Compliance
-
ISO 27001, 27017, 27018Compliance 2022. 10. 27. 16:42
: 국제 표준 정보 보호 관리 체계(ISME) 인증으로 국제 표준화 기구에서 제정한 정보보호 분야에서 가장 권위 있는 국제 정보 보호 관리 체계 국제 규격 - ISO는 International Organization for Standardization의 약자로 국제 표준화 기구를 뜻합니다. - IEC는 International Electrotechnical Commission의 약자로 국제 전기 기술 위원회를 뜻합니다. 정보보호정책, 기술적 보안, 물리적 보안, 관리적 보안, 정보접근 통제 등 정보 보안 관련 11개의 영역과 133개의 항목으로 이루어져 있습니다. : ISO/IEC 27017 : 2015는 클라우드 서비스 제공자 및 고객이 이행해야 하는 정보보호 통제와 관련된 가이드라인을 제공하는 국제 ..
-
F-ISMS 인증기준 상세 - 3. 개인정보 처리 단계별 요구사항Compliance 2022. 10. 26. 17:36
3.1 개인정보 수집 시 보호조치 3.1.1 개인정보 수집 제한 인증 기준 개인정보는 서비스 제공을 위하여 필요한 최소한의 정보를 적법하고 정당하게 수집하여야 하며, 필수정보 이외의 개인정보를 수집하는 경우에는 선택항목으로 구분하여 해당 정보를 제공하지 않는다는 이유로 서비스 제공을 거부하지 않아야 한다. 주요 확인사항, 관련 법규 개인(신용)정보를 수집하는 경우 서비스 제공 또는 법령에 근거한 처리 등을 위하여 필요한 범위 내에서 최소한의 정보만을 수집하고 있는가? - 개인정보 보호법 제3조(개인정보 보호 원칙) 제1항, 제2항, 제16조(개인정보의 수집제한) 제1항 - 신용정보법 제15조(수집 및 처리의 원칙) 제1항 수집 목적에 필요한 최소한의 정보 외의 개인(신용)정보를 수집하는 경우 (신용)정보..
-
F-ISMS 인증기준 상세 - 2. 보호대책 요구사항 Part.2 (2.7 ~ 2.12)Compliance 2022. 10. 26. 17:35
2.7 암호화 적용 2.7.1 암호정책 적용 인증 기준 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다. 주요 확인사항, 관련 법규 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가? - 개인정보 보호법 제24조(고유식별정보의 처리 제한) 제3항, 제24조의2(주민등록번호 처리의 제한) 제2항 - 개인정보 보호법 시행령 제30조(개인정보의 안전성 확보 조치) 제1항제3호, 제48조의2(개인정보의 안전성 확보 조치에 관한 특례) 제1항제4호 - 개인정보의 안전성 확보조치 기준 제7조(개인정보..
-
F-ISMS 인증기준 상세 - 2. 보호대책 요구사항 Part.1 (2.1 ~ 2.6)Compliance 2022. 10. 26. 17:33
2.1 정책, 조직, 자산 관리 2.1.1 정책의 유지관리 인증 기준 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제·개정하고 그 내역을 이력관리하여야 한다. 주요 확인사항, 관련 법규 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립·이행하고 있는가? 조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요시 제·개정하고 있는가? - 개인정보의 안전성 확보조치 기준 제4조(내부관리계획의 수립・시행) 제3항 정보보호 및 개인정보보호 관련 정책 및 시행문서의 제·개정 시 이해 ..
-
F-ISMS 인증기준 상세 - 1. 관리체계 수립 및 운영Compliance 2022. 10. 26. 17:32
1.1 관리체계 기반 마련 1.1.1 경영진의 참여 인증 기준 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다. 주요 확인사항 정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가? 경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립·이행하고 있는가? 관련 법규 - 전자금융거래법 제21조(안전성의 확보의무) 제4항 - 전자금융거래법 시행령 제11조의2(정보기술부문 계획수립의 대상 금융회사 등) 제2항제5호 - 전자금융감독규정 제8조(인..
-
F-ISMS - 금융권에 적합한 ISMS-P 인증 점검 항목 (2022.08)Compliance 2022. 10. 26. 17:23
: 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조(정보보호 관리체계 인증) 및 「개인정보 보호법」 제32조의22(개인정보 보호 인증), 「정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시」 (과학기술정보통신부고시 제2021-27호, 개인정보보호위원회 고시 제2020-13호)에서 규정하고 있는 사항을 금융업권에 적합하게 설명함을 목적으로 합니다. 2019년 11월에 금융권에 적합한 ISMS-P 인증기준 점검항목을 개발했으며 2022년 08월에 변경한 이력을 가지고 있습니다. 수시로 개정될 수 있으며 해당 시점에서 최신 버전을 확인하여 적용하여야 하며, 전자금융거래법, 신용정보법 적용 대상이 되는 금융회사 및 신용정보회사, 전자금융업자 등을 적용 대상으로 합니다. F-ISMS 항목 1. ..
-
ISMS-P 인증기준 상세 - 3. 개인정보 처리 단계별 요구사항Compliance 2022. 10. 26. 15:58
3.1 개인정보 수집 시 보호조치 3.1.1 개인정보 수집 제한 인증 기준 개인정보는 서비스 제공을 위하여 필요한 최소한의 정보를 적법하고 정당하게 수집하여야 하며, 필수정보 이외의 개인정보를 수집하는 경우에는 선택항목으로 구분하여 해당 정보를 제공하지 않는다는 이유로 서비스 제공을 거부하지 않아야 한다. 주요 확인사항 최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고 책임자를 공식적으로 지정하고 있는가? 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며, 관련 법령에 따른 자격요건을 충족하고 있는가?개인정보를 수집하는 경우 서비스 제공 또는 법령에 근거한 처리 등을 위하여 필요한 범위 내에서 최소한의 정보만을 수집..
-
ISMS-P 인증기준 상세 - 2. 보호대책 요구사항 Part.2 (2.7 ~ 2.12)Compliance 2022. 10. 26. 15:14
2.7 암호화 적용 2.7.1 암호정책 적용 인증 기준 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다. 주요 확인사항 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가? 암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가? 관련 법규 개인정보 보호법 제24조의2(주민등록번호 처리의 제한), 제29조(안전조치의무) 개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화) 개인정보의 기술적·관리적 보호조치 기준 제6조(개인정보의 암호화) 2.7.2 암호..