ISMS-P 인증 기준 2.7.1.암호정책 적용: Difference between revisions

From IT Wiki
(Imported from text file)
No edit summary
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.7.암호화 적용|2.7.암호화 적용]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.7.암호화 적용|2.7.암호화 적용]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.7.1.암호정책 적용
!2.7.1.암호정책 적용
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다.
|개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가?
*개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가?
* 암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가?
*암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가?
|}
==세부 설명==
 
==== 암호 정책 수립 ====
개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하여야 한다.
 
*'''암호화 대상''': 법적 요구사항, 처리 정보 민감도 및 중요도에 따라 정의
 
{| class="wikitable"
! rowspan="2" |구분
! colspan="2" |개인정보 보호법에 따른 암호화 대상 개인정보
|-
!개인정보처리자
!정보통신서비스 제공자
|-
|정보통신망을 통한 전송 시
|고유식별정보, 비밀번호, 생체인식정보
|개인정보, 인증정보
|-
|보조저장매체로 저장·전달 시
|고유식별정보, 비밀번호, 생체인식정보
|개인정보
|-
| rowspan="4" |개인정보 처리시스템 저장 시
|비밀번호, 생체인식정보 (다만 비밀번호는 일방향 암호화)
|비밀번호, 생체인식정보 (다만 비밀번호는 일방향 암호화)
|-
| -
|신용카드번호, 계좌번호
|-
|주민등록번호
|주민등록번호
|-
|여권번호, 외국인등록번호, 운전면허번호<br>인터넷구간, DMZ 저장 시 암호화 저장<br>내부망 저장 시 암호화 저장 또는 위험도 분석 (또는 영향평가)
|여권번호, 외국인등록번호, 운전면허번호
|-
|업무용 컴퓨터/ 모바일 기기 저장 시
|고유식별정보, 비밀번호, 생체인식정보
|개인정보
|}
|}
== 세부 설명 ==


* 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하여야 한다.
* '''암호화 알고리즘''': 법적 요구사항 등을 고려하여 안전한 암호화 알고리즘 및 보안강도 선택
** 암호화 대상 : 법적 요구사항, 처리 정보 민감도 및 중요도에 따라 정의<table><thead><tr><th rowspan="2">구분</th><th colspan="2">개인정보 보호법에 따른 암호화 대상 개인정보</th></tr><tr><th>개인정보처리자</th><th>정보통신서비스 제공자</th></tr></thead><tbody><tr><td>정보통신망을 통한 전송 시</td><td>고유식별정보, 비밀번호, 생체인식정보</td><td>개인정보, 인증정보</td></tr><tr><td>보조저장매체로 저장·전달 시</td><td>고유식별정보, 비밀번호, 생체인식정보</td><td>개인정보</td></tr><tr><td rowspan="4">개인정보 처리시스템 저장 시</td><td>비밀번호, 생체인식정보 (다만 비밀번호는 일방향 암호화)</td><td>비밀번호, 생체인식정보 (다만 비밀번호는 일방향 암호화)</td></tr><tr><td>-</td><td>신용카드번호, 계좌번호</td></tr><tr><td>주민등록번호</td><td>주민등록번호</td></tr><tr><td>여권번호, 외국인등록번호, 운전면허번호<br>인터넷구간, DMZ 저장 시 암호화 저장<br>내부망 저장 시 암호화 저장 또는 위험도 분석 (또는 영향평가)</td><td>여권번호, 외국인등록번호, 운전면허번호</td></tr><tr><td>업무용 컴퓨터/ 모바일 기기 저장 시</td><td>고유식별정보, 비밀번호, 생체인식정보</td><td>개인정보</td></tr></tbody></table>
 
** 암호화 알고리즘 : 법적 요구사항 등을 고려하여 안전한 암호화 알고리즘 및 보안강도 선택<table><thead><tr><th>구분</th><th>알고리즘 명칭</th></tr></thead><tbody><tr><td>대칭키 암호 알고리즘</td><td>SEED, ARIA-128/192/256, AES-128/192/256, HIGHT, LEA 등</td></tr><tr><td>공개키 암호 알고리즘</td><td>RSAES-OAEP, RSAES-PKCS1 등</td></tr><tr><td>일방향 암호 알고리즘</td><td>SHA-256/384/512 등</td></tr></tbody></table>
{| class="wikitable"
* 암호정책에 따라 개인정보 및 중요정보의 저장, 전송, 전달 시 암호화를 수행하여야 한다.
!구분
** 암호화 위치, 시스템 특성 등을 고려하여 암호화 방식 선정 및 적용구분 암호화 방식정보통신망을 통한 전송 시
!알고리즘 명칭
* 1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화 송수신
|-
* 2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송수신
|대칭키 암호 알고리즘
* 3. 그 밖에 암호화 기술 활용 : VPN, PGP 등보조저장매체로 전달 시
|SEED, ARIA-128/192/256, AES-128/192/256, HIGHT, LEA 등
* 1. 암호화 기능을 제공하는 보안 저장매체 이용(보안USB 등)
|-
* 2. 해당 정보를 암호화한 후 보조저장매체에 저장 등개인정보처리시스템 저장 시
|공개키 암호 알고리즘
* 1. 응용프로그램 자체 암호화(API 방식)
|RSAES-OAEP, RSAES-PKCS1 등
* 2. 데이터베이스 서버 암호화(Plug-in 방식)
|-
* 3. DBMS 자체 암호화(TDE 방식)
|일방향 암호 알고리즘
* 4. DBMS 암호화 기능 호출
|SHA-256/384/512 등
* 5. 운영체제 암호화(파일암호화 등)
|}
* 6. 그 밖의 암호화 기술 활용업무용 컴퓨터 및 모바일 기기 저장 시
 
* 1. 문서도구 자체 암호화(오피스 등에서 제공하는 암호 설정 기능 활용)
==== 정책에 따른 암호화 수행 ====
* 2. 암호 유틸리티를 이용한 암호화
암호정책에 따라 개인정보 및 중요정보의 저장, 전송, 전달 시 암호화를 수행하여야 한다.
* 3. DRM(Digital Right Management) 적용 등
 
== 증거 자료 ==
*암호화 위치, 시스템 특성 등을 고려하여 암호화 방식 선정 및 적용구분 암호화 방식정보통신망을 통한 전송 시
* 암호통제 정책(대상, 방식, 알고리즘 등)
**1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화 송수신
* 암호화 적용현황(저장 및 전송 시)
**2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송수신
* 위험도 분석 결과(내부망 고유식별정보 암호화 미적용 시)
**3. 그 밖에 암호화 기술 활용: VPN, PGP 등보조저장매체로 전달 시
* 암호화 솔루션 관리 화면
***1. 암호화 기능을 제공하는 보안 저장매체 이용(보안USB 등)
== 결함 사례 ==
***2. 해당 정보를 암호화한 후 보조저장매체에 저장 등개인정보처리시스템 저장 시
* 내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우
****1. 응용프로그램 자체 암호화(API 방식)
* 암호정책을 수립하면서 해당 기업이 적용받는 법규를 잘못 적용하여(정보통신서비스 제공자에게 「개인정보의 안전성 확보조치 기준」 요건 적용) 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우
****2. 데이터베이스 서버 암호화(Plug-in 방식)
* 개인정보취급자 및 정보주체(이용자)의 비밀번호에 대하여 일방향 암호화를 적용하였으나, 안전하지 않은 MD5 알고리즘을 사용한 경우
****3. DBMS 자체 암호화(TDE 방식)
* 정보통신서비스 제공자가 관련 법규 및 내부 규정에 따라 인터넷 웹사이트에 대하여 보안 서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우
****4. DBMS 암호화 기능 호출
== 같이 보기 ==
****5. 운영체제 암호화(파일암호화 등)
* [[정보보호 및 개인정보보호관리체계 인증]]
****6. 그 밖의 암호화 기술 활용업무용 컴퓨터 및 모바일 기기 저장 시
* [[ISMS-P 인증 기준]]
*****1. 문서도구 자체 암호화(오피스 등에서 제공하는 암호 설정 기능 활용)
* [[ISMS-P 인증 기준 세부 점검 항목]]
*****2. 암호 유틸리티를 이용한 암호화
== 참고 문헌 ==
**3. DRM(Digital Right Management) 적용 등
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
 
==증거 자료==
 
*암호통제 정책(대상, 방식, 알고리즘 등)
*암호화 적용현황(저장 및 전송 시)
*위험도 분석 결과(내부망 고유식별정보 암호화 미적용 시)
*암호화 솔루션 관리 화면
 
==결함 사례==
 
*내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우
*암호정책을 수립하면서 해당 기업이 적용받는 법규를 잘못 적용하여(정보통신서비스 제공자에게 「개인정보의 안전성 확보조치 기준」 요건 적용) 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우
*개인정보취급자 및 정보주체(이용자)의 비밀번호에 대하여 일방향 암호화를 적용하였으나, 안전하지 않은 MD5 알고리즘을 사용한 경우
*정보통신서비스 제공자가 관련 법규 및 내부 규정에 따라 인터넷 웹사이트에 대하여 보안 서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==
 
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Revision as of 12:48, 28 June 2022


개요

항목 2.7.1.암호정책 적용
인증기준 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다.
주요 확인사항
  • 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가?
  • 암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가?

세부 설명

암호 정책 수립

개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하여야 한다.

  • 암호화 대상: 법적 요구사항, 처리 정보 민감도 및 중요도에 따라 정의
구분 개인정보 보호법에 따른 암호화 대상 개인정보
개인정보처리자 정보통신서비스 제공자
정보통신망을 통한 전송 시 고유식별정보, 비밀번호, 생체인식정보 개인정보, 인증정보
보조저장매체로 저장·전달 시 고유식별정보, 비밀번호, 생체인식정보 개인정보
개인정보 처리시스템 저장 시 비밀번호, 생체인식정보 (다만 비밀번호는 일방향 암호화) 비밀번호, 생체인식정보 (다만 비밀번호는 일방향 암호화)
- 신용카드번호, 계좌번호
주민등록번호 주민등록번호
여권번호, 외국인등록번호, 운전면허번호
인터넷구간, DMZ 저장 시 암호화 저장
내부망 저장 시 암호화 저장 또는 위험도 분석 (또는 영향평가)
여권번호, 외국인등록번호, 운전면허번호
업무용 컴퓨터/ 모바일 기기 저장 시 고유식별정보, 비밀번호, 생체인식정보 개인정보
  • 암호화 알고리즘: 법적 요구사항 등을 고려하여 안전한 암호화 알고리즘 및 보안강도 선택
구분 알고리즘 명칭
대칭키 암호 알고리즘 SEED, ARIA-128/192/256, AES-128/192/256, HIGHT, LEA 등
공개키 암호 알고리즘 RSAES-OAEP, RSAES-PKCS1 등
일방향 암호 알고리즘 SHA-256/384/512 등

정책에 따른 암호화 수행

암호정책에 따라 개인정보 및 중요정보의 저장, 전송, 전달 시 암호화를 수행하여야 한다.

  • 암호화 위치, 시스템 특성 등을 고려하여 암호화 방식 선정 및 적용구분 암호화 방식정보통신망을 통한 전송 시
    • 1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화 송수신
    • 2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송수신
    • 3. 그 밖에 암호화 기술 활용: VPN, PGP 등보조저장매체로 전달 시
      • 1. 암호화 기능을 제공하는 보안 저장매체 이용(보안USB 등)
      • 2. 해당 정보를 암호화한 후 보조저장매체에 저장 등개인정보처리시스템 저장 시
        • 1. 응용프로그램 자체 암호화(API 방식)
        • 2. 데이터베이스 서버 암호화(Plug-in 방식)
        • 3. DBMS 자체 암호화(TDE 방식)
        • 4. DBMS 암호화 기능 호출
        • 5. 운영체제 암호화(파일암호화 등)
        • 6. 그 밖의 암호화 기술 활용업무용 컴퓨터 및 모바일 기기 저장 시
          • 1. 문서도구 자체 암호화(오피스 등에서 제공하는 암호 설정 기능 활용)
          • 2. 암호 유틸리티를 이용한 암호화
    • 3. DRM(Digital Right Management) 적용 등

증거 자료

  • 암호통제 정책(대상, 방식, 알고리즘 등)
  • 암호화 적용현황(저장 및 전송 시)
  • 위험도 분석 결과(내부망 고유식별정보 암호화 미적용 시)
  • 암호화 솔루션 관리 화면

결함 사례

  • 내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우
  • 암호정책을 수립하면서 해당 기업이 적용받는 법규를 잘못 적용하여(정보통신서비스 제공자에게 「개인정보의 안전성 확보조치 기준」 요건 적용) 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우
  • 개인정보취급자 및 정보주체(이용자)의 비밀번호에 대하여 일방향 암호화를 적용하였으나, 안전하지 않은 MD5 알고리즘을 사용한 경우
  • 정보통신서비스 제공자가 관련 법규 및 내부 규정에 따라 인터넷 웹사이트에 대하여 보안 서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)