isms60 (ISMS-P) 법적 요구사항 준수 만족 방안 7.1.1. 법적 요구사항 준수 + 7.1.2. 정보보호 정책 준수 + 7.2.1. 독립적 보안감사 1. 법 및 정책 준수의 개요 가. 법 및 정책 준수의 정의 -기관이 준수해야 할 다양한 법률을 식별하고 식별된 법률에서 요구하는 다양한 사항을 반영하여 미준수 시 발생되는 위험을 감소시키는 관리 활동 나. 법 및 정책 준수의 특징 법률 위반 위험 감소 기관이 해당 업무를 수행함에 있어 관련된 다양한 법률을 식별하고 검토하여 위반 가능성 감소 고객 신뢰도 고객과의 계약으로부터 발생되는 다양한 요구사항도 반영하여 평소 업무 수행 시 준수하고 증적 생성 및 보관 보안 감사 주기적으로 보안 요구사항의 준수여부를 독립적 감사를 통해 점검 및 보완 2. 법 및 정책 준수 방안의 개념도 및 설명 가. 법 및 정책 준.. 2021. 6. 29. (ISMS-P) (Oracle) Database Audit Log 관리 방법 1. Database Audit의 개요 가. Database Audit의 정의 -Database 사용자가 권한을 부여받아 Database를 이용할 경우, 승인되지 않은 작업을 수행하거나 적절한 권한이 없는 사용자가 계정을 도용하여 접근할 수 있으므로 추후 책임추적성을 확보하기 위해 제공하는 기법 나. Database Audit의 특징 -(Database 감시), 사용자가 데이터를 조작하거나 조회 시 관련 로그 저장 -(책임추적성), 내부감사 또는 사고 발생 시 저장된 로그를 검토하여 조치 가능 -(Database 성능 저하), 운영 서비스에서 상세한 로그를 저장할 경우 성능 저하의 원인이 될 수 있어 DBA가 설정 가능 -(Audit Trail), Database의 이벤트에 대한 정보를 저장 가능 -(A.. 2021. 6. 24. (ISMS-P) 개인정보 수집 이용 제공 동의 시 미흡사항 현업에서 개인정보처리자가 직접 개인정보를 수집하는 경우에 가장 많이 실수하는 부분이 위의 그림과 같이 3곳의 현황이 서로 상이한 경우이다. 1) 회원가입 신청서 내에서 수집하는 개인정보 항목이 개인정보 수집 이용 동의서에서 고지 후 동의를 받는 부분과 일치하도록 관리하여야 한다. 2) 개인정보 수집 이용 동의서에서 고지, 동의받은 사항은 개인정보처리방침 내에서 동일하게 일치하도록 작성 관리되어야 한다. 다음의 예시에서 왼쪽은 서로 내용이 일치하지 않는 예시이며 오른쪽은 3가지 영역에서 서로 내용이 모두 일치한 예시이다. 2021. 6. 16. (ISMS-P) 화상회의 서비스 인증 시 추가 점검 기준 클라우드 서비스 보안 인증 (CSAP)에서 화상회의와 관련된 서비스를 인증할 경우, SaaS 인증 항목 외에 다음과 같은 추가 점검 항목이 존재함 구분 설명 통신 구간 암호화 - 모든 회의 참석자들간의 화상 회의 통신 구간은 암호화 통신 적용 (암호화 통신 시 자체 개발한 암호화 알고리즘을 사용하지 않고 안전한 암호화 알고리즘을 사용하도록 주의) 2 Factor 인증 - 서비스 이용을 위해 접속하는 모든 관리자/이용자는 2 Factor 인증 적용 (OTP, SMS, 공인인증서, 이메일 인증 코드 등 사용) 회의방 참석 - 사전에 공유된 회의 URL, 비밀번호를 이용하여 참석 - 회의방에 비밀번호(코드번호)는 필수 적용 (회의방에 초대하기 위해 관련 URL이 포함된 메시지 또는 이메일을 전송하는 경우에도 .. 2021. 6. 14. (CSAP) 개인정보처리시스템 접속기록 보관 기준 기분 개인정보의 안전성 확보조치 기준 개인정보의 기술적 관리적 보호조치 기준 대상 기관 개인정보처리자 정보통신서비스제공자 접속 기록 보관 기간 -개인정보처리시스템에 접속한 기록은 1년 이상 보관 (단 5만명 이상의 정보주체에 관하여 개인정보 처리하거나 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우 2년 이상) -접속기록은 최소 1년 이상 보관 권한 관리 기록 보관 기간 -권한부여, 변경, 말소에 대한 내역을 기록하는 경우관 최소 3년간 보관 -권한부여, 변경, 말소에 대한 내역을 기록하는 경우 최소 5년간 보관 접속기록 점검주기 월 1회 이상 월 1회 이상 접속기록 관리 -접속기록이 위변조 및 도난, 분실되지 않도록 안전하게 보관 -접속기록이 위변조되지 않도록 별도 물리적 저장 장치에 보.. 2021. 6. 8. (ISMS-P) 본인인증기관을 활용할 경우 개인정보 수집 이용 내용 공개 여부 개인정보 처리자가 웹페이지, 앱 등을 통해 서비스를 제공하기 위해 회원가입 등의 절차에서 본인인증 절차를 수행하는 경우가 있습니다. 대부분 자체적으로 필요에 의해 본인 확인이 필요한 경우, 간단하게 메일이나 SMS 등을 통해 인증하는 경우도 있지만 반드시 본인 여부를 확인해야 하거나 주민등록번호를 확인하는 대신 다른 대체 수단을 제공해야 하는 경우 등에서는 전문 기관을 통해 인증을 하는 경우가 있습니다. 이때 본인인증 전문기관에서 제공하는 별도 Application을 통해 인증을 하므로 개인정보 처리자는 해당 정보를 수집하지 않고 결과를 통보 받는다고 하여 회원가입 시 수집 이용되는 개인정보 현황, 개인정보처리방침 내에서 수집되는 항목, 목적 등에서 누락되는 경우가 있습니다. 본인인증을 하는 목적은 개인.. 2021. 6. 8. (ISMS-P) 친목단체에서 개인정보를 수집하는 경우 수집 이용 동의 여부 Q) 친목단체에 가입 또는 활동 등에 참여할 경우 회원들의 개인정보를 수집할 때 정보주체의 동의가 필요하는지? A) 개인정보 처리자가 친목단체를 운영하기 위하여 다음의 경우에 해당하는 개인정보를 수집하는 경우에는 정보주체의 동의 없이 개인정보를 수집·이용할 수 있다. 1. 친목단체의 가입을 위한 성명, 연락처 및 친목단체의 회칙으로 정한 공통의 관심사나 목표와 관련된 인적 사항 2. 친목단체의 회비 등 친목유지를 위해 필요한 비용의 납부 현황에 관한 사항 3. 친목단체의 활동에 대한 구성원의 참석여부 및 활동내용에 관한 사항 4. 기타 친목단체의 구성원 상호 간의 친교와 화합을 위해 구성원이 다른 구성원에게 알리기를 원하는 생일, 취향 및 가족의 애경사 등에 관한 사항 * 표준 개인정보보호 지침 제12조.. 2021. 6. 4. (ISMS-P) 근로자의 개인정보를 수집할 때 동의 필요 여부 Q) 회사가 근로자의 개인정보를 수집할 때 동의가 필요하는지? A) 근로자와 사용자가 근로계약을 체결하는 경우 「근로기준법」에 따른 임금지급, 교육, 증명서 발급, 근로자 복지 제공을 위하여 근로자의 동의 없이 개인정보를 수집·이용할 수 있다. (표준 개인정보보호지침 제6조(개인정보의 수집 이용) 제6항) 개인정보보호법 제15조(개인정보의 수집ㆍ이용) 제1항에 개인정보를 수집할 수 있는 경우를 다음과 같이 정의하고 있으며 1. 정보주체의 동의를 받은 경우 2. 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 3. 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 4. 정보주체와의 계약의 체결 및 이행을 위하여 불가피하게 필요한 경우 5. 정보주체 또는 그 법.. 2021. 6. 4. (ISMS-P) 품질 관리와 정보보호 관리의 비교 (2) 구분 품질 관리 정보보호 관리 정의 - 제품이나 서비스에 대한 고객(이용자)의 다양한 요구사항과 기대를 충족시키는 생산, 기술, 마케팅에 대한 전체적 성질을 관리하는 기법 - 기업의 정보자산을 위협으로부터 보호하는 활동을 관리하는 기법 대상 - 제품이나 서비스 - 정보자산 (유형, 무형의 자산) - 제품이나 서비스 중요성 - 고객/이용자 기호 변화 - 고객 만족 증진 - 내구성 향상으로 인한 유지비용 절감 - 기업 신뢰도 향상 - 4차 산업혁명으로 물리적/논리적 자산 외에도 지적 재산 등 중요 - 개인정보 유출 시 사생활 침해로 이용자 불만 증가 - 법적 책임 이행으로 손실 발생 - 기업 이미지 손상 시 기업 이익 감소 목표 - 품질 향상 - 고객 만족 - 기업 생존 - 자산 보호 - 이해관계자 및 이용.. 2021. 5. 30. (ISMS-P) 개인정보보호법(20.08.05) 사업자 체크리스트 작성 최근 개정된 개인정보보호법의 법적 요구사항을 반영하여 작성된 체크리스트 업데이트 2021. 5. 27. (ISMS-P) 정보보호 최고책임자 신고제도 강화 (정통망법 21.05.24) 정보보호 최고책임자 신고제도 강화됐다... 정통망법 개정안 국회 통과 (boannews.com) 정보보호 최고책임자 신고제도 강화됐다... 정통망법 개정안 국회통과 그동안 형식적으로 운영돼 왔다는 지적이 제기됐던 정보보호 최고책임자(CISO) 제도를 강화할 정보통신망법 개정안이 국회 본회의를 통과했다. 국민의힘 김영식 의원은 자신이 대표발의한 ‘정 www.boannews.com 2021. 5. 26. (ISMS-P) 정보보호 조직의 구성 및 역할 1. 정보보호 조직의 개요 가. 정보보호 조직의 정의 -조직의 정보보호 및 개인정보보호와 관련된 활동을 체계적으로 수행하기 위한 담당 부서 나. 정보보호 조직의 특징 -(개인정보보호), 조직의 특성에 따라 정보보호와 개인정보보호 업무를 통합 또는 이원화 관리 -(실무역량 고려), 효과적인 조직의 정보보호 활동 수행을 위해 학력, 경력, 자격 등을 고려 -(실무역량강화), 채용 이후에도 주기적 또는 상시적으로 관련 직무의 역량 강화를 위해 세미나 참석, 교육 이수 등 활동 수행 2. 정보보호 조직도 및 담당업무/자격 가. 정보보호 조직도 나. 정보보호 조직 내 담당업무 다. 정보보호 자격요건 3. 정보보호 또는 정보기술 분야 학력, 기술자격, 경력 등 2021. 5. 16. (ISMS-P) (개인)정보보호 활동의 성공과 동기부여 대부분 정보보호관리체계를 구축한다고 할 때 보통 정책/지침을 수립하고 조직 구성 및 예산 배정 등을 합니다. 그리고 담당자에 의해 정책/지침에서 요구하는 활동들을 끊임없이 수행, 준수하도록 요구하지만 조직의 정보보호 활동은 잘 수행되지 않고 있는 경우가 있습니다. 이에 대한 원인은 다양한 이유가 있겠지만 아래와 같은 유형의 이유일 것입니다. -기관 내 임원진의 관심이 부족한 경우 (담당자 나홀로 정보보호 활동을 수행) -기관의 임직원들의 인식이 부족한 경우 (왜 귀찮게 이일을 해야 하느지 불만) -기관의 비즈니스 전략과 분리 운영되는 경우 (목적 없이 단순히 의무로써 형식적인 수행) -잘하고 싶은데 어떻게 해야 하는지 모르는 경우 (전문가 채용, 외부 교육 등 역량강화 기회 부족) -잘하고 있는줄 알았는.. 2021. 5. 8. (ISMS-P) (개인) 정보보호 조직 구성의 주요 부적합 사항 및 개선 방안 (현황) -홍길동/상무는 서비스 본부의 본부장으로써 CISO와 CPO 업무를 겸직 수행하고 있음 -김유신/팀장은 서비스 사업팀의 팀장 -이순신/팀장은 서비스 운영팀의 팀장으로써 서비스 사업팀장과 동등한 직무레벨 -유관순/과장, 강감찬/과장은 서비스 운영팀 내에서 정보시스템 및 정보보호시스템 등 운영 관리 (부적합 사항) -홍길동/상무는 내부 업무 수행 현황에 따르면 정보보호 최고책임자와 개인정보 보호책임자 직무를 수행하고 있으나 각종 문서 상에서는 내용이 일치하지 않음 -개인정보보호법률에 따르면 개인정보 보호책임자를 지정해야 하나 각종 문서상에서는 개인정보 관리책임자, 개인정보 보호책임자 등 다양한 직무명을 사용하고 있음 -결재 시에 정보보호 관리자의 검토, 승인이 존재하지 않음 (실제 업무수행 시 동등.. 2021. 5. 2. (ISMS-P) 정보보호 최고책임자 지정신고 대상 및 제외대상 1. 정보보호 최고책임자 지정신고 제도의 개요 가. 정보보호 최고책임자 지정신고 제도의 정의 -정보통신서비스 제공자가 정보보호 전문성을 갖춘 임원급의 정보보호 최고책임자를 선임하고 정보보호 업무를 수행할 수 있도록 일정 수준 이상의 대상자는 신고하여야 하는 제도 나. 정보보호 최고책임자 지정신고 제도의 특징 -(대상기업), 제외 대상자를 제외한 모든 정보통신서비스 제공자는 임원급의 정보보호 최고책임자를 지정, 과기부장관에게 신고하여야 함 -(제외대상), 소상공인, 소기업 등은 지정 신고 의무 제외 대상 -(의무위반), 3천만원 이하 과태료 부과 (정보통신망법 제76조제1항제6호의2) 2. 정보보호 최고책임자 지정신고 대상 및 제외대상 가. 대상 및 제외 대상 나. 신고 방법 -온라인 : www.emsit.. 2021. 5. 2. (ISMS-P) 정보통신서비스 제공자 해당 여부 1. 정보통신서비스 제공자의 개요 가. 정보통신서비스 제공자의 정의 - 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자 (정보통신망법 제2조제1항제3호) 나. 정보통신서비스 제공자의 특징 -(전기통신사업자), 기간통신사업자, 부가통신사업자의 경우 정보통신서비스 제공자에 해당 -(지정 요건), 영리목적, 전기통신사업자의 전기통신 역무 이용, 정보의 제공 또는 매개 -(영리목적 유무), 법인의 특성, 정보통신서비스의 성격, 목적 등을 바탕으로 종합적으로 고려 2. 정보통신서비스 제공자의 해당 여부 2021. 5. 2. (CSAP) 법정대리인 동의 확인 방법 1. 법정대리인 동의 확인방법 개요 가. 정대리인 동의 확인방법의 정의 - 개인정보보호법 등에 따라 만 14세 미만 아동으로부터 개인(위치)정보를 수집‧이용‧제공하는 경우 해당 정보통신서비스 제공자등은 법정대리인이 동의했는지를 알리거나 확인 등을 해야함 나. 정대리인 동의 확인방법의 대상 - 만14세 미만 아동을 주요 대상으로 하는 서비스 - 만 14세 미만 아동을 이용자에서 배제하지 않고 서비스 하는 경우 등 2. 동의 확인방법 및 절차 가. 동의 확인방법 (1) 만 14세 미만 아동의 개인(위치)정보를 수집하는 서비스인지 확인 - 만 14세 미만 아동인지를 구별하기 위해 이용자가 ‘법정 생년월일’을 직접 입력 받는 방법 - ‘만 14세 이상’이라는 항목에 체크 등 이러한 방법을 토대로 사업자는 만 1.. 2021. 5. 1. (CSAP) 개인정보 수집 이용 제공 동의 방법 서비스 가입신청서와 같은 곳에서 다음과 같은 개인정보 수집 이용 제공 동의서를 볼 수 있습니다. 붉은색 박스로 표시된 것 같이 현재의 법률과 잘 맞지 않는 부분이 있는데 20년도 법의 개정으로 정보통신서비스제공자의 개인정보 수집 이용 제공 등에 관한 사항은 개인정보보호법으로 일원화되었으므로 변경되어야 합니다. 또한 수집항목, 수집방법, 이용목적 등을 각각 동의받는 경우가 있는데 이럴 경우 정보주체가 수집항목에는 동의를 하였으나 수집방법은 미동의를 했을 경우 개인정보를 수집할 수 없게 되므로 동의서를 받을 의미가 없어지게 됩니다. 이에 개인정보 수집 이용 제공 동의서를 작성하기 위한 고려 사항을 정리해 보았습니다. 1. 개인정보처리자는 정보주체의 동의를 받거나 관계 법령에 따라 적법하게 최소한으로 수집하여.. 2021. 4. 30. 이전 1 2 3 4 다음
