본문 바로가기
반응형

Information Security/Law

 (11)
GDPR (General Data Protection Regulation) * GDPR : 2018/05/25 부터 시행된 EU의 개인정보보호 지침을 강화, 유럽 회원국에 동일하게 적용되는 개인정보보호 법제 - 유럽 내 비즈니스 활동 시 GDPR에 따라 대응하지 않을 시, 벌금 부과(최대 매출의 4%까지) - 총 11장, 99개 조항으로 구성 * GDPR 적용 대상 - 재화나 서비스를 제공 받는 EU 내 정보 주체의 개인정보를 수집/처리/저장하는 모든 기업 - 여러 개인정보 및 민감 정보에 대해 적용 * GDPR 적용 범위 적용 범위 해당 내용 인적 범위 개인 정보를 처리하는 데이터 컨트롤러(회사 = 개인정보 처리자) 또는 프로세서(개인정보 취급자) 물적 범위 전체/부분적으로 자동화된 수단 처리 시, 수기로 파일링 시스템의 일부를 구성하거나, 개인정보 처리 시 지리적 범위 - ..
ISO27001 (정보보호관리체계 요구사항 - ISMS Requirements) * ISO27001 : 정보보호관리체계에 대해 국제 인증 시 필요한 요구사항의 국제 인증 규격 * ISO27001 개념도 - BS7799 Part2(영국 모범사례)를 참고, 지속적 발전이 가능한 PDCA(Plan-Do-Check-Act)의 사이클을 반복, 보안 수준을 향상시키기 위한 국제인증 표준 규격 * ISO 27001:2013(최신 기준) 인증 요구 사항 : 총 14개 도메인 구성 1. 보안 정책 (Information security policies) : 정보보호에 대한 경영 방침과 지원 사항에 대한 통제 구조 2. 정보보안 조직 (Organization of Information security) : 보안 조직 구성/책임/역할 3. 인적 자원 보안 (Human resource security )..
ISMS-P (Information Security Management System-Personal information, 정보보호 및 개인정보보호 관리체계 인증) * ISMS-P : 정보보호 및 개인정보보호를 위한 정책 및 조직 수립, 위험관리, 대책 구현 등의 정보보호관리 과정을 통해 구현된 정보보호 대책들이 유기적으로 통합된 체계 - 즉, 정보보호 및 개인정보보호를 위한 조치와 활동이 인증 기준에 적합함을 인증한 제도 * ISMS-P 인증 기준 구성 (총 102개 항목) - 관리체계 수립 및 운영(16개) - 보호대책 요구사항 (64개) - 개인정보 처리 단계별 요구사항 (22개) * ISMS-P 생략 요건 : 위의 보호대책 요구사항 중 해당 영역이 포함되지 않거나, 타 인증과 범위가 일치하는 경우 일부 생략 가능 - ISO/IEC 27001 인증을 받은 자 - 취약점 분석/평가(정보통신 기반 보호법 제9조(취약점의 분석ㆍ평가))를 받은 회사에서, 범위가 정보..
정보통신망법 (정보통신망 이용 촉진 및 정보보호 등에 관한 법률) * 정보통신망법 : 정보통신망의 이용을 촉진, 이용자의 개인정보를 보호, 건전하고 안전하게 이용할 수 있는 환경을 조성하기 위한 특별법 - 데이터 3법으로 인해 개인정보 관련 사항을 개인정보보호법으로 이관, 규제, 감독 주체(개인정보보호 위원회로) 변경 * 정보통신망법 적용 대상자 : 정보통신 서비스 제공자들은 정보통신 망법의 적용 대상자가 됨 - “정보통신서비스 제공자”란 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다. 대상 해당 전기통신사업자 전기통신역무 (전기통신설비를 이용하여 타인의 통신을 매개하거나 전기통신설비를 타인의 통신용으로 제공하는 것)를 제공하는 자 기간통신사업자 기간통신..
개인정보영향평가 (PIA - Privacy Impact Assessment) * 개인정보영향평가 : 개인정보보허법 제 33조에 의거, 개인정보 파일 운용과 관련한 새로운 시스템 도입 혹은 기 운영중인 개인정보 처리 시스템의 중대한 변경 시, 개인정보에 미치는 영향을 사전에 조사, 예측 검토하여 개선 방안을 도출하는 체계적 절차 - 개인정보 흐름도를 만들어 개인정보의 생명주기에 대한 확인을 위한 절차 - PIA 자격 요건을 갖춘 사람과 개인정보영향평가 기관 만 수행할 수 있음. * 개인정보보호법 제33조 개인정보영향평가 세부 시행령 : 아래 시행령을 기준으로 영향평가를 수행 또는 지정 기관에 의뢰하여 수행 - 제35조(개인정보 영향평가의 대상) - 제36조(영향평가 시 고려사항) - 제37조(평가기관의 지정 및 지정취소) - 제38조(영향평가의 평가기준 등) * 개인정보보호 시행령..
개인정보처리방침의 수립 및 공개 개인정보처리방침 : 개인정보 보호 관련 기관 및 업체가 준수해야할 지침 - 누가 / 무슨 목적 / 사용 기간 / 제3자 위탁 / 정보 주체의 개인정보 고충 처리 방법 등 공개 * 개인정보보호법 제 30조 : 개인정보처리방침의 수립 및 공개 ①. 개인정보 처리자는 다음 각호의 사항이 포함된 개인정보의 처리방침 (이하 '개인정보처리방침' 이라 함)을 정하여야 한다. 이 경우 공공기관은 제 32조에 따라 등록 대상이되는 개인정보 파일에 대하여 개인정보처리방침을 정한다. 1. 개인정보의 처리 목적 2. 개인정보의 처리 및 보유 기간 3. 개인정보의 제3자 제공에 관한 사항 (해당되는 경우에만 정함) 4. 개인정보 처리의 위탁에 관한 사항 (해당되는 경우에만 정함) 5. 정보 주체와 법정 대리인의 권리, 의무 및..
기본 법률 용어 * 조.항.호.목 : 법령의 상위에서 하위 카테고리로 내용을 분류, 세분화 하는 단계적 구분자 1) 조(條) : 법령 본칙에 대한 구분 - 제1조, 제2조, 제3조 처럼 구분 2) 항 : 하나의 조(條)문에 여러가지 내용을 구분/세분화 할 필요가 있을 시 - ①, ② 처럼 구분 3) 호 : 어떤 조(條) 나 항에서 규율하려는 내용을 열거하여 규정할 필요가 있을 시 - 1. 2. 3. 과 같이 구분 - 단어나 어절의 형식으로 사용하거나, "...할 것"등과 같은 표현을 사용, "...한다"와 같은 표현은 원칙적으로 사용치 않음 4) 목 : '호'를 다시 세분하거나 열거할 필요가 있을 시 - 가, 나, 다 등과 같이 표시 - 단어나 어절의 형식으로 사용하거나, "...할 것"등과 같은 표현을 사용, ".....
개인정보 안전성 확보 조치 기준 * 안전조치의무 (개인정보보호법 제 4장 29조) : 개인정보 처리자는 개인정보가 분실, 도난, 유출, 위조, 변조, 훼손되지 아니하도록 내부 관리계획 수립, 접속 기록 보관 등 대통령령으로 정하는 바에 따라 안전성 확보에 필요한 기술적 관리적 및 물리적 조치를 하는 것 - 대통령령(개인정보보호법 시행령)에 따라 기술적(IPS, 방화벽, DDoS 등), 관리적(내부 관리 계획, 접근 권한 등), 물리적(시건 장치, Cage 등) 방법을 이용하여 개인정보를 지키라는 것 * 개인정보보호법 시행령 제30조 ①. 개인정보 처리자는 법 제 29조에 따라 다음 각호의 안전성 확보 조치를 하여야 한다. 1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립ㆍ시행 2. 개인정보에 대한 접근 통제 및 접근 권한의 제한..
반응형

티스토리툴바