ISMS-P 인증 기준 2.10.5.정보전송 보안: Difference between revisions

From IT Wiki
No edit summary
 
(2 intermediate revisions by one other user not shown)
Line 8: Line 8:
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center"|'''인증기준'''
|조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 조직 간 합의를 통해 관리 책임, 전송방법, 개인정보 및 중요정보 보호를 위한 기술적 보호조치 등을 협약하고 이행하여야 한다.
|다른 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 조직 간 합의를 통하여 관리 책임, 전송방법, 개인정보 및 중요정보 보호를 위한 기술적 보호조치 등을 협약하고 이행하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 외부 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 있는가?
* 외부 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 있는가?
* 업무상 조직 간에 개인정보 및 중요정보를 상호교환하는 경우 안전한 전송을 위한 협약체결 등 보호대책을 수립‧이행하고 있는가?
* 업무상 조직 개인정보 및 중요정보를 상호교환하는 경우 안전한 전송을 위한 협약체결 등 보호대책을 수립·이행하고 있는가?
|}
|}
== 세부 설명 ==
== 세부 설명 ==


* 외부 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하여야 한다.
=== 안전한 전송 정책 수립 ===
** 정보전송 기술 표준 : 암호화 방식, 키 교환 및 관리, 전문 규칙, 연계 및 통신 방식 등
외부 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하여야 한다.
** 정보전송 검토 절차 : 보고 및 승인, 관련 조직 간 역할 및 책임, 보안성 검토 등
* 정보전송 기술 표준 : 암호화 방식, 키 교환 및 관리, 전문 규칙, 연계 및 통신 방식 등
** 정보전송 협약 기준 : 표준 보안약정서 또는 계약서 양식
* 정보전송 검토 절차 : 보고 및 승인, 관련 조직 간 역할 및 책임, 보안성 검토 등
** 기타 보호조치 적용 기준 : 법적 요구사항을 반영한 보호조치 기준 등
* 정보전송 협약 기준 : 표준 보안약정서 또는 계약서 양식
* 업무상 조직 간 중요정보 및 개인정보를 상호교환하는 경우 안전한 전송을 위한 협약체결 등 보호대책을 수립·이행하여야 한다.
* 기타 보호조치 적용 기준 : 법적 요구사항을 반영한 보호조치 기준 등
** 조직 또는 계열사 간 다음과 같은 업무수행을 위하여 중요정보를 전자적으로 상호교환하는 경우 안전한 전송을 위한 협약(보안약정서, 계약서, 부속합의서, SLA 등)을 체결하고 이에 따라 이행하여야 함.
 
*** 관련 업무 정의 : DM 발송을 위한 개인정보 DM업체 전달, 채권추심업체에 추심정보 전달, 개인정보 제3자 제공, 신용카드결제 정보 VAN(Value Added Network)社 전달 등
=== 안전한 전송을 위한 협약체결 ===
*** 정보전송 범위 정의 : 법규 준수 또는 정보유출 위험을 예방하기 위하여 업무상 필요한 최소한의 정보만을 송수신
업무상 조직 간 중요정보 및 개인정보를 상호교환하는 경우 안전한 전송을 위한 협약체결 등 보호대책을 수립·이행하여야 한다.
*** 담당자 및 책임자 지정
* 조직 또는 계열사 간 다음과 같은 업무수행을 위하여 중요정보를 전자적으로 상호교환하는 경우 안전한 전송을 위한 협약(보안약정서, 계약서, 부속합의서, SLA 등)을 체결하고 이에 따라 이행하여야 함.
*** 정보 전송 기술 표준 정의
** 관련 업무 정의 : DM 발송을 위한 개인정보 DM업체 전달, 채권추심업체에 추심정보 전달, 개인정보 제3자 제공, 신용카드결제 정보 VAN(Value Added Network)社 전달 등
*** 정보 전송, 저장, 파기 시 관리적·기술적·물리적 보호대책 등
** 정보전송 범위 정의 : 법규 준수 또는 정보유출 위험을 예방하기 위하여 업무상 필요한 최소한의 정보만을 송수신
<div style='padding: 5px 10px; border: 1px solid #ddd; background: #f5f5f5; margin: 5px; margin-left: 70px'>
** 담당자 및 책임자 지정
** 정보 전송 기술 표준 정의
** 정보 전송, 저장, 파기 시 관리적·기술적·물리적 보호대책 등
 
<div style='padding: 0 10px; border: none; background: transparent; margin: 0; margin-left: 10px'>
※ DM(Direct Mail): 우편물을 통한 홍보활동을 의미하며, 편지·엽서·안내장·리플렛·카탈로그·청구서 등의 인쇄물을 우편물 등의 형태로 직접 또는 우편 수단을 이용하여 전달하는 커뮤니케이션 수단
※ DM(Direct Mail): 우편물을 통한 홍보활동을 의미하며, 편지·엽서·안내장·리플렛·카탈로그·청구서 등의 인쇄물을 우편물 등의 형태로 직접 또는 우편 수단을 이용하여 전달하는 커뮤니케이션 수단
</div>
</div>
Line 37: Line 41:
* 정보전송 기술표준
* 정보전송 기술표준
* 정보전송 관련 구성도, 인터페이스 정의서
* 정보전송 관련 구성도, 인터페이스 정의서
== 결함 사례 ==
== 결함 사례 ==
* 대외 기관과 연계 시 전용망 또는 VPN을 적용하고 중계서버와 인증서 적용 등을 통하여 안전하게 정보를 전송하고 있으나, 외부 기관별 연계 시기, 방식, 담당자 및 책임자, 연계 정보, 법적 근거 등에 대한 현황관리가 적절히 이루어지지 않고 있는 경우
* 대외 기관과 연계 시 전용망 또는 VPN을 적용하고 중계서버와 인증서 적용 등을 통하여 안전하게 정보를 전송하고 있으나, 외부 기관별 연계 시기, 방식, 담당자 및 책임자, 연계 정보, 법적 근거 등에 대한 현황관리가 적절히 이루어지지 않고 있는 경우
Line 45: Line 50:
* [[ISMS-P 인증 기준 세부 점검 항목]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)

Latest revision as of 21:06, 28 January 2024

개요[edit | edit source]

항목 2.10.5.정보전송 보안
인증기준 다른 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 조직 간 합의를 통하여 관리 책임, 전송방법, 개인정보 및 중요정보 보호를 위한 기술적 보호조치 등을 협약하고 이행하여야 한다.
주요 확인사항
  • 외부 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 있는가?
  • 업무상 조직 간 개인정보 및 중요정보를 상호교환하는 경우 안전한 전송을 위한 협약체결 등 보호대책을 수립·이행하고 있는가?

세부 설명[edit | edit source]

안전한 전송 정책 수립[edit | edit source]

외부 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하여야 한다.

  • 정보전송 기술 표준 : 암호화 방식, 키 교환 및 관리, 전문 규칙, 연계 및 통신 방식 등
  • 정보전송 검토 절차 : 보고 및 승인, 관련 조직 간 역할 및 책임, 보안성 검토 등
  • 정보전송 협약 기준 : 표준 보안약정서 또는 계약서 양식
  • 기타 보호조치 적용 기준 : 법적 요구사항을 반영한 보호조치 기준 등

안전한 전송을 위한 협약체결[edit | edit source]

업무상 조직 간 중요정보 및 개인정보를 상호교환하는 경우 안전한 전송을 위한 협약체결 등 보호대책을 수립·이행하여야 한다.

  • 조직 또는 계열사 간 다음과 같은 업무수행을 위하여 중요정보를 전자적으로 상호교환하는 경우 안전한 전송을 위한 협약(보안약정서, 계약서, 부속합의서, SLA 등)을 체결하고 이에 따라 이행하여야 함.
    • 관련 업무 정의 : DM 발송을 위한 개인정보 DM업체 전달, 채권추심업체에 추심정보 전달, 개인정보 제3자 제공, 신용카드결제 정보 VAN(Value Added Network)社 전달 등
    • 정보전송 범위 정의 : 법규 준수 또는 정보유출 위험을 예방하기 위하여 업무상 필요한 최소한의 정보만을 송수신
    • 담당자 및 책임자 지정
    • 정보 전송 기술 표준 정의
    • 정보 전송, 저장, 파기 시 관리적·기술적·물리적 보호대책 등

※ DM(Direct Mail): 우편물을 통한 홍보활동을 의미하며, 편지·엽서·안내장·리플렛·카탈로그·청구서 등의 인쇄물을 우편물 등의 형태로 직접 또는 우편 수단을 이용하여 전달하는 커뮤니케이션 수단

증거 자료[edit | edit source]

  • 정보전송 협약서 또는 계약서
  • 정보전송 기술표준
  • 정보전송 관련 구성도, 인터페이스 정의서

결함 사례[edit | edit source]

  • 대외 기관과 연계 시 전용망 또는 VPN을 적용하고 중계서버와 인증서 적용 등을 통하여 안전하게 정보를 전송하고 있으나, 외부 기관별 연계 시기, 방식, 담당자 및 책임자, 연계 정보, 법적 근거 등에 대한 현황관리가 적절히 이루어지지 않고 있는 경우
  • 중계과정에서의 암호 해제 구간 또는 취약한 암호화 알고리즘(DES, 3DES) 사용 등에 대한 보안성 검토, 보안표준 및 조치방안 수립 등에 대한 협의가 이행되고 있지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)