본문 바로가기

(개인)정보보호/최신ICT 정보 공유 블로그

(부제) 나는 CISO 이다241

(CSAP) 개인정보처리방침 작성요령 1. 개인정보 처리방침의 개요 가. 개인정보 처리방침의 정의 -개인정보를 처리하고 있는 사업자/단체의 개인정보 처리기준 및 보호조치 등을 문서화하여 공개하는 것 나. 개인정보 처리방침의 특징 -(공개의무), 사업자 등 개인정보처리자로 하여금 개인정보 처리방침을 수립․공개하도록 의무화하고 있음 (법 제30조) -(과태료), 개인정보 처리방침을 정하지 않거나 공개하지 않는 자는 1천만원 이하 과태료가 부과됨 -(필수/선택), 개인정보 처리방침 작성 시 필수항목은 반드시 포함하여 작성 필요 2. 개인정보 처리방침의 구성 가. 개인정보 처리방침의 구성 (기재사항) 필수적 기재사항 임의적 기재사항 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항 (해당되는 경.. 2021. 4. 20.

(CSAP) 시점별 통제활동 수행을 위한 관리자 역할 앞서 시점별 활동 예방, 탐지, 교정/복구에 대해 정리해 봤습니다. 이런 시점별 활동을 수행하기 위해 정보보호 관리자는 어떤 역할을 수행해야 할까요. 시점별 통제활동 관리자 역할 예방 -주요 시스템들의 위협 및 취약점 정보, 위험평가 결과를 보고 받고 위험 수용 수준 결정 -위험이 적절한 수준 이하로 관리되도록 예산과 인력 등 자원을 할당 -임직원의 정보보호 인식 수준 향상을 위한 활동 계획 수립 -정보보호 및 주요 직무자의 정보보호 역량 강화을 위한 활동 계획 수립 -주기적 또는 상시 정보보호 활동 상황 검토 (선정된 정보보호 대책의 적정성 검토) -협력사 주기적인 정보보호 상태 확인 -주요 법률 제개정 현황을 모니터링 및 정책/지침 반영 탐지 -다양한 경로를 통해서 수집된 이벤트에 대한 보고 받기 (.. 2021. 4. 18.

(ISMS-P) 정보보호 최고책임자 길라잡이 (한국인터넷진흥원) 2021. 4. 15.

(CSAP) 정보보호 관리체계 운영현황 관리 1. 정보보호관리체계 운영현황 관리의 개요 가. 정보보호관리체계 운영현황 관리의 정의 -수립한 정보보호관리체계에 따라 수행활동을 식별하고 수행이력을 관리하여 활동의 효과성을 관리하는 기법 나. 정보보호관리체계 운영현황 관리의 특징 -(활동 식별), 정보보호 활동을 식별하고, 운영현황을 확인 가능 -(수행 주체), 수행 주기 및 시점, 수행 담당부서/담당자 등을 정의 -(주기적 검토), 활동 결과를 주기적으로 검토하여 문제점 발견 및 개선 수행 2. 정보보호관리체계 운영현황 관리의 개념도 및 구성요소 가. 정보보호관리체계 운영현황 관리의 개념도 -정책/지침에 명시된 정보보호 활동을 식별하고 수행 결과를 주기적 검토하여 개선 활동을 수행 나. 정보보호관리체계 운영현황 관리의 구성요소 구분 설명 정보보호 정책.. 2021. 4. 14.

(CSAP) 네트워크 구조 설계 시 논리적/물리적 분리 고려사항 1. 네트워크 분리의 개요 가. (11.1.5 네트워크 분리)의 인증 기준 -CSAP 통제항목 (11.1.5 네트워크 분리)에서 클라우드컴퓨팅서비스 제공자의 관리 영역과 이용자의 서비스 영역, 이용자 간 서비스 영역의 네트워크 접근은 물리적 또는 논리적으로 분리를 하도록 요구하고 있음 나. 네트워크 분리의 특징 -(논리적, 물리적), 서비스 또는 업무에 따라 위험평가 결과를 기반으로 논리적 또는 물리적 분리 적용 -(내부, 외부), 외부에서 접근이 허용되는 네트워크와 허용이 필요하지 않는 차단되는 네트워크 분리 -(접근통제), 각각의 논리적/물리적 분리, 내/외부 분리된 네트워크 간에 접근통제를 통해 최소서비스만 허용 2. 네트워크 분리의 개념도 및 구성요소 가. 네트워크 분리의 개념도 1) IaaS 2.. 2021. 4. 13.

(CSAP) 체계적인 대응을 위한 시점별 통제활동 유형 정보보호 활동은 단순히 정보보호 솔루션을 설치하는 것만으로 모든 것이 끝나지 않스빈다. 관리적/물리적/기술적 보호대책이 존재하는 것과 같이 시점별 다양한 통제활동을 수행해야 합니다. 시점별 통제활동은 1) 예방 통제, 2) 탐지 통제, 3) 교정/복구 통제 등으로 구분 가능합니다. 1. 예방 통제 -발생 가능한 사건/침입 등을 사전에 식별하고 통제하는 활동 가. 위험관리 -정보자산 분류 -위협 발생 시나리오 작성 (위협 정의) -취약점 평가 -발생 가능성과 피해 규모 산정 나. 보안관제 -침해사고에 대한 사전 예방 활동 -모니터링, 사전대응, 정책 적용 등 -사고 위협 요소 감소 -보안 패치, 취약점 점검, 정책 관리 다. 정보보호 인식 제고 -임직원에 대한 보안정책 인식 -보안규정 등 준수, 실천 교육.. 2021. 4. 11.

(CSAP) SDLC 상에서 정보보호 활동 1. 시스템 라이프 사이클과 정보보호 활동 -시스템 도입 및 개발단계로부터 분석, 설계, 구현, 시험, 인수, 운영, 유지보수, 폐기까지 각 단계별 관련된 정보보호 활동을 식별 가. 시스템 도입 및 개발 단계 기법 ICT 정보보호 계획 예비 조사 기초 조사 -현 시스템의 상태 및 문제점 파악 -해결 방안 제안 -시스템 개발, 증설 여부 등 결정 -시스템 도입 및 개발 계획 수립 -시스템 도입 및 개발 시 고려사항 (CC, 암호화 검증필, 인증 등) 요구사항 분석 기능 분석 예비 설계 비용 효과 -현 시스템의 문제점과 사용자 요구사항 식별 -요구분석 명세서 작성 -기업환경 및 요구기능, 활동 등 조사 -시스템 도입, 개발, 변경 시 법적 요구사항, 취약점 제거, 시큐어 코딩 등 보안요구사항 정의 설계 기본.. 2021. 4. 11.

(CSAP) 품질 관리와 정보보호 관리의 비교 (1) 1. 품질 관리의 개요 가. 품질 관리의 정의 -수요자의 요구에 맞는 품질의 제품, 서비스를 경제적으로 제공하기 위한 모든 수단, 도구 등을 관리하는 기법 나. 품질 관리의 특징 -(관리 또는 경영), Management는 정책, 계획을 수립하고, 조직을 구성하여 수립된 정책 또는 계획을 이행하면서 적절한 통제를 적용하여 제품, 서비스의 품질을 보증하는 과정 -(Control), 기준을 설정하여 범위 안에 이르도록 관리하는 기법 -(현상 유지), 표준 등 기준을 만족하고 경우 그 상태를 유지하기 위해 노력 -(현상 타파), 표준 등 기준에 부족한 경우 새로운 목표를 설정하고 목표 달성을 위해 노력 다. 품질 관리의 사이클 (PDCA) ① 정책, 지침, 표준, 계획 등 수립 (Plan) ② 제품, 서비스가.. 2021. 4. 11.

(CSAP) 클라우드 보안 인증제 1. 클라우드 보안인증제의 개요 가. 클라우드 보안인증제의 정의 -클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도 나. 클라우드 보안인증제의 특징 -(공공기관이 이용), 공공기관이 민간 클라우드 서비스 이용 시 안전성 및 신뢰성 제공 -(서비스 경쟁력 확보), 객관적이고 공정한 인증을 통해 이용자의 보안 우려 해소 및 이를 통한 경쟁력 확보 -(인증, 심사 기관), 한국인터넷진흥원을 통한 인증체계 관리 2. 클라우드 보안인증제의 구성 1) 인증 유형 구분 분야 통제항목 IaaS 14개 117개 Sa.. 2021. 4. 11.

(CSAP) 품질 경영 시스템(QMS)과 정보보호 경영 시스템(ISMS) 1. 품질 경영 시스템과 정보보호 경영 시스템의 개요 가. 경영 시스템의 정의 품질 경영 시스템 (QMS) 고객 요구사항 및 고객 만족, 품질확보를 위해 최고경영자 및 전사 구성원이 품질 향상을 위해 수립, 이행, 유지관리 및 지속 개선 등의 활동을 수행하는 경영 시스템 정보보호 경영 시스템 (ISMS) 정보보호관리를 위한 표준 실무 규약을 만족하기 위해 최고경영자 및 전사 구성원이 참여하여 수립, 이행, 유지관리 및 지속 개선 등의 활동을 수행하는 경영 시스템 나. 경영 시스템의 특징 -(종합적인 관리), 다양한 영역에 대한 균형있는 관리 수행 -(요구사항 부합), 고객, 기업, 정부 등의 요구사항 관리 -(환경 적응), 기업 내외부 환경에 대한 적절하고 능동적인 대처 -(경쟁력 제고), 기업의 이미지.. 2021. 4. 11.

(CSAP) 클라우드 보안인증제 확대 (DaaS) 1. CSAP의 DaaS 인증 확대 가. 추진배경 -공공기관의 민간 상용 클라우드 이용이 가능하도록 국가가 사전 점검 및 승인 -행안부의 개방형 OS 도입 전략 수립에 따라 인터넷망 PC대체를 위해 행정 공공기관이 도입 가능한 DaaS에 대한 인증 필요성 대두 나. 정의 -공공기관이 망분리를 위해 기존에 사용하던 인터넷 PC를 대체하기 위해 클라우드 서비스 제공자의 DaaS 서비스를 사전에 점검 인증하는 제도 2. DaaS의 인증 범위 가. DaaS의 인증 범위 나. DaaS의 인증기준 -14개 부문, 110개 통제항목, 209개 세부점검항목 -기 IaaS인증을 획득한 사업자는 IaaS 대피 변경사항을 식별하여 중복 점검기준 도출 후 평가 수행 -인증 유효기간 : 5년 -일부 보안요구사항 삭제 -DaaS.. 2021. 4. 10.

(CSAP) 20년도 '보안기능 확인서' 제도의 대상과 유효기간 * 20년 2월 '보안기능 시험결과서'가 '보안기능 시험결과 확인서(보안기능 확인서)'로 명칭 변경 -효력은 동일하며 단순 명칭 변경 1. 발급 대상 - 정보보호시스템 - 네트워크 장비 (L3 이상 스위치, 라우터, SDN 등) - 단 국가 공공기관 도입 시 CC인증 또는 암호모듈 검증이 필수로 요구되는 제품은 해당 인증을 획득한 후 발급 가능 (CC인증을 받은 제품 V1.0이 V1.0.2로 형상변경된 경우 원래 인증된 형상인 V1.0에 대해 보안기능 확인서 발급 신청 가능) 2. 유효기간 - 국가용 보안요구사항의 필수 항목을 모두 만족한 제품의 경우, 2년 부여 - 그외 제품은 1년 부여 - 효력 연장기간을 포함하여 최대 3년 부여 가능 - 단 CC인증 또는 검증필 암호모듈 제품의 유효기간은 해당 인증.. 2021. 4. 3.

(CSAP) 21년도 '보안기능 확인서'의 유효기간 전자정부법 제56조에 의거 시행중인 '보안기능 시험' 제도의 효율성 제고 및 업계 불편 해소를 위해 '보안기능 확인서' 유효기간을 21년부터 연장 1) 보안기능 확인서의 유효기간 변경 최대 3년(2년+연장 1년)을 부여하였으나 신규 발급되는 보안기능 확인서의 경우 5년 효력 부여 (효력 연장 절차는 폐지) 2) 기존 발급 제품 효력 연장 21년 1월 1일 현재, 유효한 보안기능 확인서는 발급일로부터 5년 효력 연장 3) 예외 대상 국가용 보안요구사항을 만족하지 않고 발급된 보안기능 확인서는 유효기간이 연장되지 않음 [관련 링크] https://www.nis.go.kr:4016/AF/1_7_2_3/view.do?seq=71 2021. 4. 3.

(CSAP) CC 인증 필수 제품 유형 23종 도입 요건 제품 유형 비고 CC 인증 침입차단시스템 침입방지시스템 통합보안관리제품 웹 응용프로그램 침입차단제품 서버 접근통제 제품 DB 접근통제 제품 네트워크 접근통제 제품 인터넷전화 보안 제품 무선침입방지 시스템 무선랜 인증 제품 가상화 제품 네트워크 자료유출방지 제품 디지털 복합기(완전삭제 또는 데이터 암호) 스마트폰 보안관리 제품 EAL2 이상 또는 관련 PP 준수 스마트 카드 EAL4 이상 CC 인증 및 검증필 암호모듈 가상사설망 제품 호스트 자료유출방지 제품(매체제어 제품 포함) EAL2 이상 혹은 관련 PP 준수 KCMVP 필수 적용 CC 인증 or GS 인증(국가용 보안요구사항 준수) 스팸메일 차단 시스템 패치 관리 시스템 망간 자료 전송 시스템 CC 인증 : EAL2 이상 혹은 관련 PP .. 2021. 4. 3.

(CSAP) 국가기관 도입기준 중 GS인증 제외 예정 1. 상황 o 국가용 보안기준을 만족하는 제품에 대해서 국가기관이 도입 가능 o 국가용 보안기준을 만족하는 GS인증제품 또한 CC인증(보안적합성 검증) 없이 국가 기관이 도입 가능하였음 o 안정성 확인 미흡 등으로 제도 폐지 2. 대상 : 스팸메일차단시스템, 패치관리시스템, 망간자료전송제품 등 3종 3. 사유 : 기존 제도로 안전성 확인 미흡 4. 시점 : 2022년 1월 1일 부터 기준 적용 예상 o 스팸메일차단시스템 : CC인증ㆍGS인증(2022.1.1 이전) → CC인증으로 단일화(2022.1.1 이후) o 패치관리시스템 : CC인증ㆍGS인증(2022.1.1 이전) → CC인증으로 단일화(2022.1.1 이후) o 망간자료전송제품 : CC인증ㆍGS인증(2022.1.1 이전) → 보안기능 확인서로 단.. 2021. 4. 3.

(CSAP) 까칠 또는 타협, 양보 앞서 까칠한 담당자를 지양해야 한다고 이야기를 했습니다. 그렇다면 까칠이라는 것은 어떤 것을 말할까요 외부심사를 나간 적이 있었는데 신청기관으로부터 컴플레인이 있었는데 다른 위원님이 너무 취조하는 느낌으로 인터뷰를 한다는 것이었습니다. "신분증을 받는 목적이 무엇인가요", "왜 안내판 등은 없나요" 등등의 질문에 심사 대응 담당자의 표정에서 매우 당황해 함을 느낄 수 있었습니다. 마찬가지로 정보보호 담당자가 현업 담당자에게도 유사한 형태로 대화를 하는 경우가 간혹 있습니다. 신청 부서에서 검토 요청을 하면 정보보호 부서에서는 "~그렇게 하면 안돼요.", "~법률/정책 위반입니다."라는 형태로 먼저 부정적인 답변을 하는 경우가 많습니다. 이런 형태의 대화가 되는 이유는 대화의 초점이 법률, 정책 준수 여부.. 2021. 3. 29.

(CSAP) 리히비 최소량의 법칙 & 하인리히의 법칙 정보보호와 관련된 중요한 법칙을 소개하고자 합니다. 1) 리히비 최소량의 법칙 독일 화학자 유스투스 폰 리비히가 1843년 주장한 이론으로 모든 동식물은 최소량의 법칙에 따라 성장한다는 이론입니다. 내용은 "어떤 영향소가 최소량 이하인 경우 다른 영양소를 많이 주더라도 결국 가장 최소량의 영향소가 식물의 발육에 영향을 미친다"는 것입니다. 리히비의 법칙을 설명할 때 그림처럼 나무통을 가지고 설명하는데 나무통을 구성하는 여러 나무 조각 중에서 가장 작은 나무 조각이 나무통에 담을 수 있는 전체 물의 양을 결정하게 됩니다. 정보보호 분야에서도 마찬가지입니다. 정보보호 분야는 관리, 물리, 기술적 각 분야로 이뤄져 있으며 각 분야는 다시 세부분야로 구성되어 있습니다. 이 각 분야들은 정보자산을 보호하기 위해 .. 2021. 3. 29.

(CSAP) 고집불통 정보보호 담당 1. 커뮤니케이션의 중요 일반적으로 조직 내에서 정보보호 담당자에 대한 인식이 좋은 편이 아닙니다. 다양한 매체에서 정보보호 담당자에 대한 인식 설문조사 등을 수행한 결과 다음과 같이 1) 독단적이고 권위적이다. 2) 커뮤니케이션이 잘되지 않는다. 3) 까칠하다. 4) 깐깐하다. 등의 의견이 대부분입니다. 이처럼 고집 세고, 대화가 잘되지 않는다는 인식이 많고, 개발 및 인프라 운영부서 등과는 거의 앙숙에 가까운 관계가 형성되어 있는 경우가 대부분이죠. 이렇게 된 이유는 1) 대부분 정책, 지침, 가이드, 법률 등을 기반으로 한 Negative 활동과 2) ISMS 등 다양한 인증을 지원하면서 발생되는 이슈에 대한 지원 업무특성(부적합 보고서)과 대화방식이 주 원인인 듯합니다. 정보보호 담당자와 인프라 .. 2021. 3. 28.

이전 1 ··· 10 11 12 13 14 다음

티스토리툴바