Information Security (160) 썸네일형 리스트형 IOT 보안 가이드라인 * IoT 공통 보안 7원칙 : KISA에서 배포하였으며, IoT 기기의 개발 주기(SDLC)에 따라 설계/개발, 배포/설치/구성, 운영/관리/폐기 시 까지 보안을 검증하는 방안 단계 내용 참조 사항 설계 & 개발 단계 정보보호와 프라이버시 강화를 고려한 IoT 제품, 서비스 설계 보안 & 개인정보 반영한 디자인 준수 안전한 소프트웨어 및 하드웨어 개발 기술 적용 및 검증 수행 시큐어 코딩, 소프트웨어 보안성 검증 등 배포 & 설치 & 구성 단계 안전한 초기 보안 설정 방안을 제공 초기 안전한 보안 설정(Secure by Default) 원칙을 준수 안전한 설치를 위한 보안 프로토콜 준수 및 안전한 파라미터 설정 실제 운영환경 고려 운영 & 관리 & 폐기 단계 IoT 제품, 서비스의 취약점 패치 및 업데.. 개인정보 비식별화 (Privacy De-Identification) * 개인정보 비식별화 : 수집/활용되고 있는 데이터에서 정보 주체(개인)을 식별할 수 있는 부분을 비식별 조치하여 개인정보보호와 동시에 비식별 조치된 정보는 산업적으로 활용할 수 있도록 하는 절차 - 데이터 3법 통과로 일반 기업에서도 가명 정보 형태로 개인정보를 이용 가능 (즉 개인정보 이용 시 필수 고려 사항이 됨) * 개인정보 비식별화 절차 단계 해당 내용 1단계 : 사전 검토 개인정보(식별정보)에 해당하는지 여부 확인 2단계 : 비식별 조치 정보 집합물에서 삭제나 대체를 수행 3단계 : 적정성 평가 다른정보와 쉽게 결합하여 식별 가능한지 여부를 평가 4단계 : 사후 관리 재식별 가능성에 대한 모니터링 * 비식별 조치 유형 : 식별자 데이터를 비식별 데이터로 변경 유형 내용 종류 예시 가명 처리 (.. 정보보호 거버넌스(Governance - ISO27014) * 정보보호 거버넌스(ISO27014) : 정보보호 관련 의사결정 권한과 책임의 할당, 비즈니스와 전략적 연계, 관련 법과 규정의 준수를 위한 프로세스 및 실행 체계의 국제 표준 - 컴플라이언스 (Compliance) : 법규를 지키는 행위로 강제 (안할 시 벌금) - 거버넌스 (Governance) : 효율적 운영을 위함이나, 강제성은 없음 (단, 제대로 하지 않을 시 비효율 초래) * 정보보호 거버넌스 프로세스 프로세스 내용 평가 (Evaluate) 목표 달성을 위해 조정이 필요한 부분을 계획, 변경 지시 (Direct) 보안 목적 및 전략 달성에 필요한 사항을 제시 모니터 (Monitor) 보안활동 진단, 요구사항 반영, 성과 지표를 관리 의사소통 (Communicate) 보안 내용에 대한 공유 정.. GDPR (General Data Protection Regulation) * GDPR : 2018/05/25 부터 시행된 EU의 개인정보보호 지침을 강화, 유럽 회원국에 동일하게 적용되는 개인정보보호 법제 - 유럽 내 비즈니스 활동 시 GDPR에 따라 대응하지 않을 시, 벌금 부과(최대 매출의 4%까지) - 총 11장, 99개 조항으로 구성 * GDPR 적용 대상 - 재화나 서비스를 제공 받는 EU 내 정보 주체의 개인정보를 수집/처리/저장하는 모든 기업 - 여러 개인정보 및 민감 정보에 대해 적용 * GDPR 적용 범위 적용 범위 해당 내용 인적 범위 개인 정보를 처리하는 데이터 컨트롤러(회사 = 개인정보 처리자) 또는 프로세서(개인정보 취급자) 물적 범위 전체/부분적으로 자동화된 수단 처리 시, 수기로 파일링 시스템의 일부를 구성하거나, 개인정보 처리 시 지리적 범위 - .. ISO27001 (정보보호관리체계 요구사항 - ISMS Requirements) * ISO27001 : 정보보호관리체계에 대해 국제 인증 시 필요한 요구사항의 국제 인증 규격 * ISO27001 개념도 - BS7799 Part2(영국 모범사례)를 참고, 지속적 발전이 가능한 PDCA(Plan-Do-Check-Act)의 사이클을 반복, 보안 수준을 향상시키기 위한 국제인증 표준 규격 * ISO 27001:2013(최신 기준) 인증 요구 사항 : 총 14개 도메인 구성 1. 보안 정책 (Information security policies) : 정보보호에 대한 경영 방침과 지원 사항에 대한 통제 구조 2. 정보보안 조직 (Organization of Information security) : 보안 조직 구성/책임/역할 3. 인적 자원 보안 (Human resource security ).. ISMS-P (Information Security Management System-Personal information, 정보보호 및 개인정보보호 관리체계 인증) * ISMS-P : 정보보호 및 개인정보보호를 위한 정책 및 조직 수립, 위험관리, 대책 구현 등의 정보보호관리 과정을 통해 구현된 정보보호 대책들이 유기적으로 통합된 체계 - 즉, 정보보호 및 개인정보보호를 위한 조치와 활동이 인증 기준에 적합함을 인증한 제도 * ISMS-P 인증 기준 구성 (총 102개 항목) - 관리체계 수립 및 운영(16개) - 보호대책 요구사항 (64개) - 개인정보 처리 단계별 요구사항 (22개) * ISMS-P 생략 요건 : 위의 보호대책 요구사항 중 해당 영역이 포함되지 않거나, 타 인증과 범위가 일치하는 경우 일부 생략 가능 - ISO/IEC 27001 인증을 받은 자 - 취약점 분석/평가(정보통신 기반 보호법 제9조(취약점의 분석ㆍ평가))를 받은 회사에서, 범위가 정보.. 정보통신망법 (정보통신망 이용 촉진 및 정보보호 등에 관한 법률) * 정보통신망법 : 정보통신망의 이용을 촉진, 이용자의 개인정보를 보호, 건전하고 안전하게 이용할 수 있는 환경을 조성하기 위한 특별법 - 데이터 3법으로 인해 개인정보 관련 사항을 개인정보보호법으로 이관, 규제, 감독 주체(개인정보보호 위원회로) 변경 * 정보통신망법 적용 대상자 : 정보통신 서비스 제공자들은 정보통신 망법의 적용 대상자가 됨 - “정보통신서비스 제공자”란 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다. 대상 해당 전기통신사업자 전기통신역무 (전기통신설비를 이용하여 타인의 통신을 매개하거나 전기통신설비를 타인의 통신용으로 제공하는 것)를 제공하는 자 기간통신사업자 기간통신.. 개인정보영향평가 (PIA - Privacy Impact Assessment) * 개인정보영향평가 : 개인정보보허법 제 33조에 의거, 개인정보 파일 운용과 관련한 새로운 시스템 도입 혹은 기 운영중인 개인정보 처리 시스템의 중대한 변경 시, 개인정보에 미치는 영향을 사전에 조사, 예측 검토하여 개선 방안을 도출하는 체계적 절차 - 개인정보 흐름도를 만들어 개인정보의 생명주기에 대한 확인을 위한 절차 - PIA 자격 요건을 갖춘 사람과 개인정보영향평가 기관 만 수행할 수 있음. * 개인정보보호법 제33조 개인정보영향평가 세부 시행령 : 아래 시행령을 기준으로 영향평가를 수행 또는 지정 기관에 의뢰하여 수행 - 제35조(개인정보 영향평가의 대상) - 제36조(영향평가 시 고려사항) - 제37조(평가기관의 지정 및 지정취소) - 제38조(영향평가의 평가기준 등) * 개인정보보호 시행령.. 이전 1 ··· 8 9 10 11 12 13 14 ··· 20 다음
