오늘 목표한 일은 모두 한다
하루하루 자신의 삶을 디자인하기 바랍니다.
하루의 목표를 분명히 하고
자신의 가치를 행동으로 옮기기 바랍니다.
‘오늘 목표한 일은 모두 한다’는
선택을 하고 액션하기 바랍니다.
오늘 하루의 가치가 자신의 가치입니다.
오늘의 에너지를 다 쓰고 나면,
내일 쓸 더 큰 에너지가 채워질 것입니다.
걱정하지 말고 자신의 파워를 쓰기 바랍니다.
2018년 7월 31일 화요일
오늘 목표한 일은 모두 한다
오늘 목표한 일은 모두 한다
하루하루 자신의 삶을 디자인하기 바랍니다.
하루의 목표를 분명히 하고
자신의 가치를 행동으로 옮기기 바랍니다.
‘오늘 목표한 일은 모두 한다’는
선택을 하고 액션하기 바랍니다.
오늘 하루의 가치가 자신의 가치입니다.
오늘의 에너지를 다 쓰고 나면,
내일 쓸 더 큰 에너지가 채워질 것입니다.
걱정하지 말고 자신의 파워를 쓰기 바랍니다.
2018년 7월 30일 월요일
홈페이지 개인정보 노출예방 교육 (2018)
▣ 개인정보 유출 과 노출
1. 개인정보 "유출" 이란?
정보주체의 “개인정보”에 대하여 개인정보처리자가 통제를 상실하거나 또는 권한 없는 자의 접근을 허용한 경우(고의+부주의) “개인정보 노출”은 유출의 한 부분
2. 홈페이지를 통한 개인정보 노출 이란?
홈페이지 이용자가 해킹 등 특별한 방법을 사용하지 않고, 인터넷을 이용하면서 타인의 개인정보를 취득할 수 있도록 인터넷 상에서 관련 『정보가 방치』된 상태 주로 홈페이지 관리자 및 이용자의 부주의로 발생
[참고]
○ 게시판 상담요청 및 처리 시, 개인정보가 포함된 내용을 그대로 답변 등으로 게시할 경우(노출)
○ 검색엔진 등을 통한 사이트 내에 개인정보가 수집/저장 되어 일반인이 노출된 개인정보에 접근하게 하는 경우(노출)
○ 개인정보가 저장된 DB 등 개인정보처리시스템에 정상적인 권한이 없는 자가 접근한 경우(유출)
○ 개인정보처리자의 고의 또는 과실로 인해 개인정보가 포함된 파일, 문서, 저장매체 등이 잘못 전달된 경우(유출)
○ 개인정보가 포함된 서면, 이동식 저장장치, 휴대용 컴퓨터 등을 분실하거나 도난을 당한 경우(유출)
3. 개인정보 노출의 문제점
▶ 고유식별정보 등 사생활 침해가 우려되는 정보가 노출
노출되어서는 안 되는 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인 등록번호), 신용카드번호, 계좌번호, 바이오정보 등이 노출
- 주민등록번호는 본인의 동의가 있더라도 법적 근거가 없으면 처리 불가, 여권번호 등은 처리 시 본인의 동의 필요 및 암호화 보관하여야 하는 중요 정보
- 노출시 법적 제재의 대상이 될 수 있음
▶ 홈페이지에 노출된 개인정보는 구글 등 검색엔진에 2차 노출
홈페이지에 노출된 개인정보를 신속히 삭제하지 않을 경우, 구글 등 검색엔진에 의해 노출이 확산되거나, 제3자에 의해 수집됨
- 개인은 명의도용, 보이스피싱 등 범죄에 악용, 대량 스팸 수신 등 피해
* 노출된 정보는 수집되어 개인을 분석하는 자료로 악용(프라이버시 침해)
- 기업은 이미지 실추, 다수 피해자에 의한 손해배상 소송 제기
☞ 추가 내용은 첨부파일 참고 하세요 !!!
컨설팅(ISMS, ISO27001, GDPR, PCIDSS)
취약점 진단 및 모의 침투
전자정부(행정·공공기관) 웹사이트 웹 접근성·호환성 수준진단 방법
1. 전자정부 웹사이트 웹 접근성·호환성 수준진단 방법
□ 수준진단 기준
❍ (웹 접근성) 국가표준 「한국형 웹 콘텐츠 접근성 지침 2.1」 24개 검사항목을 2개 전문가 그룹의 교차 수동 평가에 의한 준수도 수준진단
❍ (웹 호환성) 행안부고시 「전자정부서비스 호환성 준수지침」의 진단표에 따라 웹 표준문법(HTML, CSS) 및 호환성(기능, 화면표시), 비표준 기술제거 여부에 대한 자동평가 및 전문가 평가에 의한 준수도 수준 진단
□ 수준진단 환경
❍ (웹 접근성)
- (수준진단 도구) 웹 접근성 자동 검사도구*, 정보통신 보조기기(화면낭독프로그램, 화면확대SW) 등 활용
* 자동검사도구 : OpenWax, Web Developer, Google Accessibility 등 활용
- (수준진단 활용 웹브라우저*) 인터넷익스플로러(IE) 버전 11, 크롬
* 웹브라우저 이용률이 높은 크롬(31.98%), IE11(29.16%) 선정( gs.statcounter.com(‘18.2월 기준)
* 웹브라우저 이용률이 높은 크롬(31.98%), IE11(29.16%) 선정( gs.statcounter.com(‘18.2월 기준)
❍ (웹 호환성)
- (수준진단 도구) 웹 표준 문법(HTML, CSS) 자동 검사도구 활용, 호환성
(기능, 화면표시)은 직접 4대 웹브라우저 수동 평가
* 웹 표준 자동검사도구 : W3C Validator(HTML, CSS) 활용
- (수준진단 대상 웹브라우저) IE11, 크롬, 파이어폭스, 엣지
* 웹브라우저 이용률 및 레이아웃 엔진이 다른 웹브라우저 선정
- (수준진단 도구) 웹 표준 문법(HTML, CSS) 자동 검사도구 활용, 호환성
(기능, 화면표시)은 직접 4대 웹브라우저 수동 평가
* 웹 표준 자동검사도구 : W3C Validator(HTML, CSS) 활용
- (수준진단 대상 웹브라우저) IE11, 크롬, 파이어폭스, 엣지
* 웹브라우저 이용률 및 레이아웃 엔진이 다른 웹브라우저 선정
붙임1> 웹 접근성 검사항목별 수준 진단 방법
붙임2> 웹 접근성 검사항목별 수준 진단 평가도구 설명
붙임2> 웹 접근성 검사항목별 수준 진단 평가도구 설명
2. 2018년 행정·공공기관 웹사이트 수준진단 설명회 자료집
❍ 웹 호환성
다양한 웹브라우저에서 웹사이트를 동등하게 이용할 수 있는 것
❍ 웹 표준
웹 표준은 월드 와이드 웹의 측면을 서술하고 정의하는 공식 표준이나 다른 기술 규격을 가리키는 것
웹 표준은 월드 와이드 웹의 측면을 서술하고 정의하는 공식 표준이나 다른 기술 규격을 가리키는 것
❍ 웹 접근성
어떠한 사용자(장애인, 노인 등), 어떠한 기술환경에서도 사용자가 전문적인 능력 없이 웹 사이트에서 제공하는 모든 정보에 접근할 수 있도록 보장하는 것
어떠한 사용자(장애인, 노인 등), 어떠한 기술환경에서도 사용자가 전문적인 능력 없이 웹 사이트에서 제공하는 모든 정보에 접근할 수 있도록 보장하는 것
☞첨부파일 :
웹사이트 통합관리(접근성진단/품질진단/개인정보진단/자산관리)
070-7867-3721, ismsbok@gmail.com
2018년 7월 29일 일요일
웹서버 보안 강화 안내서
▣ 웹서버 보안 강화 안내서
제1장 개요 1
1.1 안내서 목적 및 구성 2
제2장 홈페이지 침해사고 사례 3
2.1 홈페이지 변조 4
2.2 악성코드 유포 6
2.3 디도스 공격 9
제3장 웹 보안 강화 10
3.1 홈페이지 보안 11
3.2 웹서버 보안 24
3.3 공개 웹 방화벽 설치 38
제4장 중소기업 정보보안 지원 서비스 39
4.1 웹 취약점 점검 40
4.2 휘슬(웹셸 탐지도구) 41
4.3 캐슬(웹방화벽) 42
4.4 DDoS 사이버대피소 43
별첨1. ModSecurity를 활용한 Apache 웹서버 보안 강화 45
별첨2. WebKnight를 활용한 IIS 웹서버 보안 강화 60
별첨3. 웹보안 강화를 위한 한국인터넷진흥원 안내서 74
■ 개요
안내서 목적 및 구성
본 안내서는 웹서버 보안 강화를 위한 기본적인 보안설정, 공개 웹 방화벽 설치, KISA 보안 서비스를 안내 하여 중소기업에서 안전하게 홈페이지를 운영할 수 있도록 하는데 있다.
본 안내서의 구성은 다음과 같다.
제2장에서는 대표적인 홈페이지 침해사고 사례인 홈페이지 변조, 악성코드 유포, 디도스 공격에 대해서 다룬다.
제3장에서는 홈페이지 해킹에 자주 악용되는 파일 업로드, XSS, SQL 인젝션 등 3가지 보안 취약점에 대한 조치 방법과 기본적인 웹서버 보안 설정 방법, 공개 웹 방화벽에 대해서 소개한다.
제4장에서는 한국인터넷진흥원에서 제공하는 무료 보안 서비스에 대해 소개한다. 보안 투자가 어려운 중소기업은 다음의 4가지 보안 서비스를 이용해 보안을 강화할 수 있다.
첫 번째로 원격 웹 취약점 점검서비스를 통해 무료로 점검 받을 수 있다.
두 번째로 휘슬(Whistl) 프로그램을 통해 웹서버에 설치된 웹셸(해킹도구)을 탐지할 수 있다.
세 번째로 캐슬(Castle)을 통해 기본적인 웹해킹 공격을 차단 할 수 있다.
마지막으로 디도스 사이버대피소를 이용해 디도스 공격을 방어할 수 있다.
본 안내서는 최소한의 해킹사고 예방을 위해 대표적인 웹 취약점 3종과 간단한 보안 설정 방법에 대해서만 다루고 있으며, 이외에도 OWASP TOP 10 등 더 많은 웹 취약점에 대한 보안 조치가 수행되어야 한다.
첨부파일 : 웹서버_보안_강화_안내서(뉴딜코리아)
2018년 7월 28일 토요일
한 눈에 보는 PCI-DSS vs. ISO 27001
한 눈에 보는 PCI-DSS vs. ISO 27001
정보보호 표준과 관련하여 해당 분야에 근무하시는 분들로부터 ISO 27001과 PCI-DSS는 무슨 차이가 있으며 어떠한 유사점이 있는지 문의를 받을 때가 있습니다.
많은 정보보호 관련 표준들 중에서 유독 ISO 27001과 PCI-DSS는 그 범위와 국제적인 영향력 측면에서 특별한 관계가 있다고 볼 수 있습니다.
ISO 27001 은 전 세계적으로 알려진 국제표준으로, 정보보호경영시스템 구축을 위한 요구사항을 규정하고 있습니다.
이 표준은 어떤 유형의 조직이건 다 적용이 가능하며, 실행과 인증에 대해서는 의무사항이 아니므로 적용 여부에 대해서는 조직이 선택하여 진행할 수 있습니다.
PCI-DSS 는 신용카드 산업 분야의 데이터 보호를 위한 표준이며, 이 표준은 신용카드와 관련한 데이터를 프로세스, 저장, 전송과 연관된 기업들에게 적용이 됩니다.
해당 기업들에게는 PCI-DSS를 준수하는 것이 의무적이나 처리하는 카드 정보의 양에 따라 다른 요구사항과 의무사항이 적용 될 수 있습니다.
▣ PCI-DSS vs. ISO 27001
=============
* ISO 27001 *
=============
1. 주체 :
- ISO 표준화 기구
- ISO 27001:2013 Information Security Management System
2. 인증의 성격 :
- ISO 27001의 인증은 정보보호경영시스템이 구축되고 효과적으로 운영되고 있음을 객관적으로 확인할 수 있는 글로벌 정보보호 스탠다드 인증
3. 대상 :
- 인증을 취득하고자 하는 조직의 비즈니스, 규모에 상관없이 모든 조직에 적용이 가능한 글로벌 스탠다드
- ISO 27001은 조직의 정보보호 체계를 유지하고 성숙도를 높이기 위해 자발적인 인증을 하는 경우가 많으며, 고객사의 요구 또는 세일즈 마케팅의 일환으로 인증을 유지하는 경우도 상당수 있음
4. 요구사항 :
- 정보보호에 관련한 프로세스를 정의하고, 이에 대한 요건을 요구사항으로 명시
- ISO 27001은 일반적인 표준화된 프로세스(프로세스와 보안통제 요건 118개)를 명시하며, 세부 사항(예: 기술적 상세 요건, 주기, 증적의 형태 등)은 요구하고 있지 않으며, ISO 27001 요건에 따라 조직이 상세 사항을 결정하여 이행하고 이에 대한 효과성을 검증하도록 요구함
5. 심사 진행 방법 및 절차 :
- ISO 27001은 최초심사, 사후심사(6개월 또는 1년주기), 갱신심사(3년 주기)로 진행
- ISO 심사원에 의해 이해여부를 인터뷰 및 현장심사로 확인하고 인증서를 발행
6. 요건의 개정 주기
- ISO 27001의 개정은 8년(2700:2005 -> 27001:2013) 걸리며, 다양한 업계의 best practice 프로세스가 반영되고 있음 (ISO 27001:2013)
===========
* PCI DSS *
===========
1. 주체 :
- PCI SSC (최초설립 참여사: VISA, Master, JCB, AMEX, Discover 이후 Union Pay사등도 참여)
- Payment Card Industry Data Security Standard
2. 인증의 성격 :
- PCI는 카드데이터가 안전하게 관리되고 있음을 객관적으로 확인할 수 있는 카드 비즈니스의 글로벌 보안 스탠다드 증명
3. 대상 :
- 카드 발급사, 매입사, PG 또는 VAN 및 가맹점과 서비스 프로바이드(카드데이터의 처리, 저장, 운영의 위탁서비스를 제공하는 회사)만을 대상으로 함
- PCI 의 경우에는 대부분이 이해관계자의 요구(예: 카드 브랜드사, 카드발급사, 매입은행 등)에 의해 의무적으로 받아야 하는 경우가 다수
4. 요구사항 :
- 카드데이터(PAN, Track Data, PIN 등)의 보호를 위해 특정 영역에 대한 기술적 요구사항을 명시
- PCI DSS는 세부요건(400여개로 구성되어 있으며 예: 기술적 상세 요건, 주기, 증적의 구성을 명시)에 대하여 적용하고, 이행하는 것을 요구함
5. 심사 진행 방법 및 절차 :
- PCI DSS는 매년 On site audit을 통해 심사가 진행 (최초, 사후, 갱신 형태의 심사가 아님)되며 심사원은 이를 테스트, 관찰, 검증을 통하여 적합 여부를 확인하고 준수 증명서를 발행
- PCI DSS는 모든 요건에 대한 준수가 완료되어 있어야만 Full compliant가 될 수 있으며, 현재 이행되지 않고 계획만 가지고 있는 건에 대해서는 인정해주지 않음 (이 경우에는 Partial 또는 Not compliant가 됨)
6. 요건의 개정 주기
- PCI DSS는 minor 1년, major 3년 주기로 개정되고 있으며, 최신의 보안 기술, 취약점 등에 대한 대응 요건이 반영되어 지속적으로 업데이트되고 있음 (현재 버전 PCI DSS v3.2)
<참고>
http://bsiblog.co.kr/archives/community/%ED%95%9C-%EB%88%88%EC%97%90-%EB%B3%B4%EB%8A%94-pci-dss-vs-iso-27001
2018년 7월 24일 화요일
금융분야 마이데이터 산업 도입방안
금융분야 마이데이터 산업 도입방안
□ 금융분야 마이데이터 도입방안은 ‘금융분야 데이터활용 및 정보보호 종합방안’의 세부추진방안 으로 마련
- 은행·카드・통신회사에 흩어져 있는 나의 신용정보를 한 번에 쉽게 조회하도록 하고, 신용관리까지 도와주는 ‘내 손안의 금융비서’가 생깁니다.
- 신용점수・등급 등의 관리뿐 아니라 금융상품의 선택과 자산관리 등에 어려움을 겪는 국민들께도 데이터 기반의 맞춤형 서비스가 제공됩니다.
- 금년 하반기 중 「신용정보법」 개정 등을 속도감 있게 추진하여, 금융소비자 중심의 혁신성장의 혜택을 하루빨리 체감하실 수 있도록 하겠습니다.
□ 금융분야 마이데이터 산업 도입방안
ㅇ 금융분야 마이데이터 산업에 관한 법률상 규율체계를 도입하여 개인의 정보・소비자주권 실현을 지원하는 독자적 산업으로 육성
- 현행 신용조회업(Credit Bureau)과 명확한 구분 등을 통해, 금융분야 데이터산업에서의 경쟁과 혁신을 촉진
- 소비자의 신용관리․자산관리 및 자기정보통제권 행사 등을 적극 지원할 수 있도록 다양한 부수․겸영업무를 허용
ㅇ 자본금 요건, 금융권 출자의무 등 진입장벽은 최소화하여 금융분야에 창의적인 Player들의 진입을 다양하게 유도
- 다만, 초기 단계부터 건전한 산업생태계가 조성될 수 있도록* ‘허가제’를 도입․운영
* 데이터 기반 핀테크 생태계의 조성, 금융상품의 제조・판매와 자문・추천 간의 이해상충, 대형사 정보독점 가능성 등을 종합적으로 고려
ㅇ 정보주체의 주도 하에 정보보호・보안 등의 측면에서 안정적으로 서비스가 제공될 수 있도록 제도적・기술적 여건 마련
- 정보주체가 본인정보를 능동적・적극적으로 활용할 수 있도록 ‘개인신용정보 이동권*’ 도입(금융회사→마이데이터 사업자)
* 유럽연합 일반개인정보보호법(GDPR)에서 새로이 도입된 정보주권인‘Right to Data Portability’를 신용정보법 체계에 맞추어 국내에 수용
- 금융회사-사업자 간 안전하고 신뢰할 수 있는 방식(표준API)의 정보제공을 통해 개인정보의 오‧남용 가능성을 차단
- 강력한 본인인증 절차, 사업자의 정보활용·관리실태에 대한 상시감독체계 구축 등을 통해 정보보호・보안에 만전
컨설팅(ISMS, ISO27001, GDPR, PCIDSS)
취약점 진단 및 모의 침투
2018년 7월 23일 월요일
3대 클라우드 보안 과제
□ 3대 클라우드 보안 과제
▷ 데이터 센터란 권한이 부여된 사용자만 액세스할 수 있는 전용 서버에서 애플리케이션이 실행되는 고정 환경을 말합니다
반면에 클라우드는 동적인 자동화된 환경으로서 컴퓨팅 리소스풀을 사용하여 언제 어디서나, 어떤 장치로든 애플리케이션 워크로드에 액세스할 수 있도록 지원합니다.
숙련된 정보 보안 전문가에게는 클라우드 컴퓨팅을 매력적으로 보이게 만드는 대부분의 원칙들이 네트워크 보안 모범 사례를 역행하는 것처럼 보일 수 있습니다.
지금부터는 기존의 데이터센터와 클라우드 기반 데이터 센터의 보안과 관련한 가장 중요한 세 가지 고려 사항과 클라우드 보안의 핵심 요건을 설명하겠습니다.
○ 클라우드 컴퓨팅으로는 기존의 네트워크 보안 위험을 줄이지 못합니다.
○ 보안을 위해서는 분리와 세그멘트화가 필요하지만 클라우드는 공유 리소스에 의존합니다.
○ 프로세스 지향적인 보안 구성 | 동적인 클라우드 컴퓨팅 환경
○ 클라우드 보안을 위한 주요 요건
• 물리 및 가상화 폼 팩터의 보안 일관성 애플리케이션을 제어할 때나, 악의적이거나 잘못 구성된 애플리케이션을 처리할 때나 그리고 위협을 예방할 때 모두 보안 수준을 동일하게 유지하여 클라우드 컴퓨팅 환경과 물리적 네트워크를 모두 보호해야 합니다.
• 제로 트러스트 원칙을 사용한 비즈니스 애플리케이션 세그멘트화 컴퓨팅 리소스 사용을 극대화할 목적으로 이제는 동일한 컴퓨팅 리소스에 대한 애플리케이션 워크로드 신뢰 수준을 혼합하여 사용하는 것이 비교적 공통 사례로 자리잡았습니다. 그 목적은 워크로드 사이의 트래픽을 제어하는 동시에 위협의 내부 확산을 막는 데 있습니다.
• 보안 배포 환경의 중앙 관리 및 정책 업데이트 간소화 물리적 네트워크 보안 솔루션은 변함없이 대부분의 기업에서 배포되고 있습니다. 따라서 동일한 관리 인프라와 인터페이스를 사용해 하드웨어 및 가상 폼 팩터 배포를 중앙에서 관리할 수 있는 능력이 매우 중요합니다. 솔루션은 일관된 정책 관리 및 적용 프레임워크를 통해 물리적 환경과 가상 환경을 모두 아우를 수 있는 것으로 선택해야 하며, 보안 정책 업데이트의 자동화 기능도 지원해야 합니다.
☞ 3대 클라우드 보안 과제
☎ 차세대 방화벽을 이용한 기존 및 클라우드 기반 데이터 센터의 보안에 대한 자세한 내용은 [뉴딜코리아 컨설팅 사업부]를 통하여 확인 하세요 ...!
컨설팅(ISMS, ISO27001, GDPR, PCIDSS)
취약점 진단 및 모의 침투
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com
NAT (Network Address Translation)
NAT (Network Address Translation)
1개의 실제 공인 IP 주소에 다량의 가상 사설 IP 주소를 할당 및 매핑하는 주소 변환((Address Translation) 방식으로 달리 설명하면 IP 패킷의 TCP/UDP 포트 숫자와 소스 및 목적지의 IP 주소 등을 재기록하면서 라우터를 통해 네트워크 트래픽을 주고 받는 기술을 말합니다.
NAT를 사용하는 이유를 크게 둘로 나누면
첫째는 인터넷의 공인 IP주소를 절약할 수 있다는 점이고
둘째는 인터넷이란 공공망과 연결되는 사용자들의 고유한 사설망을 침입자들로부터 보호할 수 있다는 점입니다.
NAT를 방식으로 구분하면
첫째,수동으로 외부 공인 IP와 사설 IP를 1:1로 매핑하는 정적 NAT (Static NAT) 방식,
둘째, 사설 IP 주소를 풀(Pool)화하여 공인 주소로 자동 매핑하는 동적 NAT 방식 (Dynamic NAT),
셋째 가정에서 주로 사용하는 공유기에 사용되는 방식으로 IP 주소 뿐만 아니라 포트 번호까지도 포함시켜 내부 호스트를 구분하는 NAPT 또는 PAT(Port Address Translation) 방식으로 나눌수 있습니다.
또한 NAT를 기능을 중심으로 구분하면,
첫째 외부망에서 볼 때 내부망의 여러 호스트들이 단일한 NAT 서버로 만 보이게하는 기법인 IP Masquerading,
둘째, 내부망의 여러 호스트들이 외부망과 트랜스포트계층에서 각각 별도로 연결짓게 할 수 있는 Port Forwarding (포트 포워드),
셋째 각 포트별로 트래픽을 균형있게 하는 Load Balancing으로 나눌 수 있습니다.
많은 네트워크 관리자들이 NAT를 편리한 기법이라고 보고 널리 사용하고 있으며, NAT가 호스트 간의 통신에 있어서 복잡성을 증가시킬 수 있으므로 네트워크 성능에 영향을 줄 수 있는 것은 당연하다 볼 수 있습니다.
NAT는 IPv4의 주소 부족 문제를 해결하기 위한 방법으로서 고려되었으며, 주로 비공인(사설, local) 네트워크 주소를 사용하는 망에서 외부의 공인망(public, 예를 들면 인터넷)과의 통신을 위해서 네트워크 주소를 변환하는 것입니다.
즉 내부 망에서는 사설 IP 주소를 사용하여 통신을 하고, 외부망과의 통신시에는 NAT를 거쳐 공인 IP 주소로 자동 변환합니다.
- NAT (Network Address Translation) ; 네트웍 주소 변환 -
NAT는 외부 네트웍에 알려진 것과 다른 IP 주소를 사용하는 내부 네트웍에서, IP 주소를 변환하는 것이다.
일반적으로, 한 회사는 자신의 내부 네트웍 주소를 하나 또는 그 이상의 공인 IP 주소로 사상한다.
그리고 들어오는 패킷들 상의 공인 IP 주소를 다시 사설 IP 주소로 변환한다.
이렇게 함으로써 나가거나 들어오는 각 요구들은 주소 변환과정을 반드시 거쳐야 하기 때문에, 보안문제를 확실하게 하는데 도움이 되며, 또한 요구를 제한하거나 인증하고, 또 이전의 요구와 일치시키는 기회를 제공한다.
NAT은 또한 회사에서 필요한 공인 IP 주소의 수를 보존하며, 회사가 외부 네트웍과의 통신에서 단 하나의 공인 IP 주소를 사용할 수 있게 한다.
NAT은 라우터의 일부로서 포함되며, 종종 통합된 방화벽의 일부가 되기도 한다.
네트웍 관리자들은 공인 IP 주소에서 사설 IP 주소로, 사설 IP 주소에서 공인 IP 주소로 사상하기 위한 NAT 표를 만든다.
NAT은 라우팅 정책과 함께 사용될 수도 있다.
NAT은 IP 주소를 정적으로 정의하거나, 또는 동적으로 변환하도록 설정될 수 있다.
[참고]시스코에서 만든 NAT 버전은 관리자가 다음과 같은 것들의 사상을 위한 표를 만들도록 해 준다.
- 사설 IP 주소를 정적인 하나의 공인 IP 주소로
- 사설 IP 주소를 회사가 가질 수 있는 공인 IP 주소들 중에서 어떤 하나와 사상되도록
- 사설 IP 주소에 특정 TCP 포트를 더한 것을 하나의 공인 IP 주소로
- 공인 IP 주소를 사설 IP 주소 중의 하나로 (순서는 라운드 로빈 방식을 사용)
NAT는 IP 주소 고갈문제를 줄이기 위한 방법으로서 CIDR과 NAT의 관계를 논의한 RFC 1631의 일반 협약에 설명되어 있다.
NAT는 공식적으로 알려진 IP 주소와 사설 IP 주소를 분리함으로써, 많은 량의 공인 IP 주소가 필요한 것을 줄여준다.
CIDR는 공인 IP 주소들을 블록으로 모음으로써, 적은 수의 IP 주소가 소모되도록 한다.
결국엔, IPv6가 일상적으로 지원되기 전까지 IPv4 IP 주소의 사용을 몇 년 더 연장하는 것이다.
컨설팅(ISMS, ISO27001, GDPR, PCIDSS)
취약점 진단 및 모의 침투
2018년 7월 21일 토요일
블록체인 국제 표준화 현황(ISO/TC 307)
블록체인은 금융 및 비금융을 막론하고 광범위한 응용이 예상되는 신생기술이다.
2017년 공식표준화기구의 대표격인 ISO와 ITU-T에서 블록체인 표준화가 본격적으로 개시되었다.
이러한 블록체인 관련 국제 표준화 현황을 살펴보고 향후의 전망과 이에 따른 대응 방안을 검토한다.
블록체인은 현재 비트코인과 이더리움 등 디지털 화폐의 기반 기술로 유명해져 있지만 그 기반 기술은 금융 및 투자 뿐만 아니라, 물류, 자산관리, 건강, 투표, 공공 영역 등 광범위한 산업 분야에서 활용 잠재성을 점치고 있다.
블록체인은 네트워크 상의 모든 참여자들이 공인된중개자 없이도 투명하게 거래 기록을 검증할 수 있게 함으로써 기록의 변경 불가능성과 일관성 있는 합의된 상태에 대한 신뢰성을 제공한다.
또한 조건에 따른 자동실행을 보장하는 스마트 계약 기능은 다양한 분야에서 새로운 신뢰 모델을 제공하는 응용을 개발하게 해 준다.
한편 이러한 잠재성을 실현하기 위한 과정에서 기술이 제공하는 투명성에 개인정보보호라는 요구를 어떻게 담보할 것인지, 기존의 중앙집중화된 환경에 따라 수립된 법적 요건들을 어떻게 새롭게 해석해야 할 것인지 등의 현안이 나타나고 있으며, 논의의 초점이 되고 있다.
국내 외에서도 이러한 블록체인의 가능성을 실현하기 위한 IT 기업, 금융권, 정부 등을 중심으로 많은 컨소시엄이 구성되어 다양한 개발 노력들이 이루어지고 있다.
한편 최근 들어서는 이러한 기술 실현을 지원하고 상호운영성과 안전에 대한 적절한 지침을 제공하기 위한 표준화에 대한 요구도 높아지고 있다.
이러한 요구에 부응하기 위하여 2017년 공적 표준화 기구의 대표 격인 ISO와 ITU-T에서는 블록체인 관련 표준화 활동을 본격적으로 개시하였다.
☞ 첨부파일 :
. 블록체인국제표준화현황
. 블록제인국제표준화동향
. 블록체인및분산원장기술
컨설팅(ISMS, ISO27001, GDPR, PCIDSS)
취약점 진단 및 모의 침투
2018년 7월 11일 수요일
개인정보 보호 상담 사례집 (2017년)
개인정보 보호 상담 사례집 (2017년)
■ 개인정보 보호법령 주요 개정 연혁 안내
• (법률)주민등록번호 처리제한[시행 2014.8.7.]
- 주민등록번호 수집 법정주의 실시, 주민등록번호 유출시 과징금 부과
• (시행령)개인정보 보호 책임성 강화[시행 2016. 7. 25.]
- 법정·징벌적 손해배상제도 도입, 개인정보 범죄 처벌 강화
- 개인정보보호위원회 기능 강화
• (법률)주민등록번호 수집 법정주의 강화 등[시행 2016. 9. 30.]
- 개인정보 수집 출처 고지 의무화, 주민등록번호 수집근거 강화
- 민감정보 안전성 확보 조치 의무화
• (법률)개인정보 수집 동의시 중요 내용의 명확한 표시[시행 2017. 10. 19.]
- 개인정보 수집 동의시 수집·이용 목적, 수집·이용하려는 개인정보 항목 등의 표시 방법을 행정안전부령으로정하는 방법에 따라야 함
■ 목 차
제1장 개인정보 침해 피해구제 개요 5
1. 개인정보침해 신고센터 소개 6
가. 개인정보침해 신고센터 설립 근거 및 조사 권한 6
나. 개인정보침해 신고 및 상담 업무처리 절차 12
2. 개인정보침해 신고·상담 접수 및 조치 현황 16
가. 개인정보침해 신고 및 상담 접수 개요 16
나. 개인정보침해 신고 접수 유형별 분석 16
제2장 개인정보 보호 상담 사례 19
1. 개인정보의 수집·이용 20
1-1 필요 최소한의 개인정보 이외의 개인정보의 수집 20
1-2 학교 행사 홍보를 위해 졸업동문에게 문자 메시지 전송 21
1-3 영리목적의 광고성 문자 메시지 전송 23
1-4 SNS를 통한 이벤트시 개인정보 수집 25
1-5 개인정보 수집·이용·제공 및 처리 위탁의 동의 26
1-6 스마트폰 앱 접근권한 설정 28
2. 개인정보 제3자 제공 30
2-1 보험사의 동의없는 개인정보 제3자 제공 30
2-2 부동산중개업체의 동의없는 개인정보 제3자 제공 31
2-3 아파트 입주예정자 개인정보 불법 누설 33
2-4 배달음식 주문고객 정보의 제공 및 이용 35
3. 개인정보 안전성 확보조치 36
3-1 홈페이지 비밀번호 저장시 암호화 36
3-2 홈페이지 개인정보 노출 37
3-3 SNS상의 이용자 정보 공개 39
3-4 채용응시자에 대한 불합격사실 이메일 동보 전송 39
3-5 수험생 본인확인을 위한 정보공개 범위 40
3-6 개인정보 처리방침 공개 42
3-7 비밀번호 전송시 암호화 44
3-8 바이오 정보 수집·이용 45
4. 개인정보 파기 46
4-1 개인정보 파기 시점 46
4-2 장기간 서비스 미이용자 정보 관리 47
4-3 다른 법령에 별도의 보존기간 규정시 개인정보 파기 49
5. 정보주체의 권리 50
5-1 이용하지 않은 사이트에서 거래관련 문자 메시지 발송 50
5-2 상담이력 열람 요구 52
5-3 회원탈퇴시 과도한 개인정보 요구 54
5-4 개인정보 제공 동의 철회 55
5-5 자기게시물에 대한 접근배제 요청 56
6. 고유식별정보 처리 제한 59
6-1 채용 지원시 주민등록번호 수집 59
6-2 렌터카 이용계약시 주민등록번호 수집 60
6-3 자격증 관련 협회 회원가입시 주민등록번호 수집 61
6-4 아파트 관리사무소의 주민등록번호 수집 62
6-5 성인 확인을 위한 주민등록증 촬영 63
7. 개인영상정보처리기기 설치·운영 65
7-1 탈의실 CCTV 설치 65
7-2 개인영상정보처리기기 보호조치 65
7-3 사무실내 CCTV 설치 67
7-4 편의점 등 공개된 장소의 CCTV 설치 68
7-5 CCTV 촬영 범위 70
제3장 개인정보 보호 관련 국내 판례 등 71
☞ 첨부파일 : 개인정보 보호 상담 사례집 (2017년)
2018년 7월 10일 화요일
개인정보보호 가이드라인 Q & A (인사 노무)
개인정보보호 가이드라인 Q & A (인사 노무)
가. 채용 전 단계
Q1 : 신입사원 채용을 위해 입사지원서를 받으려고 합니다. 개인정보를 얻기 위해서 지원자의 동의를 받아야 하나요?
답변) 민감정보, 고유식별정보를 제외하고 채용을 위해 필요한 최소한의 개인정보에 관하여는 동의 없이 수집할 수 있습니다.
Q2 : 주민등록번호도 동의 없이 수집할 수 있나요?
답변) 주민등록번호의 수집은 법령에 근거가 있는 경우에만 수집할 수 있습니다.
Q3 : 종교, 병력, 범죄관련 정보 등을 수집해도 되나요?
답변) 민감정보는 수집하는 것이 원칙적으로 금지되어 있습니다.
반드시 필요하다면 지원자로부터 별도의 동의를 받으세요.
반드시 필요하다면 지원자로부터 별도의 동의를 받으세요.
Q4 : 신원 조회를 위해 관련 기관에 입사지원자의 개인정보를 제공 하려고 하는데, 별도의 동의를 받아야 하나요?
답변) 입사지원자에게 별도의 동의를 받아야 합니다.
Q5 : 입사지원자의 학력과 자격 정보를 수집하려고 하는데 동의를 받아야 하나요?
답변) 채용 전형 실시를 위해 필수적인 정보가 아니라면 동의를 받아야 합니다.
Q6 : 입사지원자가 제출한 개인정보의 진위 확인이 필요합니다. 어떻게 하면 될까요?
답변) 정당한 기관에서 발급한 증명서를 제공받아서 확인하시면 됩니다.
Q7 : 입사지원자의 논문, 저서 등의 정보를 인터넷을 통해 수집하려고 하는데 동의가 필요한가요?
답변) 불특정 다수가 열람할 수 있는 사이트 등에 공개된 개인정보의 수집 ? 이용에 대해서는 동의를 받을 필요 없습니다.
Q8 : 상시채용시스템 운영을 위해 탈락자의 개인정보를 계속 보존해야 하는데 어떻게 해야 하나요?
답변) 입사지원서 접수 시 지원자에게 보존기간 및 목적을 알리고 별도의 동의를 받아야 합니다.
나. 근로계약 체결
Q9 : 인사, 급여 등을 위해 재직 중인 직원의 개인정보를 수집하고 이용하는 경우에도 동의를 받아야 하나요?
답변) 동의없이 수집· 이용할 수 있습니다. 그러나 범죄경력 등 민감정보를 수집하여 이용할 때에는 별도 동의를 받아야 합니다.
Q10 : 직원의 주민등록번호를 수집하고 이용할 경우, 별도의 동의를 받아야 되나요?
답변) 주민등록번호를 수집·이용하기 위해서는
① 법령에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
② 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
③주민등록번호 처리가 불가피한 경우로서 행정자치부령으로 정하는 경우 가운데 어느 하나에 해당하여야 하며, 어느 하나에 해당하지 않는 경우에는 수집·이용 할 수 없습니다.
○ 사용자(개인정보처리자)는 법에 따라 산재보험, 건강보험, 고용보험, 국민연금을 처리해야 할 의무가 있고, 고용보험 및 산업재해보상보험의 보험료 징수 등에 관한 법률, 국민연금법, 건강보험법에 따라 직원의 이름, 주민등록번호, 급여내역 등을 근로복지공단, 국민연금공단, 국민건강보험공단 등에 제공해야 하며 이때 역시 직원의 동의는 필요하지 않습니다.
※ 관련법률 : 개인정보 보호법 제24조의2(주민등록번호의의 처리 제한) 제1항, 위반 시 3천만원 이하의 과태료
Q11 : 재직 중인 직원의 종교, 범죄관련 정보 등을 수집하고 이용할 경우, 별도 동의를 받아야 하나요?
답변) 재직 중인 직원으로부터 별도의 동의를 받아야 합니다.
Q12 : 근로자의 건강정보를 수집하고 이용할 경우, 별도 동의를 받아야 하나요?
답변) 산업안전보건법이나 진폐의 예방과 진폐근로자의 보호 등에 관한 법 등 관련법령에 따라 직원의 건강보호 유지목적으로 사용할 경우 별도의 동의가 필요 없습니다.
건강정보는 민감정보로서 그 처리를 허용 요건 가운데 어느 하나에 해당하는 경우에 한하여 수집· 이용할 수 있으므로, 해당 근로자의 별도 동의를 받아 건강정보를 수집 · 이용할 수 있습니다.
※ 관련법률 : 산업안전보건법 제43조(건강진단)
진폐의 예방과 진폐근로자의 보호 등에 관한 법률 제16조(건강진단 결과의 제출 등)
개인정보 보호법 제23조(민감정보의 처리 제한), 위반 시 5년 이하 징역 또는 5천만원 이하 벌금
Q13 : 근로자의 가족 개인정보를 확인하여 적절한 복지혜택을 제공하고자 합니다. 이 경우에는 근로자 가족의 동의를 받아야 하나요?
답변) 가족수당 제공, 자녀 학자금 지원 등을 통해 근로자에게 복리후생을 제공하는 것은 법령상 의무를 수행하기 위한 것으로 가족으로부터 개인정보 수집에 대한 동의를 받을 필요 없습니다.
이 경우 반드시 복지제공에 필요한 최소한의 정보만을 수집하여야 합니다.
○ 다만, 주민번호를 제외한 고유식별정보를 수집하게 되는 경우에는 가족으로부터 별도의 동의를 받아야 하며, 주민등록번호를 수집할 때에는 법령에 구체적으로 근거가 있어야 합니다.
※ 관련법률 : 개인정보 보호법 제15조(개인정보의 수집 ? 이용) 제1항 제4호
개인정보 보호법 제24조(고유식별정보의 처리 제한) 제1항, 위반 시 5년이하 징역 또는 5천만원 이하 벌금
개인정보 보호법 제24조의2(주민등록번호의의 처리 제한) 제1항, 위반 시 3천만원 이하의 과태료
다. 고용 유지 단계
Q14 : 인사관리시스템과 인사담당자의 PC를 안전하게 관리하기 위해 취해야 할 조치는 무엇인가요?
답변) 비밀번호 설정, 백신 소프트웨어 설치, 방화벽 가능, 암호화 기능 등을 적용해야 합니다.
Q15 : 위탁교육 등을 위해 외부 업체에 직원의 개인정보를 제공하려고 하는데, 어떻게 해야 하나요?
답변) 업무처리 의뢰(업무위탁)에 관한 사항은 문서(표준 개인정보 처리 업무 위탁계약서)로 작성하세요.
개인정보를 제공받은 수탁업체와 업무의 내용을 내부 게시판, 인터넷 홈페이지 내부망 등을 통해 직원들에게 공개하세요. 직원정보를 제공받은 수탁업체가 개인정보를 잘 관리할 수 있도록 감독하세요.
Q16 : 개인정보 업무처리를 외부 업체에 위탁했는데 그 업체의 과실로 손해가 발생한 경우 손해배상책임은 누구에게 있나요?
답변) 위탁자와 수탁자 모두에게 있습니다.
Q17 : 개인정보 처리 업무를 위탁할 때 사용하는 계약서가 따로 있나요?
답변) 형식은 정해져 있지 않지만 아래 사항이 계약서에 반드시 포함되어야 합니다.
가능한 표준 개인정보 처리위탁 계약서를 사용하시기 바랍니다.
① 위탁업무 수행 목적 외 개인정보의 처리금지에 관한 사항
② 개인정보의 기술적 ? 관리적 보호조치에 관한 사항
③ 위탁업무의 목적 및 범위
④ 재위탁 제한에 관한 사항
⑤ 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
⑥ 위탁업무와 관련하여 보유하고 있는 개인정보의 관리현황 점검 등 감독에 관한사항
⑦ 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
※ 관련법률 : 개인정보 보호법 제26조(업무위탁에 따른 개인정보의 처리 제한) 제1항, 위반 시 1천만원 이하의 과태료
Q18 : 수기 형태의 인사기록은 어떻게 보관해야 하나요?
답변) 수기로 된 인사기록은 잠금장치가 마련된 별도의 안전한 장소에 보관하여야하고, 접근통제 등 안전성을 확보하는 조치를 하여야 합니다.
Q19 : 중소 영세 기업은 직원의 개인정보 보호를 위하여 어떠한 안전조치를 하여야 하나요?
답변) 수기로 주민등록번호가 포함된 직원 정보를 관리하는 경우 시건장치 및 접근제한 등을 통한 안전조치를 하시면 되고, 업무용 PC로 직원 정보를 관리하시는 경우 다음과 같은 안전조치를 하시면 됩니다.
상시근로자 수가 10명 이상인 사업자는 개인정보의 안전성 확보조치를 하여야 합니다.
라. 고용 종료 단계
Q20 : 퇴사한 직원의 개인정보는 언제 파기해야 하나요?
답변) 퇴사 후 3년이 지나고, 보유기간이 종료된 후 5일 이내에 파기하세요.
○ 근로기준법에서 퇴직근로자의 사용증명서 청구권 행사기간을 3년으로 하고 있습니다.
따라서 사용증명서 발급을 위한 퇴직근로자 개인정보 보존연한은 최소 3년입니다.
○ 단, 경력증명 등 퇴직근로자의 사용증명서 발급을 위해 3년 이상 보관할 필요가 있는 경우, 근로자에게 동의를 받아서 보관하면 됩니다.
※ 관련법률 : 개인정보 보호법 제21조(개인정보의 파기), 위반 시 3천만원 이하의 과태료
근로기준법 제39조(사용증명서), 근로기준법 시행령 제19조(사용증명서의 청구)
Q21 : 개인정보 파기는 어떻게 해야 하나요?
답변) 개인정보가 복구 또는 재생되지 않도록 해야 합니다.
Q22 : 이 법(개인정보보호법) 시행전부터 보관하고 있던 퇴직자의 개인정보에 대하여 보관에 관한 동의를 받거나 파기하여야 하나요?
답변) 그렇지 않습니다. 경력증명 등을 위한 목적으로 보관? 이용하고 있던 퇴직근로자의 개인정보는 해당 목적으로만 사용하는 경우에는 동의 없이 파기하지 않고 이용 하실 수 있습니다.
다만, 개인정보 보호법 시행 이후에는 퇴직 근로자의 개인정보를 보관하기 위해서는 해당 퇴직 근로자의 동의를 받아야 합니다.
[참고자료]
▶ 개인정보보호 가이드라인 (인사 노무, 2015)
▶ 인사ㆍ노무분야 개인정보보호 FAQ (2013. 10.)
▶ 사업장 전자 감시로부터 근로자 개인정보 보호해야(국가인권위원회)
2018년 7월 8일 일요일
블록체인 어디에 응용하고 있나 (응용 사례와 분야별 특성을 중심으로)
블록체인, 어디에 응용하고 있나
- 응용 사례와 분야별 특성을 중심으로 -
I. 분석 배경 및 내용
○ 초연결 기반의 지능화 혁명으로 정의되는 4차 산업혁명에서 ‘초신뢰를 주도하는 핵심 인프라’로 블록체인(Blockchain)이 부상
* 4차 산업혁명 핵심 인프라 기술 : DNA (빅데이터, 네트워크, 인공지능) + 블록체인 (과기정통부, ’18.1)
- 사람과 사람, 사람과 사물, 사물과 사물 등 상호작용에 있어서 신뢰를 재정의함으로써 금융뿐만 아니라 산업 전반의 생태계를 변화시킬 잠재력 보유
○ 블록체인은 네트워크 內 모든 참여자가 공동으로 거래 정보를 검증‧기록‧보관 할 수 있는 분산장부기술(DLT; Distributed Ledger Technology)로 주목
- 모든 거래의 기록 및 관리에 대한 권한에 대해 신뢰기관 없이 P2P 네트워크를 통해 분산된 정보들을 블록(Block)으로 기록하고 관리
- 블록체인 기술의 핵심은 ‘중앙기관 없는 P2P 신뢰 네트워크’ 구축
○ 최근의 블록체인에 대한 관심은 주로 ‘기술 중심’에서 개념, 구조 및 특징과 암호화폐(가상통화) 거래 등에 치우쳐, 해당 기술의 응용 확산에 따른 산업 생태계 변화, 新서비스 시장 창출 등 ‘시장 중심’의 분석 및 대응이 부족
- 본 보고서는 블록체인 기술의 다양한 응용 사례 및 현황 분석을 통해 서비스인프라로서의 잠재력과 산업 활성화에 대한 인사이트를 제공하고자 함
2. 분석 내용
○ 블록체인 기술의 다양한 응용 현황을 조사‧분석하여 시장 측면(Market aspect)의 시사점을 도출‧제시함으로써, 산업 활성화를 위한 올바른 방향성 정립에 기여
- 블록체인 기술과 시장은 모두 성장 초기 단계로 즉, 기술 발전과 서비스 구현에있어 혁신 및 비즈니스화를 위한 다양한 시도가 진행 중
○ 대표 응용 주체는 암호화폐, 은행 등 금융 영역뿐만 아니라, 공공과 민간 영역에서도 다양한 참여자가 블록체인 적용을 통한 새로운 가치 창출에 노력 중
- 응용 분야는 화폐, 결재, 송금 등 금융 업무뿐만 아니라, 부동산, 유통, 신원관리, 미디어, 인증/허가/보증, IoT, 투표 등 가치 교환 및 증명, 시간흐름에 따른 추적 등 혁신이 일어날 수 있는 많은 분야에서 적용이 시도 중
○ 5대 분석 대상별 적용 사례를 조사한 후, 응용 특징 및 시사점을 도출
- 블록체인은 결재/송금, 화폐 등의 기능을 통해 ‘금융’ 서비스 영역에 먼저 적용 되면서 잠재성이 인식된 후, 다양한 ‘비금융’ 산업에서의 활용이 확산되는 중
- 따라서 분석 대상을 크게 ‘금융’과 ‘비금융’ 부문으로 구분하고, 암호화폐는 블록체인 생태계 내의 위상을 고려하여 금융 부문에서 독립적으로 구분
※ 금융 부문의 ‘암호화폐’는 블록체인 응용의 대표 분야이자 응용을 위한 사업 주체이며, ‘금융기관’은 블록체인 적용의 대표 주체로 은행, 금융컨소시엄 등이 존재
※ 비금융 부문의 ‘산업특화’는 특정 산업 영역에서 블록체인 응용 목적성을 가진 기업 혹은 프로젝트로 구성되며, ‘공공기관’은 각국 정부, 지자체 등을, ‘민간기업’은 고유의 사업영역과 더불어 블록체인 도입에 적극적인 IT 기업이 해당
첨부파일 : 블록체인 어디에 응용하고 있나 (응용 사례와 분야별 특성을 중심으로)
I. 분석 배경 및 내용 1
1. 분석 배경 2
2. 분석 내용 3
II. 응용 사례 분석 5
1. 암호화폐 6
2. 금융기관 51
3. 산업특화 60
4. 공공조직 94
5. 민간기업 111
III. 요약 및 시사점 125
1. 요약 126
2. 시사점 131
참고문헌 135
본 보고서의 내용은 연구자의 견해이며 ETRI의 공식 의견이 아님을 알려드립니다.
2018년 7월 7일 토요일
개인정보보호 가이드라인 (인사 노무)
개인정보보호 가이드라인 (인사 노무 편)
Ⅰ. 가이드라인 개요 ····································································1
- 발간배경, 목적, 구성, 활용 및 저작권
- 발간배경, 목적, 구성, 활용 및 저작권
Ⅱ. 근로자 등 개인정보 처리 기본원칙 ··································4
- 개인정보 개념, 보호원칙, 법령 적용
- 개인정보의 수집?이용, 제3자 제공, 위탁, 안전한 관리, 파기, 정보주체 권익보호 등
- 개인정보 개념, 보호원칙, 법령 적용
- 개인정보의 수집?이용, 제3자 제공, 위탁, 안전한 관리, 파기, 정보주체 권익보호 등
Ⅲ. 인사?노무 업무 단계별 개인정보 처리요령··························24
- 채용준비 단계 (채용계획 및 전형)
- 채용결정 단계 (근로계약 체결)
- 고용유지 단계 (인력배치 및 이동, 인사평가, 보수?후생복지,교육훈련, 인사정보 관리 등)
- 고용종료 단계 (퇴직자 경력증명 등)
- 채용준비 단계 (채용계획 및 전형)
- 채용결정 단계 (근로계약 체결)
- 고용유지 단계 (인력배치 및 이동, 인사평가, 보수?후생복지,교육훈련, 인사정보 관리 등)
- 고용종료 단계 (퇴직자 경력증명 등)
〔참고 자료〕
1. 표준 양식(입사지원서, 근로계약서, 인사기록카드, 개인정보 제공동의서) ················46
2. 이것만은 꼭! (필수조치 사항) ···························································58
3. 개인정보보호 관계 법령 ····································································61
1. 표준 양식(입사지원서, 근로계약서, 인사기록카드, 개인정보 제공동의서) ················46
2. 이것만은 꼭! (필수조치 사항) ···························································58
3. 개인정보보호 관계 법령 ····································································61
2018년 7월 1일 일요일
정보보호 사전점검 안내서
제1장 정보보호 사전점검 제도 소개
1. 추진 배경 및 목적
추진배경
• 신규 정보통신서비스 시스템 구축 계획 단계에서부터 정보보안을 고려하지 않아, 개발 완료 후 운영 시스템에서 보안 취약점 발견 및 정보보호 사고 발생으로 인해 심각한 경제적 손실과 사회적 혼란 발생
• 시스템에 존재하는 위험요소를 구축 단계에서 분석ㆍ제거하여, 운영단계에서 발견된 결함을 제거하는 비용을 최소화하고 취약점 zero化 달성
목 적
• 정보보호 사전점검 제도는 신규 정보통신서비스를 제공하기 위한 시스템을 구축하거나 구조 변경 시, 계획단계에서부터 정보보호를 고려하여 시스템에서 발생할 수 있는 보안위협을 최소화하고 서비스 안전성 확보를 목적으로 함
2. 추진 근거
• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제45조의2(정보보호 사전점검)
3. 수행 대상
• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령 제36조의3(정보보호 사전점검 권고 대상)
4. 기대효과
구축 대상시스템 정보보호 강화
• 구축 초기단계부터 정보보호를 고려하여 정보보안 수준 향상
• 구축 초기단계부터 정보보호를 고려하여 정보보안 수준 향상
구축 대상시스템 운영 및 유지비용 절감
• 구축 초기단계부터 위험요소를 사전분석 후, 제거하여 구축 완료단계에서 발생할 수 있는 문제에 대한 조치비용이 절감됨
• 구축 초기단계부터 위험요소를 사전분석 후, 제거하여 구축 완료단계에서 발생할 수 있는 문제에 대한 조치비용이 절감됨
5. 수행 절차 요약
• 시행령 제36조의4(정보보호 사전점검 방법 및 절차 등)의 규정에 따라 수행함
피드 구독하기:
글 (Atom)