처음 만나는 클라우드 보안

본 포스팅은 한국인터넷진흥원에서 발간된 '정보보호 및 개인정보보호 관리체계 인증기준 안내서'를 바탕으로 작성되었습니다. 3.1 개인정보 수집 시 보호조치 3.1.1 개인정보 수집 제한 : 개인정보는 서비스 제공을 위하여 필요한 최소한의 정보를 적법하고 정당하게 수집하여야 하며, 필수 정보 이외의 개인정보를 수집하는 경우에는 선택항목으로 구분하여 해당 정보를 제공하지 않는다는 이유로 서비스 제공을 거부하지 않아야 한다. - 관련법규: 개인정보 보호법 제16조(개인정보의 수집제한) 3.1.2 개인정보의 수집 동의 : 개인정보는 정보주체(이용자)의 동의를 받거나 관계 법령에 따라 적법하게 수집하여야 하며, 만 14세 미만 아동의 개인정보를 수집하려는 경우에는 법정대리인의 동의를 받아야 한다. - 관련 법규: ..

본 포스팅은 한국인터넷진흥원에서 발간된 '정보보호 및 개인정보보호 관리체계 인증기준 안내서'를 바탕으로 작성되었습니다. (인증심사 통제항목 = IT시스템 전반적인 외형 = 숲) 2.5 인증 및 권한 관리 2.5.1 사용자 계정 관리 : 정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록 해지 및 접근권한 분여 변경 말소 절차를 수립 이행하고, 사용자 등록 및 권한 부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다. 대상: 접근권한에 대한 부여 말소, 변경 절차 수립 => AWS IAM - 관련 법규: 개인정보 보호법 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리) 개인정보의 ..

보안 컨설팅의 절차 현황 분석 => 위험분석 => 보안대책 수립 및 문서작성 => 최종 점검 => 사후관리 1. 현황분석 : 운영환경 분석, 요구사항 정의, 수행계획 수립 2. 위험분석 : 자산조사, 자산관리 현황 분석, 기술적 취약점 분석, *위험분석 및 평가, **손실 분석 - 위험(Risk)이란? 자산(Asset)에 대해 존재하는 위협(Threat) 및 취약점(Vulnerablity)이 손실(Lose)을 일으킬 가능성 - 손실 분석 SLE(Single Loss Expectation, 단일 손실 예상): 태풍이 불어 공장 파손 → 30억 ALE(Annually Loss Expectation, 연간 손실 예상): 10년에 한 번 발생하는 태풍 → 3억/년 3. 보안대책 수립 및 문서작성 보안대책 도축,..

들어가며 보안담당자 혹은 컨설턴트로서 살펴볼 '개인정보보호법' 주요 내용들을 키워드 위주로 살펴보자. - 관리체계의 구성 관리체계 수립 및 운영: ISMS-P 보호대책 요구사항: 정보보안 개인정보 처리단계별 요구사항: 개인정보 보호 - 법령 구성 : 조 > 항 > 호 > 목 조: 제 1조, 제 2조, 제 3조 항: ①, ②, ③ 호: 1. 2. 3. 목: 가. 나. 다. 개인정보보호법 주요내용 주로 참조되는 3장 15조부터 시작 3장 제1절: 개인 수집의 수집 및 이용 제15조: 당사자의 동의와 특별법에 의해 수집될 수 있다. 1항. 개인이 동의하거나, 법률(타법, 망법, 전자 통신법 등)에 의한 특별한 규정이 있을 때 2항. 개인정보 수집에 대한 동의 내용( 수집 목적, 이용기간, 동의 거부에 대한 불..