ISMS-P 키워드별 정리(1/10)

● 정보보호최고책임자 (CISO) 신고 대상 업종 (내 ISMS 특5명1천 통5명 음 상1천)

1.내용선별 소프트웨어 개발및 보급사업자
2. ISMS 인증의무 대상자
3. 특수유형 온라인서비스 제공자로 상시 종업원 수가 5명이상이거나 전년도말 기준 직전 3개월 간의 일일평균 이용자 수가 1천명 이상인 자
4. 통신판매업자로서 상시 종업원수가 5명이상인
5. 음란물 및 사행성개임물 차단 프로그렘 제공
5. 상시 종업원수가 1천명 이상인 자 

 

● CISO와 CPO 업무 비교

정보보호최고책임자(CISO) 정취 침대보 암	개인정보보호책임자 (CPO) 계조 불내교파 방자파
1. 정보보호 관리체계의 수립 및 관리운영 2. 정보보호 취약점 분석.평가 및 개선 3. 침해사고 예방 및 대응 4. 사전 정보보호대책 마련 및 보호조치 설계.구현등 5. 정보보호 사전 보안성 검토 6. 중요정보의 암호화 및 보안서버 적합성 검토	1. 개인정보보호 계획의 수립 및 시행 2. 개인정보처리 실태 및 관행의 정기적인 조사 및 개선 3. 개인정보처리와 관련한 불만의 처리 및 피해 구제 4. 개인정보 유출 및 오남용 방지를 위한 내부통제시스템    구축 5. 개인정보보호 교육 계획의 수립 및 시행 6. 개인정보파일의 보호 및 관리 감톡 7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령    으로 정한 업무      - 개인정보처리방침의 수립.변경 및 시행     - 개인정보 보호 관련 자료의 관리     - 처리 목적이 달성되거나 보유기간이 지난 개인정보       의 파기

※ 직전 사업년도말 기준 자산총액이 5천억원 이상인 ISMS인증 의무대상 기업은 CISO는 다른 업무를 겸직할수 없다.
   (ISMS의무대상자가  아닌 일반기업은 5조원 이상인 경우 겸직 금지)
※ 상시종업원 5명 미만시 정보통신서비스제공자는 CPO지정안할수 있으며 이때에는 대표자가 CPO가 됨

 

● 로그기록에 대한 보관기간

	개인정보보호법	정통망법	해당 인증항목
접근권한 부여 기록	3년	5년	2.5.6 접근권한 검토
접속기록	1년 (단,5만명이상 개인정보 또는 고유식별정보,민감정보 1건이라도 처리시 2년)	1년 (단, 기간통신사업자는 2년)	2.9.4 로그및 접속기록 관리
접속기록 검토주기	1개월	1개월	2.9.5 로그및 접속기록 점검

 

● 오픈소스 SSL의 취약점

1.HeartBleed : 사용자들의 로그인정보나 암호화된 정보의 개인키와 비밀키를 탈취해 개인정보를 탈취할수 있는 취약점
 - 버퍼 오버플로우 공격으로 Heartbit 패킷의 크기를 위조해 서버의 데이터를 유출하는 공격

2.Freak SSL : SSL을 통해 강제로 취약한 RSA로 다운그레이드 시킴
 - RSA 키 길이를 강제로 512바이트로 변경시키는 공격

3. Poodle : TLS연결설정과정에서 하위버전인 SSL 3.0 으로 연결수립을 유도한 뒤 패딩 오라클 공격
 - 임의 데이터를 패딩으로 이용해 암호화 통신의 일부를 복호화 가능한 공격

4. DROWN : Decryption RSA with Obsolete and Weakended Encryption
 - 암호화된 세션키를 탈취하는 공격

5. BEAST  : Browser Exploit Against SSL/TLS

  - CBC 의 약점을 이용, 암호화 통신에서 평문을 유출하는 공격

 

● 핀테크 보안기술

	기술	설명
인증	IC Tagging	IC카드내 인증정보를 통신기능이 포함된 스마트폰을 서버에 전달하여 인증
	FIDO	생체인증규격
데이터보호	TEE	Trust Execution Environment 모바일AP를 일반응용영역과 보안응용영역으로 구분
	토큰화	결제시 가상의 카드번호를 이용하여 정보.유출에 대응
모니터링	FDS	이상금융거래 유무 판별

 

● 침해사고 대응 7단계

1. 사고 전 준비
2. 사고 탐지
3. 초기대응
4. 대응전략 체계화
5. 사고조사
6. 보고서 작성
7. 해결

 

● 취약점 분석도구

1.네트워크 취약점 : Nessus, SATAN, SAINT, SARA

2. 서버 취약점 : SecuDR, COPS

3. DB기반 웹스캐너 : Nikto, N-Stealth

4. 포렌식 도구 : Encase, FTK

5. 파일 : Tripwire

 

● 개인정보 유출 신고기준

	개인정보보호법	정통망법
신고대상건수	1천명 이상	유출건수 무관
신고시점	지체없이 (5일이내)	정당한 사유가 없는 한 그 사실을 안 때부터 24시간 이내
신고기관	행정안전부, KISA, 정보주체	방통위 또는 KISA, 이용자
	정당한 사유로 인하여 정보주체에게 개별통지를 하지 못했을 경우에는 홈페이지 게시하여야 한다.
	7일 이상	30일 이상

사례1) 개인정보처리자 A씨는 개인정보 유출사실을 인지하고, 3일간 사실확인을 거친 후 유출된 개인정보가 1만건을 넘는 것을 확인 후 행정안전부 장관에게 통지하였다
          --> 5일이내 신고했으니깐 (O) , 행정안전부장관에게 신고했으니깐 (O)
사례2) 개인정보처리자 C는 개인정보 유출사실을 인지하고, 유출된 개인정보 항목과  유출일시, 정보주체가 할수 있는 대응, 현재 자사의 대응현황과 피해구제절차와  담당부서의 연락처를 정보주체에게 통지하였다.
          --> (X) 유출경위가 누락되었음
사례3) 개인정보처리자 D는 개인정보 유출사실을 인지했으나 100건 미만이라서 정보주체에게만 통지하였다.
         --> (O) 1천건 미만이니깐 신고는 안해도 되지만 정보주체에게는 1건이라도 유출된경우 알려야 한다.
사례4) 개인정보처리자 E는 개인정보 유출사실을 인지하였으나 1천건 미만이고 유출일시 등이 불분명하여서 내부적으로 검토후 통지하는 것으로 정보보호 팀장 승인을 받았다.
          --> (X) 확인된 사항만이라도 지체없이 정보주체에게 통지하여야 한다.

 

● 개인정보 수집.이용이 가능한 경우

개인정보보호법 제15조	정통망법 제22조
동법 소계 급정 1. 정보주체의 동의를 받은 경우 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한경우     ①법령에 따라 본인확인이 필요한 경우     ②법령에 따라 연령확인이 필요한 경우     ③법령상 보험자의 의무 이행 3. 공공기관이 소관의 업무를 수행하기 위해 불가피한 경우 4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상탱 있거나 주소불명 등으로 사전동의를 받을 수 없는 경우로, 명백히 정보주체 또는 제3자의 급박한 생명,신체,재산의 이익을 위하여 필요하다고 인정되는 경우 6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우	계요법 1. 정보통신서비스의 제공에 관한 계약을 이행하기 위하여    필요한 개인정보로서 경제적,기술적인 사유로 통상적인    동의를 받는 것이 뚜렷하게 곤란한 경우 2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요 한 경우 3. 이 법 또는 다른 법률에 특별한 규정이 있는 경우

 

● 주민등록번호 수집 등 처리가 가능한 경우

개인정보보호법 제24조 2	정통망법 제23조의 2
법급행 1. 법률,대통령령,국회규칙,대법원규칙,헌법재판소    규칙,중앙선관위규칙,감사원규칙에서 구체적    으로 주민등록번호 처리의 요구하거나 허용 2. 정보주체 또는 제3자의 급박한 생명,신체,재산    의 이익을 위하여 명백히 필요하다고 인정 3. 행정안정부령을 정하는 경우	본법방 1. 본인확인기관으로 지정 받은 경우 2. 법령에서 이용자의 주민등록번호 수집.이용을 허용 3. 방송통신위원회가 고시하는 경우

 

● 공공기관이 업무수행을 위해 동의없이 고유식별정보,민감정보 처리가 가능한 경우

소약범법형
 - 개인정보를 목적외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 법률에서 정하는 소관업무를 수행할 수 없는 경우로서 보호위원회 심의.의결을 거친 경우
 - 조약,국제협정의 이행을 위하여 외국정부, 국제기구에 제공하기 위하여 필요한경우
 - 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
 - 법원의 재판업무 수행을 위하여 필요한 경우
 - 형 및 감호, 보호처분의 집행을 위하여 필요한 경우

 

● 개인정보파일의 등록사항

명운항 처보반 명수담열 거평
 - 개인정보파일 명칭
 - 개인정보파일의 운영근거 및 목적
 - 개인정보파일에 기록되는 개인정보 항목
 - 개인정보 처리방법
 - 개인정보 보유기간
 - 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는자
 - 개인정보파일을 운용하는 공공기관의 명칭
 - 개인정보파일로 보유하고 있는 개인정보의 정보주체수
 - 해당 공공기관에서 개인정보처리 업무를 담당하는 부서
 - 개인정보의 열람요구를 접수.처리하는 부서
 - 열람을 제한하거나 거절할수 있는 개인정보의 범위및 제한 또는 거절 사유
 - 개인정보 영향평가를 실시한 경우 그 결과 첨부

※ 파기에 대해서는 언급이 없다.

 

● 행정안전부에 등록이 면제되는 개인정보파일(공공기관)

 국범 조내비 통 위영 자금   (국범이는 조내비랑 통해서 위영에게 자금을 줬다)
 1.국가안전,외교상비밀,그밖에 국가의 중대한 이익에 관련된 사항을 기록한 개인정보파일
 2.범죄의 수사, 공소의 제기,유지, 형 집행 , 보호관찰, 출입국관리에 대한 사항
 3.조세범처벌법 에 따른 범칙행위 조사, 관세법에 따른 범칙행위조사
 4.공공기관의 내부적업무처리만을 위하여 사용되는
 5.다른 법령에 따라 비밀로 분류된 개인정보파일
 6.통계법에 따라 수집되는 개인정보파일
 7.공중위생, 공공의 안전과 안녕을 위해 필요로 인해 일시적으로 처리되는 개인정보파일
 8.영상정보처리기기를 통해 처리되는 개인정보파일
 9.자료.물품.1회성행사
 10.금융업무 취급을 위해 보유하는 개인정보파일

 

● 개인정보를 목적외 용도로 이용.제공이 가능한 경우

동법 급통 소약 범법형
1. 별도 동의
2. 법률에 규정
3. 급박한 생명..
4. 통계작성 및 학술연구 등의 목적을 위하여 특정개인을 알아볼수 없는 형태로
   개인정보를 제공하는 경우
이하는 공공기관만 해당함.  즉 위 1,2,3,4만 민간기업에서 목적외 이용가능 사유
5. 소관업무 수행 + 보호위원회 심의.의결
6. 조약.국제협정
7. 범죄의 수사, 공소의 제기 및 유지
8. 법원의 재판업무
9. 형. 감호, 보호처분 집행

•공공기관이 위 사유에 따라 개인정보를 목적외의 용도로 이용하거나 제3자에게 제공하는 경우 그 내용을 관보,인터넷 홈 페이지에 게제하여야 한다.
  - 단, 동의를 받았거나, 범죄의 수사등에 관련된 경우 게제하지 않아도 된다.
  - 게제시점 : 이용.제공한 날로부터 30일 이내
    게제기간 : 홈페이지에 게제하는 경우 10일 이상