ISMS-P 인증 기준 2.7.1.암호정책 적용 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
21번째 줄: 21번째 줄:
* 개인정보 보호법 제24조의2(주민등록번호 처리의 제한), 제29조(안전조치의무)
* 개인정보 보호법 제24조의2(주민등록번호 처리의 제한), 제29조(안전조치의무)
* 개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화)  
* 개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화)  
* 개인정보의 기술적·관리적 보호조치 기준 제6조(개인정보의 암호화)
|}
|}
==세부 설명==
==세부 설명==
30번째 줄: 31번째 줄:
{| class="wikitable"
{| class="wikitable"
|+
|+
! colspan="2" rowspan="2" style="width:30%"|구분
! colspan="2" rowspan="2" |구분
! colspan="2" |개인정보 보호법에 따른 암호화 대상 개인정보
! colspan="2" |개인정보 보호법에 따른 암호화 대상 개인정보
|-
|-
!style="width:35%" |이용자가 아닌 정보주체의 개인정보
!이용자가 아닌 정보주체의 개인정보
!style="width:35%" |이용자의 개인정보
!이용자의 개인정보
|-
|-
| rowspan="2" |정보통신망을 통한 송, 수신시
| rowspan="2" |정보통신망을  
통한
송, 수신시
|정보통신망
|정보통신망
| colspan="2" |인증정보(비밀번호, 생체인식정보 등)
| colspan="2" |인증정보(비밀번호, 생체인식정보 등)
45번째 줄: 48번째 줄:
|-
|-
| rowspan="4" |저장시
| rowspan="4" |저장시
| rowspan="2" |저장 위치 무관
|저장 위치 무관
| colspan="2" |인증정보(비밀번호, 생체인식정보 등)
| colspan="2" |인증정보(비밀번호, 생체인식정보 등)
※단, 비밀번호는 일방향암호화
※단, 비밀번호는 일방향암호화
|-
|-
|
| colspan="2" |주민등록번호
| colspan="2" |주민등록번호
※ 법 제24조의2 제2항에 따라 암호화
※ 법 제24조의2 제2항에 따라 암호화
|-
|-
|인터넷구간,DMZ
|인터넷구간,  
| rowspan="2" |고유식별정보  
DMZ
※ 단, 주민등록번호 외의 고유식별정보를 내부망에 저장하는 경우에는 개인정보 영향평가의 결과  또는 위험도 분석에 따른 결과에 따라 암호화의 적용여부 및 적용범위를 정하여 시행 가능
|고유식별정보
| rowspan="2" |주민등록번호, 여권번호, 운전면허정보, 외국인등록번호, 신용카드번호, 계좌번호, 생체인식정보
| rowspan="2" |주민등록본호,
여권번호, 운전면허정보, 외국인등록번호, 신용카드번호, 계좌번호, 생체인식정보
※ 저장위치 무관
※ 저장위치 무관
|-
|-
|내부망
|내부망
 
|※단, 주민등록번호 외의 고유식별정보를 내부망에
저장하는 경우에는 개인정보 영향평가의 결과
또는 위험도 분석에 따른 결과에 따라 암호화의 적용여부 및 적용범위를 정하여 시행 가능
|-
|-
| colspan="2" |개인정보취급자 컴퓨터,모바일기기, 보조저장매체 등에 저장 시
| colspan="2" |개인정보취급자 컴퓨터,
모바일기기, 보조저장매체 등에
저장 시
|고유식별정보, 생체인식정보
|고유식별정보, 생체인식정보
|개인정보
|개인정보
90번째 줄: 99번째 줄:
!암호화 방식
!암호화 방식
|-
|-
|'''정보통신망을 통한 송·수신 시'''
| '''정보통신망을 통한 송·수신 시'''
|
|
*1. 웹서버에 [[TLS(SSL)|SSL(Secure Socket Layer)]] 인증서를 설치하여 전송하는 정보를 암호화 송수신
*1. 웹서버에 [[TLS(SSL)|SSL(Secure Socket Layer)]] 인증서를 설치하여 전송하는 정보를 암호화 송수신
*2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송수신
* 2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송수신
*3. 그 밖에 암호화 기술 활용 : [[가상 사설망|VPN]], [[PGP]] 등
*3. 그 밖에 암호화 기술 활용 : [[가상 사설망|VPN]], [[PGP]] 등
|-
|-
|'''개인정보처리시스템 등 저장 시'''
|'''보조저장매체로 전달 시'''
|
*1. 암호화 기능을 제공하는 보안 저장매체 이용([[보안 USB|보안USB]] 등)
*2. 해당 정보를 암호화한 후 보조저장매체에 저장 등
|-
| '''개인정보처리시스템 등 저장 시'''
|
|
*1. 응용프로그램 자체 암호화(API 방식)
*1. 응용프로그램 자체 암호화(API 방식)
*2. 데이터베이스 서버 암호화(Plug-in 방식)
*2. 데이터베이스 서버 암호화(Plug-in 방식)
*3. DBMS 자체 암호화([[TDE]] 방식)
* 3. DBMS 자체 암호화([[TDE]] 방식)
*4. DBMS 암호화 기능 호출
*4. DBMS 암호화 기능 호출
*5. 운영체제 암호화(파일암호화 등)
*5. 운영체제 암호화(파일암호화 등)
* 6. 그 밖의 암호화 기술 활용
*6. 그 밖의 암호화 기술 활용
|-
|-
|'''업무용 컴퓨터 및 모바일 기기 저장 시'''
| '''업무용 컴퓨터 및 모바일 기기 저장 시'''  
|
|
*1. 문서도구 자체 암호화(오피스 등에서 제공하는 암호 설정 기능 활용)
*1. 문서도구 자체 암호화(오피스 등에서 제공하는 암호 설정 기능 활용)
*2. 암호 유틸리티를 이용한 암호화
*2. 암호 유틸리티를 이용한 암호화
*3. DRM(Digital Right Management) 적용
*3. DRM(Digital Right Management) 적용 등  
|-
|'''보조저장매체로 전달 시'''
|
* 1. 암호화 기능을 제공하는 보안 저장매체 이용([[보안 USB|보안USB]] 등)
*2. 해당 정보를 암호화한 후 보조저장매체에 저장
|}
|}


128번째 줄: 137번째 줄:
*내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우
*내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우
*암호정책을 수립하면서 해당 기업이 적용 받는 법규를 잘못 적용하여 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우(예를 들어, 이용자의 계좌번호를 저장하면서 암호화 미적용)
*암호정책을 수립하면서 해당 기업이 적용 받는 법규를 잘못 적용하여 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우(예를 들어, 이용자의 계좌번호를 저장하면서 암호화 미적용)
*개인정보취급자 및 정보주체의 비밀번호에 대하여 일방향 암호화를 적용하였으나, 안전하지 않은 MD5 알고리즘을 사용한 경우
* 개인정보취급자 및 정보주체의 비밀번호에 대하여 일방향 암호화를 적용하였으나, 안전하지 않은 MD5 알고리즘을 사용한 경우
*개인정보처리자가 관련 법규 및 내부 규정에 따라 인터넷 쇼핑몰에 대하여 보안서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 이용자의 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우
*개인정보처리자가 관련 법규 및 내부 규정에 따라 인터넷 쇼핑몰에 대하여 보안서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 이용자의 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우
*정보시스템 접속용 비밀번호, 인증키 값 등이 시스템 설정파일 및 소스코드 내에 평문으로 저장되어 있는 경우
*정보시스템 접속용 비밀번호, 인증키 값 등이 시스템 설정파일 및 소스코드 내에 평문으로 저장되어 있는 경우
135번째 줄: 144번째 줄:


*[[정보보호 및 개인정보보호관리체계 인증]]
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준]]  
*[[ISMS-P 인증 기준 세부 점검 항목]]
*[[ISMS-P 인증 기준 세부 점검 항목]]


==참고 문헌==
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/ISMS-P_인증_기준_2.7.1.암호정책_적용"