ISMS-P 인증 기준 2.7.1.암호정책 적용: Difference between revisions
From IT위키
No edit summary |
(→암호 정책 수립: '23 법개정 내용 반영) |
||
Line 15: | Line 15: | ||
| | | | ||
*개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가? | *개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가? | ||
*암호정책에 따라 개인정보 및 | *암호정책에 따라 개인정보 및 주요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가? | ||
|- | |- | ||
|'''관련 법규''' | |'''관련 법규''' | ||
Line 29: | Line 29: | ||
*'''암호화 대상''': 법적 요구사항, 처리 정보 민감도 및 중요도에 따라 정의 | *'''암호화 대상''': 법적 요구사항, 처리 정보 민감도 및 중요도에 따라 정의 | ||
{| class="wikitable" | {| class="wikitable" | ||
! rowspan="2" |구분 | |+ | ||
! colspan="2" rowspan="2" |구분 | |||
! colspan="2" |개인정보 보호법에 따른 암호화 대상 개인정보 | ! colspan="2" |개인정보 보호법에 따른 암호화 대상 개인정보 | ||
|- | |- | ||
! | !이용자가 아닌 정보주체의 개인정보 | ||
! | !이용자의 개인정보 | ||
|- | |- | ||
|정보통신망을 통한 | | rowspan="2" |정보통신망을 | ||
| | 통한 | ||
송, 수신시 | |||
|정보통신망 | |||
| colspan="2" |인증정보(비밀번호, 생체인식정보 등) | |||
|- | |- | ||
| | |인터넷망 | ||
| | | colspan="2" |개인정보 | ||
|개인정보 | ※ 단, 종전의 개인정보의 안전성 확보조치 기준 적용 대상의 경우 2024.9.15 시행 | ||
|- | |- | ||
| rowspan="4" | | | rowspan="4" |저장시 | ||
|비밀번호, 생체인식정보 | |저장 위치 무관 | ||
| colspan="2" |인증정보(비밀번호, 생체인식정보 등) | |||
※단, 비밀번호는 일방향암호화 | |||
|- | |- | ||
| | | | ||
| | | colspan="2" |주민등록번호 | ||
※ 법 제24조의2 제2항에 따라 암호화 | |||
|- | |- | ||
| | |인터넷구간, | ||
| | DMZ | ||
|고유식별정보 | |||
| rowspan="2" |주민등록본호, | |||
여권번호, 운전면허정보, 외국인등록번호, 신용카드번호, 계좌번호, 생체인식정보 | |||
※ 저장위치 무관 | |||
|- | |- | ||
| | |내부망 | ||
| | |※단, 주민등록번호 외의 고유식별정보를 내부망에 | ||
저장하는 경우에는 개인정보 영향평가의 결과 | |||
또는 위험도 분석에 따른 결과에 따라 암호화의 적용여부 및 적용범위를 정하여 시행 가능 | |||
|- | |- | ||
| | | colspan="2" |개인정보취급자 컴퓨터, | ||
|고유식별정보 | 모바일기기, 보조저장매체 등에 | ||
저장 시 | |||
|고유식별정보, 생체인식정보 | |||
|개인정보 | |개인정보 | ||
|} | |} | ||
*'''암호화 알고리즘''': 법적 요구사항 등을 고려하여 안전한 암호화 알고리즘 및 보안강도 선택 | *'''암호화 알고리즘''': 법적 요구사항 등을 고려하여 안전한 암호화 알고리즘 및 보안강도 선택 | ||
※ 안전한 암호 알고리즘(예시)(ʻ개인정보의 암호화 조치 안내서ʼ 참고) | ※ 안전한 암호 알고리즘(예시)(ʻ개인정보의 암호화 조치 안내서ʼ 참고) |
Revision as of 18:06, 6 February 2024
- 영역: 2.보호대책 요구사항
- 분류: 2.7.암호화 적용
개요
항목 | 2.7.1.암호정책 적용 |
---|---|
인증기준 | 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다. |
주요 확인사항 |
|
관련 법규 |
|
세부 설명
암호 정책 수립
개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하여야 한다.
- 암호화 대상: 법적 요구사항, 처리 정보 민감도 및 중요도에 따라 정의
구분 | 개인정보 보호법에 따른 암호화 대상 개인정보 | ||
---|---|---|---|
이용자가 아닌 정보주체의 개인정보 | 이용자의 개인정보 | ||
정보통신망을
통한 송, 수신시 |
정보통신망 | 인증정보(비밀번호, 생체인식정보 등) | |
인터넷망 | 개인정보
※ 단, 종전의 개인정보의 안전성 확보조치 기준 적용 대상의 경우 2024.9.15 시행 | ||
저장시 | 저장 위치 무관 | 인증정보(비밀번호, 생체인식정보 등)
※단, 비밀번호는 일방향암호화 | |
주민등록번호
※ 법 제24조의2 제2항에 따라 암호화 | |||
인터넷구간,
DMZ |
고유식별정보 | 주민등록본호,
여권번호, 운전면허정보, 외국인등록번호, 신용카드번호, 계좌번호, 생체인식정보 ※ 저장위치 무관 | |
내부망 | ※단, 주민등록번호 외의 고유식별정보를 내부망에
저장하는 경우에는 개인정보 영향평가의 결과 또는 위험도 분석에 따른 결과에 따라 암호화의 적용여부 및 적용범위를 정하여 시행 가능 | ||
개인정보취급자 컴퓨터,
모바일기기, 보조저장매체 등에 저장 시 |
고유식별정보, 생체인식정보 | 개인정보 |
- 암호화 알고리즘: 법적 요구사항 등을 고려하여 안전한 암호화 알고리즘 및 보안강도 선택
※ 안전한 암호 알고리즘(예시)(ʻ개인정보의 암호화 조치 안내서ʼ 참고)
구분 | 알고리즘 명칭 |
---|---|
대칭키 암호 알고리즘 | SEED, ARIA-128/192/256, AES-128/192/256, HIGHT, LEA 등 |
공개키 암호 알고리즘 | RSAES-OAEP 등 |
일방향 암호 알고리즘 | SHA-256/384/512 등 |
정책에 따른 암호화 수행
암호정책에 따라 개인정보 및 중요정보의 저장, 전송, 전달 시 암호화를 수행하여야 한다.
- 암호화 위치, 시스템 특성 등을 고려하여 암호화 방식 선정 및 적용
※ 암호화 방식(예시)
구분 | 암호화 방식 |
---|---|
정보통신망을 통한 송·수신 시 |
|
보조저장매체로 전달 시 |
|
개인정보처리시스템 등 저장 시 |
|
업무용 컴퓨터 및 모바일 기기 저장 시 |
|
증거 자료
- 암호통제 정책(대상, 방식, 알고리즘 등)
- 암호화 적용현황(저장 및 전송 시)
- 위험도 분석 결과(내부망 고유식별정보 암호화 미적용 시)
- 암호화 솔루션 관리 화면
결함 사례
- 내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우
- 암호정책을 수립하면서 해당 기업이 적용 받는 법규를 잘못 적용하여 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우(예를 들어, 이용자의 계좌번호를 저장하면서 암호화 미적용)
- 개인정보취급자 및 정보주체의 비밀번호에 대하여 일방향 암호화를 적용하였으나, 안전하지 않은 MD5 알고리즘을 사용한 경우
- 개인정보처리자가 관련 법규 및 내부 규정에 따라 인터넷 쇼핑몰에 대하여 보안서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 이용자의 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우
- 정보시스템 접속용 비밀번호, 인증키 값 등이 시스템 설정파일 및 소스코드 내에 평문으로 저장되어 있는 경우
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)