IT Security

금융권에 적합한 ISMS-P 인증기준 점검항목(392개) 1. 관리체계 수립 및 운영 (3개) 1.1.3 조직구성 - 금융회사 또는 전자금융업자는 정보보호위원회에서 전자금융거래의 안전성 확보 및 이용자의 보호에 관한 사항을 심의·의결하고 있는가? 1.1.6 자원할당 - 전자금융거래의 안전성 확보 및 이용자 보호를 위해 정보기술부문과 정보보호에 필요한 예산과 인력을 지원하고 있는가? 1.4.1 법적 요구사항 준수 검토 - 경영진은 전자금융거래 안전성 확보 및 이용자 보호와 개인신용정보의 관리 및 보호 실태에 대한 법적 요구사항에 대해 준수 여부를 정기적으로 점검하고 최고경영자에게 보고하고 있는가? 2. 보호대책 요구사항 (42개) 2.3.2 외부자 계약 시 보안 - 신용정보회사등이 신용정보제공·이용자가 다..

ISMS-P 인증기준 세부점검항목 (가상자산사업자 대상) 가상자산사업자 ISMS 인증심사를 위한 세부점검항목(56개) 1. 관리체계 수립 및 운영 (대항목 7개) 1.1 관리체계 기반마련 1.1.5 정책 수립 가상자산관련 보안요구사항 정책·지침에 포함 정책·지침 비밀관리 및 열람필요인원 제공 1.1.6 자원 할당 가상자산관련 예산 및 인력 지원 (755) 755 정보보호 예산 : 정보기술(IT) 예산의 100분의7 정보기술(IT) 인력 : 총 임직원 수의 100분의 5 정보보호 인력 : 정보기술(IT)인력 수의 100분의 5 1.2 위험관리 1.2.1 정보자산 식별 가상자산 식별·목록 관리 및 최소인원 제공 1.2.3 위험평가 위험평가 항목에 콜드/핫(7:3) 보유액 비율 포함 가상자산관련 위험 빠짐없이..

[요약] 안전성 확보조치 기준 VS 기술적·관리적 보호조치 기준 안전성확보조치 기준을 기반으로 정리 안전성확보조치 기준 제1조, 제2조는 생략 안전성확보조치 기준 제3조부터 제14조까지 비교 정리 조항비교 안전성확보조치 기준 : 14개 조항 (아래 5개 조항은 안전성확보조치 기준에만 있음) 안전조치 기준 적용 접근권한의 관리 관리용 단말기의 안전조치 재해·재난 대비 안전조치 개인정보의 파기 기술적·관리적보호조치 기준 : 11개 조항 (아래 2개 조항은 기술적·관리적보호조치 기준에만 있음) 출력·복사 시 보호조치 개인정보 표시 제한 보호조치 * 기술적·관리적보호조치 기준에는 접근권한의 관리 조항은 존재하지 않지만 접근통제 조항에 일부내용이 포함 구분 [개인정보처리자] 안전성확보조치 기준 (14개 조항) [..

안전성 확보조치 기준 VS 기술적·관리적 보호조치 기준 구분 [개인정보처리자] 안전성확보조치 기준 (14개 조항) [정보통신서비스제공자] 기술적·관리적 보호조치 기준 (11개조항) 조항 목정안내 접통암기 악단물재 파검 제1조 목적 제2조 정의 제3조 안전조치 기준 적용 제4조 내부관리계획 수립·시행 제5조 접근권한의 관리 제6조 접근통제 제7조 개인정보의 암호화 제8조 접속기록 보존 및 점검 제9조 악성프로그램 등 방지 제10조 관리용 단말기의 안전조치 제11조 물리적 안전조치 제12조 재해·재난 대비 안전조치 제13조 개인정보의 파기 제14조 재검토 기한 목정내통 기암악물 출표검 제1조 목적 제2조 정의 제3조 내부관리계획 수립·시행 제4조 접근통제 제5조 접속기록의 위·변조 방지 제6조 개인정보의 암..

개인정보의 기술적·관리적 보호조치 기준 제1조 목적 ① 이 기준은 「개인정보 보호법」(이하 "법"이라 한다) 제29조 및 같은 법 시행령 제48조의2제3항에 따 라 정보통신서비스 제공자등(법 제39조의14에 따라 준용되는 자를 포함한다. 이하 같다)이 이용자의 개인정보를 처리함에 있어서 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손을 방지하고 개인정보의 안전성 확보를 위하여 필요한 기술적ㆍ관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한다. ② 정보통신서비스 제공자등은 사업규모, 개인정보 보유 수 등을 고려하여 스스로의 환경에 맞는 개인정보보호조치 기준을 수립하여 시행하여야 한다. 제2조 정의 1. "개인정보 보호책임자"란 이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원..

총협기심수기위발업 1. 총칙 (목용범 : 목적 / 용어의 정의 / 적용범위) 제1조 목적 제2조 용어의 정의 제3조 적용범위 2. 인증협의회 (구운 : 구성 / 운영) 제4조 협의회의 구성 : 과기부와 보호위원회에서 구성 제5조 협의회의 운영 : 연검지감민 (연구 및 개선 / 제반검토 및 품질관리 / 인증·심사기관 지정 재지정 / 인증·심사기관 관리감독 / 민원처리 및 법적분쟁에 관한 사항) 3. 인증기관 및 심사기관 (공기사재독취 : 지정공고 / 지정기준 및 절차 / 사후관리 / 재지정 / 공정성 및 독립성 확보 / 지정 취소) 제6조 지정공고 : 과기부와 보호위원회에서 20일이상 홈페이지 공고 (6개월이내 지정기준 미달자 / 1년이내 취소된 자 제외) 제7조 지정기준 및 지정절차 : 업무수행요건능력 ..

https://n.news.naver.com/mnews/article/031/0000727289?sid=105 "제3자 제공 고지 미흡"…개인정보위, 카카오모빌리티에 과태료 개인정보 이용목적을 명확히 알리지 않은 카카오모빌리티가 과태료 처분을 받았다. 개인정보보호위원회(위원장 고학수)는 8일 전체회의를 열고 개인정보 보호법을 위반한 카카오모빌리티에 과 n.news.naver.com 개인정보 이용목적을 명확히 알리지 않은 카카오모빌리티가 과태료 600만원을 부과 카카오모빌리티는 자율주행 택시 호출 서비스를 위한 제3자 제공 추가 동의를 받는 과정에서 개인정보 이용목적을 '서비스 내 이용자 식별, 탑승관리 및 운영 전반'으로 기재하여 이용자 입장에서 기존 택시 호출 서비스에 필요한 동의로 오인했을 소지가 크..

정보보호최고책임자(CISO) 지정·신고제도 안내서 1. 목적 정보통신서비스 제공자가 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위한 정보보호 업무를 수행할 수 있도록 정보보호 최고책임자 지정·신고제 운영 2. 지정·신고 의무대상자 및 CISO 지정기준 신고 의무 제외 대상자를 제외하고 '중기업'이상의 정보통신 서비스 제공자는 의무 신고 대상 신규 신고의무 대상 및 겸직제한에 해당하는 경우 인력수요 등을 고려하여 신고 기한을 90일에서 180일로 연장 신고 의무 제외 대상자 (자본금 1억원 이하) 자본금이 1억원 이하인 정보통신서비스 제공자 (소기업) 중소기업기본법 제2조제2항에 따른 소기업 (중기업 일부) 전기통신사업자, 정보보호 관리체계 인증을 받아야 하는 자, 개인정보처리자, 통신판매업자..

불법스팸 방지를 위한 정보통신망법 안내서 1. 개요 스팸 : 정보통신망을 통해 수신자의 명시적인 사전 동의없이 일방적으로 전송되는 영리목적의 광고성 정보 불법스팸 : 정보통신망법 제50조부터 제50조의 8의 규정을 위반하여 전송 또는 게시되는 영리목적의 광고성 정보 2. ‘영리목적의 광고성 정보’ 적용범위 영리목적으로 사업을 하는 자가 고객에게 보내는 정보는 원칙적으로 모두 광고성 정보에 해당 영업사원이 고객관리 차원에서 보내는 안부인사, 사업자가 고객에게 보내는 무료 뉴스레터 사업자가 제공하는 재화 및 서비스에 대한 쿠폰, 마일리지 등의 경우 해당 재화 및 서비스 이용을 촉구하는 홍보 목적을 포함하고 있으므로 쿠폰, 마일리지 등에 대한 정보는 원칙적으로 광고성 정보에 해당 수신자가 요청하거나 수신자와의..

영상정보처리기기 설치 운영 가이드라인 (공공·민간) 1. 개요 목적 공공기관이 준수하여야 할 사항을 업무담당자가 쉽게 이해할 수 있도록 기준을 제시함을 목적으로 함 용어 정의 영상정보처리기기 : 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 일체의 장치 폐쇄회로 텔레비전(CCTV) 일정한 공간에 지속적으로 설치된 카메라를 통하여 영상 등을 촬영하거나 촬영한 영상정보를 유무선 폐쇄회로 등의 전송로를 통하여 특정장소에 전송하는 장치 촬영되거나 전송된 영상정보를 녹화·기록할 수 있도록 하는 장치 네트워크 카메라 일정한 공간에 지속적으로 설치된 기기로 촬영한 영상정보를 그 기기를 설치·관리하는 자가 유무선 인터넷을 통하여 어느 곳에서나 수집·저장 등의..