정보보호 관리체계 구축(1)

ISMS-P 인증이란?

정보보호 및 개인정보보호 관리체계라는 뜻으로 안전한 정보통신서비스의 운영과 개인정보 유출 및 피해를 예방하기위해 기업이나 단체, 기관의 정보보호 체계의 적합 여부를 심사해 인증하는 제도.

 

ISMS-P 인증기준 세부 항목의 수

- 관리체계 수립 및 운영(16)

- 보호대책 요구사항(64)

- 개인정보 처리 단계별 요구사항(22)

 

ISMS 인증 대상자(정보통신망법 제47조 2항)

ISP, IDC, 아래 조건 중 하나라도 해당하는자

- 연간 매출액 or 세금이 1,500억 이상인자중에 상급종합병원([의료법] 제3조의 4)

- 작전년도 12월31일 기준으로 재학생수가 1만명 이상인 학교([고등교육법] 제2조)

- 정보통신서비스 부문 전년도 매출액이 100억원 이상인 자

- 전년도 직전 3개월간 정보통신서비스 일일평균이용자수가 100만명 이상인자

 

ISMS-P 인증제도의 필요성

• 기업의 사회적 책임 요구 증대
• IT환경 및 비즈니스 패러다임 변화
• 개인정보의 안전한 관리 필요성
• 사이버침해 사고 발생 가능성 증대

기대효과

• 신뢰성과 이미지 향상
• 비즈니스 안정성 제고
• 법적 준거성 확보
• 사이버 침해사고 위협 대응

 

국내 표준 대칭형 암호화 알고리즘

• SEED
  국내 개발 인터넷/전자상거래/무선통신 중요정보 암호화 대칭키 알고리즘, 페이스텔 구조
• ARIA(Academy Research Institute Agency)
  다양한 환경에 적합한 암호화알고리즘으로 AES와 동일
• HIGHT(HIGH security and light weighT)
  RFID, USN 같은 저전력 및 경량화 요구 환경에서 기밀성을 제공하는 64비트 블록 암호
• LEA(Lightweight Encryption Algorithm)
  128비트 경량 고속블록 알고리즘(AES보다 1.5 ~ 2배 빠름)

---

위험(Risk)

• 원하지 않는 사건이 발생하여 영향(손실)을 미칠 가능성
• 위험의 크기 = 발생가능성 * 손실

위협 : 감기 바이러스

취약성 : 건강상태

위험 : 감기에 걸리는 상태

 

위험 관리

위험관리는 조직의 정보자산을 보호하기 위하여 정보자산에 대한 위협과 취약성을 분석하여 비용 대비 적절한 보호 대책을 마련함으로써 위험을 감수할 수 있는 수준으로 유지하는 일련의 과정.

 

DoA(Degree of Assurance)

DoA는 수용가능한 위험 수준 즉 보장수준을 결정하고, 그에 따라 관리되어야할 위험에 대한 통제 방안을 마련하는 단계

---

ISMS-P ISMS구축 인증기준, 1.2 위험관리 세부 항목 4가지

정보자산 식별, 현황 및 흐름분석, 위험 평가, 보호대책 산정

 

암호 정책 적용에서 일방향 암호화 하는 대상

비밀번호

---

공개키 암호 알고리즘

KCDSA : KCDSA 암호 알고리즘은 공개키 방식이며 KISA에서 개발한 인증서 기반 부가형 전자서명 알고리즘이다. 소인수 분해의 어려움에 기반을 둔 RSA 알고리즘과 다르게 ElGamal 서명 방식의 변형으로 이산대수 문제의 어려움에 기반을 두고 있다.

EC-KCDSA : EC-KCDSA 암호 알 고리즘은 전자서명 알고리즘 KCDSA를 타원곡선을 이용한 알고리즘이며, RSA와 ElGamal암호화 같은 기존 공개 키 암호 방식에 비하여 더 짧은 키로도 유사한 안전성을 얻을수 있는 장점이 있다. 하지만 상대적으로 배경 이론이 복잡하고 실제로 구현하기 위해서는 해당 분야의 전문 지식이 어느정도 필요하기 때문에 널리 사용되기 위해서는 시간이 어느 정도 걸릴 것이라고 보고 있다.

 

개인정보 보호법 내부관리계획

1. 개인정보보 보호책임자의 지정에 관한사항

2. 개인정보 보호 책임자 및 개인정보취급자의 역할 및 책임에 관한 사항

3. 개인정보 취급자에 대한 교육에 관한 사항

4. 접근권한의관리에 관한 사항

5. 접근 통제에 관한 사항

6. 개인정보의 암호화 조치에 관한 사항

7. 접속기록에 보관 및 점검에 관한 사항

8. 악성프로그램 등 방지에 관한 사항

9. 물리적 안전조치에 관한 사항

10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항

11. 개인정보 유출사고 대응 계획 수립 ․ 시행에 관한 사항

12. 위험도 분석 및 대응방안 마련에 관한 사항

13. 재해 ․ 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항

14. 개인정보 처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

15. 그 밖에 개인정보보호를 위하여 필요한 사항

 

정보보호관리체계 구축 인증기준의 1.4.1 법적요구사항준수검토의 관련법규

• 개인정보 보호법 제29조(안전조치의무)
• 개인정보의 안전성 확보조치 기분 제4조(내부관리계획의 수립-시행)
• 개인정보의 기술적-관리적 보호조치 기준 제3조(내부관리계획의 수립-시행)

법적 요구사항의 준수여부의 정기적인 검토는 연 1회 이상 해야한다.

---

정보보호 관리체계 구축 인증기준의 2. 보호대책요구사항에서 2.2.3 보안서약 항목의 결함사례

제출된 정보보호 및 개인정보보호 서약서를 모아 놓은 문서철이 비인가자가 접근 가능한 상태로 사무실 책상에 방치되어 있는 등 관리가 미흡한 경우

 

개인정보 처리업무 위탁시 문서에 포함되어야 할 사항

• 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
• 개인정보의 기술적, 관리적 보호조치에 관한 사항
• 위탁업무의 목적 및 범위
• 재 위탁 제한에 관한 사항
• 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
• 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
• 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

---

개인정보 : 개인을 알아볼 수 있는 정보

- 제3자에 의해 생성된 주관적인 정보, 부정확한 정보 또는 허위의 정보라도 가능

 

가명정보 : 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보

 

개인정보보호의 원칙 OECD 가이드라인

• 수집 제한의 원칙 : 목적에 필요한 최소한 범위 안에서 적법하고 정당하게 수집
• 정보 정확성의 원칙 : 처리목적 범위 안에서 정확성, 완전성, 최신성 보장
• 목적 명확화 원칙 : 처리목적의 명확화
• 이용 제한의 원칙 : 필요 목적 범위 안에서 적법하게 처리, 목적 외 활용 금지
• 안전 보호의 원칙 : 정보주체의 권리 침해 위험성 등을 고려, 안전성 확보
• 공개의 원칙 : 개인정보 처리사항 공개
• 개인 참여의 원칙 : 열람청구권 등 정보주체의 권리보장
• 책임의 원칙 : 개인정보처리자의 책임준수-실현, 신뢰성 확보 노력