개인정보보호위원회 「국회 개인정보 보호에 관한 규정」에 대한 개선권고 (2017.04. 18)

 뉴딜코리아 홈페이지 

「국회 개인정보 보호에 관한 규정」에 대한 개선권고에 관한 건

개 인 정 보 보 호 위 원 회 결 정

의 안 번 호 제2017-08-73호
의 안 명 「국회 개인정보 보호에 관한 규정」에 대한 개선권고에 관한 건
의결연월일 2017. 4. 10.

주 문

1. 「국회 개인정보 보호에 관한 규정」(국회규정 제766호) 제5조 제1항에서 ‘필요한 범위 내에서’ 부분을 ‘불가피한 경우’로 변경할 것을 권고한다.

2. 「국회 개인정보 보호에 관한 규정」(국회규정 제766호) 제5조 제1항각 호의 사무 수행자가 업무 수행 시 필요한 최소한의 개인정보만 처리하도록 하기 위해, 처리가 가능한 개인정보의 범위를 한정하여 규정할 것과 민감정보와 고유식별정보의 처리가 불가피한 사무를 각각 별도의 조문으로 규정할 것을 권고한다.

이 유

국회 개인정보 보호 관련 규정
문제점 및 개선권고 사항

□ 개인정보 최소수집 원칙 위배


❍ 규정 제5조제1항에서는 사무총장 등이 각 사무 수행에 ‘필요한범위 내에서’ 민감정보 등을 처리할 수 있도록 규정

제5조(민감정보 등의 처리)
① 사무총장 및 국회 소속기관의 장은 다음 각 호의 사무를 수행하기 위하여 필요한 범위 내에서 법 제23조의 민감정보 및 제24조의 고유식별정보를 처리할 수 있다.

⇒ 각 사무 수행자의 판단에 따라 개인정보 수집 여부 및 그 범위가 정해질 경우 개인정보 최소수집 원칙에 위배되므로, 규정 제5조 제1항의 ‘필요한 범위 내에서’ 부분을 ‘불가피한 경우’로 수정할 것을 권고

□ 민감정보와 고유식별정보 처리가 불가피한 사무별 구분

❍ 규정 제5조 제1항 각 호의 사무 수행에 민감정보와 고유식별정보를 처리할 수 있다고 규정

제5조(민감정보 등의 처리)

① 사무총장 및 국회 소속기관의 장은 다음 각 호의 사무를 수행하기 위하여 필요한 범위 내에서 법 제23조의 민감정보 및 제24조의 고유식별정보를 처리할 수 있다. 1.~ 23. (생 략)

⇒ 각 사무의 수행자가 업무 수행 시 필요한 최소한의 개인정보만 처리하도록 하기 위해 처리가 가능한 개인정보의 범위를 한정하여 규정할 것과, 민감정보와 고유식별정보의 처리가 불가피한 사무를 각각 별도의 조문으로 규정할 것을 권고

< 수정 조문 예시 >

제5조(민감정보 등의 처리)


① ○○기관장은 다음 각 호의 사무를 수행하기 위하여 불가피한 경우 「개인정보 보호법」 제23조에 따른 건강에 관한 정보를 처리 할 수 있다.

② ○○기관장은 다음 각 호의 사무를 수행하기 위하여 불가피한 경우 「개인정보 보호법」 제24조에 따른 주민등록번호를 처리할 수 있다.

■ 첨부파일 : 국회 개인정보 보호에 관한 규정에 대한 개선권고에 관한 건(20170410)

방위산업기술보호법Q&A (방위사업청, 2017. 04)

 뉴딜코리아 홈페이지

방위산업기술보호법 Q & A

■ 방위산업기술보호법의 제정 배경은?

최근 방위산업기술이 국가 안보자산일 뿐 아니라 전략적 경제자원으로 인식되면서, 세계 각국은 방위산업에 대한 기술적 우위 확보 및 유지를 위해 치열하게 경쟁하고 있으며, 필요한 기술을 획득하기 위하여 내부자를 이용하거나 해킹을 시도하는 등 기술 확보를 위한 방법 또한 갈수록 지능화, 고도화되고 있습니다.

이에 따라 선진국은 자국의 방위산업기술 보호와 기술적 우위를 위하여 기술 보호 및 수출 통제를 엄격히 하고, 기술 유출 및 침해에 대한 처벌 수위도 강화하고 있습니다.

우리나라도 최근 방산수출의 증가 및 국내 기술 수준의 향상, 방산관련업체 및 유관기관에 대한지속적인해킹시도등으로방위산업기술의유출가능성이급격하게증가하여이에대한 대응과 국내 방위산업기술 보호를 통한 해외시장에서의 국내기업의 경쟁력 확보 및 잠재적 수출시장 보호의 필요성이 제기 되었습니다.

정부는 방위산업기술을 체계적으로 보호·관리하고, 방위산업기술을 보유하고 있거나 연구개발 중인 대상기관의 보호활동을 적극 지원하여 국가의 안전보장 및 신뢰도를 제고하기 위하여 방위산업기술보호법을 제정하게 되었습니다.

■  방위산업기술보호 종합계획 주요내용

• 방위산업기술의 보호에 관한 기본목표와 추진방향

• 방위산업기술의 보호에 관한 단계별 목표와 추진방안

• 방위산업기술의 보호기반 구축에 관한 사항

• 방위산업기술의 보호를 위한 기술의 연구개발 및 지원에 관한 사항

• 방위산업기술의 보호에 관한 정보의 수집ㆍ분석ㆍ가공 및 보급에 관한 사항

• 방위산업기술의 보호를 위한 국제협력에 관한 사항

• 대상기관의 방위산업기술 보호체계 구축ㆍ운영 시 지원에 관한 사항 등

▶ 첨부파일 : 방위산업기술보호법Q&A

국방 ⊙ 방위산업 부분 망분이 전문기업

 

덴마크식 행복하게 사는 법 (휘게 라이프)

  뉴딜코리아 홈페이지
​

​덴마크식 행복하게 사는 법…‘휘게 라이프’ 10계명

행복지수 1위, 덴마크에서 시작된 휘게 열풍!
우리도 ‘휘게’하게 살아볼까요?

티맥스소프트 제우스(JEUS) 8

 뉴딜코리아 홈페이지 

티맥스소프트, 클라우드 컴퓨팅 환경 지원하는
No. 1 미들웨어‘제우스 8

■ 티맥스소프트, 세계 상용 SW 중 최초로 ‘자바EE 7’ 기술 구현한 ‘제우스 8’ 출시
■ 클라우드 환경 지원 및 고성능, 고가용성과 함께 관리 기능 대폭 강화가 특징
■ 지난 2003년 이후 국내 미들웨어 시장점유율 1위 독주체제 더욱 견고화

국내 미들웨어 시장에서 1위 자리를 굳건히 지키고 있는 티맥스소프트의 제우스가 안정성과 성능이 획기적으로 개선된 신제품으로 출시됐습니다.
 
국내 대표 기업용 소프트웨어 업체인 티맥스소프트는 상용 제품 중 최초로 최신의 자바(Java) EE 7 인증 아키텍처를 채용하고, 기존 버전 대비 약 800여 건의 성능 및 기능 개선과 함께 클라우드 컴퓨팅 환경을 지원하는 ‘제우스(JEUS) 8’을 출시했다고 밝혔습니다.

지난 2000년 첫 버전 출시 이후 현재까지 기업용 SW 시장을 선도해 온 티맥스소프트의 ‘제우스’는 지난 수년 간 월등한 SW 원천 기술력과 함께 다양한 국내외 고객사례를 통해 확보한 노하우가 집대성되어 세계 최고 수준의 SW 기술 경쟁력을 갖춘 미들웨어 솔루션으로 평가 받고 있습니다.

이번에 출시된 ‘제우스 8’에는 전 세계 상용 미들웨어 SW 가운데 최초로 획득한 ‘자바 EE 7’ 기술이 구현되어 Servlet 3.1, EJB 3.2 지원 등 스펙이 향상되었으며, 이를 통해 성능향상 및 개발편의성이 높아진 것이 특징입니다. 또한 차세대 웹 표준인 HTML5를 도입하여 멀티미디어 중심의 웹 애플리케이션을 지원하고, 차세대 테스크탑과 모바일 클라이언트를 위한 핵심 요소를 지원합니다.

이와 함께 배치(Batch) 애플리케이션을 지원함에 따라 월별 은행 명세서 생성과 같은 비대화형, 대규모 지향의 장기 실행과 같은 배치 작업이 가능하며, 병렬처리를 위한 표준화된 API를 제공해 애플리케이션 개발을 용이하게 하는 동시실행 설계 패턴을 지원합니다. 아울러 자바 EE 7 신규 스펙 지원 및 자바 EE 8 스펙도 일부 지원 가능합니다.

이와 함께 ‘제우스 8’은 이전 버전과 비교해 ▲세션 미사용 시 메모리 최소화 ▲세션 패시베이션(Passivation) 구조 및 파일 저장 방식 개선 ▲HTTP 리스너(Listener)를 통한 TPS 성능 향상 ▲HTTP/1.1의 성능 개선을 위해 HTTP/2 프로토콜 지원 등과 같은 성능이 대폭 개선됐습니다.

또한 ▲클러스터에 다수의 서버를 한 번에 포함시키는 기능 ▲불필요한 오버헤드를 줄이는 EJB 클러스터링 구조개선으로 기존 버전 대비 2.5배 성능 향상 ▲사용자 라이브러리 버전 관리를 통한 충돌방지 기능 등 고가용성과 관리 기능 역시 한층 더 강화되었습니다.

티맥스소프트는 이번 ‘제우스 8’ 신제품 출시를 계기로 뛰어난 제품 성능과 획기적인 비용절감 효과, 그리고 신속한 기술지원 서비스 등을 기반으로 한 공격적인 마케팅 및 영업 전략을 통해 미들웨어 시장에서 점유율 1위의 자리를 공고히 유지해 나갈 계획입니다.

아울러 이번에 ‘제우스 8’을 구매하는 고객에게는 ‘제우스 8’ 픽스(Fix)1도 무상으로 제공할 예정입니다. 올 하반기 출시 예정인 제우스 8 픽스 1 버전에는 제우스 웹 어드민 내에 실시간 모니터링 기능 추가 및 클라우드 가상머신 환경에서 제우스 오토 스케일(Auto Scale) 기능을 확장 지원할 예정입니다.

이와 관련해 티맥스소프트 노학명 사장은 “과거 외산 제품 일색이던 국내 미들웨어 시장에서 국산 SW인 ‘제우스’의 시장점유율 1위는 상징적인 의미가 크다”며, “국내 시장을 넘어 해외에서도 한국 SW의 시장점유율을 높여나가기 위해 공격적인 마케팅을 강화해 나갈 것”이라고 말했습니다.

티맥스소프트의 대표 제품인 ‘제우스’는 지난 2000년 제품 출시 이후 끊임없는 연구개발을 통해 2003년 ‘제우스 5’ 제품이 세계 최초로 자바 개발 국제 표준인 J2EE 1.4 인증을, 2006년 자바 EE 5(Java platform Enterprise Edition 5), 2009년 자바 EE 6 인증, 2013년에는 제우스 8이 자바 EE 7 인증을 세계 최초로 획득하면서 한발 앞선 기술력과 제품경쟁력을 전 세계에 알리는 계기를 마련하기도 했습니다.

‘제우스’의 가장 큰 특징은 기업 업무에서 탁월한 안정성을 보장할 뿐만 아니라 웹 환경에서의 대용량 처리가 가능하며, 복잡한 시스템의 효과적인 구현을 위한 ‘클러스터링(Clustering)’과 ‘부하분산(load balancing)’ 기능을 제공한다는 것입니다.

또한 안정적인 서비스 환경 제공을 위해 장애방지 기능(페일 오버)과 무중단 서비스 제공을 위한 환경 지원은 물론, 실시간 모니터링과 관리 기능 등을 제공함으로써 고객들이 안심하고 시스템을 이용할 수 있다는 평가를 받아 왔습니다.

‘제우스 8’제품 출시로 티맥스소프트의 기술력을 또 한 번 인정받는 계기가 된 것 같습니다. 여러분의 많은 관심과 응원 부탁드립니다.

첨부파일 : Tmax_JEUS_브로슈어 (뉴딜코리아)

감사합니다.

▣ 제우스 구매 및 기술지원

         뉴딜코리아 인프라사업부

070-7867-3721, ismsbok@gmail.com

ISMS(정보보호 관리체계) 인증제도 설명회 개최 안내 (2017.4.27)

 뉴딜코리아 홈페이지 

ISMS(정보보호 관리체계) 인증제도

설명회 개최 안내 (2017.4.27)

안녕하세요, 뉴딜코리아 컨설팅 사업부 입니다

17년도 정보보호 관리체계(ISMS) 인증제도에 대한 설명회 정보 입니다.

관심있는 분들의 많은 참석 바랍니다.

◐ 사전등록 신청 
   https://docs.google.com/forms/d/1G8EGp4Et51yDo5XhapJza6CkqSGZnpRgxAGDKkRd-YA/viewform?edit_requested=true
 
※ 사전등록 기한 : 4월 21일 18시까지

 

빅 데이터 동향 (2017년도 상위 10가지)

 뉴딜코리아 홈페이지 

2017년도 상위 10가지 빅 데이터 동향

개요 |

2016년은 많은 조직에서 모든 형식과 크기의 데이터를 저장 및 처리하고 유용한 가치를 발견하게 됨에 따라 빅 데이터의 새로운 시대를 열게 된 해였습니다.

2017년에는 대량의 구조화된 데이터와 구조화되지 않은 데이터를 지원하는 시스템이 계속 증가할 것입니다.

시장에서는 최종 사용자가 데이터를 분석할 수 있는 기능을 제공하면서 데이터 관리자가 빅 데이터를 관리 및 보호하도록 지원하는 플랫폼을 요구할 것입니다.

이러한 시스템은 엔터프라이즈 IT 시스템과 표준에 따라 원활하게 운영되도록 발전할 것입니다.

그 다음에는 어디를 향해 갈까요?
이 보고서에서는 다음 사항을 비롯해 2017년의 상위 빅 데이터 동향을 조명합니다.

。빠르고 접근성이 높아진 빅 데이터: Hadoop 속도 향상을 위해 확장되는 옵션
。처음부터 데이터 레이크를 활용하여 가치를 창출하는 조직
。빅 데이터의 가치를 제고하는 Spark 와 기계 학습

첨부파일 :

- 2017년도 상위 10가지 빅 데이터 동향  매년 Tableau에서는 업계에서 발생하는 현상에 대한 논의를 시작합니다.
  그리고 그에 따라 다음 해의 주요 빅 데이터 동향을 예측합니다.
  Tableau가 예측한 2017년도 빅 데이터 동향은 다음과 같습니다.

IoT 기기를 대상으로 한 미라이 봇넷(Mirai Botnet) 주의

 뉴딜코리아 홈페이지 

IoT 기기를 대상으로 한 미라이 봇넷(Mirai Botnet) 주의

□ 개요
  o IoT기기를 대상으로 한 미라이 봇넷(Mirai Botnet)이 국외에서 발견
    ※ 미국 동부 대규모 DDoS 공격에 사물인터넷(IoT) 악용[1]

  o 미라이 봇넷에 감염 시 DDoS 공격에 악용될수 있어 사용자 주의가 필요함

□ 주요 내용
  o 미라이 악성코드는 관리자 계정설정이 취약한 IoT 단말(CCTV, NAS 등)에 스캐닝 및 접속하여 악성코드를 전파함
    ※ IoT 장비의 초기 패스워드를 이용하여 로그인을 시도함

  o 악성코드에 감염된 IoT기기는 명령지 서버의 명령에 따라 DDoS 공격을 수행함
    ※ TCP, UDP, HTTP Flood, DNS DRDoS등의 DDoS 공격 수행

□ 대응 방안
  o 인터넷에 연결된 IoT장비(공유기, NAS, CCTV, CAM등)의 초기 관리자 패스워드를 변경
    ※ 초기 관리자 패스워드를 복잡도가 높은 패스워드로 변경 권고

  o 상기 명시된 대상 장비에 원격접속이 불가능하도록 사용하지 않는 서비스 포트의 사용해제 설정
    (ex : SSH(22), Telnet(23) 등)

□ 기타 문의사항
  o 한국인터넷진흥원 인터넷침해대응센터: 국번없이 118
  o 뉴딜코리아 컨설팅사업부 취약점 분석팀 (070-7867-3721, ismsbok@gmail.com)

[참고사이트]
https://community.rapid7.com/community/infosec/blog/2016/10/25/mirai-faq-when-iot-attacks
https://community.rapid7.com/community/infosec/blog/2016/11/08/election-day-tracking-the-mirai-botnet

스마트폰 앱 접근권한에 대한 이용자 동의권 강화(정보통신망법 개정, 2017.03.23 시행)

 뉴딜코리아 홈페이지 

정보통신망 이용촉진 및 정보보호 등에 관한 법률[시행 2017.3.23.] [법률 제14080호, 2016.3.22., 일부개정]

연번	조문	개정사항	위반시 처벌	시행일
1	제22조의2 신설 제76조제1항제1호 개정, 제1의2호 신설	스마트폰 앱 접근권한에 대한 이용자 동의권 강화	<3천만원 이하 과태료> 선택적 권한에 대해 미동의시 서비스 제공을 거부한 경우 접근권한에 대한 동의방법 마련 등 필요한 조치를 하지 않은 경우	'17.3.23
		스마트폰에 대한 접근권한 필요시 필수적 권한과 선택적 권한을 구분하여 이용자의 동의를 받도록 함 선택적 권한에 대해 미동의시 서비스 제공거부 금지

제4장 개인정보의 보호   제1절 개인정보의 수집·이용 및 제공 등

제22조(개인정보의 수집·이용 동의 등)

① 정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야 한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.
1. 개인정보의 수집·이용 목적
2. 수집하는 개인정보의 항목
3. 개인정보의 보유·이용 기간

② 정보통신서비스 제공자는 다음 각 호의 어느 하나에 해당하는 경우에는 제1항에 따른 동의 없이 이용자의 개인정보를 수집·이용할 수 있다.
1. 정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 개인정보로서 경제적·기술적인 사유로 통상적인 동의를 받는 것이 뚜렷하게 곤란한 경우
2. 정보통신서비스의 제공에 따른 요금정산을 위하여 필요한 경우
3. 이 법 또는 다른 법률에 특별한 규정이 있는 경우
[전문개정 2008.6.13.]


제22조의2(접근권한에 대한 동의) <본조신설 2016.3.22. / 시행 2017.3.23.>

① 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 이용자의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한(이하 "접근권한"이라 한다)이 필요한 경우 다음 각 호의 사항을 이용자가 명확하게 인지할 수 있도록 알리고 이용자의 동의를 받아야 한다.
1. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한인 경우
가. 접근권한이 필요한 정보 및 기능의 항목
나. 접근권한이 필요한 이유
2. 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우
가. 접근권한이 필요한 정보 및 기능의 항목
나. 접근권한이 필요한 이유
다. 접근권한 허용에 대하여 동의하지 아니할 수 있다는 사실

② 정보통신서비스 제공자는 해당 서비스를 제공하기 위하여 반드시 필요하지 아니한 접근권한을 설정하는 데 이용자가 동의하지 아니한다는 이유로 이용자에게 해당 서비스의 제공을 거부하여서는 아니 된다.

③ 이동통신단말장치의 기본 운영체제(이동통신단말장치에서 소프트웨어를 실행할 수 있는 기반 환경을 말한다)를 제작하여 공급하는 자와 이동통신단말장치 제조업자 및 이동통신단말장치의 소프트웨어를 제작하여 공급하는 자는 정보통신서비스 제공자가 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근하려는 경우 접근권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호에 필요한 조치를 하여야 한다.

④ 제1항에 따른 접근권한의 범위 및 동의의 방법, 제3항에 따른 이용자 정보 보호를 위하여 필요한 조치 및 그 밖에 필요한 사항은 대통령령으로 정한다.
[본조신설 2016.3.22.]


제76조(과태료)

① 다음 각 호의 어느 하나에 해당하는 자와 제7호부터 제11호까지의 경우에 해당하는 행위를 하도록한 자에게는 3천만원 이하의 과태료를 부과한다. <개정 2011.3.29., 2012.2.17., 2013.3.23., 2014.5.28.,2015.6.22., 2015.12.1., 2016.3.22.>

1. 제22조의2제2항 또는 제23조제3항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 서비스의 제공을 거부한 자

1의2. <본조신설 2016.3.22. / 시행 2017.3.23.>  제22조의2제3항(제67조에 따라 준용되는 경우를 포함한다)을 위반하여 접근권한에 대한 이용자의 동의 및 철회방법을 마련하는 등 이용자 정보 보호를 위하여 필요한 조치를 하지 아니한 자

- 이 상 -

⊙ 위 내용은 2017년 04월 03일 기준으로. 작성되었습니다
⊙ 법제처 국가법령정보센터(http://www.law.go.kr/main.html)를 통하여 최신 정보를 확인하시기 바랍니다

 

개인정보 보호법 개정안(중요한 내용에 대한 가독성을 높이도록 의무화, 2017.03.30)

 뉴딜코리아 홈페이지  

개인정보 보호법 개정안 국회 통과 (행정자치부,  2017.03.30)

행정자치부 개인정보 처리에 관하여 서면 동의서를 작성하는 경우 중요한 내용에 대한 가독성을 높이도록 의무화 하는 개인정보 보호법 개정안이 3월30일 국회를 통과하였다고 밝혔다.

최근 대형마트 경품 응모권 뒤의 작은 글씨 동의서가 적절한지에 대한 논란이 있었는데, 피고 측은 작은 글씨로 작성되어 있다고 해도 문제될 게 없다는 입장인 반면, 원고 측은 지나치게 작은 글씨로 작성된 동의서는 실질적인 동의권 행사를 방해한 것으로 보았다.

이번 법 개정은 이러한 논란을 입법적으로 해결하기 위한 것으로, 동의 사항을 명확하게 인지할 수 있도록 알리고 동의를 받아야 한다는 현행 규정을 강화하여 동의 사항 중 중요한 내용을 명확히 표시하도록 하여야 한다는 의견이 제기된데 따른 것이다.

행정자치부는 법 시행일에 맞추어(공포 후 6개월이 경과한 날) 개정법의 위임에 따른 대통령령과 행정자치부령을 마련할 계획이다. 우선, 대통령령에는 눈에 잘 띄도록 표시해야 할 중요한 사항을 규정하고, 행정자치부령에는 ⅰ) 밑줄·괄호 등의 기호, ⅱ) 색깔, ⅲ) 굵고 큰 문자 등을 통해 눈에 잘 띄도록 표시하는 방법을 정하게 된다.

행정자치부는 동의서 작성 예시와 잘못 작성한 사례를 만들어 배포하여 업계에서 법규 수범에 대한 어려움이 없도록 할 계획이다.

장영환 행정자치부 개인정보보호정책관은 “이번 법 개정은 국민이 개인정보 동의권을 행사하는데 실질적인 도움이 될 것이다”라며,“개정법을 위반하는 경우 1천만원 이하의 과태료가 부과될 수 있는 만큼 사업자 등이 철저히 준비하길 바란다.”고 하였다.

[첨부파일 ] 눈 뜨고 당하는 개인정보 동의서, 이젠 안통한다!

◈ 경품행사로 생각하고 동의했는데, 보험권유 전화가 오네요! # 마트에서 창립기념으로 해외여행 기회를 주는 경품행사를 한단다. 김씨는 가족여행을 꿈꾸며 응모권에 이름과 연락처를 술술 적고 동의서에 서명도 했다. 연락처가 없으면 응모할 수 없다는 큰 글자를 보고 당첨 시 연락받을 상상도 했다. 그러던 어느 날 낯선 번호로 보험 상품을 홍보한단다. 어디서 전화번호를 알았는지 물어보니 마트에서 경품권 응모 시 제공 동의를 했다고 한다. 동의서 내용도 많고 여행권 준다는 내용만 눈에 띄어 별생각 없이 동의해 준건데, 여행은 못가고 보험권유 전화만 받고 보니 짜증이 난다.  ◈ 저는 요새 노안이 와서 동의서 읽기가 너무 불편합니다. 개선 좀 해주세요! # 40대 후반 이씨는 요새 노안이 와서 작은 글씨는 대충 포기하고 살고 있다. 그런데 최근 휴대폰 구입 차 대리점에 가서 계약서를 쓸 때 개인정보 수집 동의서도 같이 작성했는데, 작은 글씨로 된 동의서를 읽기가 어려워 직원이 표시해 준 곳에 그냥 서명만 했다. 그러면서도 나 몰래 내 개인정보가 다른 곳에 이용되거나 제공되지 않을까 걱정이 된다.

□ 앞으로는 위 사례와 같이 개인정보 동의서의 중요한 내용을 제대로 읽지 못하고 동의하는 사례가 대폭 줄어들 전망이다. 개인정보의 수집 이용, 제공에 관한 동의서의 중요한 내용을 알아보기 쉽게 표시하도록 개인정보 보호법이 개정되었기 때문이다.

□ 행정자치부는 법 시행일에 맞추어(공포 후 6개월이 경과한 날) 개정법의 위임에 따른 대통령령과 행정자치부령을 마련할 계획이다.

○ 우선, 대통령령에는 눈에 잘 띄도록 표시해야 할 중요한 사항*을규정하고,
* ⅰ) 개인정보의 수집 이용 목적,
   ⅱ) 수집하려는 개인정보의 항목,
   ⅲ) 개인정보 이용 및 보유기간,
   ⅳ) 개인정보를 제3자에게 제공하려는 경우 제공받는 자 등

○ 행정자치부령에는
ⅰ) 밑줄 괄호 등의 기호,
ⅱ) 색깔,
 ⅲ) 굵고 큰 문자 등을 통해 눈에 잘 띄도록 표시하는 방법을 정하게 된다.

○ 행정자치부는 동의서 작성 예시와 잘못 작성한 사례를 만들어 배포하여 업계에서 법규 수범에 대한 어려움이 없도록 할 계획이다.

▣ 관련문의

 - 담당 : 개인정보보호정책과 정영수 (02-2100-4106)

ISMS 인증기준 점검항목 (금융분야 ,2017-03-02)

 뉴딜코리아 홈페이지 

금융분야 ISMS 인증기준 점검항목 공개 (2017-03-02)

■ 금융보원은 금융보안 관련 규정 및 표준을 참고하여 금융 분야 특성을 반영한 정보보호관리체계(ISMS) 인증기준 점검항목을 개발해'금융 ISMS 인증기준(점검항목) 전문(324개 점검항목)’을 제시했다.

*참고규정 및 표준* - 금융보안 관련 규정 : 전자금융감독규정, 신용정보업감독규정, 주요정보통신기반시설 취약점 분석 평가 기준, 개인정보의 안전성 확보조치 기준 등 - 정보보호 관련 표준 : 금융전산표준지침, ISO 27001(2013), PCI-DSS(V 3.1)

■ 적용목적
 ㅇ 금융분야 ISMS 인증 신청, 취득기관의 정보보호 역량 강화 및 컴플라이언스 수준 제고
 ㅇ 정보통신(IT) 분야에 초점이 맞춰진 기존 ISMS 점검항목에서 1개 항목을 삭제, 72개 항목을 추가,
     총 324개 점검항목으로 구성)


■  적용시기
 ㅇ 2017년부터 원칙 적용(다만, 금융회사 사정에 따라 자율 선택 가능)
 ㅇ 2018년부터 전면 적용


■ 금융보안원 김영태 보안인증팀장은 “금융 분야 특성으로 인해 기존 점검항목을 그대로 적용하면 인증심사원과 신청기관 간 관점 차이가 발생하곤 했다”면서 “금융 분야 ISMS 점검항목이 일관성 있는 제도 운영에 도움을 줄 것으로 기대한다”고 말했다.

■ 첨부파일 : [금융보안원] 금융 ISMS 인증기준(점검항목) 전문 (324개 점검항목)

ISMS (정보보호 관리체계)인증제도 안내(2017. 04)

 뉴딜코리아 홈페이지 

2017 정보보호 관리체계(ISMS)인증제도 안내

Ⅰ. 정보보호 관리체계(ISMS) 인증제도 개요

1. 정보보호 관리체계의 개념

정보통신 분야는 다른 분야보다 빠르게 발전하고 있으며, 모바일, 클라우드, IoT(Internet ofThings) 등 새로운 기술의 발달은 기업과 개인에 많은 편리함을 주고 있다.

그러나 정보통신기술의 발달은 개인정보와 기업 기밀의 탈취 또는 유출 위험도 커지고 있다.

기업의 기밀이나 개인정보 등을 노린 사이버 공격 범위가 넓어지고 있으며, 공격 기법 또한 점점 지능화, 고도화 되고 있다.

실제로 2012년 통신사 개인정보 유출, 2013년 3·20 사이버공격, 6·25 사이버공격, 2014년 카드사 개인정보 대규모 유출 사고 등 사이버 공격은 기업의 기밀이나 개인정보 등의 특정 정보를 목표로 계속 발생하고 있다.

이는 기업 첨단 기술 유출, 기업 신뢰도 하락과 고객이탈, 주가 하락 외에도 집단소송과 대규모 피해보상 등 사회·경제적 측면에서 큰 문제를 발생시켰다.

이에 특정 제품이나 일부 조직에 의존하는 정보보호 활동만으로는 기업의 정보보호 수준 향상에 한계를 가질 수밖에 없으며, ‘일회성 관리’, ‘부분적 보안’이 아닌 ‘지속적 관리’, ‘전사적보안’을 위한 보다 높은 수준의 보안관리 활동이 가능한 정보보호 관리체계(ISMS) 구축이 요구되었다.


▶ 정보보호 관리체계

기업(조직)이 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립·관리·운영하는 종합적인 체계

기업의 정보보호는 비용이 아닌 비즈니스 기회 예측 및 위험에 적절히 대응하는 핵심경쟁력이다.
예상하지 못한 위기상황에서 비즈니스 안정성을 유지하고 정보자산을 적절하게 보호하기 위한 경영활동의 일부이다.

• 최근 주요 기업에서 발생한 대부분의 해킹사고는 내부관리 소홀 및 정보보호에 대한 경영진의 관심 부족 등이 원인이라 할 수 있다.

기업이 구축한 정보보호 관리체계의 적합성을 판단하여 인증을 부여하는 정보보호 관리체계 인증 제도는 기업의 정보보호에 대한 인식 및 수준 제고에 기여하고 있다.

1.1. 정보보호 관리체계 인증의 법적 근거


정보보호 관리체계(ISMS : Information Security Management System)는 정보통신 이용촉진 및 정보보호 등에 관한 법률(이하 “정보통신망법”) 제47조를 법적 근거로 하고 있다.

정보통신망법 시행령은 정보보호 관리체계 인증의 방법·절차·범위, 인증 수수료, 의무 인증대상자, 인증표시 및 홍보, 인증기관의 지정 등에 대한 사항을 규정하고 있다.

또한 정보보호 관리체계 인증에 관하여 필요한 세부사항은 ‘정보보호 관리체계 인증 등에 관한 고시’에서 다루고 있다.

- 추가 내용은 첨부된 정보보호 관리체계(ISMS)인증제도 안내서를 참고 하세요

CONTENTS

제 1 장 정보보호 관리체계(ISMS) 인증제도 안내

Ⅰ. 정보보호 관리체계(ISMS) 인증제도 개요 1

1. 정보보호 관리체계의 개념 1
2. 정보보호 관리체계 인증 추친 체계 3
3. 정보보호 관리체계 인증 기대 효과 4

Ⅱ. 정보보호 관리체계(ISMS) 인증 대상 및 범위 5

1. 정보보호 관리체계 인증대상 5
2. 정보보호 관리체계 인증 범위 6
3. 정보보호 관리체계 인증기준

제 2 장 정보보호 관리체계(ISMS) 인증기준 설명

Ⅰ. 정보보호 관리체계 인증 관리과정 요구사항 9

1. 정보보호정책 수립 및 범위설정 10
2. 경영진 책임 및 조직 구성 12
3. 위험관리 14
4. 정보보호대책 구현 18
5. 사후관리 20

Ⅱ. 정보보호 관리체계 인증 정보보호대책 통제사항 24
1. 정보보호정책 24
2. 정보보호 조직 31
3. 외부자 보안 36
4. 정보자산 분류 41
5. 정보보호 교육 45
6. 인적 보안 52
7. 물리적 보안 58
8. 시스템 개발보안 71
9. 암호통제 83
10. 접근통제 89
11. 운영보안 110
12. 침해사고 관리 145
13. IT 재해복구 153

ISMS 인증심사원자격검정 안내

제 3 장 출제분야 및 출제유형

Ⅰ. 필기검정 출제분야 159

Ⅱ. 필기검정 출제유형 160

1. 유의사항 160

2. 출제유형 161

Ⅲ. 정보보호 관리체계 인증심사 참고 법령 168

ISMS (정보보호 관리체계) 전문 컨설팅

ISMS(정보보호 관리체계) 인증심사원 신규 모집 (2017.04.03)

 뉴딜코리아 홈페이지

정보보호 관리체계(ISMS) 인증심사원 자격검정 시행공고

한국인터넷진흥원(KISA, 원장 백기승)은 '정보보호관리체계(ISMS)'의 2017년도 신규 인증심사원 자격검정 시험접수를 오는 24일부터 28일까지 진행한다고 3일 밝혔다.

인증심사원 자격검정은 '정보보호 관리체계 인증 등에 관한 고시'에 따라 4년제 대학 졸업자 기준 정보보호 또는 정보기술 관련 6년 이상의 경력을 충족하는 자에 한해 응시할 수 있으며, 1차 필기전형 및 2차 실기전형을 거쳐 인증심사원으로 최종 선발된다.

  ※ 1차 필기전형 : 인증제도, 인증기준, 정보보호 이론 및 기술, 정보보호 법률 등 4개 시험분야에서 객관식으로 진행
  ※ 2차 실기전형 : 필기전형 합격자에 한하여 진행되는 ISMS 인증심사 실무교육(5일) 이수 후 심사능력 평가

2017년도 정보보호 관리체계 인증심사원 공지 및 시험접수 등 자세한 사항은 ISMS 홈페이지(isms.kisa.or.kr)에서 확인 가능합니다.

◐ 관련문의 : 뉴딜코리아 컨설팅 사업부, 070-7867-3721, ismsbok@gmail.com


※ 시험접수 : https://isms.kisa.or.kr/