IT Security

1. 개인정보 영향평가 전문인력(PIA) 3차 시험 후기 시험 일자 : 23년 10월 28일 (토)시험 후기PIA 1,2차 시험을 봤지만 불합격한 상태여서 3차 시험을 합격할 자신이 없었다. 왜냐하면  PIA 1,2차 시험은 개인정보보호법 개정 전 시험이었고, PIA 3차 시험은 개정 후의 시험이라서 부담감이 많이 되었고, PIA 1,2차 시험을 잘본 것 처럼 느꼈지만 불합격했기 때문에 어떻게 공부를 해야할지 어떤식으로 접근해야할지 방법을 알 수가 없었다.그러나 같이 PIA 수업을 들었던 분과 공부를 하면서 주관식4번을 어떤식으로 풀어야 할지 분석을 하였고, 분석된 내용으로 답쓰는 연습을 수시로 하였다. 분석한 내용이 맞는 지에 대한 판단은 시험합격으로만 증명을 할 수 있었다. 결국 같이 수업들었던 분과..

2. 개인정보 영향평가 지표 01. 평가지표 개요 및 점검요령 평가지표 구성 → 탄력적으로 구성하여 사용 5개 평가영역 25개 평가분야에 대하여 총 85개의 항목으로 구성 ‘1. 대상기관 개인정보보호 관리 체계' 평가영역은 1년 이내에 수행된 이전 영향평가를 통해 이미 평가를 수행한 경우 대상기관과의 협의를 거쳐 평가에서 제외 평가지표의 5개 평가영역 1. 대상기관 개인정보보호 관리체계 대상기관 차원에서 개인정보 보호 조직 및 계획, 침해대응 체계, 정보주체 권 리보장 체계의 적절성 점검 내부정책자료를 포함하여 실제 이행 증적(승인 문서 등)에 대한 상세 검토 1년 이내에 수행된 이전 영향평가를 통해 이미 평가를 수행한 경우 대상기관 과의 협의를 거쳐 평가에서 제외 기능 (단, 보고서에 제외 사유 기록 ..

보호되어 있는 글입니다.

보호되어 있는 글입니다.

3. 개인정보 영향평가 품질관리 [영투식적충활합] 1) 영향평가서 필수사항 → 영향평가서 확인 1. 영향평가서는 법적 필수사항을 모두 포함하여 작성되었는가? (「개인정보 보호법」 시행령 제38조 제2항) (대항위개결요) ① 영향평가의 대상 및 범위 ② 평가 분야 및 항목 ③ 평가기준에 따른 개인정보 침해의 위험요인에 대한 분석ㆍ평가 ④ 제3호의 분석ㆍ평가 결과에 따라 조치한 내용 및 개선계획 ⑤ 영향평가의 결과 ⑥ 제1호부터 제5호까지의 사항에 대하여 요약한 내용 2) 투입인력의 자격 요건 → 투입인력 인증번호 확인 2. 영향평가 수행 인력은 필요한 자격요건을 갖추었는가? 자격증 : 정보보안기사, 감리원, 기술사, CISSP, CISA, CPPG, 박사, ISMS-P인증심사원 경력 : 개인정보 영향평가 ..

02. 평가지표 해설 문제점 : 법적근거에 따라 개인정보 보호책임자를 4급 이상의 공무원으로 지정해야하나, 5급 공무원으로 지정 관련 근거 : 개인정보보호법 제31조(개인정보 보호책임자의 지정) 위반 개선방안 : 법에서 규정 된 자격요건에 따라, 개인정보 보호책임자를 4급이상의 공무원으로 지정하여야 함 문제점 : 법적근거에 따라 지정된 업무를 수행까지 하여야 하나, 수행하고 있지 않음 관련 근거 : 개인정보보호법 제31조(개인정보 보호책임자의 지정) 위반 개선방안 : 법적근거에 따라 지정된 업무를 실질적으로 수행할 수 있도록 업무프로세스를 개선해야 함 개인정보 보호책임자 업무를 수행하고 있는 지 확인할 수 있는 점검 계획을 수립·이행 하고 점검 계획에 따라 업무를 수행하고 있는지 확인할 수 있는 절차 수..

1. 개인정보 영향평가 제도 01. 개인정보 영향평가 개요 개인정보 영향평가의 개념 개인정보 영향평가(PIA : Privacy Impact Assessment)란 개인정보파일을 운용 하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보 처리시스템의 중대한 변경 시동 시스템의 구축·운영·변경 등이 개인정보에 미치는 영향 (impact)에 대하여 사전에 조사·예측·검토하여 개선방안을 도출하는 체계적인 절차를 말한다. 결국 이를 통해 정보시스템의 구축·변경 등이 완료되기 전에 평가 및 개선을 통해 정보주체의 개인정보에 미치는 중대한 영향을 사전에 파악하여 그 위험요인을 제거하거나 최소화할 수 있는 방안을 모색하는 것 가급적 개발 초기 단계, 즉 개발에 대한 설계 조정이 가능한 시점에 수행하는 것이 필요..

[부록] 기타 기술적 보호조치 01. 출력 보안 시스템 1.1 출력 보안 개요 개인정보처리자는 개인정보를 처리하는 경우 개인정보취급자가 업무에 필요 한 최소한의 범위로 열람이 되도록 조치하여야 하며 그 외 불필요한 정보는 열람을 제한하거나 마스킹 처리를 통해 개인정보 유출사고가 발생하지 않도록 조치하여야 한다. 1.2 출력 보안을 위한 보호조치 가. 화면 표시 제한 개인정보 마스킹을 적용할 때는 전사적인 관점에서 마스킹 기준을 정의하여 모든 개인정보처리시스템에 동일한 기준으로 적용될 수 있도록 하여야 한다. 시스템마다 마스킹 기준이 상이할 경우 조합을 통해 실제 정보를 알아낼 수 있는 취약점이 존재 나. 출력·복사물 보호조치 출력물 보안시스템의 주요 활용방안은 인가되지 않은 출력은 차단하며, 인가된 출력..

1. 기술적 보호조치 개요 개인정보 침해의 종류 1) 개인정보 유출 법령이나 처리자의 자유로운 의사에 의하지 않고, 정보주체의 개인정보에 대하여 처리자가 통제를 상실하거나 또한, 권한 없는 자의 접근을 허용한 것을 말한다. 2) 개인정보 불법유통 다양한 경로를 통해 수집한 개인정보가 이용 및 관리 과정에서 관리 부주의 및 실수, 악의적인 유출, 해킹 등으로 인해 유출된 후 금전적 이익 수취를 위해 불법적인 방법을 통해 거래되는 경우를 말한다. 3) 개인정보의 오남용 다양한 경로를 통해 수집한 개인정보가 이용 및 관리 과정에서 관리 부주의 및 실수, 악의적인 유출, 해킹 등으로 인해 유출된 후 불법 스팸, 마케팅, 보이스 피싱 등에 악용되어 개인정보 침해가 발생하는 경우를 말한다. (권한있는 자) 4) 홈..

8. 정보주체의 권리보장과 침해구제 등 01. 정보주체 권리 보장 1.1 열람요구권 열람요구 가능 항목 (3동기항목) 1. 개인정보의 항목 및 내용 2. 개인정보의 수집·이용의 목적 3. 개인정보 보유 및 이용 기간 4. 개인정보의 제3자 제공 현황 5. 개인정보 처리에 대하여 동의한 사실 및 내용 개인정보 열람을 요구받았을 때에는 10일 이내에 정보주체가 해당 개인정보를 열람할 수 있도록 조치 열람을 거절하려는 경우에는 열람 요구를 받은 날부터 10일 이내에 거절의 사유 및 이의제기 방법을 로 해당 정보 주체에게 알려야 한다. (보감법이조성시) 1. 법률에 따라 열람이 금지되거나 제한되는 경우 2. 다른 사람의 생명·신체를 해할 우려가 있거나 다른 사람의 재산과 그 밖의 이익을 부당하게 침해할 우려가 ..