hi.pe.kr 날으는물고기·´″°³о♡

기업이 필요로 하는 정보보호

정보보호 담당자는 정보보호 거버넌스 체계를 통하여 정보보호 우선순위를 선정하여 경영층의 정보보호 투자에 있어서의 성과에 대한 가시성 확보와 당위성을 갖기 위한 정보보호 거버넌스의 체계의 필요성이 대두

정보보호 관리자의 책무

아래는 보안관리자가 해야 할 가장 기본적인 책무이다.

 - 보안계획 수립

 - 보안지침을 수립하며 개정

 - 주기적으로 보안점검을 수행

 - 침해사고에 대응

 - 보안 시스템 도입을 기획, 운영 및  관리

 - 보안 시스템에 대한 보안성 검토 및 효율성 분석을 수행

 - 보안관련 교육을 실시를 통하여 보안에 대한 인식제고를 향상

 - 보안위반사고 발생시 해당 사항을 경영층에 보고하고 신속한 조치를 실행

 - 보안대책의 변경 시 변경사항이 보안성에 적합한지 판단

보안관리자는 실질적인 보안사고에 있어 해당사고를 통한 어떠한 손실이 발생하는지 통계화해서 실제 보안사고를 통하여 기업의 얼마나 많은 손실의 갖게 되는가 분석하고 예방대책을 포함하여 경영층에 제시하도록 하여야 한다.

정보보호관리자의 업무분야는 이미 언급한 것과 같이 경영진과 현업과의 관계수립을 다루어야 한다.

정보보호 거버넌스의 5가지 요소는 다음과 같다.

- 정보보호 이니셔티브를 위한 최고경영진의 참여

- 정보보호 현안에 대한 경영진의 이해

- 정보보호와 기업비지니스의 연계

- 정보보호 핵심척도 분석을 통한 경영진과 관리진의 소유권과 책임

- 조직의 목적에 대한 정보보호의 연계

이상의 요소가 충족되어야만 정보보호 거버넌스가 수립됐다고 할 수 있다.

출처 : 보안뉴스

원문기사 :

http://www.boannews.com/know_how/view.asp?page=1&gpage=1&idx=1673&numm=1345&search=title&find=&kind=03&order=ref

주민번호 수집제한, ISMS 인증, 신고제도 등 12가지 꼼꼼히 살펴야

[보안뉴스 김태형] 방송통신위원회와 한국인터넷진흥원(KISA)은 지난 7월 13일 개정된 법에 따라 내년부터 본격 시행되는 기업 정보보호 법제도에 대해 소개하는 자리를 마련했다.

이날 소개된 관련 법제도는 정보보호관리체계(ISMS) 인증제도, 정보보호 사전점검, 정보보호 책임자 지정 등인데 이 외에도 달라지는 법제도에는 개인정보보호 관리체계(PIMS) 인증, 주민번호 수집·이용 제한, 개인정보 누출통지·신고 등이 있다. 

기업에서는 이러한 정보보호 법제도를 꼼꼼히 살펴보고 대비해야 나중에 제도 불이행에 따른 불이익을 받지 않게 된다. 특히, 이번에 개정된 법에 따라 기업은 필요한 정보보호 활동·조치를 수행해야 한다. 의무사항은 위반시 과태료가 부과될 수 있다. 개정된 정보통신망법은 개인정보보호 분야는 2012년 8월 18일부터, 기업보안 분야는 내년 2월 18일부터 시행된다.

◇ 법적 준수사항(의무)

주민번호 수집·이용 제한 : 법에서 허용한 경우를 제외하고는 이용자 주민등록번호의 수집 및 이용이 불가능해진다. 대상자는 정보통신 서비스 제공자중에서 개인정보를 수집하는 경우이다.

예외는 본인확인 기관으로 지정받는 경우, 법령에서 이용자의 주민등록번호 수집·이용을 허용하는 경우, 영업상 목적을 위해 이용자의 주민등록번호 수집·이용이 불가피한 정보통신서비스 제공자로서 방송통신위원회가 고시하는 경우 등이다.

개인정보 누출 통지·신고 : 개인정보의 분실, 도난, 누출사고 발생시 이용자에게 해당 사실을 지체 없이 통지하고 방송통신위원회에 신고해야 한다. 대상자는 정보통신 서비스 제공자중에서 개인정보를 수집하는 경우이다.

개인정보 유효기간 : 회원탈퇴 등의 조치를 취하지 않고 장기간(3년) 정보통신서비스를 이용하지 않는 이용자의 개인정보는 파기해야 한다. 대상자는 정보통신 서비스 제공자중에서 개인정보를 수집하는 경우이다.

개인정보처리 시스템 망분리 : 개인정보처리 시스템에 접속하는 개인정보 취급자 컴퓨터 등은 외부 인터넷망과 연결을 차단해야 한다. 대상자는 전년도 말 기준 3개월간 일일 평균 100만명 이상의 개인정보를 보유하거나 정보통신서비스 부문 전년도 매출액이 100억 이상인 정보통신서비스 제공자 등이 해당된다.

개인정보 이용내역 통지 : 수집한 이용자 개인정보의 이용 내역을 해당 이용자에게 주기적(연1회 이상)으로 통지해야 한다. 대상자는 전년도 말 기준 3개월간 일일 평균 100만명 이상의 개인정보를 보유하거나 정보통신서비스 부문 전년도 매출액이 100억 이상인 정보통신서비스 제공자 등이 해당된다.

침해사고 신고 : 해킹, DDoS 등 침해사고가 발생하면 즉히 그 사실을 방송통신위원회나 한국인터넷진흥원에 신고해야 한다. 정보통신서비스 제공자와 집적정보통신시설 사업자가 이에 해당된다.

정보보호 관리체계(ISMS) 인증 : 주요 정보자산의 정보보호를 위해 정보보호 관리체계를 구축하고 인증기관(한국인터넷진흥원)으로부터 인증을 취득해야 한다. 의무 대상자외 인증을 희망하는 기업도 인증 취득이 가능하다.

주요 대상자는 정보통신망서비스 제공자, 집적정보통신시설 사업자, 정보통신서비스 제공자 등이며 특히 정보통신서비스부문 전년도 매출액 100억 이상 또는 전년도말 기준 3개월간 일일 평균 이용자 수 100만명 이상인 정보통신서비스 제공자가 해당된다.

◇ 관련 제도(권고)

개인정보보호 관리체계(PIMS) 인증 : 개인정보보호를 위해 개인정보보호 관리체계를 구축하고 인증기관(한국인터넷진흥원)으로부터 인증을 받을 수 있다. 인증 취득시 정보통신망법 개인정보보호관련 조항 및 개인정보보호법 준수로 인정된다. 대상자는 정보통신 서비스 제공자 중에서 개인정보를 수집하는 경우이다.

정보보호관리 등급 : 정보보호관리체계 인증을 취득한 기업은 높은 수준의 기업 보안 관리를 위해 정보보호 관리등급을 부여 받을 수 있다. 정보통신 서비스 제공자 모두에 해당된다.

정보보호 사전점검 : 새로운 정보통신서비스 개발 시 계획·설계 단계에서 위험분석, 보호대책 적용 등 정보보호 사전점검을 받을 수 있다. 특히, 신규 정보통신망을 구축하거나 정보통신서비스를 제공하는 자에 해당된다.

정보보호 최고책임자 지정 : 기업의 정보보호 활동을 총괄 관리하는 임원급의 정보보호 최고책임자(CISO)를 지정할 수 있다. 정보통신 서비스 제공자 모두에 해당된다.

정보보호 투자 : 최소한의 기업 정보보안을 위해 인증 현황의 홈페이지 공개, IT 예산 대비 정보보호 예산 5%이상 투자를 권고하고 있다. 정보통신서비스 제공자 모두에 해당된다.

[김태형 기자(boan@boannews.com)]

출처 : 보안뉴스