누텔라

[키워드]

실무조직, 위원회, 실무협의체

[인증기준]

최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다.

[주요 확인사항]

정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위하여 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가?

조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가?

전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?

[세부설명]

조직의 규모, 업무 중요도 등의 특성을 고려하여 정보보호 및 개인정보보호 관리체계를 구축하고 지속적으로 운영하기 위하여 필요한 조직 구성의 근거를 정보보호 및 개인정보보호 정책서 등에 명시하고, 전문성을 갖춘 실무조직을 구성하여 운영하여야 한다.

• 정보보호 최고책임자, 개인정보 보호책임자, 개인정보보호 실무조직, 위원회 등 정보보호 및 개인정보보호 조직의 구성·운영에 대한 사항을 정책서, 내부 관리계획 등에 명시
• 실무조직의 구성형태 및 규모는 전사 조직의 규모, 업무, 서비스의 특성, 처리하는 정보 및 개인정보의 중요도, 민감도, 법 규제 등 고려
• 실무조직은 전담조직 또는 겸임조직으로 구성할 수 있으나, 겸임조직으로 구성하더라도 실질적인 역할 수행이 가능하도록 역할 및 책임이 공식적으로 부여되어야 함
• 실무조직의 구성원은 정보보호 및 개인정보보호 전문성과 다양한 서비스에 대한 이해도와 경험이 많은 직원으로 구성(관련 학위 및 자격증 보유, 실무 경험 보유, 관련 교육 이수 등)

실무조직을 구성할 때 "공식적으로 부여" 라는 내용은 인사발령을 통한 지정을 의미한다. 여기서 전문성이라는 키워드가 있긴 하지만, 뒤에 나오는 1.1.6 자원 할당 인증기준이 전문성이라는 키워드와 좀 더 매치된다.

전문성 이라는 말이 인증기준 안내서의 여러 부분에서 나오는데, 그 의미는 학위 및 자격증, 실무 경험, 관련 교육 이수로 생각하면 된다.

조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하여야 한다.

• 위원회는 정보보호 및 개인정보보호 관련하여 조직 내 이해관계를 대변하고 의사결정을 할 수 있도록 경영진, 임원, 정보보호 최고책임자, 개인정보 보호책임자 등 실질적인 검토 및 의사결정 권한이 있는 임직원으로 구성
• 정기 또는 사안에 따라 수시로 위원회 개최
• 위원회는 조직 전반에 걸친 주요 사안에 대한 검토, 승인 및 의사결정 수행

※ 위원회에서 검토 및 의사결정이 필요한 주요 사안(예시)
· 정보보호 및 개인정보보호 정책·지침의 제·개정
· 위험평가 결과
· 정보보호 및 개인정보보호 예산 및 자원 할당
· 내부 보안사고 및 주요 위반사항에 대한 조치
· 내부감사 결과 등

(개인)정보보호와 관련된 중요한 사항은 위원회에서 의사결정이 되어야 한다. 형식 뿐인 위원회가 되지 않기 위해서는 실질적인 의사결정 권한이 있는 경영진 등이 포함되어야 한다. 

전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하여야 한다.

• 조직의 규모 및 관리체계 범위 내 서비스의 중요도에 따라 실무 협의체 구성원, 조직체계 등을 결정
• 실무 협의체에서는 정보보호 및 개인정보보호 관련 사항에 대하여 실무 차원에서 공유·조정·검토· 개선하고, 의사결정 및 경영진 지원이 필요한 경우에는 위원회에 상정하여 논의

실무 협의체는 서로 다른 조직 간 협의를 위한 것이지, 최종적인 의사결정이 이루어지지는 않는다. 의사결정이 필요한 사항은 위원회에서 결정할 수 있도록 안건을 상정한다.

[증거자료]

• 정보보호 및 개인정보보호 위원회 규정·회의록
• 정보보호 및 개인정보보호 실무 협의체 규정·회의록
• 정보보호 및 개인정보보호 조직도
• 내부 관리계획
• 직무기술서

[결함사례]

사례 1 : 정보보호 및 개인정보보호 위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무 부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정할 수 없는 경우

>> 실질적인 조직이 운영되지 않는 경우

사례 2 : 내부 지침에 따라 중요 정보처리 부서 및 개인정보처리 부서의 장(팀장급)으로 구성된 정보보호 및 개인정보보호 실무 협의체를 구성하였으나, 장기간 운영 실적이 없는 경우

>> 유의미한 운영 실적이나 증적이 확인되지 않는 경우

사례 3 : 정보보호 및 개인정보보호 위원회를 개최하였으나, 연간 정보보호 및 개인정보보호 계획 및 교육 계획, 예산 및 인력 등 정보보호 및 개인정보보호에 관한 주요 사항이 검토 및 의사결정이 되지 않은 경우

>> 실질적인 조직이 운영되지 않는 경우

사례 4 : 정보보호 및 개인정보보호 관련 심의·의결을 위해 정보보호위원회를 구성하여 운영하고 있으나, 운영 및 IT보안 관련 조직만 참여하고 개인정보보호 관련 조직은 참여하지 않고 있어 개인정보보호에 관한 사항을 결정할 수 없는 경우

>> 실질적인 조직이 운영되지 않는 경우

정보보호 체계 운영을 위해서는 뒷받침할 수 있는 조직이 구성되어야 한다. 형식적으로 조직을 운영하거나, 조직이 정상적으로 기능하지 않는다면 본 인증기준에 의해 결함이 될 수 있다. (조직 구성에 문제가 있는 정도라면 인증심사를 받지도 않을거고, 사전심사 단계에서 심사가 중단될 가능성이 높다)

반대로 말하자면, 조직이 적절한 인원으로 구성되고 운영된다면 정보보호 체계 운영을 할 수 있는 아주 기초적인 인적 기반은 되어 있다고 보는 것이다.

[키워드]

공식 지정, 자격 요건, 겸직 제한

[인증기준]

최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산·인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다.

최고 경영자가 모든 (개인)정보보호 업무를 챙길 수 없기 때문에, 그 업무를 대리할 CISO와 CPO를 지정해야 한다. 아무나 지정할 수는 없고 조건에 부합하는 자 중에서 실질적으로 예산이나 인력을 할당할 수 있어야 한다. 상위 임원에게 허가를 받아야 하는 등 자원을 할당하는 것에 대해 결정을 하지 못한다면 실질적으로 CISO나 CPO의 업무를 수행한다고 보지 못할 수도 있다.(실제로는 그런 경우가 많이 있지만 그런 것까지 트집잡지는 못한다..)

여기서 "임원급" 이라는 말은 실제 임원만을 말하는 것은 아니며, 독립적으로 권한과 책임을 가지는 사람을 의미한다.

[주요 확인사항]

최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?

정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며, 관련 법령에 따른 자격요건을 충족하고 있는가?

[세부설명]

최고경영자는 조직 내에서 정보보호 및 개인정보보호 관리 활동을 효과적으로 추진하기 위하여 이를 총괄하여 책임질 수 있는 정보보호 최고책임자 및 개인정보 보호책임자를 인사발령 등의 절차를 통하여 공식적으로 지정하여야 한다.

• 정보보호 최고책임자 및 개인정보 보호책임자는 인사발령 등을 통하여 공식으로 임명하여야 하며, 당연직의 경우 정보보호 및 개인정보보호 정책서에 그 직위를 명시하여야 함

공식적으로 임명한다는 것은 인사발령을 통하는 것을 말한다. 인사발령 없이 메일이나 구두로 임명하는 것은 해당 조건을 충족하지 못한다.

정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 관련 법령에 따른 자격요건을 충족하여야 한다(※ 정보통신망법 시행령 제36조의7 참고).

• 정보보호 최고책임자 및 개인정보 보호책임자는 조직의 정보보호 및 개인정보보호 업무를 실질적으로 총괄할 수 있도록 정보보호 및 개인정보보호 관련 지식 및 소양이 있는 자로서 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정
• 정보보호 최고책임자 지정에 대한 법적 요건 준수 필요(※ 정보통신망법 제45조의3 참고)
• 정보보호 최고책임자는 다음 업무 수행

1. 정보보호 최고책임자는 다음 각 목의 업무를 총괄한다.

가. 정보보호 계획의 수립·시행 및 개선
나. 정보보호 실태와 관행의 정기적인 감사 및 개선
다. 정보보호 위험의 식별 평가 및 정보보호 대책 마련
라. 정보보호 교육과 모의 훈련 계획의 수립 및 시행

2. 정보보호 최고책임자는 다음 각 목의 업무를 겸할 수 있다.

가. ｢정보보호산업의 진흥에 관한 법률｣ 제13조에 따른 정보보호 공시에 관한 업무
나. ｢정보통신기반 보호법｣ 제5조제5항에 따른 정보보호 책임자의 업무
다. ｢전자금융거래법｣ 제21조의2제4항에 따른 정보보호 최고책임자의 업무
라. ｢개인정보 보호법｣ 제31조제2항에 따른 개인정보 보호책임자의 업무
마. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행

• 정보보호 최고책임자 지정요건(※ 정보통신망법 시행령 제36조의7 제1항)

- 신고 의무 발생 시 180일 이내 신고해야 함(온라인: 과기정통부, 오프라인: 관할 전파관리소)

- 신고하지 않은 경우에는 사업주 또는 대표자를 정보보호 최고책임자로 간주함

• 정보보호 최고책임자 자격요건(※ 정보통신망법 시행령 제36조의7 제3항)

- 아래의 조건 중 학력 조건(No.1~4)은 정보보호 또는 정보기술 분야의 국내 또는 외국에서 취득한 학위를 의미함

• 정보보호 최고책임자 특별 자격요건 (※ 정보통신망법 시행령 제36조의7 제3항)

- 겸직제한 요건을 준수해야 하는 회사에서는 일반 자격요건과 더불어서 아래의 요건을 추가로 만족하는 만족해야 함

- 겸직제한 요건을 준수해야 하는 회사에서는 상근하는 이사를 정보보호 최고책임자를 임명해야 함

정보보호 최고책임자와 관련된 내용은 좀 복잡하다.

- 지정/신고 의무: 보통의 기업은 지정 및 신고해야 하지만, 규모가 작은 기업은 의무 면제

- 자격 요건: 자격 요건을 만족하는 자를 지정 및 신고해야 함

- 특별 요건: 겸직 제한 요건을 준수해야 하는 기업은 자격 요건 + 특별 요건을 만족하는 상근 임원을 지정 및 신고해야 함

하나의 표로 정리해보자면 아래와 같다.

• 개인정보 보호책임자 지정에 대한 법적 요건 준수 필요(※ 개인정보 보호법 시행령 제32조 등 참고)

- 개인정보처리자는 개인정보 보호책임자를 지정해야 함(상시 근로자수 5인 미만 기업 제외)

- 지정하지 않은 경우에는 사업주 또는 대표가를 개인정보 보호책임자로 간주함

개인정보 보호책임자는 다음의 업무 수행

1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오·남용 방지를 위한 내부통제시스템 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리·감독
7. 개인정보 처리방침의 수립·변경 및 시행
8. 개인정보 보호 관련 자료의 관리
9. 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기

• 개인정보 보호책임자 지정요건

• 개인정보 보호책임자 자격요건

- 아래 유형에 해당하는 모든 개인정보처리자는 개인정보 보호책임자를 지정 시 추가적으로 전문성 요건을 적용해야 함

- 전문성 요건 관련하여 학력 및 경력 인정요건이 별도로 존재함

• 개인정보 보호책임자 학력 및 경력 인정요건( ※  개인정보 보호책임자 경력 인정에 관한 고시)

개인정보 보호책임자 요건은 상대적으로 간단하다. 지정 요건에서 공공기관은 순차적으로 급수가 정해지고, 민간기업은 대표자, 임원이나 부서 장이다. 공공기관 중 학교나 교육청은 특수한 조건이 적용되니 꼭 기억해야 한다. 일부 개인정보처리자에 대해 전문성 요건 준수 의무가 부여되며, 전문성 요건이 추가로 적용되지만 학력 및 경력 인정요건도 함께 적용된다.

[증거자료]

• 정보보호 최고책임자 및 개인정보 보호책임자 임명관련 자료(인사명령, 인사카드 등)
• 정보보호 및 개인정보보호 조직도
• 정보보호 및 개인정보보호 정책·지침
• 직무기술서(정보보호 최고책임자 및 개인정보 보호책임자의 역할 및 책임에 관한 사항)
• 정보보호 최고책임자 신고 내역
• 내부 관리계획(개인정보 보호책임자 지정에 관한 사항)

[결함사례]

사례 1 : 정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우 >> 법정 의무 미 준수

사례 2 : 개인정보 보호와 관련된 실질적인 권한 및 지위를 보유하고 있지 않은 인원을 개인정보 보호 책임자로 지정하고 있어, 개인정보 처리에 관한 업무를 총괄해서 책임질 수 있다고 보기 어려운 경우 >> 실효성 부재

사례 3 : 조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나, 인사발령 등의 공식적인 지정절차를 거치지 않은 경우 >> 공식 절차 부재

사례 4 : ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만 정보보호 최고책임자가 CIO를 겸직하고 있는 경우 >> 법정 의무 미 준수(겸직 제한)

정보보호 최고책임자를 지정 및 신고하지 않으면 결함이 될 뿐 아니라 법 위반을 하게 되는 것이므로 유의해야 한다. 최고책임자에는 실질적으로 책임을 지는 자를 인사발령을 통해 지정해야 하며, 겸직의무가 있는 경우에는 관련 제한요건을 준수해야 한다.

[키워드]

책임/역할 문서화
보고 및 의사결정 체계

[인증기준]

최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다.

경영진의 관심과 참여가 있어야 (개인)정보보호 관리체계 운영에 있어서 적절한 지원을 받을 수 있다. 경영진이 관심을 가지고 있다고 하면 유관 부서에서도 협조를 할 것이고, 적절한 자원을 할당받게 된다. 아주 기본적이면서 관리체계 운영의 시작이라고 할 수 있을 정도로 중요하다.

[주요 확인사항]

정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?

경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립·이행하고 있는가?

[세부 설명]

정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 의사결정권이 있는 경영진의 참여가 이루어질 수 있도록 보고, 의사결정 등의 책임과 역할을 문서화하여야 한다.

• 정보보호 및 개인정보보호 정책의 제·개정, 위험관리, 내부감사 등 관리체계 운영의 중요 사안에 대하여 경영진이 참여할 수 있도록 활동의 근거를 정보보호 및 개인정보보호 정책 또는 시행문서에 명시

정책이나 시행문서에 경영진이 참여해야 한다는 내용을 정책서 또는 시행문서에 명시해야 한다. 그 내용이 경영진이 참여해야 한다는 근거가 되며, 그 내용이 없다면 경영진이 정보보호 체계에 관심을 가지지 않는 것이 되므로 ISMS 심사에서 중결함을 받고 심사가 즉시 중단이 될 수 있다.(어쩌면 심사를 시작하지 못할 수도 있다..)

경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립·이행하여야 한다.

• 정보보호 및 개인정보보호 관리체계 내 경영진이 참여하는 중요한 활동을 정의하고, 그에 따른 보고체계 마련(정기·비정기 보고, 위원회 참여 등)
• 경영진이 효과적으로 관리체계 수립·운영에 참여할 수 있도록 조직의 규모 및 특성에 맞게 보고 및 의사결정 절차, 대상, 주기 등 결정
• 수립된 내부절차에 따라 정보보호 및 개인정보보호 관리체계 내 주요 사항에 대하여 경영진이 보고를 받고 의사결정에 참여

1. 정보보호 정책서를 제/개정할 때 경영진의 결재를 받도록 한다면, 적어도 관련 보고가 이루어졌고 승인을 했다는 것이 증명된다. 

2. 경영진이 어느 활동에 참여해야 하는지를 정의해야 한다. 예를 들면 "경영진 중 누가 연 1회 이상 정보보호 위원회에 참석하여 관련 보고를 받고 의사 결정을 한다" 라는 식이다.

3. 경영진이 위원회에 참석한다면 어느 직책으로 참석하는지도 중요하다. 조직도를 통해 누가 어느 직책과 책임을 가지고 있는지 명확해진다.

4. 추가적으로 활동에 대한 증적 자료가 있어야 한다. 결재 내역이나 회의록이 있다면 적절히 증명될 수 있다.

[증거자료]

• 정보보호 및 개인정보보호 보고 체계(의사소통계획 등)
• 정보보호 및 개인정보보호 위원회 회의록
• 정보보호 및 개인정보보호 정책·지침(경영진 승인내역 포함)
• 정보보호계획 및 내부 관리계획(경영진 승인내역 포함)
• 정보보호 및 개인정보보호 조직도

[결함사례]

사례 1 : 정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록 명시하였으나, 장기간 관련 보고를 수행하지 않은 경우
>> 정책대로 운영되지 않는 경우

사례 2 : 중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보호대책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동관련 보고, 승인 등 의사결정에 경영진 또는 경영진의 권한을 위임받은 자가 참여하지 않았거나 관련 증거자료가 확인되지 않은 경우
>> 정책대로 운영되지 않는 경우

매 분기별 현황 보고를 하지 않으면 결함이라는 말이 아니고, 정책에 명시된 대로 수행되지 않는 경우가 결함이라는 의미이다. 물론 보고 주기가 "2년에 1회"처럼 비현실적인 경우에는 문제가 되겠지만, 그러한 경우가 아니라면,  일단 회사가 선언한 대로 이루어진 경우 큰 문제는 없다. 정책서와 회의록/보고 자료를 대조하여 검증이 가능하다.

전 정보보안기사 자격증을 가지고 있습니다.

정보보안기사와 CISSP가 내용이 많이 겹친다는 말을 듣고 시험을 보게 됐지만, 내용의 약 30% 정도는 겹치는 것 같고 나머지는 전혀 몰랐던 내용도 많았습니다.

이번에 CISSP에 합격하고 나서 공부했던 방법이나 느낀 점을 남겨두려고 합니다.

정보보안기사는 넓고 깊은 지식을 가져야 한다면, CISSP는 아주 넓고 얕은 지식을 가져야 합격할 수 있는 시험입니다.

시험 문제도 그렇지만, 정보보안기사 실기시험은 주관식으로 상세하게 기술해야 하는 반면, CISSP는 어느 정도의 지식을 있으면 문제의 보기 4개 중 2개 정도는 쉽게 걸러낼 수 있습니다.

1. 시험의 특징

제가 느낀 CISSP 시험의 특징은 아래와 같습니다.

1) 광범위한 지식을 묻는 시험

- 시험의 범위가 너무 넓습니다. 울타리의 높이부터 시작해서 DDoS 방어 방법, BIA 진행순서까지 광범위한 범위를 다루는 시험입니다. 저만의 요약본을 만들었을 때에는 A4 기준 약 100장이 넘어갔었네요..

- 넓은 지식을 필요로 하지만 깊은 지식을 필요로 하지는 않습니다. 그렇기 때문에 넓은 시야에서 전반적인 흐름을 알고 각각의 항목을 안다면 합격이 가능합니다. 시험에서 물어보는 늬앙스를 알기 쉽게 비교해보자면 다음과 같이 느꼈습니다.

• 정보보안기사(실기): "너 이거 알아? 얼마나 깊게 아는지 써봐" 
• CISSP: "너 이것도 알고 저것도 알아?"

2) 정확히 아는지 묻는 시험

- 문제를 풀다보면 보기 중 2개가 모두 답같은 경우가 많습니다. 2개가 다 매력적이어서 시험 도중 2개 다 고르고 싶은 심정을 많이 느꼈습니다. 그렇기에 정확히 알 필요가 있습니다. 깊이 알 필요는 없으나, 얕고 정확히 알아야 합니다.

- 저에게는 연습문제 풀이가 많이 도움이 됐습니다. 연습문제 중에서도 매력적인 2개의 보기를 제공하는 문제가 많았고, 2개의 보기 중 1개를 걸러낼 때에는 어떤 사고방식이나 관점을 가지는게 좋겠다는 저만의 기준을 세울 수 있었습니다.

3) 보안 담당자로서의 관점을 묻는 시험

- 정확한 답이 없어보이는 문제도 있었습니다. 담당자의 관점에서 무엇이 가장 적합할지를 묻는 유형의 문제였습니다. 이런 상황에서 어떤 선택지가 가장 좋을까? 를 묻는데, 보기 4개 전부 답이 옳은 선택지였지만 그 중의 우선순위를 묻는 것입니다. 그런 문제는 정말 헷갈렸던 케이스입니다. 공부를 할 때부터 담당자의 관점으로 생각하려는 노력이 필요합니다. 제가 느낀 바로는, CISSP official study guide(원서)에는 어떤 상황에서 어떤 내용이 가장 중요한지가 많이 명시되어 있었습니다.

2. 시험 준비

인강도 있는 것으로 알고 있는데, 전 정보보안기사를 취득하면서 공부한 지식을 기반으로 했기 때문에 인강을 듣지는 않았습니다. 만약 사전지식이 충분하지 않다면 인강을 듣는 것도 좋은 선택지일 것 같습니다.

약 50일 정도 공부를 진행했는데 마지막 20일 정도는 퇴근하거나 출퇴근 중에도 매일 공부했고, 특히 주말에는 아침부터 밤까지 공부했습니다.

전 다음의 자료를 가지고 공부했습니다.

1) 2021 최적합 CISSP 교재

- 가장 먼저 최적합 교재를 통해 어느 정도의 기반 지식을 쌓기 위해 구입했습니다.

- 나중에 공부를 마치고 나서 생각해보면 다루는 내용이 개괄적이라서 빠져있는 부분도 다수 존재했습니다. 그러나 책의 가격과 두께를 보면 그 가치는 충분하다고 생각합니다.

- 전반적인 내용과 흐름을 알기에는 좋은 책입니다.

2) 인강 교재

- 워낙 인강이 좋다는 말을 많이 들어서 국내 교육기관의 인강 교재를 별도로 구입해서 봤습니다. 다룰만한 내용은 교재에 거의 다 포함되어 있던 것 같습니다.

- 다만 사전지식이 충분하지 않은 분들이 교재만 본다면 내용을 충분히 습득하기는 힘들 것 같습니다.

- 인강 교재에서는 어떤 부분이 중요한지, 헷갈리는지를 짚어주는 내용이 있어 도움이 됐습니다.

- 지금와서 생각해보면 필수적으로 구입하지는 않아도 될 것으로 생각됩니다.

3) CISSP 시험 교재(원서)

- CISSP Official Study Guide와 CISSP Official Practice Tests를 구입해서 봤습니다. 책이 워낙 두꺼워서 상당한 압박이 느껴질 정도입니다.

- 원서로 되어 있어서 영어 독해가 익숙하지 않으신 분들은 원활히 보기 힘들 수 있습니다. 사실 이 책에 있어서는 언어의 장벽이 가장 큰 문제라고 볼 수 있겠네요. 다만 보고 이해할 수만 있다면, 필요한 내용은 다 들어있는 최고의 교재라고 생각합니다. 책에서 사용하는 단어가 시험에서 나오는 단어와는 약간 다르기는 하지만, 충분히 유추할 수 있을 정도의 차이입니다.

- study guide는 너무 많은 내용이 있어서 꼭 요약본을 만들어보는 것이 필요합니다. 사실 제 공부과정의 대부분은 해당 교재의 요약본을 만들고 복습하는 것이었습니다. 한번 만들어서 노트 앱에 저장해두고 나니 복습하기가 정말 편했습니다.

- practice test는 약 1000개 이상의 많은 문제를 담고 있는데 CISSP 시험과 어느 정도 비슷한 문제들이 대부분입니다. 문제를 풀면서 시험을 어떻게 응해야할지 마인드셋도 형성됐고, 많은 도움이 됐습니다. 해당 문제풀이는 반드시 필요한 과정으로 생각됩니다.

3. 시험 당일

- 시험 문제를 나중에 다시 풀수 있다던가 하는 말들을 인터넷에서 봤으나, 시험 문제를 넘기는 기능은 없었습니다. 한번 화면에 출력된 시험 문제는 답을 체크하고 넘겨야 하기 때문에, 반드시 문제를 풀겠다는 생각으로 시험을 쳐야 합니다.

- 아침에 시험장에는 생각보다 사람이 많습니다. 그러나 일찍 도착하면 일찍 시험에 응할 수 있습니다. (7시 40분에 도착해도 시험 응시 가능한듯)

- 시간적으로 여유를 가지고 풀어도 될 것 같습니다. 한 문제에 5분을 할애한 경우도 있었으나 결과적으로는 70분을 남기고 시험을 끝냈네요.

- 그러나 6시간 시험은 생각보다 힘듭니다. 미리 마음을 굳게 먹고 시험을 보는게 중요합니다. 전 200번째 문제 이후에는 집중력이 좀 흐트러진 상태로 시험을 쳤던 것 같습니다.

열심히 공부하셔서 합격하시면 좋겠습니다 ㅎㅎ

5시간에 걸친 CISSP 시험 이후 합격했다. 다시 보라고 하면 너무 힘들 것 같다.

어쨌든 시험 합격 이후 2시간 만에 합격 메일을 받았다.

시험 합격 후 발송된 메일 중간에 있는 링크를 누르면 ISC2 endorsement home에 접속된다.

로그인하면 아래와 같은 페이지가 나온다.

Endorsement 과정은 아래와 같은 순서로 진행되는 것으로 보인다

1. Get Started - Click New Endorsement Application.
2. Certification Type - Select the certification that you are requesting for endorsement.
3. Membership Type - Choose your ISC2 membership type based on experience.
4. Request Endorsement - Make sure to have your endorser's ISC2 Member Number.
5. Experience Waiver - If applicable, request an Experience Waiver.
6. Job History - Detail your experience.
7. Review Application - Review all information before submitting the Endorsement Application.

상단의 초록색 버튼을 클릭한다.

CISSP를 선택한다.

멤버 유형을 선택한다. 난 바로 member를 선택했다.

비용이나 CPE 부담으로 인해 associate를 선택하기도 하는 것 같다.

경력 인정항목을 선택한다. 4년제 학사를 증명함으로써 1년의 경력을 인정받을 수 있다.

다음은 경력증명이다. 경력별로 아래의 항목을 적고 증명서를 업로드 해야한다.

내 경력을 봤을 때 도메인 3개 정도가 포함되는 것으로 보여, 각 업무가 도메인 내 어떤 내용에 매치되는지를 기입했다.

다음은 리뷰이다. 내가 입력한 정보들이 정리되어 출력되어 있다.

맨 아래쪽에서는 범죄경력 등을 묻는다. 대부분은 no일 것이기 때문에, no로 체크해주면 된다.

요청을 완료하고 나면 아래와 같은 항목이 추가된다.

zabbix

- 오픈소스 기반의 모니터링 어플리케이션

- 리눅스, 윈도우 등의 다양한 서버에 대한 모니터링 지원

- 공식 메뉴얼 웹사이트: https://www.zabbix.com/manuals

zabbix server 설치 후, 모니터링 대상 서버에서 zabbix agent를 설치해 연동을 시켜야 모니터링이 가능해진다.

1. zabbix repository를 설정한다.

rpm -Uvh https://repo.zabbix.com/zabbix/5.0/rhel/7/x86_64/zabbix-agent-5.0.0-1.el7.x86_64.rpm

2. zabbix agent를 설치한다. 제대로 설치되지 않는다면 yum -y update 명령어 실행을 통한 업데이트가 필요할 수 있다.

yum -y install zabbix-agent

3. zabbix agent 설정 파일에 서버 정보를 입력한다.

보통의 경우에는 설정 파일이 /etc/zabbix/zabbix_agentd.conf 경로에 있다.

설정 파일 내에 아래와 같이 Server와 ServerActive 값에 zabbix server의 IP를 입력한다,

### Option: Server
#       List of comma delimited IP addresses, optionally in CIDR notation, or DNS names of Zabbix servers and Zabbix proxies.
#       Incoming connections will be accepted only from the hosts listed here.
#       If IPv6 support is enabled then '127.0.0.1', '::127.0.0.1', '::ffff:127.0.0.1' are treated equally
#       and '::/0' will allow any IPv4 or IPv6 address.
#       '0.0.0.0/0' can be used to allow any IPv4 address.
#       Example: Server=127.0.0.1,192.168.1.0/24,::1,2001:db8::/32,zabbix.example.com
#
# Mandatory: yes, if StartAgents is not explicitly set to 0
# Default:
# Server=

Server=192.168.0.109

......

##### Active checks related

### Option: ServerActive
#       List of comma delimited IP:port (or DNS name:port) pairs of Zabbix servers and Zabbix proxies for active checks.
#       If port is not specified, default port is used.
#       IPv6 addresses must be enclosed in square brackets if port for that host is specified.
#       If port is not specified, square brackets for IPv6 addresses are optional.
#       If this parameter is not specified, active checks are disabled.
#       Example: ServerActive=127.0.0.1:20051,zabbix.domain,[::1]:30051,::1,[12fc::1]
#
# Mandatory: no
# Default:
# ServerActive=

ServerActive=192.168.0.109

4. zabbix-agent 데몬을 재시작 및 부팅 시 시작되도록 등록한다.

systemctl start zabbix-agent
systemctl enable zabbix-agent

5. zabbix server의 웹UI에서 왼쪽의 settings - hosts 화면에 진입한 후 우상단의 Create host 버튼을 클릭한다.

방금 설치한 agent의 정보를 입력한다. host 이름과 그룹, IP정보는 필수 입력 항목이다. 이때 그룹은 용이한 관리를 위해 내가 원하는 그룹에 포함시키면 된다.

이 때 주의할 점은 모니터링할 탬플릿을 반드시 설정해줘야 한다는 점이다. 탬플릿을 설정해주지 않으면, 통신 상 문제가 없더라도 zabbix agent가 활성화되지 않는다.

여기서 탬플릿이란, zabbix 설치 시 기본적으로 모니터링 할 서버나 장비에 맞게 모니터링이 필요한 항목을 묶어서 탬플릿으로 등록이 되어 있다.

현재 환경은 centos이기 때문에 linux zabbix agent 탬플릿을 선택했다.

탬플릿을 설정해주면 아래와 같이 zabbix agent와의 연동이 완료된다.