ISMS-P 인증 기준 2.7.1.암호정책 적용

From IT Wiki
Revision as of 18:21, 7 May 2022 by Maintenance script (talk | contribs) (Imported from text file)
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)

개요

항목 2.7.1.암호정책 적용
인증기준 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다.
주요 확인사항
  • 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가?
  • 암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가?

세부 설명

  • 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하여야 한다.
    • 암호화 대상 : 법적 요구사항, 처리 정보 민감도 및 중요도에 따라 정의<thead></thead><tbody></tbody>
      구분개인정보 보호법에 따른 암호화 대상 개인정보
      개인정보처리자정보통신서비스 제공자
      정보통신망을 통한 전송 시고유식별정보, 비밀번호, 생체인식정보개인정보, 인증정보
      보조저장매체로 저장·전달 시고유식별정보, 비밀번호, 생체인식정보개인정보
      개인정보 처리시스템 저장 시비밀번호, 생체인식정보 (다만 비밀번호는 일방향 암호화)비밀번호, 생체인식정보 (다만 비밀번호는 일방향 암호화)
      -신용카드번호, 계좌번호
      주민등록번호주민등록번호
      여권번호, 외국인등록번호, 운전면허번호
      인터넷구간, DMZ 저장 시 암호화 저장
      내부망 저장 시 암호화 저장 또는 위험도 분석 (또는 영향평가)
      여권번호, 외국인등록번호, 운전면허번호
      업무용 컴퓨터/ 모바일 기기 저장 시고유식별정보, 비밀번호, 생체인식정보개인정보
    • 암호화 알고리즘 : 법적 요구사항 등을 고려하여 안전한 암호화 알고리즘 및 보안강도 선택<thead></thead><tbody></tbody>
      구분알고리즘 명칭
      대칭키 암호 알고리즘SEED, ARIA-128/192/256, AES-128/192/256, HIGHT, LEA 등
      공개키 암호 알고리즘RSAES-OAEP, RSAES-PKCS1 등
      일방향 암호 알고리즘SHA-256/384/512 등
  • 암호정책에 따라 개인정보 및 중요정보의 저장, 전송, 전달 시 암호화를 수행하여야 한다.
    • 암호화 위치, 시스템 특성 등을 고려하여 암호화 방식 선정 및 적용구분 암호화 방식정보통신망을 통한 전송 시
  • 1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화 송수신
  • 2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송수신
  • 3. 그 밖에 암호화 기술 활용 : VPN, PGP 등보조저장매체로 전달 시
  • 1. 암호화 기능을 제공하는 보안 저장매체 이용(보안USB 등)
  • 2. 해당 정보를 암호화한 후 보조저장매체에 저장 등개인정보처리시스템 저장 시
  • 1. 응용프로그램 자체 암호화(API 방식)
  • 2. 데이터베이스 서버 암호화(Plug-in 방식)
  • 3. DBMS 자체 암호화(TDE 방식)
  • 4. DBMS 암호화 기능 호출
  • 5. 운영체제 암호화(파일암호화 등)
  • 6. 그 밖의 암호화 기술 활용업무용 컴퓨터 및 모바일 기기 저장 시
  • 1. 문서도구 자체 암호화(오피스 등에서 제공하는 암호 설정 기능 활용)
  • 2. 암호 유틸리티를 이용한 암호화
  • 3. DRM(Digital Right Management) 적용 등

증거 자료

  • 암호통제 정책(대상, 방식, 알고리즘 등)
  • 암호화 적용현황(저장 및 전송 시)
  • 위험도 분석 결과(내부망 고유식별정보 암호화 미적용 시)
  • 암호화 솔루션 관리 화면

결함 사례

  • 내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우
  • 암호정책을 수립하면서 해당 기업이 적용받는 법규를 잘못 적용하여(정보통신서비스 제공자에게 「개인정보의 안전성 확보조치 기준」 요건 적용) 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우
  • 개인정보취급자 및 정보주체(이용자)의 비밀번호에 대하여 일방향 암호화를 적용하였으나, 안전하지 않은 MD5 알고리즘을 사용한 경우
  • 정보통신서비스 제공자가 관련 법규 및 내부 규정에 따라 인터넷 웹사이트에 대하여 보안 서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)