본문 바로가기

(개인)정보보호/최신ICT 정보 공유 블로그

(부제) 나는 CISO 이다/ISMS-P 인증심사186

개인정보의 안전성 확보조치 기준 개정안 요약 (23년 09월) 1. 개인정보 안전성 확보조치 기준 일부개정 사항의 취지 -개인정보 보호법 시행령의 정보통신서비스 특례규정(영 제48조의2)이 일반규정(영 제30조)으로 통합됨에 따라 「개인정보의 안전성 확보조치 기준」과 「개인정보의 기술적·관리적 보호조치 기준」을 통합 -「개인정보 보호법 시행령」의 제48조의2(개인정보의 안전성 확보 조치에 관한 특례)가 삭제됨에 따라 제48조의2 제3항에 따른 「(개인정보보호위원회) 개인정보의 기술적ᆞ관리적 보호조치 기준」 고시를 폐지 -개인정보 보호법 시행령에 공공시스템운영기관 등에 대한 특례 규정(영 제30조의2)이 신설 됨에 따라 고시 위임사항인 공공시스템 지정 기준 및 공공시스템운영기관의 안전조치 기준을 신설하여 공공시스템운영기관의 개인정보보호를 강화 2. 개정사항 (2단 비교) 2023. 8. 8.

ZTMM(Zero Trust Maturity Model) 1. ZTMM(Zero Trust Maturity Model)의 개요 가. ZTMM(Zero Trust Maturity Model)의 정의 -제로트러스트 모델 기반의 보안 개념이 얼마나 잘 적용되어 운영되고 있는가를 객관적으로 표현하기 위한 모델 나. ZTMM(Zero Trust Maturity Model)의 특징 -점진적 변화를 통해 최적화 수준에 도달 -5개 기둥과 3개 교차 기능으로 구성 2. ZTMM(Zero Trust Maturity Model)의 개념도 및 구성요소 가. ZTMM(Zero Trust Maturity Model)의 개념도 나. ZTMM(Zero Trust Maturity Model)의 구성요소 구분 특징 설명 아이덴티티(사용자) 사용자 신원확인 및 접근권한 제어 -사용자 로그인과.. 2023. 8. 4.

제로트러스트 가이드라인 1.0 요약 1. 제로트러스트 추진배경 가. 환경변화 -디지털 대전환 가속화로 네트워크 경계 확장 및 다변화 발생 (원격 재택근무, 리소스 위치 다변화, 접속요구시간 및 위치 예측 불가) -복잡한 환경변화로 정보보호 관리의 어려움 증가 -기존 경계보안모델의 한계 도달 나. 기존 경계보안모델의 한계 -내부자에 대한 암묵적 신뢰 기반의 위험 노출 -악성코드, 크리덴셜 스터핑을 통해 내부 침투 후 횡적이동을 통해 시스템 접근하여 권한획득 및 데이터 유출 -기존 보안기술을 개선, 보완한 SIEM, SOAR, XDR 등 운용 - 다양한 악성행위 감시, 정보 유출 등에 한계 도달 다. 미국의 제로트러스트 도입 현황 -2010년, 탈경계화 등 경계기반 보안모델의 한계 극복 시도, 존 킨더백이 제로트러스트 개념 제시 -2013년,.. 2023. 8. 2.

개인정보보호법 개정안 요약 (보안뉴스) 원문 : 보안뉴스 2023. 6. 28.

개정된 개인정보보호법 신구대조표 개인정보보호법 [시행 2023. 9. 15] [법률 제19234호, 2023. 3. 14, 일부개정] ‘개인정보 보호법’ 전면 개정, 데이터 신경제 시대 열린다 ‘개인정보 보호법’ 전면 개정, 데이터 신경제 시대 열린다 개인정보보호위원회는 지난달 27일 국회를 통과한 ‘개인정보 보호법’ 개정안이 지난 7일 국무회의에서 의결됐다고 밝혔다. 이번 개정안에는 전 세계적인 디지털 대전환 추세에 부합하도록 △ www.boannews.com 2023. 6. 28.

개인정보 처리를 위한 동의 방식 구분 설명 옵트인(Opt-in) -정보주체에게 개인정보 수집·이용·제공에 대한 동의를 먼저 받은 후 개인정보를 처리하는 방식 -선동의 후사용 방식 -유럽, 우리나라 옵트아웃(Opt-out) -정보주체의 동의를 받지 않고 개인정보를 수집·이용하다가 정보주체가 거부 의사를 밝히면 활용을 중지하는 방식 -선사용 후배제 방식 -미국 -빅데이터 활용하는데 옵트인으로 인해 개인정보 활용에 어려움이 있어 옵트아웃 방식에 대한 필요성 언급 -국내 개인정보보호 관련 법률에서는 개인정보를 처리하는 경우, 정보주체의 선택권을 보장하고 권리를 보호하기 위해 옵트인 방식으로 동의를 받고 있음 하지만 최근 다양한 용도와 방법으로 개인정보를 처리하고, 빅데이터 활용의 중요성이 강조되면서 옵트아웃 방식에 대한 필요성 일부 언급되고 .. 2023. 4. 25.

오픈소스 SW 거버넌스 1. 오픈소스 SW 거버넌스의 개요 가. 오픈소스 SW 거버넌스의 주요 목적 -OSS를 효과적으로 활용 -라이선스 관리 및 컴플라이언스를 통해 OSS 사용에 따른 다양한 위험 요소를 제거 및 예방 나. 오픈소스 SW 거버넌스의 정의 -SW개발 정책수립부터 개발 및 배포 후 유지보수까지 SDLC25) 전 단계에 걸쳐 OSS 사용을 계획 및 관리 2. 오픈소스 SW 거버넌스 체계 및 단계별 주요 활동 가. 오픈소스 SW 거버넌스 체계 나. 오픈소스 SW 거버넌스 단계별 주요 활동 3. 오픈소스 SW 거버넌스의 관리 방안 (금융보안원) 오픈소스 SW 사용 위협 및 대응 방안 참조 2022. 11. 4.

금융권의 적극적인 오픈소스 도입으로 IT 경쟁력 강화 추진 1. 국내 금융기관, 오픈소스 도입으로 유연한 IT 환경 조성 및 경쟁력 강화 -국내 금융권의 클라우드 도입 증가, 빠른 CI/CD로 인한 신속한 릴리즈, 자동화를 통한 비용 절감, 고객 만족 증가 2. 레드햇, 기술전망 보고서 "2022년 기업IT 최우선 투자분야는 보안" -레드햇 조사에 따르면 2022년 기업의 최대화두는 IT보안, IT/클라우드 관리가 주관심분야의 탑에 위치 https://www.oss.kr/oss_guide/show/760e1f8a-4680-4c16-bba1-67912cb51392 2022. 11. 4.

전자금융거래법 일부개정법률안(김한정의원등10인) 제안이유 및 주요내용 (출처 : watch.peoplepower21.org) 최근 인터넷은행, 핀테크 등의 전자금융거래가 활성화됨에 따라 전자금융거래 과정에서 발생하는 보안사고로 인한 피해 우려도 확대되고 있음. 이러한 보안사고를 예방하기 위하여 「소프트웨어 진흥법」에서 규정하고 있는 “소프트웨어개발보안”에 관한 사항을 전자금융거래 과정에도 적용할 필요가 있다는 지적이 제기되고 있음. 이에 전자금융개발보안의 개념을 규정하고 금융기관 및 전자금융업자 등으로 하여금 전자금융개발보안에 관한 금융위원회의 고시를 준수하도록 의무를 부여하며 금융위원회가 전자금융개발보안 분야의 발전을 위한 사업을 추진할 수 있는 근거를 마련함으로써 전자금융거래의 안전성을 제고하려는 것임(안 제2조제23호 및 제21조의7 신설). 2022. 11. 4.

'암호화' 망분리 기술 인정 여부 전면 재검토...논란 확산에 타당성 재검토 https://www.etnews.com/20221013000194?mc=ns_002_00001 '암호화' 망분리 기술 인정 여부 전면 재검토...논란 확산에 타당성 재검토 정부가 공동주택 세대간 망분리 기술에 암호화 포함 여부를 원점에서 재검토한다. 암호화를 망분리 기술로 볼 수 없다는 의견을 중심으로 논란이 확산하자 적합성을 다시 판단하기로 했다. 과 www.etnews.com 2022. 10. 14.

개인정보위, ‘개인정보의 기술적·관리적 보호조치 기준 해설서’ 개정 1) 소기업이 아닌 경우에도 침입 차단·탐지 시스템으로 공개용 소프트웨어와 클라우드 서비스 등에서 제공하는 보안서비스 활용 가능 2) 고시 개정사항을 반영해 ‘바이오정보’ 용어를 생체정보와 생체인식정보로 구분 안내 2022. 8. 26.

(ISMS-P) 금융회사 관련 망분리 및 예외규정(재택근무) 현황 1. 규정 적용 대상 및 절차 가. 규정 적용 대상 -금융회사, 전자금융업자 나. 규정 적용 절차 1) 자체 위험성 평가 실시 2) [별표7] 망분리 대체 정보보호통제 적용 3) 정보보호위원회 승인 후 적용 2. 망분리 관련 규정 개념도 및 현황 가. 금융회사의 망분리 적용 관련 규정 개념도 나. 금융회사의 망분리 적용 관련 규정 현황 구분 법령 내용 기본 원칙 전자금융감독규정 제15조제1항 제3호 내부통신망과 연결된 내부 업무용 시스템(정보처리시스템, 단말기, 프린터 등)은 인터넷(무선 인터넷 포함) 등 외부통신망과 분리, 차단, 접속 금지 제5호 전산실 내에 위치한 정보처리시스템와 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기는 외부통신망과 물리적 분리 예외 전자금융감독규정시.. 2022. 8. 12.

(ISMS-P) 결합 전문기관 및 데이터 전문기관 지정 현황 (22년 5월) 가. 결합(데이터) 전문기관 현황 나. 가명정보 결합 절차 ① 결합신청자의 결합신청(결합목적 설정, 결합키 정보 제공 등 기관협의, 결합 신청(결합선 택사항인 모의결합, 추출결합, 사전 결합률 확인 신청 포함)) ② 결합키관리기관의 결합키연계정보 생성 ③ 결합전문기관의 가명정보 결합 및 반출심사를 통한 반출 ④ 결합신청자의 반출정보 활용 및 관리 2022. 6. 29.

(ISMS-P) ISO/IEC 27559 프라이버시 강화 데이터 비식별화 프레임워크 표준 1. ISO/IEC 27559 표준의 개요 -비식별화된 데이터의 생명주기와 관련한 위험을 파악하고 완화하기 위한 프레임워크를 제공하기 위한 표준 2. ISO/IEC 27559의 개념도 및 구성요소 가. ISO/IEC 27559의 개념도(비식별화 거버넌스) -조직이 데이터를 비식별화할 경우 구성요소들을 모두 고려하여 적절히 반영해야 함 나. ISO/IEC 27559의 구성요소 -위협을 줄이고 운영맥락에 따라 데이터 수신자가 활용할 수 있는 데이터 유용성을 향상시키기 위해 데이터 환경에 관한 개인정보 보호 및 보안 관행을 개선할 수 있음 2022. 6. 29.

정보보호 공시 적용 대상 및 절차 1. 정보보호 공시 적용 대상 가. 자율 공시 -정보통신망을 통하여 정보를 제공하거나 정보의 제공을 매개하는 자 (정보보호산업법 제13조제1항) ※ 정보통신 서비스(유·무선통신 서비스, 방송 서비스 등), 쇼핑몰, 포털, 인터넷 뱅킹 등 인터넷을 통해 사업 활동을 하는 영리, 비영리 업체 모두 포함 나. 의무 공시 -사업분야, 매출액 및 서비스 이용자 수 등을 고려하여 대통령령으로 정하는 기준에 해당하는 자 (정보보호산업법 제13조제2항) 사업분야 회선설비 보유 기간통신사업자(ISP) ※ 「전기통신사업법」 제6조제1항 집적정보통신시설 사업자(IDC) ※ 「정보통신망법」 제46조 상급종합병원 ※ 「의료법」 제3조의4 클라우드컴퓨팅 서비스제공자 ※ 「클라우드컴퓨팅법」 시행령 제3조제1호 매출액 정보보호 최고.. 2022. 5. 6.

(ISMS-P) 개인정보처리자와 정보통신서비스 제공자 범위 (개보법) 개인정보의 오용·남용 및 유출등을 감독할 감독기구를 개인정보 보호위원회로 통합하고, 「정보통신망의 이용촉진 및 정보보호 등에 관한 법률」과의 유사·중복 규정은「개인정보 보호법」으로 일원화하기 위해 개인정보 보호 관련 법령을 체계적으로 정비하였다. 개인정보보호법은 일반법으로서 모든 개인정보처리자와 정보주체와의 관계에 적용된다. 다만, 「신용정보법」에 따른 신용정보사업자와 신용정보주체와의 관계에 있어서 해당 법에 특 별한 규정이 있다면 그 규정을 따른다. 종래 정보통신서비스 제공자와 정보통신서비스 이용자 사이의 관계에서는「정보통신망법」에 특별한 규정이 있는 경우 해당 규정이 우선 적 용되었으나, 2020년 2월 4일의「개인정보 보호법」개정으로 「정보통신망법」의 개인정보보호와 관련된 규정은 「개인정보 보호법」.. 2022. 3. 21.

(ISMS-P) 주요 정보시스템 패치관리 미흡 (통제항목) 2.10.8 패치관리 소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여 최신 패치를 적용하여야 한다. 다만 서비스 영향을 검토하여 최신 패치 적용이 어려울 경우 별도의 보완대책을 마련하여 이행하여야 한다. (주요 보호 대책) -정보시스템 최신 패치 적용 -서비스 영향도 검토, 최신 패치 적용이 어려울 경우, 별도 보완대책 마련/이행 24시간 무중단으로 운영되는 시스템의 경우 패치 적용이 어려운 경우 (보호대책) 1) 가능하면 연 1회 정도는 중요한 패치를 적용 2) DR센터 또는 이중화 시스템을 구성한 후 재해복구훈련과 연계하여 센터 전환 후 주센터 장비 패치 3) 윈도우의 경우 '윈도우 7 ESU(Extended Security Updates) 서비스'와 같.. 2022. 3. 18.

(ISMS-P) 간편인증 사용 시 개인정보처리방침 내 고지 미흡 -다음과 같이 최근 홈페이지에서 ID/PW 외에 구글, 네이버, 카카오 등을 이용하여 회원인증 사례 다수 존재 -이러한 인증사례는 OAuth 서비스로써 구글, 네이버, 카카오 등에 존재하는 회원 정보를 이용하여 다른 홈페이지나 애플리케이션의 접근권한을 부여 (Authentication+Authorization) -3rd party 응용프로그램에 인증정보를 제공하고 싶지 않은 경우 활용 -OAuth 1.0은 유저(user), 컨슈머(consumer), 서비스 프로바이더(service provider)으로 구성되어 있으며 구현이 복잡하고 웹이 아닌 어플리케이션에서의 지원이 부족하거나 인증토큰(access token)이 만료되지 않는 등의 단점 존재 -OAuth 2.0은 OAuth 1.0을 개선하여 기능 단순.. 2022. 3. 18.

이전 1 2 3 4 5 ··· 11 다음

티스토리툴바