728x90
반응형
SMALL

개인정보법과 정보통신망법이 충돌하는 경우 특별법인 정보통신망법을 따라야한다

개인정보처리방침과 개인정보처리자와 정보주체간의 계약내용이 다른 경우
둘중에서 정보주체에게 유리한 것을 적용한다

이용내역통지 및 망분리대상자는 직전3개월평균이용자 100만명 또는 정보통신부문 매출액 100억원 이상 (100 100)

● 개인정보보호법상 암호화 대상 개인정보

  송수신 내부망저장
(개인정보처리시스템)
DMZ 컴퓨터,모바일기기
,보조저장매체
비밀번호 암호화 암호화(일방향) 암호화(일방향) 암호화(일방향)
바이오정보 암호화 암호화 암호화 암호화
주민등록번호 암호화 암호화 암호화 암호화
고유식별정보
(여권번호,운전면허번호,외국인등록번호)
암호화 개인정보영향평가 또는 암호화 미적용시 위험도 분석 결과에 따라 암호화 암호화
신용카드번호 - - - -
계좌번호 - - - -
개인정보 - - - -

 * 비밀번호, 바이오정보, 주민등록번호는 모두 암호화
 * 신용카드번호,계좌번호,개인정보는 관계없음
 * 바이오정보란 지문,얼굴,홍채,정맥,음성,필적 등을 말하며 일반사진,CT 등은 아님.

 

● 정보통신망법상 암호화 대상 개인정보

  송수신 내부망저장
(개인정보처리시스템)
DMZ 컴퓨터,모바일기기
,보조저장매체
비밀번호 암호화 암호화(일방향) 암호화(일방향) 암호화(일방향)
바이오정보 암호화 암호화 암호화 암호화
주민등록번호 암호화 암호화 암호화 암호화
고유식별정보
(여권번호,운전면허번호,외국인등록번호)
암호화 암호화 암호화 암호화
신용카드번호 암호화 암호화 암호화 암호화
계좌번호 암호화 암호화 암호화 암호화
개인정보 암호화 - - 암호화

 * 개인정보는 내부망저장, DMZ 에 저장시 암호화를 안하고 나머지 몽땅 암호화

 

● 리눅스 시스템 로그

로그명 명령어 설명 폴더
utmp w, who,finger 현재 로그인 상태 정보 /var/adm/utmp
wtmp last 사용자 로그인/로그아웃 정보 /var/adm/wtmp
btmp lastb 실패한 로그인 정보 /var/adm/btmp
pacct lastcomm 사용자별 수행한 명령어 /var/adm/pact
lastlog lastlog 해당 사용자 마지막 로그인 정보 /var/adm/lastlog
dmesg dmesg 부팅 로그인 정보 /var/log/dmesg
syslog syslog 커널 로그 정보  
messages   시스템 운영에 대한 전반적인 정보 /var/log/messages
secure   원격 로그인 정보, TCP_Wrapper(xinetd) /var/log/secure

 

● windows 로컬 보안 정책

spcpol.msc 암호정책 암호는 복잡성을 만족해야 함 (사용)
    : 사용자의 계정이름이나 연속되는 문자2개를 초과하는 사용자 전체 이름의 일부를
      포함하지 말아야 한다.
    : 길이가 최소한 6자 이상이어야 함.
    : 다음 네가지 범주 중 세가지의 문자를 포함해야 함.
       - 영문대문자 , 영문소문자 , 숫자, 특수문자
최근 암호 기억                  (2개 암호로 기억됨)
최대 암호 사용 기간            (90일)
최소 암호 길이                  (8문자)
최소 암호 사용 기간            (0일)
해독 가능한 암호화를 사용하여 암호 저장  (사용함)
  : CHAP 등의 별도 프로토콜 사용 시 해당 프로토콜이 해독할 수 있는 형태로 패스워
   드를 저장하며, 기본값은 [사용안함] 이다.
계정잠금정책 * Brute Force 공격을 막기위한 정책임.
계정잠금기간
계정잠금임계값
다음 시간 후 계정잠금수를 원래대로 설정

 

● 악성프로그램

이름 시스템 파괴 정보유출 자기복제
웜 (warm) O X O
트로이목마 O O X
바이러스 O X O
스파이웨어 X O X

- 네트워크를 통해 스스로를 복제.전파하며 다른 프로그램을 감염시키지는 않는다.
루트킷 - 관리자 권한 접근과 공격경로 은폐, 사용기록 삭제 등을 동시에 수행하는 여러 프로그램의 집합이다.
바이러스 - 숙주가 필요하며 숙주로 하여금 악성행위를 하게 하고 다른 시스템으로 전파되게 한다.
스파이웨어 - 시스템 파괴행위를 안하는 대신 사용자의 정보를 유출만 한다.

정보유출은 트로이목마와 스파이웨어
시스템파괴는 스파이웨어만 안하고 나머지는 한다.
자기복제는 웜과 바이러스만 가능
스파이웨어는 오직 정보유출만 한다.

 

● 웹서버 보안관련 파일

Appach : httpd.conf

Tomcat  : web.xml

IIS  : web.config

 

● FTP 보안

패클엑서 - passive모드는 클라이언트 보안성이 높은 방법, active모드는 서버의 보안성이 높은 방법

             - passive는 서버가 포트번호를 알려주고 클라이언트는 그 포트만 열어주면 되기 때문에 클라이언트가 안전

             - active는 클라이언트가 포트번호를 알려주고 서버는 그 포트번호만 열어주면 되기 때문에 서버가 안전

passive모드 1. Client 5105 포트에서 서버의 21번 포트로 접속시도
2. Server는 3258 포트번호를 Client에게 전송
3. Client 는 자신의 5151포트에서 Server가 알려준 3258 포르로 다시 Server에 데이터 접속
4. Server는 자신의 3258포트에서 Client의 5151 포트와 연결

  Clent            Server
  5105    ---->    21      접속시도
  5151   ----->  3258    서버가 알려준 3258 포트로 접속
  5151   <-----  3258    서버는 3258 포트에서 Client의 5151 포트로 Data전송
                                 (결국 데이타전송시 Server는 20포트 사용안함)                         
* 서버는 1024 포트 이상의 Inbound 패킷에 대해서 Allow을 해줘야 Client가 접속 가능
* 클라이언트는 1024 포트 이상의 outbound 패킷에 대해서만 Allow 해주면 되므로
  Inbound 패킷을 위해 포트를 열어줄 필요가 없어 안전하다.
active모드 1. Client 5105 포트에서 서버의 21번 포트로 접속하면서 서버에게 5151 포트를 알려줌
2. Server는 20번포트에서 클라이언트가 알려준 5151 포트로 클라이언트에게 데이터 연결

  Clent            Server
  5105    ---->    21      접속시도
  5151   <----     20      Server는 20번포트에서 Client가 알려준 Client의 5151 포트로 접속
  5151   ----->    20     Client는 5151포트에서  Server의 20포튼 연결
                                 (결국 데이타전송시 Server는 20포트 사용함.)                         
* 서버는 1024 포트 이상의 Inbound 패킷에 대해서 Allow해줄 필요가 없어 안전
* 클라이언트는 1024 포트 이상의 Inbound 패킷에 대해서만 Allow 해줘야
  서버가 데이터 접속이 가능하므로 보안상 취약

 * ftpusers ; FTP접근제어설정파일로서 접속을 차단할 계정정보를 설정하는 파일이다.

 

● ISMS-P 인증심사

ISMS-P 인증 : 인터넷진흥원 또는 인증기관증명하는 것.

ISMS-P 인증심사 : 인터넷진흥원, 인증기관 또는 심사기관심사하는 것

최초심사 처음취득시
중요변경으로 다시 인증 신청 시
인증위원회 개최
미개최
인증위원회 개최
사후심사 인증취득이후 매년 1회 이상
갱신심사 인증유효기간 연장
만료 3개월전에 신청해야 함.

 

정책기관 인증기관 심사기관
과학기술정보통신부
행정안전부
방송통신위원회
KISA
금융보안원
KISA
금융보안원
한국정보통신진흥협회 (KAIT)
한국정보통신기술협회 (TTA)
개인정보보호협회 (OPA)

▶정책기관 : 상위수준의 법,제도,정책을 수립

              인증기관 및 심사기관 지정

인증기관 : 제도운영, 인증서발급, 심사원양성

              (단, 심사원양성및 자격관리, 인증기준 개선, 인증품질 관리는 KISA에서 한다.)

심사기관 : 인증심사 수행

 

       
정책기관 정책협의회 법.제도 개선 및 정책결정
인증제도 연구 및 개선에 관한 사항
인증제도 운영을 위한 제반사항 검토 및 품질관리에 관한 사항
민원, 법적분쟁에 관한 사항
인증기관 및 심사기관 지정
과학기술정보통신부
방송통신위원회
행정안전부

소속의 인증업무를 담당하는 부서의 장을 위원으로 한다.
인증기관 한국인터넷진흥원 인증제도 운영 (연구는 협의회에서)
인증품질관리 (제반사항검토는 협의회)
신규.특수 분야 인증심사
인증서 발급
인증심사원 양성 및 자격관리
인증위원회
인증기관 인증심사 수행
인증서 발급
인증위원회
심사기관 심사기관 인증심사 수행  

※ 인터넷진흥원 이외의 인증기관은 인증심사수행 과 인증서발급 업무만 한다.

인터넷진흥원은 인증심사이외에 다른 인증기관이 할수 없는 인증제도운영, 인증품질관리, 인증심사원양성및자격관리 업무를 한다.

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리(5/10)  (0) 2021.02.15
ISMS-P 키워드별 정리(4/10)  (0) 2021.02.10
ISMS-P 키워드별 정리(2/10)  (0) 2021.02.04
ISMS-P 키워드별 정리(1/10)  (0) 2021.02.04
ISMS-P 결함사례 (7/7)  (0) 2021.02.04
728x90
반응형
SMALL

● 개인정보를 목적內 용도로 제3자에게 제공이 가능한 경우

개인정보보호법 정통망법
동법소급
1. 동의를 받은 경우
2. 법률에 규정이 있거나 법령상 의무를 준수
3. 공공기관이 소관업무 수행
4. 급박한 생명..
동요법
1. 동의를 받은 경우
2. 요금정산
3. 법률에 규정

 

목적 두음 비고
수집.이용및 제공 동법 소계 급정 / 계요법  
민감,고유 이용 소약 범법형 공공기관만
목적외 이용.3자제공 동법 급통 소약 범법형  소약범법형은 공공기관만
목적내 제3자 제공 동법 소급 / 동요법  

 

개인정보 국외이전

개인정보보호법 제17조(개인정보의 제공) 정통망법 제63조 (국외이전 개인정보의 보호)
동의를 받아야 함 동의를 받아야함.
단, 정보통신서비스의 제공에 관한 계약을 이행하고
    이용자의 편의증진 등을 위하여 필요한 경우에는
    이용자에게 알린 경우에는 동의절차를 거치지 아니할
    수 있다.

 

 위탁 , 영업양도, 국외이전

위영국 개인정보보호법 정통망법
위탁 동의 X
* 동의필요없구 수탁자정보외 위탁하는 업무의 내용을 정보주체가 알기쉽게 공개만 하면 된다.
단, 홍보,판매업무를 위탁할 때에는 위탁하는 업무의 내용과 수탁자를 정보주체에게 고지해야 한다

동의 O
* 위탁받는 자, 위탁하는 업무의 내용 알리고 동의받야야함
* 단, 계약을 이행하고 이용자 편의증진을 위하여 개인정보처리방침을 통하여 위탁사실을 공개한 경우 동의 안받아도 됨
•개인정보 처리업무를 제3자에게 위탁하는 경우 홈페이지 등에 위탁하는 업무의 내용과 수탁자를 현행화하여 지속적으로 공개해야 한다.
 (수탁자가 아무리 많아도 해당 수탁자명을 모두 열거)
홍보,판매를 권유하는 업무를 위탁하는 경우 서면, 전자우편,모사전송,전화,문자를 통하여 정보주체에게 알려야 한다.(동의X, 공개X, 고지O)
•위탁하는 업무의 내용이 변경된 경우 내용을 알리거나 필요한 경우 동의를 받아야 한다.
•수탁자가 다시 재위탁하는 경우 위탁자의 사전동의를 받아야 한다.
•정보통신서비스 제공자(즉 정통망법 적용대상자)이면서 정보통신서비스 제공에 관한 계약이행과 무관한 개인정보 처리업무를 위탁하면서 개인정보 처리방침에만 공개하는 것으로 갈음하여 이용자의 동의를 받지않는 것은 안된다.
영업양도.양수            개통면
양도자 : 통지 O
양수자 : 통지 O or X
          (이미 양도자가 통지 한경우 면제
                              망통통
양도자 : 통지 O
양수자 : 통지 O

국외이전 동의 O

목항기거자

개보법에서는 거부할권리가 명시되어야 하고
정통망법에서는 국일방이 명시되어야 한다.
동의 O

목항기자 국일방

단, 정보통신서비스 제공자로서 계약을 이행하고 이용자 편의 증진을 위하여 필요한 경우로서 그 내용을 이용자에게 알리는 것으로 동의를 갈음 할수 있다.
정통망법에서는 위탁과 국외이전 모두 동의를 받아야 하지만 둘다 계약을 이행하고 이용자 편의증진을 위해서 필요한 경우로서 그 내용을 이용자에게 알리는 것만으로 동의를 갈음할 수 있다

 

 위탁 , 영업양도, 국외이전

구분 3자 제공 처리 위탁 양도
목적 제공받는자의 목적,이익을위해 개인정보 제공 제공하는자의 목적,이익을 위해 개인정보 제공 개인정보 처리목적은 유지되고 단지 개인정보의 보유,관리주체만 변경
관리책임 제공받는자 제공한자 양수자

 

 중요내용표시

1. 일반적인 개인정보 수집은               보유기간 표시
2. 민감정보,고유식별정보 수집은          항목,  보유기간 표시
3. 3자제공시에는                            제공받는자,  제공하는 목적,  보유기간 표시
4. 홍보인 경우는 연락할 수 있다는 사실 표시

결국, 보유기간은 공통으로 표시해야 하고
민감,고유정보는 그 항목이 중요하므로 항목을 중요하게 표시해야 하고
3자제공시에는 누구한테 어떡 목적으로 제공하는지가 중요하므로 제공받는자와 제공목적을 중요하게 표시한다.

① 고유정보 수집 

수집.이용 항목 수집.이용 목적 보유기간
운전면허번호 채용절차 진행,자격확인 채용 종료후 6개월

 

② 민감정보 처리 내역

항목 수집.이용 목적 보유기간
정신질환여부 운전직 채용 관리 채용 종료후 6개월

 

③ 개인정보 수집.이용 내역

항목 수집.이용 목적 보유기간
이름,전화번호 현장학습 운영 1년

 

④ 개인정보 3자 제공 내역

제공받는 기관 제공목적 제공하는 항목 보유기간 
OO군부대 현장학습 출입자 신분확인 이름,전화번호 1년

 

개인정보처리방침 공개하는 방법 

인사 간신 관계
1. 터넷 홈페이지 홈페이지 미운영시
2. 업장 등의 보기쉬운 장소
3. 행물,소식지,홍보지 4. 문 5. 보 6. 약서

 

개인정보처리방침 필수사항 

개인정보보호법 정통망법
목항기 3위권 부자파안 열변부구영

① 개인정보의 처리목적
⑧ 처리하는 개인정보의 항목
② 개인정보의 처리 및 보유기간

③ 개인정보의 제3자 제공에 관한 사항 (해당자만)
④ 개인정보처리의 위탁에 관한 사항 (해당자만)
⑤ 정보주체와 법정대리인의 권리.의무 및 그
   행사방법에 관한 사항

⑥ 개인정보보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서 명칭과 전화번호 등 연락처
⑦ 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치.운영 및 그 거부에 관한 사항 (해당자만)
⑨ 개인정보의 파기에 관한 사항
⑩ 개인정보의 안전성 확보조치에 관한 사항 
① 개인정보의 수집.이용목적,수집하는 개인정보의 항목
    수집방법
② 개인정보를 제3자에게 제공하는 경우
    제공받는 자의 성명,
    제공받는 자의 이용목적
    제공하는 개인정보의 항목
③ 개인정보의 보유 및 이용기간 , 개인정보의 파기절차
   및 파기방법
④ 개인정보 취급위탁을 하는 업무의 내용 및 수탁자
⑤ 이용자 및 법정대리인의 권리와 그 행사방법
⑥ 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는
    장치의 설치.운영 및 그 거부에 관한 사항
개인정보관리책임자의 성명 또는 개인정보보호 업무 및
   관련 고충사항을 처리하는 부서의 명칭과 그 전화번호
   등 연락처
< 개인정보처리방침에 포함해야 할 기타 기재사항 >
열변부구영
 - 개인정보의 열람.정정.삭제.처리정지요구권 등
 - 개인정보처리방침의 변경에 관한 사항
 - 개인정보의 열람청구를 접수.처리하는 부서
 - 정보주체의 권익침해에 대한 구제방법
 - 영상정보처리기기 운영.관리에 관한 사항
 

 

정보주체의 열람요구를 제한.거절할수 있는 사유

 법생 조성 채보감
 1. 법률에 따라 열림이 금지,제한된 경우
 2. 다른 사람의 생명.신체를 해할 우려가 있거나 다른 사람의 재산과 이익을 부당하게 침해할 우려가 있는 경우
 공공기관이 다음의 업무수행시 중대한 지장을 초래하는 경우
 3. 조세의 부과.징수.환급업무
 4. 성적평가, 입학자 선발업무
 5. 학력.기능 및 채용에 관한 시험. 자격심사 업무
 6. 보상금. 급부금 산정 등에 대하여 진행중인평가 또는 판단에 관한 업무
 7. 감사.조사에 관한 업무

 

정보주체의 처리정지 요구 거부 사유

 법생 소계
 1. 법률에 특별한 규정, 법령상 의무 준수
 2. 다른 사람의 생명.신체를 해할 우려가 있거나 다른 사람의 재산과 이익을 부당하게 침해할 우려가 있는 경우
 3. 소관업무 수행
 4. 계약이행이 곤란한 경우

법생조성채보감의 법 - 법률에 의해 금지된 경우
법생소계의 법 - 법률에 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한경우 이다

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리(4/10)  (0) 2021.02.10
ISMS-P 키워드별 정리(3/10)  (0) 2021.02.08
ISMS-P 키워드별 정리(1/10)  (0) 2021.02.04
ISMS-P 결함사례 (7/7)  (0) 2021.02.04
ISMS-P 결함사례 (6/7)  (0) 2021.02.04
728x90
반응형
SMALL

정보보호최고책임자 (CISO) 신고 대상 업종 (내 ISMS 특5명1천 통5명 음 상1천)

1.용선별 소프트웨어 개발및 보급사업자
2. ISMS 인증의무 대상자
3. 수유형 온라인서비스 제공자로 상시 종업원 수가 5명이상이거나 전년도말 기준 직전 3개월 간의 일일평균 이용자 수가 1천명 이상인 자
4. 신판매업자로서 상시 종업원수가 5명이상인
5. 란물 및 사행성개임물 차단 프로그렘 제공
5. 시 종업원수가 1천명 이상인 자 

 

CISO와 CPO 업무 비교

정보보호최고책임자(CISO)
정취 침대보 암
개인정보보호책임자 (CPO)
계조 불내교파 방자파
1. 정보보호 관리체계의 수립 및 관리운영
2. 정보보호 취약점 분석.평가 및 개선
3. 침해사고 예방 및 대응
4. 사전 정보보호대책 마련 및 보호조치 설계.구현등
5. 정보보호 사전 보안성 검토
6. 중요정보의 암호화 및 보안서버 적합성 검토
1. 개인정보보호 계획의 수립 및 시행
2. 개인정보처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오남용 방지를 위한 내부통제시스템
   구축
5. 개인정보보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리 감톡
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령
   으로 정한 업무 
    - 개인정보처리방침의 수립.변경 및 시행
    - 개인정보 보호 관련 자료의 관리
    - 처리 목적이 달성되거나 보유기간이 지난 개인정보
      의 파기

직전 사업년도말 기준 자산총액이 5천억원 이상인 ISMS인증 의무대상 기업은 CISO는 다른 업무를 겸직할수 없다.
   (ISMS의무대상자가  아닌 일반기업은 5조원 이상인 경우 겸직 금지)
 상시종업원 5명 미만시 정보통신서비스제공자는 CPO지정안할수 있으며 이때에는 대표자가 CPO가 됨

 

● 로그기록에 대한 보관기간

  개인정보보호법 정통망법 해당 인증항목
접근권한 부여 기록 3년 5년 2.5.6 접근권한 검토
접속기록 1년
(단,5만명이상 개인정보 또는 고유식별정보,민감정보 1건이라도 처리시 2년
1년
(단, 기간통신사업자는 2년)
2.9.4 로그및 접속기록 관리
접속기록 검토주기 1개월 1개월 2.9.5 로그및 접속기록 점검

 

● 오픈소스 SSL의 취약점

1.HeartBleed : 사용자들의 로그인정보나 암호화된 정보의 개인키와 비밀키를 탈취해 개인정보를 탈취할수 있는 취약점
 - 버퍼 오버플로우 공격으로 Heartbit 패킷의 크기를 위조해 서버의 데이터를 유출하는 공격

2.Freak SSL : SSL을 통해 강제로 취약한 RSA로 다운그레이드 시킴
 - RSA 키 길이를 강제로 512바이트로 변경시키는 공격

3. Poodle : TLS연결설정과정에서 하위버전인 SSL 3.0 으로 연결수립을 유도한 뒤 패딩 오라클 공격
 - 임의 데이터를 패딩으로 이용해 암호화 통신의 일부를 복호화 가능한 공격

4. DROWN : Decryption RSA with Obsolete and Weakended Encryption
 - 암호화된 세션키를 탈취하는 공격

5. BEAST  : Browser Exploit Against SSL/TLS

  - CBC 의 약점을 이용, 암호화 통신에서 평문을 유출하는 공격

 

● 핀테크 보안기술

  기술 설명
인증 IC Tagging IC카드내 인증정보를 통신기능이 포함된 스마트폰을 서버에 전달하여 인증
FIDO 생체인증규격
데이터보호 TEE  Trust Execution Environment
모바일AP를 일반응용영역과 보안응용영역으로 구분
토큰화 결제시 가상의 카드번호를 이용하여 정보.유출에 대응
모니터링 FDS 이상금융거래 유무 판별

 

● 침해사고 대응 7단계

1. 사고 전 준비
2. 사고 탐지
3. 초기대응
4. 대응전략 체계화
5. 사고조사
6. 보고서 작성
7. 해결

 

● 취약점 분석도구

1.네트워크 취약점 : Nessus, SATAN, SAINT, SARA

2. 서버 취약점 : SecuDR, COPS

3. DB기반 웹스캐너 : Nikto, N-Stealth

4. 포렌식 도구 : Encase, FTK

5. 파일 : Tripwire

 

● 개인정보 유출 신고기준

  개인정보보호법 정통망법
신고대상건수 1천명 이상 유출건수 무관
신고시점 지체없이 (5일이내) 정당한 사유가 없는 한 그 사실을 안 때부터 24시간 이내
신고기관 행정안전부, KISA, 정보주체 방통위 또는 KISA, 이용자
정당한 사유로 인하여 정보주체에게 개별통지를 하지 못했을 경우에는 홈페이지 게시하여야 한다.
7일 이상 30일 이상

사례1) 개인정보처리자 A씨는 개인정보 유출사실을 인지하고, 3일간 사실확인을 거친 후 유출된 개인정보가 1만건을 넘는 것을 확인 후 행정안전부 장관에게 통지하였다
          --> 5일이내 신고했으니깐 (O) , 행정안전부장관에게 신고했으니깐 (O)
사례2) 개인정보처리자 C는 개인정보 유출사실을 인지하고, 유출된 개인정보 항목과  유출일시, 정보주체가 할수 있는 대응, 현재 자사의 대응현황과 피해구제절차와  담당부서의 연락처를 정보주체에게 통지하였다.
          --> (X) 유출경위가 누락되었음
사례3) 개인정보처리자 D는 개인정보 유출사실을 인지했으나 100건 미만이라서 정보주체에게만 통지하였다.
         --> (O) 1천건 미만이니깐 신고는 안해도 되지만 정보주체에게는 1건이라도 유출된경우 알려야 한다.
사례4) 개인정보처리자 E는 개인정보 유출사실을 인지하였으나 1천건 미만이고 유출일시 등이 불분명하여서 내부적으로 검토후 통지하는 것으로 정보보호 팀장 승인을 받았다.
          --> (X) 확인된 사항만이라도 지체없이 정보주체에게 통지하여야 한다.

 

● 개인정보 수집.이용이 가능한 경우

개인정보보호법 제15조 정통망법 제22조
동법 소계 급정

1. 정보주체의 동의를 받은 경우
2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한경우
    ①법령에 따라 본인확인이 필요한 경우
    ②법령에 따라 연령확인이 필요한 경우
    ③법령상 보험자의 의무 이행
3. 공공기관이 소관의 업무를 수행하기 위해 불가피한 경우
4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우
5. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상탱 있거나 주소불명 등으로 사전동의를 받을 수 없는 경우로, 명백히 정보주체 또는 제3자의 급박한 생명,신체,재산의 이익을 위하여 필요하다고 인정되는 경우
6. 개인정보처리자의 정당한 이익을 달성하기 위하여 필요한 경우로서 명백하게 정보주체의 권리보다 우선하는 경우
계요법

1. 정보통신서비스의 제공에 관한 계약을 이행하기 위하여
   필요한 개인정보로서 경제적,기술적인 사유로 통상적인
   동의를 받는 것이 뚜렷하게 곤란한 경우
2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요 한 경우
3. 이 법 또는 다른 법률에 특별한 규정이 있는 경우

 

 주민등록번호 수집 등 처리가 가능한 경우

개인정보보호법 제24조 2 정통망법 제23조의 2
법급행

1. 법률,대통령령,국회규칙,대법원규칙,헌법재판소
   규칙,중앙선관위규칙,감사원규칙에서 구체적
   으로 주민등록번호 처리의 요구하거나 허용
2. 정보주체 또는 제3자의 급박한 생명,신체,재산
   의 이익을 위하여 명백히 필요하다고 인정
3. 행정안정부령을 정하는 경우
본법방

1. 본인확인기관으로 지정 받은 경우
2. 법령에서 이용자의 주민등록번호 수집.이용을 허용
3. 방송통신위원회가 고시하는 경우

 

● 공공기관이 업무수행을 위해 동의없이 고유식별정보,민감정보 처리가 가능한 경우

소약범법형
 - 개인정보를 목적외의 용도로 이용하거나 이를 제3자에게 제공하지 아니하면 법률에서 정하는 소관업무를 수행할 수 없는 경우로서 보호위원회 심의.의결을 거친 경우
 - 조약,국제협정의 이행을 위하여 외국정부, 국제기구에 제공하기 위하여 필요한경우
 - 범죄의 수사와 공소의 제기 및 유지를 위하여 필요한 경우
 - 법원의 재판업무 수행을 위하여 필요한 경우
 - 및 감호, 보호처분의 집행을 위하여 필요한 경우

 

개인정보파일의 등록사항

명운항 처보반 명수담열 거평
 - 개인정보파일 명칭
 - 개인정보파일의 운영근거 및 목적
 - 개인정보파일에 기록되는 개인정보 항목
 - 개인정보 처리방법
 - 개인정보 보유기간
 - 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는자
 - 개인정보파일을 운용하는 공공기관의 명칭
 - 개인정보파일로 보유하고 있는 개인정보의 정보주체수
 - 해당 공공기관에서 개인정보처리 업무를 담당하는 부서
 - 개인정보의 열람요구를 접수.처리하는 부서
 - 열람을 제한하거나 거절할수 있는 개인정보의 범위및 제한 또는 거절 사유
 - 개인정보 영향평가를 실시한 경우 그 결과 첨부

※ 파기에 대해서는 언급이 없다.

 

● 행정안전부에 등록이 면제되는 개인정보파일(공공기관)

 국범 조내비 통 위영 자금   (국범이는 조내비랑 통해서 위영에게 자금을 줬다)
 1.국가안전,외교상비밀,그밖에 국가의 중대한 이익에 관련된 사항을 기록한 개인정보파일
 2.범죄의 수사, 공소의 제기,유지, 형 집행 , 보호관찰, 출입국관리에 대한 사항
 3.조세범처벌법 에 따른 범칙행위 조사, 관세법에 따른 범칙행위조사
 4.공공기관의 내부적업무처리만을 위하여 사용되는
 5.다른 법령에 따라 비밀로 분류된 개인정보파일
 6.통계법에 따라 수집되는 개인정보파일
 7.공중위생, 공공의 안전과 안녕을 위해 필요로 인해 일시적으로 처리되는 개인정보파일
 8.영상정보처리기기를 통해 처리되는 개인정보파일
 9.자료.물품.1회성행사
 10.금융업무 취급을 위해 보유하는 개인정보파일

 

개인정보를 목적외 용도로 이용.제공이 가능한 경우

동법 급통 소약 범법형
1. 별도 동의
2. 법률에 규정
3. 급박한 생명..
4. 통계작성 및 학술연구 등의 목적을 위하여 특정개인을 알아볼수 없는 형태로
   개인정보를 제공하는 경우
이하는 공공기관만 해당함.  즉 위 1,2,3,4만 민간기업에서 목적외 이용가능 사유
5. 소관업무 수행 + 보호위원회 심의.의결
6. 조약.국제협정
7. 범죄의 수사, 공소의 제기 및 유지
8. 법원의 재판업무
9. . 감호, 보호처분 집행

공공기관이 위 사유에 따라 개인정보를 목적외의 용도로 이용하거나 제3자에게 제공하는 경우 그 내용을 관보,인터넷 홈 페이지에 게제하여야 한다.
  - 단, 동의를 받았거나, 범죄의 수사등에 관련된 경우 게제하지 않아도 된다.
  - 게제시점 : 이용.제공한 날로부터 30일 이내
    게제기간 : 홈페이지에 게제하는 경우 10일 이상

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리(3/10)  (0) 2021.02.08
ISMS-P 키워드별 정리(2/10)  (0) 2021.02.04
ISMS-P 결함사례 (7/7)  (0) 2021.02.04
ISMS-P 결함사례 (6/7)  (0) 2021.02.04
ISMS-P 결함사례 (5/7)  (0) 2021.02.01
728x90
반응형
SMALL
3.3.1 개인정보 제3자 제공
 동법소급/동요법
3. 개인정보 처리단계별 요구사항 - 수 파권 
   3.2 개인정보 제공 시 보호조치 - 3위영국
사례 1 : 개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는 사항 중에 일부 사항
         (동의 거부권, 제공하는 항목 등)을 누락한 경우 (목항기거자)
사례 2 : 개인정보를 제3자에게 제공하는 과정에서 제3자 제공 동의 여부를 적절히 확인하지 못하여 동의하지 
         않은 정보주체(이용자)의 개인정보가 함께 제공된 경우
사례 3 : 개인정보를 제공 동의를 받을 때, 제공받는 자를 특정하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하고 
          동의를 받은 경우
사례 4 : 회원 가입 단계에서 선택사항으로 제3자 제공 동의를 받고 있으나, 제3자 제공에 동의하지 않으면 회원 
          가입 절차가 더 이상 진행되지 않도록 되어 있는 경우
사례 5 : 제공받는 자의 이용 목적과 관련 없이 지나치게 많은 개인정보를 제공하는 경우

    언뜻 보면 3.1.1 개인정보의 수집제한이나 3.1.2 개인정보 수집 동의 의 결함사례로 볼수 있으나 초점은
    모두 제3자 제공시 내용이기 때문에 3.3.1 개인정보 제3자 제공의 결함으로 봐야한다.
3.3.2 업무 위탁에 따른 정보주체 고지
(누동재)
개인정보처리방침에 수탁사,위탁업무내용 누락
정통망법에서는 동의필요 (변경시에도 필요)
위탁자 승인없이 재위탁
3. 개인정보 처리단계별 요구사항 - 수 파권 
   3.2 개인정보 제공 시 보호조치 - 3영국
사례 1 : 홈페이지 개인정보 처리방침에 개인정보 처리업무 위탁 사항을 공개하고 있으나 일부 수탁사와 위탁하는
          업무의 내용이 누락된 경우
          (★★★★단, 재화나 서비스를 홍보,판매를 권유하는 업무를 위탁한 경우에는 업무의 내용과 수탁자를
                      정보주체에게 서면,문자,메일 등을 방법으로 알려야 한다)
사례 2 : 정보통신서비스 제공자이면서 정보통신서비스 제공에 관한 계약 이행과 무관한 개인정보 처리 업무를
          위탁하면서 수탁자를 개인정보 처리방침에 공개하는 것으로 갈음하여 이용자의 동의를 받지 않은 경우
사례 3 : 정보통신서비스 제공자로부터 개인정보 처리업무를 위탁받은 수탁자가 위탁자의 승인없이 개인정보
          처리업무를 재위탁 한 경우
기타 : 정보통신서비스 제공자 A는 개인정보처리 업무를 위탁하면서 이용자로부터 동의를 받지 않았다. 대신
        개인정보처리방침에 위탁사항을 공개하였다.(X)  -> 동의 받아야 한다.
기타 : 정보통신서비스 제공자 A는 수탁자와 위탁하는 업무의 내용이 일부 변경 되었으나 개인정보처리방침에만
        반영하고 이용자에게 재동의는 받지 않았다. (X) -> 위탁관련 내용이 바뀌면 재동의 받아야 한다.
기타 : 개인정보처리방침에 업무 위탁사항이 포함되어 있으나 일부 수탁자와 위탁하는 업무의 내용이 누락되어있다.(X)
         -> 지속적으로 공개하여야 한다.
기타 : 수탁자 B는 A사의 동의없이 위탁 받은 업무를 C사에게 위탁하였다. (X) -> 재위탁 동의건도 3.3.2 결함쪽이다.
기타 : A쇼핑몰은 위탁에 따른 정보주체의 동의가 필요한 경우 위탁의 목적, 항목 및 기간에 대한 내용을 정보주체에게
       알리고 동의를 받는다. (X)  -> 정보통신서비스제공자 이므로 위탁시 다음 각호의 사항을 알리고 동의를 받아야 한다.
                                           (1) 처리위탁을 받은 자
                                          (2) 처리위탁하는 업무의 내용
3.3.3 영업의 양수 등에 따른 개인정보의 이전
 
3. 개인정보 처리단계별 요구사항 - 수 파권 
   3.2 개인정보 제공 시 보호조치 - 3
사례 1 : 정보통신서비스 제공자가 영업 양수를 통해 개인정보를 이전 받으면서 양도자가 이미 통지 했다는 이유로
          개인정보 이전 사실 등에 대해 이용자에게 알리지 않은 경우
          (망통통 - 망법을 적용받는 정보통신서비스제공자는 양도자,양수자 둘다 주조건 통지 의무가 있다)

사례 2 : 개인정보처리자가 영업 양수를 통해 개인정보를 이전 받으면서 양도자가 개인정보 이전사실을 알리지
           않았음에도 개인정보 이전 사실을 정보주체에게 알리지 않은 경우
          (개통면 - 개보법을 적용받는 개인정보처리자는 양도자가 먼저 통지한 경우에 한해서 양수자 통지 면제해준다)

사례 3 : 영업 양수도 등에 의해 개인정보를 이전받으면서 정보주체(이용자)가 이전을 원하지 않은 경우 조치할
          수 있는 방법과 절차를 마련하지 않거나, 이를 정보주체(이용자)에게 알리지 않은 경우
3.3.4 개인정보의 국외이전
 
3. 개인정보 처리단계별 요구사항 - 수 파권 
   3.2 개인정보 제공 시 보호조치 - 3
사례 1 : 개인정보를 처리하는 과정에서 해외 사업자에게 개인정보 국외 이전이 발생하였으나 이에 대한 동의를
           받지 않은 경우
사례 2 : 정보통신서비스 제공자가 필수적인 서비스 제공을 위하여 해외 클라우드 서비스를 이용하여 개인정보 
           처리위탁 및 보관을 하면서 이전되는 국가, 이전 방법 등 관련 사항을 홈페이지에 공개하거나 이용자에게
           알리지 않은 경우
사례 3 : 정보통신서비스 제공자가 개인정보 국외 이전에 대한 동의를 받으면서 이전받는 자의 명칭(업체명)만
           고지하고 이전되는 국가 등에 대해 알리지 않은 경우
사례 4 : 정보통신서비스 제공자가 계약의 이행 및 이용자 편의 증진과 직접적인 관련이 없는 개인정보 처리업무
          를 위해 해외 클라우드 서비스(일본 도쿄 리전, 미국 버지니아 리전 등)를 사용하면서 국외 이전 관련
이용자 동의를 받지 않은 경우 (비용절감을 위해 홈페이지를 AWS 미국 리전으로 옮기면서 동의를 받지 않음)
3.4.1 개인정보의 파기
 
3. 개인정보 처리단계별 요구사항 - 수보제  
   3.2 개인정보 파기 시 보호조치 - 목휴
사례 1 : 회원 탈퇴 등 목적이 달성되거나 보유기간이 경과된 경우 회원DB에서는 해당 개인정보를 파기하였으나
          CRM, DW 등 연계된 개인정보처리시스템에 복제되어 저장되어 있는 개인정보를 파기하지 않은 경우
사례 2 : 특정 기간 동안 이벤트를 하면서 수집된 개인정보에 대해 이벤트가 종료된 이후에도 파기기준이 수립
          되어 있지 않거나 파기가 이루어지고 있지 않은 경우
사례 3 : 콜센터에서 수집되는 민원처리 관련 개인정보(상담이력, 녹취 등)를 전자상거래법을 근거로 3년간 보존
           하고 있으나, 3년이 경과한 후에도 파기하지 않고 보관하고 있는 경우
기타 : 파기대상 하드디스크를 디가우저를 이용해 사용불능으로 만들고 파기대장에 대상시스템명을 기록하였다.
       (대상시스템명이 아닌 하드디스크의 일련번호를 기록해야 한다.)
기타 : 회원DB에서 개인정보를 파기하고 DW시스템에 연계된 개인정보는 매주 1회 DW운영부서에 요청하여
        파기하고 있다. (x)  -> 5일 이내 파기하여야 한다. 
3.4.2 처리목적 달성 후 보유 시 조치
 
3. 개인정보 처리단계별 요구사항 - 수보제  
   3.2 개인정보 파기 시 보호조치 - 
사례 1 : 탈퇴회원 정보를 파기하지 않고 전자상거래법에 따라 일정기간 보관하면서 Flag값만 변경하여 다른
           회원정보와 동일한 테이블에 보관하고 있는 경우 (목적이 달성되어 파기해야하나 다른 법령때문에 보관)
              -> 탈퇴회원 정보는 모두 회원테이블에서 삭제하고 별도 DB에 분리 보관해야 하다.
                  반면 휴면회원 정보는 key값만 남겨두고 flag 처리가 가능
사례 2 : 전자상거래법에 따른 소비자 불만 및 분쟁처리에 관한 기록을 법적 의무보존 기간인 3년을 초과하여
          5년간 보존하고 있는 경우
사례 3 : 분리 DB를 구성하였으나 접근권한을 별도로 설정하지 않아 업무상 접근이 불필요한 인원도 분리 DB에
          자유롭게 접근이 가능한 경우
3.4.3 휴면 이용자 관리
 
3. 개인정보 처리단계별 요구사항 - 수보제  
   3.2 개인정보 파기 시 보호조치 - 파목
사례 1 : 개인정보 유효기간제를 적용받는 정보통신서비스 제공자가 1년 이상 서비스를 접속하지 않은 이용자의
          개인정보를 지체 없이 파기 또는 분리 보관하지 않고 월단위로 파기 또는 분리보관하고 있는 경우
          (5일 이내 파기하거나 분리보관하여야 한다)
사례 2 : 1년간 홈페이지에 로그인 하지 않은 회원정보를 별도 DB에 분리 보관하였으나, 이 때 분리된 회원DB에
          접근 가능한 관리자를 최소인원으로 제한하지 않고 기존에 고객DB의 조회 권한이 부여된 개발자, 운영자
          모두가 분리된 회원DB에서 고객정보 조회가 가능한 경우
사례 3 : 휴면 이용자의 재이용 요청에 대비하여 회원 DB에 일부 정보를 남겨두면서 이름, 연락처등 과도한 정보
           를 저장하고 있는 경우 (연결 키값정도만 운영DB에 남겨두는건 상관없다)
3.5.1 개인정보처리방침 공개
 
3. 개인정보 처리단계별 요구사항 - 수보제  
   3.2 정보주체 권리보장 - 권통
사례 1 : 개인정보 처리방침에 공개되어 있는 개인정보 수집, 제3자 제공 내역이 실제 수집 및 제공하는 내역과
           다른 경우
사례 2 : 개인정보 보호책임자의 변경, 수탁자 변경 등 개인정보 처리방침 공개 내용 중에 변경사항이 발생하였음
          에도 이를 반영하여 변경하지 않은 경우
사례 3 : 개인정보 처리방침이 공개는 되어 있으나, 명칭이 ʻ개인정보 처리방침ʼ이 아니라 ʻ개인정보보호정책ʼ
          으로 되어 있고 글자 크기, 색상 등을 활용하여 정보주체(이용자)가 쉽게 찾을 수있도록 되어 있지 않은
          경우
사례 4 : 개인정보 처리방침이 수차례 개정되었으나 예전에 작성된 개인정보 처리방침의 내용을 확인할 수 있도록
           공개되어 있지 않은 경우
3.5.2 정보주체 권리보장
(열10기대탈)
3. 개인정보 처리단계별 요구사항 - 수보제  
   3.2 정보주체 권리보장 - 
사례 1 : 개인정보의 열람, 정정 삭제, 처리정지 요구 방법을 정보주체가 알 수 있도록 공개하지 않은 경우
         (예) E사는 개인정보의 열람, 정정 삭제, 처리정지 요구 방법을 정보주체가 알 수 있도록 공개하지 않아서
               갱징정보처리부서의 담당자에게 문의하여 관련 사항을 처리할 수있었다. (X)
사례 2 : 개인정보의 열람 요구에 대하여 정당한 사유의 통지 없이 열람 요구를 접수받은 날로부터 10일을 초과
           하여 회신하고 있는 경우
사례 3 : 개인정보의 열람 민원에 대한 처리 내역 기록 및 보관이 이루어지지 않은 경우
사례 4 : 정보주체 당사자 또는 정당한 대리인이 맞는지에 대한 확인 절차 없이 열람 통지가 이루어지는 경우
사례 5 : 개인정보의 정정 ․삭제 요구에 대하여 정정 ․삭제 요구를 접수받은 날로부터 10일을 초과하여 회신하는
          경우
사례 6 : 회원 가입 시에는 온라인을 통해 쉽게 회원 가입이 가능하였으나, 회원 탈퇴 시에는 신분증등 추가 서류
          를 제출하게 하거나 오프라인 방문을 통해서만 가능하도록 하는 경우
기타 : 정보주체가 자신의 개인정보 열람을 요구하였으나 문서고에서 개인정보를 찾는 데 시간이 오래 걸릴 듯 하여
        이용자에게 이를 당일 통지하고, 15일 차에 개인정보를 회신하였다, (O)
        -> 10일 내에 처리가 불가함을 10일 이내에 통지 했기 때문에 결함이 아니다.
기타 : 고등학교에서 학생의 아버지가 학생의 성적열람을 요청하여 가족관계증명서와 신분증을 확인하고 성적을 열람
        하게 하였다, (O)
        -> 개인정보 열람요구는 정부주체 뿐만 아니라 그 대리인도 가능하다. 단 대리인이 정당한 대리인인지 합법적인
            수단으로 확인하여 한다.
기타 : 부모가 입대한 자녀를 대신하여 가족관계증명서를 제시하고 개인정보처리 정지를 요구하였다. (X)
          -> 성인인 자녀의 의사를 대신할 경우 위임장이 필요하다.
기타 : 정보주체가 자신의 회원정보 삭제를 요구했으나 법적으로 구매내역을 보전해야 하는 사유가 있어 회원정보 삭제
        가 불가능하다고 3일차에 회신하였다. (X)
        -> 회원정보에서 불피요한 부분은 삭제해야 한다
3.5.3 이용내역 통지
  3. 개인정보 처리단계별 요구사항 - 수보제  
   3.2 정보주체 권리보장 - 처권
사례 1 : 전년도 정보통신서비스 부문 매출액이 100억원 이상이었으나, 금년도에 개인정보 이용내역을 통지하지
           않은 경우
사례 2 : 개인정보 이용내역을 개별 이용자에게 직접적으로 통지하는 대신 홈페이지에서 팝업창이나 별도 공지사
           항으로 안내만 한 경우
728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리(2/10)  (0) 2021.02.04
ISMS-P 키워드별 정리(1/10)  (0) 2021.02.04
ISMS-P 결함사례 (6/7)  (0) 2021.02.04
ISMS-P 결함사례 (5/7)  (0) 2021.02.01
ISMS-P 결함사례 (4/7)  (0) 2021.01.29
728x90
반응형
SMALL
3.1. 개인정보 수집 제한
(일과단가) 3. 개인정보 처리단계별 요구사항 - 보제 파권
   3.1 개인정보 수집 시 보호조치 - 동 주민간 영홍
사례 1 : 회원가입 시 서비스 제공을 위해 필요한 최소한의 정보 외의 기타 정보들을 수집하면서 필수항목과
           선택항목으로 구분하지 않고 일괄로 동의를 받는 경우
사례 2 : 회원가입 양식에서 필수정보와 선택정보로 나눠서 동의를 받고 있으나, 필수정보에 포함된 개인정보
           항목에 서비스 제공을 위해 필요한 최소한의 정보 외의 과도한 개인정보 항목이 포함되어 있는 경우
사례 3 : 회원가입 양식에서 필수와 선택 정보를 구분하여 별도 동의를 받도록 되어 있었으나, 선택정보에 대해
          동의하지 않아도 회원가입이 가능함을 정보주체가 인지할 수 있도록 구체적으로 알리지 않은 경우
         (개인정보 입력 양식에 개인정보 항목별로 필수, 선택 여부가 표시되어 있지 않은 경우 등)
사례 4 : 홈페이지 회원가입 화면에서 선택사항에 대해 동의하지 않거나 선택정보를 입력하지 않으면 다음 단계
          넘어가지 않거나 회원가입이 차단되는 경우
기타 1 : 채용시 부모님의 직업등 업무와 직접적인 연관이 없는 개인정보를 수집하고 있음.
기타 2 : 횸페이지 회원가입 시 선택사항 동의를 하지 않으면 회원가입이 불가능
          (반대로 민감정보인 건강상태를 필수정보로 분류하고 동의하지 않으면 회원가입을 거부하는건 가능)
3.1.2 개인정보의 수집 동의
(거등미비14) 3. 개인정보 처리단계별 요구사항 - 보제 파권 
   3.1 개인정보 수집 시 보호조치 -  주민간 영홍
사례 1 : 개인정보 보호법을 적용받는 개인정보처리자가 개인정보 수집 동의 시 고지 사항에 ʻ동의거부 권리 및
           동의 거부에 따른 불이익 내용ʼ을 누락한 경우 (목항기거를 명확하게 표시하여야 한다)
            -> 단 거부에 대한 고지는 개보법(목항기거) 에서만 나오지 망법(목항기)에서는 없다
사례 2 : 개인정보 수집 동의 시 수집하는 개인정보 항목을 구체적으로 명시하지 않고 ʻ~등ʼ과 같이 포괄적으로
           안내하는 경우
사례 3 : 쇼핑몰 홈페이지에서 회원가입 시 회원가입에 필요한 개인정보 외에 추후 물품 구매 시 필요한 결제 ․
          배송 정보를 미리 필수 항목으로 수집하는 경우
사례 4 : Q&A, 게시판을 통해 비회원의 개인정보(이름, 이메일, 휴대폰번호)를 수집하면서 개인정보 수집 동의
          절차를 거치지 않은 경우
사례 5 : 만 14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의를 받지 않은 경우
3.1.3 주민등록번호 처리 제한
  3. 개인정보 처리단계별 요구사항 - 보제 파권 
   3.1 개인정보 수집 시 보호조치 - 동 민간 영홍
사례 1 : 홈페이지 가입과 관련하여 실명확인, 단순 회원관리 목적을 위해 정보주체(이용자)의 동의에 근거하여
          주민등록번호를 수집한 경우
사례 2 : 정보주체의 주민등록번호를 시행규칙이나 지방자치단체의 조례에 근거하여 수집한 경우
사례 3 : 비밀번호 분실 시 본인확인 등의 목적으로 주민등록번호 뒷 7자리를 수집하지만, 관련된 법적 근거가
          없는 경우
사례 4 : 채용전형 진행단계에서 법적 근거 없이 입사지원자의 주민등록번호를 수집한 경우
사례 5 : 콜센터에 상품, 서비스 관련 문의 시 본인확인을 위해 주민등록번호를 수집한 경우
사례 6 : 주민등록번호 수집 법정주의 시행 이전에 수집하여 저장하고 있던 주민등록번호를 현재 법적 근거가
          없음에도 파기하지 않고 보관하고 있는 경우
           -> D기관은 주민등록번호 수정법정주의 시행 이전에 수집.저장했던 주민등록번호를 감사원 규칙에 근거하여
               계속 보관하고 있다. (O)
               ("법률,대통령령,국회규칙,대법원규칙 ,헌법재판소규칙,중앙선거관리위원회규칙 및 감사원규칙에서
                주민등록번호 처리를 요구를 허용한 경우" 에 해당되기 때문)
사례 7 : 주민등록번호 수집의 법적 근거가 있다는 사유로 홈페이지 회원가입 단계에서 대체수단을 제공하지
           아니하고 주민등록번호를 입력받는 본인확인 및 회원가입 방법만을 제공한 경우
기타 : EEE기업은 영업상목적을 위하여 이용자의 주민등록번호 수집.이용이 불가피한 정보통신서비스제공자로서
        방송통신위원회의 고시에 근거하여 주민등록번호를 수집하였다. (O)
        ("정보통신서비스제공자로서 방송통신위원회에서 고시한 경우" 에 해당됨)
3.1.4 민감정보 및 고유식별정보의 처리 제한
  3. 개인정보 처리단계별 요구사항 - 보제 파권 
   3.1 개인정보 수집 시 보호조치 - 동 주간 영홍
사례 1 : 장애인에 대한 요금감면 등 혜택 부여를 위해 장애여부 등 건강에 관한 민감정보를 수집하면서 다른 
          개인정보 항목에 포함하여 일괄 동의를 받은 경우
사례 2 : 회원가입 시 외국인에 한해 외국인등록번호를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 
           받은 경우
사례 3 : 민감정보 또는 고유식별정보에 대하여 별도 동의를 받으면서 고지해야 할 4가지 사항 중에 일부를 누락
           하거나 잘못된 내용으로 고지하는 경우 (동의 거부 권리 및 동의 거부에 따른 불이익 사항을 고지하지 
           않은 경우 등)
기타 : 병력과 운전면허번호을 묶어서 한꺼번에 별도 동의를 받는 경우
* 단, 유전정보와 범죄경력정보는 공공기관의 업무수행시에는 민감정보로 보지 않기 때문에 동의 필요없다.
    예) 경찰서는 업무수행을 위해 정보주체의 유전자정보를 별도의 동의없이 수집이 가능하다.
3.1.5 간접수집 보호조치
수집출처요구
3개월내통지
쿠키수집시 동의
(5,100,3,3) 
3. 개인정보 처리단계별 요구사항 - 보제 파권 
   3.1 개인정보 수집 시 보호조치 - 동 주 영홍
사례 1 : 인터넷 홈페이지, SNS에 공개된 개인정보를 수집하고 있는 상태에서 정보주체(이용자)의 수집출처 요구
           에 대한 처리절차가 존재하지 않는 경우
사례 2 : 개인정보 보호법 제17조제1항제1호에 따라 다른 사업자로부터 개인정보 제공동의를 근거로 개인정보를
          제공받았으나 이에 대해 해당 정보주체에게 3개월 내에 통지하지 않은 경우(단, 제공받은 사업자가 5만명
         이상 정보주체의 민감정보 또는 고유식별정보를 처리하거나 100만명 이상 정보주체의 개인정보를 처리하
         는 경우)
사례 3 : 서비스 제공과 직접 관련이 없는 타겟 마케팅 목적으로 쿠키에 포함된 개인정보를 동의받지 않고 수집하
          는 경우 (반대로 계약이행에 필요한 경우 동의없이 쿠키정보 수집이 가능하다는 뜻.)
기타 : 정보주체 이외로부터 수집한 개인정보를 처리하는 A회사는 정보주체에게 알린 사실, 알린시기, 알린방법 등
        수집출처에 대해 알린기록을 5년간 보관.관리하였다 (X)
           -> 개인정보 파기시 까지 보관해야 한다.

1.인터넷등 공개된 개인정보
2.다른사람으로부터 받은 개인정보
3.쿠키등 자동수집장치
등 위 3가지의 사례가 나오면 '3.1.5 간접수집 보호조치' 에 해당
3.1.6 영상정보처리기기 설치 ․ 운영
  3. 개인정보 처리단계별 요구사항 - 보제 파권 
   3.1 개인정보 수집 시 보호조치 - 동 주민간 
사례 1 : 영상정보처리기기 안내판의 고지 문구가 일부 누락 되어 운영되고 있거나 영상정보처리기기 운영 ․ 관리
           방침을 수립 ․ 운영하고 있지 않는 경우
사례 2 : 영상정보처리기기 운영 ․ 관리 방침을 수립 운영하고 있으나 방침의 내용과 달리 보관기간을 준수하지
           않고 운영되거나, 영상정보 보호를 위한 접근통제 및 로깅 등 방침에 기술한 사항이 준수 되지 않는 등
          관리가 미흡한 경우
사례 3 : 영상정보처리기기의 설치 ․ 운영 사무를 외부업체에 위탁을 주고 있으나 영상정보의 관리현황 점검에
           관한 사항, 손해배상 책임에 관한 사항 등 법령에서 요구하는 내용을 영상정보처리기기 업무 위탁 계약
          서에 명시하지 않은 경우
사례 4 : 영상정보처리기기의 설치 ․ 운영 사무를 외부업체에 위탁을 주고 있으나 영상정보처리기기 안내판에
          수탁자의 명칭과 연락처를 누락하여 고지한 경우
3.1.7 홍보 및 마케팅 목적 활용 시 조치
  ( 포괄 PUSH DEFAULT 2년) 3. 개인정보 처리단계별 요구사항 - 보제 파권 
   3.1 개인정보 수집 시 보호조치 - 동 주민간 
사례 1 : ʻ홍보 및 마케팅ʼ 목적으로 개인정보를 수집하면서 ʻ부가서비스 제공ʼ, ʻ제휴 서비스 제공ʼ 등과 같이
           목적을 모호하게 안내하는 경우 또는 다른 목적으로 수집하는 개인정보와 구분하지 않고 포괄 동의
           받는 경우
사례 2 : 모바일 앱에서 광고성 정보전송(앱푸시)에 대해 거부 의사를 밝혔으나, 프로그램 오류 등의 이유로 광고성
          앱 푸시가 이루어지는 경우
사례 3 : 온라인 회원가입 화면에서 문자, 이메일에 의한 광고성 정보 전송에 대해 디폴트로 체크되어 있는 경우
사례 4 : 광고성 정보 수신동의 여부에 대해 매 2년 마다 확인을 하지 않은 경우
3.2.1 개인정보 현황관리
  (누등상) 3. 개인정보 처리단계별 요구사항 - 수제 파권
   3.2 개인정보 보유 및 이용시 보호조치 - 품표 단목
사례 1 : 개인정보파일을 홈페이지의 개인정보파일 등록 메뉴를 통해 목록을 관리하고 있으나 그 중 일부 홈페이
          지 서비스와 관련된 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우
사례 2 : 신규 개인정보파일을 구축한지 2개월이 경과하였으나, 해당 개인정보파일을 행정안전부에 등록하지 않은
           경우
사례 3 : 행정안전부에 등록되어 공개된 개인정보파일의 내용(수집하는 개인정보의 항목 등)이 실제 처리하고 있는
           개인정보파일 현황과 상이한 경우
3.2.2 개인정보 품질보장
   3. 개인정보 처리단계별 요구사항 - 수제 파권 
   3.2 개인정보 보유 및 이용시 보호조치 - 표 단목
사례 1 : 인터넷 홈페이지를 통해 회원정보를 변경할 때는 본인확인 절차를 거치고 있으나, 고객센터 상담원과의
           통화를 통한 회원 정보 변경 시에는 본인확인 절차가 미흡하여 회원정보의 불법적인 변경이 가능한 경우
사례 2 : 온라인 회원에 대해서는 개인정보를 변경할 수 있는 방법을 제공하고 있으나, 오프라인 회원에 대해서는
          개인정보를 변경할 수 있는 방법을 제공하고 있지 않은 경우
3.2.3 개인정보 표시제한 및 이용 시 보호조치
  (Like마비) 3. 개인정보 처리단계별 요구사항 - 수제 파권 
   3.2 개인정보 보유 및 이용시 보호조치 - 현품 단목
사례 1 : 개인정보 표시제한 조치 표준이 마련되어 있지 않거나 이를 준수하지 않는 등의 사유로 동일한 개인정보
           항목에 대해 개인정보처리시스템 화면 별로 서로 다른 마스킹 기준이 적용된 경우
사례 2 : 개인정보처리시스템의 화면 상에서는 개인정보가 마스킹되어 표시되어 있으나, 웹브라우저 소스보기를
           통해 마스킹되지 않은 전체 개인정보가 노출되는 경우
사례 3 : 개인정보 검색 화면에서 전체적으로 like 검색이 허용되어 성씨만으로도 불필요하게 과도한 개인정보
           조회되는 경우
사례 4 : 개인정보를 동의 받은 목적을 벗어나 빅데이터 분석에 활용하기 위해 비식별 조치를 하면서 ʻ개인정보
          비식별 조치 가이드라인ʼ에 따른 공식적인 적정성 평가 절차를 거치지 않고 내부 인원만으로 적정성 평가
          를 수행한 경우
3.2.4 이용자 단말기 접근 보호
  3. 개인정보 처리단계별 요구사항 - 수제 파권 
   3.2 개인정보 보유 및 이용시 보호조치 - 현품표 
사례 1 : 스마트폰 앱에서 서비스에 불필요함에도 불구하고 주소록, 사진, 문자 등 스마트폰 내 개인정보 영역에
          접근할 수 있는 권한을 과도하게 설정한 경우
사례 2 : 정보통신서비스 제공자의 스마트폰 앱에서 스마트폰 내 저장되어 있는 정보 및 설치된 기능에 접근하면
          서 접근권한에 대한 고지 및 동의를 받지 않고 있는 경우
사례 3 : 스마트폰 앱의 접근권한에 대한 동의를 받으면서 선택사항에 해당하는 권한을 필수권한으로 고지하여
           동의를 받는 경우
사례 4 : 접근권한에 대한 개별동의가 불가능한 안드로이드 6.0 미만 버전을 지원하는 스마트폰 앱을 배포하면서
          선택적 접근권한을 함께 설정하여, 선택적 접근권한에 대해 거부할 수 없도록 하고 있는 경우
3.2.5 개인정보 목적 외 이용 및 제공
 동법급통 소약범법형
3. 개인정보 처리단계별 요구사항 - 수제 파권 
   3.2 개인정보 보유 및 이용시 보호조치 - 현품표 
사례 1 : 상품배송을 목적으로 수집한 개인정보를 사전에 동의 받지 않은 자사 상품의 통신판매 광고에 이용한 경우
사례 2 : 고객 만족도 조사, 경품 행사에 응모하기 위해 수집한 개인정보를 자사의 할인판매행사 안내용 광고 발송
           에 이용한 경우
사례 3 : 공공기관이 다른 법률에 근거하여 민원인의 개인정보를 목적 외로 타 기관에 제공하면서 관련 사항을
           관보 또는 인터넷 홈페이지에 게시하지 않은 경우 (제공한후 30일 이내, 10일 이상 게시)
사례 4 : 공공기관이 범죄 수사의 목적으로 경찰서에 개인정보를 제공하면서 ʻ개인정보 목적 외 이용 및 제3자
           제공 대장ʼ에 관련 사항을 기록하지 않은 경우 (범죄의 경우에는 관보 또는 인터넷에 게시안해도 됨)
기타 : 사단법인 남극연구소에서 남극협정을 준수하기 위해 국제기구에 남극 방문신청자의 개인정보를 동의없이
        제공하였다. (조약,그밖의 국제협정을 이행하기 위해 정보주체의 동의없이 외국정부 또는 국제기구에 개인정보를
                        제공하는 것은 '공공기관'에만 해당된다.) 
기타 : 법원에서 재판 수행을 위해 등기소로부터 건물주의 개인정보를 제공받았고 이를 법원 홈페이지에 게시하였다.(X)
           -> 개인정보를 제공받는자가 아닌 개인정보를 제공하는 자의 홈페이지에 게시하여야 한다.
기타 : 교통사고를 당한 의식불명의 환자의 가족에 연락하기 위해 119 구급대가 환자의 신원을 병원에 제공하였다.(O)
           -> 급박한 상황
기타 : 공공기관에서 소관업무를 수행하기 위하여 개인정보를 제3자에게 제공 후 관보에 게재하였다. (X)
           -> 보호위원회의 심의를 거쳐야 한다. 
728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리(1/10)  (0) 2021.02.04
ISMS-P 결함사례 (7/7)  (0) 2021.02.04
ISMS-P 결함사례 (5/7)  (0) 2021.02.01
ISMS-P 결함사례 (4/7)  (0) 2021.01.29
ISMS-P 결함사례 (3/7)  (0) 2021.01.27
728x90
반응형
SMALL
2.10.1 보안시스템 운영
  2. 보호대책 요구사항 - 정인외물 인접암정 운사재 
  - 2.10 시스템및 서비스 보안관리 - 클 공거전 업보 패악
※ 보안시스템 유형 (예시)
ㆍ네트워크 보안시스템 : 침입차단시스템(방화벽), 침입방지시스템(IPS), 침입탐지시스템(IDS)
    , 네트워크 접근제어(NAC), DDoS대응시스템 등
ㆍ서버보안 시스템 : 시스템 접근제어, 보안운영체제(SecureOS)
ㆍDB보안 시스템 : DB접근제어
ㆍ정보유출 방지시스템 : Network DLP(Data Loss Prevention), Endpoint DLP 등
ㆍ개인정보보호 시스템 : 개인정보 검출솔루션, 출력물 보안 등
ㆍ암호화 솔루션 : DB암호화, DRM 등
ㆍ악성코드 대응 솔루션 : 백신, 패치관리시스템(PMS) 등
ㆍ기타 : VPN, APT대응솔루션, SIEM(Security Incident & Event Monitoring), 웹방화벽 등

사례 1 : 침입차단시스템(IPS) 보안정책에 대한 정기 검토가 수행되지 않아 불필요하거나 과도하게 허용된 정책이
           다수 존재하는 경우
사례 2 : 보안시스템 보안정책의 신청, 변경, 삭제, 주기적 검토에 대한 절차 및 기준이 없거나, 절차는 있으나
           이를 준수하지 않은 경우
사례 3 : 보안시스템의 관리자 지정 및 권한 부여 현황에 대한 관리감독이 적절히 이행되고 있지 않은 경우
사례 4 : 내부 지침에는 정보보호담당자가 보안시스템의 보안정책 변경 이력을 기록 ․ 보관하도록 정하고 있으나
           정책관리대장을 주기적으로 작성하지 않고 있거나 정책관리대장에 기록된 보안정책과 실제 운영 중인
           시스템의 보안정책이 상이한 경우
기타 : 방화벽 정책 설정시 이에 대한 절차가 없어 장비 담당자가 임의로 정책을 설정하는 경우
2.10.2 클라우드 보안
  2. 보호대책 요구사항 - 정인외물 인접암정 운사재 
  - 2.10 시스템및 서비스 보안관리 -  공거전 업보 패악
사례 1 : 클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한 사항이 포함되어 있지 않은 경우
사례 2 : 클라우드 서비스의 보안설정을 변경할 수 있는 권한이 업무상 반드시 필요하지 않은 직원들에게 과도하게
           부여되어 있는 경우
사례 3 : 내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule) 변경 시 보안책임자 승인을 받도록 하고
           있으나 승인절차를 거치지 않고 등록 ․ 변경된 접근제어 룰이 다수 발견된 경우
사례 4 : 클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을 통해 공개되어 있는 경우
기타    : 클라우드 서비스에 대한 보안설정 변경이력을 별도로 검토한 증적이 없는 경우
2.10.3 공개서버 보안
  2. 보호대책 요구사항 - 정인외물 인접암정 운사재 
  - 2.10 시스템및 서비스 보안관리 -  거전 업보 패악
사례 1 : 인터넷에 공개된 웹사이트의 취약점으로 인하여 구글 검색을 통해 열람 권한이 없는 타인의 개인정보에
          접근할 수 있는 경우
사례 2 : 웹사이트에 개인정보를 게시하는 경우 승인 절차를 거치도록 내부 규정이 마련되어 있으나, 이를 준수하
           지 않고 개인정보가 게시된 사례가 다수 존재한 경우
사례 3 : 게시판 등의 웹 응용프로그램에서 타인이 작성한 글을 임의로 수정 ․ 삭제하거나 비밀번호로 보호된 글
          을 열람할 수 있는 경우
2.10.4 전자거래 및 핀테크 보안
  2. 보호대책 요구사항 - 정인외물 인접암정 운사재 
  - 2.10 시스템및 서비스 보안관리 -  전 업보 패악
사례 1 : 전자결제대행업체와 위탁 계약을 맺고 연계를 하였으나, 적절한 인증 및 접근제한 없이 특정 URL을 통해
          결제 관련 정보가 모두 평문으로 전송되는 경우
사례 2 : 전자결제대행업체와 외부 연계 시스템이 전용망으로 연결되어 있으나 해당 연계 시스템에서 내부 업무
           시스템으로의 접근이 침입차단시스템 등으로 적절히 통제되지 않고 있는 경우
사례 3 : 내부 지침에는 외부 핀테크 서비스 연계 시 정보보호팀의 보안성 검토를 받도록 되어 있으나, 최근에
           신규 핀테크 서비스를 연계하면서 일정 상의 이유로 보안성 검토를 수행하지 않은 경우
2.10.5 정보전송 보안
대중 2. 보호대책 요구사항 - 정인외물 인접암정 운사재 
  - 2.10 시스템및 서비스 보안관리 -  공거 업보 패악
사례 1 : 대외 기관과 연계 시 전용망 또는 VPN을 적용하고 중계서버와 인증서 적용 등을 통해 안전하게 정보를
           전송하고 있으나 외부 기관별 연계 시기, 방식, 담당자 및 책임자, 연계 정보, 법적 근거 등에 대한 현황
           관리가 적절히 이루어지지 않고 있는 경우
기타   : 법규를 준수하기 위해 주기적으로 금융감독원에 정보주체의 개인정보를 전송하면서 법적 근거에 대한
          현황관리를 하지 않음.
사례 2 : 중계과정에서의 암호 해제 구간 또는 취약한 암호화 알고리즘(DES, 3DES) 사용 등에 대한 보안성 검토,
           보안표준 및 조치방안 수립 등에 대한 협의가 이행되고 있지 않은 경우
2.10.6 업무용 단말기기 보안
  2. 보호대책 요구사항 - 정인외물 인접암정 운사재 
  - 2.10 시스템및 서비스 보안관리 -  공거전 보 패악
사례 1 : 업무적인 목적으로 노트북, 태블릿PC 등 모바일기기를 사용하고 있으나 업무용 모바일 기기에 대한 허용
          기준, 사용 범위, 승인 절차, 인증 방법 등에 대한 정책이 수립되어 있지 않는 경우
사례 2 : 모바일 기기 보안관리 지침에서는 모바일 기기의 업무용 사용을 원칙적으로 금지하고 필요시 승인 절차
           를 통해 제한된 기간 동안 허가된 모바일 기기만 사용하도록 정하고 있으나, 허가된 모바일 기기가 식별
       ․ 관리되지 않고 승인되지 않은 모바일 기기에서도 내부 정보시스템 접속이 가능한 경우
사례 3 : 개인정보 처리업무에 이용되는 모바일 기기에 대하여 비밀번호 설정 등 도난 ․ 분실에 대한 보호대책
           적용되어 있지 않은 경우
사례 4 : 내부 규정에서는 업무용 단말기의 공유폴더 사용을 금지하고 있으나, 이에 대한 주기적인 점검이 이루어
           지고 있지 않아 다수의 업무용 단말기에서 과도하게 공유폴더를 설정하여 사용하고 있는 경우
기타    : 사용자의 핸드폰을 업무용으로 사용하고 있는데 이에 대한 적절한 접근통제정책을 적용하고 있으나
            접근통제대책의 적절성에 대해 검토한 이력이 없는 경우
2.10.7 보조저장매체 관리
  2. 보호대책 요구사항 - 정인외물 인접암정 운사재 
  - 2.10 시스템및 서비스 보안관리 -  공거전  패악
사례 1 : 통제구역인 서버실에서의 보조저장매체 사용을 제한하는 정책을 수립하여 운영하고 있으나, 예외 승인
          절차를 준수하지 않고 보조저장매체를 사용한 이력이 다수 확인되었으며, 보조저장매체 관리실태에 대한
          주기적 점검이 실시되지 않아 보조저장매체 관리대장의 현행화가 미흡한 경우
사례 2 : 개인정보가 포함된 보조저장매체를 잠금장치가 있는 안전한 장소에 보관하지 않고 사무실 서랍 등에
           방치하고 있는 경우
사례 3 : 보조저장매체 통제 솔루션을 도입 ․ 운영하고 있으나 일부 사용자에 대해 적절한 승인 절차없이 예외처리
          되어 쓰기 등이 허용된 경우
사례 4 : 전산실에 위치한 일부 공용 PC 및 전산장비에서 일반 USB에 대한 쓰기가 가능한 상황이나 매체 반입 및
          사용 제한, 사용이력 기록 및 검토 등 통제가 적용되고 있지 않는 경우
           (공용PC라고 해서 2.4.7 업무환경보안 은 아님, 매체반입 이라고해서 2.4.6 반출입기기통제 아님.)
2.10.8 패치관리
  2. 보호대책 요구사항 - 정인외물 인접암정 운사재 
  - 2.10 시스템및 서비스 보안관리 -  공거전 업보 
사례 1 : 일부 시스템에서 타당한 사유나 책임자 승인 없이 OS패치가 장기간 적용되고 있지 않은 경우
사례 2 : 일부 시스템에 서비스 지원이 종료(EOS)된 OS버전을 사용 중이나, 이에 따른 대응계획이나 보완대책이
           수립되어 있지 않은 경우
사례 3 : 상용 소프트웨어 및 OS에 대해서는 최신패치가 적용되고 있으나, 오픈소스 프로그램(openssl,openssh,
            Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정 되어 있지 않아 최신 보안
           패치가 적용되고 있지 않은 경우
2.10.9 악성코드 통제
  2. 보호대책 요구사항 - 정인외물 인접암정 운사재
  - 2.10 시스템및 서비스 보안관리 - 보클 공거전 업보 패
사례 1 : 일부 PC 및 서버에 백신이 설치되어 있지 않거나, 백신 엔진이 장기간 최신 버전으로 업데이트되지 않은
          경우
사례 2 : 백신 프로그램의 환경설정(실시간 검사, 예약검사, 업데이트 설정 등)을 이용자가 임의로 변경할 수 있음
          에도 그에 따른 추가 보호대책이 수립되어 있지 않은 경우
사례 3 : 백신 중앙관리시스템에 접근통제 등 보호대책이 미비하여 중앙관리시스템을 통한 침해사고발생 가능성
          이 있는 경우 또는 백신 패턴에 대한 무결성 검증을 하지 않아 악의적인 사용자에 의한 악성코드 전파
          가능성이 있는 경우
사례 4 : 일부 내부망 PC 및 서버에서 다수의 악성코드 감염이력이 확인되었으나 감염 현황, 감염경로 및 원인
          분석, 그에 따른 조치내역 등이 확인되지 않은 경우
2.11.1 사고 예방 및 대응체계 구축
 (침내 비대 위법계) 2. 보호대책 요구사항 - 정인외물 인접암정 운보재 
  - 2.11 사고예방 및 대응 - 취이훈대
사례 1 : 침해사고에 대비한 침해사고 대응 조직 및 대응 절차를 명확히 정의하고 있지 않은 경우
사례 2 : 내부 지침 및 절차에 침해사고 단계별(사고 전, 인지, 처리, 복구, 보고 등) 대응 절차를 수립하여 명시하고
          있으나 침해사고 발생 시 사고 유형 및 심각도에 따른 신고 ․ 통지 절차, 대응 및 복구 절차의 일부 또는
          전부를 수립하고 있지 않은 경우
사례 3 : 침해사고 대응 조직도 및 비상연락망 등을 현행화하지 않고 있거나 담당자별 역할과 책임이 명확히 정의
          되어 있지 않은 경우
사례 4 : 침해사고 신고 ․ 통지 및 대응 협조를 위한 대외기관 연락처에 기관명, 홈페이지, 연락처 등 이 잘못 명시
          되어 있거나 일부 기관 관련 정보가 누락 또는 현행화 되지 않은 경우
사례 5 : 외부 보안관제 전문업체 등 유관기관에 침해사고 탐지 및 대응을 위탁하여 운영하고 있으나 침해사고
          대응에 대한 상호 간 관련 역할 및 책임 범위가 계약서나 SLA에 명확하게 정의되지 않은 경우
사례 6 : 침해사고 대응절차를 수립하였으나 개인정보 침해 신고 기준, 시점 등이 법적 요구사항을 준수하지 못하
          는 경우
기타 : 보안관제업체와의 계약서에 침해사고 대응체계와 관련한 내용이 누락되어 있는 경우
2.11.2 취약점 점검 및 조치
  2. 보호대책 요구사항 - 정인외물 인접암정 운보재  
  - 2.11 사고예방 및 대응 - 이훈대
사례 1 : 내부 규정에 연 1회 이상 주요 시스템에 대한 기술적 취약점 점검을 하도록 정하고 있으나,주요 시스템
           중 일부가 취약점 점검 대상에서 누락된 경우
사례 2 : 취약점 점검에서 발견된 취약점에 대한 보완조치를 이행하지 않았거나, 단기간 내에 조치 할 수 없는
          취약점에 대한 타당성 검토 및 승인 이력이 없는 경우
2.11.3 이상행위 분석 및 모니터링
  (침위임) 2. 보호대책 요구사항 - 정인외물 인접암정 운보재  
  - 2.11 사고예방 및 대응 - 훈대
사례 1 : 외부로부터의 서버, 네트워크, 데이터베이스, 보안시스템에 대한 침해 시도를 인지할 수 있도록 하는
          상시 또는 정기적 모니터링 체계 및 절차를 마련하고 있지 않은 경우
사례 2 : 외부 보안관제 전문업체 등 외부 기관에 침해시도 모니터링 업무를 위탁 하고 있으나, 위탁업체가 제공한
          관련 보고서를 검토한 이력이 확인되지 않거나 위탁 대상에서 제외된 시스템에 대한 자체 모니터링 체계
          를 갖추고 있지 않은 경우
사례 3 : 내부적으로 정의한 임계치를 초과하는 이상 트래픽이 지속적으로 발견되고 있으나 이에 대한 대응조치가
           이루어지고 있지 않는 경우

'2.11.1 사고 예방 및 대응체계 구축' 은 침해사고및 시도에 대한 대응체계를 구축하고, 비상연락망 현행화라던가
외부 보안전문업체에 위탁시 SLA에 관련 사항 명시 등 체계구축이고
'2.11.3 이상행위 분석 및 모니터링'실제 침해시도를 인지할수 있도록 모니터링 체계 구축, 외부기관에 위탁
했다면 위탁업체가 제고한 보고서 검토, 실제 임계치 초과 트래픽 발생했을 경우 대응조치 했는지 여부를 말한다
2.11.4 사고 대응 훈련 및 개선
  2. 보호대책 요구사항 - 정인외물 인접암정 운보재  
  - 2.11 사고예방 및 대응 - 취이
사례 1 : 침해사고 모의훈련을 수행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않는 경우
사례 2 : 연간 침해사고 모의훈련 계획을 수립하였으나 타당한 사유 또는 승인 없이 해당 기간 내에 실시하지 않은
           경우
사례 3 : 모의훈련을 계획하여 실시하였으나 관련 내부 지침에 정한 절차 및 서식에 따라 수행하지 않은 경우
2.11.5 사고 대응 및 복구
   (보원) 2. 보호대책 요구사항 - 정인외물 인접암정 운보재  
  - 2.11 사고예방 및 대응 - 취이훈
사례 1 : 내부 침해사고 대응지침에는 침해사고 발생 정보보호위원회 및 이해관계 부서에게 보고하도록 정하고
          있으나, 실제 침해사고 발생 시 담당 부서에서 자체적으로 대응 조치 후 정보보호위원회 및 이해관계 부서에
          보고하지 않은 경우 (실제 침해사고가 발생을 한 경우이다.)
사례 2 : 최근 DDoS 공격으로 의심되는 침해사고로 인해 서비스 일부가 중단된 사례가 있으나 이에 대한 원인분석
          및 재발방지 대책이 수립되지 않은 경우
2.12.1 재해 ․ 재난 대비 안전조치
(복구절차서 RTO) 2. 보호대책 요구사항 - 정인외물 인접암정 운보사
  - 2.12 재해복구 -
사례 1 : IT 재해 복구 절차서 내에 IT 재해 복구 조직 및 역할 정의, 비상연락체계, 복구 절차 및 방법 등 중요한
          내용이 누락되어 있는 경우
사례 2 : 비상사태 발생 시 정보시스템의 연속성 확보 및 피해 최소화를 위해 백업센터를 구축하여 운영하고 있으
           나 관련 정책에 백업센터를 활용한 재해 복구 절차 등이 수립되어 있지 않아 재해 복구 시험 및 복구가
           효과적으로 진행되기 어려운 경우
사례 3 : 서비스 운영과 관련된 일부 중요 시스템에 대한 복구 목표시간이 정의되어 있지 않으며 이에 대한 적절한
          복구 대책을 마련하고 있지 않은 경우
사례 4 : 재해 복구 관련 지침서 등에 IT 서비스 또는 시스템에 대한 복구 우선순위, 복구 목표시간(RTO),
          복구 목표시점(RPO) 등이 정의되어 있지 않은 경우
사례 5 : 현실적 대책 없이 복구 목표시간(RTO)을 과도 또는 과소하게 설정하고 있거나 복구 목표점(RPO)과 백업
          정책(대상, 주기 등)이 적절히 연계되지 않아 복구 효과성을 보장할 수 없는 경우
           (H사는 RTO를 5분으로 수립하고 있으나 실제 서버 리부팅과 프로그램 재가동에만 최소10분이 걸려
            매번 재해대응 복구 목표를 만족하지 못하고 있는 경우)
기타 : 최근 실시한 BIA (Business Impace Analysis) 결과증적에 D서비스에 대한 수행증적이 없는 경우
         (재해유형식별 -> 영향도분석(BIA) -> IT핵심서비스,시스템식별 -> BCP (RTO,RPO) )
2.12.2 재해 복구 시험 및 개선
  2. 보호대책 요구사항 - 정인외물 인접암정 운보사 
  - 2.12 재해복구 - 
사례 1 : 재해 복구 훈련을 계획․행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않는 경우
사례 2 : 재해 복구 훈련 계획을 수립하였으나 타당한 사유 또는 승인 없이 계획대로 실시하지 않았거나 관련 결과
          보고가 확인되지 않는 경우
사례 3 : 재해 복구 훈련을 계획하여 실시하였으나 내부 관련 지침에 정한 절차 및 서식에 따라 이행되지 않아
          수립한 재해 복구 절차의 적정성 및 효과성을 평가하기 위한 훈련으로 보기 어려운 경우

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 결함사례 (7/7)  (0) 2021.02.04
ISMS-P 결함사례 (6/7)  (0) 2021.02.04
ISMS-P 결함사례 (4/7)  (0) 2021.01.29
ISMS-P 결함사례 (3/7)  (0) 2021.01.27
ISMS-P 결함사례 (2/7)  (0) 2021.01.25
728x90
반응형
SMALL
2.7.1 암호정책 적용
  2. 보호대책 요구사항 - 정인외물 인접정 운보사재
  - 2.7 암호화적용 -
사례 1 : 내부 정책․지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장및 전송 시 암호화
           방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우
사례 2 : 암호정책을 수립하면서 해당 기업이 적용받는 법규를 잘못 적용하여(정보통신망법 대상자에게 개인정보
           보호법의 암호화 요건 적용) 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우
사례 3 : 개인정보취급자 및 정보주체(이용자)의 비밀번호에 대하여 일방향 암호화를 적용하였으나 안전하지 않은
           MD5 알고리즘을 사용한 경우
사례 4 : 정보통신망법 및 내부 규정에 따라 인터넷 웹사이트에 대하여 보안서버를 적용하였으나,회원정보 조회
           및 변경, 비밀번호 찾기, 비밀번호 변경 등 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우
기타 : 회원가입 페이지 주소가 http로 되어 있음에도 별다른 보안프로그램이나 암호적용을 하지 않은 경우
       (https로 하던지 아니면 http로 하되 대신 전송시 암호화를 할 수 있는 방안을 마련해야 함)

   ★★★ 회원가입페이지나 로그인페이지의 URL주소를 유심히 봐야한다. https로 되어있는지.. ★★★★ 
2.7.2 암호키 관리
  2. 보호대책 요구사항 - 정인외물 인접정 운보사재 
  - 2.7 암호화적용 - 
사례 1 : 암호 정책 내에 암호키 관리와 관련된 절차, 방법 등이 명시되어 있지 않아 담당자 별로 암호키 관리 수준
           및 방법이 상이한 등 암호키 관리 상에 취약사항이 존재하는 경우
사례 2 : 내부 규정에 중요 정보를 암호화할 경우 관련 책임자 승인 하에 암호화 키를 생성하고 암호키 관리대장을
           작성하도록 정하고 있으나, 암호키 관리대장에 일부 암호키가 누락되어 있거나 현행화되어 있지 않은 경우
2.8.1 보안 요구사항 정의
(인증지표)

수 전 보안성검증기준/절차
보안성검토 수행
개발침에 보안요구사항
개발준정의서
2. 보호대책 요구사항 - 정인외물 인접암 운보사재
  - 2.8 정보시스템도입및개발보안 - 검시데소운
사례 1 : 정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않은 경우
사례 2 : 신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토하도록 내부 규정을 마련하고 있으나
          최근 도입한 일부 시스템에 대해 인수테스트(취약점 점검) 등의 관련 보안성검토 수행 증적이 확인되지
          않은 경우
사례 3 : 개발 관련 내부 지침에 개발과 관련된 주요 보안요구사항(인증 및 암호화, 보안로그 등)이 정의되어 있지
          않은 경우
사례 4 : ʻ개발표준정의서ʼ에 사용자 패스워드를 안전하지 않은 암호화 알고리즘(MD5, SHA1)으로 사용하도록
             되어 있어 관련 법적 요구사항을 적절히 반영하지 않는 경우 (2.7.1 암호정책적용 결함 아님!!★)
2.8.2 보안 요구사항 검토 및 시험
(시입취PIA)


력값 유효성
약성 점검/개선조치
PIA
2. 보호대책 요구사항 - 정인외물 인접암 운보사재 
  - 2.8 정보시스템도입및개발보안 - 시데소운
사례 1 : 정보시스템 구현 이후 개발 관련 내부 지침 및 문서에 정의된 보안요구사항을 시험하지 않고 있는 경우
사례 2 : 응용프로그램 테스트 시나리오 및 기술적 취약점 점검항목에 입력값 유효성 체크 등의 중요 점검항목
           일부가 누락된 경우
사례 3 : 구현 또는 시험 과정에서 알려진 기술적 취약성이 존재하는지 여부를 점검하지 않거나, 타당한 사유 또는
          승인 없이 확인된 취약성에 대한 개선조치를 이행하지 않은 경우
사례 4 : 공공기관이 5만명 이상 정보주체의 고유식별정보를 처리하는 등 영향평가 의무 대상 개인정보파일 및
          개인정보처리시스템을 신규로 구축하면서 영향평가(PIA)를 실시하지 않은 경우
사례 5 : ★★★공공기관이 영향평가(PIA)를 수행한 후 영향평가 기관으로부터 영향평가서를 제출받은 지 2개월이
           지났음에도 불구하고 영향평가서를 행정안전부장관에게 제출하지 않은 경우★★★
2.8.3 시험과 운영 환경 분리
(소누경)
스코드 변경
검토.모니터링 
2. 보호대책 요구사항 - 정인외물 인접암 운보사재 
  - 2.8 정보시스템도입및개발보안 - 데소운
사례 1 : 타당한 사유 또는 승인 없이 별도의 개발환경을 구성하지 않고 운영환경에서 직접 소스코드 변경을 수행
           하고 있는 경우
사례 2 : 불가피하게 개발시스템과 운영시스템을 분리하지 않고 운영 중에 있으나, 이에 대한 상호검토 내역,
           모니터링 내역 등이 누락되어 있는 경우
사례 3 : 개발시스템이 별도로 구성되어 있으나 개발환경으로부터 운영환경으로의 접근이 통제되지 않아 개발자
           들이 개발시스템을 경유하여 불필요하게 운영시스템 접근이 가능한 경우
          (예) 운영서버에 netstat -at 를 수행해보니깐 ftp 나 ssh 가 연결(established) 되어 있는 걸로 봐서 개발과
                운영환경이 분리가 안되어 있는거 같다)
2.8.4 시험 데이터 보안
  2. 보호대책 요구사항 - 정인외물 인접암 운보사재 
  - 2.8 정보시스템도입및개발보안 - 검시소운
사례 1 : 개발 서버에서 사용할 시험 데이터 생성에 대한 구체적 기준 및 절차가 수립되어 있지 않은 경우
사례 2 : 타당한 사유 및 책임자 승인 없이 실 운영데이터를 가공하지 않고 시험 데이터로 사용하고 있는 경우
사례 3 : 불가피한 사유로 사전 승인을 받아 실 운영데이터를 시험 용도로 사용하면서, 테스트 DB에 대해 운영 DB
           와 동일한 수준의 접근통제를 적용하고 있지 않은 경우
           (예) 운영DB를 데이터를 테스트DB 에 복사해서 사용하고 있음에도 테스트서버에 대한 보안등급이 운영서버
                보다 낮게 설정되어 있어 접근통제가 미흡한 경우
사례 4 : 실 운영데이터를 테스트 용도로 사용한 후 테스트가 완료되었음에도 실 운영데이터를 테스트 DB에서
           삭제하지 않은 경우
2.8.5 소스 프로그램 관리
(이형최)
전 소스
상관리
신 소스
2. 보호대책 요구사항 - 정인외물 인접암 운보사재 
  - 2.8 정보시스템도입및개발보안 - 검시데
사례 1 : 별도의 소스 프로그램 백업 및 형상관리 시스템이 구축되어 있지 않으며, 이전 버전의 소스코드를 운영
           서버 또는 개발자 PC에 승인 및 이력관리 없이 보관하고 있는 경우
사례 2 : 형상관리시스템을 구축하여 운영하고 있으나 형상관리시스템 또는 형상관리시스템에 저장된 소스코드에
          대한 접근제한, 접근 및 변경이력이 적절히 관리되지 않고 있는 경우
사례 3 : 내부 규정에는 형상관리시스템을 통해 소스 프로그램 버전관리를 하도록 되어 있으나, 최신 버전의 소스
           프로그램은 개발자 PC에만 보관되어 있고 이에 대한 별도의 백업이 수행되고 있지 않은 경우
2.8.6 운영환경 이관
  2. 보호대책 요구사항 - 정인외물 인접암 운보사재 
  - 2.8 정보시스템도입및개발보안 - 검시데소
사례 1 : 개발․변경이 완료된 소스 프로그램을 운영환경으로 이관 시 검토 ․ 승인하는 절차가 마련되어 있지 않은
           경우
사례 2 : 운영서버에 서비스 실행에 불필요한 파일(소스코드 또는 배포모듈, 백업본, 개발 관련 문서,매뉴얼 등)이
           존재하는 경우

            (운영서버에 소스를 카피해놓고 거기서 컴파일 하는 것은 '소스프로그램관리' 결함이고
             운영서버에 소스가 존재하는 경우는 '운영환경이관' 결함이다)
사례 3 : 내부 지침에 운영환경 이관 시 안전한 이관 ․ 복구를 위해 변경작업 요청서 및 결과서를 작성하도록
           정하고 있으나 관련 문서가 확인되지 않는 경우
2.9.1 변경관리
D네변

DMZ변경 영향도분석
트워크 변경 검토및 공지
경관리시스템 우회
2. 보호대책 요구사항 - 정인외물 인접암정 보사재
  - 2.9 시스템및 서비스 운영관리 - 성 백로 점시재
사례 1 : 최근 DMZ 구간 이중화에 따른 변경 작업을 수행하였으나 변경 후 발생할 수 있는 보안위험성 및 성능
          평가에 대한 수행 ․ 승인 증적이 확인되지 않은 경우
사례 2 : 최근 네트워크 변경 작업을 수행하였으나 관련 검토 및 공지가 충분히 이루어지지 않아 네트워크 구성도
          및 일부 접근통제시스템(침입차단시스템, DB접근제어시스템 등)의 접근통제리스트(ACL)에 적절히 반영되
          어 있지 않은 경우
          (예) 협력사가 철수했으나 방화벽 운영팀에 공지되지 않아 방화벽ACL rule에 여전히 그때 쓰던 IP가 남아있음
사례 3 : 변경관리시스템을 구축하여 정보시스템 입고 또는 변경 시 성능 및 보안에 미치는 영향을분석 ․ 협의하고
          관련 이력을 관리하도록 하고 있으나 해당 시스템을 통하지 않고도 시스템 변경이 가능하며 관련 변경사항
          이 적절히 검토되지 않는 경우
2.9.2 성능 및 장애관리
(임초반대) 2. 보호대책 요구사항 - 정인외물 인접암정 보사재 
  - 2.9 시스템및 서비스 운영관리 -  백로 점시재
사례 1 : 성능 및 용량 관리를 위한 대상별 요구사항(임계치 등)을 정의하고 있지 않거나 정기 점검보고서 등에
           기록하고 있지 않아 현황을 파악할 수 없는 경우
           (예, IPS임계치에 대한 정의및 임계치 초과시 별도의 대응계획이 존재하지 않음)
사례 2 : 성능 또는 용량 기준을 초과하였으나 관련 검토 및 후속조치방안 수립 ․ 이행이 이루어지고 있지 않은
           경우
사례 3 : 전산장비 장애대응절차를 수립하고 있으나 네트워크 구성 및 외주업체 변경 등의 내 ․외부 환경변화가
           적절히 반영되어 있지 않은 경우
           (트워크 보안장비 장애 시 대응절차가 수립되어 있으나 담당자 연락처가 이전 유지보수 업체인원의
            연락처로 되어 있고, 금년도 도입된 신규장비의 대응절차가 누락되어 있는 경우)
사례 4 : 장애처리절차와 장애유형별 조치방법 간에 일관성이 없거나 예상소요시간 산정에 대한 근거가 부족해
           신속 ․ 정확하고 체계적인 대응이 어려운 경우
2.9.3 백업 및 복구관리
  2. 보호대책 요구사항 - 정인외물 인접암정 보사재 
  - 2.9 시스템및 서비스 운영관리 -  로 점시재
사례 1 : 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구 절차가 수립되어 있지 않은 경우
사례 2 : 백업정책을 수립하고 있으나 법적 요구사항에 따라 장기간(6개월, 3년, 5년 등) 보관이 필요한 백업 대상
          정보가 백업 정책에 따라 보관되고 있지 않은 경우
사례 3 : 상위 지침 또는 내부 지침에 따라 별도로 백업하여 관리하도록 명시된 일부 시스템(보안시스템 정책 및
           로그 등)에 대한 백업이 이행되고 있지 않은 경우
사례 4 : 상위 지침 또는 내부 지침에는 주기적으로 백업매체에 대한 복구 테스트를 수행하도록 정하고 있으나
           복구테스트를 장기간 실시하지 않은 경우
2.9.4 로그 및 접속기록 관리
(절차수립-로그기록-로그백업) 2. 보호대책 요구사항 - 정인외물 인접암정 보사재 
  - 2.9 시스템및 서비스 운영관리 -   점시재
사례 1 : 로그 기록 대상, 방법, 보존기간, 검토 주기, 담당자 등에 대한 세부 기준 및 절차가 수립되어 있지 않은
           경우
사례 2 : 보안 이벤트 로그, 응용 프로그램 및 서비스 로그(Windows 2008 서버 이상) 등 중요 로그에 대한 최대
          크기를 충분하게 설정하지 않아 내부 기준에 정한 기간 동안 기록 ․ 보관되고 있지 않은 경우
사례 3 : 중요 Linux/UNIX 계열 서버에 대한 로그 기록을 별도로 백업하거나 적절히 보호하지 않아 사용자의 명령
          실행 기록 및 접속 이력 등을 임의로 삭제할 수 있는 경우
사례 4 : 개인정보처리시스템에 접속한 기록을 확인한 결과 접속자의 계정, 접속 일시, 접속자 IP주소 정보는 남기
          고 있으나 수행업무(조회, 변경, 삭제, 다운로드 등)와 관련된 정보를 남기고 있지 않은 경우
사례 5 : 로그 서버의 용량의 충분하지 않아서 개인정보처리시스템 접속기록이 3개월 밖에 남아 있지 않은 경우
2.9.5 로그 및 접속기록 점검
  2. 보호대책 요구사항 - 정인외물 인접암정 보사재 
  - 2.9 시스템및 서비스 운영관리 -  백로 시재
사례 1 : 중요 정보를 처리하고 있는 정보시스템에 대한 이상접속(휴일 새벽 접속, 우회경로 접속등) 또는 이상행위
           (대량 데이터 조회 또는 소량 데이터의 지속적 ․ 연속적 조회 등)에 대한 모니터링 및 경고 ․ 알림 정책
           (기준)이 수립되어 있지 않은 경우
사례 2 : 내부 지침 또는 시스템 등에 접근 및 사용에 대한 주기적인 점검 ․ 모니터링 기준을 마련하고 있으나
           실제 이상접속 및 이상행위에 대한 검토 내역이 확인되지 않는 경우
사례 3 : 정보통신망법을 적용받는 정보통신서비스 제공자가 개인정보처리시스템의 접속기록 점검주기
           반기 1회로 정하고 있는 경우 (월1회로 변경)
2.9.6 시간 동기화
  2. 보호대책 요구사항 - 정인외물 인접암정 보사재 
  - 2.9 시스템및 서비스 운영관리 -  백로 
사례 1 : 일부 중요 시스템(보안시스템, CCTV 등)의 시각이 표준시와 동기화되어 있지 않으며 관련 동기화 여부에
           대한 주기적 점검이 이행되고 있지 않은 경우
사례 2 : 내부 NTP 서버와 시각을 동기화하도록 설정하고 있으나 일부 시스템의 시각이 동기화되지 않고 있고,
           이에 대한 원인분석 및 대응이 이루어지고 있지 않은 경우
2.9.7 정보자산의 재사용 및 폐기
  2. 보호대책 요구사항 - 정인외물 인접암정 보사재 
  - 2.9 시스템및 서비스 운영관리 -  백로 점시
사례 1 : 개인정보취급자 PC를 재사용할 경우 데이터 삭제프로그램을 이용하여 완전삭제 하도록 정책 및 절차가
          수립되어 있으나, 실제로는 완전삭제 조치 없이 재사용 하거나 기본 포맷만 하고 재사용하고 있는 등 관련
          절차가 이행되고 있지 않은 경우
사례 2 : 외부업체를 통해 저장매체를 폐기하고 있으나, 계약 내용 상 안전한 폐기 절차 및 보호대책에 대한 내용이
           누락되어 있고 폐기 이행 증적 확인 및 실사 등의 관리 ․ 감독이 이루어지지 않은 경우
사례 3 : 폐기된 HDD의 일련번호가 아닌 시스템 명을 기록하거나 폐기 대장을 작성하지 않아 폐기 이력 및 추적
           할 수 있는 증적을 확인할 수 없는 경우
사례 4 : 회수한 폐기 대상 하드디스크가 완전 삭제되지 않은 상태로 잠금장치 되지 않은 장소에 방치되고 있는
          경우
728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 결함사례 (6/7)  (0) 2021.02.04
ISMS-P 결함사례 (5/7)  (0) 2021.02.01
ISMS-P 결함사례 (3/7)  (0) 2021.01.27
ISMS-P 결함사례 (2/7)  (0) 2021.01.25
ISMS-P 결함사례(1/7)  (0) 2021.01.22
728x90
반응형
SMALL
2.4.1 보호구역 지정
  2. 보호대책 요구사항 - 정인외 인접암정 운보사재 
    - 2.4 물리적보안 - 출정설작반업
사례 1 : 내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되어 있으나
           멤버십 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통제구역에서 누락된 경우
사례 2 : 내부 물리보안 지침에 통제구역에 대해서는 지정된 양식의 통제구역 표지판을 설치하도록 명시하고 있
          으나 일부 통제구역에 표시판을 설치하지 않은 경우
2.4.2 출입통제
(출개과퇴)

입기록검토
방된 상태
도한 출입권한
권한목록에 사자가
2. 보호대책 요구사항 - 정인외 인접암정 운보사재  
    - 2.4 물리적보안 - 정설작반업
사례 1 : 통제구역을 정의하여 보호대책을 수립하고 출입 가능한 임직원을 관리하고 있으나 (여기까지는 2.4.1 보호   
           구역지정), 출입기록을 주기적으로 검토하지 않아 퇴직, 전배 등에 따른 장기 미 출입자가 다수 존재하고
           있는 경우 (출입기록 검토는 '출입통제' 역할)
사례 2 : 전산실, 문서고 등 통제구역에 출입통제 장치가 설치되어 있으나 타당한 사유 또는 승인 없이 장시간
          개방 상태로 유지하고 있는 경우
사례 3 : 일부 외부 협력업체 직원에게 과도하게 전 구역을 상시 출입할 수 있는 출입카드를 부여하고 있는 경우
사례 4 : 통제구역 권한목록에 퇴사자가 존재

기타 : 출입통제 앞에 CCTV 안내판을 설치하지 않았다. (X)
       -> 결함아님.. 공개된 장소가 아니기 때문에 안내판 설치는 의무가 아니다.
2.4.3 정보시스템 보호
  2. 보호대책 요구사항 - 정인외 인접암정 운보사재  
    - 2.4 물리적보안 - 설작반업
사례 1 : 시스템 배치도가 최신 변경사항을 반영하여 업데이트 되지 않아 장애가 발생된 정보시스템을 신속하게
           확인할 수 없는 경우
사례 2 : 서버실 바닥 또는 랙에 많은 케이블이 정리되지 않고 뒤엉켜 있어 전기적으로 간섭, 손상,누수, 부주의
           등에 의한 장애 발생이 우려되는 경우
기타 : 렉실장도를 최신화하지 않아 장애시 장애시스템의 위치를 파악하지 못해 RTO를 초과하여 복구하였다.
2.4.4 보호설비 운영
  2. 보호대책 요구사항 - 정인외 인접암정 운보사재  
    - 2.4 물리적보안 - 출정작반업
사례 1 : 본사 전산실 등 일부 보호구역에 내부 지침에 정한 보호설비를 갖추고 있지 않은 경우
사례 2 : 전산실 내에 UPS, 소화설비 등의 보호설비는 갖추고 있으나 관련 설비에 대한 운영 및 점검기준을 수립
          하고 있지 않은 경우
사례 3 : 운영지침에 따라 전산실 내에 온 ․ 습도 조절기를 설치하였으나 용량 부족으로 인하여 표준 온 ․ 습도를
          유지하지 못하여 장애발생 가능성이 높은 경우.
2.4.5 보호구역 내 작업
(승인 & 점검)

작업 승인
작업기록 분기별 1회 점검
2. 보호대책 요구사항 - 정인외 인접암정 운보사재  
    - 2.4 물리적보안 - 출정설반업
사례 1 : 전산실 출입로그에는 외부 유지보수 업체 직원의 출입기록이 남아 있으나, 이에 대한 보호구역 작업
          신청 및 승인 내역은 존재하지 않은 경우(내부 규정에 따른 보호구역 작업 신청없이 보호구역 출입 및
           작업이 이루어지고 있는 경우)
사례 2 : 내부 규정에는 보호구역 내 작업기록에 대해 분기별 1회 이상 점검하도록 되어 있으나, 특별한 사유
           없이 장기간 동안 보호구역 내 작업기록에 대한 점검이 이루어지고 있지 않은 경우
2.4.6 반출입 기기 통제
  2. 보호대책 요구사항 - 정인외 인접암정 운보사재  
    - 2.4 물리적보안 - 출정설작
사례 1 : 이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역이동컴퓨팅기기 반입에 대한
           통제를 하고 있지 않아 출입이 허용된 내외부인이 이동컴퓨팅기기를 제약없이 사용하고 있는 경우
사례 2 : 내부 지침에 따라 전산장비 반.출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리책임자의
           서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우
2.4.7 업무환경 보안
  2. 보호대책 요구사항 - 정인외 인접암정 운보사재  
    - 2.4 물리적보안 - 출정설작반
사례 1 : 개인정보 내부관리계획서 내 개인정보보호를 위한 생활보안 점검(클린데스크 운영 등)을 정기적으로
           수행하도록 명시하고 있으나 이를 이행하지 않은 경우
사례 2 : 멤버십 가입신청서 등 개인정보가 포함된 서류를 잠금장치가 없는 사무실 문서함에 보관한 경우
사례 3 : 직원들의 컴퓨터 화면보호기 및 패스워드가 설정되어 있지 않고 휴가자 책상 위에 중요문서가 장기간
           방치되어 있는 경우
사례 4 : 회의실 등 공용 사무 공간에 설치된 공용PC에 대한 보호대책이 수립되어 있지 않아 개인정보가 포함된
          파일이 암호화되지 않은 채로 저장되어 있거나 보안 업데이트 미적용, 백신미설치 등 취약한 상태로 유지
          하고 있는 경우
2.5.1 사용자 계정 관리
 (발최본 공퇴어)

급절차 수립
소한 권한만 부여
인계정에 대한 책임은 본인
유금지(계정)
직,전보시 지체없이 권한 변경.말소
제조사 기본계정은 려운 계정으로 변경
2. 보호대책 요구사항 - 정인외물 접암정 운보사재
  - 2.5 인증및 권한관리 - 식인비특접
사례 1 : 사용자 및 개인정보취급자에 대한 계정 및 권한에 대한 사용자 등록, 해지 및 승인절차 없이 구두 요청,
          이메일 등으로 처리하여 이에 대한 승인 및 처리 이력이 확인되지 않는 경우
사례 2 : 개인정보취급자가 휴가, 출장, 공가 등에 따른 업무 백업을 사유로 공식적인 절차를 거치지 않고 개인정
           보취급자로 지정되지 않은 인원에게 개인정보취급자 계정을 알려주는 경우
           (즉 휴가가면서 내 아이디/패스워드를 다른사람한테 알려주는거 자체가 결함이 아니라 알려줘도 되지만
            대신 팀장한테 승인을 받는다던지 하는 공식적인 절차의 의해서 알려줘야 한다는 뜻)
사례 3 : 정보시스템 또는 개인정보처리시스템 사용자에게 필요 이상의 과도한 권한을 부여하여 업무상 불필요한
          정보 또는 개인정보에 접근이 가능한 경우
2.5.2 사용자 식별
(제공운admin)

조사에서 제공하는 기본계정
승인없이 계정을
영계정을 개인계정처럼
Admin계정을 그대로 사용
2. 보호대책 요구사항 - 정인외물 접암정 운보사재 
  - 2.5 인증및 권한관리 - 인비특접
사례 1 : 정보시스템(서버, 네트워크, 침입차단시스템, DBMS 등)의 계정 현황을 확인한 결과, 제조사에서 제공하는
         기본 관리자 계정을 변경하지 않고 사용하고 있는 경우
사례 2 : 개발자가 개인정보처리시스템 계정을 공용으로 사용하고 있으나, 타당성 검토 또는 책임자의 승인 등이
          없이 사용하고 있는 경우
사례 3 : 외부직원이 유지보수하고 있는 정보시스템의 운영계정을 별도의 승인 절차 없이 개인 계정처럼 사용하
           고 있는 경우
사례 4 : 관리자가 Admin 계정의 이름을 바꾸지 않고 그대로 사용하고 있다.

 * 위 사례들은 결국 실제 누가 접근했는지를 정확하게 식별할수 없게 하는 행위들을 가리킨다. 


▶ 1인 1계정 발급을 원칙으로 하여 사용자에 대한 책임추적성(Accountability) 확보
▶ 계정 공유 및 공용 계정 사용 제한
▶ 시스템이 사용하는 운영계정은 사용자가 사용하지 못하도록 제한
▶ 시스템 설치 후 제조사 또는 판매사의 기본계정 및 시험계정은 제거 또는 추측이 어려운 계정으로
변경하여 사용(디폴트 패스워드 변경 포함)
▶ 관리자 및 특수권한 계정의 경우 쉽게 추측 가능한 식별자(root, admin, administrator 등)의 사용을 제한

업무상 불가피하게 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 책임자의
승인을 받아야 한다.
▶ 업무 분장상 정 ․ 부의 역할이 구분되어 관리자 계정을 공유하는 경우에도 사용자 계정을 별도로 부여
하고 사용자 계정으로 로그인 후 관리자 계정으로 변경
▶ 유지보수 업무 등을 위하여 임시적으로 계정을 공유한 경우 업무 종료 후 즉시 해당 계정의 비밀번호
변경
▶ 업무상 불가피하게 공용계정 사용이 필요한 경우 그 사유와 타당성을 검토하여 책임자의 승인을 받
고 책임추적성을 보장할 추가적인 통제방안 적용
2.5.3 사용자 인증
  (외실실B) 2. 보호대책 요구사항 - 정인외물 접암정 운보사재 
  - 2.5 인증및 권한관리 - 비특접
사례 1 : 개인정보취급자가 공개된 외부 인터넷망을 통해서 개인정보처리시스템에 접근 시 안전한 인증수단(OTP)
          적용하지 않고 아이디 ․ 비밀번호 방식으로만 인증하고 있는 경우
사례 2 : 정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 아이디가 존재하지 않거나 비밀번호가 틀림을
          자세히 표시해주고 있으며, 로그인 실패 횟수에 대한 제한이 없는 경우
사례 3 : 개인정보처리시스템이 Brute Force 공격에 취약한 것으로 확인 된 경우
           (로그인 실패횟수에 제한을 걸었다면 Brute Force 공격이 성공될수 없었겠지..)
2.5.4 비밀번호 관리
  (상임변) 2. 보호대책 요구사항 - 정인외물 접암정 운보사재 
  - 2.5 인증및 권한관리 - 특접
사례 1 : 정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나 일부 정보
           시스템 및 개인정보처리시스템에서 내부 지침과 상이 비밀번호를 사용하고 있는 경우
사례 2 : 비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록
          되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하는 경우
사례 3 : 사용자 및 개인정보취급자의 비밀번호 변경주기가 규정되어 있음에도 불구하고 변경하지 않고 그대로 사용
           하고 있는 경우
2.5.5 특수 계정 및 권한 관리
  2. 보호대책 요구사항 - 정인외물 접암정 운보사재 
  - 2.5 인증및 권한관리 - 인비
사례 1 : 정보시스템 및 개인정보처리시스템의 관리자 및 특수 권한 부여 등의 승인 이력이 시스템이나 문서상
          으로 확인이 되지 않거나, 승인 이력과 특수권한 내역이 서로 일치하지 않는 경우
사례 2 : 내부 규정에는 개인정보 관리자 및 특수권한자를 목록으로 작성 ․ 관리하도록 되어 있으나 이를 작성 ․
          관리하고 있지 않거나, 보안시스템 관리자 등 일부 특수권한이 식별 ․ 관리되지 않는 경우
사례 3 : 정보시스템 및 개인정보처리시스템의 유지보수를 위하여 분기 1회에 방문하는 유지보수용 특수 계정이
          사용기간 제한이 없이 상시로 활성화되어 있는 경우
           (ex) 매월 1회 외주직원이 Anti-Dos 유지보수를 위해 방문하며, 이때 사용되는 계정이 상시 활성화 되어 있음
사례 4 : 관리자 및 특수 권한의 사용 여부를 정기적으로 검토하지 않아 일부 특수권한자의 업무가 변경되었음에
           도 불구하고 기존 관리자 및 특수 권한을 계속 보유하고 있는 경우
           (ex) 방화벽 관리자가 타부서로 발령났으나 여전히 방화벽 접속권한을 보유하고 있음)
2.6.1 네트워크 접근
(V공내외케) 2. 보호대책 요구사항 - 정인외물 인암정 운보사재
  - 2.6 접근통제 - 정응데무원인
사례 1 : 네트워크 구성도와 인터뷰를 통해 확인한 결과, 외부 지점에서 사용하는 정보시스템 및 개인정보처리시
           스템과 IDC에 위치한 서버간의 연결 시 일반 인터넷 회선을 통해 데이터 송수신을 처리하고 있어 내부
           규정에 명시된 VPN이나 전용망 등을 이용한 통신이 이루어지고 있지 않은 경우
사례 2 : 내부망에 위치한 DB서버 등 일부 중요 서버의 IP주소가 내부 규정과 달리 공인 IP로 설정되어 있고, 네트
           워크 접근 차단이 적용되어 있지 않은 경우
사례 3 : 서버팜이 구성되어 있으나 네트워크 접근제어 설정 미흡으로 내부망에서 서버팜으로의 접근이 과도하게
           허용되어 있는 경우
사례 4 : 외부자(외부 개발자, 방문자 등)에게 제공되는 네트워크를 별도의 통제 없이 내부 업무 네트워크와 분리
           하지 않은 경우
사례 5 : 내부 규정과는 달리 MAC 주소 인증, 필수 보안 소프트웨어 설치 등의 보호대책을 적용하지 않은 상태로
           네트워크 케이블 연결만으로 사내 네트워크에 접근 및 이용할 수 있는 경우
2.6.2 정보시스템 접근
 (세경불독 IP제한) 2. 보호대책 요구사항 - 정인외물 인암정 운보사재 
  - 2.6 접근통제 - 응데무원인
서버, 네트워크시스템, 보안시스템 등 정보시스템 별 운영체제(OS)에 접근이 허용
되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가?
Ÿ 정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가?
Ÿ 정보시스템의 사용목적과 관계없는 서비스를 제거하고 있는가?
Ÿ 주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가

사례 1 : 사무실에서 서버관리자가 IDC에 위치한 윈도우 서버에 접근 시 터미널 서비스를 이용하여 접근하고
          있으나 터미널 서비스에 대한 Session Timeout 설정이 되어 있지 않아 장시간 아무런 작업을 하지
          않아도 해당 세션이 차단되지 않는 경우
사례 2 : 서버 간의 접속이 적절히 제한되지 않아 특정 사용자가 본인에게 인가된 서버에 접속한 후 해당 서버를
          경유하여 다른 인가받지 않은 서버에도 접속할 수 있는 경우
사례 3 : 타당한 사유 또는 보완 대책 없이 안전하지 않은 접속 프로토콜(telnet, ftp 등)을 사용하여 접근하고 있으
           며, 불필요한 서비스 및 포트를 오픈하고 있는 경우
사례 4 : 응용프로그램의 시스템에 접근 가능한 IP를 제한하지 않는 경우
2.6.3 응용프로그램 접근
(노관동과Like)
 : 노출
   관리자페이지
   동시접속 제한
   과도한 정보포함
   Like검색
2. 보호대책 요구사항 - 정인외물 인암정 운보사재 
  - 2.6 접근통제 - 데무원인
사례 1 : 응용프로그램의 개인정보 처리화면 중 일부 화면의 권한 제어 기능에 오류가 존재하여 개인정보 열람
           권한이 없는 사용자에게도 개인정보가 노출되고 있는 경우
사례 2 : 응용프로그램의 관리자 페이지가 외부인터넷에 오픈되어 있으면서 안전한 인증수단이 적용되어 있지
           않은 경우
사례 3 : 응용프로그램에 대해 타당한 사유 없이 세션 타임아웃 또는 동일 사용자 계정의 동시 접속을 제한하고
           있지 않은 경우
사례 4 : ★★응용프로그램을 통해 개인정보를 다운로드 받는 경우 해당 파일 내에 주민등록번호 등 업무상 불필요한
          정보가 과도하게 포함되어 있는 경우
사례 5 : 응용프로그램의 개인정보 조회화면에서 like 검색을 과도하게 허용하고 있어, 모든 사용자가 본인의 업무
           범위를 초과하여 전체 고객 정보를 조회할 수 있는 경우
2.6.4 데이터베이스 접근
(물공괄우임)
물리적 동일서버
DB계정 공유
DB접근권한 일괄부여
우회하여 DB접근
임시테이블
2. 보호대책 요구사항 - 정인외물 인암정 운보사재 
  - 2.6 접근통제 - 정응무원인
사례 1 : 대량의 개인정보를 보관 ․처리하고 있는 데이터베이스를 인터넷을 통해 접근 가능한 웹 응용프로그램과
          분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우
          또는 DB서버가 DMZ내에 WAS서버와 같이 존재하는 경우
          (프로그램들을 같은 서버에 설치하는 경우 2.6.2 정보시스템 접근 결함이고 이건 DB서버를 다른 서버와 같이
           운영하는 것을 말한다)
사례 2 : 개발자 및 운영자들이 응응 프로그램에서 사용하고 있는 계정을 공유하여 운영 데이터베이스에 접속하고
          있는 경우 (계정공유는 2.5.2 사용자 식별 결함이지만 여기서는 그 계정으로 개인정보처리시스템에 접속한
                       게 아니라 운영 DB에 접속한거기때문에 데이터베이스 접근 결함으로 본다)
사례 3 : 내부 규정에는 데이터베이스의 접속권한을 오브젝트별로 제한하도록 되어 있으나, 데이터베이스 접근권
          한을 운영자에게 일괄 부여하고 있어 개인정보 테이블에 접근할 필요가 없는 운영자에게도 과도하게 접근
         권한이 부여된 경우 (이것도 과도한 권한부여는 2.5.1 사용자계정 결함에 속할수있지만 테이블에 직접 접근
                                  하는 계정을 말하는 것으로 데이터베이스 접근 결함으로 봄)
사례 4 : DB접근제어 솔루션을 도입하여 운영하고 있으나, 데이터베이스 접속자에 대한 IP주소 등이 적절히 제한
          되어 있지 않아 DB접근제어 솔루션을 우회하여 데이터베이스에 접속하고 있는 경우
           (이것도 IP주소제한은 2.6.2.정보시스템 접근 결함으로 볼수 있으나 DB접근제어를 우회하여 DB에 접속한
            것으로 데이터베이스 접근 결함이다.)
사례 5 : 개인정보를 저장하고 있는 데이터베이스의 테이블 현황이 파악되지 않아, 임시로 생성된 테이블에 불필
          요한 개인정보가 파기되지 않고 대량으로 저장되어 있는 경우
2.6.5 무선 네트워크 접근
  2. 보호대책 요구사항 - 정인외물 인암정 운보사재 
  - 2.6 접근통제 - 정응데원인
사례 1 : 외부인용 무선 네트워크와 내부 무선 네트워크 영역대가 동일하여 외부인도 무선네트워크를 통해 별도의
           통제없이 내부 네트워크에 접근이 가능한 경우
사례 2 : 무선 AP 설정 시 정보 송수신 암호화 기능을 설정하였으나 안전하지 않은 방식으로 설정한 경우
사례 3 : 업무 목적으로 내부망에 연결된 무선AP에 대하여 SSID 브로드캐스팅 허용, 무선AP 관리자 비밀번호
           노출(디폴트 비밀번호 사용), 접근제어 미적용 등 보안 설정이 미흡한 경우
2.6.6 원격접근 통제
   (IP VPN 외부) 2. 보호대책 요구사항 - 정인외물 인암정 운보사재 
  - 2.6 접근통제 - 정응데무
사례 1 : 내부 규정에는 시스템에 대한 원격 접근은 원칙적으로 금지하고 불가피한 경우 IP 기반의 접근통제
           통해 승인된 사용자만 접근할 수 있도록 명시하고 있으나 시스템에 대한 원격데스크톱 연결, SSH 접속
           이 IP주소 등으로 제한되어 있지 않아 모든 PC에서 원격 접속이 가능한 경우
사례 2 : 원격운영관리를 위해 VPN을 구축하여 운영하고 있으나 VPN에 대한 사용 승인 또는 접속기간 제한 없이
           상시 허용하고 있는 경우
사례 3 : ★★★ 외부 근무자를 위해 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영 하고 있으나 악성코드
         , 분실․도난 등에 의한 개인정보 유출을 방지하기 위한 적절한 보호대책(백신, 초기화, 암호화 등)을 적용
          하고 있지 않은 경우 ★★★★
기타  : 장애대응을 위해 장애대응전담인원의 핸드폰에 업무용앱을 설치하여 내부시스템을 제어할 수 있게 했으나
         백신 등 별도의 보안조치를 하지 않은 경우
2.6.7 인터넷 접속 통제
(망분리 망간 P2P웹하드) 2. 보호대책 요구사항 - 정인외물 인암정 운보사재 
  - 2.6 접근통제 - 정응데무원
사례 1 : 정보통신망법 등 관련 법규에 따라 망분리를 적용하였으나 개인정보처리시스템의 접근권한 설정 가능자
           등 일부 의무대상자에 대해 망분리 적용이 누락된 경우
사례 2 : 망분리 의무대상으로서 망분리를 적용하였으나 타 서버를 경유한 우회접속이 가능하여 망분리가 적용
          되지 않은 환경에서 개인정보처리시스템 접속 및 개인정보의 다운로드, 파기등이 가능한 경우
사례 3 : DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우
사례 4 : 인터넷 PC와 내부 업무용 PC를 망분리하고 망간 자료전송시스템을 구축 ․ 운영하고 있으나, 자료 전송에
          대한 승인 절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우
사례 5 : 내부 규정에는 개인정보취급자가 P2P 및 웹하드 사이트 접속 시 책임자 승인을 거쳐 특정기간 동안만
           허용하도록 되어 있으나, 승인절차를 거치지 않고 예외 접속이 허용된 사례가 다수 존재하는 경우
728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 결함사례 (5/7)  (0) 2021.02.01
ISMS-P 결함사례 (4/7)  (0) 2021.01.29
ISMS-P 결함사례 (2/7)  (0) 2021.01.25
ISMS-P 결함사례(1/7)  (0) 2021.01.22
ISMS-P 유사 인증기준 항목 비교 (2/2)  (0) 2021.01.21

+ Recent posts