ISO27001-17 통제항목 번역 (한글)

 뉴딜코리아 홈페이지 

■ ISO 27001, 27017, 27018 인증

ISO 27001은 국제 표준화 기구(ISO) 및 국제전자기술위원회(IEC)가 2005년에 처음 발표한 정보 보안 표준입니다.

2013년 9월, ISO 27001:2013이 발표되어 최초의 2005년 표준을 대체했습니다.

ISO 27001은 전 세계에서 인정받는 표준 기반 보안 접근 방식이며, 조직의 정보 보안 관리 시스템(ISMS)이 갖춰야 할 요건을 제시합니다.

2015년에 발표된 ISO 27017은 ISO 27001을 보완하는 표준입니다.

이 표준은 클라우드 서비스 프로비저닝 및 사용에 적용되는 정보 보안에 관한 통제 및 이행 지침을 제공합니다.

ISO 27018은 2014년에 ISO/IEC에서 발표한 보완 표준이며, 개인 데이터를 취급하는 클라우드 서비스 제공자에 적용되는 지침으로 구성됩니다.

뉴딜코리아는 2016년 9월에 ISO 27001, 2016년 10월에 ISO27018, 2017년 11월에 ISO 27017 인증 컨설팅을 수행하고 있습니다

ISO 재인증은 3년마다 시행되지만, 매년 감독 감사를 받아야 인증이 유지됩니다.

이러한 ISO 인증은 고객사가 개인정보 보호와 보안에 최선을 다하고 있으며 고객사의 통제 기능이 제대로 실행되고 있음을 입증합니다.

ISO 인증서 및 ISMS 적용성 보고서는 고객이 검토할 수 있습니다.

▶ ISO 27017 규격의 개요

ISO/IEC에서는 클라우드서비스 보안을 위해 ISO/IEC 27002를 기본으로 클라우드서비스 관련된 내용을 추가한 ISO/IEC 27017을 2015년에 발간하게 되었다.

전체적으로는 14분야에 걸쳐 117개의 통제사항으로 구성되어 있다.

이는 기존의 정보보호를 위한 통제사항 집합인 ISO/IEC 27002를 모두 적용함과 동시에 클라우드 특성이 있는 통제사항은 같은 틀 내에서 반영하고 있는 구조이다.

ISO 27017인증의 목적은 객관적이고 공정한 클라우드서비스보안인증을 통해 이용자의 보안 우려를 해소하고 클라우드서비스 경쟁력을 확보하는 데 있다.

▶ ISO 27017 규격의 요구사항

ISO 27017 국제 표준에서는 ISO27001 국제 표준에 기반한 정보보안관리체계에 클라우드 서비스 제공자와 고객이 추가로 반영해야 할 프레임워크 측면의 요구사항을 정의하고 있다.

또한, 가상 머신 hardening, 클라우드 서비스 모니터링, 가상 네트워크와 물리적 네트워크를 위한 정보보호 관리, 클라우드 환경의 운영 관리 절차, 가상 컴퓨팅 환경에서의 분리, 클라우드 서비스 고객 정보 및 자산의 삭제 등 클라우드 서비스에 특화된 정보보호 통제에 대한 요구사항을 추가로 정의하고 있다.

▶ ISO 27017 CLS 정보보안 인증의 핵심내용

o 관리적 보호조치
   정보보안정책수립, 인적보안, 자산관리, 서비스공급망 관리, 침해사고 관리 등

o 기술적 보호조치
  보안, 접근통제, 네트워크보안, 데이터보안, 암호화 등

o 물리적 보호조치
  보안구역 지정, 물리적 접근제어, 장비 반/출입 등 정보보호 시설 및 장비보호

▶ 클라우드 서비스 정보보안 위협

o 거버넌스 측면
  거버넌스 손실, 책임성 모호, 준거성 및 법적 위험, 국경문제

o 접근통제 측면
  제공자 시스템에 대한 비인가 접근, 관리 인터페이스 취약성, 보호 메커니즘의 비일관성 및 상충

o 데이터 보안 측면
  개인정보 유출 및 손실, 불완전한 데이터 삭제, 격리(isolation) 실패

o 운영관리 측면
  서비스 비가용성 및 중단, 보안사고 처리, 공급망 취약성

▶ 인증 취득시 기대효과

클라우드 서비스는 비용의 효과성과 이동성의 장점으로 인하여 전 세계적으로 수요가 급증하고 있으며, 이로 인하여 산업의 성장성이 높은 분야이다. 블루오션인 클라우드 서비스에서 CLS 인증취득을 통해 정보보안에 대한 신뢰성을 확보할 수 있다.

ISO 27001에 기반한 정보보안관리체계를 운영하고 있는 조직 중 클라우드 관련 이슈가 있는 조직이 ISO 27017 국제 표준의 요구사항을 추가로 반영한다면, 전세계 어느 곳에서도 일관된 인정을 받을 수 있는 통합된 시스템의 운영이 가능할 것이다.

ISO/IEC 27017은 사업운영에 장애가 되는 법적 소송이나 분쟁, 그리고 자신들의 브랜드에 대한 타격으로부터도 보호 받을 수 있다.

클라우드 서비스 제공자 관점에서는 객관적이고 공정한 클라우드 보안인증을 통해 이용자의 신뢰도 향상 및 제공자의 정보보호 수준 향상에 기여할 수 있다.

☞ 첨부파일 : ISO27001-17 통제항목 번역 (한글)

컨설팅 : ISMS, ISO27001  GDPR,PCI-DSS 

취약점 진단 및 모의 침투

개인정보 비식별화 솔루션

보안솔루션 공급
070-7867-3721, ismsbok@gmail.com

 

보안USB (시큐드라이브)

 뉴딜코리아 홈페이지

보안USB 솔루션

정말 중요한 데이터라면 보안USB에서 작업하고, 작업이 완료되면 PC에서 보안USB를 분리하세요.

시큐드라이브 보안USB는 AES-256비트 암호화칩을 탑재하고 있으며, 비밀번호를 입력해야만 USB를 사용할 수 있습니다.

일정 횟수 이상 비밀번호 입력 오류 시 데이터가 자동으로 파괴되기 때문에 분실 시에도 데이터의 유출을 방지할 수 있습니다.

USB에 자료를 저장해서 다른 사람과 공유해야 한다면, 유출방지 기능이 내장된 보안USB를 사용해보세요.

복사방지 기술로 USB에 저장된 데이터가 외부로 유출되는 것을 방지합니다.

업무에 적합한 보안USB를 이용하면, 투자 비용 대비 기대 이상의 효과를 얻을 수 있습니다.

이제, 보안USB로 안전한 업무 환경을 만들어보세요.

◈ H/W(하드웨어) 암호화

□ 비밀번호 인증과 데이터 암호화로 USB를 안전하게 보호

시큐드라이브 보안USB 솔루션은 USB 메모리에 하드웨어 암호화칩을 탑재하여 비밀번호를 입력해야만 USB를 사용할 수 있습니다.

일정 횟수 이상 비밀번호 입력 오류 시 데이터가 자동으로 파괴됩니다.

비밀번호 분실 시, 강제로 재설정하는 기능이 필요하다면, 관리형 보안USB를 사용해보세요.

원격으로 암호를 재설정하고 잠금을 해제할 수 있습니다.

정보유출을 걱정하신다면, 더 늦기 전에 업무용 USB를 보안USB로 교체하십시오.

○ 비밀번호 인증
USB를 사용하기 위해서는 비밀번호를 입력해야 합니다.
PC에서 USB를 분리하면 자동 잠금이 되며, 다시 PC에 꽂아 사용하려면 비밀번호를 입력해야 합니다.

○ AES-256 비트 암호화 칩 탑재
시큐드라이브 보안 USB는 AES-256 H/W 암호화 칩을 사용하고 있습니다.
H/W 암호화 방식은 암호화 키를 보안 칩 내부에 저장하여 외부로 노출하지 않기 때문에 S/W 암호화 방식에 비해 보안 수준이 월등히 높습니다.

○ 분실 시 데이터 파괴분실된 메모리를 제3자가 습득하여, 비밀번호 입력을 일정 횟수 이상 실패하면 USB에 저장된 데이터가 자동으로 파괴됩니다.

○ Mac OS 대응

USB Basic/Basic+ 모델은 Mac OS에서도 사용할 수 있습니다.

◈ 파일유출방지

□ 파일 유출방지 기술로 USB를 안전하게 보호

시큐드라이브 유출방지 기술을 적용하면, USB에 저장된 파일은 PC 및 다른 USB로 복사할 수 없으며, 보안정책에 따라 인쇄 / 캡처 / 온라인 전송을 제어할 수 있습니다.

USB에 파일을 저장한 후, 다른 사람과 공유할 때, 파일 유출이 걱정된다면, 시큐드라이브 보안USB를 이용해 보세요.

시큐드라이브 보안USB를 이용하면 고가의 솔루션을 도입하지 않더라도 저렴한 비용에 협업 보안을 쉽게 구성할 수 있습니다.

○ 화이트리스트 접근 제어
디지털 서명이 있거나, 화이트리스트에 등록된 프로그램만 USB에 접근할 수 있습니다.
출처가 불분명하거나, 정보유출 가능성이 있는 미등록 프로그램은 접근이 차단됩니다.

○ 파일 및 클립보드 복사방지
USB에 저장된 파일은 복사·붙여 넣기하거나, 다른 이름으로 USB 이외의 영역(예:로컬디스크, USB)에 저장하거나, 파일 내용 일부를 클립보드 복사·붙여넣기로 외부 유출하는 것을 방지할 수 있습니다.

○ 온라인 전송 방지
USB에 저장된 파일을 웹메일, Outlook, 네이트온, 카카오톡, Skype, Dropbox 등의 서비스를 통해 외부로 전송하는 것을 방지할 수 있습니다.

○ 화면 캡처 방지
USB에 저장된 파일의 화면 캡처를 방지할 수 있습니다.
화면 캡쳐 시도 시 캡처 화면 대신 경고 화면을 표시하고, 화면 캡처 관련 특수 키 사용을 금지합니다.

○ 출력물 보안
USB에 저장된 파일은 인쇄를 차단하거나, 인쇄 시 워터마크를 강제로 출력할 수 있습니다.



◈ 사용제한

□ 보안USB는 정해진 PC에서만 사용

USB의 가장 큰 장점은 어떤 PC에서라도 사용할 수 있다는 점입니다.

그러나 이 장점이 때로는 보안 관리자를 골치 아프게 합니다.

시큐드라이브 보안USB는 관리자가 지정한 PC에서만 USB를 사용할 수 있도록 제한할 수 있습니다.

이제 보안USB를 회사 내 업무용 PC에서만 사용할 수 있게 제한해보세요.

USB가 외부에 반출되어도 정보 유출 걱정이 없습니다.

○ 매체제어 프로그램과 연계
매체제어 프로그램을 보안USB와 함께 사용하면, 일반 USB 사용을 금지하고, 보안USB는 관리자가 지정한 PC에서만 사용할 수 있게 보안 정책을 설정할 수 있습니다.




◈ USB백신

□ USB 백신 선택이 아니라 필수

바이러스에 감염된 USB를 회사 PC에 꽂으면 회사 네트워크 전체가 바이러스에 감염될 수 있습니다.

사무실, 학교, PC 방과 같은 신뢰할 수 없는 장소에서 사용되는 USB는 바이러스에 감염될 가능성이 높습니다.

바이러스에 감염된 USB 메모리는 바이러스를 확산시키는 매개체가 되어 USB를 사용했던 다른 PC까지 2차 감염시킵니다.

SECUDRIVE USB V 시리즈는 Trend Micro USB Security 백신을 탑재하고 있습니다.

 저장되는 파일에 대해 바이러스 검사를 하고 탐지된 바이러스를 격리, 제거함으로써 USB 메모리가 바이러스에 감염되는 것을 방지합니다.

이제 보안USB에 바이러스 백신은 선택이 아니라 필수입니다.

○ Trend Micro USB Security 2.1
1년 사용권 및 사용 기간 중 바이러스 패턴 업데이트 서비스 무료 제공

○ 실시간 바이러스 감지
USB에 저장되는 파일에 대해 실시간 바이러스 검사를 수행하고, 바이러스가 탐지되면 격리 및 제거



◈ 외부협업

□ 보안USB만 있다면, 외부 협업 보안, 어렵지 않아요

협력업체, 재택근무자, 프리랜서와 협업을 해야 하는데 보안이 걱정되시나요?

어렵고, 복잡한 솔루션 대신 시큐드라이브 보안USB를 이용하여 외부 협업을 해보세요.

협업 과정에서 발생할 수 있는 정보 유출 사고를 쉽고 간단하게 예방할 수 있습니다.

이메일이나 퍼블릭 클라우드 스토리지로 파일을 공유하는 경우 파일이 유출될 수 있습니다.

외부 협업 시 안전하게 정보를 공유하고 싶다면, 보안USB를 이용해보세요.

파일 교환은 이메일이나 NAS를 이용하고, 파일 작업은 보안USB 내에서 하는 것만으로도 파일 유출 걱정 없는 안전한 외부 협업 환경을 구축할 수 있습니다.

○ 이메일로 파일 교환
보안 USB를 수신자에게 미리 제공합니다.
송신자는 파일을 암호화해서 수신자에게 메일로 전달합니다.
수신자는 암호화된 파일을 보안 USB에 다운로드하여 자료를 열람합니다.
보안USB에 저장된 파일은 외부 유출이 불가능합니다.

○ NAS로 파일 교환
NAS에 웹 자료실을 구성한 후, 파일을 업/다운로드하는 방식으로 정보를 공유합니다.
파일 업/다운로드는 보안 USB나 문서중앙화 솔루션이 설치된 PC로 한정하며, 다운로드한 파일은 외부 유출이 불가능합니다.

◈ 매체제어

□ 미등록 USB는 차단, 보안USB는 허가

보안USB를 도입하면, 업무용 PC에서는 일반 USB사용을 금지해야 합니다.

DLP 프로그램을 도입해서 사용하고 있다면, 시큐드라이브 보안USB만 사용할 수 있도록 보안 정책을 설정해보세요.

만약, 매체제어 프로그램이 없다면 시큐드라이브에서 제공하는 매체제어 프로그램을 이용해보세요.

일반 USB 사용을 금지하고, 지정한 보안USB만 사용할 수 있게 보안 정책을 설정할 수 있습니다.

○ 단독형 매체제어 프로그램
사용자 PC에 설치하는 독립형 매체제어 프로그램입니다.
설치 전용 USB를 이용하여 프로그램을 설치합니다.
관리서버 없이 손쉽게 사용할 수 있는 것이 장점입니다.

○ 중앙관리형 매체제어 프로그램
사용자 PC에 설치하는 매체제어 Agent 프로그램과 보안 관리자용 매니저 프로그램을 제공합니다.
매니저 프로그램에서 보안 정책을 통합 관리할 수 있으며, 사용자 PC에서 발생하는 각종 USB 작업 로그를 수집할 수 있습니다.

☞ 시큐드라이브 보안USB 상세 내용은 첨부 파일을 참고 바랍니다

​

 

육상 물류보안 유형별 가이드라인 .. 국토교통부

 뉴딜코리아 홈페이지

육상 물류보안 유형별 가이드라인

(공급사슬 물류보안 수준 제고를 위한)

- 국토교통부 [ 물류시설정보과 ] -

제1장 물류보안의 개요
1. 물류보안의 정의
2. 물류보안 취약 구간 및 육상 물류보안의 의의


제2장 육상 물류보안 유형별 가이드라인
1. 물류보안 유형별 가이드라인 활용 방법
2. 물류보안 유형별 가이드라인
① 물리적 보안 (Physical Security)
② 접근 통제 (Access Control)
③ 공급사슬 운송 수단/과정 보안 (Conveyance Security)
④ 인적 보안 (Personnel Security)
⑤ 물류보안 교육 및 훈련 (Education and Training Awareness)
⑥ 화물취급 절차 보안 (Procedural Security)
⑦ 문서처리 및 정보 보안 (Documentation Processing/Information Security)
⑧ 거래 상대자 보안 (Trading partner Security)


제3장 국내 물류보안 사고 사례와 육상 물류보안 가이드라인 검토 결과
1. 물류보안 사고 사례 개요
2. 사고 사례에 대한 육상 물류보안 가이드라인 적용 사례


<참고자료> 글로벌 주요 물류보안 제도와 물류보안 활동의 유형
1. 글로벌 주요 물류보안 제도
2. 물류보안 활동의 유형

참고 문헌

첨부파일 : 육상물류보안유형별가이드라인

CCTV 영상보안 솔루션 

(070-7867-3721, ismsbok@gmail.com)

웹로직(Weblogic) 원격 코드 실행 취약점 주의

 뉴딜코리아 홈페이지

▣ Oracle Weblogic Server 원격 코드 실행 취약점 주의 권고

□ 개요
 o Oracle社의 Weblogic Server에서 원격 코드 실행 가능한 취약점이 발견
 o 취약점 공격 코드가 공개되어 있어 영향 받는 버전의 사용자는 아래 대응 조치를 통한 해결 등 주의 당부

□ 내용
 o 자바 역직렬화 취약점을 이용한 원격 코드 실행(CVE-2018-2628)
 
□ 영향 받는 버전
 o Oracle Weblogic Server
   - 10.3.6.0
   - 12.1.3.0
   - 12.2.1.2
   - 12.2.1.3
 
□ 임시 대응 방안
 o Oracle社 4월 정기 보안 패치[1]에서 본 취약점에 대한 보안 패치를 발표하였으나 패치 우회 가능성이 제기됨에 따라 아래 방법에 따라 임시 대응 권고
  
- 취약점에 영향 받는 서비스 포트(7001번)에 대해 승인된 시스템 및 관리자만 접근할 수 있도록 방화벽 등을 통한 접근통제 설정

     ※ 7001번은 기본 포트이며 포트를 변경하여 사용할 경우 변경된 포트로 접근통제 설정
 
[참고사이트]
https://nvd.nist.gov/vuln/detail/CVE-2018-2628
https://www.rapid7.com/db/search?q=weblogic&t=a
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
http://admintony.com/2018/04/20/CVE-2018-2628-WebLogic%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%BC%8F%E6%B4%9E%E5%A4%8D%E7%8E%B0/

결제대행사 고객의 개인정보에 관한 조치 위반 (안전한 인증 수단 미흡 등 ) 과태료 처분

출처 : 뉴딜코리아 홈페이지

결제대행 사업자 개인정보에 관한 조치위반 (접근통제 미흡 등 ) 과태료

[No. 1] 결제대행 사업 A사, B사 등을 포함한 총 8개사가 고객의 개인정보에 관한 조치를
제대로 이행하지 않아 각 1000만원 과태료 처분을 받았다.

결제대행사란 온라인 쇼핑몰이나 통신사 등에서 사용자가 돈을 낼 때 결제를 중계하는 정보통신 사업자를 뜻한다.

15일(2017.03) 방송통신위원회는 전체회의를 열고 이같은 내용의 국내 8개 결제대행사에 대해 각각 1천만원의 과태료를 부과하는 시정조치(개인정보 보호 법규 위반 사업자에 대한 시정조치 안건)를 의결했다.

이에 따라  A사, B사등 8개 사업자는 과태료1000만원을 각각 내야한다.
(사업자의 법인 대표와 개인정보보호 책임자, 개인정보취급자 등은 정기적 교육을 진행해야 하며 교육결과와 재발방지책 등을 마련해 보고해야 한다.)

조사결과, 이번 과태료 1000만원 처분을 받은 8개사들은 자사들의 결제서비스를 이용하는 가맹점들이 접속할 때 아이디와 비밀번호만으로 접근이 가능하도록 허술한 관리를 했다.
(이 업체들은 외부 가맹점이 고객 개인정보가 저장된 자사 시스템에 접속할 때 '보안토큰' '휴대전화 인증' '일회용 비밀번호' 등 관련 법이 정한 보안 조처를 적용하지 않은 것으로 조사됐다.)

 가맹점 편의만 생각해 단순히 ID와 PW(비밀번호)만 치면 개인정보 시스템에 접속할 수 있게 해 해킹이나 개인정보 유출 등 위험을 키웠다는 것이다.

방통위 관계자는 "보안 조처를 강화하면 가맹점이 서비스가 불편하다며 다른 결제대행사로 옮겨갈 수 있어
보안이 부실해진 측면이 있었다"며 "모든 결제대행사가 같은 보안 조처를 이행할 수 있도록 모니터링하겠다"고 설명했다.

[관련법령]                                                국가법령정보센터(http://www.law.go.kr/main.html)

▶ 개인정보의 기술적 관리적 보호조치 기준     [시행 2015.5.19] [방송통신위원회고시 제2015-3호, 2015.5.19, 일부개정] ~생략~  제4조(접근통제) ① 정보통신서비스 제공자등은 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위하여 필요한 개인정보관리책임자 또는 개인정보취급자에게만 부여한다. ② 정보통신서비스 제공자등은 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다. ③ 정보통신서비스 제공자등은 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 5년간 보관한다. ④ 정보통신서비스 제공자등은 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속이 필요한 경우에는 안전한 인증 수단을 적용하여야 한다. ~ 생략 ~

[No. 2] 정보통신망법 위반사항이 적발된 C회계법인은 시정명령을 받았다.

C회계법인은 자격증 응시 등을 위한 홈페이지를 영리목적으로 운영하는 정보통신망법 사업자로서,
'마케팅 광고 활용' 에 이용자들이 동의하지 않으면 회원가입을 불가능하게 한 사실이 드러나 시정명령을 받게 됐다.

[관련법령]                                              국가법령정보센터(http://www.law.go.kr/main.html)

개인정보 보호법[시행 2016.9.30.] [법률 제14107호, 2016.3.29., 일부개정] 제3장 개인정보의 처리 제1절 개인정보의 수집, 이용, 제공 등 제16조(개인정보의 수집 제한) ① 개인정보처리자는 제15조제1항 각 호의 어느 하나에 해당하여 개인정보를 수집하는경우에는 그 목적에 필요한 최소한의 개인정보를 수집하여야 한다. 이 경우 최소한의 개인정보 수집이라는 입증책임은 개인정보처리자가 부담한다. ② 개인정보처리자는 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리고 개인정보를 수집하여야 한다.<신설 2013.8.6.> ③ 개인정보처리자는 정보주체가 필요한 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하여서는 아니 된다.<개정 2013.8.6.> [ 개인정보_보호법_해설서(20160329)] (http://cafe.naver.com/rapid7/2721) 4. 재화 등 제공 거부 금지 필요 최소한의 정보 외의 개인정보 수집에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스 제공을 거부해서는 안 된다. 서비스 제공에는 회원 가입도 포함된다. 유료의 경우는 물론이고 무료의 경우도 마찬가지이다. 이는 개인정보 수집·이용에 대해 강요된 동의를 막기 위한것이다. 따라서 정보주체의 동의를 받으면서 선택정보에 대한 동의를 거부할 경우 재화 또는 서비스의 이용이 제한될 수 있다고 알리는 것은 가능하다. 5. 벌칙 규정 - 위반행위 필수정보 이외의 정보 수집에 동의하지 않는다는 이유로 재화 또는 서비스의 제공을 거부한 자 (제16조제3항 위반) - 벌칙 3천만원 이하 과태료 (제75조제2항제2호)

     

개인정보보호/ISMS/PIMS/ISO27001 컨설팅

개인정보의 안전성 확보조치 기준 개정 고시 ([시행 2016.9.1.])

 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2633

 

개인정보 많이 보유한 기업일수록 개인정보보호 강화

- 「개인정보의 안전성 확보조치 기준」개정 고시 -

[시행 2016.9.1.] [행정자치부고시 제2016-35호, 2016.9.1., 전부개정]

 

​

□ 개인정보를 많이 보유하고 있는 사업자 혹은 기관일수록 보다 강력한 수준의 개인정보 보호장치를 갖춰야 한다.

□ 행정자치부(장관 홍윤식)는 기업 규모 및 개인정보 보유량에 따라 개인정보에 대한 안전조치 기준을 차등화해 보유량이 적은 영세사업자의 안전조치는 완화하고, 보유량이 많은 기업은 안전조치를 강화하는 내용을 담은 「개인정보의 안전성 확보조치 기준」을  2016년 9월 01일부터 시행한다.

□ 그간 개인정보 유출사고 방지나 해킹위협에 대응하기 위해 개인정보 안전조치를 강화할 경우, 모든 사업자에게 동일한 기준이 적용돼 왔다.이에 따라 영세사업자에게 과도한 부담을 줬고, 대규모 개인정보를 처리하는 기업도 추가적인 안전조치 사항을 반영하는데 어려움이 있었다.

○ 행정자치부는 「개인정보의 안전성 확보조치 기준」을 개정하여기업 규모 및 개인정보 보유량에 따라 3가지 유형으로 분류하여 안전조치 의무사항을 차등화 했다.

□ 개정된 주요 내용은 다음과 같다.

【 안전조치 의무 차등화 】

○ 개인정보 보유량이 1만 명 미만인 소상공인, 단체 등(유형1)은 내부관리계획 수립이 면제된다.
   아울러 시스템에 대한 접근 제한 및 접근통제를 위한 기술적 안전조치 일부*도 면제된다.
    * 외부에서 시스템 접속시 VPN(가상사설망) 적용의무, 고유식별정보 취약점 점검 등

○ 개인정보 보유량이 100만 명 미만 중소기업, 10만 명 미만 대기업 및 공공기관 등(유형2)은 재해·재난 대비 등을 위한 안전조치 사항(개인정보시스템 백업 및 복구 등)을 면제하고, 개인정보처리시스템에 대한 접근권한 및 접근통제 조치는 강화한다.

○ 개인정보 보유량이 10만 명 이상 대기업 및 공공기관, 100만 명 이상의 개인정보를 보유한 중소기업 등(유형3)은 위험도 분석·대응, 안전한 암호 키 관리 절차, 재해·재난 대비 등을 위한 안전조치 의무화 등 비상시 대응절차가 강화된다.

유형	적용 대상	(비율)	개정된 안전조치 주요내용
유형1(완화)	·보유량 1만명 미만 소상공인, 단체	(80%)	·내부관리계획 수립, 접근권한 관리 일부 면제 · 접근통제 기술적 조치사항 일부(고유식별정보 취약점 점검 등) 면제
유형2(표준)	·보유량 1만명 이상 소상공인, 단체 ·보유량 10만명 미만 대기업·중견기업, 공공기관 ·보유량 100만명 미만 중소기업	(19.7%)	·재해·재난 대비 등 안전조치사항 면제 ·개인정보처리시스템의 접근권한 및 접근통제 강화를 위한 기술적 조치 강화
유형3(강화)	·보유량 10만명 이상 대기업‧중견기업, 공공기관 ·보유량 100만명 이상 중소기업, 단체	(0.3%)	·내부관리계획(위기대응 절차 마련 등), 암호화 키 관리 등 관리적 조치 강화 ·재해·재난 대비 안전조치 등 비상시 대책 강화

【 관리적·기술적 안전조치 강화 】

 ○ 개인정보 유출사고 예방을 위해 개인정보 보호조직 구성·운영, 유출행위 탐지·대응 및 개인정보처리시스템에 접속하는 단말기에 대한 안전조치 등 관리적 안전조치 규정도 신설했다.

 ○ 더불어 개인정보처리시스템에 비정상 계정접근 차단조치, 일정시간 이상 업무처리를 하지 않는 경우 자동 접속차단 등 시스템에 대한 불법적인 접근 및 침해사고 방지를 위한 기술적 안전조치도 추가했다.

□ 이인재 행정자치부 전자정부국장은

 ○ “그간 개인정보 보유량과 상관없이 안전성 확보조치 기준의 획일적 규제는 불합리한 측면이 있었던 것이 사실”이라며,

 ○ “안전성 확보조치 기준이 합리적으로 개선되어, 대다수 영세사업자의 개인정보 보호에 대한 과도한 규제부담을 완화하면서 상대적으로 대규모 개인정보 보유기관의 개인정보 보호 수준을 향상시키는 계기가 될 것으로 기대된다.”라고 말했다.

[첨부파일]

개인정보의 안전성 확보조치 기준[시행 2016.9.1.] [행정자치부고시 제2016-35호, 2016.9.1., 전부개정]

SQL Server 보안 가이드

카페 > 뉴딜코리아 홈페이지 | 뉴딜코리아
http://cafe.naver.com/rapid7/2385

SQL Server 보안 가이드

뉴딜코리아 컨설팅사업부 (070-7867-3721, ismsbok@gmail.com)

본 문서는 개인정보보호법 및 관련 법률에 부합하기 위해 Microsoft SQL Server(이후 SQL Server로칭함) 에서 수행해야 할 내용에 대한 가이드 라인을 제시할 목적으로 작성 되었다.

SQL Server가 운영되는 환경의 개별 특성에 따라 수행 과정에 다소 차이가 있을 수 있으므로, 본 문서는 가장 일반적인 상황에서의 수행 방법을 SQL Server 2012 Enterprise Edition을 기준으로 설명한다.
​
​
▣ 포함된 내용

SQL Server 보안기본 : SQL Server를 운영하는데 기본적으로 필요한 보안 관련 개념 및 구성 방법에 대한 설명

SQL Server의 접근통제 : 개인정보에 대한 접근을 통제하기 위해 수행되어야 하는 단계별 권한 제어 방법에 대한 설명

SQL Server의 개인정보 암호화 : 개인정보를 암호화 하기 위해 사용 할 수 있는 다양한 데이터 암호화 및 데이터베이스 암호화 사용 방법에 대한 설명

SQL Server의 접속기록의 위ㆍ변조 방지 : 개인정보에 대한 접속기록을 남기고 정기적으로 모니터링 하기 위한 SQL Server 감사 기능에 대한 설명

시뮬레이션 : 앞의 과정에서 설명한 내용을 전반적으로 정리하기 위해 가상의 요구사항과 함께 각 요구사항에 대한 해결책 설명

보안 점검 체크리스트 : 업무상에서 활용할 수 있는 보안 점검 체크리스트

개인정보보호법 및 관련 법률 : 개인정보보호법 및 관련 법률내용 중에서 본서에서 다룬 내용과 밀접한 관계가 있는 중요 부분


첨부파일 : SQL Server 보안 가이드