* 20년도 정보보호 실태조사 결과 요약
1) 정보보호의 중요성에 대한 인식 개선 (4.5% 증가)
1-1) 개인정보 수집률 (12.1% 증가), 이용률 (11.5%)
2) 정보보호 정책 수립률 증가 (0.5% 증가)
- 10~49인 50.9%
- 1~4인 11.9% 어려움을 느끼고 있음
3) 정보보호 조직 보유율 (1.1% 증가)
- 50~249인 이하 58.2%
- 10~49인 28.9%
- 1~4인 6.3%
4) 정보보호 교육 실시율 (6.6% 증가)
- 5인 이상 규모의 경우 50% 실시
5) 정보보호 예산 편성률 (29.5% 증가)
6) 정보보호 제품 이용률 (6.2% 증가)
- 네트워크 및 단말기 보안이 각각 90.0% 이상 이용
7) 정보보호 서비스 이용률 (27.0% 증가)
- 인증서, 유지관리, 교육, 보안관제 등의 서비스 이용
- 보안컨설팅 이용률은 4.1%로 매우 저조함
8) 시스템 보안점검 실시률 (12.7% 증가)
8-1) 보안패치 적용율 (12.6% 증가)
8-2) 백업 실시율 (5.3% 감소)
- 시스템 로그 백업율은 증가하였으나 중요 데이터 백업율이 감소
9) 개인정보 침해사고 예방 기술적 조치 시행률 (5.8% 증가)
- 바이러스 방지 조치 (84.6%)
- 오프라인 데이터 백업 (58.5%)
- 접근 통제 시스템 설치 (침입차단시스템 등) (42.5%)
- 암호화 기술 적용 (37.6%)
- 접속 기록 위변조 방지 (34.4%)
10) 침해사고 경험 (0.8% 감소)
- 피해 심각성 정도는 경미한 피해가 64.6%
- 주요 피해로는 랜섬웨어 (59.8%), 악성코드(42.7%), 비인가접근(6.6%), DoS(4.1%)
- 대응계획 수립, 긴급연락체계 구축, 외부 위탁, 대응팀 구성, 복구 조직 구성, 보험 가입 등 활동 수행
- 별다른 활동을 수행하지 않는 기업이 73.0%로 전년 대비 0.8% 감소
11) 개인정보 침해사고 예방, 사후 관리 조치 (5.8% 증가)
- 개인정보 침해사고 매뉴얼 수립
- 침해사고 사후 처리방침 수립
- 내부 대응체계 및 보고체계 확립
- 침해 발생 징후 목록 작성, 관리
- 피해상황 점검 및 증거 수립 절차 확립
* 조사 결과에 대한 의견
1) 정보보호의 중요성과 개인정보 수집 및 이용률이 증가 추세
이에 따라 정보보호 등에 대한 교육 실시율도 동반 성장 추세
2) 하지만 정보보호 정책 수립 및 조직 구성은 상대적으로 저조한 상태이며 자체 체계적인 활동은 어려운 상태
소규모 조직에서 정책 수립 및 조직 구성 등에 대해 어려움을 느끼고 있음
3) 시스템에 대한 보안점검은 증가한 반면 중요 데이터 백업율이 감소 추세
정보보호 컨설팅 이용률은 4.1%로 매우 저조
스스로 체계적인 활동이 어려우면서도 컨설팅 등을 이용한 체계 수립은 미흡
4) 개인정보 등 침해사고 예방 조치
'개인정보의 안전성 확보조치 기준'과 '개인정보의 기술적 관리적 보호조치 기준'에서 요구하는 활동 미흡
(기술적 보호조치 요구사항)
-접근통제 (침입차단시스템)
-안전한 인증 수단 적용
-논리적 물리적 망분리
-접속기록 월 1회 이상 확인, 1년 이상 보존 관리, 물리적 저장장치에 별도 보관
-개인정보 암호화 저장, 전송
-악성프로그램 방지
-물리적 접근통제
(관리적 보호조치 요구사항)
-관리계획 수립
-접근권한 관리 및 기록 유지
-비밀번호 작성 규칙
-개인정보 외부 유출
-개인정보취급자 최대 접속시간 제한
-개인정보 표시 제한
-출력, 복사 시 보호조치
'(부제) 나는 CISO 이다 > CSAP 인증심사' 카테고리의 다른 글
| (CSAP) 리히비 최소량의 법칙 & 하인리히의 법칙 (0) | 2021.03.29 |
|---|---|
| (CSAP) 고집불통 정보보호 담당 (0) | 2021.03.28 |
| (CSAP) 보안사고 정말 없었다? 믿어져? (0) | 2021.03.27 |
| (CSAP) 문서 중앙화 (0) | 2021.03.27 |
| (CSAP) 사고발생 시 신고기관 및 이용자 통지 (0) | 2021.03.27 |
댓글