그사람의 도전(ISMS-P 인증심사원)/ISMS-P 인증심사기준(가이드북)

ISMS-P 인증기준 [2. 보호대책 요구사항] 2.7 암호화 적용(2.7.1 암호정책 적용)

_그사람 2023. 2. 22. 07:54

항목 : 2.7.1 암호정책 적용

 

■ 인증기준 : 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다.

 

■ 주요 확인사항

  • 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가? 
  • 암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가?

 

■ 관련 법규

  • 개인정보 보호법 제24조의2(주민등록번호 처리의 제한), 제29조(안전조치의무)
  • 개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화)
  • 개인정보의 기술적·관리적 보호조치 기준 제6조(개인정보의 암호화)

금융분야 추가확인사항

  • 전자금융감독규정 제17조(홈페이지 등 공개용 웹서버 관리대책) 제1항제4호, 제33조(이용자 비밀번호 관리) 제1항
  • 전자금융감독규정 제17조(홈페이지 등 공개용 웹서버 관리대책) 제1항제4호, 제33조(이용자 비밀번호 관리) 제1항, 제34조(전자금융거래 시 준수사항) 제1호
  • 신용정보법 제17조(처리의 위탁) 제4항
  • 신용정보법 시행령 제14조(수집된 신용정보 처리의 위탁) 제4항
  • 신용정보업감독규정 [별표3] 기술적・물리적・관리적 보호대책 마련 기준 Ⅱ기술적・물리적 보안대책 3. 개인신용정보의 암호화
  • 신용정보법 시행령 제14조(수집된 신용정보 처리의 위탁) 제4항제1호, 제18조의6 (본인신용정보관리회사의 행위규칙 등) 제7항제4호
  • 신용정보법 제17조(처리의 위탁) 제4항 신용정보법 시행령 제14조(수집된 신용정보 처리의 위탁) 제4항
  • 신용정보업감독규정 [별표3] 기술적・물리적・관리적 보호대책 마련 기준 Ⅱ기술적・물리적 보안대책 3. 개인신용정보의 암호화 제2항, 제6항

 

 세부 설명

① 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하여야 한다.

  • 암호화 대상 : 법적 요구사항, 처리 정보 민감도 및 중요도에 따라 정의

금융분야 추가확인사항

  • 암호화 알고리즘 : 법적 요구사항 등을 고려하여 안전한 암호화 알고리즘 및 보안강도 선택

② 암호정책에 따라 개인정보 및 중요정보의 저장, 전송, 전달 시 암호화를 수행하여야 한다.

  • 암호화 위치, 시스템 특성 등을 고려하여 암호화 방식 선정 및 적용

금융분야 추가확인사항

③ 신용정보집중기관과 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사(기업신용 정보조회업무만 하는 기업신용조회회사 제외)가 서로 개인식별정보를 제공하는 경우 사용 암호화 소프트웨어 또는 안전한 알고리즘을 사용하여 암호화하여야 한다.

④ 신용정보회사등이 신용정보의 처리 위탁을 위해 개인신용정보를 제공하는 경우 특정 신용정보 주체를 식별할 수 있는 정보는 암호화하여 수탁자에게 제공하여야 한다.

  • 신용정보회사등이 개인신용정보를 정보통신망 또는 보조저장매체를 통해 제공하는 경우 특정 신용정보주체를 식별할 수 있는 정보는 다음과 같이 보안서버의 구축 또는 암호화

        - 웹서버에 SSL 인증서를 설치하여 특정 신용정보주체를 식별할 수 있는 정보를 암호화

        - 웹서버에 암호화 응용프로그램 설치하여 특정 신용정보주체를 식별할 수 있는 정보를 암호화하여 송・수신

  • 신용정보회사등이 개인신용정보를 정보통신망 또는 보조저장매체 이 외의 방법을 제공하는 경우 봉함(封緘)으로 제공

 

 

 

 증적예시

  • 암호통제 정책(대상, 방식, 알고리즘 등) 
  • 암호화 적용현황(저장 및 전송 시)  위험도 분석 결과(내부망 고유식별정보 암호화 미적용 시)
  • 암호화 솔루션 관리 화면

 

 결함사례

  1.  내부 정책・지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우 
  2. 암호정책을 수립하면서 해당 기업이 적용받는 법규를 잘못 적용하여(정보통신서비스 제공자에게 「개인정보의 안전성 확보조치 기준」 요건 적용) 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우 
  3. 개인정보취급자 및 정보주체(이용자)의 비밀번호에 대하여 일방향 암호화를 적용하였으나, 안전하지 않은 MD5 알고리즘을 사용한 경우 
  4. 정보통신서비스 제공자가 관련 법규 및 내부 규정에 따라 인터넷 웹사이트에 대하여 보안서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우

금융분야 추가확인사항

   5.  웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 전송하는 정보를 암호화 송・수신하는 기능을 제공하고 있으          나, 취약한 버전인 TLS 1.0 및 TLS 1.1 프로토콜을 사용하고 있는 경우

   6. 금융회사등은 데이터베이스 또는 단말기 등에 저장중인 개인식별정보(주민등록번호, 여권번호, 운전면허번호, 외국           인 등록번호, 국내거소신고번호)를 암호화하지 않고 평문으로 보관하는 경우 

   7. 개인정보취급자 단말기에 적용된 문서암호화 솔루션의 암호화 대상 파일 설정에서 일부 텍스트편집프로그램(워드패         드, 메모장 등)을 지정하지 않아 개인정보를 포함한 텍스트 파일이 암호화되지 않은 경우

 

 

출처 : ISMS-P 인증기준 안내서 (2022.04)

          금융권에 적합한 ISMS-P 인증 점검항목(2022.09)

 

 

     

_그사람