| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | ||||||
| 2 | 3 | 4 | 5 | 6 | 7 | 8 |
| 9 | 10 | 11 | 12 | 13 | 14 | 15 |
| 16 | 17 | 18 | 19 | 20 | 21 | 22 |
| 23 | 24 | 25 | 26 | 27 | 28 | 29 |
| 30 |
- azure
- 보안컨설팅
- Burp Suite
- 로그분석
- mysql
- AWS SAA
- 클라우드보안
- 클라우드서비스
- 취약점
- 인스턴스
- AWS
- 네이버클라우드
- metasploit
- RDS
- isms
- 클라우드 자격증
- 정보보안
- 클라우드
- 클라우드자격증
- 와이어샤크
- 정보보호
- 공개키
- EC2
- AWS SSA
- ISMS-P
- ncp
- 파일시그니처
- Iam
- 개인정보보호법
- 로드밸런서
- Today
- Total
처음 만나는 클라우드 보안
[정보보호] ISMS인증과 개인정보처리 본문
'정보보호'가 제도상으로 어떻게 관리되고 있는지 알아보자
1. 정보보호
- 정보보호의 3요소
C: Confidentiality (기밀성)
키워드 - Unauthorized Access (허가되지 않은 접근)
I : Integrity(무결성)
키워드 - Unauthorized Change (허가되지 않은 변경)
A: Availability(가용성)
키워드 - Anytime, Anywhere (언제나, 어디서나)
- 정보보호 주요 용어
자산(Asset): 조직에서 보호해야 하는 대상. ex) 정보, 하드웨어, 소프트웨어, 시설 등
취약점(Vulunerablity): 자산에 위협이 가해질 수 있는 내재적 약점
위협(Threat): 자산에 피해를 줄 수 있는 잠재적 원인 또는 행위자
위험(Risk): 조직에 대해 긍정적/부정적 영향을 끼칠 수 있는 가능성
거버넌스(Governance): 조직의 최고 의사결정권을 가진 경영진의 '의지'
고유위험(Inherent Risk): 고유의 태세에 따라 존재하는 위험
잔여 위험(Residual Risk): 대책을 구현한 후 남아있는 위험
- 주요 정보 처리 시 유의사항
법령 고시를 바탕으로 둔 담당자의 시점
: 통제대상은 통제 범위(ISMS Scope) 내에 관련 업무를 하는 모든 구성원은 모두 적용한다.
: 중요한 시스템일 경우 '최소한'의 권한을 부여 또는 차등 부여한다.
: 이직, 전복에 대한 접근권한 변경
: 권한을 누가, 언제, 얼마나, 왜 부여받았는지에 대해서 기록하여 *최소 3년간 보관한다.
=> 책임 추적성(Accountability), 문제 발생 시 책임자 식별 용이
개보법에선 안정성을 위해 3년을 언급, 망 법고시에선 기술적, 관리적 보호조치로 5년 언급
=> 고객 상황(정보통신 서비스 제공자, 일반 개인정보 처리자)에 따라 보관기준이 3년, 5년 달라진다.
*개인정보보호법 제5조 접근 권한의 관리 3항 고시사항
- 패스워드 정책
NIST(미국 국립표준기술연구소)을 기준으로 2가지 조합은 8자리, 문자 1가지 조합은 10자리 정해진다.
: 외부에서 개인정보처리 시스템에 접속하여는 경우 안전한 접속수단 또는 안전한 인증수단(ID/PW, OTP) 적용
(가상사설망 VPN - Virtual Private Network 또는 전용선)
: 일정 시간 이상 업무처리를 하지 않을 경우 자동으로 접속 차단
: 악성프로그램 방지(백신)는 지침 작성 시 고시 내용뿐 아니라 주기적인 점검 항목도 포함시키면 좋다.
참고) 주요 정보 전송/유출 통제
DLP(Data Loss Prevention) : 엔드포인트 정보유출 방지 솔루션 ex) USB 꽂았을 때 작동 안 되게 하는
2. ISMS 인증
: 정보보호관리체계(Information Security Management System)란 뜻으로, 인터넷 진흥원 및 인증기관에 의해 기업 또는 조직이 정보보호 정책을 기준에 부합하도록 수립하고 위험에 대응하는 여러 보안 대책들을 통합하게 하는 것을 목적으로 한다. 관련 국외 인증으로는 ISO(국제표준화기구)의 ISO 27001이 있으며, ISMS-P는 ISMS에 '개인정보보호' 인증(PIMS)이 통합된 인증을 뜻한다.
- ISMS의 법적 근거
: 정보통신망법 제47조 (과학기술정보통신부), **개인정보 보호법 제32조의 2 (개인정보보호위원회) 두 기관의 공동고시에 근거한다. 참고) 컨설팅에서는 어떤 법이 부합할지 확인하고, 지침 정책에 반영하는 것이 중요
* 우리나라 법적용의 우선순위
1. 상위법 우선 법칙
2. 특별(개별) 법 우선 법칙
3. 신법 우선 법칙
**개인정보보호법은 EU 일반 개인정보 보호법(GDPR, General Data Protection Regulation)을 따라간다.
- ISMS 의무대상 기준
- ISP(Internet Service Provider): 전국적으로 정보통신망 서비스를 제공하는 사업자
- IDC(Internet Data Center): 정보통신서비스 제공을 위해 정보통신시설을 운영하는 사업자
- 일정 규모 이상의 금융 및 의료기관 또는 자발적 희망 조직
- ISMS의 BCP/DRP
개념의 포괄범위 BCP > DRP
- BCP(Business Continuity Planning): 사업 연속성 계획
- DRP (disaster recovery plan): 재해복구 계획
- 통합인증 사이클
3. 개인정보
- 개인정보 처리 프로세스
Life Cycle (생애주기)의 관점으로 보는 개인정보
수집 - 생성 - 연계 - 연동 - 기록 - 저장 - 보유 - 가공 - 편집 - 검색 - 출력 - 정정 - 복구 - 이용 - 제공 - 검색 - 파기
- 개인정보보호 처리 방침
회사의 개인정보 처리 방침에 대해선 다른 항목과 다르게 첫 표기를 달리해야 한다.
4. 자격증
CPPG (개인정보관리사): 고시 수준의 알고리즘, 비전공자 비교적 쉽게 접근할 수 있는 자격증
CISSP (국제공인 보안전문가): 개발, 엔지니어적인 이론
CISA (공인 정보 시스템 감사자): 통합 인증기준 체계, 상황에 따른 판단
관련포스팅 => 2022.06.02 - [정보보안] - 정보보안 자격증 정리: CISA, CISSP, CPPG
참고자료
https://golikeriver97.tistory.com/79
[국제/국내 인증기관] ISO27001과 ISMS(ISMS-P) 비교
해당 내용은 FastCampus의 보안강의를 수강한 후 작성된 내용입니다. 인증제도란? 인증이란 기업이 주요 정보자산을 보호하기 위해 수립 관리 운영하는 정보보호 관리체계가 인증기준에 적합한지
golikeriver97.tistory.com
https://isms.kisa.or.kr/main/ispims/intro/
KISA 정보보호 및 개인정보보호관리체계 인증
isms.kisa.or.kr
개인정보보호법
www.law.go.kr
'정보보안 > 정보보호' 카테고리의 다른 글
| [정보보호] 정보보안 컨설팅이란? (0) | 2022.07.22 |
|---|---|
| [정보보호]보안심사의 유형(with 컨설턴트 VS 심사원) (0) | 2022.06.08 |
| [정보보호]클라우드 보안인증: CSAP, ISO27001 & 27017 & 31000 (0) | 2022.06.03 |
| [정보보호]개인정보보호법 살펴보기 (0) | 2022.06.03 |
| [정보보호] 관련 자격증 정리: CISA, CISSP, CPPG (0) | 2022.06.02 |
