IT Security

금융권에 적합한 ISMS-P 인증기준 점검항목(392개) 1. 관리체계 수립 및 운영 (3개) 1.1.3 조직구성 - 금융회사 또는 전자금융업자는 정보보호위원회에서 전자금융거래의 안전성 확보 및 이용자의 보호에 관한 사항을 심의·의결하고 있는가? 1.1.6 자원할당 - 전자금융거래의 안전성 확보 및 이용자 보호를 위해 정보기술부문과 정보보호에 필요한 예산과 인력을 지원하고 있는가? 1.4.1 법적 요구사항 준수 검토 - 경영진은 전자금융거래 안전성 확보 및 이용자 보호와 개인신용정보의 관리 및 보호 실태에 대한 법적 요구사항에 대해 준수 여부를 정기적으로 점검하고 최고경영자에게 보고하고 있는가? 2. 보호대책 요구사항 (42개) 2.3.2 외부자 계약 시 보안 - 신용정보회사등이 신용정보제공·이용자가 다..

ISMS-P 인증기준 세부점검항목 (가상자산사업자 대상) 가상자산사업자 ISMS 인증심사를 위한 세부점검항목(56개) 1. 관리체계 수립 및 운영 (대항목 7개) 1.1 관리체계 기반마련 1.1.5 정책 수립 가상자산관련 보안요구사항 정책·지침에 포함 정책·지침 비밀관리 및 열람필요인원 제공 1.1.6 자원 할당 가상자산관련 예산 및 인력 지원 (755) 755 정보보호 예산 : 정보기술(IT) 예산의 100분의7 정보기술(IT) 인력 : 총 임직원 수의 100분의 5 정보보호 인력 : 정보기술(IT)인력 수의 100분의 5 1.2 위험관리 1.2.1 정보자산 식별 가상자산 식별·목록 관리 및 최소인원 제공 1.2.3 위험평가 위험평가 항목에 콜드/핫(7:3) 보유액 비율 포함 가상자산관련 위험 빠짐없이..

총협기심수기위발업 1. 총칙 (목용범 : 목적 / 용어의 정의 / 적용범위) 제1조 목적 제2조 용어의 정의 제3조 적용범위 2. 인증협의회 (구운 : 구성 / 운영) 제4조 협의회의 구성 : 과기부와 보호위원회에서 구성 제5조 협의회의 운영 : 연검지감민 (연구 및 개선 / 제반검토 및 품질관리 / 인증·심사기관 지정 재지정 / 인증·심사기관 관리감독 / 민원처리 및 법적분쟁에 관한 사항) 3. 인증기관 및 심사기관 (공기사재독취 : 지정공고 / 지정기준 및 절차 / 사후관리 / 재지정 / 공정성 및 독립성 확보 / 지정 취소) 제6조 지정공고 : 과기부와 보호위원회에서 20일이상 홈페이지 공고 (6개월이내 지정기준 미달자 / 1년이내 취소된 자 제외) 제7조 지정기준 및 지정절차 : 업무수행요건능력 ..

개인정보의 암호화 조치 안내서 1. 목적 「개인정보보호법」에 따라 개인정보처리자 및 정보통신서비스 제공자 등이 개인정보를 안전하게 저장·전송하는데 사용되는 암호화 기술에 대한 안내를 목적으로 한다. 2. 적용 대상 「개인정보보호법」에 따라 암호화 대상 개인정보를 저장·전송하는 개인정보처리자 및 정보통신서비스 제공자 등을 대상으로 한다. 구분 개인정보처리자 정보통신서비스 제공자 등 저장 시 비밀번호, 고유식별정보, 바이오정보 비밀번호, 고유식별정보, 바이오정보(생체정보) 계좌번호, 신용카드정보 전송 시 개인정보, 인증정보 3. 안전한 암호 알고리즘 구분 취약한 알고리즘 안전한 알고리즘 대칭키 암호 DES 128bit 미만 AES/ARIA/SEED 128bit 이상 SEED ARIA-128/192/256 A..

3. 개인정보 처리단계 별 요구사항 (수보제파정) 3.1 개인정보 수집 시 보호조치 (제동주민간영홍) 3.1.1 개인정보 수집 제한 ① 최소한의 정보만 수집 ② 최소한의 정보 이외의 선택항목 ③ 동의 거부권 3.1.2 개인정보의 수집 동의 ① 명확히 고지 후 동의 개인정보의 수집·이용이 가능한 경우 개인정보처리자 (동법공계급정) 정보주체의 동의를 받은 경우 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 정보주체와의 계약 체결 및 이행을 위하여 불가피한 경우 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 사전동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체,..

ISMS-P 인증기준 세부점검항목 (가상자산사업자 대상) 가상자산사업자 ISMS 인증심사를 위한 세부점검항목(56개) 관리분야 11개 + 금융(관리)분야 5개 물리분야 5개 기술분야 24개 + 금융(기술)분야 11개 1. 관리분야 11개 + 금융(관리)분야 5개 1.1.5 정책 수립 ① 가상자산 거래 서비스를 안전하게 제공/관리하기 위하여 취급업소의 주요 자산분류 및 작업에 대한 보안요구사항이 정책, 매뉴얼, 지침 등에 포함되어 있는가? ② 핫/콜드월렛 관련 주요 작업 지침 및 절차는 비밀로 관리하고 업무상 열람이 필요한 인원으로 배포를 제한하고 있는가? 1.1.6 자원 할당 ① 가상자산 거래 서비스의 안전성 확보 및 이용자 보호를 위해 정보기술(IT)부문과 정보보호에 필요한 예산과 인력을 지원하고 있는..

(개인정보보호위원회) 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 ★ 총협기심수기위발업 제1장 총칙 (제1조, 제2조,제3조) 제2장 정보보호 및 개인정보보호 관리체계 인증 협의회 (제4조,제5조) 제3장 인증기관 및 심사기관 (제6조, 제7조, 제8조, 제9조, 제10조, 제11조) 제4장 인증심사원 (제12조, 제13조, 제14조, 제15조, 제16조) 제5장 인증심사의 신청 및 수수료 납부신청 (제17조, 제18조, 제19조, 제20조, 제21조, 제22조) 제6장 인증심사의 기준과 방법 (제23조, 제24조, 제25조, 제26조, 제27조, 제28조) 제7장 인증위원회 구성과 운영 (제29조, 제30조, 제31조) 제8장 인증서의 발급·관리 및 홍보 (제32조, 제33조, 제34조, 제..

ISMS-P 인증제도 (개체의심기) 1. ISMS-P 인증제도 개요 과학기술정보통신부와 개인정보보호위원회는 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시를 공동으로 개정하여 시행 ISMS / ISMS-P 인증기준에 적합함을 KISA 또는 인증기관이 증명하는 것 심사종류 (최사갱 : 최초심사 / 사후심사 / 갱신심사) 최초심사 : 처음, 중요한 변경 시 수행하며 인증위원회 결과 적합 여부 결정 사후심사 : 매년 1회 이상 수행 갱신심사 : 갱신유효기간 만료 3개월전에 신청해야하며 인증위원회 결과 적합 여부 결정 2. ISMS-P 인증 추진체계 정책기관 (과개 : 과학기술정보통신부 / 개인정보보호위원회) 법,제도 개선 및 정책 결정 / 인증기관 및 심사기관 지정 인증협의회(연검지감민) : 정책기관에..

2. 보호대책 요구사항 (정인외물 / 인접암도 / 시시사재) 2.1 정책,조직,자산 관리 (정조자) 2.1.1 정책의 유지관리 ① 최상위 정책 및 시행 문서 타당성 검토 ② 중대한 환경 변화 시 영향성 검토 및 필요 시 제·개정 ③ 정책 제·개정 시 이해관계자 검토 ④ 제·개정 이력 관리 2.1.2 조직의 유지관리 ① 책임자 및 담당자 역할 및 책임 정의 정보보호 최고책임자 수감평훈법 정보보호 관리체계의 수립·시행 및 개선 정보보호 실태와 관행의 정기적인 감사 및 개선 정보보호 위험의 식별 평가 및 정보보호 대책 마련 정보보호 교육과 모의 훈련 계획의 수립 및 시행 그 밖에 정보통신망법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 개인정보 보호책임자 수조불통교감처자파 개인정보 보호 계획의..

1. 관리체계 수립 및 운영 (기위운점) 1.1 관리체계 기반마련 (경최조범정자) 1.1.1 경영진의 참여 ① 경영진 책임 및 역할 문서화 ② 의사결정 절차 수립·이행 1.1.2 최고책임자 지정 ① CPO,CISO 공식 지정 ② 임원급 지정(예산, 인력 등 자원을 할당할 수 있는 자격) 및 법령 자격요건 충족 법령 자격요건 CPO 지정요건 (공공기관) 국법헌중고 정3 교3 군4 34 학행 국회,법원,헌법재판소,중앙선거관리위원회 고위공무원 정무직공무원을 장으로 하는 국가기관 3급 이상 공무원 시·도 및 시·도 교육청 3급 이상 공무원 시·군 및 자치구 4급 공무원 고위공무원, 3급 공무원 이상의 공무원을 장으로 하는 국가기관 4급 이상 공무원 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는..