□ ISMS-P / 관·보·개
1. 관리체계 수립 및 운영
2. 보호대책 요구사항
3. 개인정보 처리단계별 요구사항
□ 동의없이 가명정보 처리 / 통·과·공
통계작성 / 과학적 연구 / 공익적 기록 보존
□ 위험도 공식 / 자·발·법·2
위험도 = 자산가치 ( 영향도 )+ ( 침해요인 발생가능성 x 법적준거성 x 2 )
□ 암호화해서 저장해야 하는 개인정보 / 주·여·운·외 신·계·생
주민등록번호 / 여권번호 / 운전면허번호 / 외국인등록번호
신용카드번호 / 계좌번호 / 생체인식정보(바이오 정보)
□ 예방통제 종류 / 예·물·논
예방통제
- 물리적 접근통제
- 논리적 접근통제
□ 위험관리-위혐평가 (ISO/IEC 27005 기준) / 식·분·평
1. 위험 식별(Risk Identification)
- 자산 식별 / 위협 식별 / 취약점 식별
2. 위험 분석(Risk Analysis)
3. 위험 평가(Risk Evaluation)
□ IPSec / 접근은 비번으로, 데이터는 재전송 막고, 기밀은 제한한다
접근제어 / 비연결형 무결성 / 데이터 원천 인증
재전송 방지 / 기밀성 / 제한적 트래픽 흐름의 기밀성
□ 개인정보 영향평가 고려사항 / 수·3·권·위 민·고·보
1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
4. 민간정보 또는 고유식별정보의 처리 여부
5. 개인정보 보유기간
□ 정보보호 최고책임자(CISO)의 업무 / 관·취·침·사·보·암·그
1. 정보보호 관리체계의 수립 및 관리·운영
2. 정보보호 취약점 분석·평가 및 개선
3. 침해사고의 예방 및 대응
4. 사전 정보보호대책 마련 및 보안조치 설계·구현 등
5. 정보보호 사전 보안성 검토
6. 중요 정보의 암호화 및 보안서버 적합성 검토
7. 그 밖에 이 법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행
“관취침 사보가 암그러졌다”
- 관리체계를 세우던 CISO가
- 취약점을 발견했고
- 침해사고가 터졌다!
- 황급히 사전 보안대책을 마련하고
- 보안성 검토를 했더니
- 암호화가 그러졌다 (= 엉망이 되었다)
□ 개인정보보호 최고책임자(CPO)의 업무 / 계·실·불·내·교·파·대
1. 개인정보 보호 계획의 수립 및 시행
2. 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3. 개인정보 처리와 관련한 불만의 처리 및 피해 구제
4. 개인정보 유출 및 오용·남용 방지를 위한 내부 통제시스템의 구축
5. 개인정보 보호 교육 계획의 수립 및 시행
6. 개인정보파일의 보호 및 관리·감독
7. 그 밖에 개인정보의 적절한 처리를 위하여 대통령령으로 정하는 업무
"계실이 불내며 교파에 대들었다"
계획 → 실태 → 불만 → 내부통제 → 교육 → 파일 → 대통령령