[보안] 제도 및 표준 등 (필독! 필독! 속독!)

 

 

개인정보 안전성 확보조치 기준
대상: 공공, 5만명이상 정보주체 고유식별정보 처리자, 
법적근거: 개인정보보호법 제23조(민감정보의 처리 제한), 제24조(고유식별정보의 처리 제한), 제29조(안전조치의무)
주요내용: 
 내부관리계획 수립및시행, 접근권한관리, 접근통제, 개인정보암호화, 접속기록보관및점검, 악성코드방지, 관리용단말 안전조치, 물리적 안전조치, 재해재난 대비 안전조치, 개인정보 파기 
내부관리계획 목차
1. 총칙, 2. 내부관리계획 수립및시행, 3. 개인정보 보호책임자의 역할과 책임, 4. 개인정보 보호 교육, 5. 기술적 안전조치, 6. 관리적, 7. 물리적


ISMS
- 정보보호 정책수립
- 관리체계 범위설정
- 위험관리
- 구현
- 사후관리 

G-ISMS
- 전자정부 기관이 구축한 isms를 제3자 객관심사 인증 제도
- 정책 및 인증위원회 행안부, 인증기관 KISA
심사기준: 수립-구현운영-모니터링-유지및개선(PDCA)



ISMS-P (정보보호 및 개인정보보호 관리체계 인증)
의무대상 - ISP, IDC, 1500억-학교,병원, 100억, 100만명
자율신청 - 자발적 기업,기관

인증체계
- 정책기관(정책협의회 - 과기부,개보위) 
- 인증기관(KISA, FSI(금융보안원) 인증기관, 인증위원회)
- 심사기관(인증심사 수행, KAIT정통진협, TTA정통기협, OPA개보협)

인증기준 및 심사분야 (102개 인증기준)
- 관리체계 수립 및 운영(16) : 기반, 위험, 운영, 점검및개선
- 보호활동 요구사항(64) : 정조자인외물인접 암개운보사재
- 개인정보 처리단계별 요구사항(22) : 수보제파 주체권리보호

처리절차 (인증위원회 - 인증기관 - 신청기관) 
- 신청>예비점검및계약>심사팀구성>인증심사>보완조치>심사결과보고서제출->결과심의및의결요청>의결결과통보>인증서발급

인증심사 보완조치 : 최대 100일 
취득시기 : 다음 해 8월 31일까지 


정보보호제품 신속확인제도
(정의) 신기술, 융복합 제품 최소한의 절차와 인증기준, 평가한 뒤, 평가기준 마련될따까지 공공부문에 제품을 적용할 수 있도록 하는 제도 
목적: 기존 기준이 없는 공공시장 진입 (혁신제품도입 대응역량강화)
기간: 약 1.5~2개월 소요
절차: 신속확인대상 검토> 신속확인> 사후관리  (2>3>2)
절차: 대상여부검토>기업사전준비>신속확인신청>심의위원회>T신속확인서발급>변경승인,유효기간연장> 기존제도기준마련
△보안점검, △기능시험결과 제출 
사후확인: 변경승인, 기간연장, 이의신청, 기준마련



보안적합성 검증제도
근거: 「국가정보원법」 제4조와 「전자정부법」 제56조
절차: 각급기관 신청> 국가정보원 시험의뢰 > NSR 시험결과 > 국정원 통보 > 각급기관 취약점보완 후 운용



전자정부법 제56조(정보통신망 등의 보안대책 수립·시행)
① 국회, 법원, 헌법재판소, 중앙선거관리위원회 및 행정부는 전자정부의 구현에 필요한 정보통신망과 행정정보 등의 안전성 및 신뢰성 확보를 위한 보안대책을 마련하여야 한다.

 

 

ISO 27002 기반 통제항목
o 관리적 보호조치
   정보보안정책수립, 인적보안, 자산관리, 서비스공급망 관리, 침해사고 관리 등
o 기술적 보호조치
  보안, 접근통제, 네트워크보안, 데이터보안, 암호화 등
o 물리적 보호조치
  보안구역 지정, 물리적 접근제어, 장비 반/출입 등 정보보호 시설 및 장비보호

클라우드 

ISO 27017
▲정의: ISO 27000 표준 그룹 중에서 특히 클라우드 서비스 제공업체와 해당 고객을 위한 추가적인 정보보안 관리를 위한 Code of practicen

▲통제항목:
- 클라우드 컴퓨팅 환경에서의 공유 역할과 책임
- 계약 종료 시 클라우드 서비스 고객 자산의 제거와 반환
- 한 고객의 가상 환경과 다른 고객의 가상 환경의 분리 및 보호
- 비즈니스 요구를 충족하기 위한 가상 컴퓨터 강화 요구 사항
- 클라우드 컴퓨팅 환경의 관리 작업 절차
- 고객이 클라우드 컴퓨팅 환경 내의 관련 활동을 모니터링할 수 있도록 지원
- 가상 네트워크와 물리적 네트워크의 보안 관리 일관성 유지



ISO 27018


▶ 클라우드 서비스 정보보안 위협
o 거버넌스 측면
  거버넌스 손실, 책임성 모호, 준거성 및 법적 위험, 국경문제
o 접근통제 측면
  제공자 시스템에 대한 비인가 접근, 관리 인터페이스 취약성, 보호 메커니즘의 비일관성 및 상충
o 데이터 보안 측면
  개인정보 유출 및 손실, 불완전한 데이터 삭제, 격리(isolation) 실패
o 운영관리 측면
  서비스 비가용성 및 중단, 보안사고 처리, 공급망 취약성

 

 

 

 

 

---

https://jmocha.tistory.com/207
https://www.koreascience.or.kr/article/JAKO201510252175346.pdf