2019년 7월 29일 월요일

ISO27001-17 통제항목 번역 (한글)

 뉴딜코리아 홈페이지 


■ ISO 27001, 27017, 27018 인증

ISO 27001은 국제 표준화 기구(ISO) 및 국제전자기술위원회(IEC)가 2005년에 처음 발표한 정보 보안 표준입니다.

2013년 9월, ISO 27001:2013이 발표되어 최초의 2005년 표준을 대체했습니다.

ISO 27001은 전 세계에서 인정받는 표준 기반 보안 접근 방식이며, 조직의 정보 보안 관리 시스템(ISMS)이 갖춰야 할 요건을 제시합니다.

2015년에 발표된 ISO 27017은 ISO 27001을 보완하는 표준입니다.

이 표준은 클라우드 서비스 프로비저닝 및 사용에 적용되는 정보 보안에 관한 통제 및 이행 지침을 제공합니다.

ISO 27018은 2014년에 ISO/IEC에서 발표한 보완 표준이며, 개인 데이터를 취급하는 클라우드 서비스 제공자에 적용되는 지침으로 구성됩니다.

뉴딜코리아는 2016년 9월에 ISO 27001, 2016년 10월에 ISO27018, 2017년 11월에 ISO 27017 인증 컨설팅을 수행하고 있습니다

ISO 재인증은 3년마다 시행되지만, 매년 감독 감사를 받아야 인증이 유지됩니다.

이러한 ISO 인증은 고객사가 개인정보 보호와 보안에 최선을 다하고 있으며 고객사의 통제 기능이 제대로 실행되고 있음을 입증합니다.

ISO 인증서 및 ISMS 적용성 보고서는 고객이 검토할 수 있습니다.





▶ ISO 27017 규격의 개요

ISO/IEC에서는 클라우드서비스 보안을 위해 ISO/IEC 27002를 기본으로 클라우드서비스 관련된 내용을 추가한 ISO/IEC 27017을 2015년에 발간하게 되었다.

전체적으로는 14분야에 걸쳐 117개의 통제사항으로 구성되어 있다.

이는 기존의 정보보호를 위한 통제사항 집합인 ISO/IEC 27002를 모두 적용함과 동시에 클라우드 특성이 있는 통제사항은 같은 틀 내에서 반영하고 있는 구조이다.

ISO 27017인증의 목적은 객관적이고 공정한 클라우드서비스보안인증을 통해 이용자의 보안 우려를 해소하고 클라우드서비스 경쟁력을 확보하는 데 있다.


ISO 27017 규격의 요구사항

ISO 27017 국제 표준에서는 ISO27001 국제 표준에 기반한 정보보안관리체계에 클라우드 서비스 제공자와 고객이 추가로 반영해야 할 프레임워크 측면의 요구사항을 정의하고 있다.

또한, 가상 머신 hardening, 클라우드 서비스 모니터링, 가상 네트워크와 물리적 네트워크를 위한 정보보호 관리, 클라우드 환경의 운영 관리 절차, 가상 컴퓨팅 환경에서의 분리, 클라우드 서비스 고객 정보 및 자산의 삭제 등 클라우드 서비스에 특화된 정보보호 통제에 대한 요구사항을 추가로 정의하고 있다.


ISO 27017 CLS 정보보안 인증의 핵심내용

o 관리적 보호조치
   정보보안정책수립, 인적보안, 자산관리, 서비스공급망 관리, 침해사고 관리 등

o 기술적 보호조치
  보안, 접근통제, 네트워크보안, 데이터보안, 암호화 등

o 물리적 보호조치
  보안구역 지정, 물리적 접근제어, 장비 반/출입 등 정보보호 시설 및 장비보호


클라우드 서비스 정보보안 위협

o 거버넌스 측면
  거버넌스 손실, 책임성 모호, 준거성 및 법적 위험, 국경문제

o 접근통제 측면
  제공자 시스템에 대한 비인가 접근, 관리 인터페이스 취약성, 보호 메커니즘의 비일관성 및 상충

o 데이터 보안 측면
  개인정보 유출 및 손실, 불완전한 데이터 삭제, 격리(isolation) 실패

o 운영관리 측면
  서비스 비가용성 및 중단, 보안사고 처리, 공급망 취약성


인증 취득시 기대효과

클라우드 서비스는 비용의 효과성과 이동성의 장점으로 인하여 전 세계적으로 수요가 급증하고 있으며, 이로 인하여 산업의 성장성이 높은 분야이다. 블루오션인 클라우드 서비스에서 CLS 인증취득을 통해 정보보안에 대한 신뢰성을 확보할 수 있다.

ISO 27001에 기반한 정보보안관리체계를 운영하고 있는 조직 중 클라우드 관련 이슈가 있는 조직이 ISO 27017 국제 표준의 요구사항을 추가로 반영한다면, 전세계 어느 곳에서도 일관된 인정을 받을 수 있는 통합된 시스템의 운영이 가능할 것이다.

ISO/IEC 27017은 사업운영에 장애가 되는 법적 소송이나 분쟁, 그리고 자신들의 브랜드에 대한 타격으로부터도 보호 받을 수 있다.

클라우드 서비스 제공자 관점에서는 객관적이고 공정한 클라우드 보안인증을 통해 이용자의 신뢰도 향상 및 제공자의 정보보호 수준 향상에 기여할 수 있다.




컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

 

2019년 7월 13일 토요일

개인정보의 안전성 확보조치 기준 해설서 (제2019-47호 / 2019-07-10)


제정·개정이유 : 제2019-47호(2019.6.7. 개정)

◇ 제·개정 이유 
 개인정보처리시스템의 접속기록에 대한 관리기준을 명확하게 하여 개인정보 유출 및 오·남용과 같은 개인정보 침해사고의 사전 예방과 사후추적 관리를 강화하고자 함
    
◇ 주요내용 

  가. 접속기록의 기록항목 구체화(제2조)
    - 접속기록에 기록하여야 하는 항목을 육하원칙에 따라 보다 구체적으로 명시하여 규정
    
  나. 접속기록 보관기간을 최소 1년 이상 보관하도록 차등적 연장(제8조제1항) 

    ※ 6개월 이상 → 모든 개인정보처리시스템은 1년 이상, 다만, 5만명 이상 개인정보를 처리하거나 고유식별정보나 민감정보를 처리하는 시스템은 2년 이상

  다. 접속기록 점검에 관한 사항 개선(제4조 및 제8조제2항)
    - 내부 관리계획 이행실태 점검에 접속기록에 관한 사항 포함
    - 접속기록 점검 주기 단축 : 반기별 1회 이상 → 월 1회 이상
    - 개인정보를 다운로드한 경우 그 사유를 반드시 확인(신설)



[참고] 개인정보의 안전성 확보조치 기준 개요

□ 목 적
o 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실 도난 유출 위조 변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적 관리적 및 물리적 안전조치에 관한 최소한의 기준을 정함

법적 근거
o 개인정보보호법 제23조(민감정보의 처리 제한), 제24조(고유식별 정보의 처리 제한), 제29조(안전조치의무)
o 동법 시행령 제21조(고유식별정보의 안전성 확보 조치), 제30조(개인정보의 안전성 확보 조치)
과징금 부과 및 벌칙
o 2년 이하의 징역 또는 2천만원 이하의 벌금(법 제73조제1호)
o 3천만원 이하의 과태료(법 제75조제2항제6호)

적용 대상
o 개인정보처리자
o 개인정보처리자로부터 개인정보를 제공받은 자
o 개인정보처리자로부터 개인정보 처리를 위탁받은 자(이하 ‘수탁자’, 준용)

성 격
o 반드시 준수해야 하는 최소한의 기준

주요 내용
o 내부 관리계획의 수립 시행
o 접근 권한의 관리
o 접근통제
o 개인정보의 암호화
o 접속기록의 보관 및 점검
o 악성프로그램 등 방지
o 관리용 단말기의 안전조치
o 물리적 안전조치
o 재해 재난 대비 안전조치
o 개인정보의 파기




컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션
보안솔루션 공급
070-7867-3721, ismsbok@gmail.com




2019년 7월 8일 월요일

중소기업 기술보호 가이드 (2019)

  뉴딜코리아 홈페이지


중소기업 기술보호 가이드

● 구성 :

본 지침은 2016년 중소기업기술 보호지침을 바탕으로 법률개정사항 등을 업데이트하여, 제1장부터 6장과 본문, 부록 등을 포함하고 있다.


제1장은 본 지침의 작성 목적과 구성 및 기술 보호의 필요성이 포함되어 있다. 중소기업 기술 보호 10대 핵심수칙을 다루고 있다.



제2장은 부처별로 보호되는 기술별로 구분하여 정의하면서 보호 대상 기술의 보호 범위를 명확히 하고, 이에 따라 기술 이전이나 침해 및 대응 시의 대상 기술을 한정할 수 있도록 하여 신속하고 효율적인 기술 보호
가 이루어지게 하였다.

또한, 중소기업의 발전 과정에 따라 기술 보호의 수준과 방안이 달라질 수 있는 점을 감안하여 기술 보호 단계를 창업기와 성장기로 구분하고, 단계별 기술보호 이슈에 대해 살펴본다.


제3장은 기술 보호를 위해서는 먼저 기업의 보안수준을 살펴보고 미흡한 부분은 보완할 수 있도록 중소기업 스스로 기술 보호 수준을 진단할 수 있는 자가 진단 서식을 제공하고 있다.


제4장은 기술 유출을 미연에 방지하기 위한 관리 및 운영 방안을 제공한다. 기술은 기업의 재산권이므로 기술 유출의 실태와 원인을 살펴보고 권리 설정 방안과 기술 유출 예방을 위한 관리 및 운영 방안을 제공한다.


제5장은 기술 유출의 사후 대응 방안을 마련한 것으로, 기술 유출의 방법과 원인, 그에 따른 대응 프로세스, 기술 침해 행위의 유형 구분 및 그 대응 방안을 제공한다. 특히 주무부처(행정기관)에서의 행정기관을 활용한 조치를 사법적 대응방안과 구분하여 제시하였다.


제 6장에서는 중소기업 기술보호를 위해 지원하는 체계와 정부에서 지원하는 사업 그리고 사업에 대한 사례를 제공한다.

부록에는 현장에서 실무적으로 활용할 수 있는 계약서나 필요 서식들이 첨부되어 있다.


<첨부파일>

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션



보안솔루션 공급


070-7867-3721, ismsbok@gmail.com

2019년 7월 4일 목요일

AD(Active Directory) 관리자가 피해야 할 6가지 AD 운영 사례


AD 관리자가 피해야 할 6가지 AD 운영 사례

최근, 많은 기업에서는 다수의 윈도우 시스템들을 관리하기 위해 AD(Active Directory) 서비스를 사용한다.

계정 관리 및 정책 배포 등 관리자의 입장에서는 다수의 시스템들을 효율적으로 관리할 수 있도록 도와주는 서비스이지만, 반대로 AD 서버 탈취만으로 공격자에게 내부망을 장악할 수 있는 권한을 내어주게 될 수도 있다.
2
019년 2월 중순부터 국내 여러 기업 내 AD환경을 대상으로 한 CLOP 랜섬웨어 감염 사고가 다수 발생하였다.

KISA는 피해원인 분석 및 재발방지를 위해 사고 분석을 진행하면서 AD 환경에 존재하는 관리적 취약점으로 인해 랜섬웨어가 전파되었음을 확인하였다.

본 사고노트에서는 해당 사고 및 유사한 사례들을 대응하면서 정리한 취약한 AD관리 사례에 대해 소개한다.

1. 개요
2. AD 환경을 악용한 사고 관련 KISA 대응 이력
3. AD 환경에서 '관리자 그룹' 계정이 탈취되는 경로
4. 취약한 AD 관리 사례
5. 결론



<AD(Active Directory) 보안 관련 참고 자료>

o  기업 윈도우 서버를 공격하는 신종 랜섬웨어 감염 확산 주의





컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션


보안솔루션 공급
070-7867-3721, ismsbok@gmail.com





2019년 7월 3일 수요일

TSMC USB 바이러스 감염에 가동 중단 110억 손실(2018)

 뉴딜코리아 홈페이지



TSMC USB 바이러스 감염에 가동 중단 110억 손실

세계 최대 반도체 수탁생산(파운드리) 기업인 대만 TSMC의 생산라인이 컴퓨터 바이러스에 감염돼 공장이 일시 중지됐다.

보안전문업체 뉴딜코리아 등에 따르면 지난 4일 밤 대만 신주와 타이중, 타이난에 있는 TSMC 반도체 공장 3곳에 바이러스가 침투해 생산라인이 멈춰섰다. (2018-08-05)

TSMC는 애플(Apple), 퀄컴(Qualcomm), 엔비디아(NVIDIA) 같은 대형 업체를 주요 고객사로 두고 있는데 오는 6일까지 시스템을 원상 복구할 예정이라고 업체 측은 전했다.

일각에서는 TSMC의 생산 지연으로 인한 제품 선적이 늦어지는 만큼 애플의 차기 아이폰 A12 프로세스 공급에 차질이 불가피할 것으로 내다봤다.

TSMC 측에 따르면, “조사 결과 지난 4일 생산용 컴퓨터에 한 직원이 소프트웨어 업그레이드하는 과정에서 바이러스 검사를 마치지 않은 USB(이동식저장장치)를 연결했다가 감염된 것”이라고 설명했다.

또 “바이러스 공격이 우리의 생산 라인에 영향을 준 것은 처음이다.

현재 공격을 받은 공장은 생산라인을 다시 가동하고 있지만, 안심할 수 없다”며, “그렇다고 공장이 해커에 의해 공격됐다는 것은 아니다"고 말했다.

한편, 이번 사태로 TSMC의 주식은 1.2% 하락했으며, 사건 당일 손실액만 약 110억 원이 넘는 것으로 알려졌다.

TSMC는 “바이러스 감염으로 인해 기밀 정보는 노출되지 않았다”라며 “현재 정보 유지를 위해 보안을 강화했다”라고 전했다.

하지만 TSMC의 신뢰도는 상당한 타격을 입을 것으로 예상한다.


On Saturday, TSMC, a major supplier for Apple Inc, said that a number of its computer systems and fab tools had been infected by a virus, but the problem had been contained.

The company expects full recovery on Aug. 6, the company said in an updated statement on Sunday.

“TSMC expects this incident to cause shipment delays and additional costs. We estimate the impact to third quarter revenue to be about three percent, and impact to gross margin to be about one percentage point,” it said.

“The Company is confident shipments delayed in third quarter will be recovered in the fourth quarter 2018, and maintains its forecast of high single-digit revenue growth for 2018 in U.S. dollars given on July 19, 2018.”

The chipmaker has notified its customers and is working with them on the wafer delivery schedule. Details will be provided to each customer individually over the next few days, it said.

The virus outbreak occurred during the software installation for a new tool, which caused a virus to spread once the tool was connected to the company’s computer network, TSMC said.

“Data integrity and confidential information was not compromised. TSMC has taken actions to close this security gap and further strengthen security measures,” it said.



컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
보안USB 공급
070-7867-3721, ismsbok@gmail.com



2019년 7월 1일 월요일


개인정보 보호 소홀히 한 8개 기관 명단 공개
- 행정안전부, 개인정보보호법 위반 기관 행정처분 결과 발표 -

□ 행정안전부는「개인정보보호법」제66조에 따라 개인정보보호법을 위반한 8개 기관의 위반내용 및 처분내용을 27일 공표했다.

□ 이번 공표는 2019년 1월부터 2019년 3월까지 행정처분을 받은 91개 기관 중 ‘과태료 1천만원 이상’을 부과 받은 8개 기관을 선정, 개인정보보호위원회의 심의·의결을 거쳐 이루어졌다.

○ 주요위반사항은 제15조제2항 개인정보 수집‧이용(고지)위반으로 개인정보 수집‧이용 시 정보주체에게 알려야 하는 사항*을 알리지 않았고

* 개인정보 수집·이용목적, 수집항목, 개인정보의 보유·이용 기간, 동의 거부권·거부 시 불이익

- 개인정보취급자에 대한 접근권한, 접근통제, 접속기록 관련 준수사항을 지키지 않는 등 제29조 안전성확보조치 준수를 위반하였다.

□  이번 공표는 개인정보 수집‧동의획득 시 고지사항 준수와 개인정보 안전성 확보조치를 이행해야함을 강조하기 위함


[붙임] 개인정보 보호법 위반한 공표 내용

========================================
◆ A사 :
========================================

○ 공표사유 : 1회 과태료 부과 총 금액이 1천만 원 이상
○ 계 : 과태료 1,400만원
○ 처분일자 : 2019.2.27.

▷ 위반조항 : 제15조 제2항 (과태료 600만원)
 o 위반 내용 : 개인정보 수집‧이용(고지)위반
  - 개인정보의 수집‧이용 시 정보주체에게 알려야 하는 사항을 알리지 않음
  * 개인정보의 보유 및 이용 기간, 동의 거부 권리 및 거부 시 불이익 내용

▷ 위반조항 : 제17조 제2항 (과태료 600만원)
 o 위반 내용 : 개인정보의 제공(고지) 위반
 - 제3자 제공 및 국외 제3자 제공 시 정보주체에게 알려야 하는 사항을 알리지 않음
  * 개인정보를 제공받는 자, 개인정보의 보유 및 이용 기간, 동의 거부 권리 및 거부 시 불이익 내용

▷ 위반조항 : 제22조 제1항 (과태료 200만원)
 o 위반 내용 : 동의를 받는 방법(구분 동의) 위반 (과태료 200만원)
 - 국외 본사에 제공된다는 사실을 알리고 동의를 받고 있으나, ‘개인정보 수집․이용 동의’와 ‘개인정보 제공 동의’를 구분하여 받지 않음

========================================
◆ B사 :
========================================

○ 공표사유 : 1회 과태료 부과 총 금액이 1천만 원 이상
○ 계 : 과태료 1,300만원
○ 처분일자 : 2019.2.27.

▷ 위반조항 : 제15조 제2항 (과태료 600만원)
 o 위반 내용 : 개인정보 수집‧이용(고지)위반
 - 서비스센터 방문하여 AS신청 시 사용하는 ‘수리접수증’에 개인정보 입력 시 4가지 사항을 정보주체에게 알리지 않음
  * 개인정보의 수집·이용 목적, 수집하려는 개인정보의 항목, 개인정보의 보유 및 이용 기간, 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

▷ 위반조항 : 제26조 제1항 (과태료 100만원)
 o 위반 내용 : 업무위탁에 따른 개인정보의 처리 제한(문서) 위반
 - 개인정보 처리 위탁계약 시 문서에 의하지 않음 * 총 8개업체중 2개 업체 계약서 미비

▷ 위반조항 : 제29조 (과태료 600만원)
 o 위반 내용 : 개인정보의 안전성 확보조치 위반
 - 접속기록 내 수행업무를 누락함

========================================
◆ C사 :
========================================


○ 공표사유 : 1회 과태료 부과 총 금액이 1천만 원 이상
○ 계 : 과태료 3,200만원
○ 처분일자 : 2019.2.27.

▷ 위반조항 : 제15조제2항 (과태료 600만원)
 o 위반 내용 : 개인정보 수집‧이용(고지)위반
 - 개인정보의 수집‧이용 시 정보주체에게 알려야 하는 사항을 알리지 않음
  * 개인정보의 보유 및 이용 기간, 동의 거부 권리 및 거부 시 불이익 내용

▷ 위반조항 : 제17조제2항 (과태료 600만원)
 o 위반 내용 : 개인정보의 제공(고지) 위반
 - 제3자 제공 및 국외 제3자 제공 시 정보주체에게 알려야 하는 사항을 알리지 않음
 * 개인정보를 제공받는 자, 개인정보의 보유 및 이용 기간, 동의 거부 권리 및 거부 시 불이익 내용

▷ 위반조항 : 제21조제1항 (과태료 900만원)
 o 위반 내용 : 개인정보 파기 미이행
 - 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때 지체 없이 그 개인정보를 파기하지 않음

▷ 위반조항 : 제26조제2항 (과태료 200만원)
 o 위반 내용 : 업무위탁에 따른 개인정보처리 제한(공개)위반
- 개인정보 처리를 위탁하면서 수탁자 및 업무내용을 공개하지 않음

▷ 위반조항 : 제29조 (과태료 900만원)
 o 위반 내용 : 개인정보의 안전성 확보조치 위반
 - 내부 관리계획의 필수 사항 일부 내용 누락
 - 외부에서 개인정보처리시스템에 접속할 경우 안전한 접속수단을 적용하거나 안전한 인증수단 미적용
 - 개인정보처리시스템의 접속기록을 반기별로 1회 이상 점검하지 않음

========================================
◆ D사 :
========================================

○ 공표사유 : 1회 과태료 부과 총 금액이 1천만 원 이상
○ 계 : 과태료 1,400만원
○ 처분일자 : 2019.2.27.

▷ 위반조항 : 제15조제2항 (과태료 600만원)
 o 위반 내용 : 개인정보 수집 이용(고지)위반
 - 개인정보의 수집‧이용 시 정보주체에게 알려야 하는 사항을 알리지 않음
  * 개인정보의 보유 및 이용 기간, 동의 거부 권리 및 거부 시 불이익 내용

▷ 위반조항 : 제26조제2항 (과태료 200만원)
 o 위반 내용 : 업무위탁에 따른 개인정보처리 제한(공개)위반
 - 개인정보 처리를 위탁하면서 수탁자 및 업무내용을 공개하지 않음

▷ 위반조항 : 제29조 (과태료 600만원)
 o 위반 내용 : 개인정보의 안전성 확보조치 위반
 - 비밀번호 작성규칙 실제 적용하지 않음
 - 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우 자동으로 접속이 차단되는 기술적 조치를 취하지 않음 - 계정정보 또는 비밀번호를 일정횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 취하지 않음

========================================
◆ E사 :
========================================

○ 공표사유 : 1회 과태료 부과 총 금액이 1천만 원 이상
○ 계 : 과태료 1,200만원
○ 처분일자 : 2019.2.27.

▷ 위반조항 : 제24조제3항 (과태료 600만원)
 o 위반 내용 : 고유식별정보의 안전성확보조치 위반
 - 주민등록번호를 정보통신망을 통하여 송신 시 이를 암호화하지 않음

▷ 위반조항 : 제29조 (과태료 600만원)
 o 위반 내용 : 개인정보 안전성 확보조치 위반
 - 비밀번호 작성규칙 실제 적용하지 않음
 - 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 조치하지 않음
 - 비밀번호를 저장 시 일방향 암호화를 적용하지 않음
 - 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관 및 관리하지 않음

========================================
◆ F사 :
========================================

○ 공표사유 : 1회 과태료 부과 총 금액이 1천만 원 이상
○ 계 : 과태료 1,200만원
○ 처분일자 : 2019.2.27.

▷ 위반조항 : 제24조제3항 (과태료 600만원)
 o 위반 내용 : 고유식별정보의 안전성확보조치 위반
- 주민등록번호를 정보통신망을 통해 송신시 암호화 적용하지 않음

▷ 위반조항 : 제29조 (과태료 600만원)
 o 위반 내용 : 개인정보 안전성 확보조치 위반
- 개인정보취급자의 접근권한 부여·변경·말소에 대한 내역을 기록 및 관리하지 않음
- 안전한 비밀번호 작성규칙은 수립하였으나 이를 적용하지 않음
- 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근제한을 하지 않음
- 인터넷 홈페이지를 통해 고유식별정보를 처리함에도 연 1회 이상 취약점 점검을 실시하지 않음
- 정보통신망을 통해 비밀번호 송신 시 암호화 조치를 하지 않음
- 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관 및 관리하지 않음

========================================
◆ G사 :
========================================

○ 공표사유 : 1회 과태료 부과 총 금액이 1천만 원 이상
○ 계 : 과태료 1,200만원
○ 처분일자 : 2019.2.27.

▷ 위반조항 : 제24조제2항 (과태료 600만원)
 o 위반 내용 : 주민등록번호 암호화 위반
- 주민등록번호 저장 시 암호화를 조치하지 않음

▷ 위반조항 : 제29조 (과태료 600만원)
 o 위반 내용 : 개인정보 안전성 확보조치 위반
- 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하지 않음
- 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 안전한 접속수단을 적용 하거나 안전한 인증수단을 적용하지 않음
- 비밀번호를 저장하는 경우 복호화 되지 아니하도록 일방향 암호화하여 저장하지 않음
- 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관·관리하지 않음

========================================
◆ H사 : (병원)
========================================

○ 공표사유 : 1회 과태료 부과 총 금액이 1천만 원 이상
○ 계 : 과태료 1,100만원
○ 처분일자 : 2019.2.27.


▷ 위반조항 : 제21조제1항 (과태료 300만원)
 o 위반 내용 : 개인정보 파기 미이행
 - 보유기간의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게 되었을 때 지체 없이 그 개인정보를 파기하지 않음


▷ 위반조항 : 제26조제1항 (과태료 200만원)
 o 위반 내용 : 업무위탁에 따른 개인정보의 처리 제한(문서) 위반
 - 개인정보 처리 위탁계약 시 문서에 의하지 않음


▷ 위반조항 : 제29조 (과태료 600만원)
 o 위반 내용 : 개인정보 안전성 확보조치 위반
 - 개인정보보호책임자가 내부관리계획의 이행실태를 점검 관리하지 않음
 - 개인정보처리시스템에 대한 접근권한을 업무담당자에 따라 차등부여하지 않음 등






컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 
취약점 진단 및 모의 침투
개인정보 비식별화 솔루션


보안솔루션 공급
070-7867-3721, ismsbok@gmail.com