정보보안 관리 및 법규 오답노트

1. 정보보호 정책서의 주요 구성 목차

  - 정책서 목적과 구성, 기본 방침, 정보보호 실행 계획 수립, 보안에 대한 역할과 책임, 정보자산의 보안, 정보시스템의 보안, 규정의 준수, 보안정책의 운용 (정보보호 선언 X)

 

2. 위험관리 절차

  - 자산식별 -> 위험 분석 및 평가 -> 정보보호대책 수립 -> 정보보호계획 수립 -> 주기적 재검토

 

3. 업무연속성 관리 지침

  - 책임과 역할, 업무의 중요도 및 영향 분석, 복구전략수립, 교육 및 훈련, 사후관리, 비상연락망

 

4. ISMS-P 인증 심사 시 요구되는 관리체계 수립 및 운영 4단계

  - 관리체계기반마련 -> 위험 관리 -> 관리체계운영 -> 관리체계 점검 및 개선

 

5. 개인정보보호법

  - 개인정보 수집 시 그 목적에 필요한 최소한의 개인정보를 수집해야 한다. 그 담당자는 개인정보 처리자이다.

  - 개인정보처리자는 보유기관의 경과, 개인정보의 처리 목적 달성 등 그 개인정보가 불필요하게되었을 때는 지체없이 파기하여야 한다.

  - 다른 법령에 따라 보관할때는 다른 개인정보와 분리하여 저장/관리한다

  - 전자적 파일의 경우 복원이 불가능한 수준으로 파기

  - 민감정보 : 사상/신념, 노동조합/정당의가입및탈퇴/정치적견해/건강성생활/사생활을 침해할 우려가 있는 정보

  - 주민등록번호를 처리할 수 있는 법령상 근거는 법률 제24조의2에 명시

  - 개인정보처리자가 업무를 위탁하는 경우에는 정보보호 주체에게 알려야 한다.(동의 X)

  * 개인정보영향평가

    - 구축운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 대한 개인정보파일

    - 구축운용하고있는 개인정보파일을 해당 공공기관 내부또는 외부에서 구축운용하고있는 다른 개인정보파일과 연계하려는 경우 그 결과가 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일

    - 구축운용또는 변경하려는 개인정보파일로서 5만명 이상의 정보주체에 관한 민간정보 또는 고유식별정보의 처리가 수반되는 개인정보파일

    - 영향평가를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우 그 개인정보파일

 

6. 정보통신서비스제공자 - 정보통신망법(정보통신망 이용촉진 및 정보보호 등에 관한 법률)

 

7. 정보통신망법 

  - 전자문서 : 컴퓨터 등 정보처리능력을 가진 장치에 의하여 전자적 인 형태로 작성되어 송수신되거나 저장된 문서 형식의 자료로서 표준화 된 것을 말한다. (암호화X)

  - 정보통신망법 > 개인정보보호법, 정보통신망법 > 전자금융거래법

  

8. 정보보호지침

  - 정당한 권한없는 자가 정보통신망에 접근/칩입 하는것을 방지하거나 대응하기 위한 정보보호시스템의 설치/운영 등 기술적/물리적 보호조치

  - 정보의 불법 유출/변조/삭제 등을 방지하기 위한 기술적 보호조치

  - 정보통신망의 지속적인 이용이 가능한 상태를 확보하기 위한 기술적/물리적 보호조치

  - 정보통신망 안정 및 정보보호를 위한 인력/조직/경비의 확보 및 관련 계획수립 등 관리적 보호조치

 

9. 정보보호관리체계

 * 의무대상자

   - ISP, IDC, 상급종합병원, 전년도매출 100억, 3개월간 정보통신 서비스 일일평균 이용자수가 100만 이상, 학교

 - 정보통신 서비스와 직접 관련성 낮은 것은 제외 가능

 - 정보통신 서비스를 기준으로 해당 서비스에 포함되거나 관련있는 자산 조직 등 포함

 - 서비스 자산 조직을 보호하기 위한 보안시스템도 포함

 - 관리를 위한 백오피스 포함, 서비스와 관련 없더라도 핵심정보자산에 접근가능하면 포함

 

10. 통지의무 대상자

  - 정보보호산업에 종사하는 자 중 컴퓨터 바이러스 백신소프트웨어 제조자(정보통신산업 X)

  - 주요정보통신 서비스 제공자 및 집적정보통신 사업자

  - 정보통신기반보호법에 따라 과학기술정보통신부장관이 수립 및 제정하는 주요통신기반시설보호계획 및 보호지침의 적용을 받는 기관

  - 한국인터넷진흥원으로부터 인터넷 프로토콜 주소를 할당받아 독자적으로 정보통신망을 운영하는 민간사업자 중 지정된 자

 

11. 정보보호 컨설팅

  - 전자적 침해행위에 대비하기 위한 정보시스템의 취약점 분석/평가과 이에 기초한 보호대책의 제시 또는 정보보호관리체계 구축 등을 주된 목적으로 한다.

 

12. 정보보호 사전점검

  - 과학기술정보통신부는 사업자가 사전점검을 하면 우대조치 가능

  - 제출처 과학기술정보통신부

  

13. 개인정보보호 관련 법류과 소관부처

  - 개인정보보호법/행정안전부

  - 정보통신망 이용촉진 및 정보보호등에 관한 법률(정보통신망법)/방송통신위원회

  - 위치정보의 보호 및 이용 등에 관한 법률/방송통신위원회

  - 신용정보의 이용 및 보호에 관한 법률/금융위원회

 

14. 취약점 분석/평가 가능 기관

  - 한국인터넷진흥원, 정보공유/분석센터(ISAC), 정보보호 전문서비스 기업, 한국전자통신연구원 (한국정보화진흥원 X)

 

15. 주요정보통신기반시설 관리기관의 복무

  - 정기적인 취약점 분석/평가

  - 관계행정기관 또는 한국인터넷진흥원에 대한 침해사고 사실 통지

  - 주요정보통신기반시설 보호대책 수립/시행

  - 주요정보통신기반시설 보호대책을 수립하여 중앙행정기관의 장에게 제출

 

16. 정보통신기반보호법

  * 취약점 분석 및 평가

   - 지정 후 6개월 이내에 취약점의 분석/평가 실시

   - 6개월이네 못했을 경우 9개월

   - 최초 점검 후 매년 평가

   - 꼭 1년은 아님

 * 침해사고 대응

   - 관리기관의 장이 제출한 주요정보통신기반시설 보호대책을 관계중앙행정기관의 장이 분석한 결과 별도의 보호조치가 필요하다고 인정되는 경우 해당 관리기관의 장에게 필요한 조치를 명령/권고 가능

  - 침해사고가 발생하게 되면 관리기관의 장은 관계행정기관, 수사기관 또는 한국인터넷진흥원에 통지

  - 복구 및 보호에 필요한 조치를 신속하게 취하는 것은 관계기관(관계 행정기관, 수사기관, 한국인터넷진흥원)

  - 관계중앙행정기관이 보호지침을 제정하고 관리기관의 장에게 지키도록 권고

 

17. 정보공유/분석센터(ISAC, Information Sharing & Analysis Center)

  - 금융/통신 등 분야별 정보통신기반시설을 보호하기 위하여 구축/운영

  - 취약점 및 침해요인과 그 대응방안에 관한 정보 제공

  - 침해사고가 발생하는 경우 실시간 경보/분석 체계 운영

 

18. 클라우드 컴퓨팅 발전 및 이용자 보호에 관한 법률

  - 클라우드컴퓨팅서비스 제공자는 이용자 정보가 유출된 때에는 즉시 그 사실을 과학기술정보통신부 장관에게 알려야 함

  - 클라우드컴퓨팅서비스 제공자는 사전예고 없이 대통령령으로 정하는 기간 이상 서비스 중단이 발생한 때에는 지체없이 그 사실을 과학기술정보통신부 장관에게 알려야 함

  - 클라우드컴퓨팅서비스 제공자는 이용자 정보가 유출된 때에는 지체없이 그 사실을 해당 이용자에게 알려야 함