항목 : 2.7.1 암호정책 적용
■ 인증기준 : 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다.
■ 주요 확인사항
- 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가?
- 암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가?
■ 관련 법규
- 개인정보 보호법 제24조의2(주민등록번호 처리의 제한), 제29조(안전조치의무)
- 개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화)
- 개인정보의 기술적·관리적 보호조치 기준 제6조(개인정보의 암호화)
금융분야 추가확인사항
- 전자금융감독규정 제17조(홈페이지 등 공개용 웹서버 관리대책) 제1항제4호, 제33조(이용자 비밀번호 관리) 제1항
- 전자금융감독규정 제17조(홈페이지 등 공개용 웹서버 관리대책) 제1항제4호, 제33조(이용자 비밀번호 관리) 제1항, 제34조(전자금융거래 시 준수사항) 제1호
- 신용정보법 제17조(처리의 위탁) 제4항
- 신용정보법 시행령 제14조(수집된 신용정보 처리의 위탁) 제4항
- 신용정보업감독규정 [별표3] 기술적・물리적・관리적 보호대책 마련 기준 Ⅱ기술적・물리적 보안대책 3. 개인신용정보의 암호화
- 신용정보법 시행령 제14조(수집된 신용정보 처리의 위탁) 제4항제1호, 제18조의6 (본인신용정보관리회사의 행위규칙 등) 제7항제4호
- 신용정보법 제17조(처리의 위탁) 제4항 신용정보법 시행령 제14조(수집된 신용정보 처리의 위탁) 제4항
- 신용정보업감독규정 [별표3] 기술적・물리적・관리적 보호대책 마련 기준 Ⅱ기술적・물리적 보안대책 3. 개인신용정보의 암호화 제2항, 제6항
■ 세부 설명
① 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하여야 한다.
- 암호화 대상 : 법적 요구사항, 처리 정보 민감도 및 중요도에 따라 정의
금융분야 추가확인사항
- 암호화 알고리즘 : 법적 요구사항 등을 고려하여 안전한 암호화 알고리즘 및 보안강도 선택
② 암호정책에 따라 개인정보 및 중요정보의 저장, 전송, 전달 시 암호화를 수행하여야 한다.
- 암호화 위치, 시스템 특성 등을 고려하여 암호화 방식 선정 및 적용
금융분야 추가확인사항
③ 신용정보집중기관과 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사(기업신용 정보조회업무만 하는 기업신용조회회사 제외)가 서로 개인식별정보를 제공하는 경우 사용 암호화 소프트웨어 또는 안전한 알고리즘을 사용하여 암호화하여야 한다.
④ 신용정보회사등이 신용정보의 처리 위탁을 위해 개인신용정보를 제공하는 경우 특정 신용정보 주체를 식별할 수 있는 정보는 암호화하여 수탁자에게 제공하여야 한다.
- 신용정보회사등이 개인신용정보를 정보통신망 또는 보조저장매체를 통해 제공하는 경우 특정 신용정보주체를 식별할 수 있는 정보는 다음과 같이 보안서버의 구축 또는 암호화
- 웹서버에 SSL 인증서를 설치하여 특정 신용정보주체를 식별할 수 있는 정보를 암호화
- 웹서버에 암호화 응용프로그램 설치하여 특정 신용정보주체를 식별할 수 있는 정보를 암호화하여 송・수신
- 신용정보회사등이 개인신용정보를 정보통신망 또는 보조저장매체 이 외의 방법을 제공하는 경우 봉함(封緘)으로 제공
■ 증적예시
- 암호통제 정책(대상, 방식, 알고리즘 등)
- 암호화 적용현황(저장 및 전송 시) 위험도 분석 결과(내부망 고유식별정보 암호화 미적용 시)
- 암호화 솔루션 관리 화면
■ 결함사례
- 내부 정책・지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우
- 암호정책을 수립하면서 해당 기업이 적용받는 법규를 잘못 적용하여(정보통신서비스 제공자에게 「개인정보의 안전성 확보조치 기준」 요건 적용) 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우
- 개인정보취급자 및 정보주체(이용자)의 비밀번호에 대하여 일방향 암호화를 적용하였으나, 안전하지 않은 MD5 알고리즘을 사용한 경우
- 정보통신서비스 제공자가 관련 법규 및 내부 규정에 따라 인터넷 웹사이트에 대하여 보안서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우
금융분야 추가확인사항
5. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화 송・수신하는 기능을 제공하고 있으 나, 취약한 버전인 TLS 1.0 및 TLS 1.1 프로토콜을 사용하고 있는 경우
6. 금융회사등은 데이터베이스 또는 단말기 등에 저장중인 개인식별정보(주민등록번호, 여권번호, 운전면허번호, 외국 인 등록번호, 국내거소신고번호)를 암호화하지 않고 평문으로 보관하는 경우
7. 개인정보취급자 단말기에 적용된 문서암호화 솔루션의 암호화 대상 파일 설정에서 일부 텍스트편집프로그램(워드패 드, 메모장 등)을 지정하지 않아 개인정보를 포함한 텍스트 파일이 암호화되지 않은 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.8 정보시스템 도입 및 개발 보안(2.8.1 보안 요구사항 정의) (0) | 2023.02.22 |
---|---|
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.7 암호화 적용(2.7.2 암호키 관리) (0) | 2023.02.22 |
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.6 접근통제(2.6.7 인터넷 접속 통제) (0) | 2023.02.21 |
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.6 접근통제(2.6.6 원격접근 통제) (0) | 2023.02.21 |
ISMS-P 인증기준 [2. 보호대책 요구사항] 2.6 접근통제(2.6.5 무선 네트워크 접근) (0) | 2023.02.21 |