본문 바로가기

(개인)정보보호/최신ICT 정보 공유 블로그

isms60

(ISMS-P) ｢전자금융감독규정시행세칙｣ 개정 사항 (20.11.06) -망분리 규제 1. 전자금융감독규정시행세칙 개정사항 개요 가. 전자금융감독규정시행세칙 개정의 정의 -「전자금융거래법」 및 동법 시행령과 「전자금융감독규정」에서 금융감독원장에게 위임한 사항과 그 시행에 필요한 사항을 규정 -코로나19등으로 인한 업무환경 변화로 비대면 업무처리와 관련된 사항이 포함되어 개정됨 나. 전자금융감독규정시행세칙 개정의 특징 -(코로나19 영향), 20년 2월 금융회사 임직원의 재택근무로 인한 한시적으로 원격접속 허용 -(위험성 검토 미흡 우려), 긴급한 전환에 따라 금융회사의 사전 위험 검토 및 재택근무 시스템에 대한 보안조치가 미흡 -(언택트 문화), 업무 환경 등의 변화로 금융권 재택근무 일상화 등에 선제적 대응 필요 2. 전자금융감독규정시행세칙의 개정내용 가. 개정내용 구분 설명 1. 외주.. 2021. 4. 24.

(ISMS-P) ｢전자금융감독규정시행세칙｣ 개정 (13.03.20) - 망분리 규제 1. 전자금융감독규정시행세칙 개정의 개요 가. 시행세칙의 정의 -「전자금융거래법」 및 동법 시행령과 「전자금융감독규정」에서 금융감독원장에게 위임한 사항과 그 시행에 필요한 사항을 규정 나. 시행세칙의 개정 배경 -(망분리 규제), '13.03.20. 금융전산사고를 계기로 사이버공격, 정보유출 등을 방지하기 위해 금융전산 망분리 의무화 시행 -(통신회선 분리), 금융회사의 통신회선을 업무용(내부망), 인터넷용(외부망)으로 분리 -(한시적 원격접속 허용), 코로나19로 재택근무가 불가피해짐에 따라 원격접속을 한시적으로 허용('20.02) -(언택트 문화), 코로나 이후에도 언택트 문화는 지속될 것으로 예상되어 선제적 대비 필요 2. 전자금융감독규정시행세칙의 개정 내용 가. 전자금융감독규정시행세칙의 개정 개념.. 2021. 4. 24.

(CSAP) 개인정보 이용내역 통지 방법 1. 개인정보 이용내역 통지의 개요 가. 개인정보 이용내역 통지의 정의 -개인정보보호법 제39조의 8 (개인정보이용내역의 통지) 에 따라 정보통신서비스 제공자등으로써 기준에 해당하는 자는 수집한 이용자의 개인정보의 이용내역을 주기적으로 이용자에게 통지하도록 하고 있음 나. 개인정보 이용내역 통지의 특징 -(정보통신서비스 제공자등), 정보통신 제공자 및 그로부터 이용자의 개인정보를 제공받은 자 -(매출액 또는 이용자수), 정보통신부문 전년도 매출액 또는 전녀도 말 기준 직전 3개월간 이용자 수 기준 2. 개인정보 이용내역 통지의 방법 가. 개인정보 이용내역 통지 방법 개인정보 이용내역 통지 대상자 1. 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비.. 2021. 4. 21.

(CSAP) 개인정보처리방침 작성요령 1. 개인정보 처리방침의 개요 가. 개인정보 처리방침의 정의 -개인정보를 처리하고 있는 사업자/단체의 개인정보 처리기준 및 보호조치 등을 문서화하여 공개하는 것 나. 개인정보 처리방침의 특징 -(공개의무), 사업자 등 개인정보처리자로 하여금 개인정보 처리방침을 수립․공개하도록 의무화하고 있음 (법 제30조) -(과태료), 개인정보 처리방침을 정하지 않거나 공개하지 않는 자는 1천만원 이하 과태료가 부과됨 -(필수/선택), 개인정보 처리방침 작성 시 필수항목은 반드시 포함하여 작성 필요 2. 개인정보 처리방침의 구성 가. 개인정보 처리방침의 구성 (기재사항) 필수적 기재사항 임의적 기재사항 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항 (해당되는 경.. 2021. 4. 20.

(CSAP) 시점별 통제활동 수행을 위한 관리자 역할 앞서 시점별 활동 예방, 탐지, 교정/복구에 대해 정리해 봤습니다. 이런 시점별 활동을 수행하기 위해 정보보호 관리자는 어떤 역할을 수행해야 할까요. 시점별 통제활동 관리자 역할 예방 -주요 시스템들의 위협 및 취약점 정보, 위험평가 결과를 보고 받고 위험 수용 수준 결정 -위험이 적절한 수준 이하로 관리되도록 예산과 인력 등 자원을 할당 -임직원의 정보보호 인식 수준 향상을 위한 활동 계획 수립 -정보보호 및 주요 직무자의 정보보호 역량 강화을 위한 활동 계획 수립 -주기적 또는 상시 정보보호 활동 상황 검토 (선정된 정보보호 대책의 적정성 검토) -협력사 주기적인 정보보호 상태 확인 -주요 법률 제개정 현황을 모니터링 및 정책/지침 반영 탐지 -다양한 경로를 통해서 수집된 이벤트에 대한 보고 받기 (.. 2021. 4. 18.

(CSAP) 정보보호 관리체계 운영현황 관리 1. 정보보호관리체계 운영현황 관리의 개요 가. 정보보호관리체계 운영현황 관리의 정의 -수립한 정보보호관리체계에 따라 수행활동을 식별하고 수행이력을 관리하여 활동의 효과성을 관리하는 기법 나. 정보보호관리체계 운영현황 관리의 특징 -(활동 식별), 정보보호 활동을 식별하고, 운영현황을 확인 가능 -(수행 주체), 수행 주기 및 시점, 수행 담당부서/담당자 등을 정의 -(주기적 검토), 활동 결과를 주기적으로 검토하여 문제점 발견 및 개선 수행 2. 정보보호관리체계 운영현황 관리의 개념도 및 구성요소 가. 정보보호관리체계 운영현황 관리의 개념도 -정책/지침에 명시된 정보보호 활동을 식별하고 수행 결과를 주기적 검토하여 개선 활동을 수행 나. 정보보호관리체계 운영현황 관리의 구성요소 구분 설명 정보보호 정책.. 2021. 4. 14.

(CSAP) 네트워크 구조 설계 시 논리적/물리적 분리 고려사항 1. 네트워크 분리의 개요 가. (11.1.5 네트워크 분리)의 인증 기준 -CSAP 통제항목 (11.1.5 네트워크 분리)에서 클라우드컴퓨팅서비스 제공자의 관리 영역과 이용자의 서비스 영역, 이용자 간 서비스 영역의 네트워크 접근은 물리적 또는 논리적으로 분리를 하도록 요구하고 있음 나. 네트워크 분리의 특징 -(논리적, 물리적), 서비스 또는 업무에 따라 위험평가 결과를 기반으로 논리적 또는 물리적 분리 적용 -(내부, 외부), 외부에서 접근이 허용되는 네트워크와 허용이 필요하지 않는 차단되는 네트워크 분리 -(접근통제), 각각의 논리적/물리적 분리, 내/외부 분리된 네트워크 간에 접근통제를 통해 최소서비스만 허용 2. 네트워크 분리의 개념도 및 구성요소 가. 네트워크 분리의 개념도 1) IaaS 2.. 2021. 4. 13.

(CSAP) 체계적인 대응을 위한 시점별 통제활동 유형 정보보호 활동은 단순히 정보보호 솔루션을 설치하는 것만으로 모든 것이 끝나지 않스빈다. 관리적/물리적/기술적 보호대책이 존재하는 것과 같이 시점별 다양한 통제활동을 수행해야 합니다. 시점별 통제활동은 1) 예방 통제, 2) 탐지 통제, 3) 교정/복구 통제 등으로 구분 가능합니다. 1. 예방 통제 -발생 가능한 사건/침입 등을 사전에 식별하고 통제하는 활동 가. 위험관리 -정보자산 분류 -위협 발생 시나리오 작성 (위협 정의) -취약점 평가 -발생 가능성과 피해 규모 산정 나. 보안관제 -침해사고에 대한 사전 예방 활동 -모니터링, 사전대응, 정책 적용 등 -사고 위협 요소 감소 -보안 패치, 취약점 점검, 정책 관리 다. 정보보호 인식 제고 -임직원에 대한 보안정책 인식 -보안규정 등 준수, 실천 교육.. 2021. 4. 11.

(CSAP) SDLC 상에서 정보보호 활동 1. 시스템 라이프 사이클과 정보보호 활동 -시스템 도입 및 개발단계로부터 분석, 설계, 구현, 시험, 인수, 운영, 유지보수, 폐기까지 각 단계별 관련된 정보보호 활동을 식별 가. 시스템 도입 및 개발 단계 기법 ICT 정보보호 계획 예비 조사 기초 조사 -현 시스템의 상태 및 문제점 파악 -해결 방안 제안 -시스템 개발, 증설 여부 등 결정 -시스템 도입 및 개발 계획 수립 -시스템 도입 및 개발 시 고려사항 (CC, 암호화 검증필, 인증 등) 요구사항 분석 기능 분석 예비 설계 비용 효과 -현 시스템의 문제점과 사용자 요구사항 식별 -요구분석 명세서 작성 -기업환경 및 요구기능, 활동 등 조사 -시스템 도입, 개발, 변경 시 법적 요구사항, 취약점 제거, 시큐어 코딩 등 보안요구사항 정의 설계 기본.. 2021. 4. 11.

(CSAP) 품질 관리와 정보보호 관리의 비교 (1) 1. 품질 관리의 개요 가. 품질 관리의 정의 -수요자의 요구에 맞는 품질의 제품, 서비스를 경제적으로 제공하기 위한 모든 수단, 도구 등을 관리하는 기법 나. 품질 관리의 특징 -(관리 또는 경영), Management는 정책, 계획을 수립하고, 조직을 구성하여 수립된 정책 또는 계획을 이행하면서 적절한 통제를 적용하여 제품, 서비스의 품질을 보증하는 과정 -(Control), 기준을 설정하여 범위 안에 이르도록 관리하는 기법 -(현상 유지), 표준 등 기준을 만족하고 경우 그 상태를 유지하기 위해 노력 -(현상 타파), 표준 등 기준에 부족한 경우 새로운 목표를 설정하고 목표 달성을 위해 노력 다. 품질 관리의 사이클 (PDCA) ① 정책, 지침, 표준, 계획 등 수립 (Plan) ② 제품, 서비스가.. 2021. 4. 11.

(CSAP) 클라우드 보안 인증제 1. 클라우드 보안인증제의 개요 가. 클라우드 보안인증제의 정의 -클라우드 서비스 제공자가 제공하는 서비스에 대해 『 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률 』 제 23조 제2항에 따라 정보보호 기준의 준수여부 확인을 인증기관이 평가·인증하여 이용자들이 안심하고 클라우드 서비스를 이용할 수 있도록 지원하는 제도 나. 클라우드 보안인증제의 특징 -(공공기관이 이용), 공공기관이 민간 클라우드 서비스 이용 시 안전성 및 신뢰성 제공 -(서비스 경쟁력 확보), 객관적이고 공정한 인증을 통해 이용자의 보안 우려 해소 및 이를 통한 경쟁력 확보 -(인증, 심사 기관), 한국인터넷진흥원을 통한 인증체계 관리 2. 클라우드 보안인증제의 구성 1) 인증 유형 구분 분야 통제항목 IaaS 14개 117개 Sa.. 2021. 4. 11.

(CSAP) 품질 경영 시스템(QMS)과 정보보호 경영 시스템(ISMS) 1. 품질 경영 시스템과 정보보호 경영 시스템의 개요 가. 경영 시스템의 정의 품질 경영 시스템 (QMS) 고객 요구사항 및 고객 만족, 품질확보를 위해 최고경영자 및 전사 구성원이 품질 향상을 위해 수립, 이행, 유지관리 및 지속 개선 등의 활동을 수행하는 경영 시스템 정보보호 경영 시스템 (ISMS) 정보보호관리를 위한 표준 실무 규약을 만족하기 위해 최고경영자 및 전사 구성원이 참여하여 수립, 이행, 유지관리 및 지속 개선 등의 활동을 수행하는 경영 시스템 나. 경영 시스템의 특징 -(종합적인 관리), 다양한 영역에 대한 균형있는 관리 수행 -(요구사항 부합), 고객, 기업, 정부 등의 요구사항 관리 -(환경 적응), 기업 내외부 환경에 대한 적절하고 능동적인 대처 -(경쟁력 제고), 기업의 이미지.. 2021. 4. 11.

(CSAP) 클라우드 보안인증제 확대 (DaaS) 1. CSAP의 DaaS 인증 확대 가. 추진배경 -공공기관의 민간 상용 클라우드 이용이 가능하도록 국가가 사전 점검 및 승인 -행안부의 개방형 OS 도입 전략 수립에 따라 인터넷망 PC대체를 위해 행정 공공기관이 도입 가능한 DaaS에 대한 인증 필요성 대두 나. 정의 -공공기관이 망분리를 위해 기존에 사용하던 인터넷 PC를 대체하기 위해 클라우드 서비스 제공자의 DaaS 서비스를 사전에 점검 인증하는 제도 2. DaaS의 인증 범위 가. DaaS의 인증 범위 나. DaaS의 인증기준 -14개 부문, 110개 통제항목, 209개 세부점검항목 -기 IaaS인증을 획득한 사업자는 IaaS 대피 변경사항을 식별하여 중복 점검기준 도출 후 평가 수행 -인증 유효기간 : 5년 -일부 보안요구사항 삭제 -DaaS.. 2021. 4. 10.

(CSAP) 20년도 '보안기능 확인서' 제도의 대상과 유효기간 * 20년 2월 '보안기능 시험결과서'가 '보안기능 시험결과 확인서(보안기능 확인서)'로 명칭 변경 -효력은 동일하며 단순 명칭 변경 1. 발급 대상 - 정보보호시스템 - 네트워크 장비 (L3 이상 스위치, 라우터, SDN 등) - 단 국가 공공기관 도입 시 CC인증 또는 암호모듈 검증이 필수로 요구되는 제품은 해당 인증을 획득한 후 발급 가능 (CC인증을 받은 제품 V1.0이 V1.0.2로 형상변경된 경우 원래 인증된 형상인 V1.0에 대해 보안기능 확인서 발급 신청 가능) 2. 유효기간 - 국가용 보안요구사항의 필수 항목을 모두 만족한 제품의 경우, 2년 부여 - 그외 제품은 1년 부여 - 효력 연장기간을 포함하여 최대 3년 부여 가능 - 단 CC인증 또는 검증필 암호모듈 제품의 유효기간은 해당 인증.. 2021. 4. 3.

(CSAP) 21년도 '보안기능 확인서'의 유효기간 전자정부법 제56조에 의거 시행중인 '보안기능 시험' 제도의 효율성 제고 및 업계 불편 해소를 위해 '보안기능 확인서' 유효기간을 21년부터 연장 1) 보안기능 확인서의 유효기간 변경 최대 3년(2년+연장 1년)을 부여하였으나 신규 발급되는 보안기능 확인서의 경우 5년 효력 부여 (효력 연장 절차는 폐지) 2) 기존 발급 제품 효력 연장 21년 1월 1일 현재, 유효한 보안기능 확인서는 발급일로부터 5년 효력 연장 3) 예외 대상 국가용 보안요구사항을 만족하지 않고 발급된 보안기능 확인서는 유효기간이 연장되지 않음 [관련 링크] https://www.nis.go.kr:4016/AF/1_7_2_3/view.do?seq=71 2021. 4. 3.

(CSAP) CC 인증 필수 제품 유형 23종 도입 요건 제품 유형 비고 CC 인증 침입차단시스템 침입방지시스템 통합보안관리제품 웹 응용프로그램 침입차단제품 서버 접근통제 제품 DB 접근통제 제품 네트워크 접근통제 제품 인터넷전화 보안 제품 무선침입방지 시스템 무선랜 인증 제품 가상화 제품 네트워크 자료유출방지 제품 디지털 복합기(완전삭제 또는 데이터 암호) 스마트폰 보안관리 제품 EAL2 이상 또는 관련 PP 준수 스마트 카드 EAL4 이상 CC 인증 및 검증필 암호모듈 가상사설망 제품 호스트 자료유출방지 제품(매체제어 제품 포함) EAL2 이상 혹은 관련 PP 준수 KCMVP 필수 적용 CC 인증 or GS 인증(국가용 보안요구사항 준수) 스팸메일 차단 시스템 패치 관리 시스템 망간 자료 전송 시스템 CC 인증 : EAL2 이상 혹은 관련 PP .. 2021. 4. 3.

(CSAP) 국가기관 도입기준 중 GS인증 제외 예정 1. 상황 o 국가용 보안기준을 만족하는 제품에 대해서 국가기관이 도입 가능 o 국가용 보안기준을 만족하는 GS인증제품 또한 CC인증(보안적합성 검증) 없이 국가 기관이 도입 가능하였음 o 안정성 확인 미흡 등으로 제도 폐지 2. 대상 : 스팸메일차단시스템, 패치관리시스템, 망간자료전송제품 등 3종 3. 사유 : 기존 제도로 안전성 확인 미흡 4. 시점 : 2022년 1월 1일 부터 기준 적용 예상 o 스팸메일차단시스템 : CC인증ㆍGS인증(2022.1.1 이전) → CC인증으로 단일화(2022.1.1 이후) o 패치관리시스템 : CC인증ㆍGS인증(2022.1.1 이전) → CC인증으로 단일화(2022.1.1 이후) o 망간자료전송제품 : CC인증ㆍGS인증(2022.1.1 이전) → 보안기능 확인서로 단.. 2021. 4. 3.

(CSAP) 까칠 또는 타협, 양보 앞서 까칠한 담당자를 지양해야 한다고 이야기를 했습니다. 그렇다면 까칠이라는 것은 어떤 것을 말할까요 외부심사를 나간 적이 있었는데 신청기관으로부터 컴플레인이 있었는데 다른 위원님이 너무 취조하는 느낌으로 인터뷰를 한다는 것이었습니다. "신분증을 받는 목적이 무엇인가요", "왜 안내판 등은 없나요" 등등의 질문에 심사 대응 담당자의 표정에서 매우 당황해 함을 느낄 수 있었습니다. 마찬가지로 정보보호 담당자가 현업 담당자에게도 유사한 형태로 대화를 하는 경우가 간혹 있습니다. 신청 부서에서 검토 요청을 하면 정보보호 부서에서는 "~그렇게 하면 안돼요.", "~법률/정책 위반입니다."라는 형태로 먼저 부정적인 답변을 하는 경우가 많습니다. 이런 형태의 대화가 되는 이유는 대화의 초점이 법률, 정책 준수 여부.. 2021. 3. 29.

이전 1 2 3 4 다음

티스토리툴바