SIS GS - Fred Balboni ( ) - 03

Similar documents
암호내지

개인정보처리방침_성동청소년수련관.hwp

PowerPoint 프레젠테이션

슬라이드 1

I (34 ) 1. (10 ) 1-1. (2 ) 1-2. (1 ) 1-3. (2 ) 1-4. (2 ) 1-5. (1 ) 1-6. (2 ) 2. (8 ) 2-1. (3 ) 2-2. (5 ) 3. (3 ) 3-1. (1 ) 3-2. (2 ) 4. (6 ) 4-1. (2 )



Microsoft PowerPoint - 6.pptx

동자료는외국환거래에대한이해를돕기위한참고자료일뿐외국환거래법, 동법시행령및외국환거래규정등관련법령에대한유권해석이아니며, 대외적인구속력은인정되지않습니다. 따라서동자료에기재된내용중관련법령과상이한내용이있을경우에는관련법령이우선하며, 특정사안에대한외국환거래절차등은관련 ( 해당 ) 기

제안요청서

대림코퍼레이션은 ( 이하 ' 회사 ' 라칭함 ) 개인정보보호법, 정보통신망이용촉진및정보보호에관한법률 을준수하고있으며, 정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은개인정보처리방침을제정하고이를준수하고있습니다. 회사의 " 개인

붙임 과정별세부내용. 전자정부정보보호거버넌스의이해 교육수준기본 심화 교육유형이론 실습 정보보호중요성에대한인식향상및정보보호실천을위한기초지식습득 정보보호관리, 정책수립에필요한법규 정책이해등기본지식배양 교육시간 6H ( ) 정보보호책임자 / 정보보호실무자 / 정보화인력 정보

슬라이드 1

개인정보취급방침 제정 개정 개정 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이

범정부서비스참조모형 2.0 (Service Reference Model 2.0)

How we create value? 안전경영 조직 및 시스템 강화 위원장 위원 간사 CEO 전략사장, CFO, 인사지원실장, 사업부장, 사업장장 안전환경인프라팀장 삼성SDI는 안전사고의 위험성에 대비하고 안전한 근무환경을 조성하기 위해 전담부서 개 편과 업무 관리범위

1. 제품 개요 AhnLab Policy Center 4.6 for Windows(이하 TOE)는 관리대상 클라이언트 시스템에 설치된 안랩의 안티바이러스 제품인 V3 제품군에 대해 보안정책 설정 및 모니터링 등의 기능을 제공하여 관리대상 클라이언트 시스템에 설치된 V3

전자금융거래법고시전자금융감독규정 2 절 ~6 절 < 전자금융거래의안전성확보 & 이용자보호규정 > 의 4 대의의 의의의의 1 가장기술중심적인법으로금융플랫폼혁신의중심이되는법 2 가장구체적으로 CEO 의무, 조직, 예산을규정 핀테크, 인터넷은행, 비트코인, 월렛, 간편결제,

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우

[ 목차 ]

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

정보보호능력은필수적인 기업의핵심경쟁력이다 국제정보보호표준 ISO/IEC 27001:2013 Information security management systems Requirements ( 정보보호경영시스템 ISO 27001:2013) - 1 -

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개

<4D F736F F D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F E30332E3239>

조사보고서 복합금융그룹의리스크와감독

98 자료 개발 집필 지침

개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교

2015 년 SW 개발보안교육과정안내

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

사이버교안_2주차_1강

Microsoft PowerPoint ISS_ ( , , v2.1).ppt

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

<4D F736F F F696E74202D20C1DFBCD2B1E2BEF7C0C720BAB8BEC8C1F8B4DC20B9D720B0B3BCB120BBE7B7CA5FBDC5C7F6B1B82E BC8A3C8AF20B8F0B5E55D>

중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침

PowerPoint 프레젠테이션

Security Overview

CONTENTS Ⅰ 가이드라인 개요 6 Ⅱ 기본원칙 10 Ⅲ 개인정보 처리단계별 원칙 개인(신용)정보 수집 개인(신용)정보 이용 개인(신용)정보 제공 고유식별정보 및 민감정보의 처리 개인(신용)정보 처리 업무 위탁

Ⅱ 평가방법 ( 평가등급 ) ( 등급산정기준 ) ( 계량평가 ) ( 비계량평가 ) ( 평가대상회사 ) 평가대상회사 ( 가나다順 ) 구분 개수 회사명 은행 13 경남, 광주, 국민, 기업, 농협, 대구, 부산, 수협, 신한, 우리, 한국씨티, KEB하나, SC제일 카드


AISF2014_template

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

연구원은법령에따른개인정보처리 보유또는정보주체로부터동의받은개인정보를처리및보유합니다. 각각의개인정보처리및보유기간은다음과같습니다. 1) 연구원내부방침에의한정보보유사유가. 부정이용기록 ( 비정상적서비스이용기록 ) - 보존이용 : 부정이용방지 - 보존기간 : 6개월 2) 관계법

제안요청서

정보보호컨설팅 제안서

<C7D0BCFAC1A4BAB8BFF820C7D0BCFAC1A4BAB8BCADBAF1BDBA20B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A72E687770>

슬라이드 1


5th-KOR-SANGFOR NGAF(CC)

목차 1. 불완전판매 2. 개인정보보호 3. 금융사기피해사례및예방

8. 전자문서 라함은컴퓨터등정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는정보를말한다. 9. 전자기록물 이라함은정보처리능력을가진장치에의하여전자적인형태로송 수신또는저장되는기록정보자료를말한다. 10. 개인정보 라함은살아있는개인에관한정보로서성명, 주민등록번호및영상

<31312D30312D313020C0CCBDB4B8AEC6F7C6AE20C8AEC1A4BDC3BEC82E687770>

목차 < 요약 > Ⅰ. 국내은행 1 1. 대출태도 1 2. 신용위험 3 3. 대출수요 5 Ⅱ. 비은행금융기관 7 1. 대출태도 7 2. 신용위험 8 3. 대출수요 8 < 붙임 > 2015 년 1/4 분기금융기관대출행태서베이실시개요

U.Tu System Application DW Service AGENDA 1. 개요 4. 솔루션 모음 1.1. 제안의 배경 및 목적 4.1. 고객정의 DW구축에 필요한 메타정보 생성 1.2. 제품 개요 4.2. 사전 변경 관리 1.3. 제품 특장점 4.3. 부품화형

2015

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

CxO가 알아야할 정보보안

PowerPoint 프레젠테이션

<C3D6C1BE20C6EDC1FD202D20C1F6B9E8B1B8C1B63635C8B B3E D3132BFF9292DBCF6C1A42E687770>

1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ), ( 集合物 ). 5., /38

Oracle Apps Day_SEM

추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는

제안서 작성 Guide

Zentralanweisung

외이용등의목적, 목적외이용등을한개인정보의항목 제 4 조. 개인정보처리의위탁에관한사항 < 개인정보열람, 정정 삭제, 처리정지등청구절차 > 1 부산지방우정청은원활한개인정보업무처리를위하여다음과같이개인정보처리업무를위탁하고있습니다. 1. 청사관리및금융창구경비를위한업무위탁 : (

consulting

개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

1. 제품 개요 WeGuardia WIPS V2.0(이하 TOE)은 특정 조직에서 운영되는 무선랜에 대한 지속적인 모니터을 통해 내 외부로부터 발생할 수 있는 각종 침입을 탐지 및 차단하여 내부의 네트워크를 보호하는 무선침입방지시스템이다. TOE의 세부 식별자 및 배포

조사보고서 구조화금융관점에서본금융위기 분석및시사점

<4D F736F F D D504F4C2D32382DB0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A720B0D4BDC3BFEB>

*2008년1월호진짜


발표순서 q 개인정보보호개요 q 담당실무자의고민 q 개인정보보호방법론 / 컨설팅 q 대응방안 q 기대효과 q 결론 2

제 1 장가이드라인개요 1. 적용대상및범위 목 제 1 장가이드라인개요 차 적용대상 : 뉴미디어서비스제공자및뉴미디어서비스이용자 - 뉴미디어서비스제공자 ( 이하 서비스제공자 라한다 ) 란정부통합전산센터 ( 클라우드컴퓨팅서비스 ), 다음 ( 마이피플 ), 네이버 ( 미투데이

개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 ( 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다

슬라이드 1

3. 경영발전보상위원회가. 2015년제2차경영발전보상위원회 : ( 금 ) 11:30~ 11:40 [ 통지일 : ] 1. 사외이사성명김성호김우석문재우김창수박흥대 2. 참석여부및 ( 불참 ) 사유불참불참참석참석참석 - 4. 의결안건

2-A. 필수개인 ( 신용 ) 정보수집 이용 제공동의서 ( 여신금융거래 ) ( 주 ) 신한저축은행귀중 신한저축은행과의여신 ( 금융 ) 거래와관련하여신한저축은행이본인의개인 ( 신용 ) 정보를수집 이용하거나제 3 자에게제공하고자하는경우에는 개인정보보호법 제 15 조제 1

PowerPoint 프레젠테이션

< FC8A8C6E4C0CCC1F620B0B3B9DF20BAB8BEC8B0A1C0CCB5E5C3D6C1BE28C0FAC0DBB1C7BBE8C1A6292E687770>

<4D F736F F F696E74202D C205BC1A4C1F8BFED5D20BCF6C1D8C1F8B4DC20BCF8C8B8B1B3C0B0C0DAB7E1202E707074>

Korea Communications Standard 방송통신표준 KCS.KO 제정일 : 2011 년 12 월 30 일 개인정보보호관리체계 (PIMS) Personal Information Management System(PIMS) 방송통신위원회국립전파연

시각형 상사 vs 청각형 상사

동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있

Microsoft Word - 006_ITG컨설팅사업부_Best Reference 자료_101105

Manufacturing6

Microsoft Word - src.doc


슬라이드 1


Office 365, FastTrack 4 FastTrack. Tony Striefel FastTrack FastTrack

분야 1. 개인정보의처리 ( 수집 이용 제공등 ) 점검지표점검항목판단기준 1.1 개인정보의수집 이용 진료 ( 조제 복약 ) 목적외로서면가입 ( 오프라인 ) 홈페이지 ( 온라인 ) 등을통한회원가입시동의는받고있는가? Seq: 1 서면및홈페이지등을통한회원가입 (

4 각기관의정보보안담당자는소속기관의정보보안업무를수행할책임이있다. 제4조 ( 정보보안조직의구성 ) 1 정보보안조직은정보보안담당관, 정보보안담당자, 시스템관리자로구성한다. 2 정보보안담당관은정보통신처장이겸한다. 3 정보보안담당자와시스템관리자는정보보안담당관이임명한다. 4 정


ecorp-프로젝트제안서작성실무(양식3)

제 4 조. 개인정보처리의위탁에관한사항 < 개인정보열람, 정정 삭제, 처리정지등청구절차 > 1 서울지방우정청은원활한개인정보업무처리를위하여다음과같이개인정보처리업무를위탁하고있습니다. 1. 청사관리및금융창구경비를위한업무위탁 : ( 재 ) 우체국시설관리단 2. 소포배달을위한업

내부정보관리규정

활력있는경제 튼튼한재정 안정된미래 년세법개정안 기획재정부

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

Transcription:

금융권규제법규강화대응을위한 IBM 보안컨설팅서비스 2012/3/16 김정각, IBM GTS Security Risk Mgmt

목 차 1. 금융권규제법규현황 2. IBM 보안컨설팅서비스소개 2

금제법안준수를위한정보보호관리체계정비필IT Privacy Security 융및개인정보침해사고에따른및문제대최근 IT 보안침해사고및금융 IT 규제법안이강화되었으며이에따른체계적인대응방안마련이금융 IT 업계의화두가되고있습니다 융IT 규IT 보안침해사고및금융보안규제강화에효과적으로대응하기위한정보보호체계마련필요 요 금두IT 보안침해사고및금융보안규제강화에 금융규제대응 전자금융거래관련규정강화 2011.10 전자금융거래법개정전자금융감독규정강화개정 금융회사 IT 부문모범규준고시 2011.03 금감원내부통제모범규준고시 개인정보보호법대응 개인정보보호법발효 (2011.9) 개인정보유출 / 보안침해사고 IBM X-Force 연구소발표 2011 해킹통계 3

규제법규의개인 / 금융정보보호및 IT 정보시스템보호요건은, 금융기관별예산확보, 이행계획수립및체계적적용관리를요구하고있습니다 규제법규 제 / 개정일 개인정보보호 IT 정보보안 금융신용보안 규제요건항목분류 개인정보보호법 2011.03.29 O 정보통신망법 2011.04.05 O O 정보통신기반보호법 2011.04.06 O 1. 정보자산훼손, 유출및침해대응 2. 정보유출방지조치 9. 정보자산이용및활용관리방안 10. 정보자산파기에대한관리방안 전자금융거래법 2011.11.14 O O 3. 정보보호및통제방안 11. 정보자산의무결성보장 전자금융감독규정 2011.10.10 O 금융회사IT부문모범규준 2011.10.19 O 금감원내부통제모범규준 2011.03.10 O 4. 정보보호활동점검조치 5. 환경및물리적자산보호조치 12. 제 3 자의정보이용제한관리방안 13. 통신보안을위한조치 신용정보이용및보호법률 2011.05.19 O 금융실명거래비밀보장법 2011.07.14 O 금융지주회사법 2010.06.08 O 금융위정보통신보안업무세부지침 2001.01.15 O 6. IT 인프라 / 어플리케이션보안조치 7. 임직원정보보호역할과의무 8. 정보자산수집활동관리방안 14. 정보기술부문실태평가 15. 전자금융사고책임이행보험가입 4

개인정보보호법 (2011.3.29) 주요상세보안요건 구분제정목적정보보호관련내용 내용 개인정보의처리에관한사항을정함으로써개인정보의안전한이용을보장하고개인의권리와이익을보호함 개인정보수집 / 활용 / 파기활동에대한준수사항 개인정보영향평가권고 상세 보안요건 개인정보보호원칙 개인정보파기 ( 복구, 재생불가처리 ) 민감정보, 고유식별정보처리제한 ( 주민번호외홈페이지가입방안, 암호화등안전성확보조치등 ) 영상정보처리기기설치운영제한 (CCTV) 업무위탁처리제한 ( 수탁자교육, 처리현황점검등 ) 개인정보취급자정기적교육 안전조치의무 ( 내부관리계획수립, 접속기록보관등관리적, 기술적, 물리적조치 ) 개인정보처리방침공개 개인정보보호책임자 (CPO) 지정 개인정보영향평가 개인정보유출통지, 정정, 삭제등 ( 지체없이조사, 정정삭제등조치후결과통지 ) 5

전자금융감독규정 (2011.10) 주요상세보안요건 구분제정목적정보보호관련내용 내용 전자금융거래법및시행령에서금융위원회에위임한사항과그시행에필요한사항및다른법령에따라금융감독원의검사를받는기관의정보기술부문안전성확보등을위하여필요한사항을규정 전자금융거래당사자의권리와의무를보호하기위한금융기관또는전자금융업자의책임명시 2011 년 10 월강화규정에따라이용자정보등전산자료보호, 비상대책, IT 실태평가확대및경영실태평가에의무화, 외부위탁업무책임강화, 정보기술및보안분야의관련인프라확보권고등이강화됨 상세 보안요건 정보보호최고책임자 (CISO) 지정 ( 총자산 2 조 & 종업원 300 명이상 ) 인력및예산 시설부문보안 단말기, 전산자료보호대책 정보처리시스템보호대책 해킹등방지대책 ( 해킹, DDoS 등 ) 악성코드감염방지대책 홈페이지등공개용웹서버관리대책 취약점점검수행 비상대책수립운영 ( 비상대응훈련등전자적침해사고대응 ) 정보보호교육계획 ( 최소이수시간 ) 직무분리 전산원장, 프로그램, 일괄작업통제 암호프로그램및키관리통제 내부사용자, 이용자비밀번호관리 침해사고대응 ( 금융위원회보고의무 ) 6

최근단기간다수의규제요건적용이효과적이고효율적으로적용되기위해서는전사적정보보호프레임워크관점으로검토추진되어야합니다 관련법규별정보보호관리영역별수행과제 전사정보보호관리 Framework 진단도메인 개인정보보호법 정보통신망법 정보통신기반보호법 전자금융거래법 전자금융감독규정 금융회사 IT 부문모범규준 금감원내부통제모범규준 신용정보이용및보호법률 금융실명거래비밀보장법 금융지주회사법 금융위정보통신보안업무세부지침 1. 정보보호정책 2. 정보보호조직 3. 변화관리 4. 보안사고관리 5. 정보자산관리 6. 보안준수 7. 인원보안관리 8. 물리적보안 9. 정보시스템보안 정보보호도메인 1. 정보보호정책 통제요소 정보보호를위한정책 ( 규정, 지침, 절차 ) 의유무및관리 2. 정보보호조직효과적인정보보호를위한조직및 R&R 3. 변화관리 4. 보안사고 정보보호체계변화를인지하고이에따른임직원교육및커뮤니케이션관리절차 보안사고를방지하고사고발생시, 효과적인대응을위한체계 5. 정보자산정보자산의 Life Cycle 별관리수준 6. 보안준수법 / 정책의준수수준 7. 인원보안 8. 물리적보안 9. 정보시스템보안 내 / 외부인력의채용 / 계약에서퇴직 / 계약해지까지필요한보안관리활동 회사의시설물및시스템자산에대한보안관리활동 정보시스템의도입, 개발, 운영시필요한보안관리활동 7

각금융기업별자체규제준수과제들이마무리되었으나여전히전사정보보호체계관점의수준진단이필요하다고느끼고있습니다 기투자된보안솔루션의적정성은? 개인정보보호를위한솔루션을집중적으로투자했는데, 중복투자및여전히규제미준수영역이있는지확신이서지않습니다 전사적정보보호관리체계관점에서규제준수수준은? 전체적으로규정, 지침, 절차서를개선했는데현재금감원보안규정에부합하는지검증이필요한것같습니다. 금감원전자금융감독규정강화규제요건준수를위해자체 Task Force 팀을꾸려수행한보안강화작업들이마무리가되어가는데, 이제규제요건을전사적정보보호관리프레임워크관점에서재점검해야할필요를느낍니다 개인정보관리체계의적정성은? ISMS 인증은이미있는데, 개인정보유출사고를대비해서 PIMS 인증을고려해보고있습니다. 8

규제준수관리를위한보안요건은정보시스템관리체계수준진단및취약성점검과개인정보영향평가수행을통해진단하고개선을위한계획을수립할수있습니다 준수관리를위한요건 정보보호수준진단및개선과제 기존보안관리체계수준진단 규제요건및관리적보안대책준수현황파악 기술적보안대책수준및준수현황파악 정보보호관리체계에기반한규정지침절차수립및규제요건반영 정보보호성과지표수립및적용 정보시스템보안수준및취약성점검수행및권고안이행 정보처리시스템구성요소별보안솔루션도입및적용 개인정보수집 / 활용 / 파기 활동을위한준수요건 개인정보영향평가수행을통한개인정보관리체계수립 개인정보처리시스템안전조치수립및적용 9

목 차 1. 금융권규제법규현황 2. IBM 보안컨설팅서비스소개 10

IBM 의보안컨설팅서비스는 Governance, Risk & Compliance 및 Privacy 보안영역및어플리케이션취약성점검요소로구성된전사적보안관리체계수준진단및개인정보관리체계수립컨설팅서비스입니다 1 2 GRC (Governance Risk Mgmt) (1) 정보보호수준진단컨설팅 (2) ASA (Application Security Assessment) Application Security (3) 개인정보영향평가 IBM Security Intelligence 11

(1) 정보보호컨설팅 : IBM 보안, 보안국제표준, 법적규제요건에부합하는최적의보안관리마스터플랜수립 도입효과 솔루션구성 1. ( 가 ) 법적규제요건, ( 나 ) 정보보호관리체계국제표준 : ISO27001 ( 다 ) IBM 의스트프랙티스보안프레임워크에기반한정보보호관리체계수립 2. 보안정책체계 ( 규정 / 지침 / 절차 ), 보안 KPI, 시스템보안가이드등 IBM 서비스조직운영경험을바탕으로작성된실체적이고검증된정책체계수립 3. 보안과제및로드맵수립의품질우위 : IBM 의 IT 제품 / 서비스 total solution provider 로써의역량을바탕으로과제를제시하고단계적보안마스터플랜을투자최적화및보안위험관리의효율성증대 4. 서버 / 어플리케이션과보안취약성점검전문인력과연계한시스템레벨보안위협과연계한보안컨설팅. 전문성을바탕으로한 IT 인력기술보안교육및시스템보안인식및보안관리역량향상 보안수준평가방법론 다양한 + 보안운영사례 IBM 보안기술력 IBM ISF( Information Security Framework) + ISO/IEC DTR 13335-3 : Guidelines for the Management of IT Security (GMITS) IBM 의다양한보안운영사례정보반영하여수행함 IBM 의글로벌보안연구소인인터넷보안연구소 (X-Force), 개발보안연구소 (OunceLab) 의최신보안기술정보반영 도입사례 1. A 카드 : SSO 컨설팅및시스템구축 2. B 그룹 : 전사보안컨설팅 3. C 제조사 : 관리적보안컨설팅 4. D 철강사 : 전사보안컨설팅 5. E 제조사 : 전사보안컨설팅 6. D 사 : 전사보안수준진단및취약성점검컨설팅 솔루션특징 1. IBM 및국내외보안관리분야의선도사례제시및적용 2. IBM 보안연구소의연구사례를통한미래비즈니스위험식별및대안제시 3. 국제보안수준에도달할수있도록체계적, 단계적보안마스터플랜제시 12

점검(1) 정보보호컨설팅 : IT 보안프레임워크수립및시스템보안취약성점검을병행한 As-Is 진단, 갭분석및과제정의, To-Be Road map 수립 As-Is Assessment To-Be Road Map IT 보안프레임워크구축취약성보안보안프레임워크정의 Gather Environmental Information Set up Assessment Plan Best Practice Research and Analysis Define Security Framework Set up Plan for Security Vulnerability Test and define target systems 보안수준진단 IT 보안거버넌스수준진단 As-Is Security Governance level 규제준수수준진단 Legal Compliance Scope & As-Is assessment IT 보안조직진단 As-Is Org structure, R&R 자체보안점검프로그램개발 As-Is Self Assessment Process IT 보안 KPI 진단 As-Is Security KPI 보안규정, 지침, 철차서작성 As-Is Security Process Doc Server/System Security Vul. Application Security Vul. Database Security Vul Security Guideline Review 갭분석및이슈정의 Analyze the Gap & Define Issues Enhance the To-Be Process & KPIs Perform Education of Security Framework (Process, KPI, Self Assess) System Security Vulnerability Test Document the Security Vulnerability Testing Report 과제도출및매스터플랜수립 Define Action Items per security domain Derive Tasks of Action Items and Set up the Priority (Quick-Win, midlong term) Perform Education of Action Items Establish mid-long term Information Security Enhancement Master Plan & Roadmap Final Report 13

(2) ASA (Application Security Assessment) : 보안컨설팅서비스와병행, 어플리케이션 White/Black box testing 및소스코드취약성점검 1 2 요건정의 분석 / 설계 어플리케이션개발보안 SDLC (System Development Life Cycle) 어플리케이션개발에서운영까지의보안 코딩 Secure Coding 방법론개발 구현품질검증보안테스트운영 어플리케이션보안취약점점검 웹방화벽도입 White Box 분석 Black Box 분석 어플리케이션취약점발견 소스코드에대한보안취약점분석 개발된후취약점분석 최소권한공개적검증편리한인터페이스 보안코딩규약설계원칙 단순한보호시스템완벽한조정 실패시보안성유지권한분리공유최소 모의해킹 특정영역에대한모의해킹분석 3 Secure Coding 방법론개발 웹방화벽도입 어플리케이션접근통제 어플리케이션접근통제강화를위한가이드 개발담당자들에대한교육 주요웹서버에대한웹방화벽구축 소스코드내에트로이목마삽입지적자산탈취구성매개변수변경보안통제무력화로그파일삭제암호화키탈취및판매 웹인터페이스공격및취약성탐색세션하이재킹악성스크립트및커맨드삽입취약성이용해킹 금융정보탈취 ( 신용카드번호등 ) 암호화키및사용자개인정보등탈취및판매 14

(2) ASA : 모의해킹수행을통해스캐닝을통해발견된보안취약점에대한실제적위협식별병행 취약성진단방법 스캐너 / 진단툴전문가점검원격진단 어플리케이션취약성진단 서버취약성진단 네트워크취약성진단 취약성점검 Scope 원격진단 - 스캐너진단포함 (Black Box) 소스코드진단 - 스캐너진단포함 (White Box) 원격진단 스캐너진단포함로컬보안설정점검네트워크접근통제룰리뷰및적용현황진단네트워크장비원격진단 스캐너진단포함로컬보안설정점검 보안장비취약성진단 대상 : IDS, IPS, DDoS 방어, ESM, 원격진단 스캐너진단포함 로컬보안설정점검 소스코드, 로컬보안진단 모의해킹 웹 / 모바일어플리케이션모의해킹 기간계, 정보계등내부시스템모의해킹 15

(3) 개인정보영향평가 : 개인정보보호법규제법안및 IBM 의개인정보참조모델접목방법론기반의개인정보관리시스템진단수행 개인정보보호법 IBM 개인정보영향평가방법론 개인정보영향평가관련주요규정및가이드라인근간 IBM 참조모델 IBM Data Privacy 진단 Best Practice 참조모델활용방법론 [IBM 개인정보보호솔루션생명주기모델 ] [IBM Enterprise Privacy Architecture] 16

(3) 개인정보영향평가 : 개인정보의라이프사이클별정보보호프레임워크에기반하여개인정보보호시스템관점의진단및개선안도출 라이프사이클별개인정보보호 Framework 개인정보처리절차구축방향 개인정보제공동의 / 철회관리, 신청서보안 개인정보전 Lifecycle 에서통제 Process 구축 조회권한통제복사, 전송차단사용기록저장 제공현황관리업체현장감독파기확인 개인요청시, 기한도래시정보삭제 수집 / 전송저장 / 이용제공 / 위탁파기 위험회피 불확실성의제거 업무상필요정보의접근보장 고객정보의오남용및유출의위험감소 누락없는모니터링대응 과다조회, 다운로드적발고객정보 PC 저장검색사고대응절차운영 조사및조치협조 안전관리 ( 모니터링및사고대응 ) 교육 / 지원 지속적교육 / 전사적지원 개인정보보호캠페인개인정보관리인증획득 규제준수 개인정보보안강화 개인정보보호법및국내외규제준수 개인정보수집 사용 제공 파기절차수립및적용 17

(3) IBM, 행정안전부주관 2012 년공공기관개인정보영향평가기관지정 개인정보영향평가기관선정 개인정보영향평가기관인증서 개인정보보호법및동법시행령에서요구하는전문성과자격요건갖춤 공공기관의개인정보영향평가는행정안전부지정개인정보영향평가기관만가능 18

사례 : 정보보호컨설팅 ( 금융권 A 사 ) 고객 Issues & Needs 2011 년사회적이슈인보안침해사고대응수준에대한기술적진단필요 신임 CISO 부임및개인정보보호전담조직신설에따라규제현황진단및전사적보안관리프레임워크 As-Is 수준진단및 To-Be 이행로드맵필요 기술취약성점검 ( 서버 / 어플리케이션 ) 에따른 IT 운영인력의보안수준향상및보안마인드제고 IBM 솔루션 보안수준진단컨설팅및취약성점검 : 규정, 지침, 절차서작성 보안 KPI 수립 As-Is 보안수준진단및 To-Be 과제도출, 로드맵작성 자체보안점검프로세스구축 보안취약성점검, 시스템담당자교육및취약성제거작업이행지원 고객기대효과 규제법규대응 : 개인정보보호법, 전자금융감독규정등규제법안에부합하는시스템취약성점검, 규정 / 지침 / 절차수립, To-Be 과제도출및로드맵수립 정보보호관리프레임워크구축 : ISO27001 기반의정보보호관리체계마련 보안마인드제고, IT 직원 skill 향상 : IT 시스템직원의정보보호보안마인드제고및 IT 보안스킬향항 ( 시스템담당자대상으로어플리케이션시큐어코딩, 서버하드닝가이드수행 ) PoC 단계에서주요시스템취약성점검 ( 서버및어플리케이션모의해킹서비스 ) 을통해발견한취약점을바탕으로, 1 차보안취약성제거프로젝트, 2 차전사적보안수준진단컨설팅으로이어져기술적, 관리적측면에서단계적인보안수준향상을도모할수있었습니다 19

Appendix. 정보보호관련법규 (1/2) 법률목적정보보호관련내용 개인정보보호보호법 (2011.3.29) 정보통신망이용촉진및정보보호등에관한법률 ( 정통망법 ) (2011.4.5) 개인정보의처리에관한사항을정함으로써개인정보의안전한이용을보장하고개인의권리와이익을보호함 정보통신망의이용촉진및정보통신서비스이용자의개인정보가보호될수있는안전하고건전한정보통신환경을제공함 개인정보수집 / 활용 / 파기활동에대한준수사항 개인정보영향평가권고 개인정보수집 / 활용 / 파기활동에대한준수사항 정보보호안전진단 정보통신서비스제공시필요한보호조치 정보통신기반보호법 (2011.4.6.) 전자적침해행위에대비하여주요정보통신기반시설의보호에관한대책을수립ㆍ시행함으로써동시설을안정적으로운용하도록하여국가의안전과국민생활의안정을보장 (2011 년제 2 금융권도정보통신기반시설로지정예정 ) 정보통신기반시설보호를위한물리적, 기술적대책수립 전자금융거래법 (2011.11.14) 전자금융거래의법률관계를명확히하여전자금융거래의안전성과신뢰성을확보함과아울러전자금융업의건전한발전을위한기반조성을함으로써국민의금융편의를꾀하고국민경제의발전에이바지 전자금융거래당사자의권리와의무보호를위한금융기관또는전자금융업자의책임명시 전자금융거래의안전성확보및이용자보호를위한안전성의확보의무, 전자금융거래기록의생성및보존관리방안수립 전자금융업무의감독및검사근거법령 전자금융감독규정 (2011.10.10) 전자금융거래법및시행령에서금융위원회에위임한사항과그시행에필요한사항및다른법령에따라금융감독원의검사를받는기관의정보기술부문안전성확보등을위하여필요한사항을규정 전자금융거래당사자의권리와의무를보호하기위한금융기관또는전자금융업자의책임명시 2011 년 10 월강화규정에따라이용자정보등전산자료보호, 비상대책, IT 실태평가확대및경영실태평가에의무화, 외부위탁업무책임강화, 정보기술및보안분야의관련인프라확보권고등이강화됨 20

Appendix. 정보보호관련법규 (2/2) 법률목적정보보호관련내용 금융회사의정보통신수단등전산장비이용관련내부통제모범규준 ( 내부통제모범규준 ) (2011.3.10) 금융회사의금융업영위와관련한전산장비의사용 관리및기록유지에대한기준과보안유지를위한내부통제절차등을정함으로써, 전산장비를이용한불법적인자료유출및루머 (rumor) 의확산을방지하고건전한영업질서를확립 사용기록의보관, 열람, 로그기록보관등전산장비관리체계구축 유출방지보안대책강구, 매체쓰기금지시스템운영 스팸발송금지, 영업비밀, 고객신용정보, 루머유포등금지사항 금융회사정보기술 (IT) 부문보호업무모범규준 (2011.10.19) 신용정보이용및보호에관한법률 (2011.5.19) 금융실명거래및비밀보장에관한법률 (2011. 7.14) 금융지주회사법 (2010.6.8) 전자금융거래의안전성을확보하고정보기술부문의보호업무에필요한사항을규정함으로써전자금융거래법, 시행령및전자금융감독규정의원활한시행을도모 신용정보업을건전하게육성하고신용정보의효율적이용과체계적관리를도모하며신용정보의오용 남용으로부터사생활의비밀등을적절히보호함으로써건전한신용질서의확립에이바지 실지명의 ( 實地名義 ) 에의한금융거래를실시하고그비밀을보장하여금융거래의정상화를꾀함으로써경제정의를실현하고국민경제의건전한발전을도모 금융지주회사의설립을촉진하면서금융회사의대형화 겸업화에따라발생할수있는위험의전이 ( 轉移 ), 과도한지배력확장등의부작용을방지하여금융지주회사와그자회사등의건전한경영을도모하고금융소비자, 그밖의이해관계인의권익을보호함으로써금융산업의경쟁력을높이고국민경제의건전한발전에이바지함 정보시스템조직인력, 예산정의 정보보호부문 취약성평가, 단말기 / 전산자료보호대책마련등 내부통제부문 비상대책, 침해사고대응마련등 전자금융업무감독 보안성심의및외부주문기준마련등 신용정보의수집 조사및처리원칙및제한규정 신용정보전산시스템보안위험에대응하기위한기술적 물리적 관리적보안대책마련 신용정보관리 보호인지정요건등 금융거래의비밀보장 거래정보등의제공사실의통보 거래정보등의제공내용의기록 관리규정등 고객정보관리인임원선임규정, 업무지침서를작성보고, 고객정보의취급방침공지 업무상알게된정보누설하거나업무외의목적사용금지요건등 금융위원회정보통신보안업무세부지침 (2001.1.15) 국가정보통신보안기본지침에따른정보통신보안관리에필요한세부사항규정 정보통신보안성검토, 금감위보안산하기관및관련기관의정보통신보안책임은각기관의장에있음, 침입차단시스템을설치운용시국가기관에서인증또는동일성능이상의제품을사용요건등 21

- 감사합니다 - 22

2024 © docsplayer.org 개인정보보호 | 약관 | 지원