정보보호 관리 체계 용어 정리

■ 개인정보보호 관리 체계 용어

 

1) 개인정보

  - '개인정보'란 생존하는 개인에 관한 정보로써 성명ㆍ주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호ㆍ문자ㆍ음성ㆍ음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다

 

2) 개인정보보호 정책

  - '개인정보보호 정책'이라 함은 조직 내 개인정보보호를 위한 전사적인 전략 및 방향을 기술한 문서로, 개인정보보호 관리 업무의 목적, 보호 대상, 책임, 적용 원칙, 수행 업무, 개인정보 처리 단계별 기술적/관리적/물리적 개인정보보호 대책, 개인정보 침해사고 처리 및 대응 정책, 개인정보보호 조직 및 책임, 교육 및 훈련, 모니터링 및 내부감사 등 개인정보보호를 위한 일련의 관리활동 및 책임을 포함하며, 동 정책은 국가나 관련 산업에서 정하는 법 규제를 만족하여야 한다

 

3) 정보보호 관리자 (정보시스템 보안전문가)

  - 이 역할의 책임은 정보보호 프로그램의 실행 감독 및 정책, 명령체계, 정보보호의식 프로그램 등을 유지 관리하고, 정보보호 사고를 조사하며, 정보보호위원회에 제반 사항을 보고하는 것이다

 

 ★ 정보보호 관리자의 책무

  - 보안계획 수립

  - 보안지침을 수립하며 개정

  - 주기적으로 보안점검을 수행

  - 침해사고에 대응

  - 보안 시스템 도입을 기획, 운영 및 관리

  - 보안 시스템에 대한 보안성 검토 및 효율성 분석을 수행

  - 보안관련 교육을 통해 보안에 대한 인식제고를 향상

  - 보안위반사고 발생 시 해당 사항을 경영층에 보고하고 신속한 조치를 실행

  - 보안대책의 변경 시 변경사항이 보안성에 적합하지 판단

 

■ FISMA (Federal Information Security Management Act : 연방정보보안관리법)

 - 정보시스템을 보호하기 위한 미국의 정보보호관리 체계로 개발하는 소프트웨어가 복잡해짐으로 인해 보안상 취약점이 발생할 수 있는 부분을 보완하여 프로그래밍하는 것

 

■ ISO/IEC JTC 1 (ISO/IEC Joint Technical Committee One)

 - 국제표준화기구(ISO)와 국제전기표준회의(IEC)가 정보기술(IT) 분야의 국제 표준화 작업을 합동 관리하기 위해 설립한 공동기술위원회

 

■ COBIT (Control Objectives for Information and related Technology)

 - 정보보안 관리 규격 중 IT 보호 및 통제부문의 모범적인 업무 수행 방법에 적용 가능한 ISACA (Information Systems Audit and Control Association)에서 개발된 프레임워크