처음 만나는 클라우드 보안

본 포스팅은 한국인터넷진흥원에서 발간된 '정보보호 및 개인정보보호 관리체계 인증기준 안내서'를 바탕으로 작성되었습니다. 3.1 개인정보 수집 시 보호조치 3.1.1 개인정보 수집 제한 : 개인정보는 서비스 제공을 위하여 필요한 최소한의 정보를 적법하고 정당하게 수집하여야 하며, 필수 정보 이외의 개인정보를 수집하는 경우에는 선택항목으로 구분하여 해당 정보를 제공하지 않는다는 이유로 서비스 제공을 거부하지 않아야 한다. - 관련법규: 개인정보 보호법 제16조(개인정보의 수집제한) 3.1.2 개인정보의 수집 동의 : 개인정보는 정보주체(이용자)의 동의를 받거나 관계 법령에 따라 적법하게 수집하여야 하며, 만 14세 미만 아동의 개인정보를 수집하려는 경우에는 법정대리인의 동의를 받아야 한다. - 관련 법규: ..

본 포스팅은 한국인터넷진흥원에서 발간된 '정보보호 및 개인정보보호 관리체계 인증기준 안내서'를 바탕으로 작성되었습니다. ISMS-P 인증제도란? 정보통신망의 안정성 확보를 위해 수립해야 하는 기술적, 물리적, 관리적 보호조치 등 정보보호 관리체계에 대한 인증제도이다. 정보통신망법 제47조 및 개인정보 보호법 제32조의 2에 법적 근거를 두고 있으며, 3가지 영역 (관리체계 수립 및 운영, 보호대책 요구사항, 개인정보처리 단계별 요구사항) 총 102개의 인증기준 충족해야 한다. 인증 의무대상자(정보통신망법 제47조 2항) 구분 의무대상자 기준 ISP (Internet Service Provider) 「전기통신사업법」 제6조제1항에 따른 허가를 받은 자로서 서울특별시 및 모든 광역시에서 정보통신망서비스를 제..

- 보안인증 심사 유형 : 객관적인 심사 증거를 기반으로 심사기준(ISMS)을 통한 독립적이고 체계적으로 진행된다. 1자 2자 3자 대상 내부 공급자 외부 목적 개선 역량평가 인증 범위 조직이 정함 계약범위 내 주요 Biz플랜에 따른 협의 강도 약 강 중 깊이 깊게 중간 중간 - 기업의 정보보안 인증 취득 관련 => 국내법(ISMS), 국제인증(ISO)은 수요에 따라 획득의 목적이 다르다. IMSM-P 국내법 : 법규에 따라 의무 대상자일 경우 꼭 받아야 함 ISO27001: 글로벌 비즈니스가 있을 때, 해외 갑사가 요청할 때는 꼭 필요할 것 국제 유사인증을 유지중이라면, IMSM-P에서 일부분을 면제해 주는 혜택이 있다. 또한 인증 보유 시 보안 사고 발생에 대한 일정 부분 감안해주는 부분이 있다. -..

'정보보호'가 제도상으로 어떻게 관리되고 있는지 알아보자 1. 정보보호 - 정보보호의 3요소 C: Confidentiality (기밀성) 키워드 - Unauthorized Access (허가되지 않은 접근) I : Integrity(무결성) 키워드 - Unauthorized Change (허가되지 않은 변경) A: Availability(가용성) 키워드 - Anytime, Anywhere (언제나, 어디서나) - 정보보호 주요 용어 자산(Asset): 조직에서 보호해야 하는 대상. ex) 정보, 하드웨어, 소프트웨어, 시설 등 취약점(Vulunerablity): 자산에 위협이 가해질 수 있는 내재적 약점 위협(Threat): 자산에 피해를 줄 수 있는 잠재적 원인 또는 행위자 위험(Risk): 조직에 대..