728x90
반응형
SMALL

ISMS-P 인증심사 

<인증에 따른 심사구분>

단일심사 하나의 인증만 신청하는 경우 
  - ISMS만 신청하던지 ISMS-P 를 신청하던지 둘중에 선택
혼합심사 같은 관리체계 내에서 일부 서비스만 개인정보흐름을 포함하여
인증을 받고자 하는 혼합심사의 경우 
수수료와 심사과정을 통합하였으며 유효기간 및 심사주기가
동일하고 범위만 다른 2장의 인증서 발급
예시) ISMS인증범위 (금고서비스 운영), ISMS-P 인증범위 (인터
       넷뱅킹 서비스 운영)
예시) 다른 기간에 개별로 받는 인증은 해당하지 않음 
   예) 상반기 ISMS , 하반기 ISMS-P인증

• 개인정보를 이용하여 서비스를 한다고 무조건 ISMS-P 인증을 받아야 하는 것은아님.
   의무대상자는 자체적으로 판단하여 ISMS, ISMS-P 인증 중에서 선택할 수 있다.
 • ISMS,PIMS를 모두 보유한 기업이 개정된 인증기준으로 ISMS-P를 신청하는 경우에는
   최초심사로 진행되며 새로운 인증서가 발급된다.
 • ISMS,PIMS를 모두 보유한 기업이 ISMS 범위가 A,B,C 이고 PIMS 범위가 A,B,D 인경우
   A,B,C,D 모두 개정된 인증기준의 ISMS로 신청할 수 있다.
 • ISO/IEC 27001 인증으로 인증심사의 일부를 생략할수 있는 건 ISMS인증인 경우에만
  가능하다.
 • ISMS인증의무 대상자는 다음해 8월 31일까지 인증을 받아야 한다. 다만 [재난 및 안전
   관리 기본법] 제3조에 따른 재난 발생 등 협의회가 인정하는 불가피한 사유로 8월 31일
   까지 인증을 받지 못한 경우 인증의무이행 기간을 협의회가 정하는 바에 따라 연장할수
   있다.
 • 인증심사의 일부의 범위를 생략하여 심사하는 경우 인터넷진흥원 또는 인증기관이
   인증을 부여할 때에는 그 사실을 인증서에 표기해야 한다.
 • 인증심사 일부 생략의 범위는 
     2.1 정책,조직,자산
     2.2 인적보안
     2.3 외부자보안
     2.4 물리적보안
     2.12 재해복구

• 심사수행기관은 신청인과 협의를 통해 인증기준내에서 인증범위, 업무특성 등을 
  고려하여 인증심사 항목을 조정할 수 있다. (즉 인증기준은 조정할수 없다)
• 인증 신청인은 인증범위 및 일정 등을 심사수행기관과 사전 협의하여 신청하여야 한다
• 인증심사시 심사수행기관은 인증범위의 변경이 필요한 경우 이를 인증기관과 협의하여
  하여야 한다.
• 한국인터넷진흥원은 신규,특수분야의 인증심사를 수행하고 금융보안원은 금융분야 인증
  심사를 수행한다.
• ISMS는 고객센터,영업점,물류센터,개인정보 취급위탁사는 심사하지 않는다.

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리 (8/10)  (0) 2021.04.28
ISMS-P 키워드별 정리(7/10)  (0) 2021.02.19
ISMS-P 키워드별 정리(6/10)  (4) 2021.02.17
ISMS-P 키워드별 정리(5/10)  (0) 2021.02.15
ISMS-P 키워드별 정리(4/10)  (0) 2021.02.10
728x90
반응형
SMALL

● [개인정보의 안전성 확보조치 기준]과 [개인정보의 기술적.관리적 보호조치 기준] 조문 비교

개인정보의 안전성 확보조치 기준 (행정안전부고시) 개인정보의 기술적.관리적 보호조치 기준 (방송통신위원회고시)
제1조 (목적) 제1조 (목적)
이 기준은 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다. ① 이 기준은 이용자의 개인정보를 처리함에 있어서 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성 확보를 위하여 필요한 기술적·관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한다.
② 정보통신서비스 제공자등은 사업규모, 개인정보 보유 수 등을 고려하여 스스로의 환경에 맞는 개인정보 보호조치 기준을 수립하여 시행하여야 한다
제2조 (정의) 제2조 (정의)
1. "정보주체"란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
2. "개인정보파일"이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물(集合物)을 말한다.
3. "개인정보처리자"란 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말한다.
4. "대기업"이란 「독점규제 및 공정거래에 관한 법률」제14조에 따라 공정거래위원회가 지정한 기업집단을 말한다.
5. "중견기업"이란「중견기업 성장촉진 및 경쟁력 강화에 관한 특별법」제2조에 해당하는 기업을 말한다.
6. "중소기업"이란 「중소기업기본법」제2조 및 동법 시행령 제3조에 해당하는 기업을 말한다.
7. "소상공인"이란 「소상공인 보호 및 지원에 관한 법률」제2조에 해당하는 자를 말한다.
8. "개인정보 보호책임자"란 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항에 해당하는 자를 말한다.
9. "개인정보취급자"란 개인정보처리자의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원, 파견근로자, 시간제근로자 등을 말한다.
10. "개인정보처리시스템"이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.
11. "위험도 분석"이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별·평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말한다.
12. "비밀번호"란 정보주체 또는 개인정보취급자 등이 개인정보처리시스템, 업무용 컴퓨터 또는 정보통신망 등에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로 서 타인에게 공개되지 않는 정보를 말한다.
13. "정보통신망"이란 「전기통신기본법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집·가공·저장·검색·송신 또는 수신하는 정보통신체계를 말한다.
14. "공개된 무선망"이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다.
15. "모바일 기기"란 무선망을 이용할 수 있는 PDA, 스마트폰, 태블릿PC 등 개인정보 처리에 이용되는 휴대용 기기를 말한다.
1. "개인정보 보호책임자"란 이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원을 말한다.
2. "개인정보취급자"란 이용자의 개인정보를 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등의 업무를 하는 자를 말한다.
3. "내부관리계획"이라 함은 정보통신서비스 제공자등이 개인정보의 안전한 처리를 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획을 말한다.
4. "개인정보처리시스템"이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다.
5. "망분리"라 함은 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단조치를 말한다.
6. "비밀번호"라 함은 이용자 및 개인정보취급자 등이 시스템 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보
를 말한다.
7. "접속기록"이라 함은 이용자 또는 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역에 대하여 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록한 것을 말한다.
8. "바이오정보"라 함은 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함한다.
9. "P2P(Peer to Peer)"라 함은 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접 연결되어 파일을 공유하는 것을 말한다.
10. "공유설정"이라 함은 컴퓨터 소유자의 파일을 타인이 조회·변경·복사 등을 할 수 있도록 설정하는 것을 말한다.
11. "보안서버"라 함은 정보통신망에서 송·수신하는 정보를 암호화하여 전송하는 웹서버를 말한다.
12. "인증정보"라 함은 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등이 요구한 식별자의 신원을 검증하는데 사용되는 정보를 말한다.
13. "모바일 기기"란 스마트폰, 태블릿PC 등 무선망을 이용할 수 있는 휴대용 기기를 말한다.
14. "보조저장매체"란 이동형 하드디스크(HDD), USB메모리, CD(Compact Disk) 등 자료를 저장할 수 있는 매체로서 개인정보처리시스템 또는 개인용 컴퓨터 등과 쉽게 분리·접속할 수 있는 저장매체를 말한다.
제3조 (안전조치 기준 적용)  
개인정보처리자가 개인정보의 안전성 확보에 필요한 조치를 하는 경우에는 [별표] 개인정보처리자유형 및 개인정보 보유량에 따른 안전조치 기준을 적용하여야 한다. 이 경우 개인정보처리자가 어느 유형에 해당하는지에 대한 입증책임은 당해 개인정보처리자가 부담한다.  
제4조 (내부 관리계획의 수립.시행) 
지역교권 통암기 악물조 유 위재위
제3조 (내부관리계획의 수립.시행)   
지역 내이 위도
① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야 한다.
1. 개인정보 보호책임자의 지정에 관한 사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보취급자에 대한 교육에 관한 사항
4. 접근 권한의 관리에 관한 사항
5. 접근 통제에 관한 사항
6. 개인정보의 암호화 조치에 관한 사항
7. 접속기록 보관 및 점검에 관한 사항
8. 악성프로그램 등 방지에 관한 사항
9. 물리적 안전조치에 관한 사항
10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
11.개인정보 유출사고 대응 계획 수립·시행에 관한 사항
12. 위험도 분석 및 대응방안 마련에 관한 사항
13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
15. 그 밖에 개인정보 보호를 위하여 필요한 사항
② [별표]의 유형1에 해당하는 개인정보처리자는 제1항에 따른 내부 관리계획을 수립하지 아니할 수 있고, [별표]의 유형2에 해당하는 개인정보처리자는 제1항제12호부터 제14호까지를 내부 관리계획에 포함하지 아니할 수 있다.

  * 유형1 : 내부관리계획 자체를 수립하지 않아도 됨.
    유형2 : 내부관리계획 항목 중 아래 3가지는 안해도 됨.
               12. 위험도분석,
               13. 재해및재난,
               14. 위탁시 관리감독
① 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보보호 조직을 구성·운영 하여야 한다.
1. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
2. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항
4. 개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항
5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
6. 개인정보의 분실·도난·유출·위조·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항
7. 그 밖에 개인정보보호를 위해 필요한 사항
② 정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보 보호책임자 및 개인정보취급자를 대상으로 사업규모, 개인정보 보유 수 등을 고려하여 필요한 교육을 정기적으로 실시하여야 한다.
1. 교육목적 및 대상
2. 교육 내용
3. 교육 일정 및 방법
③ 정보통신서비스 제공자등은 제1항 및 제2항에 대한 세부 계획, 제4조부터 제8조까지의 보호조치 이행을 위한 세부적인 추진방안을 포함한 내부관리계획을 수립·시행하여야 한다.
제5조 (접근 권한의 관리)   
차변 3계 작틀
 
① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.
③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.
⑥개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.
⑦ [별표]의 유형1에 해당하는 개인정보처리자는 제1항 및 제6항을 아니할 수 있다.
안전성확보조치에만 있는거는  "차틀V취세 관재파"

기술적.관리적보호조치에만 있는거 "조백출표규"
여기서 "조" 는 "2문자조합 10자리이상..등 구체적인 비밀번호 작성규칙"을 말함
제6조 (접근통제)
IP IP V접 취세비
제4조 (접근통제)
① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP (Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다.
③ 개인정보처리자는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치를 하여야 한다.
④ 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.
⑤개인정보처리자는 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.
⑥ 개인정보처리자가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS :Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.
⑦ 개인정보처리자는 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.
⑧ [별표]의 유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수 있다.  
   2. VPN or 전용선
   4. 취약점 점검
   5. 세션자동아웃
 
   
   
   
   
① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다.
② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.
③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다.
④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다.
⑤ 정보통신서비스 제공자등은 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 시스템을 설치·운영하여야 한다.
1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
2. 개인정보처리시스템에 접속한 IP주소 등을 재분석하여 불법적인 개인정보 유출 시도를 탐지
⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다.
⑦ 정보통신서비스 제공자등은 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립하고, 이행한다.
⑧ 정보통신서비스 제공자등은 개인정보취급자를 대상으로 다음 각 호의 사항을 포함하는 비밀번호 작성규칙을 수립하고,이를 적용·운용하여야 한다.
1. 영문, 숫자, 특수문자 중 2종류 이상을 조합하여 최소 10자리 이상 또는 3종류 이상을 조합하여 최소 8자리 이상의 길이로 구성
2. 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 않는 것을 권고
3. 비밀번호에 유효기간을 설정하여 반기별 1회 이상 변경
⑨ 정보통신서비스 제공자등은 처리중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에 조치를 취하여야 한다.
⑩ 정보통신서비스 제공자등은 개인정보처리시스템에 대한 개인정보취급자의 접속이 필요한 시간 동안만 최대 접속시간 제한 등의 조치를 취하여야 한다.
제7조 (개인정보의 암호화)  제6조 (개인정보 암호화)
① 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
② 개인정보처리자는 비밀번호 및 바이오정보는 암호화하여 저장하여야 한다. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.
③ 개인정보처리자는 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화하여야 한다.
④ 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
2. 암호화 미적용시 위험도 분석에 따른 결과
⑤ 개인정보처리자는 제1항, 제2항, 제3항, 또는 제4항에 따라 개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장하여야 한다.
⑥ 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하여야 한다.
⑦ 개인정보처리자는 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장하여야 한다.
⑧ [별표]의 유형1 유형2에 해당하는 개인정보처리자는 제6항을 아니할 수 있다.  
   6.암호키
① 정보통신서비스 제공자등은 비밀번호는 복호화 되지 아니하도록 일방향 암호화하여 저장한다.
② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호 알고리즘으로 암호화하여 저장한다.
1. 주민등록번호
2. 여권번호
3. 운전면허번호
4. 외국인등록번호
5. 신용카드번호
6. 계좌번호
7. 바이오정보
③ 정보통신서비스 제공자등은 정보통신망을 통해 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호 중 하나의 기능을 갖추어야 한다.
1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송·수신하는 기능
④ 정보통신서비스 제공자등은 이용자의 개인정보를 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에는 이를 암호화 해야 한다.
제8조 (접속기록의 보관 및 점검)   
1 5 1 2   1회 다안
제5조 (접속기록의 위,변조방지)
① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리하여야 한다. 다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 1명 이상의 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리하여야 한다.
② 개인정보처리자는 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우에는 내부관리 계획으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.
③ 개인정보처리자는 개인정보취급자의 접속기록이 위·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
① 정보통신서비스 제공자등은 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독하여야 하며, 시스템 이상 유무의 확인 등을 위해 최소 1년 이상 접속기록을 보존·관리하여야 한다.
② 단, 제1항의 규정에도 불구하고 「전기통신사업법」 제5조의 규정에 따른 기간통신사업자의 경우에는 보존·관리해야할 최소 기간을 2년으로 한다.
③ 정보통신서비스 제공자등은 개인정보취급자의 접속기록이 위·변조되지 않도록 별도의 물리적인 저장 장치에 보관하여야 하며 정기적인 백업을 수행하여야 한다.
제9조 (악성프로그램 등 방지) 제7조 (악성프로그램 방지)
개인정보처리자는 악성프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지
2. 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트를 실시
3. 발견된 악성프로그램 등에 대해 삭제 등 대응 조치
정보통신서비스 제공자등은 악성 프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영하여야 하며, 다음 각호의 사항을 준수하여야 한다.
1. 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트를 실시하여 최신의 상태로 유지
2. 악성프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트를 실시
제10조 (관리용 단말기의 안전조치)  
개인정보처리자는 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 다음 각 호의 안전조치를 하여야 한다.
1. 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
2. 본래 목적 외로 사용되지 않도록 조치
3. 악성프로그램 감염 방지 등을 위한 보안조치 적용
 
제11조 (물리적 안전조치)   
출잠반 - 출입통제 , 잠금장치 , 반출입통제
제8조 (물리적 접근 방지)     왼쪽과 동일함
① 개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로두고 있는 경우에는 이에 대한 출입통제 절차를 수립·운영하여야 한다.
② 개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
③ 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련하여야 한다. 다만, 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 이를 적용하지 아니할 수 있다.
① 정보통신서비스 제공자등은 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소에 대한 출입통제 절차를 수립·운영하여야 한다.
② 정보통신서비스 제공자등은 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관하여야 한다.
③ 정보통신서비스 제공자등은 개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련하여야 한다.
제12조 (재해.재난 대비 안전조치)
대백 - 대응절차 , 백업.복구계획
 
① 개인정보처리자는 화재, 홍수, 단전 등의 재해·재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 한다.
② 개인정보처리자는 재해·재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하여야 한다.
③ [별표]의 유형1 및 유형2에 해당하는 개인정보처리자는 제1항부터 제2항까지 조치를 이행하지 아니할 수 있다.
 
제13조 (개인정보의 파기)  
① 개인정보처리자는 개인정보를 파기할 경우 다음 각 호 중 어느 하나의 조치를 하여야 한다.
1. 완전파괴(소각·파쇄 등)
2. 전용 소자장비를 이용하여 삭제
3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
② 개인정보처리자가 개인정보의 일부만을 파기하는 경우, 제1항의 방법으로 파기하는 것이 어려울 때에는 다음 각 호의 조치를 하여야 한다.
1. 전자적 파일 형태인 경우 : 개인정보를 삭제한후 복구및 재생되지 않도록 관리및 감독
2. 제1호 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제
 
  제9조 (출력.복사시 보호조치)
  ① 정보통신서비스 제공자등은 개인정보처리시스템에서 개인정보의 출력시(인쇄, 화면표시, 파일생성 등) 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화 한다.
② 정보통신서비스 제공자등은 개인정보가 포함된 종이 인쇄물, 개인정보가 복사된 외부 저장매체 등 개인정보의 출력·복사물을 안전하게 관리하기 위해 출력·복사 기록 등 필요한 보호조치를 갖추어야 한다.
  제10조(개인정보 표시 제한 보호조치)
  정보통신서비스 제공자 등은 개인정보 업무처리를 목적으로 개인정보의 조회, 출력 등
의 업무를 수행하는 과정에서 개인정보보호를 위하여 개인정보를 마스킹하여 표시제한 조치를 취할 수 있다.
  제11조(규제의 재검토)
  방송통신위원회는 「행정규제기본법」 제8조 및 「훈령·예규 등의 발령 및 관리에 관한 규정」(대통령훈령 제334호)에 따라 이 고시에 대하여 2015년 1월 1일을 기준으로 매 3년이 되는 시점(매 3년째의 12월 31일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리 (9/10)  (0) 2021.06.17
ISMS-P 키워드별 정리(7/10)  (0) 2021.02.19
ISMS-P 키워드별 정리(6/10)  (4) 2021.02.17
ISMS-P 키워드별 정리(5/10)  (0) 2021.02.15
ISMS-P 키워드별 정리(4/10)  (0) 2021.02.10
728x90
반응형
SMALL

● 개인정보의 안전성 확보조치 기준과 개인정보의 기술적.관리적 보호조치 기준상의 용어정리

개인정보의 안전성 확보조치 기준 개인정보의 기술적, 관리적 보호조치 기준
1. '정보주체' 란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.  
2. '개인정보파일' 이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다. (전자문서 뿐만 아니라 수기도 포함)  
3. '개인정보처리자' 란 업무를 목적으로 개인정보를 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관,법인,단체및 개인 등을 말한다.  
8. '개인정보보호책임자' 1. '개인정보관리책임자'
9. '개인정보취급자' 란 개인정보처리자의 지휘.감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원,파견근로자,시간제근로자 등을 말한다. 2. '개인정보취급자' 란 이용자의 개인정보를 수집.보관.처
  리,이용,제공,관리 또는 파기 등의 업무를 하는 자를
  말한다.
10. '개인정보처리시스템' 이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다. 4. '개인정보처리시스템' 이란 개인정보를 처리할 수 있도
 록 체계적으로 구성한 데이터베이스시스템을 말한다.
11. '위험도 분석' 이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별.평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안마련을 위한 종합적으로 분석하는 행위를 말한다  
19. '접속기록' 이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알수 있는 계정, 접속일시, 접속자정보, 수행업무 등을 전자적으로 기록한 것을 말한다.  7. '접속기록' 이라 함은 이용자 또는 개인정보취급자 등이
 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 식별자, 접속일시, 접속지를 알수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록하는 것을 말한다.
  3. '내부 관리계획' 이란 정보통신서비스 제공자등이
  개인정보의 안전한 취급을 위하여 개인정보보호 조직의
  구성, 개인정보취급자의 교육, 개인정보 보호조치 등을
  규정한 계획을 말한다.
  11. '보안서버' 라 함은 정보통신망에서 송.수신하는 정보를
  암호화하여 전송하는 웹서버를 말한다.
  12. '인증정보' 라 함은 개인정보처리시스템 또는 정보통신
  망을 관리하는 시스템 등이 요구한 식별자의 신원을
  검증하는 데 사용되는 정보를 말한다

 

● 개인정보보호책임자 (CPO) 지정

국법헌중 고
정3교3군4
34학행
민간기업 사업주 또는 대표자, 임원
(임원이 없는 경우 담당부서장)
개인정보보호법
임원, 담당부서장
(상시종업원5명미만시 지정안하거나 대표자가 CPO)
정보통신망법
공공기관 국회,법원,헌법재판소,중앙선관위의 행정사무처리기관
 및 중앙행정기관
고위공무원단에 속하는 공무원 개인정보보호법
정무직공무원을 장으로 하는
국가기관
3 이상 공무원
시.도 및 시.도교육 3 이상 공무원
시. 및 자치구 4급 공무원
3급 공무원을 장으로 하는
국각기관
4급 이상 공무원
정사무 총괄자
기타 공공기관 개인정보 처리관련업무를 담당하는
부서의 장

 

정책 (Policy) 반드시 충족해야할 특정 요구사항 또는 규칙에 대한 윤곽을 명세한 문서
표준 (Standard) 모든 사람에게 의해 충족되어야 할 모임 또는 시스템에 특화되거나 절차에 특화된
요구사항
지침 (GuideLine) 최상의 실행을 위해 시스템에 특화되거나 절차에 특화된 제안의 모임
절차 (Procedure) 정보보호 정책 표준 지침을 잘 적용할 수 있도록 도와주는 것으로
사용자 시스템 곤리자 및 운영자가 새로운 계정을 준비하고 적절한 권한을 할당하는
 등의 특정 작업을 수행하는 사람들이 따라할 수 있는 자세한 내용
규정 사내의 내부적인 문서로 특정 프로세스 수행 시 반드시 지켜야 할 항목을 나열한 것.

 

● 암호화 알고리즘 수학적 기반 원리

대칭키 블록암호 DES, AES, ARIA, SEED
스트림암호 RC4
공개키 이산대수 DSA, DH, Elgmal
소인수분해 RSA, Robin
타원곡선 ECC, ECDSA, KCDSA
해시 MDC MD5, SHA-1, SHA-2
MAC HMAC, CMAC, GMAC

 

● 암전한 암호화 알고리즘

  취약한 알고리즘 안전한 알고리즘
대칭키 DES, RC4
128비트 미만 AES, ARIA, SEED
SEED,
128비트 이상의 ARIA, AES, Blowfish
HEIGHT, LEA, KASUMI
공개키 2048비트 미만의 RSA RSAES-OAEP, RSAES-PKCS1
해시 MD5, SHA-1 , HAS-160 SHA-256 이상
Whirpool

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리 (9/10)  (0) 2021.06.17
ISMS-P 키워드별 정리 (8/10)  (0) 2021.04.28
ISMS-P 키워드별 정리(6/10)  (4) 2021.02.17
ISMS-P 키워드별 정리(5/10)  (0) 2021.02.15
ISMS-P 키워드별 정리(4/10)  (0) 2021.02.10
728x90
반응형
SMALL

개인정보의 안전성 확보조치 기준과 개인정보의 기술적,관리적 보호조치 기준 비교

개인정보의 안전성 확보조치 기준 개인정보의 기술적, 관리적 보호조치 기준
제1조 목적 제1조 목적
제2조 정의
10. "개인정보처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.
 - 개인정보처리시스템이란 일반적으로 데이터베이스(DB) 내의 데이터에 접근할 수 있도록 해주는 응용시스템을 의미하며, 데이터베이스를 구축하거나 운영하는데 필요한 시스템을 말한다.
 - 업무용 컴퓨터의 경우에도 데이터베이스 응용프로그램이 설치·운영되어 다수의 개인정보취급자가 개인정보를 처리하는 경우에는 개인정보처리시스템에 해당될 수 있다.
- 다만, 데이터베이스 응용프로그램이 설치·운영되지 않는 PC, 노트북과 같은 업무용 컴퓨터는 개인정보처리 시스템에서 제외된다. 
제2조 정의
공개된 무선망”이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다.
 - 공개된 무선망은 커피전문점, 도서관, 공항, 철도역, 버스터미널, 대학, 병원, 유통센터, 호텔 등에 설치될 수 있으며 개인정보처리자가 고객이나 방문객용으로 매장, 로비, 대합실, 회의실, 휴게실,주차장 등의 장소에 설치한 무선접속장치도 이에 해당한다.
 - 개인정보처리자가 직원의 업무처리 목적으로 사무실, 회의실 등에 무선접속장치(AP)를 설치하여 운영하는 경우 “공개된 무선망”에서 제외된다.
· CDMA, WCDMA 등의 기술을 사용하는 이동통신망은 “공개된 무선망”에서 제외된다
 
접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속자 정보, 수행업무 등을 전자적으로 기록한 것을 말한다  
제3조 안전조치 기준 적용 없음
제4조 내부관리계획의 수립.시행
    지역교권 통암기 악물조 유 위재위

1.개인정보보호책임자(CPO)의 지정에 관한 사항
2.개인정보보호책임자 및 개인정보취급자의 역할
  및 책임에 관한 사항 (CISO아님)
3.개인정보취급자의 교육에 관한 사항
4.접근권한의 관리에 관한사항
5.접근통제에 관한 사항
6.개인정보의 암호화조치에 관한 사항
7.접속기록 보관 및 점검에 관한 사항
8.악성프로그램 등 방지에 관한 사항
9.물리적 안전조치에 관한 사항
10.개인정보보호조직에 관한 구성 및 운영에 관한
   사항
11.개인정보 유출사고 대응계획 수립.시행에 관한
  사항.
12.위험도분석 및 대응방안 마련에 관한 사항
13.재해 및 재난대비 개인정보처리시스템의 물리
   적 안전조치에 관한 사항
14.개인정보처리 업무를 위탁하는 경우 수탁자에
   대한 관리 및 감톡에 관한 사항
제3조 내부관리계획의 수립.시행
      지역 내이 위도

1.개인정보관리책임자의 자격요건 및 지정에 관한 사항
2.개인정보관리책임자와 개인정보책임자의 역할 및 책임에
  관한 사항
3.개인정보 내부관리계획의 수립 및 승인에 관한 사항
4.개인정보의 기술적,관리적 보호조치 이행 여부의 내부
  점검에 관한 사항
5.개인정보처리업무를 위탁하는 경우 수탁자에 대한 관리
  감독에 관한 사항
6.개인정보의 도난,분실,누출,변조,훼손 등이 발생한 경우의
  대응절차 및 방법에 관한사항
내부관리계획 중 유형2는 해당하지 않는 항목
  : 위재위
위험도분석 및 대응방안 마련에 관한 사항
재해 및 재난대비 개인정보처리시스템의
    물리적 안전조치에 관한 사항
③ 개인정보처리 업무를 위탁하는 경우 수탁자에   
    대한 관리 및 감독에 관한 사항
 
제5조 접근권한의 관리
:유형1인 경우 다음 2가지 안해도 됨
① 개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여해야 한다.
② 계정및 비밀번호를 일정횟수 이상 틀렸을 경우 접근제한등의 기술적 조치를 취해야 한다
     -> 기술적,관리적보호조치기준에는 없다.
         (즉 정보통신서비스제공자는 해당없음)
정통망법에서는 비밀번호 일정횟수이상 틀린경우에 대한 접근제한사항에 대한 내용은 없다.

사용자패스워드는 내부적으로 설정한 규칙을 준수하면 되는 거지 영어대소문자,숫자,특수문자 조합 8자리이상 2개이상 조합시 10자리 이상 을 따를 필요는 없다. 다만 개인정보취급자는 위 규칙을 준수해야 한다.
제6조 접근통제
① 개인정보처리자는 다음 각호의 조치를 해야 한다.
1.개인정보처리시스템에 대한 접속권한을 IP 주소등으로 제한
2.개인정보처리시스템에 접속한 IP정보를 분석하여 불법적인 정보유출 시도를 탐지

② 외부에서 개인정보처리시스템에 접속하는 경우 VPN 또는 전용선 등 안전한 접속수단이나 안전한 인증수단(OTP) 을 적용 (즉 개보법에서는 둘중에 하나만 적용해도 되고, 망법에서는 둘다 해야 한다.)

③ 개인정보처리시스템, 업무용 컴퓨터, 모바일기기 및 관리용 단말기에 접근통제 조치

연1회이상 취약점 점검 수행

⑤ 일정시간 업무처리 안할시 자동 접속차단
     -> 기술적,관리적보호조치기준에는 없다.
         (즉 정보통신서비스제공자는 해당없음)

⑥ 별도의 개인정보처리시스템 없이 업무용 컴퓨터나 모바일기기를 이용하여 개인정보처리 시  제1항을 적용하지 않을 수 있다. (IP제한) 
  이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS: Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다

유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수있다.
- 안전한 접속수단(VPN,전용선), 안전한 인증수단(OTP) 적용
- 연1회이상 취약점 점검
- 일정시간 업무처리 안할시 자동접속차단
제4조 접근통제
<망분리 대상 - 100 100>
⑥ 전년도말 기준 직전 3개월간 그 개인정보가 저장.관리되고 있는 이용자수가 일일 평균 100만명 이상이거나,정보통신서비스부문 매출액이 100억원 이상인 정보통신서비스제공자는
- 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할수 있거나
- 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터등을 물리적 또는 논리적으로 망분리 해야한다,

* 회원현황만 조회가능한 단순 정보조회자 pc는 망분리 대상이 아니다.
* 개인정보의 기술적,관리적 보호조치 기준 제9조 (개인정보표시제한 보호조치) 에서 정한 미스킹 기준을 따라 개인을 식별할 수 없도록 마스킹 처리가 된 경우에는 망분리 적용대상 아니다.
  반면 DRM을 적용해서 암호화된 개인정보를 다운로드하는 경우에는 DRM과 상관없이 망분리 대상이다.
단순조회자 - 망분리X
마스킹      - 망분리X
DRM        - 망분리O
이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립
개인정보취급자는 비밀번호 작성규칙을 수립하고,이를 적용·운용하여야 한다.
    - 2문자조합 10자리,  3문조합 8자리 등...
  즉 이용자는 그냥 강제는 아니지만, 개인정보취급자(사용자)는 법에 맞는 작성규칙을 따라야 한다.
반면 안전성확보조치기준에서는, 제4조 (접근권한의관리)에서
⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다.

<외부접속시 추가인증수단 적용>
외부에서 개인정보처리시스템에 접속을 불가피하게 허용할때에는 사용자계정/비밀번호 이외에 추가적인 인증수단을 적용해야 한다. 예를 들어 vpn적용해서 vpn아이디/비밀번호 접속후 사용자계정/비밀번호 접속으로만 하지 말고 otp등 추가적인 2차 인증수단을 적용해야 한다. 
(개보법에서는 안전한 접속수단(VPN,전용선) or 안전한 인증수단(OTP) 중 하나만
 적용해도 되지만 망법에서는 둘다 적용해야 함)

단순한 조회자권한만 있더라도 otp를 적용해야 한다.
(망분리 대상자와는 달리)
제7조 개인정보의 암호화
:유형1,2인 경우 다음 1가지 안해도 됨
①안전한 암호화키 생성.이용.보관.배포.파기절차를 수립.시행해야 한다.
제6조 개인정보의 암호화
③ 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보및 인증정보를 송.수신할때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호중 하나의 기능을 갖추어야 한다.
  1. 웹서버에 SSL 인증서를 설치하여 전송하는 정보를 암호화하여 송.수신 -> HTTPS 를 말함.
  2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송수신 -> http를 사용하는 대신 암호화해주는 응용프로그램이라도 있어야 한다.
  -> http://www.xxx.co.kr/join 식으로 회원관리페이지 URL인데 별도 암호화해서 전송해주는 응용프로그램도 없이 딸랑 웹방화벽만 있으면 결함.  (2.7.1 암호정책 적용)
제8조 접속기록의 보관 및 점검
 ① 접속한 기록을 1년이상 보관.관리하여야 한다
    다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, (1명이라도)고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템인 경우 2년이상 보관.관리하여야 한다.
 ② 개인정보처리자는 개인정보의 오남용,분실도난,유출,위조,변조,훼손 등에 대응하기위해 접속기록을 월1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우 내부관리계획으로 정하는 바에 따라 그 사유를 반드시 확인해야 한다
 ③ 개인정보처리자는 접속기록이 위.변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다.
(정보통신제공자와 달리 백업의무를 명시하지는 않았고 따라서 물리적인 저장장치에 보관하지 않아도 된다.)

접속기록관련해서는 3가지가 준수되어야 한다.
    1. 항목 - 계정,접속일시,IP,업무내용 등
    2. 보관 - 1년 or 2년
    3. 위변조방지 - 안전하게 보관 (백업,Hash)
제5조 접속기록의 위.변조 방지
① 정보통신제공자등은 접속한 기록을 월1회 이상 정기적으로 점검하고, 시스템 이상유무의 확인 등을 위하여 최소 1년 이상 접속기록을 보존.관리해야 한다.
② 단 제1항에도 불구하고 기간통신사업자의 경우에는 보존,관리해야 하는 기간을 2년으로 한다.
③ 정보통신제공자등은 접속기록이 위.변조 되지 않도록 별도의 물리적인 저장 장치에 보관하고 정기적으로 백업을 수행 하여야 한다.
제9조 악성프로그램 등 방지 제7조 악성프로그램 방지
제10조 관리용단말기의 안전조치
 "관리용 단말기" 란 개인정보시스템의 관리,운영,개발,보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다.
 
제11조 물리적 안전조치 제8조 물리적 접근방지
제12조 재해.재난대비안전조치
  ① 개인정보처리자는 화재,홍수,단전등의 재해.재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 한다.
 ② 개인정보처리자는 재해.재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련해야 한다.
  유형1, 유형2에 해당하는 개인정보처리자는 위 제1항,제2항의 조치를 이행하지 아니할 수있다
 
 
제13조 개인정보의 파기  
  제9조 출력.복사시 보호조치
  제10조 개인정보표시제한조치
  제11조 규제의 재검토
[별표] 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준  

 

● 개인정보의 안전성 확보조치 기준에만 나오는 항목 (차틀 V취세 관재파)

 안전성 확보조치에만 나오는 항목
  (차틀 V취세 관재파)

 즉 정보통신서비스제공자에게는 해당없는,
    개인정보보호법에 적용받는 공공기관에만 해당.

안전성확보조치에서는 안전한접속수단(VPN,전용선)
                         + 안전한인증수단(OTP)
기술적.관리적에서는 안전한인증수단(OTP)만 명시
접근권한 차등부여
비밀번호 일정횟수이상 틀렸을시 조치

VPN 또는 전용선 등 안전한 접속수단
일정시간 사용하지 않는경우 접속(세션) 차단
연1회이상 취약점 점검

관리용 단말기의 안전조치
재해.재난대비 안전조치
개인정보의 파기
기술적 관리적 보호조치에만 나오는 항목
(조백출표규)
2문자조합10자리이상,3문자조합 8자리 등 비밀번호 구체적인 작성규칙
접속기록 물리적인 저장장치에 백업
출력.복사시 보호조치
개인정보표시 제한조치
규제의 재검토

 

● 유형별 개인정보의 안전성 확보조치 기준

유형 기준 해당 회사 안해되 되는 항목
유형1 (완화)

내차틀 V취세재
1만명 미만의 정보주체에 관한 개인정보를 보유 소상공인,단체,개인 <유형1 - 안해도 되는 것>  ->  내차틀 V취세 재

 (1) 내부관리계획
         <제5조 접근권한의 관리>
 (2) 개인정보처리시스템에 대한 접근권한을 업무
     수행에 필요한 최소한의 범위로 업무담당자
     에 따라 차등 부여해야 한다.
 (3) 계정및 비밀번호를 일정횟수 이상 틀렸을
    경우 접근제한등의 기술적 조치를 취해야 한다
        
         < 제6조 접근통제 >
 (4) VPN,전용선 or OTP 적용
 (5) 연1회이상 취약점 점검
 (6) 일정시간 업무처리 안할시 자동접속차단
     (세션타임아웃)

          <제12조 재해.재난대비안전조치>
유형2 (표준)

위재위 키재
100만명 미만 중소기업 제4조 내부관리계획의 수립.시행
  아래 3가지를 내부관리계획에 포함하지 아니할 수 있다.
 12.위험도분석 및 대응방안 마련에 관한 사항
 13.재해 및 재난대비 개인정보처리시스템의 물리
   적 안전조치에 관한 사항
 14.개인정보처리 업무를 위탁하는 경우 수탁자에
   대한 관리 및 감톡에 관한 사항
제7조 개인정보의 암호화
 ①안전한 암호화키 생성.이용.보관.배포.파기
       절차를 수립.시행해야 한다.

제12조 재해.재난대비안전조치
10만명 미만 대기업, 중견기업, 공공기관
1만명 이상 소상공인, 단체, 개인
유형3 (강화) 10만명 이상 대기업, 중견기업, 공공기관  
100만명 이상 중소기업, 단체  

 

 유형

구분 1만명 미만 1만명 ~ 10만명 미만 10만명 ~ 100만명 미만 100만명 이상
소상공인 유형1 유형2
개인
단체 유형2 유형3
중소기업 유형2 유형3
공공기관 유형2 유형3
대기업
중견기업

 

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리 (8/10)  (0) 2021.04.28
ISMS-P 키워드별 정리(7/10)  (0) 2021.02.19
ISMS-P 키워드별 정리(5/10)  (0) 2021.02.15
ISMS-P 키워드별 정리(4/10)  (0) 2021.02.10
ISMS-P 키워드별 정리(3/10)  (0) 2021.02.08
728x90
반응형
SMALL

인증심사 일정

1일차 2~3일차 4일차 5일차
[시작회의]
 - 심사원 소개
 - 인증범위 소개
[인증범위설명]
 - 조직및 물리적범위 설명
[문서심사]
  - 정보자산목록
  - 정책문서 등
[심사팀 회의]
 - 추가자료요청
 - 인터뷰대상,일정
 - 심사주안점
[문서 및 현장심사]
[심사팀 회의]
[추가증적 확인 및 인터뷰]
[심사팀 회의]
[결함보고서 작성]
[검토회의]
[종료회의]
① 인증 신청인은 인증범위 및 일정 등을 심사수행기관(인증기관 아니고) 과 사전협의하여 신청하여야 한다. 
 서면심사는 별표 7의 인증기준에 적합한지에 대하여 정보보호 및 개인정보보호 관리체계 구축·운영 관련 정책, 지침, 절차 및 이행의 증적자료 검토, 정보보호대책 및 개인정보 처리단계별 요구사항 적용 여부 확인 등의 방법으로 관리적 요소를 심사한다.
 현장심사는 서면심사의 결과와 기술적·물리적 보호대책 이행여부를 확인하기 위하여 담당자 면담, 관련 시스템 확인 및 취약점 점검 등의 방법으로 기술적 요소를 심사한다. 

 

● 인증심사 중단 사유 - 고준보천

 1. 신청인이 고의 인증심사의 실시를 지연 또는 방해하거나 신청인의 귀책사유로 인하여 인증심사팀장
    인증심사를 계속 진행하기가 곤란하다고 판단하는 경우
 2. 신청인이 제출한 관련자료 등을 검토한 결과 인증심사를 받을 준비가 되었다고 볼수 없는 경우
 3. 인증심사 후 보완조치를 최대 100일 (재조치 요구 60일 포함) 이내에 완료하지 못한 경우
 4. 천재지변 및 경영환경 변화 등으로 인하여 인증심사 진행이 불가능하다고 판단되는 경우 

* 인증심사 기간중에 증적부족 및 인터뷰 스케쥴 지연 등이 발생하는 경우에는 그 전까지 확인된 사항만을
  가지고 결함보고서를 작성을 하고 규정된 기간내에 보완조치하도록 가이드를 한다.

 

● 인증심사원 자격유지조건

유효기간 3년 이내 42시간 이상 수료
  - 필수교육 : 1일 (7시간)
  - 선택교육 : 5일 (35시간)
인증심사 5일 참여시마다 선택교육 1일 이수한 것으로 인정

 

● 개인정보 안전성 확보조치 기준

내부관리계획 중 유형2는 해당하지 않는 항목 (위재위)
  - 위험도분석 및 대응방안 마련에 관한 사항
  - 재해 및 재난대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
  - 개인정보처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

 

업무양도양수시 고지

 - 고지내용에는 이전받는자의 정보를 고지하는 거지 이전하는 자의 정보를 고지하는 게 아니다.
    1.개인정보를 이전하려는 사실
    2.이전받는자의 성명,주소,전화번호 및 연락처
 - 개인정보보호법에서는 양수자가 이미 고지했으면 양수자는 고지 안해도 되지만
   정통망법에서는 무조건 양도자,양수자 각각 고지 해야 한다. (개통명 망통통)
 - 고지할때 개별통지가 어려우면 대신 양도자의 홈페이지에 30일 이상 게제만 해도
   된다.

 

주민등록번호 수집.이용 허용 법령 사례

법률 수집주체 사유
금융실명거래 및 비밀보장에 관한법률 금융회사 금융거래시 거래자의 성명,주민등록번호로 실명 확인
전자상거래 등에서의 소비자보호법 전자상거래 사업자 거래기록 및 그와 관련한 개인정보 보존
전자금융 거래법 금융기관, 전자금융업자 전자화폐를 사용하고자 할 경우 실지명의와 연결하여 관리
부가가치세법 일반사업자 세금계산서에 공급받은 자의 주소.성명,주민등록번호 기재
소득세법 원천징수 의무자 원천징수영수증상의 주민등록번호 기재
의료법 병원 진단서.처방전,진료기록부상의 주민등록번호 기재
보험업법 보험회사 각 호에서 정하는 업무수행에 불가피하경우
예) 회사가 단체보험가입때문에 임직원의
    주민등록번호처리
자격기본법 공인자격 관리자 공인자격증 기재사항 및 관리를 위해 주민등록번호 수집
이용가능
고용보험법 사업주 또는 훈련기관 직업능력개발 훈련비용 청구를 위한 지원서 작성시
훈련생의 주민등록번호 기재
전기통신사업법 전기통신사업자가 수시기간
에 재출
수사기관이 전기통신사업법에 의한 통신자료 요청 시
전자서명법   공인인증기관
방송법 방송사업자 방송사업자에 대해 정보공개 요구
벤처기업 육성에
관한 특별조치법
벤처기업 주식 교환 시 주주의 주민등록번호 기재사항

 

 개인정보보호조치 기준 조항 비교

개인정보의 안전성 확보조치 기준 개인정보의 기술적, 관리적 보호조치 기준
제1조 (목적) 제1조 (목적)
제2조 (정의) 제2조 (정의)
제3조 (안전조치기준 적용)  
제4조 (내부관리계획의 수립.시행) 제3조 (내부관리계획의 수립.시행)
제5조 (접근권한의 관리)  
제6조 (접근통제) 제4조 (접근통제)
제7조 (개인정보의 암호화) 제6조 (개인정보의 암호화)
제8조 (접속기록 보관 및 점검) 제5조 (접속기록 위변조 방지)
제9조 (악성프로그램 등 방지) 제7조 (악성프로그램 방지)
제10조 (관리용단말기의 안전조치)  
제11조 (물리적 안전조치) 제8조 (물리적 접근 방지)
제12조 (재해.재난대비 안전조치)  
제13조 (개인정보의 파기)  
  제9조 (출력.복사시 보호조치)
  제10조 (개인정보표시제한조치)
  제11조 (규제의 검토)
[별표] 개인정보처리자 유형 및 개인정보 보유량에
따른 안전조치 기준
 

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리(7/10)  (0) 2021.02.19
ISMS-P 키워드별 정리(6/10)  (4) 2021.02.17
ISMS-P 키워드별 정리(4/10)  (0) 2021.02.10
ISMS-P 키워드별 정리(3/10)  (0) 2021.02.08
ISMS-P 키워드별 정리(2/10)  (0) 2021.02.04
728x90
반응형
SMALL

● 정책(인증)협의회

[정보보호및 개인정보보호 관리체계 인증 등에 관한 고시]
제5조 (협의회의 운영)
① 협의회는 정보보호 및 개인정보보호 관리체계 인증제도 와 관련하여 다음 각 호의 사항을 협의한다.

1. 인증제도 연구 및 개선에 관한 사항
2. 인증제도 운영을 위한 제반사항 검토 및 품질관리에 관한 사항
3. 인증기관 및 심사기관의 지정·재지정 및 업무정지·지정 취소에 관한 사항
   (인증취소는 인터넷진흥원 또는 인증기관에서 담당한다.)
4. 인증기관 및 심사기관의 관리·감독에 관한 사항
5. 인증제도 운영에 따른 민원 처리 및 법적 분쟁에 관한 사항
  (인증심사 결과에 대한 이의처리는 인터넷진흥원이나 인증기관에서 처리한다.)
6. 그 밖에 협의가 필요한 사항

 

● 인증위원회

1. 인증위원회는 35인 이내의 위원으로 구성하되 위원은 정보보호 및 개인정보보호 관련 분야에 학식과 경험이
    있는 자중에서 인터넷진흥원 또는 인증기관의 장이 위촉하며, 위원장은 위원중에서 호선한다.
   인증위원회 회의마다 위원장과 인증위원의 전문분야를 고려하여 6인 이상의 인증위원으로 구성한다.

제29조 (인증위원회 구성)
① 인터넷진흥원 또는 인증기관의 장은 다음 각 호의 사항을 심의.의결하기 위하여 인증위원회를 설치.운영하여야 한다.

   (적취이)
  1.최초심사 또는 갱신심사 결과가 인증기준에 적합한지 여부
  2.인증의 취소에 관한 사항
  3.이의신청에 관한 사항

 

● 인증에 따른 심사구분

단일심사 하나의 인증만 신청하는 경우
 - ISMS만 신청하던지 ISMS-P를 신청하던지 둘중에 선택
혼합심사 같은 관리체계 내에서 일부 서비스만 개인정보흐름을 포함하여 인증을 받고자 하는 혼합심사의 경우
수수료와 심사과정을 통합하였으며 유효기간 및 심사주기가 동일하고 범위만 다른 2장의 인증서 발급
예시) ISMS인증범위 (금고서비스 운영), ISMS-P 인증범위 (인터넷뱅킹 서비스 운영)
예시) 다른 기간에 개별로 받는 인증은 해당하지 않음
   예) 상반기 ISMS , 하반기 ISMS-P인증
 • 개인정보를 이용하여 서비스를 한다고 무조건 ISMS-P 인증을 받아야 하는 것은 아님.
   의무대상자는 자체적으로 판단하여 ISMS, ISMS-P 인증 중에서 선택할 수 있다.
 • ISMS,PIMS를 모두 보유한 기업이 개정된 인증기준으로 ISMS-P를 신청하는 경우에는
   최초심사로 진행되며 새로운 인증서가 발급된다.
 • ISMS,PIMS를 모두 보유한 기업이 ISMS 범위가 A,B,C 이고 PIMS 범위가 A,B,D 인경우
   A,B,C,D 모두 개정된 인증기준의 ISMS로 신청할 수 있다.
 • ISO/IEC 27001 인증으로 인증심사의 일부를 생략할수 있는 건 ISMS인증인 경우에만 가능하다.
 • 인증심사의 일부의 범위를 생략하여 심사하는 경우 인터넷진흥원 또는 인증기관이
   인증을 부여할 때에는 그 사실을 인증서에 표기해야 한다.
 • 인증심사 일부 생략의 범위는
     2.1 정책,조직,자산
     2.2 인적보안
     2.3 외부자보안
     2.4 물리적보안
     2.12 재해복구

심사수행기관은 신청인과 협의를 통해 인증기준내에서 인증범위, 업무특성등을  고려하여 인증심사 항목을 조정할 수 있다. 
• 인증 신청인은 인증범위 및 일정 등을 심사수행기관과 사전 협의하여 신청하여야 한다.
• ISMS는 고객센터,영업점,물류센터,개인정보 취급위탁사는 심사하지 않는다.

 

● 인증수수료

    1. ISMS  - 정보시스템수 , 인력 수
    2. ISMS-P - 정보시스템수 , 인력 수 , 심사복잡도
       *심사복잡도 : ISMS-P는 개인정보위탁사, 서비스 수에 따라 추가금액 적용

● 개인정보분쟁조정위원회와 개인정보보호위원회

개인정보 분쟁조정위원회 개인정보 분쟁조정위원회는 개인정보와 관련한 분쟁사건을 합리적이고 원만하게 조정하여 해결하는 준사법적 기구이다.
1. 워원장1명을 포함하여 20명 이내의 위원으로 구성하며 위원은 당연직 위원과 위촉직 위원으로 구성한다.
2. 조정업무의 효율적 처리를 위하여 조정부를 설치할 수 있으며 조정부는 조정사건의 분야별로 위원장이 지명하는 5명 이내의 위원으로 구성하되 그 중 1명은 변호사 자격이 있는 위원으로 하게된다.
3. 이러한 조정부가 위원회에서 위임받아 의결한 사항은 개인정보 분쟁조정위원회에서 의결한것으로 본다.
개인정보보호위원회 개인정보보호에 관한 사항을 심의.의결하는 대통령 소속 행정위원회이다
1. 위원장 1명과 상임위원 1명을 포함하여 15명 이내로 구성하되, 상임위원은 정무직 공무원으로 임명한다.
2. 위원은
    ① 개인정보보호와 관련한 시민사회단체 또는 소비자단체로부터 추천받은 사람,    
    ② 개인정보처리자로 구성된 사업자단체로부터 추천을 받은 사람,  
    ③ 그 밖에 개인정보에 관한 학식과 경험이 풍부한 사람
  중에서 대통령이 임명하거나 위촉한다.
  다만 5명은 국회가 선출하는 사람과 대법원장이 지명하는 사람을 임명하거나 위촉한다.
3. 위원의 임기는 3년으로 하되, 1차에 한하여 연임할수 있다

 

 - 2개월 이상 ISMS 운영
 - 심사시작일 기준 최소 6주전에 신청서 제출  (준비부터 인증까지는 8개월 소요)
 - 심사후 결함 보완조치기간 40일
   추가적인 보완조치기간 60일
   총 100일

 

● ISMS 인증 의무대상자 기준

ISP

정보통신망서비스
[전기통신사업법]에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서
정보통신망서비스를 제공하는 자 (이동통신, 인터넷전화, 인터넷접속서비스)
예) LG U+ , SKT , KT
 * 정보통신망서비스 제공자라도 모두 의무대상자가 아니고 서울과 광역시에 서비스를
   제공하는 제공자만이 의무대상자 이다. (매출액이나 사용자에 관계없이)
예를 들어 부산광역시에서 ISP 서비스제공자는 의무대상자가 아니다.
서울 과 모든 광역시에서 서비스를 제공하는 사업자만이 대상자이다
IDC

집적정보통신시설
[정보통신망법] 에 따른 집적정보통신시설 사업자
(데이터센터, 서버호스팅,  Co-Location 서비스 등)
예) LG CNS, 삼성SDS 데이터센터
(매출액이나 사용자에 관계없이)

단. VIDC 즉 다른 IDC에 입주해서 재판매하는 사업자는 매출액이 100억원 이상인 경우
에만 의무 대상자이다.
다음의 조건중
어느 하나라도
해당하는 자

 - 상급종합병원(1,500억),
 - 대학교(1만명/1,500억)

 - 100억 정보통신
 - 100만명 정보통신
연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당하는 경우
 -[의료법] 에 따른 상급종합병원
 -직전연도 12월31일기준 재학생수가 1만명 이상인 [고등교육법] 에 따른 학교 
   (2년제 대학교, 4년제 대학교, 사이버대학교…)
정보통신서비스 부문 전년도 매출액이 100억원 이상인 자
(쇼핑몰, 포털, 게임사 등)
전년도 직전 3개월간 정보통신서비스 일일평균 이용자 수가 100만명 이상인 자
(쇼핑몰, 포털, 게임, 예약 , 케이블SO)
단 금융기관은 제외
* 일일평균이용자수란 PV (Page View)를 말하며 홈페이지에 들어온 접속자가 둘러본
  페이지수를 말한다.

 

● 인증심사원 자격신청 요건

4년제 대학졸업 이상 또는 이와 동등학력을 취득한 자로서 정보보호 및 개인정보보호 경력을 각 1년 이상 필수
보유하고 정보보호, 개인정보보호 또는 정보기술 경력을 합하여 6년 이상을 보유
정보보호 경력 정보보호 관련 박사 학위 취득자 2년
정보보호 관련 석사 학위 취득자
정보보안기사 , CISA , CISSP
1년
개인정보보호 경력 개인정보보호 관련 박사 학위 취득자 2년
개인정보보호 관련 석사 학위 취득자
PIA , CPPG
1년
변호사법에 따른 변호사의 경우에는 6년의 개인정보보호 유관경력을 보유한것 으로 본다 6년
정보기술 경력 정보기술 관련 박사 학위 취득자
기술사 , 감리사
2년
정보기술 관련 석사 학위 취득자
감리원, 정보처리기사, 전자계산기조직응용기사
1년

 

정보보호박사 학위가 있으며, 만2년의 보안경력을 가진 정보관리기술사 K씨 정보보호박사 - 개인정보보호 2년
2년의 보안경력 - 정보보호 2년
정보관리기술사 - 정보기술 2년
개인정보보호석사 학위가 있으며, 만3년의 보안경력과 정보보안기사, CPPG를 보유한 M씨 개인정보보호학사 - 개인정보보호 1년
(또는 CPPG 1년)
만3년 보안경력 - 정보기술 3년
정보보안기사 - 정보보호 1년 
4년제 대학졸업하고 만4년의 보안경력과 CPPG, 정보처리기사를 보유한 G씨 만4년 보안경력 - 정보보호 4년
CPPG              - 개인정보보호 1년
정보처리기사   - 정보기술 1년
4년제 대학졸업하고 , 만3년의 보안경력과 정보안기사, CPPG, 정보처리기사를 보유한 J씨 만3년의 보안경력 - 정보기술 3년
정보보안기사      - 정보보호 1년
CPPG                - 개인정보보호 1년

 

● 인증심사원 등급별 자격요건

심사원보 인증심사원 양성과정을 통과하여 자격을 취득한 자.
심사원 심사원보 자격취득자로서 인증심사에 4회이상 참여하고 심사일수의 합이 20일 이상인 자
선임심사원 심사원 자격취득자로서 정보보호및 개인정보보호 관리체계(ISMS-P) 인증심사를 3회이상 참여하고 심사일수의 합이 15일 이상인 자
책임심사원 인증심사능력에 따라 인터넷진흥원이 매년 책임심사원 지정
선임심사원이 매년 1월 1일 기준으로 1년 동안 다음의 요건을 모두 만족하는 경우 다음해 1년 동안 책임심사원으로 활당
  1. ISMS-P 2회를 포함하여 인증심사 4회 이상 참여하고 심사일수의 합이 20일 이상
  2. 최초 또는 갱신심사 1회 이상 참여
  3. 인증심사 수행 결과에 대한 심사원 평가 충족

 

● 인증심사원 평가항목

인증기준 이해력
심사보고서 작성능력
피심사자와 의사소통능력
결함판단능력
협업 및 심사태도
인증심사관련 이의제기
  ** 취약점 분석 능력은 평가항목 아님!!

"인증심사원" 이란 인터넷진흥원으로부터 인증심사를 수행할 수 있는 자격을 부여받고 인증심사를 수행하는 자를 말한다.

"정보보호 관리체계 인증" 이란 인증신청인의 정보보호 관련 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 것을 말한다.

"인증위원회"란 인터넷진흥원 또는 인증기관의 장이 인증심사 결과를 심의.의결하기 위하여 설치.운영하는 기구로서 위원자와 위원으로 구성된다.

"인증심사"란 신청기관이 수립하여 운영하는 관리체계가 인증기준에 적합한지의 여부를 인터넷진흥원, 인증기관 또는 심사기관이 서면심사 및 현장심사의 방법으로 확인하는 것을
말한다.

"인증기관" 이란 인증에 관한 업무를 수행할 수 있도록 과학기술정보통신부장관, 행정안전부장관 방송통신위원회가 지정하는 기관을 말한다.

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리(6/10)  (4) 2021.02.17
ISMS-P 키워드별 정리(5/10)  (0) 2021.02.15
ISMS-P 키워드별 정리(3/10)  (0) 2021.02.08
ISMS-P 키워드별 정리(2/10)  (0) 2021.02.04
ISMS-P 키워드별 정리(1/10)  (0) 2021.02.04
728x90
반응형
SMALL

개인정보법과 정보통신망법이 충돌하는 경우 특별법인 정보통신망법을 따라야한다

개인정보처리방침과 개인정보처리자와 정보주체간의 계약내용이 다른 경우
둘중에서 정보주체에게 유리한 것을 적용한다

이용내역통지 및 망분리대상자는 직전3개월평균이용자 100만명 또는 정보통신부문 매출액 100억원 이상 (100 100)

● 개인정보보호법상 암호화 대상 개인정보

  송수신 내부망저장
(개인정보처리시스템)
DMZ 컴퓨터,모바일기기
,보조저장매체
비밀번호 암호화 암호화(일방향) 암호화(일방향) 암호화(일방향)
바이오정보 암호화 암호화 암호화 암호화
주민등록번호 암호화 암호화 암호화 암호화
고유식별정보
(여권번호,운전면허번호,외국인등록번호)
암호화 개인정보영향평가 또는 암호화 미적용시 위험도 분석 결과에 따라 암호화 암호화
신용카드번호 - - - -
계좌번호 - - - -
개인정보 - - - -

 * 비밀번호, 바이오정보, 주민등록번호는 모두 암호화
 * 신용카드번호,계좌번호,개인정보는 관계없음
 * 바이오정보란 지문,얼굴,홍채,정맥,음성,필적 등을 말하며 일반사진,CT 등은 아님.

 

● 정보통신망법상 암호화 대상 개인정보

  송수신 내부망저장
(개인정보처리시스템)
DMZ 컴퓨터,모바일기기
,보조저장매체
비밀번호 암호화 암호화(일방향) 암호화(일방향) 암호화(일방향)
바이오정보 암호화 암호화 암호화 암호화
주민등록번호 암호화 암호화 암호화 암호화
고유식별정보
(여권번호,운전면허번호,외국인등록번호)
암호화 암호화 암호화 암호화
신용카드번호 암호화 암호화 암호화 암호화
계좌번호 암호화 암호화 암호화 암호화
개인정보 암호화 - - 암호화

 * 개인정보는 내부망저장, DMZ 에 저장시 암호화를 안하고 나머지 몽땅 암호화

 

● 리눅스 시스템 로그

로그명 명령어 설명 폴더
utmp w, who,finger 현재 로그인 상태 정보 /var/adm/utmp
wtmp last 사용자 로그인/로그아웃 정보 /var/adm/wtmp
btmp lastb 실패한 로그인 정보 /var/adm/btmp
pacct lastcomm 사용자별 수행한 명령어 /var/adm/pact
lastlog lastlog 해당 사용자 마지막 로그인 정보 /var/adm/lastlog
dmesg dmesg 부팅 로그인 정보 /var/log/dmesg
syslog syslog 커널 로그 정보  
messages   시스템 운영에 대한 전반적인 정보 /var/log/messages
secure   원격 로그인 정보, TCP_Wrapper(xinetd) /var/log/secure

 

● windows 로컬 보안 정책

spcpol.msc 암호정책 암호는 복잡성을 만족해야 함 (사용)
    : 사용자의 계정이름이나 연속되는 문자2개를 초과하는 사용자 전체 이름의 일부를
      포함하지 말아야 한다.
    : 길이가 최소한 6자 이상이어야 함.
    : 다음 네가지 범주 중 세가지의 문자를 포함해야 함.
       - 영문대문자 , 영문소문자 , 숫자, 특수문자
최근 암호 기억                  (2개 암호로 기억됨)
최대 암호 사용 기간            (90일)
최소 암호 길이                  (8문자)
최소 암호 사용 기간            (0일)
해독 가능한 암호화를 사용하여 암호 저장  (사용함)
  : CHAP 등의 별도 프로토콜 사용 시 해당 프로토콜이 해독할 수 있는 형태로 패스워
   드를 저장하며, 기본값은 [사용안함] 이다.
계정잠금정책 * Brute Force 공격을 막기위한 정책임.
계정잠금기간
계정잠금임계값
다음 시간 후 계정잠금수를 원래대로 설정

 

● 악성프로그램

이름 시스템 파괴 정보유출 자기복제
웜 (warm) O X O
트로이목마 O O X
바이러스 O X O
스파이웨어 X O X

- 네트워크를 통해 스스로를 복제.전파하며 다른 프로그램을 감염시키지는 않는다.
루트킷 - 관리자 권한 접근과 공격경로 은폐, 사용기록 삭제 등을 동시에 수행하는 여러 프로그램의 집합이다.
바이러스 - 숙주가 필요하며 숙주로 하여금 악성행위를 하게 하고 다른 시스템으로 전파되게 한다.
스파이웨어 - 시스템 파괴행위를 안하는 대신 사용자의 정보를 유출만 한다.

정보유출은 트로이목마와 스파이웨어
시스템파괴는 스파이웨어만 안하고 나머지는 한다.
자기복제는 웜과 바이러스만 가능
스파이웨어는 오직 정보유출만 한다.

 

● 웹서버 보안관련 파일

Appach : httpd.conf

Tomcat  : web.xml

IIS  : web.config

 

● FTP 보안

패클엑서 - passive모드는 클라이언트 보안성이 높은 방법, active모드는 서버의 보안성이 높은 방법

             - passive는 서버가 포트번호를 알려주고 클라이언트는 그 포트만 열어주면 되기 때문에 클라이언트가 안전

             - active는 클라이언트가 포트번호를 알려주고 서버는 그 포트번호만 열어주면 되기 때문에 서버가 안전

passive모드 1. Client 5105 포트에서 서버의 21번 포트로 접속시도
2. Server는 3258 포트번호를 Client에게 전송
3. Client 는 자신의 5151포트에서 Server가 알려준 3258 포르로 다시 Server에 데이터 접속
4. Server는 자신의 3258포트에서 Client의 5151 포트와 연결

  Clent            Server
  5105    ---->    21      접속시도
  5151   ----->  3258    서버가 알려준 3258 포트로 접속
  5151   <-----  3258    서버는 3258 포트에서 Client의 5151 포트로 Data전송
                                 (결국 데이타전송시 Server는 20포트 사용안함)                         
* 서버는 1024 포트 이상의 Inbound 패킷에 대해서 Allow을 해줘야 Client가 접속 가능
* 클라이언트는 1024 포트 이상의 outbound 패킷에 대해서만 Allow 해주면 되므로
  Inbound 패킷을 위해 포트를 열어줄 필요가 없어 안전하다.
active모드 1. Client 5105 포트에서 서버의 21번 포트로 접속하면서 서버에게 5151 포트를 알려줌
2. Server는 20번포트에서 클라이언트가 알려준 5151 포트로 클라이언트에게 데이터 연결

  Clent            Server
  5105    ---->    21      접속시도
  5151   <----     20      Server는 20번포트에서 Client가 알려준 Client의 5151 포트로 접속
  5151   ----->    20     Client는 5151포트에서  Server의 20포튼 연결
                                 (결국 데이타전송시 Server는 20포트 사용함.)                         
* 서버는 1024 포트 이상의 Inbound 패킷에 대해서 Allow해줄 필요가 없어 안전
* 클라이언트는 1024 포트 이상의 Inbound 패킷에 대해서만 Allow 해줘야
  서버가 데이터 접속이 가능하므로 보안상 취약

 * ftpusers ; FTP접근제어설정파일로서 접속을 차단할 계정정보를 설정하는 파일이다.

 

● ISMS-P 인증심사

ISMS-P 인증 : 인터넷진흥원 또는 인증기관증명하는 것.

ISMS-P 인증심사 : 인터넷진흥원, 인증기관 또는 심사기관심사하는 것

최초심사 처음취득시
중요변경으로 다시 인증 신청 시
인증위원회 개최
미개최
인증위원회 개최
사후심사 인증취득이후 매년 1회 이상
갱신심사 인증유효기간 연장
만료 3개월전에 신청해야 함.

 

정책기관 인증기관 심사기관
과학기술정보통신부
행정안전부
방송통신위원회
KISA
금융보안원
KISA
금융보안원
한국정보통신진흥협회 (KAIT)
한국정보통신기술협회 (TTA)
개인정보보호협회 (OPA)

▶정책기관 : 상위수준의 법,제도,정책을 수립

              인증기관 및 심사기관 지정

인증기관 : 제도운영, 인증서발급, 심사원양성

              (단, 심사원양성및 자격관리, 인증기준 개선, 인증품질 관리는 KISA에서 한다.)

심사기관 : 인증심사 수행

 

       
정책기관 정책협의회 법.제도 개선 및 정책결정
인증제도 연구 및 개선에 관한 사항
인증제도 운영을 위한 제반사항 검토 및 품질관리에 관한 사항
민원, 법적분쟁에 관한 사항
인증기관 및 심사기관 지정
과학기술정보통신부
방송통신위원회
행정안전부

소속의 인증업무를 담당하는 부서의 장을 위원으로 한다.
인증기관 한국인터넷진흥원 인증제도 운영 (연구는 협의회에서)
인증품질관리 (제반사항검토는 협의회)
신규.특수 분야 인증심사
인증서 발급
인증심사원 양성 및 자격관리
인증위원회
인증기관 인증심사 수행
인증서 발급
인증위원회
심사기관 심사기관 인증심사 수행  

※ 인터넷진흥원 이외의 인증기관은 인증심사수행 과 인증서발급 업무만 한다.

인터넷진흥원은 인증심사이외에 다른 인증기관이 할수 없는 인증제도운영, 인증품질관리, 인증심사원양성및자격관리 업무를 한다.

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리(5/10)  (0) 2021.02.15
ISMS-P 키워드별 정리(4/10)  (0) 2021.02.10
ISMS-P 키워드별 정리(2/10)  (0) 2021.02.04
ISMS-P 키워드별 정리(1/10)  (0) 2021.02.04
ISMS-P 결함사례 (7/7)  (0) 2021.02.04
728x90
반응형
SMALL

● 개인정보를 목적內 용도로 제3자에게 제공이 가능한 경우

개인정보보호법 정통망법
동법소급
1. 동의를 받은 경우
2. 법률에 규정이 있거나 법령상 의무를 준수
3. 공공기관이 소관업무 수행
4. 급박한 생명..
동요법
1. 동의를 받은 경우
2. 요금정산
3. 법률에 규정

 

목적 두음 비고
수집.이용및 제공 동법 소계 급정 / 계요법  
민감,고유 이용 소약 범법형 공공기관만
목적외 이용.3자제공 동법 급통 소약 범법형  소약범법형은 공공기관만
목적내 제3자 제공 동법 소급 / 동요법  

 

개인정보 국외이전

개인정보보호법 제17조(개인정보의 제공) 정통망법 제63조 (국외이전 개인정보의 보호)
동의를 받아야 함 동의를 받아야함.
단, 정보통신서비스의 제공에 관한 계약을 이행하고
    이용자의 편의증진 등을 위하여 필요한 경우에는
    이용자에게 알린 경우에는 동의절차를 거치지 아니할
    수 있다.

 

 위탁 , 영업양도, 국외이전

위영국 개인정보보호법 정통망법
위탁 동의 X
* 동의필요없구 수탁자정보외 위탁하는 업무의 내용을 정보주체가 알기쉽게 공개만 하면 된다.
단, 홍보,판매업무를 위탁할 때에는 위탁하는 업무의 내용과 수탁자를 정보주체에게 고지해야 한다

동의 O
* 위탁받는 자, 위탁하는 업무의 내용 알리고 동의받야야함
* 단, 계약을 이행하고 이용자 편의증진을 위하여 개인정보처리방침을 통하여 위탁사실을 공개한 경우 동의 안받아도 됨
•개인정보 처리업무를 제3자에게 위탁하는 경우 홈페이지 등에 위탁하는 업무의 내용과 수탁자를 현행화하여 지속적으로 공개해야 한다.
 (수탁자가 아무리 많아도 해당 수탁자명을 모두 열거)
홍보,판매를 권유하는 업무를 위탁하는 경우 서면, 전자우편,모사전송,전화,문자를 통하여 정보주체에게 알려야 한다.(동의X, 공개X, 고지O)
•위탁하는 업무의 내용이 변경된 경우 내용을 알리거나 필요한 경우 동의를 받아야 한다.
•수탁자가 다시 재위탁하는 경우 위탁자의 사전동의를 받아야 한다.
•정보통신서비스 제공자(즉 정통망법 적용대상자)이면서 정보통신서비스 제공에 관한 계약이행과 무관한 개인정보 처리업무를 위탁하면서 개인정보 처리방침에만 공개하는 것으로 갈음하여 이용자의 동의를 받지않는 것은 안된다.
영업양도.양수            개통면
양도자 : 통지 O
양수자 : 통지 O or X
          (이미 양도자가 통지 한경우 면제
                              망통통
양도자 : 통지 O
양수자 : 통지 O

국외이전 동의 O

목항기거자

개보법에서는 거부할권리가 명시되어야 하고
정통망법에서는 국일방이 명시되어야 한다.
동의 O

목항기자 국일방

단, 정보통신서비스 제공자로서 계약을 이행하고 이용자 편의 증진을 위하여 필요한 경우로서 그 내용을 이용자에게 알리는 것으로 동의를 갈음 할수 있다.
정통망법에서는 위탁과 국외이전 모두 동의를 받아야 하지만 둘다 계약을 이행하고 이용자 편의증진을 위해서 필요한 경우로서 그 내용을 이용자에게 알리는 것만으로 동의를 갈음할 수 있다

 

 위탁 , 영업양도, 국외이전

구분 3자 제공 처리 위탁 양도
목적 제공받는자의 목적,이익을위해 개인정보 제공 제공하는자의 목적,이익을 위해 개인정보 제공 개인정보 처리목적은 유지되고 단지 개인정보의 보유,관리주체만 변경
관리책임 제공받는자 제공한자 양수자

 

 중요내용표시

1. 일반적인 개인정보 수집은               보유기간 표시
2. 민감정보,고유식별정보 수집은          항목,  보유기간 표시
3. 3자제공시에는                            제공받는자,  제공하는 목적,  보유기간 표시
4. 홍보인 경우는 연락할 수 있다는 사실 표시

결국, 보유기간은 공통으로 표시해야 하고
민감,고유정보는 그 항목이 중요하므로 항목을 중요하게 표시해야 하고
3자제공시에는 누구한테 어떡 목적으로 제공하는지가 중요하므로 제공받는자와 제공목적을 중요하게 표시한다.

① 고유정보 수집 

수집.이용 항목 수집.이용 목적 보유기간
운전면허번호 채용절차 진행,자격확인 채용 종료후 6개월

 

② 민감정보 처리 내역

항목 수집.이용 목적 보유기간
정신질환여부 운전직 채용 관리 채용 종료후 6개월

 

③ 개인정보 수집.이용 내역

항목 수집.이용 목적 보유기간
이름,전화번호 현장학습 운영 1년

 

④ 개인정보 3자 제공 내역

제공받는 기관 제공목적 제공하는 항목 보유기간 
OO군부대 현장학습 출입자 신분확인 이름,전화번호 1년

 

개인정보처리방침 공개하는 방법 

인사 간신 관계
1. 터넷 홈페이지 홈페이지 미운영시
2. 업장 등의 보기쉬운 장소
3. 행물,소식지,홍보지 4. 문 5. 보 6. 약서

 

개인정보처리방침 필수사항 

개인정보보호법 정통망법
목항기 3위권 부자파안 열변부구영

① 개인정보의 처리목적
⑧ 처리하는 개인정보의 항목
② 개인정보의 처리 및 보유기간

③ 개인정보의 제3자 제공에 관한 사항 (해당자만)
④ 개인정보처리의 위탁에 관한 사항 (해당자만)
⑤ 정보주체와 법정대리인의 권리.의무 및 그
   행사방법에 관한 사항

⑥ 개인정보보호책임자의 성명 또는 개인정보보호 업무 및 관련 고충사항을 처리하는 부서 명칭과 전화번호 등 연락처
⑦ 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치.운영 및 그 거부에 관한 사항 (해당자만)
⑨ 개인정보의 파기에 관한 사항
⑩ 개인정보의 안전성 확보조치에 관한 사항 
① 개인정보의 수집.이용목적,수집하는 개인정보의 항목
    수집방법
② 개인정보를 제3자에게 제공하는 경우
    제공받는 자의 성명,
    제공받는 자의 이용목적
    제공하는 개인정보의 항목
③ 개인정보의 보유 및 이용기간 , 개인정보의 파기절차
   및 파기방법
④ 개인정보 취급위탁을 하는 업무의 내용 및 수탁자
⑤ 이용자 및 법정대리인의 권리와 그 행사방법
⑥ 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는
    장치의 설치.운영 및 그 거부에 관한 사항
개인정보관리책임자의 성명 또는 개인정보보호 업무 및
   관련 고충사항을 처리하는 부서의 명칭과 그 전화번호
   등 연락처
< 개인정보처리방침에 포함해야 할 기타 기재사항 >
열변부구영
 - 개인정보의 열람.정정.삭제.처리정지요구권 등
 - 개인정보처리방침의 변경에 관한 사항
 - 개인정보의 열람청구를 접수.처리하는 부서
 - 정보주체의 권익침해에 대한 구제방법
 - 영상정보처리기기 운영.관리에 관한 사항
 

 

정보주체의 열람요구를 제한.거절할수 있는 사유

 법생 조성 채보감
 1. 법률에 따라 열림이 금지,제한된 경우
 2. 다른 사람의 생명.신체를 해할 우려가 있거나 다른 사람의 재산과 이익을 부당하게 침해할 우려가 있는 경우
 공공기관이 다음의 업무수행시 중대한 지장을 초래하는 경우
 3. 조세의 부과.징수.환급업무
 4. 성적평가, 입학자 선발업무
 5. 학력.기능 및 채용에 관한 시험. 자격심사 업무
 6. 보상금. 급부금 산정 등에 대하여 진행중인평가 또는 판단에 관한 업무
 7. 감사.조사에 관한 업무

 

정보주체의 처리정지 요구 거부 사유

 법생 소계
 1. 법률에 특별한 규정, 법령상 의무 준수
 2. 다른 사람의 생명.신체를 해할 우려가 있거나 다른 사람의 재산과 이익을 부당하게 침해할 우려가 있는 경우
 3. 소관업무 수행
 4. 계약이행이 곤란한 경우

법생조성채보감의 법 - 법률에 의해 금지된 경우
법생소계의 법 - 법률에 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한경우 이다

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리(4/10)  (0) 2021.02.10
ISMS-P 키워드별 정리(3/10)  (0) 2021.02.08
ISMS-P 키워드별 정리(1/10)  (0) 2021.02.04
ISMS-P 결함사례 (7/7)  (0) 2021.02.04
ISMS-P 결함사례 (6/7)  (0) 2021.02.04

+ Recent posts