본문 바로가기

전체 글

(357)
정보통신기반 보호법 제1장 총칙 제1조(목적) 이 법은 전자적 침해행위에 대비하여 주요정보통신기반시설의 보호에 관한 대책을 수립ㆍ시행함으로써 동 시설을 안정적으로 운용하도록 하여 국가의 안전과 국민생활의 안정을 보장하는 것을 목적으로 한다. 환수원, 환전, 가스공사 등 약 400개 이상 (1/3이 행안부 소속) 제2조(정의) 이 법에서 사용하는 용어의 정의는 다음과 같다. 1. “정보통신기반시설”이라 함은 국가안전보장ㆍ행정ㆍ국방ㆍ치안ㆍ금융ㆍ통신ㆍ운송ㆍ에너지 등의 업무와 관련된 전자적 제어ㆍ관리시스템 및 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호에 따른 정보통신망을 말한다. 2. “전자적 침해행위”란 다음 각 목의 방법으로 정보통신기반시설을 공격하는 행위를 말한다. 가. 해킹, 컴퓨터바이러스, 논리..
정보통신망 이용촉진 및 정보보호 등에 관한 법률 제1장 총칙 제1조(목적) 이 법은 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민생활의 향상과 공공복리의 증진에 이바지함을 목적으로 한다. [전문개정 2008. 6. 13.] 제2조(정의) ① 이 법에서 사용하는 용어의 뜻은 다음과 같다. 1. “정보통신망”이란 「전기통신사업법」 제2조제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체제를 말한다. 2. “정보통신서비스”란 「전기통신사업법」 제2조제6호에 따른 전기통신역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것을 말한다. 3. “정보통신서비..
개인정보의 안전성 확보 조치 기준, 개인정보의 기술적관리적 보호조치 기준 개인정보의 안전성 확보 조치 기준(2021.9.15) 개인정보 보호법 제23조(민감정보의 처리 제한)제2항, 제24조(고유식별정보의 처리 제한)제3항, 제29조(안전조치의무) 시행령 제21조(고유식별정보의 안전성 확보 조치), 제30조(개인정보의 안전성 확보 조치)에 근거 제1조(목적) 이 기준은 「개인정보 보호법」(이하 "법"이라 한다) 제23조제2항, 제24조제3항 및 제29조와 같은 법 시행령(이하 "영"이라 한다) 제21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다. 제2조(정의) 이 기준에서 사용하는 용어의 뜻..
개인정보 보호법 제1장 총칙 제1조(목적) 이 법은 개인정보의 처리 및 보호에 관한 사항을 정함으로써 개인의 자유와 권리를 보호하고, 나아가 개인의 존엄과 가치를 구현함을 목적으로 한다. 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다. 1. “개인정보”란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다. 사망, 실종선고 상태는 해당하지 않음 가. 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보 sns 단체사진은 인물 모두가 식별되어 개인정보임 나. 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보. 이 경우 쉽게 결합할 수 있는지 여부는 다른 정보의 입수 가능성 등 개인을 알아보는 데 소요되는 시간, 비용..
정보보호 인증제도 보안제품 평가 방법 및 기준 TCB 접근통제메커니즘, 참조 모니터, 커널, 보호 메커니즘 등의 항목 검사 보안제품 평가 종류 구분 TCSEC ITSEC CC 명칭 Trusted Computer System Eveluation Criteria Information Technology Security Evaluation Common Criteria 표준화 미국표준제정기간(NCSC) 영국,독일,프랑스,네덜란드 국제표준기관(ISO/IEC 15408) 적용범위 미국 내 보안 표준 유럽 세계공통의 보안 표준 등급 A1,B1,B2,B3,C1,C2,D(부적합) E6-E1, E0(부적합) EAL7-EAL1, EAL0 TCSEC Orange Book이라고 불리는 Rainbow Series라는 미 국방부 문서 중 하나 TC..
BCP/DRP BCP/DRP BCP 비즈니스 연속성 계획 Buisness Continuity Planning 재난 발생 시 비즈니스 연속성을 유지하고자 하는 방법 정의 BCP 개발을 위해 기업이 운영하고 있는 시스템의 파악과 함께 비즈니스 영향 평가가 선행되어야 함 최악의 시나리오에 기초하여 백업 전략이 성공적으로 실현될 수 있도록 수립되어야 함 심각한 실패나 재해로 사업활동이나 프로세스가 중단되지 않는 것에 초점 4단계 접근방법론 : 프로젝트 범위 설정/기획 > 사업영향평가 BIA > 사업연속성 계획 개발 > 계획 승인 및 실행 5단계 접근방법론 : 프로젝트 범위 설정/기획 > 사업영향평가 > 복구전략개발 > 복구계획수립 > 프로젝트 수행테스트/유지보수 6단계 접근방법론 : 사업상 중대 업무 규정 > 중대 업무 지원..
정보보호 위험 관리 위험관리 위험을 감수할 수 있는 수준을 유지하기 위해 자산에 대한 위험 분석 위험으로부터 자신을 보호하기 위한 비용 대비 효과적인 보호대책을 마련하는 일련의 과정 보호대책은 시간이 지나면서 효과가 감소하므로 지속적이고 반복적인 위험관리 필요(1년에 1~2회) 위험을 평가하고 조직이 수용할 수 있는 수준으로 감소시키기 위해 적절한 보호대책을 필요한 곳에 설치 위험 원하지 않는 사건이 발생하여 손실 또는 부정적인 영향을 미칠 가능성을 말함, 자산에 실질적으로 가해진 결과 위험은 잠재적인 위협이 현실화되어 나타날 경우 손실액 (위헙 = 위협이 성공할 가능성 x 위협 성공시 손실크기) 위험 구성요소 자산 : 조직이 사용하고 있는 네트워크 및 시스템을 구성하고 있는 모든 요소 위협 : 자산 손실을 일으키는 잠재적..
정보보호 거버넌스와 관리체계 수립 정보보호 거버넌스 회사의 이사회 및 경영진측에서 회사의 위험이 적절한 수준으로 관리되고 있음을 감독할 수 있는 메커니즘 제공 정보보호 거버넌스 프레임워크 목표 ABC 책임성 Accountability : 정보보호 활동의 성과에 대해 누가 책임을 지는가 비즈니스 연계성 Buisness Alignment : 정보보호 활동이 기업의 비즈니스 목표 달성에 기여하는가 준거성 Compliance : 정보보호 활동이 원칙과 기준에 따라 수행되는가 IT 거버넌스와 정보보호 거버넌스 이사회의 역할 경영진의 역할 - 보안 정책, 절차에 대한 방향을 설정 - 보안화동을 위한 자원 제공 - 책임할당을 지휘 - 우선순위 결정 - 위험관리 문화를 조성 - 내외부 감사를 통한 보증 활동 - 보안 프로그램의 효과성을 감독 - 비즈니..