project-bs

■ 개인정보보호 관리 체계 용어 1) 개인정보 - '개인정보'란 생존하는 개인에 관한 정보로써 성명ㆍ주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호ㆍ문자ㆍ음성ㆍ음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다 2) 개인정보보호 정책 - '개인정보보호 정책'이라 함은 조직 내 개인정보보호를 위한 전사적인 전략 및 방향을 기술한 문서로, 개인정보보호 관리 업무의 목적, 보호 대상, 책임, 적용 원칙, 수행 업무, 개인정보 처리 단계별 기술적/관리적/물리적 개인정보보호 대책, 개인정보 침해사고 처리 및 대응 정책, 개인정보보호 조직 및 책임, 교육 및 훈련, 모니터링 및 내부감사 등 개인정보보..

■ PDCA모델 - PDCA(Plan Do Check Action)란 계획을 세우고(Plan), 행동하고(Do), 평가하고(Check), 개선한다(Act)는 일련의 업무 사이클이다 - 미국의 통계학자 W.Edwards Deming이 체계화 한 이론으로 '데밍 사이클'이라고도 불린다 - 계획 → 실천 → 확인 → 조치를 반복해서 실행하여 목표를 달성하고자 하는 데 사용하는 기법이다 - ISO(국제표준화기구) 27001에서는 PDCA 모델을 통해 ISMS를 발전시킬 수 있다고 말한다 - ISO/IEC 27001의 보안 위험 관리를 위한 PDCA 모델은 IT 기술과 위험 환경의 변화에 대응하기 위하여 반복되어야 하는 순환적 프로세스이다 ■ PDCA의 4가지 단계 1) Plan (계획) - 개선활동에 앞서 실시..

■ 국내 보안인증 체계 및 혜택 비교 ■ 국내 개인정보 보호 관련제도 현황

■ PIA (개인정보영향평가) - 개인정보를 활용하는 새로운 정보시스템의 도입이나 개인정보 취급이 수반되는 기존 정보시스템의 중대한 변경 시 동 시스템의 구축ㆍ운영ㆍ변경이 개인 프라이버시에 미치는 영향에 대하여 사전에 조사ㆍ예측ㆍ검토하여 개선방안을 도출하는 체계적인 절차를 말한다 - 기존 마케팅 중심의 사고로 볼 때는 우선 사업을 추진해 성과를 극대화하는 데 전력을 다하고, 만약의 경우 개인정보와 관련한 보안사고가 발생할 경우 수익을 손해배상 비용으로 지출한다는 사후 대응 개념이었다면, 개인정보영향평가는 사전 예방으로 사후 비용을 절감한다는 보다 적극적인 예방중심의 활동이라고 볼 수 있다 ★ PIA의 배경 - 정보화사회의 급속한 바전 : 행정, 교육, 의료 등 다양한 분야에서 정보의존도 및 활용성이 증가..

■ PIMS의 개념 (Personal Information Management System) - 기업이 개인정보 보호활동을 체계적ㆍ지속적으로 수행하기 위해 필요한 보호조치 체계를 구축하였는지 점검하여 일정 수준 이상의 기업에 인증을 부여하는 제도 ■ PIMS의 인증체계 1) PIMS의 인증체계 - 3년간 인증이 유효하며, 1년에 한 번씩 사후관리를 수행해야 한다 2) PIMS 인증심사기준 관리과정 요구사항 (ISMS) 보호대책 요구사항 생명주기 요구사항 - 개인정보 정책 수립 - 관리체계 범위 설정 - 위험관리 - 구현 - 사후관리 - 개인정보 보호정책 - 교육 및 훈련 - 기술적 보호조치 - 물리적 보호조치 - 내부검토 및 감사 - 개인정보 분류 - 개인정보 수집에 따른 조치 - 개인정보 이용 및 제공..

■ 정보보호관리체계 - 정보보호의 목적인 정보자산의 기밀성, 무결성, 가용성을 실현하기 위한 절차 및 과정을 수립하고, 문서화하여 지속적으로 관리, 운영하는 것을 의미한다 - 정보보호관리라고 하는 것은 대내적으로 조직 자체적인 정보보호관리체계를 수립, 운영하고 있더라도 조직 전반적인 차원에서 그 신뢰성과 효과에 대한 의문이 발생할 수 있다. 따라서 정보보호관리체계 인증은 내부적인 평가만으로 대외 신인도를 제고하기 어렵다는 문제를 해결하기 위해 개발되었다 ■ BS7799 (ISO/IEC 17799) - BS7799는 정보보호관리체계에 대한 표준으로 최상의 정보보호관리를 위한 포괄적인 일련의 관리 방법에 대하여 요건별로 해석해놓은 규격으로 기업이 고객정보의 기밀성, 무결성, 가용성을 보장한다는 것을 공개적으..

■ 보안 제품 평가방법 및 기준 1. TCSEC 보안등급 (보안시스템 평가 기준) - TCSEC (Trusted Computer System Evaluation Criteria)는 흔히 Orange Book이라고 불리는 Rainbow Series1이라는 미 국방부 문서 중 하나이다. TCSEC는 1960년대부터 시작된 컴퓨터 보안 연구를 통하여 1972년에 그 지침이 발표되었으며, 1983년에 미국 정보 보안 조례로 세계에서 최초로 공표되었고 1995년에 공식화되었다. 무척 오랜 역사를 가진 인증으로 지금까지도 보아 ㄴ솔루션을 개발할 때 기준이 되는 표준이다 - 효과적인 정보보호시스템 평가기준 개발과 이러한 기준에 맞게 개발된 제품들을 평가하는 데 초점을 두고 있다 - TCSEC의 세부 등급은 'D→C1..

■ 침해사고 대응과 포렌식 1. CERT (Computer Emergency Response Team : 침해사고대응팀) - 침입사고를 보고받고 상황 분석 및 상황에 대응하는 업무를 수행하는 팀을 말한다 - 정보통신망 등의 침해사고에 대응하기 위해 기업이나 기관의 업무 관할 지역 내에서 침해사고의 접수 및 처리 지원을 비롯해 예방, 피해 복구 등의 임무를 수행하는 조직을 말한다 ☆ CERT 조직 구성 ⓐ 정보보호위원회 - IT 센터의 장, 고문, 각 팀장, 운영파트장, 기업 정보보호 전담조직의 장으로 구성되며 정보보호 관련 최고 의사결정 기구 역할을 한다 ⓑ 정보보호 전담조직 - 정보보호 전담조직은 IT 센터장 직속기구이며, 회사 전체 내 정보보호 활동 및 보안 취약성 점검 기능을 수행한다 ⓒ 정보보호 ..

■ RTO (Recovery Time Objective) - RTO란 정보시스템이 재해로 인하여 서비스가 중단되었을 때, 서비스를 복구하는 데 걸리는 최대 허용시간 - 즉 RTO가 '0'이라는 의미는 정보시스템에 재해가 발생했을 때 서비스를 복구하는 데 걸리는 시간이 '0'이라는 의미로서, 재해에도 불구하고 서비스가 중단되지 않는 상황을 의미한다 - 재해의 발생에도 불구하고 무중단서비스를 제공하기 위해서는 재해복구계획(DRP : Disaster Recovery Planning)에 의한 재해복구시스템(DRS : Disaster Recovery System)을 RTO가 '0'이 되는 수준으로 갖추어야 한다 ■ 재해복구계획 (DRP : Disaster Recovery Planning) - 정보기술서비스에 대하..

■ 위험평가 - 위험평가는 자산 분석, 취약점 분석, 위협 분석, 대응책 분석을 통하여 얻은 데이터와 분석 결과를 바탕으로 위험을 측정하고 평가한 후 보안대책을 제시해주는 단계이다 - 위험평가 과정은 정량적 또는 정성적 위험평가 방법을 사용하여 위험을 나타내고, 이를 ㅏ탕으로 위험이 높은 것부터 낮은 것까지 순위를 결정한다 - 위험순위를 바탕으로 가장 위험한 자산과 필요 대응책을 도출하며, 대응책 실시비용과 감소된 위험수준을 고려하는 비용효과 분석을 실시한다 ** 위험평가의 목적 - 적절하고 정당한 보안대책의 수립을 위해 시스템 및 그 자산이 노출된 위험을 평가하고 식별하기 위한 것 ■ 위험대책 1) 위험관리 전략 및 방법 - 위험관리 작업반은 일반적으로 해당 업무 프로세스와 위험요인을 이해하는 실무 책..