1 정보보호 요소
- 기밀성
- 오직 인가된 사람만이 알 필요성에 근거하여 시스템에 접근하여야 한다는 특성
- 공격: 스니핑 도청
- 정보는 소유자의 인가를 받은 사람만이 접근할 수 있어야 하며 인가되지 않은 정보의 공개는 반드시 금지
- 암호화, 자산분류, 방화벽 설정
- 무결성
- 정보의 내용이 불법적으로 생성 또는 변경되거나 삭제되지 않도록 보호되어야 한다는 특성
- 공격: 중간자 공격, 바이러스, 해킹
- 접근 제어, 메시지 인증 등이 있으며 변경 위험에 대한 탐지 및 복구할 수 있는 침입탐지, 백업, 직무 분리 등
- 가용성
- 정보 시스템은 정당한 방법으로 권한이 주어진 사용자에게 정보 서비스를 거부하여서는 안 된다는 것으로 정보는 지속적으로 변화하고, 인가된 자가 접근할 수 있어야 한다는 특성
- DDos, 재해/사고
- 데이터의 백업, 이중화, 물리적 위협으로부터의 보호 등 보안 기술
- 인증
- 임의 정보에 접근할 수 있는 객체의 자격이나 객체의 자격이나 객체의 내용을 검증하는 데 사용되는 특성
- 공격: 부정 인증, 메시지 변조
- 사용자가 정말 그 사용자인지 시스템에 도착한 자료가 신뢰할 수 있는 출처에서부터 온 것인지를 확인할 수 있는 것
- 부인방지성
- 송수신자가 송수신 사실에 대한 행동을 추적해서 부인할 수 없도록 한다는 특성
- 공격: 서명 사실, 부인
- 대책: 전자 서명
- 책임추적성
- 개체의 행동을 유일하게 추적해서 찾아낼 수 있어야 한다는 사항이 포함되어야 한다는 특성
- 공격: 추적성 미흡, 추적 회피
- 부인 방지, 억제, 결함 분리, 침입 탐지 예방, 사후 복구와 법적인 조치
2. ISMS 위험 관리
- 위험감소: 패스워드 도용의 위험을 줄이기 위하여 개인정보처리시스템의 로그인 패스워드 복잡도와 길이를 3가지 문자조합 및 8글자 이상으로 강제 설정되도록 패스워드 설정 모듈을 개발하여 적용한다.
- 위험회피: 회사 홍보용 인터넷 홈페이지에서는 회원 관리에 따른 리스크가 크므로 회원 가입을 받지 않는 것으로 변경하고 기존 회원정보는 모두 파기한다
- 위험전가: 중요정보 및 개인정보 유출 시 손해배상 소송에 따른 비용 손실을 줄이기 위하여 관련 보험에 가입한다.
- 위험수용: 유지보수 등 협력업체, 개인정보 처리 수탁자 중 당사에서 직접 관리, 감독할 수 없는 PG사, 본인확인기관 등과 같은 대형수탁자에 대하여는 해당 수탁자가 법령에 의한 정부감독을 받거나 정부로부터 보안인증을 획득한 경우에는 개인정보 보호법에 따른 문서체결 이외의 별도 관리, 감독은 생략할 수 있도록 한다.
3. 개인정보보호 관리체계 개념
- 개념
- 기업이 고객의 개인정보 보호활동을 체계적, 지속적으로 수행하기 위해 필요한 일련의 조치
- 기업이 정보주체의 개인정보를 안전하게 보호할 수 있도록 기술적, 관리적, 물리적, 조직적인 다양한 보호대책을 구현하고 지속적으로 관리, 운영하는 종합적인 체계
- 등장 배경
- 고객 개인정보는 비즈니스 이익 창출의 원동력과 유출사고로 인한 리스크 요소
- 침해시도 행위의 목적은 기존의 실력과시에서 금전적 이익 획득으로 변화하고 있음
- OECD의 개인정보보호 8원칙이 최소 국제규범으로 채택되고 대다수의 국가가 개인정보보호법을 보유하고 있음
- 전사적 차원의 개인정보보호활동에 대한 기존의 기밀정보 보호중심의 보호체계의 한계
- 개인정보 침해사고로 인한 법률 분쟁시, 개인정보보호 노력에 대한 객관적 증빙 필요
- 기대효과
- 외부
- 적절한 법률적 대응
- 대내외 신뢰 승진
- 내부
- 개인정보 관리수준 제고 및 지속적 유지
- 유출사고로 인한 재산 피해와 사전 보호대책을 위한 지나친 투자비용 남발 방지
- 개인정보보호 관련 기술 및 노하우 축적
- 수립 시 고려사항
- (보호대상) 조직이 보호해야 하는 고객의 개인정보와 그 가치의 근거
- (처리과정) 고객의 개인정보의 수집, 이용, 전달, 저장, 파기과정
- (보호 수준) 고객의 개인정보의 적절한 관리와 보호의 수준
- (보호방안) 고객의 개인정보의 보호를 위해 적절한 방법
- 위험요소
- (기밀성) 허가되지 않은 사람에 대한 개인정보자산의 노출 여부
- (무결성) 허가되지 않은 사람에 의한 개인정보자산의 변경, 훼손 여부
- (준거성) 관련하여 법률적으로 규정된 사항에 대한 준수 여부
- 관리절차 (PDCA)
- (계획) 명확한 목표 설정 및 전략 수립
- (실행) 수립된 계획을 실행
- (검토) 수립된 계획대비 실행의 결과를 검토
- (반영) 검토결과를 차기 계획에 반영
- 외부
'정보보안 자격증 > CPPG' 카테고리의 다른 글
CPPG 32. 심사 의무대상자 정보통신 서비스 (0) | 2024.07.26 |
---|---|
CPPG 31. 국내외 개인정보 관리체계 (0) | 2024.07.26 |
CPPG 예상문제 8 (0) | 2024.07.24 |
CPPG 29. 접근통제 (0) | 2024.07.24 |
CPPG 28. 접근 권한의 관리 (1) | 2024.07.23 |