) |
| 1.3.1 | 보호대책 구현 | 간접 | ELC | governance | (작성 예정) |
| 1.3.2 | 보호대책 공유 | 간접 | ELC | governance | (작성 예정) |
| 1.3.3 | 운영현황 관리 | 간접 | ELC | governance | (작성 예정) |
| 1.4.1 | 법적 요구사항 준수 검토 | 간접 | ELC | governance | (작성 예정) |
| 1.4.2 | 관리체계 점검 | 간접 | ELC | governance | (작성 예정) |
| 1.4.3 | 관리체계 개선 | 간접 | ELC | governance | (작성 예정) |
2장 보호대책 요구사항 (64)
| 번호 | 제목 | 분류 | ITGC 영역 | 부영역 | 페이지 |
|---|---|---|---|---|---|
| 2.1.1 | 정책의 유지·관리 | 간접 | ELC | policy | (작성 예정) |
| 2.1.2 | 조직의 유지·관리 | 간접 | ELC | policy | (작성 예정) |
| 2.1.3 | 정보자산 관리 | 간접 | ELC | policy | (작성 예정) |
| 2.2.1 | 주요 직무자 지정 및 관리 | 간접 | ELC | personnel | (작성 예정) |
| 2.2.2 | 직무 분리 | 간접 | ELC | personnel | (작성 예정) |
| 2.2.3 | 보안 서약 | 간접 | ELC | personnel | (작성 예정) |
| 2.2.4 | 인식제고 및 교육훈련 | 간접 | ELC | personnel | (작성 예정) |
| 2.2.5 | 퇴직 및 직무변경 관리 | 간접 | ELC | personnel | (작성 예정) |
| 2.2.6 | 보안 위반 시 조치 | 간접 | ELC | personnel | (작성 예정) |
| 2.3.1 | 외부자 현황 관리 | 간접 | ELC | third-party | (작성 예정) |
| 2.3.2 | 외부자 계약 시 보안 | 간접 | ELC | third-party | (작성 예정) |
| 2.3.3 | 외부자 보안 이행 관리 | 간접 | ELC | third-party | (작성 예정) |
| 2.3.4 | 외부자 계약 변경 및 만료 시 보안 | 간접 | ELC | third-party | (작성 예정) |
| 2.4.1 | 보호구역 지정 | 직접 | CO | physical | (작성 예정) |
| 2.4.2 | 출입통제 | 직접 | CO | physical | (작성 예정) |
| 2.4.3 | 정보시스템 보호 | 직접 | CO | physical | (작성 예정) |
| 2.4.4 | 보호설비 운영 | 직접 | CO | physical | (작성 예정) |
| 2.4.5 | 보호구역 내 작업 | 직접 | CO | physical | (작성 예정) |
| 2.4.6 | 반출입 기기 통제 | 직접 | CO+APD | physical | (작성 예정) |
| 2.4.7 | 업무환경 보안 | 간접 | ELC | policy | (작성 예정) |
| 2.5.1 | 사용자 계정 관리 | 직접 | APD | — | → |
| 2.5.2 | 사용자 식별 | 직접 | APD | — | → |
| 2.5.3 | 사용자 인증 | 직접 | APD | — | → |
| 2.5.4 | 비밀번호 관리 | 직접 | APD | — | → |
| 2.5.5 | 특수 계정 및 권한 관리 | 직접 | APD | — | → |
| 2.5.6 | 접근권한 검토 | 직접 | APD | — | → |
| 2.6.1 | 네트워크 접근 | 직접 | APD | — | → |
| 2.6.2 | 정보시스템 접근 | 직접 | APD | — | (작성 예정) |
| 2.6.3 | 응용프로그램 접근 | 직접 | APD | — | (작성 예정) |
| 2.6.4 | 데이터베이스 접근 | 직접 | APD | — | (작성 예정) |
| 2.6.5 | 무선 네트워크 접근 | 직접 | APD | — | (작성 예정) |
| 2.6.6 | 원격 접근 통제 | 직접 | APD | — | (작성 예정) |
| 2.6.7 | 인터넷 접속 통제 | 직접 | APD | — | (작성 예정) |
| 2.7.1 | 암호정책 적용 | 간접 | ELC | crypto-policy | (작성 예정) |
| 2.7.2 | 암호 키 관리 | 직접 | APD | — | (작성 예정) |
| 2.8.1 | 보안 요구사항 정의 | 직접 | PD | — | (작성 예정) |
| 2.8.2 | 보안 요구사항 검토 및 시험 | 직접 | PD | — | (작성 예정) |
| 2.8.3 | 시험과 운영 환경 분리 | 직접 | PD | — | (작성 예정) |
| 2.8.4 | 시험 데이터 보안 | 직접 | PD | — | (작성 예정) |
| 2.8.5 | 소스 프로그램 관리 | 직접 | PD | — | (작성 예정) |
| 2.8.6 | 운영환경 이관 | 직접 | PC+PD | — | (작성 예정) |
| 2.9.1 | 변경관리 | 직접 | PC | — | (작성 예정) |
| 2.9.2 | 성능 및 장애관리 | 직접 | CO | operations | (작성 예정) |
| 2.9.3 | 백업 및 복구관리 | 직접 | CO | operations | (작성 예정) |
| 2.9.4 | 로그 및 접속기록 관리 | 직접 | CO | operations | (작성 예정) |
| 2.9.5 | 로그 및 접속기록 점검 | 직접 | CO | operations | (작성 예정) |
| 2.9.6 | 시간 동기화 | 직접 | CO | operations | (작성 예정) |
| 2.9.7 | 정보자산의 재사용 및 폐기 | 직접 | CO | operations | (작성 예정) |
| 2.10.1 | 보안시스템 운영 | 직접 | CO | security | (작성 예정) |
| 2.10.2 | 클라우드 보안 | 직접 | CO | security | (작성 예정) |
| 2.10.3 | 공개서버 보안 | 직접 | CO | security | (작성 예정) |
| 2.10.4 | 전자거래 및 핀테크 보안 | 직접 | CO | security | (작성 예정) |
| 2.10.5 | 정보전송 보안 | 직접 | CO | security | (작성 예정) |
| 2.10.6 | 업무용 단말기기 보안 | 직접 | CO | security | (작성 예정) |
| 2.10.7 | 보조저장매체 관리 | 직접 | CO | security | (작성 예정) |
| 2.10.8 | 패치관리 | 직접 | CO | security | (작성 예정) |
| 2.10.9 | 악성코드 통제 | 직접 | CO | security | (작성 예정) |
| 2.11.1 | 사고 예방 및 대응체계 구축 | 직접 | CO | incident | (작성 예정) |
| 2.11.2 | 취약점 점검 및 조치 | 직접 | CO | incident | (작성 예정) |
| 2.11.3 | 이상행위 분석 및 모니터링 | 직접 | CO | incident | (작성 예정) |
| 2.11.4 | 사고 대응 훈련 및 개선 | 직접 | CO | incident | (작성 예정) |
| 2.11.5 | 사고 대응 및 복구 | 직접 | CO | incident | (작성 예정) |
| 2.12.1 | 재해·재난 대비 안전조치 | 직접 | CO | dr | (작성 예정) |
| 2.12.2 | 재해 복구 시험 및 개선 | 직접 | CO | dr | (작성 예정) |
3장 개인정보 처리 단계별 요구사항 (21)
| 번호 | 제목 | 분류 | ITGC 영역 | 부영역 | 페이지 |
|---|---|---|---|---|---|
| 3.1.1 | 개인정보 수집·이용 | 기타 | (참고) | 3.1-collection | (작성 예정) |
| 3.1.2 | 개인정보의 수집 제한 | 기타 | (참고) | 3.1-collection | (작성 예정) |
| 3.1.3 | 주민등록번호 처리 제한 | 기타 | (참고) | 3.1-collection | (작성 예정) |
| 3.1.4 | 민감정보 및 고유식별정보의 처리 제한 | 기타 | (참고) | 3.1-collection | (작성 예정) |
| 3.1.5 | 개인정보 간접수집 | 기타 | (참고) | 3.1-collection | (작성 예정) |
| 3.1.6 | 영상정보처리기기 설치·운영 | 기타 | (참고) | 3.1-collection | (작성 예정) |
| 3.1.7 | 마케팅 목적의 개인정보 수집·이용 | 기타 | (참고) | 3.1-collection | (작성 예정) |
| 3.2.1 | 개인정보 현황관리 | 기타 | (참고) | 3.2-use | (작성 예정) |
| 3.2.2 | 개인정보 품질보장 | 기타 | (참고) | 3.2-use | (작성 예정) |
| 3.2.3 | 개인정보 표시제한 및 이용 시 보호조치 | 기타 | (참고) | 3.2-use | (작성 예정) |
| 3.2.4 | 이용자 단말기 접근 보호 | 기타 | (참고) | 3.2-use | (작성 예정) |
| 3.2.5 | 개인정보 목적 외 이용 및 제공 | 기타 | (참고) | 3.2-use | (작성 예정) |
| 3.3.1 | 개인정보 제3자 제공 | 기타 | (참고) | 3.3-provision | (작성 예정) |
| 3.3.2 | 개인정보 처리 업무 위탁 | 기타 | (참고) | 3.3-provision | (작성 예정) |
| 3.3.3 | 영업의 양수 등에 따른 개인정보의 이전 | 기타 | (참고) | 3.3-provision | (작성 예정) |
| 3.3.4 | 개인정보의 국외이전 | 기타 | (참고) | 3.3-provision | (작성 예정) |
| 3.4.1 | 개인정보의 파기 | 기타 | (참고) | 3.4-deletion | (작성 예정) |
| 3.4.2 | 처리목적 달성 후 보유 시 조치 | 기타 | (참고) | 3.4-deletion | (작성 예정) |
| 3.5.1 | 개인정보처리방침 공개 | 기타 | (참고) | 3.5-rights | (작성 예정) |
| 3.5.2 | 정보주체 권리보장 | 기타 | (참고) | 3.5-rights | (작성 예정) |
| 3.5.3 | 정보주체에 대한 통지 | 기타 | (참고) | 3.5-rights | (작성 예정) |
진행 현황
- 작성 완료: 7 / 101 (2.5.1, 2.5.2, 2.5.3, 2.5.4, 2.5.5, 2.5.6, 2.6.1)
- 작성 진행: APD 영역 우선순위 (2.5.x → 2.6.x → 2.7.2)
정렬 보조 — ITGC 영역별 그룹
APD (14)
2.5.1, 2.5.2, 2.5.3, 2.5.4, 2.5.5, 2.5.6, 2.6.1, 2.6.2, 2.6.3, 2.6.4, 2.6.5, 2.6.6, 2.6.7, 2.7.2
PC (2)
2.8.6, 2.9.1
CO (28)
- operations (6): 2.9.2, 2.9.3, 2.9.4, 2.9.5, 2.9.6, 2.9.7
- security (9): 2.10.1, 2.10.2, 2.10.3, 2.10.4, 2.10.5, 2.10.6, 2.10.7, 2.10.8, 2.10.9
- incident (5): 2.11.1, 2.11.2, 2.11.3, 2.11.4, 2.11.5
- dr (2): 2.12.1, 2.12.2
- physical (6): 2.4.1, 2.4.2, 2.4.3, 2.4.4, 2.4.5, 2.4.6
PD (5)
2.8.1, 2.8.2, 2.8.3, 2.8.4, 2.8.5
ELC (31)
- governance (16): 1.1.1
1.1.6, 1.2.11.2.4, 1.3.11.3.3, 1.4.11.4.3 - policy (4): 2.1.1, 2.1.2, 2.1.3, 2.4.7
- personnel (6): 2.2.1~2.2.6
- third-party (4): 2.3.1~2.3.4
- crypto-policy (1): 2.7.1
3-other / privacy-lifecycle (21)
- 3.1-collection (7): 3.1.1~3.1.7
- 3.2-use (5): 3.2.1~3.2.5
- 3.3-provision (4): 3.3.1~3.3.4
- 3.4-deletion (2): 3.4.1, 3.4.2
- 3.5-rights (3): 3.5.1, 3.5.2, 3.5.3
정렬 보조 — 분류별 그룹
- 직접 (1-direct): ~49 (APD 14 + PC 2 + CO 28 + PD 5)
- 간접 (2-indirect / ELC): 31
- 기타 (3-other): 21
- 합계: 101