[정보보안기사] 정보보안 관리 및 법규
1. 정보보호 관리
(1) 정보보관리 개념
1) 정보보호의 목적 및 특성
- 정보보호의 정의 : 정보의 수집, 가공, 저장, 검색, 송신, 수신 중 발생할 수 있는 정보의 훼손, 변조, 유출 등을 방지하기 위한 관리적/기술적 수단(정보보호시스템)을 마련하는 것을 말한다.(국가정보화 기본법)
- 정보보호 ≠ 정보보안 : 정보보안이 Site(공간)이라는 개념이 더 들어간, 넓은 개념이라고 생각하자
- 정보보호의 목적 : 기밀성 / 무결성 / 가용성 / 인증 / 부인방지 / 신뢰성 등
2) 정보보호와 비즈니스
- 정보보호와 비즈니스 : IT 인프라에 대한 정보보호는 비즈니스의 보호뿐만이 아니라 비즈니스 가치의 증가로 이어 짐
-- 한 조직의 정보 자산뿐만이 아니라 고객의 정보(개인정보)까지 보호해야 할 법적인 의무도 있고, 고객의 신뢰로 이어지니까
-- 향후 조직의 비즈니스에 큰 도움이 될 것은 자명해
3) 정보보호관리의 개념
- 정보보호관리(Information Security Management)
-- 조직의 정보자산을 외부로 부터의 유(노)출과 오용, 유실으로 부터 방어하고, 정보나 정보 시설을 방어하는데 관련된 모든 일련의 활동
- 정보보호관리를 위한 6단계 활동
-- 정보보호 정책 및 조직 수립 → 정보보호 범위 설정 → 정보자산의 식별 → 위험관리 → 구현 → 사후관리
- 위의 활동들을 지속적으로 하기 위해 체계화해서 만든게 정보보호관리체계(ISMS ; Information Security Management)
-- 그냥 한 번 정보보호 솔루션을 만들고 끝내는게 아니라, 비즈니스의 연속성과 함께 계속 지속되어야 되
-- 최근에는 매출이 크거나 고객이 많은 조직은 법적으로 갖춰야해
(2) 정보보호 정책 및 조직
1) 정보보호 정책의 의미 및 유형
- 정책(Policy) : 최고 경영진의 전략적인 사고를 문서화한 것
-- 정책 中, 가장 핵심적인 걸 "정책서"라고 함
-- 하향식 유형(Top-Down) : 상위 정책으로 부터 하위수준의 정책을 도출하는 방식
-- 상향식 유형(Bottom-Up) : 기존의 정책들을 종합해 새로운 정책을 수립하는 방식
- 정책이 가지는 특징과 가져야할 특징
-- 여러 다른 지침과 하위 수준간의 정책들이 일관성과 연관성이 필요함
-- 최상위 정책은 전사적인 정책을 모두 포함해야 함
-- 간결하고 명확 / 정보보호의 목표와 회사의 비전을 포함해야 함
-- 영향을 받는 임직원들에게 정책에 대한 설명 해야 함 / 간단한 내용과 이해하기 쉬운 표현
- 정보보호 정책서의 구성
- 정보보호 선언문 : 보통 1장에 심플하게 작성 / 정보보호전반에 대한 경영자의 의지 및 실천을 다짐하는 선언문
- 정책서 목적과 구성 / 기본 방침 / 정보보호계획수립 / 보안에대한 역할과 책임 / 정보자산의 보안 / 등
2) 정보보호 정책수립 절차
- 정보보호 정책 수립 : 조직 전반에 걸친, 최상위 수준의 정보보호정책을 수립하고, 조직내 책임을 설정
-- 정보보호 정책서 안에 포함되는 개념인듯
- 정보보호 정책 수립 과정
-- 경영목표를 지원하는 법적/규제적인 요건을 파악
-- 위험관리에 따른 전략적 정보보호 정책 수립
- 정보보호 정책서 작성 방안(정보보호 정책 수립도 여기에 들어가)
-- 목적 : 중요한 정보자산이 무엇인지 식별하여 선언
-- 적용 범위 : 정책이 적용되는 범위(전사이냐, 특정 부서이냐)
-- 정책의 내용 : 간단하고 명료하게
-- 책임 : 정책을 수행하기 전에, 기본적으로 책임사항을 정의해야함(경영진의 책임, 일반직원의 책임 등)
-- 문서승인 : 정보보호 정책의 승인은 최고 경영자(CEO)가 이 정책을 승인하고 지원의지를 알리는 것(반드시 승인받아야 해)
-- 정보보호위원회의 구성 : 정보보호정책 수립의 이행을 위해 만든 위원회(형식적인 위원회 구성이 아닌 실직적 운영을 위한)
3) 조직 체계와 역할/책임
- 정보보호 조직 : 정보보호 정책을 잘 수립하여 수행해 나갈 수 있는, 체계적인 역할과 책임을 가지는 조직
-- 위에서 언급했듯이, 정보보호 정책서에 책임사항을 정의한거랑 연계해서 생각해
- 일반적인 정보보호 조직체계
-- 정보보호 심의위원회 : 정보보호 활동계획 및 예산 심의 / 정보보호 정책 및 규정의 최종승인
--- 위원장 : 대표이사 / 위원 : 정보보호책임자 / 간사 : 정보보호 관리자
-- 정보보호 책임자 : 정보보호 조직의 구성 및 운영 총괄 / 정보보호 방침 및 계획 실무지침 수립 및 승인
-- 정보보호 관리자 : 정보보호 롸동의 계획 및 관리 / 정보보호방침의 유지, 이행
-- 정보보호 담당자
--- 정보보호 운영 담당자
--- 정보보호 대응 담당자
(3) 위험관리
- 정보보호관리체계(ISMS)의 5단계에서 위험관리의 위치
-- [정보보호 정책 수립 → 관리체계 범위설정 → 위험관리 → 구현 → 사후관리] 를 계속 반복함
- 위험관리 : 조직이 정보자산에 대한 위험을 수용할 수 있는 수준으로 유지하기 위해
정보자산에 대한 위험을 분석하고 이에 대한 비용대비 효과적인 보호 대책을 마련하는 일련의 과정
- 위험관리과정(5단계로 구성)
-- 위험관리전략 및 계획수립 → 위험분석 → 위혐평가(처리) → 정보보호 대책수립 → 정보보호 계획수립(다이렇게표현하는데?)
-- 위험관리전략 및 계획수립 → 위험분석 → 위혐평가(처리) → 보호대책 선정 → 이행계획 수립(내가 배울때는 이렇게 배움)
-- 위 그림같이 3단계로도 표하기도 하네
- 위험(Risk) : 원하지 않는 사건이 발생해 손실 또는 부정적인 영향을 미칠 가능성
- 위험의 요소
-- 자산(Assets) : 조직이 보호해야할 대상
-- 위협(Threats) : 원치 않은 사건의 잠재적인 원인이나 행위자
-- 취약성(Vulnerability) : 자산의 잠재적인 속성으로, 위협의 이용 대상
-- 정보보호대책(Safeguard) : 위협에 대응하여, 자산을 지키기 위한 대책
1) 위험관리 전략 및 계획수립
- 위험분석 접근법
-- 베이스라인 접근법(Baseline Approach)
--- 위험분석을 수행하지 않는 대신, 모든 시스템에 대해 표준화된 보호대책을체크리스트형태로 제공
--- 소규모조직이나, 대규모조직의 중요치 않은 일반 자산에 대하여 사용하는 접근법(화장실 청소 체크리스트??)
-- 비정형 접근법(Informal Approach ; 전문가 판단법)
--- 구조적인 방법론에 기반하지 않고, 전문가의 지식과 경험에 따라 위험을 분석
--- 작은 조직에서는 효과적
-- 상세 위험분석(Detailed Risk Analysis)
--- 구조적인 방법론에 기반해서 위험을 분석하는 것
--- 많은 시간(돈)과 노력(돈)이 필요하고 비정형 접근법과 같이 고급인력이 필요함(돈)ㅋ
--- 자산분석 → 위협평가 → 취약성평가 → 정보보호 대책평가 → 잔여 위협평가
-- 복합 접근법(Combined Approach)
--- 상세 위험분석을 수행하고, 그 외 다른 영역은 베이스라인 접근법만을 사용하는 방식
- 위험분석 방법론의 선정
-- 정성적 분석방법(Qualitative) : 위험을 매우높은, 높은, 중간, 낮은 등으로 표현
--- 델파이법 : 전문가 집단에게 설문조사를 실시해 의견을 정리하는 분석방법
---- 짧은 시간에 도출할 수 있지만, 전문가의 추정이라 정확도는 낮지
--- 시나리오법 : 어떤 사실도 기대대로 발생되지 않는다고 치고, 특정 시나리오를 통해 발생 가능한 위협의 결과로 순위를 매겨 도출
---- 전반적인 가능성을 추론가능하지만, 발생 가능성의 이론적 추축에 불과해 정확성이 낮지
--- 순위결정법 : 비교우위 순위 결정표에, 위험 항목의 서술적 순위를 결정하는 방식
---- 이것도 정확도 낮네(다 낮어 ㅅㅂ ㅋㅋㅋ)
-- 정량적 분석방법(Quantitative) : 위험을 손실액과 같은 숫자값으로 표현 / 주로 미국에서 사용하는 방식
--- 연간예상손실액(ALE) = 단일예상손실액(SLE) X 연간발생률(ARO)
---- 단일 예상손실액(SEL) = 자산의가치(AV) X 노출계수(EF)
2) 위험분석
- 위험의 3요소인 자산 / 취약성 / 위협을 분석(식별과 분류)
-- 어떻게 할껀지 방법론과 접근방법은 위에서 제시 함
2-1) 위험평가(기출내용엔 없지만, 걍 내가 만들었어)
- 목표 위험 수준 및 우선순위 설정 : 수용가능한 위험수준를 기반으로 우선순위를 결정
-- 수용가능한 위험수준(DOA)은 사전에 정의해야 일관성이 유지됨(위험관리 전략 및 계획수립 단계)
3) 정보보호 대책 선정 및 계획서 작성
- 위험관리의 마지막 순서로, 위험을 분석하고 순위를 매겼으니까 그에 대한 위험처리 방법을 선택하고 계획서 짜는 단계
- 위험처리 방법
-- 위험수용(Acceptance) : 해당 위험의 잠재 손실 비용을 감수
-- 위험감소(Mitigation) : 위험을 감소시킬 수 있는 대책을 채택하여 구현하는 것
-- 위험회피(Risk Avoidance) : 위험이 존재하는 프로세스나 사업을 수행하지않고 포기
-- 위험전가(Risk Transfer) : 보험이나 외주 등으로 잠재적 비용을 제3자에게 이전하거나 할당
(4) 대책구현 및 운영
1) 정보보호 대책 구현
- 정보보호 대책 : 위험을 감소시키기 위한 정보보호조치를 의미(장치 / 절차 / 기법 / 행위 등을 포함)
2) 정보보호 교육 및 훈련
- 수업에서 교수님이 진짜 사실이게 핵심이랬는데 ㅋ(아무리 대책잘짜면 뭐하냐고 상놈들이 실천안하는데)
- 그냥 말단직원부터 임원, 최고경영자까지도 전사적으로 싹다 교육시켜야되
3) 컴퓨터/네트워크 보안운영
- PC보안 / 네트워크 보안 / 매체보안(데이터의 보관과 폐기)
(5) 업무연속성 관리(Business Continuity Management)
1) 업무지속성 관리체계
- 업무연속성 관리 : 재난이나 재해, 테러 같은 예기지 못한 위기상황에서도 적시에 복구해 업무를 계속수행할 수 있는 위기 관리 능력
- 업무연속성 관리 단계
-- 1단계 시작단계 : 업무연속성 관리에 대한 정책의 수립 및 범위설정을 하는 단계
-- 2단계 전략수립단계 : 재해가 업무에 미치는 잠재적인 연향과 위험을 평가 / 위험감소를 위한 사항들을 파악 / 효과적인 전략 수립
-- 3단계 구현단계 : 업무가 지속적으로 이루어지기 위한 프로그램을 수립하는 단계(설비 구현 / 계획을 문서화)
-- 4단계 운영관리단계 : 수립된 업무연속성 전략 및 계획, 절차를 계속적으로 테스트 및 검토, 유지 보수 / 이에 대한 교육과 훈련
2) 업무연속성 계획수립(BCP ; Business Continuity Plan)
- 업무연속성 계획 5단계 방법론(4단계 / 5단계 / 6단계로 종류가 있지만 5단계가 출제됬었어...)
-- 1단계 프로젝트 범위설정 및 계획
-- 2단계 사업영향평가(BIA ; Business Impact Assessment)
--- 각 사업단위가 받게될 재정적 손실의 영향도를 파악해서 문서화
--- 주요 취지 : 핵심우선순위결정(프로세스간의 구별) / 중단시간 산정(얼마만에 복구?) / 자원요구사항(어디에 얼마나 자원할당?)
-- 3단계 복구전략개발
--- 사업영향평가에서 수집된 정보를 기반으로 어떻게 복구를 할 것인지 전략을 세움
-- 4단계 복구계획수립
--- 사업을 지속하기 위한 실제 복구계획의 수립단계 / 문서화는 필수
-- 5단계 프로젝트수행 및 테스트
--- 유지보수 활동을 포함한 이후에 있을 테스트 절차 등을 수립
- 업무연속성 관리 단계에 BCP가 포함되는건가??? 자세히는 모르겠네
3) 업무연속성 유지관리
- 지속적으로 유지보수, 테스트
-- 체크리스트 / 구조적점검 / 시뮬레이션 / 병렬테스트 / 전체 중단테스트
4) 재난복구계획(DRP ; Disaster Recovery Plan)(기출내용엔없는데 책과 기출에있네??)
- BCP는 전사적인 복구계획이라면, DRP는 기업의 세부 시스템 별 복구 계획(카더라...?)
- 재난복구계획 프로세스
-- 데이터 지속처리 계획(DPCP ; Data Processing Continuity Planning) : 재해를 예측하고 그에 대처하기 위한 계획수립
--- 가장 많이 사용되는 대체 처리 사이트(Site ; 공간의개념) 방식
---- Hot Site : 모든 컴퓨터설비를 완전히 갖추고 있는 공간 / 실제로 운영되고 있는 환경과 동일한 상태로 관리)
---- Warm Site : Hot Site와 Cold Site의 절충안(전원/컴퓨터 등은 갖춰져있지만 어플리케이션이 설치되거나 구성되지 않음)
---- Cold Site : 비상시 장비를 가져올 준비만 할 뿐, 어떤 컴퓨터 하드웨어도 공간에 존재하지않음
-- 데이터 복구 계획 유지 보수(Data Recovery Plan Maintenance) : 계획이 항상 적적하게 최신버전을 반영하도록 유지하는 프로세스
(6) 관련 표준/지침
1) 국제/국가 표준
- OECD 정보보호 가이드라인
-- 인식 / 책임 / 대응 / 윤리 / 민주성 / 위험평가 / 정보보호의 설계와 이행 / 정보보호 관리 / 재평가
- TCSEC(Trusted Computer System Evaluation Criteria)
-- 미국에서 1985년 최초로 만들어짐 / 오렌지 북으라고도 함
-- 정보제품을 몇가지 요구사항을 만족하는 수준에 따라 보안등급을 매김(A1, B3, B2, B1, C2, C1)
-- 기밀성, 무결성, 가용성 中, 기밀성을 중시함(무결성, 가용성은 다소 취약)
- ITSEC
-- 1991년에 미국의 TCSEC를 참조해서 만든 유럽 공통 평가기준
-- 기밀성 뿐만아니라 무결성, 가용성에 대한 평가기준도 수용함
- 보안성평가(CC ; Common Criteria) : TCSEC, ITSEC같이 나라/지역별로 서로 다른 평가기준을 하나로 표준화한 결과
-- 현재 3.1버전까지 공개
-- CCRA(Common Criteria Recognition Arrangement) : 정보보호 제품의 안정성을 회원국가간에 상호인정하는 국제 협약
--- CAP(인증서발행국) : 국내에서 발행한 정보보호시스템 평가 인증서가 해외에서도 인정받게됨
--- CCP(인증서수용국) : 정보보호 평가 인증서를 발행은 않하고 수용만 하는 국가
-- 우리나라는 CAP에 2006년에 가입함
-- CAP에 가입한 국가는 5년마다 재심사(2012년 11월에 있었음(일본과 프랑스가 심사))
http://www.cybersecurity.my/mycc/mutual.html
[2017. 9. 6] CCA로 에티오피아와 카타르가 추가됬다!
- 보안성평가에 있어서 국내기관과 역할
-- 정책기관 : 행정자치부
-- 인증기관 : 미래창조과학부
-- 평가기관 : 한국인터넷진흥원 + 기타 등등
- 보안성평가의 결과
-- 국제적인 표준은 EAL(Evaluation Assurance Level) 1부터 7까지 있음
http://en.wikipedia.org/wiki/Evaluation_Assurance_Level
-- 우리나라는 가(EAL 4), 나(EAL 3), 다(EAL 2)로 분류
2) 인증체계
- BS7797
-- 조직의 정보를 체계적으로 관리하고 정보보안사고를 예방하기 위해 영국에서 제정된 규정
- ISMS(Information Security Management System)
-- BS7797을 기반으로 국내 환경에 적합하게 작성
-- 구성요소 : 정보보호관리과정 / 정보보호대책 / 문서화
--- 정보보호관리과정 : 정보보호 관리체계 인증심사시 요구되는 필수 항목 / 지속적으로 유지관리되는 순환 주기의 형태
---- 정보보호정책 수립 및 범위설정 → 경영진책임 및 조직구성 → 위험관리 → 정보보호대책구현 → 사후관리
--- 정보보호대책 : 총 13개분야 92개 통제항목으로 구성
---- 시스템개발보안 / 암호통제 / 접근통제 / 운영보안 / 정보보호정책 / 정보보호조직
---- 외부자보안 / 정보자산분류 / 정보보호교육 / 인적보안 / 물리적보안 / 침해사고관리 / IT재해복구
※ 정보보안기사에 나오는 법 종류
- 정보통신망 이용촉진 및 정보보호 등에 관한법률(줄여서 정보통신망법 또는 망법 / 개인 정보보호, 기타 정보보호에 관한 조항만)
-- 개인정보 기술적/관리적 보호조치 기준(2012/08/23) : 걍 참고만
- 정보통신기반 보호법
- 정보통신산업 진흥법
- 전자서명법
- 개인정보보호법
-- 개인정보의 안전성 확보 조치 기준(2014-229호)
- 우리나라 법률 정보는 국가법령정보센터(http://www.law.go.kr/main.html)에서 쉽게 열람가능!! PDF로도 추출가능
2. 정보보호 관련법규(6문제/20문제)
(1) 정보통신망 이용촉진 및 정보보호 등에 관한 법률(※ 개인정보보호, 기타 정보보호 관련조항에 한정)
1) 용어의 정의
- 정보통신망
- 정보통신서비스
- 정보통신서비스 제공자
- 이용자
- 전자문서
- 개인정보 : 생존하는 개인에 관한 정보로써(성명/주민번호 등), 특정한 개인을 알아볼수 있는 부호/문자/음성 등의 정보
-- 각각 정보 하나하나로 개인을 구분못해도, 다른 정보와 결합해 구분이 가능하면 그것도 개인정보
- 침해사고 : 해킹/바이러스 등으로 정보통신망 또는 관련된 정보시스템을 공격하는 행위
- 정보보호산업
- 전자적 전송매체
2) 정보통신망이용촉진 및 정보보호 등 시책
- 미창부장관 또는 방통위는 정보통신망 이용촉진 및 안정적 관리 운영과 이용자의 개인정보보호 등을 통해 정보사회의 기반을 조성하기 위한 시책을 마련해야 함
-- 정보통신망에 관련된 기술의 개발/보급
-- 정보통신망 표준화
-- 정보내용물 및 11조에 따른 정보통신망 응용서비스의 개발 등 정보통신망의 이용 활성화
-- 정보통신망을 통하여 수집/처리/보관/이용되는 개인정보 보호 및 그와 관련된 기술의 개발 보급
-- 정보통신망에서의 청소년 보호
-- 정보통신망의 안전성 및 신뢰성 제고
-- 그 밖의 정보통신망 이용촉진 및 정보보호 등을 위하여 필요한 사항
- 미창부장관과 방통위가 위에 제시한 시책을 만들 때, 국가정보화기본법 제6조에 따른 정보화 기본 계획과 연계되도록해야함
3) 개인정보보호 / 4) 정보통신망의 안정성 확보 / 5) 정보통신망 침해행위
- 개인정보보호법과 유사하지만 차별적인 요소가 있음
- 개인정보수집/이용 및 제공(22조)
-- 정보통신 서비스 제공자가 개인정보 이용을 위해 수집할 때, 알리고 동의받아야 하는 것
--- 개인정보의 수집 이용 목적
--- 수집하려는 개인정보의 항목
--- 개인정보의 보유이용기간
--- ※ 개인정보보호법에서는, 거부할 권한이 있다는것과 이에 따른 불이익도 알리고 동의받아야해
-- 다음은 동의없이도 수집이용가능
--- 정보통신서비스 제공에 관한 계약을 이행하기 위해 필요한 개인정보로서 경제적, 기술적은 사유로 통상적인 동의받는게 뚜렷하게 곤란할 때
--- 정보통신서비스 제공에 따른 요금정산을 위하여 필요한 경우
--- 이 법(망법) 또는 다른 법률에 특별한 규정이 있는 경우
- 개인정보수집 제한 등(23조)
-- 개인정보수집금지 : 사상/신념/가족 및 친인척관계/학력/병력 등 권리 이익이나 사생활을 뚜렷하게 침해할 우려가 있는 경우
-- 수집 허용 : 이용자의 동의나 다른 법률에 허용된 경우
-- 서비스 거부 : 이용자가 최소한의 개인정보 밖에 안알려줬다고 서비스 거부 안됨
- 주민등록번호 사용제한(23조의 2)
-- 다음의 경우를 제외하고 이용자의 주민등록번호를 수집/이용 불가
--- 본인확인기관
--- 법령에서 이용자의 주민등록번호의 수집/이용을 허용하는 경우
--- 주민등록번호의 수집/이용이 불가피한 정보통신서비스 제공자로서 방통위에서 고시한 경우
-- 주민등록번호를 수집/이용 가능하여도, 대체수단(주민번호말고 따른 인증수단)을 제공해야 함
--- 아이핀 / 공인인증서 / 원타임패스워드(OTP)
- 개인정보 이용제한(24조)
-- 수집한 개인정보를, 동의받지 않은 목적(이용목적)으로 이용해서는 안됨
-- 이용목적이 변경되었을 땐 다시 동의받아야 해
- 개인정보의 제공동의(24조의 2)
-- 개인정보를 제 3자에게 제공할 때, 다음의 내용을 이용자에 알리고 동의받아야 함
--- 개인정보를 제공받는 자
--- 개인정보를 제공받는 자의 개인정보의 이용목적
--- 제공하는 개인정보의 항목
--- 개인정보를 제공받는 자의 개인정보 보유 및 이용기간
- 개인정보취급위탁(25조)
-- 위탁은 걍 하청업체에다가 정보주고 너네 이부분 알아서해시키는거
-- 취급위탁의 경우에도 다음의 내용을 이용자에게 알리고 동의를 받아야 함
--- 개인정보 취급위탁을 받는자(수탁자)
--- 개인정보 취급위탁을 하는 업무의 내용
-- ※ 망법에서는 취급 위탁시 동의를 받아야 하지만 개인정보보호법에서는 고지만 함
- 개인정보의 양도 양수(26조)
-- 정보통신서비스 제공자 등이 영업의 전부나 일부가 양도/합병으로 개인정보를 타인에게 이전하는 경우 다음의 내용을 알려야함
--- 개인정보를 이전하려는 사실
--- 개인정보를 이전받는자의 성명(법인명) / 주소 / 전화번호 및 그 밖의 연락처
--- 개인정보의 이전을 원치않은 경우, 그 동의를 철회할 수 있는 방법과 절차
-- 인터넷 홈페이지의 게시 / 전자우편 등 대통령령으로 정하는 방법에 따라 이용자에게 알림(바로 아래 시행령에 정의)
-- 양도자가 개인정보의 이전 사실을 알린경우, 양수자는 할 필요는 X
- 개인정보 동의 받는 방법(동법 시행령 12조) : 바로 위의 개인정보 양도 양수할 때 알리는 방법
-- 인터넷 사이트에 게재하고 동의 여부를 표시하도록
-- 동의 내용이 기재된 서면을 이용자에게 직접 교부/우편/모사 전송 → 이용자가 동의 내용에 대해 서명날인 후 제출하도록
-- 동의 내용이 담긴 전자우편 발송해 이용자로부터 동의의 의사표시가 적힌 전자우편 받는 방법
-- 전화를 통해 동의 내용을 알리고 동의 얻기
- 개인정보 관리책임자 지정(27조)
-- 정보통신서비스 제공자 등은 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위해 개인정보 관리 책임자를 지정
--- 예외 : 인터넷으로 사업시 5명 미만 / 전년도 말 기준 직전 3개월 일일평균 이용자 1천명 이하
-- 자격 : 임원 / 개인정보와 관련해 이용자의 고충처리를 담당하는 부서의 장 이 될 수 있음
-- 지정안하면 사업주나 대표자가 개인정보 관리책임자
- 개인정보 취급방침의 공개(27조의 2)
-- 개인정보 취급방침은 인터넷 홈페이지 첫 화면 제일 하단에 '개인정보취급방침'이라고 볼드체, 다른 색상으로 표현
--- 인터넷 홈페이지가 없으면 점포나 사무실에 써 붙이거나 비치
-- 개인정보 취급방침의 내용
--- 개인정보의 수집/이용 목적, 수집하는 개인정보의 항목 및 수집방법
--- 제 3자에게 제공시, 제공받는 자의 성명(법인명) / 제공받는자의 이용목적 / 제공하는 개인정보의 항목
--- 개인정보의 보유 및 이용 기간 / 개인정보의 파기절차 및 파기 방법
--- 개인정보 취급위탁을 하는 업무의 내용 및 수탁자
--- 이용자 및 법정대리인의 권리와 행사방법
--- 개인정보를 자동으로 수집하는 장치의 설치/운영 및 거부에 관한 사항
--- 개인정보 관리책임자의 성명 / 개인정보보호 업무를 하는 부서의 명칭과 연락처
- 개인정보 누출 등의 통지 신고(27조 3)
-- 개인정보 털린사실(분실/도난/누출) 알고나면, 지체없이 다음 내용 이용자에게 알리고 방통위나 KISA에 신고
--- 분실/도난/누출이 된 개인정보 항목
--- 분실/도난/누출이 발생한 시점
--- 이용자가 취할 수 있는 조치
--- 정보통신서비스 제공자 등의 대응 조치
--- 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
-- 물론, 확인된 내용만 우선적으로 신고/통지하고 이후에 알게 되자마자 바로 신고/통지
-- 정당한 사유가 있는 경우, 위의 내용을 인터넷 홈페이지에 30일 이상 게시함으로써 대체 가능
-- 천재지변이나 정당한 이유로 홈페이지가 불가능하면, 전국에 보급되는 둘 이상의 일반일간신문에 1회 이상 공고
-- 신고받은 KISA는 방통위에게 즉시 알려야 함
- 개인정보의 보호조치(28조)
-- 다음의 기술적/관리적 보호 조치를 해야 함
--- 내부관리계획수립시행 / 접근통제장치설치운영 / 접속기론위변조방지 / 전송저장 암호화 / 바이러스침해방지 / 기타 안정성 확보
- 개인정보의 파기(29조)
-- 개인정보는 목적을 달성하면 지체없이 복구/재생할 수 없도록 파기
-- 특별한 사유 없을 때, 보유기간은 최소 1년에서 3년
-- 개인정보 파기 통지는 30일전에 개인정보가 파기되는 사실과 언제 파기하는지 알림
--- 우편 / 서면/ 모사전송 / 전화와 같은 유사한 방법으로 알려야 함
- 개인정보 이용내역의 통지(30조 2)
-- 다음의 기준을 만족하는 정보통신서비스 제공자 등은 주기적으로 이용자에게 개인정보 이용내역을 통지해야 함
--- 전년도 말 기준 직전 3개월간 일일평균 100만명 이상
--- 정보통신서비스부분 매출액이 100억원 이상 정보통신서비스 제공자
-- 통지 내역
--- 수집/이용 목적 및 수집한 개인정보 항목
--- 개인정보를 제공받은 자와, 그 제공 목적 및 제공한 개인정보 항목
--- 개인정보 취급위탁을 받은자와 그 취급위탁을 하는 업무 내용
-- 통지 횟수 : 연 1회 이상 (우편 / 서면 / 모사전송 / 전화와 같은 유사한 방법으로)
- 손해배상 및 법정 손해배상청구(32조, 32조의 2)
-- 고의/과실에 따른 개인정보 분실/도난/누출의 경우, 이용자가 정보통신서비스제공자를 상대로 300만원 이하의 손해배상 청구 가능
--- 정보통신서비스 제공자는 고의나 과실 책임이 없음을 입증해야 함
- 정보보호 사전점검(45조 2)
-- 정보통신서비스 제공자가 새로 정보통신망을 구축하고나 제공하고자 할때, 정보보호와 관련된 사항을 고려해야 해
- 정보보호 최고 책임자의 지정(45조 3)
-- 정보통신시스템 등 보안 및 정보의 안전한 관리르 위해 임원급의 정보보호 최고책임자를 지정가능
--- 종업원 수, 이용자 수 등이 기준에 해당하면 필수로 지정하고 미창부장관에게 신고해야 함
-- 정보보호 최고책임자의 업무
--- 정보보호관리체계의 수립 및 관리/운영
--- 정보보호 취약점 분석/평가 및 개선
--- 침해사고의 예방 및 대응
--- 사전 정보보호대책 마련 및 보안조치 설계/구현 등
--- 정보보호 사전 보안성 검토
--- 중요 정보의 암호화 및 보안서버 적합성 검토
--- 그 밖의 정보보호를 위해 필요한 조치의 이행
- 정보보호관리체계(ISMS)(47조)
-- 미창부 장관은 ISMS를 수립/운영하고 있는 자에 대해 기준에 적합한지에 관하여 인증을 가능
-- 다음의 경우 중, 하나만 만족해도 무조건 ISMS 인증 받아야 해
--- 정보통신망서비스 제공하는 자
--- 직접정보통신시설 사업자
--- 전년도 매출액이 100억원 이상 / 전년도 말 기준 직전 3개월간 일일평균 이용자 100만명 이상
-- ISMS 인증의 유효기간은 3년임
-- 미창부장관은 KISA나 미창부장관이 지정한 기관(ISMS 인증기관)에게 인증을 수행하게 할 수 있음
--- ISMS 인증 심사 수행 기관 : KISA / 한국정보통신진흥협회
- 개인정보관리체계인증(PIMS)(47조 3)
-- ISMS와는 다르게 아직 의무사항이 아님(권고사항)
-- 이건 방통위가 인증하고, 따로 수행기관을 지정가능해
- 정보보호관리등급(47조 5)
-- ISMS 인증을 부여받은 기관이나 기업은 일괄적인 인증이 아니라, KISA로부터 정보보호 등급을 부여받을 수 있음
-- 미창부장관이 관리등급 부여하는거고, KISA가 대신 수행가능
(2) 정보통신 기반 보호법
1) 용어의 정의
- 정보통신기반시설
- 전자적침해행위
- 침해사고
2) 주요정보통신기반시설 보호체계
3) 주요정보통신기반시설의 지정과 취약점 분석
4) 주요정보통신기반시설의 보호 및 침해 사고의 대응
- 정보통신기반보호위원회(3조)
-- 정보통신기반시설의 보호에 관한 사항을 심의하기 위해, 국무총리 소속하에 정보통신기반보호위원회를 둠
-- 위원장 1인을 포함한 25인 이내의 의원으로 구성
--- 위원장은 국무조정실장
-- 효율적 운영을 위해, 공공분야와 민간분야를 각각 담당하는 실무 위원회를 둠
- 정보통신기반보호위원회의 기능(4조)
-- 주요 정보통신기반시설 보호정책 조정이나 제도개선에 대한 사항과 주요 정책
-- 위원장이 부의하는 사항을 심의
- 주요 정보통신기반시설보호대책의 수립(5조)
-- 주요 정보통신기반시설을 관리하는 기관은 정보통신기반시설보호대책을 수립/시행해야 함
--- 수립/시행의 결과를 관계주요행정기관의 장에게 제출해야 함
-- 관리기관의 장은 정보보호책임자를 지정해야 함
- 주요 정보통신기반시설보호대책 이행여부의 확인(5조 2)
-- 미창부장관과 국정원장은 관리기관에 대해 정보통신기반시설보호대책의 이행여부 확인가능
- 주요 정보통신기반시설 계획의 수립 등(6조)
-- 관계중앙행정기관의 장은 정보통신기반보호위원회에게 전년도 추진실적과 다음연도 계획을 제출하고 심의받아야 함
--- 취약성 평가분석 / 침해사고 복구대책 / 그 밖의 대책
- 주요 정보통신기반시설의 보호지원(7조)
-- 관리기관의 장은 미창부, 국정원장 등에게 정보통신시설의 대책, 침해사고 예방복구 등에 대한 기술지원 가능
--- 국정원장은 금융/정보통신기반시설에 개인정보가 저장된 모든 정보통신기반시설 기술지원은 X
---- 국정원도 안되는게 있구나
(3) 정보통신산업 진흥법
1) 지식정보보안컨설팅 전문업체
- 지식정보보안컨설팅 전문업체(33조)
-- 주요 정보통신기반시설의 취약점 분석/평가 업무나 보호대책 수립업무를 신뢰성 있게 수행할수있다고 인정받은 업체
-- 미창부장관이 지정하게 되네
-- 업체지정은 법인으로 한정되고, 3년간의 유효기간이 있음(재지정 받을수있지 당연히)
- 지식정보보안컨설팅 전문업체 결격 사유(34조)
-- 뭐...생략
- 지식정보보안컨설팅 전문업체의 양도/합병 등(35조)
-- 양수인이 자격도 있어야 되고, 미창부장관에게 신고해서 수리 받아야 지식정보보안컨설팅 전문업체의 지위를 승계받음
- 지식정보보안컨설팅 전문업체 휴/폐업, 재개(36조)
-- 휴업/폐업, 재개하려는 날의 30일전까지 미창부장관에게 신고
- 자료의 기록 보존(39조)
-- 주요 통신기반시설의 취약점 분석/평가 업무와 관련하여 작성한 기록 및 자료를 안전하게 보존해야함
--지식정보보안컨설팅 전문업체에서 취소되거나 폐업하면, 주요 통신기반시설의 장에게 자료를 반환하거나 폐기
- 지식정보보안산업협회 설립(40조)
-- 미창부장관의 인가를 받아 지식정보보안산업협회를 설립가능
-- 지식정보보안산업협회는 법인으로 함
(4) 전자서명법
1) 용어의 정리
- 전자문서
- 전자서명
- 공인전자서명
- 전자서명생성정보
- 전자서명검증정보
- 인증
- 인증서
- 공인인증서
- 공인인증업무
- 공인인증기관
- 가입자
- 서명자
- 개인정보
2) 전자서명의 효력
- 전자서명의 효력(3조)
-- 공인전자서명이 있는 경우에는, 당해 전자서명이 [서명자의 서명, 서명날인 또는 기명날인이고], 당해 전자문서가 전자서명된 후 그 내용이 변경되지 아니하였다고 추정
3) 공인인증기관
- 공인인증기관의 지정(4조)
-- 미창부 장관이 공인인증기관을 지정할 수 있어
-- 공인인증기관으로 지정받을 수 있는 건 국가기관 / 지방자치단체 / 법인에 한해
-- 현재 : 한국정보인증(주), (주)코스콤, 금융결재원, 한국전자인증(주), 한국무역정보통신
- 공인인증업무 준칙(6조)
-- 공인인증기관은 업무 개시전에, 공인인증업무준칙을 작성해 미창부장관에게 신고해야 함
--- 인증업무종류 / 인증업무의수행방법및절차 / 공인인증역무의 이용조건 / 기타 인증업무 수행에관하여 필요사항
4) 공인인증서
- 공인인증서 발급(15조)
-- 공인인증서를 발급받고자하는 자의 신원을 확인해야 함
-- 공인인증기관이 발급하는 공인인증서에는 다음의 내용이 포함되어야 함
--- 가입자의 이름(법인명)
--- 가입자의 전자서명검증정보
--- 가입자와 공인인증기관이 이용하는 전자서명 방식
--- 공인인증서의 일련번호
--- 공인인증서의 유효기관
--- 공인인증기관의 명칭 등 공인인증기관을 확인할 수 있는 정보
--- 공인인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항
--- 가입자가 제 3ㅈ라를 위한 대리권 등을 갖는 경우 또는 직업상 자격 등의 표시를 요청한 경우 이에 관한 사항
--- 공인인증서임을 나타내는 표시
- 공인인증서 효력소멸(17조???)
-- 공인인증서 유효기관이 경과한 경우
-- 공인인증기관의 지정이 취소된 경우
-- 공인인증서의 효력이 정지된 경우
-- 공인인증서가 폐지 된 경우
- 공인인증서의 효력정지(17조)
-- 가입자 또는 대리인의 신청이 있을 경우, 공인인증서의 효력을 정지하거나 정지된 공인인증서의 효력을 회복해야 함
-- 공인인증서 효력 회복의 신청은, 공인인증서 효력이 정지된 날로부터 6개월 이내여야 함
(5) 개인정보보호법
0) 걍 설명
- 2011년 9월 30일 제정되어 공공과 민간을 아우르는 일반법
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률이 개인정보보호법 보다 우선
-- 정보통신망법에 특별한 규정이 있지 않은 이상, 개인정보보호법에서 정하는 바에 따름(6조)
- 대부분 공공기관과 준용사업자에게 적용되는 법률로, 광범위하게적용되는 개인정보보호관련 일반법
- 전반적으로 망법이랑 내용겹치는게 있어(몇 개 더 추가되고 그런거만 있찌..)
1) 용어의 정리
- 개인정보
- 처리
- 정보주체
-개인정보파일
- 개인정보처리자
- 공공기관
- 영상정보처리기기
- ※ 망법이랑 비교하면서 보기
2) 개인정보 보호위원회
- 개인정보 보호위원회(7조)
-- 개인정보 보호에 관한 사항을 심의/의결하기 위해 대통령소속으로 개인정보보호위원회를 둠
-- 위원장 1명, 상임위원 1명을 포함한 15명 이내의 위원으로 구성
--- 위원장은 공무원이 아닌사람으로 대통령이 위촉 / 임기 3년(1번 연임가능)
--- 상임위원은 정무직 공무원으로 임명
- 개인정보 보호위원회 기능(8조)
-- 허허ㅓ..
3) 개인정보의 수집, 이용, 제공 등 단계별 보호기준
- 개인정보의 수집/이용(15조)
-- 개인정보처리자는 개인정보 이용을 위해 수집할 때, 알리고 동의받아야 하는 것
--- 개인정보의 수집 이용 목적
--- 수집하려는 개인정보의 항목
--- 개인정보의 보유이용기간
--- 개인정보보호법에서는, 거부할 권한이 있다는것과 이에 따른 불이익도 알리고 동의받아야해
---- 이건 망법에 없는내용
- 개인정보 수집 제한(16조)
-- 동의를 받고 개인정보를 수집하더라도 최소한으로 수집해야 함
--- 최소한이라는 걸 입증할 책임도 개인정보처리자에게 있지
- 개인정보제공(17조)
-- 개인정보를 제 3자에게 제공할 때, 다음의 내용을 이용자에 알리고 동의받아야 함
--- 개인정보를 제공받는 자
--- 개인정보를 제공받는 자의 개인정보의 이용목적
--- 제공하는 개인정보의 항목
--- 개인정보를 제공받는 자의 개인정보 보유 및 이용기간
--- 동의를 거부할 권리가 있다는 사실 및 동의거부에 따른 불이익이 있는 경우 그 불이익의 내용
---- 망법에 없는 내용
- 업무위탁에 따른 개인정보의 처리제한(26조) ; 순서는 뒤에있지만 끌어다 왔어
-- 업무위탁시에는 반드시 문서로 해야되고, 위탁계약서에는 개인정보보호에 대한 역할과 책임을 명시해야 함
-- 업무위탁시에는 개인정보처리방침을 공개해야 함
-- 손해배상책임에서는 수탁자를 위탁자의 소속직원으로 보기에 관리감독 철저히!
- 개인정보취급자에 대한 감독(28조)
-- 개인정보처리자는 개인정보취급자에 대하여 적절한 관리/감독을 이행해야함
--- 개인정보취급자는 임직원부터 파견근로자, 알바, 인턴까지 개인정보처리자의 지후 감독하에 개인정보를 처리하는 자 모두
--- 정기적인 교육을 실시
- 개인정보의 이용/제공 제한(18조)
-- 개인정보를 제공하더라도 최소한의 제공하고 이용목적의 범위를 벗어나서는 안됨
-- 제 3자 제공시에는 반드시 개인정보처리방침을 통해 공개
- 정보주체 이외에서 수집한 개인정보 수집 출저 등 고지(20조)
-- 개인정보 처리자가 정보주체 이외에서 수집한 경우
정보주체의 요구가 있으면 수집출저, 개인정보처리목적, 처리정지를 요구할 권라가 있음을 알려야함
- 개인정보의 파기(21조)
-- 개인정보의 처리목적을 달성하면 지체없이 파기
--- 다른 법령에 보존근거가 있으면 그거에 따라야지
-- 개인정보를 파기하지 않고 보존하는 경우는, 다른 개인정보와 분리하여 저장관리
4) 고유 식별정보 처리제한
- 민감정보처리제한(23조)
-- 사상, 신념, 노동조합, 정당의 가입탈퇴, 정치적견해, 건강, 성생활 등에 관한 정보를 처리 못하게 함
-- 망법보다 더 구체적이고 넓어졌지
- 고유식별정보처리제한(24조)
-- 개인정보처리자는 다음의 경우 제외해고 고유식별정보를 처리 불가
--- 정보주체에게 모든 사항알리고 별도로 동의를 받은경우
--- 법령에서 구체적으로 고유식별정보의 처리를 요구하거나 허용한 경우
-- 공유식별정보 : 주민등록번호 / 여권번호 / 운전자면허번호 / 외국인등록 번호 등
- 주민등록번호의 처리제한(24조의 2)
-- 다음의 경우를 제외하고 주민등록번호 처리 불가
--- 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
--- 정보주체나 제 3자의 급박한 생명,신체, 재산의 이익을 위해 명백히 필요하다고 인정되는 경우
--- 주민등록번호 처리가 불가피한 경우로서 행정자치부령으로 지정하는 경우
-- 개인정보처리자가 불가피하게 주민등록번호를 수집했다면, 분실/도난/유출 등을 막기 위해 암호화 조치를 통해 안전하게 보관해야됨
-- 개인정보처리자가 주민등록번호 처리 가능하더라도, 주민등록번호가 아닌 방법으로 가입할 방법 제공해야 됨
- 주민등록번호 유출시 과징금 5억(32조 2)
-- 행정자치부장관은 개인정보처리자가 처리하는 주민등록번호가 분실/도난/유출 등을 당하면 5억원 이하의 과징금을 부과/징수 가능
--- 물론 필요한 조치를 다했다면 그러지 아니하대
5) 영상정보처리기기의 설치 제한
- 영상정보처리기기의 설치/운영 제한(25조)
-- 법령에서 허용되는 경우를 제외하고는 공개된 장소에 영상정보처리기기를 설치해서는 안됨
-- 공공기관에서 설치/운영하려면 공청회 거쳐야하고, 이해관계자의 의견은 수렴하는 절차까지만 하면됨
-- 설치할때는 가장 잘 보이는 건물 중앙에 설치
-- 녹음은 해서는 안되
-- 다른용도로 사용하면 X
6) 개인정보 영향평가제도
- 개인정보처리방침의 수립 및 공개(30조)
-- 개인정보처리자는 홈페이지 첫 화면 아래에 개인정보처리방침을 공개해야함
-- 볼드체, 색상을 다르게
-- 홈페이지 없으면 사무실에 잘보이게 비치
- 개인정보 보호책임자 지정(31조)
-- 개인정보처리자는 개인정보의 처리에 관한 업무를 총괄해서 책임질 개인정보 보호책임자를 지정해야 함
-- ...하는일들 생략
- 개인정보파일 등록 및 공개(32조)
-- 공공기관의 경우, 개인정보파일에 대한 자세한사항들을 행정자치부장관에게 신고해야함
-- 행정자치부장관은 신고받은 개인정보파일에 대한 자세한 사항들을 누구나 열람가능하도록 공개해야 함
- 개인정보 영향평가(33조)
-- 공공기관은 특정한 요건을 충족할 경우 개인정보영향평가를 의무적으로 받아야 함
--- 5만명 이상의 정보주체에 대한 민감정보나 고육식별정보를 처리함
--- 다른 개인정보파일과의 연계할때, 50만명 이상의 정보주체에 관한 개인정보를 처리
--- 100만명 이상의 정보주체에 대한 개인정보파일의 처리함
-- 민간은 아직까지 권고사항
-- 공공기관은 영향평가의 결과를 행정자치부장관에게 제출해야 함
--- 행정자치부장관이 지정한 평가기관 중에서 의뢰해야 함
7) 개인정보 유출사실의 통지/신고제도
- 개인정보유출통지(34조)
-- 개인정보가 유출되었을 때에는 지체없이 정보주체에게 알려야 함
8) 정보주체의 권리보장
- 개인정보의 열람(35조)
-- 정보주체는 개인정보처리자에게 자신의 개인정보 열람을 요구할 수 있음
-- 이것도 보여줘야 되는기간이 따로 있어(대통령령)
-- 물론, 개인정보의 열람이 타인에게 해를 끼치는 등의 영향이 있을것 같으면 제한하거나 거부가능
- 손해배상 책임(39조 2항)
-- 정보주체는 개인정보처리자가 법을 윟반한 행위로 손해를 입으면 손해배상 청구가능
--- 개인정보처리자는 고의나 과실이 없음을 입증해야 해야 책임 면함
-- 물론, 개인정보처리자가 의무를 준수하고 최선을 다했다면 감경받을 수있긴해
9) 개인정보 분쟁조정위원회
- 개인정보 분쟁조정위원호의 설치 및 구성(40조)
-- 개인정보에 관한 분쟁의 조정을 위해 개인정보 분쟁조정위원회를 둠
-- 위원장 1명을 포함한, 20명 이내의 위원으로 구성(그 中 1명은 상임위원)
-- 개인정보와 관련한 분쟁의 조정을 원하는 자는 분쟁조정위원회에 분쟁조정을 신청가능
--- 분쟁조정위원회는 해당 내용을 상대방에 알려야 함
--- 공공기관이 경우 별다른 사유업승면 분쟁조정에 응해야 함
-- 분쟁조정을 신청받은 날로부터 60이내에 이를 심사해 조정안을 작성해야 함
--- 물론 의결로 처리기간 연장가능(연잔시 신청자에게 이유와 함께 알려야 함)
-- 조정전에 합의를 권고가능
- 집단조정분쟁조정(49조)
-- 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같은거나 비슷한 유형으로 발생하는 경우에 신청가능
(6) 개인정보의 안정성 확보 조치 기준(안행부고시 제2014-229호)
- 내부관리 계획수립.시행(3조)
-- 망법처럼 개인정보보호법에서도 안정성확보 조치를 위해 내부관리계획을 수립해야 함
--- 실행가능하고 / 구체적이고 / 맞춤형
-- 물론, 소상공인은 안해도되
- 접근권한 관리(4조)
-- 개인정보 수집시에는 최소화하여 수집
-- 개인정보처리시스템에 접근할 때에도 접근권한을 차등부여하고 최소한의 범위로 설정
-- 접근권한의 부여 기록은 3년간 보관
-- 개인정보 취급자의 사용 계정은 공유해서 사용해서는 안됨
- 접근통제(5조)
-- 정보통신망을 통한 불법적인 접근과 침해사고의 방지를 위해 다음과 같은 기능을 시스템에 설치/운영해야 함
--- 접속권한을 IP주소 등으로 제한하여 접근제어
--- 접속한 IP주소 등을 분석하여 불법적인 개인정보 유출시도 탐지
--- IDS / IPS / Firewall를 말하는것 같음
-- 외부망에서 개인정보처리시스템에 접근시 VPN이나 전용선등 안전한 접속수단 적용해야 함
-- 주민등록번호 이용해 본인인증 외에도 추가 인증수단을 마련해야함
-- 개인정보처리자는 연 1회이상 취약점을 점검해야 함
-- 개인정보취급자가 공개된 무선망을 통해 개인정보를 처리하는 경우, 보안프로그램이나 SSL, VPN 등을 적용해야함
-- 개인정보처리에 이용되는 모바일 기기의 분실/도난 등을 예비해 비밀번호나, 잠금 기능의 조치를 해야 함
- 개인정보의 암호화(6조)
-- 암호화 대상 : 고유식별정보, 비밀번호 및 바이오정보
--- 비밀번호및 바이오정보는 암호화하여 저장하되, 비밀번호는 일방향 암호화해서 저장(해쉬값)
-- 정보통신망을 이용해 개인정보를 송수신할 떄에도 암호화를 해야함(SSL 등 사용)
- 접속기록의 보관 및 점검(7조)
-- 개인정보처리시스템의 접근 기록은 6개월 이상 보관해야 함
-- 위/변조를 방지하기 위해 안전하게 보관
-- 반기별로 1회 이상 점검
- 악성프로그램 등 방지(8조)
-- 백신 소프트웨어 설치/운영
--- 자동 업데이트 기능 사용하거나, 일 1회 이상 엔진 업데이트 해야 됨
--- 악성 프로그램관련 경보가 떳을 때에는, 사용하는 백신의 보안 업데이트 공지가 뜨면 업데이틀 통해 최신상태 유지해야 함
- 물리적 접근 방지(9조)
-- 전산실이나 자료보관실에 개인정보를 보관시에는, 출입통제 절차를 수립/운영해야 함
-- 서류와 보조저장매체는 안전한 곳에 보관
- 개인정보의 파기(10조)
-- 완전파괴 / 전용소자장비를 이용한 삭제 / 복원안되게 포맷 또는 덮어쓰기
출처: https://kit2013.tistory.com/215 [정윤상이다.]
'IT > 정보보안' 카테고리의 다른 글
애플리케이션 보안 - WPA, WPA2 (Wi-Fi Protected Access) (0) | 2019.08.22 |
---|---|
애플리케이션 보안 - XML 기반 Web 기술 (0) | 2019.08.21 |
[정보보안기사] 정보보안 일반 - (2) 암호학 (0) | 2019.07.04 |
[정보보안기사] 정보보안 일반 - (1) 보안요소 기술 (0) | 2019.07.03 |
네트워크 보안 - 워터링 홀, 악성 봇, 스피어 피싱, 피싱 공격 (0) | 2019.07.02 |
댓글