ISMS-P 인증 기준 2.7.1.암호정책 적용 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
15번째 줄: | 15번째 줄: | ||
| | | | ||
*개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가? | *개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가? | ||
*암호정책에 따라 개인정보 및 | *암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가? | ||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
====암호 정책 수립==== | ==== 암호 정책 수립 ==== | ||
개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하여야 한다. | 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하여야 한다. | ||
*'''암호화 대상''': 법적 요구사항, 처리 정보 민감도 및 중요도에 따라 정의 | *'''암호화 대상''': 법적 요구사항, 처리 정보 민감도 및 중요도에 따라 정의 | ||
{| class="wikitable" | {| class="wikitable" | ||
! rowspan="2" |구분 | |||
! | |||
! colspan="2" |개인정보 보호법에 따른 암호화 대상 개인정보 | ! colspan="2" |개인정보 보호법에 따른 암호화 대상 개인정보 | ||
|- | |- | ||
! | !개인정보처리자 | ||
! | !정보통신서비스 제공자 | ||
|- | |- | ||
|정보통신망을 통한 전송 시 | |||
| | |고유식별정보, 비밀번호, 생체인식정보 | ||
| | |개인정보, 인증정보 | ||
|- | |- | ||
| | |보조저장매체로 저장·전달 시 | ||
| | |고유식별정보, 비밀번호, 생체인식정보 | ||
|개인정보 | |||
|- | |- | ||
| rowspan="4" | | | rowspan="4" |개인정보 처리시스템 저장 시 | ||
|비밀번호, 생체인식정보 (다만 비밀번호는 일방향 암호화) | |||
| | |비밀번호, 생체인식정보 (다만 비밀번호는 일방향 암호화) | ||
|- | |- | ||
| | | - | ||
|신용카드번호, 계좌번호 | |||
|- | |- | ||
| | |주민등록번호 | ||
|주민등록번호 | |||
|- | |- | ||
|내부망 | |여권번호, 외국인등록번호, 운전면허번호<br>인터넷구간, DMZ 저장 시 암호화 저장<br>내부망 저장 시 암호화 저장 또는 위험도 분석 (또는 영향평가) | ||
|여권번호, 외국인등록번호, 운전면허번호 | |||
|- | |- | ||
| | |업무용 컴퓨터/ 모바일 기기 저장 시 | ||
|고유식별정보, 생체인식정보 | |고유식별정보, 비밀번호, 생체인식정보 | ||
|개인정보 | |개인정보 | ||
|} | |} | ||
*'''암호화 알고리즘''': 법적 요구사항 등을 고려하여 안전한 암호화 알고리즘 및 보안강도 선택 | |||
* '''암호화 알고리즘''': 법적 요구사항 등을 고려하여 안전한 암호화 알고리즘 및 보안강도 선택 | |||
{| class="wikitable" | {| class="wikitable" | ||
!구분 | !구분 | ||
75번째 줄: | 67번째 줄: | ||
|- | |- | ||
|공개키 암호 알고리즘 | |공개키 암호 알고리즘 | ||
|RSAES-OAEP 등 | |RSAES-OAEP, RSAES-PKCS1 등 | ||
|- | |- | ||
|일방향 암호 알고리즘 | |일방향 암호 알고리즘 | ||
81번째 줄: | 73번째 줄: | ||
|} | |} | ||
====정책에 따른 암호화 수행==== | ==== 정책에 따른 암호화 수행 ==== | ||
암호정책에 따라 개인정보 및 중요정보의 저장, 전송, 전달 시 암호화를 수행하여야 한다. | 암호정책에 따라 개인정보 및 중요정보의 저장, 전송, 전달 시 암호화를 수행하여야 한다. | ||
*암호화 위치, 시스템 특성 등을 고려하여 암호화 방식 선정 및 | *암호화 위치, 시스템 특성 등을 고려하여 암호화 방식 선정 및 적용구분 암호화 방식정보통신망을 통한 전송 시 | ||
**1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화 송수신 | |||
**2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송수신 | |||
**3. 그 밖에 암호화 기술 활용: VPN, PGP 등보조저장매체로 전달 시 | |||
***1. 암호화 기능을 제공하는 보안 저장매체 이용(보안USB 등) | |||
***2. 해당 정보를 암호화한 후 보조저장매체에 저장 등개인정보처리시스템 저장 시 | |||
****1. 응용프로그램 자체 암호화(API 방식) | |||
****2. 데이터베이스 서버 암호화(Plug-in 방식) | |||
*1. 웹서버에 | ****3. DBMS 자체 암호화(TDE 방식) | ||
*2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송수신 | ****4. DBMS 암호화 기능 호출 | ||
*3. 그 밖에 암호화 기술 활용 : | ****5. 운영체제 암호화(파일암호화 등) | ||
****6. 그 밖의 암호화 기술 활용업무용 컴퓨터 및 모바일 기기 저장 시 | |||
*****1. 문서도구 자체 암호화(오피스 등에서 제공하는 암호 설정 기능 활용) | |||
*****2. 암호 유틸리티를 이용한 암호화 | |||
*1. 응용프로그램 자체 암호화(API 방식) | **3. DRM(Digital Right Management) 적용 등 | ||
*2. 데이터베이스 서버 암호화(Plug-in 방식) | |||
*3. DBMS 자체 암호화( | |||
*4. DBMS 암호화 기능 호출 | |||
*5. 운영체제 암호화(파일암호화 등) | |||
* 6. 그 밖의 암호화 기술 | |||
*1. 문서도구 자체 암호화(오피스 등에서 제공하는 암호 설정 기능 활용) | |||
*2. 암호 유틸리티를 이용한 암호화 | |||
*3. DRM(Digital Right Management) 적용 등 | |||
==증거 자료== | ==증거 자료== | ||
126번째 줄: | 101번째 줄: | ||
==결함 사례== | ==결함 사례== | ||
*내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 | *내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우 | ||
*암호정책을 수립하면서 해당 기업이 | *암호정책을 수립하면서 해당 기업이 적용받는 법규를 잘못 적용하여(정보통신서비스 제공자에게 「개인정보의 안전성 확보조치 기준」 요건 적용) 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우 | ||
*개인정보취급자 및 | *개인정보취급자 및 정보주체(이용자)의 비밀번호에 대하여 일방향 암호화를 적용하였으나, 안전하지 않은 MD5 알고리즘을 사용한 경우 | ||
* | *정보통신서비스 제공자가 관련 법규 및 내부 규정에 따라 인터넷 웹사이트에 대하여 보안 서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우 | ||
==같이 보기== | ==같이 보기== | ||
140번째 줄: | 114번째 줄: | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |