IT Security

금융권에 적합한 ISMS-P 인증기준 점검항목(392개) 1. 관리체계 수립 및 운영 (3개) 1.1.3 조직구성 - 금융회사 또는 전자금융업자는 정보보호위원회에서 전자금융거래의 안전성 확보 및 이용자의 보호에 관한 사항을 심의·의결하고 있는가? 1.1.6 자원할당 - 전자금융거래의 안전성 확보 및 이용자 보호를 위해 정보기술부문과 정보보호에 필요한 예산과 인력을 지원하고 있는가? 1.4.1 법적 요구사항 준수 검토 - 경영진은 전자금융거래 안전성 확보 및 이용자 보호와 개인신용정보의 관리 및 보호 실태에 대한 법적 요구사항에 대해 준수 여부를 정기적으로 점검하고 최고경영자에게 보고하고 있는가? 2. 보호대책 요구사항 (42개) 2.3.2 외부자 계약 시 보안 - 신용정보회사등이 신용정보제공·이용자가 다..

ISMS-P 인증기준 세부점검항목 (가상자산사업자 대상) 가상자산사업자 ISMS 인증심사를 위한 세부점검항목(56개) 1. 관리체계 수립 및 운영 (대항목 7개) 1.1 관리체계 기반마련 1.1.5 정책 수립 가상자산관련 보안요구사항 정책·지침에 포함 정책·지침 비밀관리 및 열람필요인원 제공 1.1.6 자원 할당 가상자산관련 예산 및 인력 지원 (755) 755 정보보호 예산 : 정보기술(IT) 예산의 100분의7 정보기술(IT) 인력 : 총 임직원 수의 100분의 5 정보보호 인력 : 정보기술(IT)인력 수의 100분의 5 1.2 위험관리 1.2.1 정보자산 식별 가상자산 식별·목록 관리 및 최소인원 제공 1.2.3 위험평가 위험평가 항목에 콜드/핫(7:3) 보유액 비율 포함 가상자산관련 위험 빠짐없이..

[요약] 안전성 확보조치 기준 VS 기술적·관리적 보호조치 기준 안전성확보조치 기준을 기반으로 정리 안전성확보조치 기준 제1조, 제2조는 생략 안전성확보조치 기준 제3조부터 제14조까지 비교 정리 조항비교 안전성확보조치 기준 : 14개 조항 (아래 5개 조항은 안전성확보조치 기준에만 있음) 안전조치 기준 적용 접근권한의 관리 관리용 단말기의 안전조치 재해·재난 대비 안전조치 개인정보의 파기 기술적·관리적보호조치 기준 : 11개 조항 (아래 2개 조항은 기술적·관리적보호조치 기준에만 있음) 출력·복사 시 보호조치 개인정보 표시 제한 보호조치 * 기술적·관리적보호조치 기준에는 접근권한의 관리 조항은 존재하지 않지만 접근통제 조항에 일부내용이 포함 구분 [개인정보처리자] 안전성확보조치 기준 (14개 조항) [..

안전성 확보조치 기준 VS 기술적·관리적 보호조치 기준 구분 [개인정보처리자] 안전성확보조치 기준 (14개 조항) [정보통신서비스제공자] 기술적·관리적 보호조치 기준 (11개조항) 조항 목정안내 접통암기 악단물재 파검 제1조 목적 제2조 정의 제3조 안전조치 기준 적용 제4조 내부관리계획 수립·시행 제5조 접근권한의 관리 제6조 접근통제 제7조 개인정보의 암호화 제8조 접속기록 보존 및 점검 제9조 악성프로그램 등 방지 제10조 관리용 단말기의 안전조치 제11조 물리적 안전조치 제12조 재해·재난 대비 안전조치 제13조 개인정보의 파기 제14조 재검토 기한 목정내통 기암악물 출표검 제1조 목적 제2조 정의 제3조 내부관리계획 수립·시행 제4조 접근통제 제5조 접속기록의 위·변조 방지 제6조 개인정보의 암..

개인정보의 기술적·관리적 보호조치 기준 제1조 목적 ① 이 기준은 「개인정보 보호법」(이하 "법"이라 한다) 제29조 및 같은 법 시행령 제48조의2제3항에 따 라 정보통신서비스 제공자등(법 제39조의14에 따라 준용되는 자를 포함한다. 이하 같다)이 이용자의 개인정보를 처리함에 있어서 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손을 방지하고 개인정보의 안전성 확보를 위하여 필요한 기술적ㆍ관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한다. ② 정보통신서비스 제공자등은 사업규모, 개인정보 보유 수 등을 고려하여 스스로의 환경에 맞는 개인정보보호조치 기준을 수립하여 시행하여야 한다. 제2조 정의 1. "개인정보 보호책임자"란 이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원..

총협기심수기위발업 1. 총칙 (목용범 : 목적 / 용어의 정의 / 적용범위) 제1조 목적 제2조 용어의 정의 제3조 적용범위 2. 인증협의회 (구운 : 구성 / 운영) 제4조 협의회의 구성 : 과기부와 보호위원회에서 구성 제5조 협의회의 운영 : 연검지감민 (연구 및 개선 / 제반검토 및 품질관리 / 인증·심사기관 지정 재지정 / 인증·심사기관 관리감독 / 민원처리 및 법적분쟁에 관한 사항) 3. 인증기관 및 심사기관 (공기사재독취 : 지정공고 / 지정기준 및 절차 / 사후관리 / 재지정 / 공정성 및 독립성 확보 / 지정 취소) 제6조 지정공고 : 과기부와 보호위원회에서 20일이상 홈페이지 공고 (6개월이내 지정기준 미달자 / 1년이내 취소된 자 제외) 제7조 지정기준 및 지정절차 : 업무수행요건능력 ..

https://n.news.naver.com/mnews/article/031/0000727289?sid=105 "제3자 제공 고지 미흡"…개인정보위, 카카오모빌리티에 과태료 개인정보 이용목적을 명확히 알리지 않은 카카오모빌리티가 과태료 처분을 받았다. 개인정보보호위원회(위원장 고학수)는 8일 전체회의를 열고 개인정보 보호법을 위반한 카카오모빌리티에 과 n.news.naver.com 개인정보 이용목적을 명확히 알리지 않은 카카오모빌리티가 과태료 600만원을 부과 카카오모빌리티는 자율주행 택시 호출 서비스를 위한 제3자 제공 추가 동의를 받는 과정에서 개인정보 이용목적을 '서비스 내 이용자 식별, 탑승관리 및 운영 전반'으로 기재하여 이용자 입장에서 기존 택시 호출 서비스에 필요한 동의로 오인했을 소지가 크..

https://n.news.naver.com/mnews/article/003/0011677120?sid=105 KISA, 올바른 정보보호 공시 위한 가이드라인 발간 기사내용 요약 기업이 보다 쉽게 정보보호 공시에 참여할 수 있도록 산출 방법 정리 공시 내용 작성 시 유의사항 등 전문가 의견 반영해 정리 【서울=뉴시스】송혜리 기자 = 한국인터넷진흥원(KI n.news.naver.com 정보보호 공시 가이드라인 1. 개요 정보보호 공시제도는 이용자 보호 및 알권리를 보장하고 기업의 자발적인 정보보호 투자를 촉진하기 위한 제도 2. 의무 대상 기준 사업분야 ISP : 회선설비 보유 기간통신 사업자 IDC : 집적정보통신시설 사업자 상급종합병원 클라우드컴퓨팅 서비스 제공자 매출액 정보보호 최고책임자(CISO) ..

개인정보 손해배상책임 보장제도 (매5천-자1천) 1. 적용대상 다음 각 호의 요건을 모두 갖춘 정보통신서비스 제공자 등 전년도의 매출액이 5천만원 이상일 것 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자수가 일일평균 1천명 이상일 것 순방문자수(UV:unique visitor)나 페이지뷰(PV:page view)가 아닌 정보통신 서비스 제공자등이 저장한 이용자의 수(개인정보 보유량) 이용자수 일일평균 = 10월, 11월, 12월 전체 일일 이용자수의 총합 ÷ 92(일) 이용자의 개인정보를 수집한 경로가 온라인·오프라인인지 여부와는 무관하며, 사업자가 저장하고 있는 이용자수 전부가 포함 다른 법령에 따라 보관하고 있는 탈퇴회원 또는 서비스 미이용자 (휴면계정)의 개인정보도 개인정보..

3. 개인정보 처리단계 별 요구사항 (수보제파정) 3.1 개인정보 수집 시 보호조치 (제동주민간영홍) 3.1.1 개인정보 수집 제한 ① 최소한의 정보만 수집 ② 최소한의 정보 이외의 선택항목 ③ 동의 거부권 3.1.2 개인정보의 수집 동의 ① 명확히 고지 후 동의 개인정보의 수집·이용이 가능한 경우 개인정보처리자 (동법공계급정) 정보주체의 동의를 받은 경우 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 정보주체와의 계약 체결 및 이행을 위하여 불가피한 경우 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 사전동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체,..