[KISA] 개인정보보호 관리체게 (PIMS) 구축 운영 교육

2020. 12. 2. 07:10정보보안

728x90

 

KISA 정보보호 및 개인정보보호관리체계 인증

효과적인 개인정보보호 관리체계(PIMS) 구축과 운영을 위한 인증제도 소개, 인증 준비절차 및 인증기준 등에 대한 설명

isms.kisa.or.kr

 

 

> 메인

아이핀(I-PIN) 인증 주민등록번호를 제공하지 않고 본인임을 확인하는 인터넷상의 개인 식별번호 서비스입니다.  아이핀을 통한 인증을 원하시면 [아이핀 인증] 버튼을 눌러진행하여 주십시오.

www.privacy.go.kr

 

 

00. 개인정보보호 관리체계의 목적

  • 개인정보관리의 안정성, 신뢰성확보

 

01. 사회적배경

  • 다양한 디바이스의 증가
  • 정보가 중앙집중화(서버) 되었고, 의도하지 않은 사고로 이용자의 정보가 유출 됨
⇒ 이에 따라, 기업은 고객의 정보를 어떻게 안전하게 보관하는지 고민함
단순히, 보안장비 운영으로는 해결이 되지 않음. 이에 따라서 체계적인 방법의 필요성이 대두 됨


02. 개인정보보호법

개인정보 보호법과 관련 법의 관계

  • 일반법인 개인정보보호법은 공공/민간 모두에 적용됩니다 (단일법주의)
  • 정통서비스 제공자는 특별법인 정통망법, 신용정보회사는 신용정보법(특별법) 의 적용을 받습니다.

 

개인정보 법률정의

1. 자연인이고, 생존한 사람이어야 한다
2. 특정 개인(사람) 과 관련을 지닌다(1인 이상의 특정인임을 구별할 수 있는 정보, 평균은 개인정보가 아님)
3. 개인 식별이 가능한 고유한 정보
4, 다른 정보와 결합하여 식별할 수 있는 정보

 

개인정보보호법 요구사항

  • 2011930일 제정된 일반법

  • 가명정보의 예시 : 암호화 된 것, 일부를 삭제하여 개인을 알아볼 수 없게 함
  • 익명정보의 예시 : 결합해도 식별할 수 없는 것

 

개인정보보호법 근간 원칙

 

개인정보보호법 관련 법률


03. PIMS

  • 법적근거 : 개인정보보호법 , 정보통신망법

관련 인증 제도 비교

 

개인정보흐름도 및 생명주기 관리

  • 수집원칙 : 직접수집, 최소수집, 적법성

  • 이용시 주의 사항

  • 파기

 

 

 

 

개인정보 처리 시스템 작성 , 흐름도 작성

  • 개인정보 흐름도 : 수집 - 저장 - 이용 - 제공 - 파기 의 생명주기

 

  • 업무흐름도를 작성해야함


04. 관리과정과 위험관리

  • PDCA Cycle 기반 개인정보보호 관리
P : Plan - 일을 수행 하기 전 계획 - 정책 수립, 관리 범위 지정자산식별, 흐름도 작성
D : Do - 실행 - 위험평가 실시, 대책을 수립
C : Check - 실행이 올바르게 이루어 졌는지 확인/검증 - 모니터링, 체크 및 감사 실시
A : Act - 잘못된 점을 찾아 개선
  • PIMS 인증 체계 정책
  • 위험관리

1. 정책수립

  • 선언문, 정책서, 지침, 절차서 등

정책서(연 1회 이상 검토 시행 - 정보통신 망법과 개인정보보호법에 기반 : 내부 관리계획의 수립과 이행 )

  • 법적인 요구사항
  • 경영진 승인
  • 경영진의 방침과 방향
  • 임직원이 쉽게 접근 가능

 

 

 

 

 

 

 

<< 개인정보 관리를 위한 정책과 조직 >>

 

2. 위험관리

위험관리 수행 시퀀스

2-1. 위험 평가(위험분석)

  • 위험을 관리 하기 위해서는 제일 먼저 위험 평가를 해야 합니다
  • 과학적이고 정형적인 과정으로 위험을 알아내고 측정하려는 노력

  • 허용 위험 수준(Level) 에 따라 정보보호 대책의 수가 결정 됩니다 (경영진의 참여 반드시 필요)
  • 대책의 이행 난이도에 따라, 단기-중기-장기 대책을 수립하고 계획서와 마스터 플랜에 반영하여야 합니다

 


05. 관리적, 물리적 보호 대책

  • 관리적 보호 조치

개인정보취급자 감독 수행

  1. 개인정보처리스시스템 권한 체계 분석 - 관련된 시스템을 식별하고 권한을 최소화
  2. 개인정보취급자 식별
  3. 개인정보 취급자 지정 및 관리

  • 수탁자가 위탁받은 업무에 대해, 개인정보를 처리하는 과정에서 법규등을 위반하여 발생한 손해배상 책임은 수탁자를 개인정보 처리자의 소속 직원으로 본다

  • 정보통신 망법에 의하면, 재위탁 동의를 받은 경우 재위탁이 가능하다
  • 위탁시, 위탁업무와 내용, 수탁자명 관련해서 인터넷 홈페이지에 공개하여야 하며, 빠짐 없이 공개하고 , 변경시 변경사항을 지체없이 공개하여야 합니다

  • 침해사고 발생 시 즉각 신고 하여야 한다
  • 방송통신위원회에서 발간한 개인정보 유출 대응 메뉴얼이 있다

물리적 보호 조치

 


 

06. 기술적 보호 대책

 

법적 근거

  • 개인정보보호법 - 개인정보 안정성 확보조치 기준
  • 정보통신망법 - 개인정보 기술적/관리적 보호조치 기준

종류

  • 접근통제 정책 마련 및 이행 - 접근권한 부여 , 로그생성

망분리의 경우, 정통망법에만 존재함.
개인정보보호법에는 없어 => 공공기관, 학교, 병원 등 비 정통서비스 제공자에게는 적용되지 않음
다만, 국가정보보안기본지침에 망분리의 사안이 포함되어 있어, 공공기관의 경우 망분리 이행 여부 유무의 확인이 필요함
  • 개인정보를 인터넷에 게재하는 경우 마스킹 처리 하여야 함

 

  • 운영보안

- 보안 솔루션의 관리자 권한 제한

- 특정 IP 대역에서만 접근가능하도록 통제

 

  • 암호화 및 개발보안

- 법적 근거 : 개인정보보호법 , 정보통신망법 => 중요하다고 판단되는 개인정보 항목은 암호화

  • 단방향 암호화는 비밀번호 만 이다

- 암호 정책 수립 및 이행 : 알고리즘 , 키길이, 유효기간, 암호화 대상

 

 

  • 권한 부여 이력 관리
    - 개인정보보호법에서는 3년
    - 정보통신망법에서는 5년

  • 비밀번호작성규칙

 


 

07. PIMS 인증 절차 및 인증신청 가이드라인

  • 신청은 최소 심사일 6주 전에 해야 한다