정보보안기사 실기 - 정보보안 법규

- 정보 주체 동의 시 고지 의무사항

왜 : 개인정보의 수집,이용 목적

무엇을 : 수집하려는 개인정보 항목

언제까지 : 개인정보의 보유 및 이용 기간

추가 : 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

 

- 제3자 제공에 따른 정보주체 동의시 고지 의무 사항

누구에게 : 개인정보를 제공 받는 자

왜 : 개인정보를 제공받자는 자의 개인정보 이용목적

무엇을 : 제공하는 개인정보의 항목

언제까지 : 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간

추가 : 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

 

- 아동의 개인정보 수집

만 14세 미만 아동의 개인정보를 처리하려면 법정대리인의 동의를 받아야합니다. 이경우 법정대리인의 동의를 받기 위하여 필요한의 최소한의 정보는 법정대리인의 동의없이 해당 아동으로부터 직접 수집할 수 있습니다.

 

- 민감정보/고유식별정보의 처리 제한

민감정보와 고유식별정보는 원칙적으로 처리를 금지합니다. 

• 민감정보 : 사상 신념 조합의 가입 탈퇴 정치적 견해 건강 성생활등에 관한 정보, 그밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보
• 고유식별정보 : 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호

하지만 다음의 경우에는 민감정보 및 고유식별정보의 처리가 가능합니다.

• 다른 개인정보의 처리에대한 동의와 별도로 동의를 얻은 경우
• 법령에서 구체적으로 처리를 요구하거나 허용하는 경우

따라서 민감정보와 고유식별정보에대한 동의를 받을때는 다른 개인정보와 구분하여별도 동의를 받아야합니다. 하지만 특하 주민등록번호는 위 규정에도 불구하고 법령에 구체적으로 처리근거가 있어야 처리가 가능합니다.

 

- 영상정보처리기기의 설치 운영 제한

cctv를 설치할때는 정보주체가 인식할 수 있도록 안내판을 설치해야합니다. 안내판에 들어갈 내용은 다음과 같습니다.

왜 : 설치 목적

어디에 : 설치 장소 및 촬영 범위

언제 : 촬영 시간

누가 : 관리책임자 성명 및 연락처

추가 : 그밖의 대통령령으로 정하는 사항

 

- 업무 위탁에 따른 개인정보의 이전 제한

업무 위탁과 관련된 용어는 다음과 같습니다.

• 위탁자 : 업무를 위탁하는 개인정보처리자
• 수탁자 : 업무의 내용과 개인정보 처리 업무를 위탁받아 처리하는 자

위탁자는 수탁자와 업무 내용을 홈페이지나 보기 쉬운 방법으로 공개해야합니다.

 

- 개인정보의 안전한 관리

개인정보처리자는 다음 방법으로 안전성 확보 조치를 해야합니다.

• 관리 계획 : 개인정보의 안전한 처리를 위한 내부관리계획의 수립 및 시행
• 접근 통제 : 개인정보에대한 접근 통제 및 접근 권한의 제한 조치
• 암호화 : 개인정보를 안전하게 저장 전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
• 무결성 확보 : 개인정보 침해사고 발생에 대응하기위한 접속 기록의 보관 및 위조 변조 방지를 위한 조치
• 안티바이러스 : 개인정보에대한 보안프로그램의 설치 및 갱신
• 기밀성 확보 : 개인정보의 안전한 보관을 위한 보관 시설의 마련 또는 잠금 장치의 설치 등 물리적 조치

- 개인정보 영향평가(공공기관에만 해당)

대통령령으로 정하는 기준에 해당하는 개인정보파일이란 개인정보를 전자적으로 처리할 수 있는 개인 정보 파일로서 다음 중 해당하는 개인정보 파일을 말합니다.

• 5만명 이상의 정보주체에 관한 민감 정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
• 다른 개인정보파일과 연계하려는 경우로서 연계 결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
• 100만명 이상의 정보주체에 관한 개인정보 파일

 

- 개인정보 유출 통지

개인정보 유출 사실을 인지하였을 경우에는 지체없이 신고 하고 조치를 취해야합니다. 1천명 이상의 개인정보가 유출된 경우 보호위원회 또는 한국인터넷 진흥원에 신고합니다. 또한 1천명 이상의 개인정보가 유출된 경우 인터넷 홈페이지에 7일 이상 게시하여야하며 통지내용은 다음과 같습니다.

• 유출된 개인정보의 항목
• 유출된 시점과 경위
• 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법등에 관한 정보
• 개인정보처리자의 대응조치 및 피해 구제절차
• 정보주체에게 피해가 발생한 경우 신고등을 접수할 수 있는 담당부서 및 연락처

- 개인정보의 파기에대한 특례

1년동안 서비스를 이용하지않는 이용자의 개인정보는 즉시 파기하거나 다른 곳에 별도로 저장 관리해야합니다. 또한 기간 만료 30일 전까지 아래와 같은 사항을 통지해야합니다.

• 개인정보 파기시 : 파기 사실, 기간 만료일, 파기되는 개인정보 항목
• 개인정보 분리 보관시 : 분리 보관 시설 : 기간 만료일, 분리 보관되는 개인정보 항목

- 개인정보 이용내역의 통지

이용내역을 주기적으로 연 1회 이상 통지해야하고 통지 사항은 아래와 같습니다.

• 개인정보의 수집 이용 목적 및 수집한 개인정보의 항목
• 개인정보를 제공받은 자와 그 제공 목적 및 제공한 개인정보의 항목

 

- 개인 정보관련 용어

• 개인정보 파일 : 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물
• 개인정보처리자 : 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인
• 개인정보 보호책임자 : 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자로서 영 제32조제2항에 해당하는자
• 개인정보 취급자 : 개인정보처리자의 지휘 감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원 파견근로자 시간제근로자 등을 말합니다. 
• 생체 정보 : 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인의 신체적, 생리적, 행동적 특징에 관한 정보로서 특정 개인을 인증 식별하거나 개인에 관한 특징을 알아보기 위해 일정한 기술적 수단을 통해 처리되는 정보를 말합니다.
• 생체인식정보 : 생체정보 중 특정 개인을 인증 또는 식별할 목적으로 일정한 기술적 수단을 통해 처리되는 정보를 말합니다.

- 내부관리계획의 수립 시행

내부관리계획이란 내부적으로 개인정보가 분실, 도난, 유출, 위조, 변조 또는 훼손되지않도록 내부 의사결정 절차를 통해서 수립하고 시행하는 계획을 말합니다.

 

- 접근 권한의 관리

접근권한의 관리 기준은 아래와 같습니다.

• 최소한의 범위로 차등 부여
• 개인정보취급자가 변경되었을 경우 접근 권한을 변경 또는 말소
• 개인정보취급자별로 사용자계정 발급
• 비밀번호 작성규칙 수립
• 계정정보 또는 비밀번호를 일정횟수 이상 잘못 입력할 경우 접근 제한

- 권한 내역 보관

개인정보 기술적 관리적 보호조치 기준 : 권한 부여 , 변경 또는 말소에대한 내역을 기록하고 그 기록을 최소 5년간 보관

개인정보의 안전성 확보조치 기준 : 권한 부여, 변경 또는 말소에대한 내용을 기록하고 그 기록을 최소 3년간 보관

 

- 비밀번호 작성 규칙

<이용자 비밀번호 규칙>

최소 8자 이상 : 1 종류 이상의 문자를 이용하여 구성한 경우

최소 10자 이상 : 하나의 문자종류로 구성한 경우

동일한 문자 반복, 키보드 상에서 나란히 있는 문자열, 일련번호, 가족이름, 생일, 전화번호 등은 사용하지 않는다.

 

<개인정보취급자 비밀번호 규칙>

최소 8자 이상 : 2종류 이상의 문자를 이용하여 구성한 경우

최소 10자 이상 : 3종류의 문자종류로 구성한 경우

동일한 문자 반복, 키보드 상에서 나란히 있는 문자열, 일련번호, 가족이름, 생일, 전화번호 등은 사용하지 않는다.

비밀번호에 유효기간 설정 및 반기별 1회 이상 변경

 

- 접속 기록 보관

개인정보처리시스템 접속 기록을 월 1회이상 점검하고 최소 1년 이상 보관해야합니다.

 

- 암호화

비밀번호나 주요 정보등은 일방향 암호화를 통해 암호화해야합니다. 그 종류는 아래와 같습니다.

SHA-224/256/386/512

ARIA - 128/192/256

AES - 128/192/256

키길이 2048비트 이상, 솔트, 반복횟수 추가

 

- 정보통신 망 이용 촉진 및 정보보호 등에 관한 법률

<목적>

이 법은 정보통신망의 이용을 촉진하고 정보통신 서비스를 이용하는 자를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민생활의 향상과 공공복리의 증진에 이바지함을 족저으로합니다. 약칭은 정보통신망법입니다.

 

- 주민번호 사용 제한

주민등록 번호를 수집 이용할 수 있는 경우에도 이용자의 주민등록 번호를 사용하지않고 본인을 확인할 수 있는 방법을 제공해야합니다. 대체수단에는 휴대폰 본인인증, 아이핀 인증, 인증서 등이 있습니다.

 

- 정보보호 최고책임자

정보통신서비스 제공자는 정보보호 최고 책임자를 지정하고 과기부장관에게 신고해야하며 다음 업무를 총괄합니다.

• 정보보호 계획의 수립 시행 및 개선
• 정보보호 실태와 관행의 정기적인 감사 및 개선
• 정보보호 위험의 식별 평가 및 정보보호 대책 마련
• 정보보호 교육과 모의 훈련 계획의 수립 및 시행

- 인터넷망 가상화와 업무망 가상화

<인터넷망 가상화>

업무는 사용자 컴퓨터에서 직접하고 인터넷은 인터넷 가상화 서버로 접속하여 사용하는 방식으로 장점은 아래와 같습니다.

• 가상화 서버환경에서 사용자 통제 및 관리 정책 일괄적용 가능
• 가상화된 인터넷 환경 제공으로 인한 악성 코드 감염 최소화
• 인터넷 환경이 악성코드에 감염되거나 해킹을 당해도 업무 환경은 안전하게 유지 가능

<업무망 가상화>

업무는 가상화 서버에 접속해서 수행하고 인터넷은 사용자 컴퓨터에서 직접 수행하는방식으로 장점은 아래와 같습니다.

• 가상화 서버환경에서 사용자 통제 및 관리 정책 일괄적용 가능
• 가상화 서버 환경에 업무정보가 저장됨에따라 업무 데이터 중앙 관리 및 백업 용이, 내부정보 유출 방지 효과 증대

- 정보통신기반보호법

정보통신기반보호법은 전자적 침해행위에 대비하여 주요정보통신기반시설의 보호에 관한 대책을 수립, 시행함으로써 동 시설을 안정적으로 운용하도록 하여 국가의 안전과 국민생활의 안정을 보장하는 것을 목적으로 합니다.

 

- 정보공유 분석 센터(ISAC)

정보공유 분석센터는 사이버 침해에 대해 관련 분야별 공동 대응을 위한 관리체계로 취약점 및 침해 요인과 그 대응방안에관한 정보를 제공하고 침해사고가 발생하는 경우 실시간 경보 및 분석 체계 운영을 목적으로 합니다.

 

- 전자적 침해행위

해킹, 바이러스 등으로정보통신 기반 시설을 공격하는 행위를 말합니다.

 

- 위치정보의 보호 및 이용등에 관한 법률

위치정보법은 위치정보의 유출 오용 및 남용으로 부터 사생활의 비밀 등을 보호하고 위치정보의 안전한 이용환경을 조성하여 위치정보의 이용을 활성화함으로써 국민 생활의 향상과 공공복리의 증진에 이바지함을 목적으로 합니다.

 

- 법 종류 정리

개인정보보호법 - 2

개인정보 안전성 확보조치 기준 - 3

개인정보의 기술적 관리적 보호조치 기준 - 3

정보통신망 이용촉진 및 정보보호 등에 관한 법률 - 1

정보통신기반보호법 - 2

전자서명법 - 2

위치정보의 보호 및 이용등에 관한 법률 - 2