(ISMS-P) 암호 정책 수립

1. 암호 정책 수립의 개요

가. 정의

• 중요정보의 전송 및 저장 시 안전한 보호를 위한 정책 수립 및 이행

나. 특징

• 암호 대상은 취급 정보 민감도 및 중요도에 따라 정의
• 암호화 대상별 암호화 방식과 알고리즘 강도 정의
• 암호키 관리 대책
• 정보 전송 및 저장 시 암호화 방안
• 암호화 관련 시스템 운영 담당자 역할 및 책임 정의
• 암호화 관련 법적 요구사항 반영 (개인정보보호 관련 법률 등)

 

2. 암호 정책 수립과 관련된 통제항목

가. 암호 정책 수립과 관련된 통제항목 개념도

나. 암호 정책 수립과 관련된 통제항목 요소

통제항목	특징	설명
9.1.5. 공개서버 보안	SSL TLS	-웹 서버 등을 통한 개인정보 등 중요정보를 송 ∙ 수신 시 SSL(Secure Socket Layer)/TLS(Transport Layer Security) 인증서 설치 등 보안서버 구축 (고유식별정보, 비밀번호, 바이오정보 송수신 및 저장 시 암호화)
9.2.3. 데이터 이전	IPSec 전용선	-이용자의 데이터 이전 시 안전하고 암호화된 통신 채널 이용
10.3.3. 강화된 인증 수단 제공	바이오	-바이오 정보를 통한 사용자 인증 시 암호화 저장
10.3.4. 사용자 패스워드 관리	해쉬 알고리즘 sha 256	-사용자의 패스우드를 저장 시 또는 종이, 파일, 포켓용 소형기기 등에 패스워드 기록∙저장을 제한하고 부득이하게 기록 ∙ 저장해야 하는 경우 암호화 등의 보호대책 적용  -복호화되지 않는 일방향 암호화 적용
10.3.5. 이용자 패스워드 관리	해쉬 알고리즘 sha 256	-이용자의 패스우드를 저장 시 또는  종이, 파일, 포켓용 소형기기 등에 패스워드 기록∙저장을 제한하고 부득이하게 기록 ∙ 저장해야 하는 경우 암호화 등의 보호대책 적용  -복호화되지 않는 일방향 암호화 적용
11.1.4. 네트워크 암호화	ssh VPN OpenSSH	-중요 정보가 이동하는 구간에 대해 암호화 통신 채널 사용
11.1.6. 무선 접근통제	WPA2	-무선 정보 송수신 시 무선망 암호화 기능 적용
12.1.4. 데이터 보호	통신, 전송, 저장 암호화	-데이터 입력, 처리, 통신, 전송, 출력, 저장 및 검색과 관련된 처리 및 전송 통제
13.1.1. 보안요구사항 정의	보안 요구사항	-시스템 신규 개발 또는 변경 시 암호화 대상정보 선정
13.1.2. 인증 및 암호화 기능	패스워드 암호화 강화된 인증수단 제공 여부	-시스템 설계 시 사용자 인증에 대한 패스워드, 강화된 인증 수단 제공 여부 등 고려
12.3.2. 암호키 관리	암호키 관리 절차	-암호키 생성, 이용, 보관, 배포, 파기에 대한 정책 및 절차 수립 -암호키 소산 백업, 변경 정책/절차 수립