1. ISO 국제표준화기구 ISMS 라이프 사이클
ISO 국제표준화기구 ISMS 라이프 사이클은 다음과 같이 구분됩니다:
Plan (계획)
Do (실행)
Check (점검)
Act (개선)
2. ISMS 정의
ISMS는 정보보호 목적으로 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 과정을 체계적으로 수립하고 문서화하여 운영 및 관리하는 시스템입니다.
3. 개인정보보호 관리체계 인증 - ISMS-P
개인정보보호 관리체계 인증인 ISMS-P는 개인정보 보호를 위한 관리체계를 인증합니다.
4. 개인정보보호 및 정보보호 관리체계 인증
인증 신청인의 정보보호 및 개인정보보호를 위한 일련의 조치 활동이 인증 기준에 적합한지를 한국인터넷진흥원 또는 인증기관이 증명하는 것입니다.
5. 인증기관
인증기관은 인증에 관한 업무를 수행할 수 있도록 과학기술정보통신부 장관과 개인정보 보호 위원회가 지정하는 기관을 말합니다.
6. 심사기관
심사기관은 인증 심사에 관한 업무를 수행할 수 있도록 과학기술정보통신부 장관과 개인정보보호 위원회가 지정하는 기관을 말합니다.
7. 최초심사
최초심사는 처음으로 인증을 신청하거나 재신청 시 실시하는 심사입니다.
8. 사후심사
사후심사는 인증받고 난 후 매년 사후관리를 위하여 실시하는 인증심사입니다.
9. 갱신심사
갱신심사는 유효기간 만료로 갱신을 위해 실시하는 인증을 말합니다.
10. ISMS-P 인증체계
ISMS-P 인증체계는 다음과 같습니다:
정책기관
인증기관
심사기관
11. 정책기관
정책기관은 과학기술정보통신부와 개인정보보호위원회가 인증기관 및 심사기관을 지정합니다.
12. 인증기관
인증기관은 과학기술정보통신부와 개인정보보호위원회에서 정보보호 및 개인정보보호 관리체계 인증 운영에 관한 정책 사항을 협의하고 인증서를 발급합니다. 인증기관은 인증위원회로 구성되며 대표적으로 KISA, 금융보안원 등이 있습니다.
13. 심사기관
심사기관은 인증 심사 업무를 수행하는 기관으로, 과학기술정보통신부장관과 개인정보보호위원회가 지정합니다.
14. 심사 순서
심사 순서는 다음과 같습니다:
최초심사 -> 1년 -> 사후심사 -> 1년 -> 사후심사 -> 1년 -> 갱신심사
15. ISMS-P 정의
ISMS-P는 정보보호 및 개인정보보호 관리체계입니다.
16. 위험 평가
위험 평가는 조직의 대내외 환경 분석을 통해 유형별 위협정보를 수집하고, 조직에 적합한 위험 평가 방법을 선정 및 연 1회 이상 위험을 평가하며 경영진의 승인을 받아 관리해야 합니다.
17. ISMS-P 물리 보안
ISMS-P 물리 보안에는 다음이 포함됩니다:
출입통제
정보시스템 보호
보호설비 운영
반출입 기기 통제
업무환경 보안
보호구역 지정
보호구역 내 작업
18. IaaS (Infrastructure as a Service)
IaaS는 이용자에게 하드웨어 인프라를 제공하는 서비스입니다.
19. PaaS (Platform as a Service)
PaaS는 개발 환경 및 프레임워크, OS 운영체제를 제공하는 서비스입니다.
20. SaaS (Software as a Service)
SaaS는 어플리케이션, 소프트웨어를 제공하는 서비스입니다.
21. 정보보호 거버넌스 (Information Security Governance)
정보보호 거버넌스는 조직의 무결성, 서비스 연속성, 정보자산 보호를 위한 전략적 방향을 제시합니다. 정보자산의 위험을 관리함으로써 기업 거버넌스와 연계하여 모든 이해관계자를 고려한 활동, 조직, 역할, 책임, 절차 등을 포함합니다.
22. 정보보호 거버넌스 3대 목표
정보보호 거버넌스의 3대 목표는 다음과 같습니다:
Accountability (책임성): 정보보호는 다양한 이해관계자들을 만족시켜야 하며 책임이 명시되어야 합니다.
Business Alignment (사업 연계성): 정보보호는 목표와 연계되어야 하며 이를 기반으로 정보보호 투자를 정당화해야 합니다.
Compliance (준거성): 내외부 규정을 준수해야 합니다.
23. ISMS 정보보호관리체계
ISMS 정보보호관리체계는 조직의 정보자산의 무결성, 기밀성, 가용성을 실현하기 위한 절차와 과정을 체계적으로 수립, 문서화하고 지속적으로 관리하는 통합된 체계입니다.
24. 정보보호 최고책임자
정보보호 최고책임자는 정보통신서비스 안전한 관리를 위해 대통령령으로 정하는 기준에 해당하는 임직원을 전문가로 지정하고 신고해야 합니다.
25. 정보보호 최고책임자 직무
정보보호 최고책임자의 직무는 다음과 같습니다:
정보보호 계획 수립
시행
개선
정기적 감사
모의 훈련 및 교육
위험의 식별 평가 및 보호대책 마련
26. 주민등록번호 사용의 제한
제23조 3에 따라 본인확인기관으로 지정받은 경우에만 주민등록번호를 사용할 수 있습니다.
27. 대체 수단 제공
제1항 제3호에 따라 주민등록번호를 수집할 수 있는 경우, 이용자의 주민등록번호를 사용하지 않고 본인확인 방법(대체 수단)을 제공해야 합니다.
28. 개인정보처리 위탁
개인정보처리를 위탁하는 자를 위탁자, 위탁받는 자를 수탁자라 하며, 위탁하는 업무의 내용을 정보 주체자에게 공개해야 합니다.
29. 내부관리계획
내부관리계획은 조직의 개인정보를 누가, 어떻게 관리하고 책임지는지에 대한 구체적인 계획입니다.
30. 관리적 기술적 보호조치 기준
정보통신서비스 제공자는 개인정보처리시스템에 접근 권한 부여, 변경, 말소에 대한 내역을 기록하고 최소 5년간 보관해야 합니다.
31. 개인정보취급자 접속 기록 감사
개인정보취급자는 개인정보처리시스템에 접속한 기록을 월 1회 이상 감사하고, 접속 기록은 1년 이상 보관 관리해야 합니다.
32. 안정성 확보조치 기준
개인정보처리자는 개인정보취급자가 개인정보처리시스템 접근 권한 부여, 변경, 말소에 대한 내역을 기록하고, 그 기록을 최소 3년 간 보관해야 합니다.
33. 접속기록 정의
접속기록은 이용자 또는 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무 내역을 계정(식별자), 접속일시, 접속지, 처리한 정보 주체, 수행업무 등을 전자적으로 기록한 것입니다.
34. 영상정보처리기 안내 사항
영상정보처리기 안내 사항에는 다음이 포함됩니다:
설치 목적 및 장소
촬영 범위 및 시간
관리 책임자 성명 및 연락처
그 밖에 대통령령으로 정한 사항
35. 개인정보 제공 시 알림 사항
제3자에게 개인정보를 제공하는 경우 다음 사항을 알려야 합니다:
개인정보를 제공받는 자
제공받는 자의 개인정보 이용 목적
제공하는 개인정보 항목
개인정보 보유 및 이용기간
동의를 거부할 권리
거부에 따른 불이익이 있다면 그 내용
36. 개인정보 유출 시 신고
개인정보처리자는 개인정보가 유출된 사실을 알게 되었을 때 지체 없이 정보주체에게 해당 사실을 알려야 하며
, 1천명 이상의 정보가 유출된 경우 지체 없이 개인정보보호위원회 또는 전문기관에 신고해야 합니다.
37. 유출 시 알려야 할 사실 목록
유출 시 알려야 할 사실 목록은 다음과 같습니다:
유출된 개인정보 항목
유출된 시점 및 경위
피해를 최소화하기 위한 정보주체의 행동 방법
개인정보처리자의 대응조치 및 구제절차
신고 접수 담당부서 및 연락처
38. 내부관리계획 수립
개인정보처리는 개인정보의 분실, 도난, 유출, 위변조로부터 지키기 위해 내부관리계획을 수립하고 운영해야 합니다.
39. 개인정보처리자
개인정보처리자는 업무를 목적으로 개인정보파일을 운용하기 위해 스스로 또는 다른 사람을 통해 개인정보를 처리하는 공공기관, 법인, 단체 및 개인 등을 말합니다.
40. 개인정보취급자
개인정보취급자는 개인정보처리자의 지휘 감독을 받아 개인정보를 처리하는 업무를 하는 자로, 임직원, 파견근로자, 시간제 근무자를 말합니다.
41. 개인정보처리시스템
개인정보처리시스템은 개인정보 처리를 위한 DBMS를 말합니다.
42. 개인정보 보호책임자
개인정보 보호책임자는 개인정보 처리자의 업무를 총괄하여 책임지는 자입니다.
43. 정보주체
정보주체는 처리되는 정보에 의해 알아볼 수 있는 특정한 개인으로, 그 정보의 주체가 되는 사람을 말합니다.
44. 개인정보파일
개인정보파일은 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열한 개인정보 집합물을 말합니다.
45. 위험 분석
위험 분석은 개인정보 유출에 영향을 미칠 수 있는 다양한 위험 요소를 식별, 평가, 분석하는 행위입니다.
46. 생체정보
생체정보는 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적, 생리적, 행동적 특징으로 특정 개인을 알아보기 위해 사용되는 정보를 말합니다.
47. 내부망
내부망은 물리적, 논리적 망분리 시 접근이 통제되는 내부 구간을 말합니다.
48. 비밀번호
비밀번호는 정보주체 또는 개인정보취급자 등이 개인정보처리시스템 업무용 컴퓨터 또는 정보통신망에 접근하기 위해 식별자와 함께 입력하여 정당한 접속 권한을 가진 자라는 것을 시스템에게 전달하는 공개되지 않은 정보입니다.
49. 접근 권한 차등 부여
개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 최소 범위로 차등 부여해야 합니다.
50. 인사이동 시 접근 권한
인사이동이 발생하였을 경우 개인정보처리시스템에 대한 접근 권한을 변경, 말소해야 합니다.
51. 권한 부여 내역 기록
개인정보처리시스템의 권한 부여, 변경, 말소에 대한 내역을 기록하고 그 기록을 최소 3년 이상 보관해야 합니다.
52. 비밀번호 작성규칙
개인정보처리자는 개인정보취급자가 안전한 비밀번호를 설정하여 이를 이행할 수 있도록 비밀번호 작성규칙을 규정 수립해야 합니다.
53. 접속정보 계정 공유 금지
개인정보취급자는 자신의 접속 정보 계정을 다른 취급자들과 공유하지 않아야 합니다.
54. 비밀번호 오류 시 제한
비밀번호를 일정 횟수 이상 잘못 입력한 경우 접근을 제한하는 기술적 조치를 취해야 합니다.
55. IP 주소 접근 제한
개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 접근을 제한해야 합니다.
56. 안전한 접속 수단
개인정보처리시스템에 접속하려는 경우 VPN 또는 전용선 등 안전한 접속 수단을 적용해야 합니다.
57. 고유식별정보 취약점 점검
고유식별정보를 처리하는 개인정보처리자는 유출, 변조, 훼손되지 않도록 연 1회 이상 취약점을 점검해야 합니다.
58. MDM (Mobile Device Management)
MDM은 무선망을 이용해 원격으로 모바일 기기를 제어하는 기술로, 분실된 기기의 위치 추적, 원격 정보 삭제, 특정 사이트 접속 제한 등 다양한 기능을 제공합니다.
59. 화면 잠금 설정
지문, 홍채 등을 사용하여 화면 잠금 설정을 해야 합니다.
60. USIM 카드 잠금 설정
USIM 카드에 저장된 개인정보 보호를 위한 USIM 잠금 설정을 해야 합니다.
61. 킬 스위치 기능
모바일 기기의 도난 또는 분실 시 데이터 삭제를 위해 킬 스위치 기능을 제공합니다.
62. MDM 솔루션 관리
개인정보를 처리하는 모바일 기기는 MDM 솔루션으로 관리해야 합니다.
63. 저장매체 암호화
개인정보처리자는 고유식별정보, 비밀번호, 생체인식정보를 이용하여 저장매체 등을 암호화해야 하며, 이 때 일방향 암호화를 이용해야 합니다.
64. DMZ
인터넷 구간과 내부망의 중간 지점인 DMZ는 보안의 중간 구역입니다.
65. 접속기록 보관
개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접근한 접속 기록을 1년 이상 보관해야 합니다. 5만명 이상의 정보주체를 관리하거나 고유식별정보, 민감정보를 처리하는 경우 2년 이상 보관해야 하며, 월 1회 이상 점검하여 개인정보 다운로드 사실이 발견된 경우 내부관리계획에 따라 처리해야 합니다.
66. 접속정보 점검
접속정보는 개인정보취급자의 계정, 처리한 정보주체 정보, 접속지, 수행업무 등을 전자적으로 기록한 것으로, 월 1회 이상 점검해야 하며, 다운로드한 사실이 발견되었을 경우 내부관리계획에 따라 처리해야 합니다.
