본문 바로가기
  • (개인)정보보호/최신ICT 정보 공유 블로그

(부제) 나는 CISO 이다241

접근통제 정의 제1절 접근통제 정의 [그림] 접근통제 개념도 좁은 의미의 접근통제 정의는 접근 승인 만을 의미하지만 일반적으로 접근통제란 식별 및 인증, 인가, 감시를 의미한다. 접근통제에서는 주체가 액세스할 수 있는 권한을 기반으로 객체에 접근했을 때 인증된 주체의 객체에 대한 액세스 요청을 승인 또는 거부를 결정하고, 비 인가된 접근을 감시한다. 접근통제의 목적은 주체의 접근으로부터 객체의 기밀성, 무결성, 가용성을 보장하는 것이며 적절한 접근통제를 위해 최소한의 권한만을 허용하여 권한남용을 방지하고, 업무의 승인∙변경∙확인∙배포 등이 한사람에 의해 처리되지 않도록 직무를 분리해야 한다. (최소 권한/직무 분리) 접근통제에서 시스템에서 작업을 수행할 수 있는 개체를 주체라고 하고 사람, 프로그램, 프로세스 등이 포.. 2022. 3. 18.
개인정보 보호의 정의 제3절 개인정보 보호의 정의 제1항 개인정보의 정의 개인정보 보호법 제2조(정의) 제1항에서 “개인정보”란 살아있는 개인에 대한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 또는 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보라고 정의하고 있다. 개인을 알아볼 수 있는 정보는 개인에게 고유한 특성을 상징하거나 그러한 상징을 내포할 수 있는 유일한 식별자를 의미하는 것으로 주민등록번호, 운전면허번호, 외국인등록번호, 여권번호, 사원번호, 회원번호 등이 해당된다. 해당 정보만으로 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보는 우편번호, 성별, 생년월일 정보를 결합하여 개인을 식별하는 경우가.. 2022. 3. 11.
정보보호의 개요 제2절 정보보호의 개요 제1항 정보의 정의 지능정보화 기본법(시행 2021.06.10) 제2조(정의) 제1에서 광 또는 전자적 방식으로 처리되는 부호, 문자, 음성, 음향 및 영상 등으로 표현된 모든 종류의 자료 또는 지식이라고 정의하고 있다. ‘데이터’는 현실 세계에서 측정하고 수집한 사실이나 값이며 ‘정보’는 어떤 목적이나 의도에 맞게 데이터를 가공 처리한 것을 의미한다. 즉 주로 각종 기기 또는 시스템에서 업무를 처리하면서 생성되는 원시 자료를 데이터라 하고 생성된 데이터를 목적이나 의도에 맞게 처리, 분석하여 데이터에 의미를 부여한 정보를 이용하여 의사결정을 통한 문제를 해결한다. 예를 들어 기상청에서 각 지역에 설치된 센서를 통해 시간대별로 기온을 측정한 수치 자료는 데이터이지만 이를 처리, 분.. 2022. 3. 10.
정보보호의 필요성 제1장 정보보호란 무엇인가? (What is Security?) 제1절 정보보호의 필요성 제1항 4차 산업혁명시대의 정보화 4차 산업혁명위원회에서는 “4차 산업혁명”이란 인공지능, 빅데이터 등 디지털 기술로 촉발되는 초연결 기반의 지능화 혁명으로 정의하고 있다. 과거 우리는 증기기관, 전기, 컴퓨터/인터넷 등의 범용기술에 의해 3차례 산업혁명을 경험하였으며 현재는 AI, Block Chain, Cloud, Big Data, 3D Printer, 양자 컴퓨팅 등 다양한 ICT 기술을 통해 4차 산업혁명을 이뤄가고 있는 중이다. 4차산업혁명은 초연결, 초융합, 초지능 이렇게 3가지의 키워드로 대표할 수 있다. 1) ‘초연결’ 인간과 인간, 인간과 사물, 사물과 사물이 서로 상호작용이 가능하도록 모두 네트워크.. 2022. 3. 10.
(ISMS-P) 정보보호 최고책임자 지정 및 신고 대상 기관 2022. 3. 4.
(ISMS-P) 정보보호 최고책임자(CISO) 제도 변경 (21년) 1. 정보통신망법에서 '정보보호 최고책임자(CISO)' 지정과 관련한 개정 사항 요약 구분 AS-IS TO-BE CISO 겸직 제한 완화 -직전 사업연도 말 자산총액 5조원 이상이거나, 정보보호 관리체계(ISMS) 의무대상 중 자산총액 5천억 원 이상인 정보통신서비스제공자(이하 겸직제한 대상 기업)의 CISO는 법이 정하는 일정한 업무 이외의 업무를 겸직 불가능 -겸직제한 대상 기업에서도 CISO가 CPO의 업무를 겸직 가능 -개인정보 보호법상 개인정보보호책임자의 업무, 전자금융거래법상 정보보호최고책임자의 업무 등 일정한 업무를 겸직 가능 CISO 자격 요건 -현행 정보통신망법상 CISO 지정 의무가 있는 정보통신서비스 제공자는 임원급 인사만을 CISO로 지정 가능 -대통령령으로 정하는 기준에 해당하는 .. 2022. 1. 25.
(ISMS-P) 정보보호 공시제도 1. 정보보호 공시제도의 개요 가. 정보보호 공시제도의 정의 -이용자의 안전한 인터넷 이용과 기업의 정보보호 투자 활성화를 위해 기업의 정보보호 투자 인력활동 등에 관한 정보를 공개하도록 하는 제도 나. 정보보호 공시제도의 특징 -디지털 전환으로 사이버 침해사고 발생 시 기업 경영에 직접 영향 -기업의 위험관리 정보가 투명하게 공개되지 않음 -이해관계자들의 알권리 보장 -기업의 자발적인 정보보호 투자 촉진 -공시대상연도에 처리하거나 발생한 회계 및 인증 내용을 기준으로 정보보호현황을 작성하여 공시 -처벌규정 신설, 위반시 1천만원 이하의 과태료 부과 근거 조항 신설 (정보보호산업법 개정안 제41조 제1항 제1호) 2. 정보보호 공시 의무대상 기준 및 공시 내용 가. 정보보호 공시 의무대상 기준 의무대상 .. 2022. 1. 10.
(ISMS-P) 금융보안원의 클라우드 안전성 평가 1. 금융보안원의 클라우드 안전성 평가 가. 평가 근거 -전자금융감독규정 제14조의 2 (클라우드컴퓨팅서비스 이용절차 등)에 따라 클라우드컴퓨팅서비스 제공자의 안전성을 금융보안원에 평가지원 가능 나. 평가 특징 -(평가 대상), 금융회사가 도입 및 이용하고자 하는 상용 CSP 클라우드컴퓨팅 서비스를 대상으로 함 (비사용 CSP)는 평가대상에 포함하지 않음 -(평가 범위), 금융회사가 이용 예정인 사용 CSP 클라우드 컴퓨팅 서비스와 관련한 자산 -(평가 방법), 자체 평가 또는 금융보안원에 평가 지원 요청 2. 금융보안원의 클라우드 안전성 평가의 종류 구분 실시 시기 설명 종합 평가 -최초 도입 -CSP의 서비스 모델 확대 -CSP 사업자 변경 -서비스 이용 업무의 중요도 증가 -CSP의 클라우드컴퓨팅서.. 2022. 1. 10.
(ISMS-P) 금융분야 클라우드컴퓨팅 서비스 이용 가이드 □ 금융회사의 클라우드서비스 이용은 금융회사의 정보처리 업무 위탁에 관한 규정 제2조 제5항 및 제6항에 따라 정보처리 위탁에 해당 o 자본시장법 제42조 및 금융기관의 업무위탁 등에 관한 규정 제3조에 따른 업무위탁에 해당됨 ※ 클라우드서비스 이용은 정보를 제공하는 것이 아닌, 위탁 처리 하는 것으로 봄 □ 전자금융업무와 관련된 정보처리시스템을 위탁할 경우 클라우드서비스 제공자는 감독규정 제3조제3호 또는 제4호에 따라 전자금융보조업자에 해당 □ 클라우드서비스를 이용한다고 해서 금융회사의 책임이 면제되는 것이 아니며, 고객 손해 발생 시 금융 회사가 1차적 손해배상 책임의 주체이고, 클라우드 제공자는 수탁자로서 연대배상책임을 부담 o 따라서 금융회사는 전자금융보조업자(클라우드서비스 제공자)에 대한 감독.. 2022. 1. 10.
(ISMS-P) 3.5.3 이용내역 통지 (항목) 3.5.3 이용내역 통지 (내용) 개인정보의 이용내역 등 정보주체(이용자)에게 통지하여야 할 사항을 파악하여 그 내용을 주기적으로 통지하여야 한다. 2021. 12. 10.
(ISMS-P) 3.5.2 정보주체 권리보장 (항목) 3.5.2 정보주체 권리보장 (내용) 정보주체(이용자)가 개인정보의 열람, 정정·삭제, 처리정지, 이의제기, 동의철회 요구를 수집 방법·절차보다 쉽게 할 수 있도록 권리행사 방법 및 절차를 수립·이행하고, 정보주체(이용자)의 요구를 받은 경우 지체 없이 처리하고 관련 기록을 남겨야 한다. 또한 정보주체(이용자)의 사생활 침해, 명예훼손 등 타인의 권리를 침해하는 정보가 유통되지 않도록 삭제 요청, 임시조치 등의 기준을 수립·이행하여야 한다. 2021. 12. 10.
(ISMS-P) 3.5.1 개인정보처리방침 공개 (항목) 3.5.1 개인정보처리방침 공개 (내용) 개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 개인정보처리방침을 수립하고, 이를 정보주체(이용자)가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다. 2021. 12. 10.
(ISMS-P) 3.4.3. 휴면 이용자 관리 (항목) 3.4.3. 휴면 이용자 관리 (내용) 서비스를 일정기간 동안 이용하지 않는 휴면 이용자의 개인정보를 보호하기 위하여 관련 사항의 통지, 개인정보의 파기 또는 분리보관 등 적절한 보호조치를 이행하여야 한다. 2021. 12. 10.
(ISMS-P) 3.4.2. 처리목적 달성 후 보유 시 조치 (항목) 3.4.2. 처리목적 달성 후 보유 시 조치 (내용) 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우에는 해당 목적에 필요한 최소한의 항목으로 제한하고 다른 개인정보와 분리하여 저장·관리하여야 한다. 2021. 12. 10.
(ISMS-P) 3.4.1. 개인정보의 파기 (항목) 3.4.1. 개인정보의 파기 (내용) 개인정보의 보유기간 및 파기 관련 내부 정책을 수립하고 개인정보의 보유기간 경과, 처리목적 달성 등 파기 시점이 도달한 때에는 파기의 안전성 및 완전성이 보장될 수 있는 방법으로 지체 없이 파기하여야 한다. 2021. 12. 10.
(ISMS-P) 3.3.4. 개인정보의 국외이전 (항목) 3.3.4. 개인정보의 국외이전 (내용) 개인정보를 국외로 이전하는 경우 국외 이전에 대한 동의, 관련 사항에 대한 공개 등 적절한 보호조치를 수립·이행하여야 한다. 2021. 12. 9.
(ISMS-P) 개인정보처리자가 자신이 보유한 가명정보를 결합하여 활용하는 경우 -개인정보처리자는 이미 자신이 보유하고 있는 가명정보를 결합하여 활용 가능 -결합 절차는 개인정보처리자가 자체 수립하여 이행 가능 -상세한 절차는 '가명정보 처리 가이드라인 (21.10.22) III 가명정보 결합 및 반출' 참조 -결합하여 특정개인을 알아볼 수 없도록 유의하여 결합 수행 2021. 12. 9.
가명정보 처리 단계별 수행 내용 2021. 12. 9.

티스토리툴바