ISMS-P 인증 기준 2.7.1.암호정책 적용 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
21번째 줄: | 21번째 줄: | ||
* 개인정보 보호법 제24조의2(주민등록번호 처리의 제한), 제29조(안전조치의무) | * 개인정보 보호법 제24조의2(주민등록번호 처리의 제한), 제29조(안전조치의무) | ||
* 개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화) | * 개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화) | ||
* 개인정보의 기술적·관리적 보호조치 기준 제6조(개인정보의 암호화) | |||
|} | |} | ||
==세부 설명== | ==세부 설명== | ||
30번째 줄: | 31번째 줄: | ||
{| class="wikitable" | {| class="wikitable" | ||
|+ | |+ | ||
! colspan="2" rowspan="2 | ! colspan="2" rowspan="2" |구분 | ||
! colspan="2" |개인정보 보호법에 따른 암호화 대상 개인정보 | ! colspan="2" |개인정보 보호법에 따른 암호화 대상 개인정보 | ||
|- | |- | ||
! | !이용자가 아닌 정보주체의 개인정보 | ||
! | !이용자의 개인정보 | ||
|- | |- | ||
| rowspan="2" |정보통신망을 통한 송, 수신시 | | rowspan="2" |정보통신망을 | ||
통한 | |||
송, 수신시 | |||
|정보통신망 | |정보통신망 | ||
| colspan="2" |인증정보(비밀번호, 생체인식정보 등) | | colspan="2" |인증정보(비밀번호, 생체인식정보 등) | ||
45번째 줄: | 48번째 줄: | ||
|- | |- | ||
| rowspan="4" |저장시 | | rowspan="4" |저장시 | ||
|저장 위치 무관 | |||
| colspan="2" |인증정보(비밀번호, 생체인식정보 등) | | colspan="2" |인증정보(비밀번호, 생체인식정보 등) | ||
※단, 비밀번호는 일방향암호화 | ※단, 비밀번호는 일방향암호화 | ||
|- | |- | ||
| | |||
| colspan="2" |주민등록번호 | | colspan="2" |주민등록번호 | ||
※ 법 제24조의2 제2항에 따라 암호화 | ※ 법 제24조의2 제2항에 따라 암호화 | ||
|- | |- | ||
|인터넷구간,DMZ | |인터넷구간, | ||
DMZ | |||
|고유식별정보 | |||
| rowspan="2" | | | rowspan="2" |주민등록본호, | ||
여권번호, 운전면허정보, 외국인등록번호, 신용카드번호, 계좌번호, 생체인식정보 | |||
※ 저장위치 무관 | ※ 저장위치 무관 | ||
|- | |- | ||
|내부망 | |내부망 | ||
|※단, 주민등록번호 외의 고유식별정보를 내부망에 | |||
저장하는 경우에는 개인정보 영향평가의 결과 | |||
또는 위험도 분석에 따른 결과에 따라 암호화의 적용여부 및 적용범위를 정하여 시행 가능 | |||
|- | |- | ||
| colspan="2" |개인정보취급자 컴퓨터,모바일기기, 보조저장매체 등에 저장 시 | | colspan="2" |개인정보취급자 컴퓨터, | ||
모바일기기, 보조저장매체 등에 | |||
저장 시 | |||
|고유식별정보, 생체인식정보 | |고유식별정보, 생체인식정보 | ||
|개인정보 | |개인정보 | ||
90번째 줄: | 99번째 줄: | ||
!암호화 방식 | !암호화 방식 | ||
|- | |- | ||
|'''정보통신망을 통한 송·수신 시''' | | '''정보통신망을 통한 송·수신 시''' | ||
| | | | ||
*1. 웹서버에 [[TLS(SSL)|SSL(Secure Socket Layer)]] 인증서를 설치하여 전송하는 정보를 암호화 송수신 | *1. 웹서버에 [[TLS(SSL)|SSL(Secure Socket Layer)]] 인증서를 설치하여 전송하는 정보를 암호화 송수신 | ||
*2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송수신 | * 2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송수신 | ||
*3. 그 밖에 암호화 기술 활용 : [[가상 사설망|VPN]], [[PGP]] 등 | *3. 그 밖에 암호화 기술 활용 : [[가상 사설망|VPN]], [[PGP]] 등 | ||
|- | |- | ||
|'''개인정보처리시스템 등 저장 시''' | |'''보조저장매체로 전달 시''' | ||
| | |||
*1. 암호화 기능을 제공하는 보안 저장매체 이용([[보안 USB|보안USB]] 등) | |||
*2. 해당 정보를 암호화한 후 보조저장매체에 저장 등 | |||
|- | |||
| '''개인정보처리시스템 등 저장 시''' | |||
| | | | ||
*1. 응용프로그램 자체 암호화(API 방식) | *1. 응용프로그램 자체 암호화(API 방식) | ||
*2. 데이터베이스 서버 암호화(Plug-in 방식) | *2. 데이터베이스 서버 암호화(Plug-in 방식) | ||
*3. DBMS 자체 암호화([[TDE]] 방식) | * 3. DBMS 자체 암호화([[TDE]] 방식) | ||
*4. DBMS 암호화 기능 호출 | *4. DBMS 암호화 기능 호출 | ||
*5. 운영체제 암호화(파일암호화 등) | *5. 운영체제 암호화(파일암호화 등) | ||
* 6. 그 밖의 암호화 기술 활용 | *6. 그 밖의 암호화 기술 활용 | ||
|- | |- | ||
|'''업무용 컴퓨터 및 모바일 기기 저장 시''' | | '''업무용 컴퓨터 및 모바일 기기 저장 시''' | ||
| | | | ||
*1. 문서도구 자체 암호화(오피스 등에서 제공하는 암호 설정 기능 활용) | *1. 문서도구 자체 암호화(오피스 등에서 제공하는 암호 설정 기능 활용) | ||
*2. 암호 유틸리티를 이용한 암호화 | *2. 암호 유틸리티를 이용한 암호화 | ||
*3. DRM(Digital Right Management) 적용 | *3. DRM(Digital Right Management) 적용 등 | ||
|} | |} | ||
128번째 줄: | 137번째 줄: | ||
*내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우 | *내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우 | ||
*암호정책을 수립하면서 해당 기업이 적용 받는 법규를 잘못 적용하여 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우(예를 들어, 이용자의 계좌번호를 저장하면서 암호화 미적용) | *암호정책을 수립하면서 해당 기업이 적용 받는 법규를 잘못 적용하여 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우(예를 들어, 이용자의 계좌번호를 저장하면서 암호화 미적용) | ||
*개인정보취급자 및 정보주체의 비밀번호에 대하여 일방향 암호화를 적용하였으나, 안전하지 않은 MD5 알고리즘을 사용한 경우 | * 개인정보취급자 및 정보주체의 비밀번호에 대하여 일방향 암호화를 적용하였으나, 안전하지 않은 MD5 알고리즘을 사용한 경우 | ||
*개인정보처리자가 관련 법규 및 내부 규정에 따라 인터넷 쇼핑몰에 대하여 보안서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 이용자의 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우 | *개인정보처리자가 관련 법규 및 내부 규정에 따라 인터넷 쇼핑몰에 대하여 보안서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 이용자의 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우 | ||
*정보시스템 접속용 비밀번호, 인증키 값 등이 시스템 설정파일 및 소스코드 내에 평문으로 저장되어 있는 경우 | *정보시스템 접속용 비밀번호, 인증키 값 등이 시스템 설정파일 및 소스코드 내에 평문으로 저장되어 있는 경우 | ||
135번째 줄: | 144번째 줄: | ||
*[[정보보호 및 개인정보보호관리체계 인증]] | *[[정보보호 및 개인정보보호관리체계 인증]] | ||
*[[ISMS-P 인증 기준]] | *[[ISMS-P 인증 기준]] | ||
*[[ISMS-P 인증 기준 세부 점검 항목]] | *[[ISMS-P 인증 기준 세부 점검 항목]] | ||
==참고 문헌== | ==참고 문헌== | ||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, | *정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) |