본문 바로가기

(개인)정보보호/최신ICT 정보 공유 블로그

(부제) 나는 CISO 이다/CSAP 인증심사34

클라우드 보안인증 등급제 고시 개정안 행정예고 과학기술부가 클라우드 보안인증 등급제 도입을 위해 '클라우드 컴퓨팅서비스 보안인증에 관한 고시' 개정안 행정 예고 획일적으로 운영되던 보안인증 체계를 개선하기 위해 상중하 등급제 도입 하등급 시스템에 대한 인증을 고시 공포 후 시행 상중등급은 관계부처와 공동 실증 검증을 통해 세부 평가기준 보완 후 시행 예정 [기사참조] https://zdnet.co.kr/view/?no=20230105133304 2023. 1. 6.

(ISMS-P) 정보보호 공시제도 1. 정보보호 공시제도의 개요 가. 정보보호 공시제도의 정의 -이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화를 위해 기업의 정보보호 투자 인력활동 등에 관한 정보를 공개하도록 하는 제도 나. 정보보호 공시제도의 특징 -디지털 전환으로 사이버 침해사고 발생 시 기업 경영에 직접 영향 -기업의 위험관리 정보가 투명하게 공개되지 않음 -이해관계자들의 알권리 보장 -기업의 자발적인 정보보호 투자 촉진 -공시대상연도에 처리하거나 발생한 회계 및 인증 내용을 기준으로 정보보호현황을 작성하여 공시 -처벌규정 신설, 위반시 1천만원 이하의 과태료 부과 근거 조항 신설 (정보보호산업법 개정안 제41조 제1항 제1호) 2. 정보보호 공시 의무대상 기준 및 공시 내용 가. 정보보호 공시 의무대상 기준 의무대상 .. 2022. 1. 10.

(ISMS-P) 금융보안원의 클라우드 안전성 평가 1. 금융보안원의 클라우드 안전성 평가 가. 평가 근거 -전자금융감독규정 제14조의 2 (클라우드컴퓨팅서비스 이용절차 등)에 따라 클라우드컴퓨팅서비스 제공자의 안전성을 금융보안원에 평가지원 가능 나. 평가 특징 -(평가 대상), 금융회사가 도입 및 이용하고자 하는 상용 CSP 클라우드컴퓨팅 서비스를 대상으로 함 (비사용 CSP)는 평가대상에 포함하지 않음 -(평가 범위), 금융회사가 이용 예정인 사용 CSP 클라우드 컴퓨팅 서비스와 관련한 자산 -(평가 방법), 자체 평가 또는 금융보안원에 평가 지원 요청 2. 금융보안원의 클라우드 안전성 평가의 종류 구분 실시 시기 설명 종합 평가 -최초 도입 -CSP의 서비스 모델 확대 -CSP 사업자 변경 -서비스 이용 업무의 중요도 증가 -CSP의 클라우드컴퓨팅서.. 2022. 1. 10.

(ISMS-P) 금융분야 클라우드컴퓨팅 서비스 이용 가이드 □ 금융회사의 클라우드서비스 이용은 금융회사의 정보처리 업무 위탁에 관한 규정 제2조 제5항 및 제6항에 따라 정보처리 위탁에 해당 o 자본시장법 제42조 및 금융기관의 업무위탁 등에 관한 규정 제3조에 따른 업무위탁에 해당됨 ※ 클라우드서비스 이용은 정보를 제공하는 것이 아닌, 위탁 처리 하는 것으로 봄 □ 전자금융업무와 관련된 정보처리시스템을 위탁할 경우 클라우드서비스 제공자는 감독규정 제3조제3호 또는 제4호에 따라 전자금융보조업자에 해당 □ 클라우드서비스를 이용한다고 해서 금융회사의 책임이 면제되는 것이 아니며, 고객 손해 발생 시 금융 회사가 1차적 손해배상 책임의 주체이고, 클라우드 제공자는 수탁자로서 연대배상책임을 부담 o 따라서 금융회사는 전자금융보조업자(클라우드서비스 제공자)에 대한 감독.. 2022. 1. 10.

(CSAP) 이용자의 계정 및 패스워드 관리 절차 공지 통제항목 10.3.5. 이용자 패스워드 관리 고객, 회원 등 외부 이용자가 접근하는 클라우드시스템 또는 웹서비스의 안전한 이용을 위하여 계정 및 패스워드 등의 관리절차를 마련하고 관련 내용을 공지하여야 한다. 점검항목 2) 이용자 계정 및 패스워드 관리절차 관련 내용을 홈페이지 또는 메일 등을 통하여 이용자가 쉽게 확인하고 이해할 수 있도록 공지하고 있는가? 설명 o 고객, 회원 등 서비스 이용자가 접근하는 클라우드시스템 또는 웹서비스의 안전한 이용을 위하여 계정 및 패스워드의 관리절차를 마련하고, 관련 내용을 홈페이지 또는 메일 등을 통하여 이용자가 쉽게 확인하고 이해할 수 있도록 공지하여야 한다. CSAP의 통제항목 중 설명이 부족한 '10.3.5. 이용자 패스워드 관리'의 두번째 점검항목에 대해 추.. 2021. 11. 9.

(CSAP) 정보보호시스템 등 도입/운용 관련 보안성 검증 1) CC인증서 보유 필수 제품 정보보호시스템 등 23종은 인증서 보유 필수 가상사설망, 호스트 기반 자료유출방지 제품은 검증필 암호모듈 탐재 필요 국가용 보안요구사항 또는 국가용 보호프로파일을 준수한 경우 보안적합성 검증 신청 절차 생략 가능 (준수하지 않은 경우 도입은 가능하지만 도입 후 보안적합성 검증 신청 2) GS인증서로 안전성이 검증된 경우 스팸메일 차단 시스템, 패치관리 시스템, 망간 자료전송 제품 등 3종 국가용 보안요구사항을 준수한 GS인증서로 안전성이 검증된 경우 안전성 검증필 제품목록에 등재 보안적합성 검증 절차 생략 및 도입/운용 가능 22년부터 GS인증으로 안전성 검증필 제품목록에 신규 등록 불가, 도입 제한 3) 성능평가 결과 확인서로 안전성이 검증된 경우 디도스 대응 장비, 안.. 2021. 8. 31.

(CSAP) 클라우드 서비스 제공 과정에서 개인정보 처리 1. 개인정보 수집 관련 근거 가. 개인정보보호법 기준 개인정보보호법 제15조(개인정보의 수집, 이용) 제1항에 따라 정보주체의 동의를 받아 처리 제2항부터 제6항까지 예외 조항에 따라 동의 없이 추가 가능 특히 제4항 정보주체와의 계약 체결, 이행을 위해 불가피한 경우와 제6항 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 (정보주체의 권리보다 우선하는 경우)에 동의 없이 개인정보를 수집 가능 나. 관련 용어 정보주체 : 처리되는 정보에 의해 알아볼 수 있는 사람 개인정보처리자 : 업무를 목적으로 개인정보파일을 운영하기 위해 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 자 개인정보 수탁자 : 개인정보처리자를 대신하여 개인정보파일을 운영하는 자 (이 경우 개인정보처리자는 위탁자가 됨) 2... 2021. 8. 24.

(CSAP) 금융사 CSP 안전성 평가와 비교 1. CSAP (클라우드 서비스 보안 인증) 가. CSAP의 정의 클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제23조 제2항에 따라 정보보호 기준의 준수 여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도 나. CSAP의 특징 (공공기관 이용 대상), 공공기관에 안전성 및 신뢰성이 검증된 민간 클라우드 서비스 공급 목적 (민간 클라우드 관리체계), 객관적이고 공정한 클라우드 서비스 보안인증을 실시하여 이용자의 보안 우려를 해소하고, 클라우드 서비스 경쟁력 확보 다. CSAP의 근거 『클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률』 제5조에 의한 『제1차 클라우드 컴퓨팅 기본계획』(20.. 2021. 7. 30.

(CSAP) 법정대리인 동의 확인 방법 1. 법정대리인 동의 확인방법 개요 가. 정대리인 동의 확인방법의 정의 - 개인정보보호법 등에 따라 만 14세 미만 아동으로부터 개인(위치)정보를 수집‧이용‧제공하는 경우 해당 정보통신서비스 제공자등은 법정대리인이 동의했는지를 알리거나 확인 등을 해야함 나. 정대리인 동의 확인방법의 대상 - 만14세 미만 아동을 주요 대상으로 하는 서비스 - 만 14세 미만 아동을 이용자에서 배제하지 않고 서비스 하는 경우 등 2. 동의 확인방법 및 절차 가. 동의 확인방법 (1) 만 14세 미만 아동의 개인(위치)정보를 수집하는 서비스인지 확인 - 만 14세 미만 아동인지를 구별하기 위해 이용자가 ‘법정 생년월일’을 직접 입력 받는 방법 - ‘만 14세 이상’이라는 항목에 체크 등 이러한 방법을 토대로 사업자는 만 1.. 2021. 5. 1.

(CSAP) 개인정보 수집 이용 제공 동의 방법 서비스 가입신청서와 같은 곳에서 다음과 같은 개인정보 수집 이용 제공 동의서를 볼 수 있습니다. 붉은색 박스로 표시된 것 같이 현재의 법률과 잘 맞지 않는 부분이 있는데 20년도 법의 개정으로 정보통신서비스제공자의 개인정보 수집 이용 제공 등에 관한 사항은 개인정보보호법으로 일원화되었으므로 변경되어야 합니다. 또한 수집항목, 수집방법, 이용목적 등을 각각 동의받는 경우가 있는데 이럴 경우 정보주체가 수집항목에는 동의를 하였으나 수집방법은 미동의를 했을 경우 개인정보를 수집할 수 없게 되므로 동의서를 받을 의미가 없어지게 됩니다. 이에 개인정보 수집 이용 제공 동의서를 작성하기 위한 고려 사항을 정리해 보았습니다. 1. 개인정보처리자는 정보주체의 동의를 받거나 관계 법령에 따라 적법하게 최소한으로 수집하여.. 2021. 4. 30.

(ISMS-P) ｢전자금융감독규정시행세칙｣ 개정 사항 (20.11.06) -망분리 규제 1. 전자금융감독규정시행세칙 개정사항 개요 가. 전자금융감독규정시행세칙 개정의 정의 -「전자금융거래법」 및 동법 시행령과 「전자금융감독규정」에서 금융감독원장에게 위임한 사항과 그 시행에 필요한 사항을 규정 -코로나19등으로 인한 업무환경 변화로 비대면 업무처리와 관련된 사항이 포함되어 개정됨 나. 전자금융감독규정시행세칙 개정의 특징 -(코로나19 영향), 20년 2월 금융회사 임직원의 재택근무로 인한 한시적으로 원격접속 허용 -(위험성 검토 미흡 우려), 긴급한 전환에 따라 금융회사의 사전 위험 검토 및 재택근무 시스템에 대한 보안조치가 미흡 -(언택트 문화), 업무 환경 등의 변화로 금융권 재택근무 일상화 등에 선제적 대응 필요 2. 전자금융감독규정시행세칙의 개정내용 가. 개정내용 구분 설명 1. 외주.. 2021. 4. 24.

(CSAP) 개인정보 이용내역 통지 방법 1. 개인정보 이용내역 통지의 개요 가. 개인정보 이용내역 통지의 정의 -개인정보보호법 제39조의 8 (개인정보이용내역의 통지) 에 따라 정보통신서비스 제공자등으로써 기준에 해당하는 자는 수집한 이용자의 개인정보의 이용내역을 주기적으로 이용자에게 통지하도록 하고 있음 나. 개인정보 이용내역 통지의 특징 -(정보통신서비스 제공자등), 정보통신 제공자 및 그로부터 이용자의 개인정보를 제공받은 자 -(매출액 또는 이용자수), 정보통신부문 전년도 매출액 또는 전녀도 말 기준 직전 3개월간 이용자 수 기준 2. 개인정보 이용내역 통지의 방법 가. 개인정보 이용내역 통지 방법 개인정보 이용내역 통지 대상자 1. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비.. 2021. 4. 21.

(CSAP) 개인정보처리방침 작성요령 1. 개인정보 처리방침의 개요 가. 개인정보 처리방침의 정의 -개인정보를 처리하고 있는 사업자/단체의 개인정보 처리기준 및 보호조치 등을 문서화하여 공개하는 것 나. 개인정보 처리방침의 특징 -(공개의무), 사업자 등 개인정보처리자로 하여금 개인정보 처리방침을 수립․공개하도록 의무화하고 있음 (법 제30조) -(과태료), 개인정보 처리방침을 정하지 않거나 공개하지 않는 자는 1천만원 이하 과태료가 부과됨 -(필수/선택), 개인정보 처리방침 작성 시 필수항목은 반드시 포함하여 작성 필요 2. 개인정보 처리방침의 구성 가. 개인정보 처리방침의 구성 (기재사항) 필수적 기재사항 임의적 기재사항 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항 (해당되는 경.. 2021. 4. 20.

(CSAP) 시점별 통제활동 수행을 위한 관리자 역할 앞서 시점별 활동 예방, 탐지, 교정/복구에 대해 정리해 봤습니다. 이런 시점별 활동을 수행하기 위해 정보보호 관리자는 어떤 역할을 수행해야 할까요. 시점별 통제활동 관리자 역할 예방 -주요 시스템들의 위협 및 취약점 정보, 위험평가 결과를 보고 받고 위험 수용 수준 결정 -위험이 적절한 수준 이하로 관리되도록 예산과 인력 등 자원을 할당 -임직원의 정보보호 인식 수준 향상을 위한 활동 계획 수립 -정보보호 및 주요 직무자의 정보보호 역량 강화을 위한 활동 계획 수립 -주기적 또는 상시 정보보호 활동 상황 검토 (선정된 정보보호 대책의 적정성 검토) -협력사 주기적인 정보보호 상태 확인 -주요 법률 제개정 현황을 모니터링 및 정책/지침 반영 탐지 -다양한 경로를 통해서 수집된 이벤트에 대한 보고 받기 (.. 2021. 4. 18.

(CSAP) 정보보호 관리체계 운영현황 관리 1. 정보보호관리체계 운영현황 관리의 개요 가. 정보보호관리체계 운영현황 관리의 정의 -수립한 정보보호관리체계에 따라 수행활동을 식별하고 수행이력을 관리하여 활동의 효과성을 관리하는 기법 나. 정보보호관리체계 운영현황 관리의 특징 -(활동 식별), 정보보호 활동을 식별하고, 운영현황을 확인 가능 -(수행 주체), 수행 주기 및 시점, 수행 담당부서/담당자 등을 정의 -(주기적 검토), 활동 결과를 주기적으로 검토하여 문제점 발견 및 개선 수행 2. 정보보호관리체계 운영현황 관리의 개념도 및 구성요소 가. 정보보호관리체계 운영현황 관리의 개념도 -정책/지침에 명시된 정보보호 활동을 식별하고 수행 결과를 주기적 검토하여 개선 활동을 수행 나. 정보보호관리체계 운영현황 관리의 구성요소 구분 설명 정보보호 정책.. 2021. 4. 14.

(CSAP) 네트워크 구조 설계 시 논리적/물리적 분리 고려사항 1. 네트워크 분리의 개요 가. (11.1.5 네트워크 분리)의 인증 기준 -CSAP 통제항목 (11.1.5 네트워크 분리)에서 클라우드컴퓨팅서비스 제공자의 관리 영역과 이용자의 서비스 영역, 이용자 간 서비스 영역의 네트워크 접근은 물리적 또는 논리적으로 분리를 하도록 요구하고 있음 나. 네트워크 분리의 특징 -(논리적, 물리적), 서비스 또는 업무에 따라 위험평가 결과를 기반으로 논리적 또는 물리적 분리 적용 -(내부, 외부), 외부에서 접근이 허용되는 네트워크와 허용이 필요하지 않는 차단되는 네트워크 분리 -(접근통제), 각각의 논리적/물리적 분리, 내/외부 분리된 네트워크 간에 접근통제를 통해 최소서비스만 허용 2. 네트워크 분리의 개념도 및 구성요소 가. 네트워크 분리의 개념도 1) IaaS 2.. 2021. 4. 13.

(CSAP) 체계적인 대응을 위한 시점별 통제활동 유형 정보보호 활동은 단순히 정보보호 솔루션을 설치하는 것만으로 모든 것이 끝나지 않스빈다. 관리적/물리적/기술적 보호대책이 존재하는 것과 같이 시점별 다양한 통제활동을 수행해야 합니다. 시점별 통제활동은 1) 예방 통제, 2) 탐지 통제, 3) 교정/복구 통제 등으로 구분 가능합니다. 1. 예방 통제 -발생 가능한 사건/침입 등을 사전에 식별하고 통제하는 활동 가. 위험관리 -정보자산 분류 -위협 발생 시나리오 작성 (위협 정의) -취약점 평가 -발생 가능성과 피해 규모 산정 나. 보안관제 -침해사고에 대한 사전 예방 활동 -모니터링, 사전대응, 정책 적용 등 -사고 위협 요소 감소 -보안 패치, 취약점 점검, 정책 관리 다. 정보보호 인식 제고 -임직원에 대한 보안정책 인식 -보안규정 등 준수, 실천 교육.. 2021. 4. 11.

(CSAP) SDLC 상에서 정보보호 활동 1. 시스템 라이프 사이클과 정보보호 활동 -시스템 도입 및 개발단계로부터 분석, 설계, 구현, 시험, 인수, 운영, 유지보수, 폐기까지 각 단계별 관련된 정보보호 활동을 식별 가. 시스템 도입 및 개발 단계 기법 ICT 정보보호 계획 예비 조사 기초 조사 -현 시스템의 상태 및 문제점 파악 -해결 방안 제안 -시스템 개발, 증설 여부 등 결정 -시스템 도입 및 개발 계획 수립 -시스템 도입 및 개발 시 고려사항 (CC, 암호화 검증필, 인증 등) 요구사항 분석 기능 분석 예비 설계 비용 효과 -현 시스템의 문제점과 사용자 요구사항 식별 -요구분석 명세서 작성 -기업환경 및 요구기능, 활동 등 조사 -시스템 도입, 개발, 변경 시 법적 요구사항, 취약점 제거, 시큐어 코딩 등 보안요구사항 정의 설계 기본.. 2021. 4. 11.

이전 1 2 다음

티스토리툴바