정보보호 대책

정보보호 대책이란 위험을 감소시키기 위한 대책을 구현하는 것을 말함.

 

■ 정보보호를 위한 보안대책

 - 기술적 관점 : 방화벽, IDS, IPS, 암호화, VPN, 망 분리

 - 관리적 관점 : ISMS, PIMS, PIPI, PIA, 주기적인 보안교육

 - 물리적 관점 : 물리적인 출입통제, 가방검사, USB검사, 휴대폰 카메라 스티커

 

 

■ 기술적 보안

 - 정보시스템에 존재하는 취약점을 제거하고 정보시스템에 발생할 수 있는 외부로부터의 보안위협을 차단하기 위해 정보시스템을 구축, 운영하는 활동을 의미

 

- 종류 : 방화벽, IDS(침입탐지시스템), IPS(침입방지시스템), 암호화, VPN(가상사설망 서비스), IPSec, SSL, 망 분리

 

■ 관리적 보안

 - 공신력 있는 외부 정보보호전문기관(KISA)에 의한 주기적인 심사인증

 - 정보자산에 대한 기업의 정보보호 활동에 대한 정책, 표준, 지침, 절차를 정의하고 이를 실행 감독하는 활동

 - 보안위협이 보안수준을 넘어서는 경우 보안사고 발생위험이 높아져 지속적인 관리가 필요하게 된다

 

 ★ ISMS (Information Security Management System : 정보보호관리체계인증)

  - 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 제47조」에 근거하여 정보통신망의 안정성, 신뢰성 확보를 위하여 관리적, 기술적, 물리적 보호조치를 포함한 종합적 관리체계를 수립, 운영하고 있는 자에 대하여 일정 기준에 적합한지에 관하여 인증하는 것

 - 기업이 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 정보보호관리체계가 인증기준에 적합한지를 심사하여 인증을 부여하는 제도

 

출처 : 한국인터넷진흥원 (https://isms.kisa.or.kr/main/isms/intro/)

  - 강제성을 띄며, 3년마다 1번씩 갱신이 필요하다

  - 대상 : 정보통신 서비스 매출액 100억 또는 이용자수 100만 명 이상인 사업자

  - 인증권자 : 과학기술정보통신부장관

  - 최초심사, 사후심사, 갱신심사가 있음

  - 인증 취득 시 정보보호 대외 이미지 및 신뢰도를 향상시킬 수 있는 효과가 있으며 정보보호 법적 준거성을 확보할 수 있다. 또한 IT관련 정부과제 입찰 시 인센티브가 일부 부여된다

  - 기업의 정보자산 보호

 

 

 ★ PIMS (Personal Information Management System : 개인정보관리체계)

  - 기관 및 기업이 개인정보보호관리체계를 갖추고 체계적ㆍ지속적으로 보호 업무를 수행하는지에 대해 객관적으로 심사하여 기준 만족 시 인증을 부여하는 제도

 

출처 : 한국인터넷진흥원 (https://isms.kisa.or.kr/main/pims/intro/)

  - 자율성을 띈다. 대신 인증을 받을 시 과태료를 경감해준다

  - 인증절차 : 인증심사 신청 → 인증심사 → 보완조치 → 인증위원회개최 → 인증서발급 → 사후관리

  - 인증권자 : 방송통신위원회

  - 인증대상 : 개인정보 보호활동을 체계적이고 지속적으로 수행하기 위하여 필요한 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계를 수립ㆍ운영하고 있는 개인정보 수집ㆍ취급 사업자

  - 기대효과 : 개인정보보호관리체계 구축을 통해 기업이 보유하고 있는 개인정보를 안전하게 관리하고 인증 기업의 대외 신뢰도 향상에 기여

  - 기업소비자의 개인정보 보호

 

 ★ PIPL (Personal Information Protection Level : 개인정보보호 인증제도) → PIMS로 통합

  - 자율기준이며 공공/민간 승인제도이다

  - 인증을 신청할 수 있는 기관은 공공기관과 민간기관 모두 할 수 있다

  - 개인정보처리자의 자율적인 개인정보 보호활동을 촉진하고 지원하기 위한 인증 업무

  - 일정한 보호 수준을 갖춘 경우 인증마크를 부여하는 제도이다

  - PIMS와 유사한 인증제도로써 2016년 1월 1일부로 PIMS (개인정보관리체계)로 통합 시행

 

 ★ PIA (Privacy Impact Assessment : 개인정보 영향평가)

  - 공공기관이 개인정보 관련 시스템을 신규 구축 혹은 변경을 하려 할 때 필수로 받아야 하는 평가

  - 개인정보 영향평가의 대상에 해당하는 개인정보 파일은 공공기관이 구축ㆍ운용 또는 변경하려는 개인정보 파일로써 100만 명 이상의 정보주체에 관한 개인정보 파일을 말함

  - 행정자치부장관은 제출받은 영향평가 결과에 대하여 보호위원회의 심의ㆍ의결을 거쳐 의견을 제시할 수 있음

  - PIA시 고려해야할 사항 : 개인정보의 제3자 제공 여부, 처리하는 개인정보의 수, 정보주체의 권리를 해할 가능성 및 그 위험 정도, 그 밖에 대통령령으로 정한 사항

 

■ 물리적 보안

 - 정보 시스템 자산을 절도, 파괴, 화재 등과 같은 각종 물리적인 위협으로부터 보호하는 방법으로 정보 자산이 위치한 시설에 대해 허가되지 않은 접근 또는 사용을 차단하고 모니터링하기 위한 활동

 - 종류 : 생체인식 및 인증카드를 통한 출입통제, CCTV, 출입보안 : 출입문 X-ray, USB검사, 소지품검사 등

 - CCTV 시스템 : 카메라, 렌즈, PTZ, DVR, Montion Detector, 영상인식 S/W, 케이블, IP 네트워크

 - 출입통제 시스템 : 인식장치(스마트카드, 바이오 인식, RFID), X-ray 검색기, 금속 탐지기

 - 침입경보 시스템 : 센서, 경보장치, 관제 S/W