[KISA] 개인정보보호 관리체게 (PIMS) 구축 운영 교육
2020. 12. 2. 07:10ㆍ정보보안
728x90
00. 개인정보보호 관리체계의 목적
- 개인정보관리의 안정성, 신뢰성확보
01. 사회적배경
- 다양한 디바이스의 증가
- 정보가 중앙집중화(서버) 되었고, 의도하지 않은 사고로 이용자의 정보가 유출 됨
⇒ 이에 따라, 기업은 고객의 정보를 어떻게 안전하게 보관하는지 고민함
단순히, 보안장비 운영으로는 해결이 되지 않음. 이에 따라서 체계적인 방법의 필요성이 대두 됨
02. 개인정보보호법
개인정보 보호법과 관련 법의 관계
- 일반법인 개인정보보호법은 공공/민간 모두에 적용됩니다 (단일법주의)
- 정통서비스 제공자는 특별법인 정통망법, 신용정보회사는 신용정보법(특별법) 의 적용을 받습니다.
개인정보 법률정의
1. 자연인이고, 생존한 사람이어야 한다
2. 특정 개인(사람) 과 관련을 지닌다(1인 이상의 특정인임을 구별할 수 있는 정보, 평균은 개인정보가 아님)
3. 개인 식별이 가능한 고유한 정보
4, 다른 정보와 결합하여 식별할 수 있는 정보
개인정보보호법 요구사항
- 2011년 9월 30일 제정된 일반법
- 가명정보의 예시 : 암호화 된 것, 일부를 삭제하여 개인을 알아볼 수 없게 함
- 익명정보의 예시 : 결합해도 식별할 수 없는 것
개인정보보호법 근간 원칙
개인정보보호법 관련 법률
03. PIMS
- 법적근거 : 개인정보보호법 , 정보통신망법
관련 인증 제도 비교
개인정보흐름도 및 생명주기 관리
- 수집원칙 : 직접수집, 최소수집, 적법성
- 이용시 주의 사항
- 파기
개인정보 처리 시스템 작성 , 흐름도 작성
- 개인정보 흐름도 : 수집 - 저장 - 이용 - 제공 - 파기 의 생명주기
- 업무흐름도를 작성해야함
04. 관리과정과 위험관리
- PDCA Cycle 기반 개인정보보호 관리
P : Plan - 일을 수행 하기 전 계획 - 정책 수립, 관리 범위 지정, 자산식별, 흐름도 작성
D : Do - 실행 - 위험평가 실시, 대책을 수립
C : Check - 실행이 올바르게 이루어 졌는지 확인/검증 - 모니터링, 체크 및 감사 실시
A : Act - 잘못된 점을 찾아 개선
- PIMS 인증 체계 정책
- 위험관리
1. 정책수립
- 선언문, 정책서, 지침, 절차서 등
정책서(연 1회 이상 검토 시행 - 정보통신 망법과 개인정보보호법에 기반 : 내부 관리계획의 수립과 이행 )
- 법적인 요구사항
- 경영진 승인
- 경영진의 방침과 방향
- 임직원이 쉽게 접근 가능
<< 개인정보 관리를 위한 정책과 조직 >>
2. 위험관리
위험관리 수행 시퀀스
2-1. 위험 평가(위험분석)
- 위험을 관리 하기 위해서는 제일 먼저 위험 평가를 해야 합니다
- 과학적이고 정형적인 과정으로 위험을 알아내고 측정하려는 노력
- 허용 위험 수준(Level) 에 따라 정보보호 대책의 수가 결정 됩니다 (경영진의 참여 반드시 필요)
- 대책의 이행 난이도에 따라, 단기-중기-장기 대책을 수립하고 계획서와 마스터 플랜에 반영하여야 합니다
05. 관리적, 물리적 보호 대책
- 관리적 보호 조치
개인정보취급자 감독 수행
- 개인정보처리스시스템 권한 체계 분석 - 관련된 시스템을 식별하고 권한을 최소화
- 개인정보취급자 식별
- 개인정보 취급자 지정 및 관리
- 수탁자가 위탁받은 업무에 대해, 개인정보를 처리하는 과정에서 법규등을 위반하여 발생한 손해배상 책임은 수탁자를 개인정보 처리자의 소속 직원으로 본다
- 정보통신 망법에 의하면, 재위탁 동의를 받은 경우 재위탁이 가능하다
- 위탁시, 위탁업무와 내용, 수탁자명 관련해서 인터넷 홈페이지에 공개하여야 하며, 빠짐 없이 공개하고 , 변경시 변경사항을 지체없이 공개하여야 합니다
- 침해사고 발생 시 즉각 신고 하여야 한다
- 방송통신위원회에서 발간한 개인정보 유출 대응 메뉴얼이 있다
물리적 보호 조치
06. 기술적 보호 대책
법적 근거
- 개인정보보호법 - 개인정보 안정성 확보조치 기준
- 정보통신망법 - 개인정보 기술적/관리적 보호조치 기준
종류
- 접근통제 정책 마련 및 이행 - 접근권한 부여 , 로그생성
망분리의 경우, 정통망법에만 존재함.
개인정보보호법에는 없어 => 공공기관, 학교, 병원 등 비 정통서비스 제공자에게는 적용되지 않음
다만, 국가정보보안기본지침에 망분리의 사안이 포함되어 있어, 공공기관의 경우 망분리 이행 여부 유무의 확인이 필요함
- 개인정보를 인터넷에 게재하는 경우 마스킹 처리 하여야 함
- 운영보안
- 보안 솔루션의 관리자 권한 제한
- 특정 IP 대역에서만 접근가능하도록 통제
- 암호화 및 개발보안
- 법적 근거 : 개인정보보호법 , 정보통신망법 => 중요하다고 판단되는 개인정보 항목은 암호화
- 단방향 암호화는 비밀번호 만 이다
- 암호 정책 수립 및 이행 : 알고리즘 , 키길이, 유효기간, 암호화 대상
- 권한 부여 이력 관리
- 개인정보보호법에서는 3년
- 정보통신망법에서는 5년 - 비밀번호작성규칙
07. PIMS 인증 절차 및 인증신청 가이드라인
- 신청은 최소 심사일 6주 전에 해야 한다
'정보보안' 카테고리의 다른 글
[KISA] ISMS-P 제도이해 (0) | 2020.12.12 |
---|---|
[KISA] ISMS 구축 운영 교육 (0) | 2020.12.12 |
[개인정보보호위원회] 개정된 개인정보보호법 이해하기 (0) | 2020.12.06 |
[데이터3법 개정] 개인정보보호법 개정안 - 가명정보 (0) | 2020.12.06 |