본문 바로가기

전체 글

 (49)
[ISMS-P] 정보보호 및 개인정보보호 관리체계 결함 사례 정리 정보보호 및 개인정보보호 관리체계 결함사례 포스팅 글 정리 1.1 관리체계 기반마련 항목 결함사례 1.1.1 경영진의 참여 1.정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보 현황을 경영진에게 보고하 도록 명시하였으나 장기간 관련 보고를 수행하지 않은 경우 2.중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보호 대 책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동보고, 승인 등 의사결정에 경영진 또는 경 영진의 권한을 위임받은 자가 참여하지 않았거나 관련 증적이 확인되지 않은 경우 1.1.2 최고책임자의 지정 1. 정통망법에 따른 CISO 지정 및 신고 의무 대상임에도 신고하지 않은 경우 2. 개보법을 적용받는 민간기업이 개인정보 처리업무 관..
[AWS] Security Group VS Network ACLs 보안 기능 AWS는 VPC 및 인스턴스를 구성하는 경우 기본적으로 트래픽 보호를 위한 Network ACLs(NACL) 기능과 Security Group(SG) 기능을 제공한다. NACL과 SG는 트래픽을 제어하는데 사용하는 일종의 방화벽 역할을 수행하며 이 과정에서 각 기능 별로 트래픽을 제어하고 처리하는 과정에서 기능 차이가 있다. #NACL (Stateless Firewalls) - VPC 및 서브넷을 구성 시 NACL을 통한 트래픽 제어 - NACL은 여러 서브넷에 적용 가능 - NACL 트래픽 제어 정책은 Inbound/Outbound Rule 최대 20개 등록 가능 - 트래픽 제어 시 NACL은 요청정보를 따로 저장하지 않아 응답 트래픽 제어 설정이 필요 (Stateless firewalls) #SG (..
[ISMS-P] 개인정보 처리 단계별 요구사항 (3.5 정보주체 권리보호) #개인정보 처리 단계별 요구사항 기준 3.5 정보주체 권리보호 3.5.1 개인정보처리방침 공개 인증기준 : 개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 개인정보처리방침을 수립하고, 이를 정보주체(이용자)가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다. 확인사항 - 개인정보 처리방침을 정보주체(이용자)가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 지속적으로 현행화하여 공개하고 있는가? - 개인정보 처리방침에는 법령에서 요구하는 내용을 모두 포함하고 있는가? - 개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체 없이 공지하고 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 알아볼 수 있도록 조치하고 있는가? 관련법규 - 개인정보 보호법 제30..
[ISMS-P] 개인정보 처리 단계별 요구사항 (3.4 개인정보 파기 시 보호조치) #개인정보 처리 단계별 요구사항 기준 3.4 개인정보 파기 시 보호조치 3.4.1 개인정보의 파기 인증기준 : 개인정보의 보유기간 및 파기 관련 내부 정책을 수립하고 개인정보의 보유기간 경과, 처리목적 달성 등 파기 시점이 도달한 때에는 파기의 안전성 및 완전성이 보장될 수 있는 방법으로 지체 없이 파기하여야 한다. 확인사항 - 개인정보의 보유기간 및 파기와 관련된 내부 정책을 수립하고 있는가? - 개인정보의 처리목적이 달성되거나 보유기간이 경과한 경우 지체 없이 해당 개인정보를 파기하고 있는가? - 개인정보를 파기할 때에는 복구/재생되지 않도록 안전한 방법으로 파기하고 있는가? - 개인정보 파기에 대한 기록을 남기고 관리하고 있는가? 관련법규 - 개인정보 보호법 제21조(개인정보의 파기) - 개인정보의..
[ISMS-P] 개인정보 처리 단계별 요구사항 (3.3 개인정보 제공 시 보호조치) #개인정보 처리 단계별 요구사항 기준 3.3 개인정보 제공 시 보호조치 3.3.1 개인정보 제3자 제공 인증기준 : 개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체(이용자)의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립/이행하여야 한다. 확인사항 - 개인정보를 제3자에게 제공하는 경우 법령에 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받고 있는가? - 개인정보의 제3자 제공 동의는 수집/이용에 대한 동의와 구분하여 받고 이에 동의하지 않는다는 이유로 해당 서비스의 제공을 거부하지 않도록 하고 있는가? - 개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최..
[ISMS-P] 개인정보 처리 단계별 요구사항 (3.2 개인정보 보유 및 이용 시 보호조치) #개인정보 처리 단계별 요구사항 기준 3.2 개인정보 보유 및 이용 시 보호조치 3.2.1 개인정보 현황 관리 인증기준 : 수집/보유하는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관게기관의 장에게 등록하여야 한다. 확인사항 - 수집/보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하고 있는가? - 공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하고 있는가? - 공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하고 있는가? 관련법규 - 개인정보 보호법 제32조(개인정보파일의 등록 및 공개) 증거자료 - ..
[ISMS-P] 개인정보 처리 단계별 요구사항 (3.1 개인정보 수집 시 보호조치) #개인정보 처리 단계별 요구사항 기준 3.1 개인정보 수집 시 보호조치 3.1.1 개인정보 수집 제한 인증기준 : 개인정보는 서비스 제공을 위하여 필요한 최소한의 정보를 적법하고 정당하게 수집하여야 하며, 필수정보 이외의 개인정보를 수집하는 경우에는 선택항목으로 구분하여 해당 정보를 제공하지 않는다는 이유로 서비스 제공을 거부하지 않아야 한다. 확인사항 - 개인정보를 수집하는 경우 서비스 제공 또는 법령에 근거한 처리 등을 위하여 필요한 범위 내에서 최소한의 정보만을 수집하고 있는가? - 수집 목적에 필요한 최소한의 정보 외의 개인정보를 수집하는 경우 정보주체(이용자)가 해당 개인정보의 제공 여부를 선택할 수 있도록 하고 있는가? - 정보주체(이용자)가 수집 목적에 필요한 최소한의 정보 이외의 개인정보 ..
[ISMS-P] 보호대책 요구사항 (2.12 재해 복구) #보호대책 요구사항 기준 2.12 재해 복구 2.12.1 재해/재난 대비 안전조치 인증기준 : 자연재해, 통신, 전력 장애, 해킹 등 조직의 핵심 서비스 및 시스템의 운영 연속성을 위협할 수 있는 재해 유형을 식별하고, 유형별 예상 피해규모 및 영향을 분석하여야 한다. 또한 복구 목표시간, 복구 목표시점을 정의하고 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구체계를 구축하여야 한다. 확인사항 - 조직의 핵심 서비스(업무) 연속성을 위협할 수 있는 IT 재해 유형을 식별하고, 유형별 피해규모 및 업무에 미치는 영향을 분석하여 핵심 IT 서비스(업무) 및 시스템을 식별하고 있는가? - 핵심 IT 서비스 및 시스템의 중요도 및 특성에 따른 복구 목표시간, 복구 목표시점을 정의..

티스토리툴바