발표순서 q 개인정보보호개요 q 담당실무자의고민 q 개인정보보호방법론 / 컨설팅 q 대응방안 q 기대효과 q 결론 2

Similar documents
Microsoft PowerPoint - 6.pptx

암호내지


[ 목차 ]

정보보호컨설팅 제안서

개인정보처리방침_성동청소년수련관.hwp

<4D F736F F F696E74202D20C1DFBCD2B1E2BEF7C0C720BAB8BEC8C1F8B4DC20B9D720B0B3BCB120BBE7B7CA5FBDC5C7F6B1B82E BC8A3C8AF20B8F0B5E55D>

사이버교안_2주차_1강


좀비PC



슬라이드 1

Cloud Friendly System Architecture

< DC1A6C1D6C1BEC7D5BBE7C8B8BAB9C1F6B0FCBBE7BEF7BAB8B0EDBCADC7A5C1F62E696E6464>

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

부서: 감사담당관 정책: 행정의 투명성 제고 단위: 민원발생사전예방 1)민원심의위원 수당 70,000원*9명*3회 1, 업무추진비 5,800 5, 시책추진업무추진비 5,800 5, )민원심의 업무추진 250,000원*4회 1,000

경상북도와시 군간인사교류활성화방안

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

목 차 Ⅰ. 조사개요 1 1. 조사배경및목적 1 2. 조사내용및방법 2 3. 조사기간 2 4. 조사자 2 5. 기대효과 2 Ⅱ. P2P 대출일반현황 3 1. P2P 대출의개념 3 2. P2P 대출의성장배경 7 3. P2P 대출의장점과위험 8 4. P2P 대출산업최근동향

PowerPoint 프레젠테이션

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

제 1 장가이드라인개요 1. 적용대상및범위 목 제 1 장가이드라인개요 차 적용대상 : 뉴미디어서비스제공자및뉴미디어서비스이용자 - 뉴미디어서비스제공자 ( 이하 서비스제공자 라한다 ) 란정부통합전산센터 ( 클라우드컴퓨팅서비스 ), 다음 ( 마이피플 ), 네이버 ( 미투데이

< FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

농림축산식품부장관귀하 본보고서를 미생물을활용한친환경작물보호제및비료의제형화와현장적용매뉴 얼개발 ( 개발기간 : ~ ) 과제의최종보고서로제출합니다 주관연구기관명 : 고려바이오주식회사 ( 대표자 ) 김영권 (

<4D F736F F F696E74202D C205BC1A4C1F8BFED5D20BCF6C1D8C1F8B4DC20BCF8C8B8B1B3C0B0C0DAB7E1202E707074>

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

개인정보취급방침 제정 개정 개정 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이

대림코퍼레이션은 ( 이하 ' 회사 ' 라칭함 ) 개인정보보호법, 정보통신망이용촉진및정보보호에관한법률 을준수하고있으며, 정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은개인정보처리방침을제정하고이를준수하고있습니다. 회사의 " 개인

Microsoft PowerPoint 지성우, 분쟁조정 및 재정제도 개선방향

Windows 8에서 BioStar 1 설치하기

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개

슬라이드 1

AISF2014_template

98 자료 개발 집필 지침

[11하예타] 교외선 인쇄본_ver3.hwp

중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침

수출및수입액현황 (2016) 6억 1,284 만달러억 1 7,045 만달러 4억 4,240 만달러 2015 년대비 15.4 % 증가 2015 년대비 11.1 % 증가 2015 년대비 1.3 % 증가 수출액 수출입차액 수입액 지역별수출액 ( 비중 ) 일본 4,129만달러

Æí¶÷4-¼Ö·ç¼Çc03ÖÁ¾š

연구원은법령에따른개인정보처리 보유또는정보주체로부터동의받은개인정보를처리및보유합니다. 각각의개인정보처리및보유기간은다음과같습니다. 1) 연구원내부방침에의한정보보유사유가. 부정이용기록 ( 비정상적서비스이용기록 ) - 보존이용 : 부정이용방지 - 보존기간 : 6개월 2) 관계법

PowerPoint 프레젠테이션

개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교

어린이집영상정보처리기기 설치 운영가이드라인 보건복지부 - 1 -

»¶¥ı_0124

사고란 무엇일까요? 03 사고는 왜 주의해야 할까요? 1) 사고의 피해 유형 개인정보가 유출될 경우, 명의 도용으로 인한 금전 피해 및 사생활(프라이버시) 침해 등의 피해가 발생할 수 있습니다. 065 사고란 생존하는 개인에 관한 정보 (성명 주민등록번호

<4D F736F F D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F E30332E3239>

메뉴얼41페이지-2

내지(교사용) 4-6부

요 약 문 1. 제목 : 개인정보 오남용 유출 2차 피해 최소화 방안 2. 연구의 배경 개인정보란 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보로 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 것을 포함한다.

歯3-한국.PDF

개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인

시각형 상사 vs 청각형 상사

Microsoft Word - mp1_protection_v2.docx

제 2 편채권총론 제1장채권의목적 제2장채권의효력 제3장채권의양도와채무인수 제4장채권의소멸 제5장수인의채권자및채무자

모바일 App 개발시프라이버시보호수칙 Provided by NAVER 출처를밝히시는경우, 누구라도본가이드라인을자유롭게사용하실 1수있습니다.


Microsoft Word - src.doc

개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 ( 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다

<C7D0BCFAC1A4BAB8BFF820C7D0BCFAC1A4BAB8BCADBAF1BDBA20B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A72E687770>

2002report hwp


I (34 ) 1. (10 ) 1-1. (2 ) 1-2. (1 ) 1-3. (2 ) 1-4. (2 ) 1-5. (1 ) 1-6. (2 ) 2. (8 ) 2-1. (3 ) 2-2. (5 ) 3. (3 ) 3-1. (1 ) 3-2. (2 ) 4. (6 ) 4-1. (2 )

서현수

신광초등학교는개인정보보호법에따라이용자의개인정보보호및권익을보호 하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같은 처리방침을두고있습니다. 제 1 조. 개인정보의처리목적및항목 개인정보는다음의목적을위해처리합니다. 처리한개인정보는다음의목적이외의 용도로는사용되지않으며이

목 차 Ⅰ. 사업개요 5 1. 사업배경및목적 5 2. 사업내용 8 Ⅱ. 국내목재산업트렌드분석및미래시장예측 9 1. 국내외산업동향 9 2. 국내목재산업트렌드분석및미래시장예측 목재제품의종류 국내목재산업현황 목재산업트렌드분석및미래시

untitled

<31312D30312D313020C0CCBDB4B8AEC6F7C6AE20C8AEC1A4BDC3BEC82E687770>

동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있

Ⅰ Ⅱ Ⅲ Ⅳ

진흥원은개인정보처리방침을변경하는경우에는시행의시기 변경된내 용을정보주체가쉽게확인할수있도록변경전 후를비교하여공개하 도록합니다 제 조 개인정보의처리목적 진흥원 산업정보종합시스템 은다음의목적을위해개인정보를처리합니다 처리하고있는개인정보는다음의목적이외의용도로는사용되지않으며 이용목

AhnLab_template

810 & 는 소기업 및 지사 애 플리케이션용으로 설계되었으며, 독립 실행형 장치로 구성하거 나 HA(고가용성)로 구성할 수 있습니다. 810은 표준 운영 체제를 실행하는 범용 서버에 비해 가격 프리미엄이 거의 또는 전혀 없기 때문에 화이트박스 장벽 을

<BBEAC0E7BAB8C7E8C1A6B5B52E687770>

인터넷 비즈니스의 필수 요소, 트랜잭션 시큐리티 서비스 인터넷 비즈니스는 기업 영리 활동에 있어서 부가적인 서비스가 아닌 사업을 영위해 가는데 중요한 역할을 하고 있습니다. 특히, 인터넷 쇼핑몰, 인터 넷 뱅킹, 사이버 트레이딩, 전자정부서비스, 온라인 게임, 인터넷

*2008년1월호진짜

SANsymphony-V

다음의정보에대하여는아래의사유로명시한기간동안보존합니다. 가. 개인정보파일명 : 유료및무료회원개인정보항목 : 자택주소, 비밀번호, 생년월일, 자택전화번호, 성별, 로그인ID, 휴대전화번호, 이름, 이메일, 접속 IP 정보, 법정대리인이름보유근거 : 본인동의보유기간 : -


ㅇ ㅇ

<4D F736F F F696E74202D2033B1B3BDC320B0B3C0CEC1A4BAB820B1E2BCFAC0FB20B0FCB8AEC0FB20BAB8C8A3C1B6C4A12DC1A4C2F9C1D6BCB1C0D3205BC8A3C8AF20B8F0B5E55D>

<B1DDC0B6B1E2B0FCB0FAC0CEC5CDB3DDB0B3C0CEC1A4BAB82E687770>

Digital Convergence 시대의 패러독스와 성공전략

사용자중심의강력한렌터카관리솔루션 렌트업 RENTUP 서비스사용매뉴얼

1-표지 및 목차 & 1-서론 (최종보고서안).hwp

개인정보파일명제공목적제공근거 개인정보를 제공받는기관 제공받는 기관의 보유. 이용기간 개인정보 제공부서 국가장학금및학자금지원 한국장학재단설립등에관한법률제 50 조한국장학재단설립등에관한법률시행령제 36 조의 2) 한국장학재단 10 년장학취업팀 인사정보연말정산소득세법제 14

2003report250-9.hwp

<C0CFC1A4BFDC28C0DBBEF7C1DF292E687770>

< Personal Information Handlers’ Privacy Policy on Processing (Handling) of Personal Information>

PowerPoint 프레젠테이션

슬라이드 1

Zentralanweisung

Microsoft PowerPoint ISS_ ( , , v2.1).ppt

조사보고서 구조화금융관점에서본금융위기 분석및시사점

이동전화요금체계개선방안(인쇄본).hwp

2015 해설서 V1.1.hwp

Special Theme TV SNS 2015 Spring vol

처리하는모든개인정보는개인정보보호법등관련법령상의개인정보보호규정을준수하여수집 보유 처리되고있습니다 진흥원은개인정보보호법에따라이용자의개인정보및권익을보호하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같은처리방침을두고있습니다 진흥원은 소프트웨어산업진흥법 제 조 소프트웨

120330(00)(1~4).indd

Transcription:

개인정보보호대응방안 (for 실무자 ) 2008. 11. 18.

발표순서 q 개인정보보호개요 q 담당실무자의고민 q 개인정보보호방법론 / 컨설팅 q 대응방안 q 기대효과 q 결론 2

개인정보보호의필요성 개인정보보호개요 개인정보유출및각종범죄행위증가 개인정보취급자에의한대량의개인정보유출사례증가 피싱기법을이용한금융사기범죄가작년대비 10 배이상으로급증 개인정보유출피해자의소송제기로기업의금전적인손해발생 개인의정신적, 경제적피해는물론사회적혼란야기및정보사회자체에대한신뢰성붕괴 개인정보유출시인터넷상의모든활동이중단될수있으며막대한경제적피해발생가능 단한번의개인정보유출사건만으로도기업신뢰성및이미지에치명적인타격 개인정보유출시피해자들의소송제기로기업에금전적인손해발생사례다수발생 3

침해기술및해킹트랜드 개인정보보호개요 단순웜 바이러스유포 금전적이익 홈페이지침입및변조 인터넷인프라발달 해킹기술력향상 도덕성상실 개인정보 / 내부기밀탈취 단순실력과시 시스템운영방해 / 파기 (2007 년국가정보보호백서, 국정원 ) 4

침해기술및해킹트랜드 개인정보보호개요 옥션천만명회원정보해킹 옥션해킹신고 : 2008 년 2 월초, 현재수사중 유출회원 : 1,081 만명 ( 옥션발표기준 ) 유출정보 : 이름, 주민번호, 주소, 이메일, 전화번호, 휴대폰번호, 카드번호, 비밀번호등 소송 : 명의도용 _1 인당 70 만원, 정보유출 _1 인당 200 만원, 기타 1 인당 100 만원 GS 칼텍스천백만명고객정보유출 자회사직원이고객 1,100 여만명의개인정보를금전적인목적으로유출 정보유출관련피해자들의잇따른소송진행 기업이미지실추따른지속적인피해예상 5

침해기술및해킹트랜드 개인정보보호개요 홈페이지해킹 L 전자, 입사지원자개인정보유출 L 전자채용에떨어진범인의 앙심해킹 으로 3600 여명의이력서및자기소개서를해킹하여취업동호회에유출. (2006-10-31) 피싱사이트 K 사카드사칭메일주의보 K 사카드를사칭한메일에 K 은행과유사한피싱사이트로링크시켜개인정보를입력하게함. (2006-11-29) 홈페이지설정오류 K 항공, 회원주민등본인터넷노출 일부회원에게보낸이메일의첨부파일명에적힌숫자를바꾸니다른사람의주민등록등본확인. (2006-11-4) 관리상부주의 S 통신부산대리점, 고객정보무단방치 S 통신사부산대리점, 2 톤분량의고객정보서류를고물상에넘겼다가회수하는소동을벌여구설수 (2007-7-9) 6

개인정보보호유출시피해형태 개인정보보호개요 개인정보유출시피해형태 피해형태 개인정보의부적절한이용및제공 (CP, 위탁회사, 제휴회사등 ) 부정유료사이트가입 부정금전결제 / 부정대출 / 금융거래 카드부정발급 개인정보의관리위험 (DB, 서버, PC) 부정보증약정 Web Site 회원가입불가 부당요금청구 개인정보보호정책의불이행 본인인증을위한입증책임부담 심리적, 정신적피해 7

법 제도의변화 개인정보보호개요 사이버공간을법, 제도에편입 ü 대한민국은영공, 영해, 영토및사이버공간으로구성된다. ü 정보보호예산확층 사이버공간에대한예산할당 ü 재판관할권내의사이버공간에 Offline 에걸맞는제도반영 사이버공간의탁성을반영한제도연구 ü 익명성을담보할수있는제도 ü 기술의발전에따른새로운서비스는새로운법, 제도에의하여관리 ü 규제보다는경쟁을촉진, 경쟁은최고의규제수단임 ü Policy Life Cycle을통한제도의유연한변화 ü 사이버공간에대한직업정의, 직무정의 제 3 자의독립적조정 ü 힘의규형을유지한독립적인제 3 자의조정 8

관련법률체계 개인정보보호개요 공공기관의개인정보보호에관한법률 공공행정 공공기관의정보공개에관한법률 전자정부법 주민등록법, 호적법등 정보통신망이용촉진및정보보호등에관한법률 통신비밀보호법 정보통신기반보호법 전기통신사업법등 정보통신 관련법. 제도 교육 교육기본법 초중등교육법 교육정보시스템의운영등에관한규칙등 금융 / 신용 신용정보의이용및보호에관한법률 금융실명거래및비밀보장에관한법률, 전자거래기본법 전자상거래등에서의소비자보호에관한법률 의료 보건의료기본법, 의료법 생명윤리및안전에관한법률 장기등이식에관한법률 응급의료에관한법률 9

Web 2.0 上에서의개인정보보호 issue 개인정보보호개요 ( 기존 ) 전기통신사업자, 인터넷사업자 ( 개정 ) 준용사업자추가 준용사업자 : 회원제를통하여개인정보를많이취급하는백화점, 할인점, 여행사 정보통신망법제 67 조 약 12 만개 (2008 년 5 월기준 ) 개인정보보호관련법륙적용확대 개인정보에대한해석확대 개인정보에대한사용동의, 활용의제한 ID가개인정보인가? 일본의경우이름을표현하는 Email- 개인정보정의 (2007년, kyungho.lee@mic.go.kr) CCTV화면에나타난안면인식 인터넷검색정보수집통한개인별식별 포괄적동의 vs. 인지적동의 대량개인정보활용시동의방안 개약이행을위하여불가필할경우의활욜 10

미래 U- 환경에서의보안 Issue 역시존재 개인정보보호개요 USIM 개요 기본형 USIM 콤비형 USIM 대용량 USIM 고성능 USIM 인증, 로밍, PIMS(SMS, Phonebook) 멤버쉽, 교통, 신용, 증권 SCWS(Smart Card Web Server), DRM 공인인증서, VPN 플랫폼, 브라우져, MMS USIM 서비스분야 Mobile Ticketing RFID/Tag Read 교통서비스 Mobile Access ID 정보검색 휴대폰결제 USIM 폰 / 카드 게임, 음악, 캐릭터교환 11

정보보호담당실무자의고민 담당실무자의고민 개인정보가기타사례없이도사업을할수는없을까? ü 인터넷서비스의익명성강화 ü 개인정보의제 3 자위탁관리 ( 결제시에만이용 ) ü 분쟁발생시신속한처리가능한분쟁조정기관의톡립및전문화 해외기타 Global 사례기업과의경쟁에서의형평성 ü Global Standard 에준비하는정책의균형 ü 경쟁과독점의밸런스를유지한정책 ü 정책이행에따른시장상황을실시간으로반영할수있는법, 제도의유연성 사고기타발생사례시최선을다한사업자에대한책임경감방안 ü 현행법률준수시사업제의책임을명확히구분 ü 사업인가시허가제또는인증제도입 12

개인정보의라이프사이클 담당실무자의고민 동의없는개인정보수집시고지사항불이행 조직내부취급자에의한개인정보의유출, 훼손, 변경등 동의없는개인정보의무단제공및공유 수집및목적달성후개인정보의미파기 동의및고지없는개인정보주체외로부터의수집 외부인의불법적접근에의한개인정보유출및훼손, 변경 당초수집시에고지한이용목적을넘어서는개인정보의이용 개인정보삭제요구불응 법정대리인의동의없는개인정보의수집 사업자의인식부족, 과실등으로인한개인정보의공개 타인의개인정보를무단으로이용하는경우 서비스이용과관련없는과도한개인정보의수집 기술적, 관리적조치미비로인한개인정보의유출 해킹등불법수단에의한개인정보의수집 고객의개인정보 claim 에대한불응또는미조치 기망에의한개인정보의수집 13

개인정보보호 - 기업대응전략 담당실무자의고민 개인정보유출에대한기업의대응전략 영업비밀관리체계수립 기업은법적으로실효성이있는영업비밀관리체계 Best Practice 를구축해야함 영업비밀관리체계 Best Practice 경영진의실천의지 영업비밀관리정책 / 절차 / 지침 구조적요소 경영진의실천의지 정책 / 절차 / 지침수립 전담조직 ( 책임과역할 ) 임직원교육훈련 영업비밀파악 / 평가 통제활동 ( 설계 / 운영 ) 제보및보고시스템 모니터링활동 운영적요소 전담조직 ( 책임과역할 ) 임직원에대한교육훈련 영업비밀유형파악 통제활동 ( 설계 / 운영 ) 제보및보고시스템 모니터링활동 14

개인정보보호컨설팅의필요성 개인정보보호방법론 / 컨설팅 어플리케이션정밀진단 개인정보영향평가 개인정보유출경로분석 개인정보영향평가 마스터플랜수립 개인정보침해요인 기술적 관리적 체계적 불법적인해킹을통한개인정보의유출위험존재 개인정보를보유한서버및 DB 에대한접근통제확인필요 유 / 무선네트워크망을통한개인정보노출경로파악 PC 및단말기로부터의개인정보관리상태분석필요 관리소홀로인한개인정보유출위험존재 협력사및직원에대한개인정보인식분석필요 정책및지침수립, 개인정보보호에대한가이드라인확립필요 종합적개인정보보호체계수립필요 개인정보보호를프로세스체계구축필요 개인정보유출경로에대한위험관리체계구축필요 15

개인정보보호컨설팅목적 개인정보보호방법론 / 컨설팅 개인정보영향평가 어플리케이션정밀진단 고객 DB 분석 개인정보보호컨설팅 개인정보유출경로분석 마스터플랜수립 개인정보영향평가 어플리케이션정밀진단 고객 DB 분석 개인정보유출경로분석 마스터플랜수립 개인정보취급현황및관리체계를분석 / 평가 최적화된관리방안을수립 기술적보안취약성을분석 서버, WEB, DB, PC 진단 보안취약성을최소화할수있는대응방안제시 개인정보를보유하고있는 DB(Table) 현황을조사 불필요한개인정보보유여부분석 개인정보보유최소화방안수립 업무시스템을통한개인정보수집, 가공, 저장, 폐기여부점검 관리 / 물리 / 기술적관점에서개인정보유출가능성분석 현재서비스의개인정보보호문제점에대해중장기개선과제를수립 최신이슈에대한지속적인대응전략수립 16

개인정보보호컨설팅수행범위 개인정보보호방법론 / 컨설팅 구분 개인정보보호영향평가 어플리케이션정밀진단 고객 DB 분석 개인정보 유출경로분석 대상 개인정보를포함하는모든자산 - 개인정보관련정책및법규 - 개인정보를다량보유 관리하는정보시스템 - 개인정보를취급하는인력 개인정보를포함하고, 처리하고있는어플리케이션 - 서버 - 웹어플리케이션 - 데이터베이스 - 소스코드 - PC - 무선환경 고객정보를보유하고있는데이터베이스 개인정보보호영향평가결과 어플리케이션정밀진단결과 고객 DB 분석결과 - 개인정보관련정책, 법규및사업내용검토 - 정보흐름분석 - 개인정보침해요인분석및위험평가 - 개선계획수립및위험관리 - 서버진단 -WEB 진단 -DB 보안진단 - 모의해킹 - 소스코드 -PC 진단 - 무선진단 - 고객 DB 분석 내역 - 관리적 / 기술적 / 물리적개인정보유출경로분석 개인정보보호마스터플랜수립 개인정보를취급하는관리적, 물리적, 기술적, 인적자산 개인정보보안정밀진단 / 유출경로분석 / 영향평가결과 위험평가결과 - 관리적 / 물리적개인정보보호대책수립 - 기술적개인정보보호대책수립 - 이행계획수립및이행로드맵정의 개인정보보호 보안관리 개인정보와관련된모든인력 최고의사결정권자 - 개인정보보호보안교육 - 이행정검 - 개인정보보호기술자문 17

개인정보보호컨설팅개요 개인정보보호방법론 / 컨설팅 개인정보현황분석 어플리케이션정밀진단 고객 DB 분석 개인정보유출경로분석 개인정보위험평가 수행내역 개인정보보호표준보안통제항목 ( 국내외각종법령, 지침, 표준문서, 개인정보영향평가기준점검표포함 ) 을통한고객의개인정보지침, 정책, 현황등을분석 개인정보를수집, 이용하는정보시스템및 APP 등의운영현황및물리적보안현황분석 개인정보자산조사 개인정보흐름분석 개인정보보호수준분석 개인정보가포함된 Application 탑재서버진단 개인정보저장및관리되는 DB 진단 웹어플리케이션진단 소스코드분석 개인정보관련시나리오점검을통한모의해킹 개인정보를취급하는사용자 PC 점검 개인정보관련무선환경점검 고객정보저장및관리에대한분석 - 고객 DB 보유현황조사및삭제 - 고객 DB 관련실태조사 - 복사또는추출프로그램조사및삭제 - 방치된고객정보및 DB file 조사및삭제 기술적분석 - 정밀진단, 고객 DB 분석, PC 진단결과등개인정보유출가능성을분석 관리적분석 - 인식제고및기준수립, 정보자산관리등개인정보유출가능성을분석 물리적분석 - 인원출입통제, 인쇄물통제등개인정보유출가능성을분석 개인정보위험평가 - 개인정보자산식별 - 개인정보자산그룹핑 - 개인정보자산민감도평가 - 위협 / 취약성도출 - 위험평가 개선계획및위험관리 - 위험도산정 - 보호대책선정 산출물 개인정보현황분석보고서 개인정보보안진단보고서 고객 DB 분석보고서 개인정보유출경로분석보고서 위험평가분석보고서 18

개인정보보호방법론 개인정보보호방법론 / 컨설팅 고객사의개인정보보호수준을분석하고개인정보의유출가능성을점검하여개인정보 관리체계수립 개인정보요건분석 개인정보수준분석 개인정보유출경로분석 개인정보관리체계수립 개인정보관련개인정보관련요구사항분석요구사항분석 개인정보개인정보취급업무파악취급업무파악 개인정보흐름파악개인정보흐름파악 개인정보보호개인정보보호관리전략수립관리전략수립 개인정보개인정보취급인프라파악취급인프라파악 시나리오기반의시나리오기반의침해요인점검침해요인점검 개인정보보호개인정보보호정책 / 지침제 개정정책 / 지침개정 개인정보보호개인정보보호수준측정수준측정 19

개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 개인정보현황분석 개인정보보호현황분석방안 개인정보보호현황진단 개인정보흐름분석 개인정보보호수준측정 취급하는개인정보및개인정보자산확인 개인정보가활용도표화 개인정보보호수준종합적도식화 보안영역별개인정보보호수준파악 개인정보보호표준보안통제항목수립 개인정보보호관리현황진단 개인정보보호표준보안통제항목 SAMPLE 개인정보표준보안통제항목을통한개인정보현황분석 수행방법 개인정보보호표준보안통제항목을기반으로개인정보취급문서, 개인정보취급정보시스템에대한운영, 물리적환경검토 개인정보보호담당자들에대한인터뷰및설문수행 개인정보흐름의도표화 개인정보보호현황에대한정량적분석 20

개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 어플리케이션정밀진단 유선 모의해킹 웹진단 서버진단 DB 진단 PC/ 단말기진단 모의해킹 : 주요서비스에대하여침해가능성이존재하는시나리오를바탕으로웹을통한콘텐츠정보획득, 인증및주요정보에대한권한획득등을이용하여고객정보유출가능유무점검 웹진단 : 웹페이지상에서노출될수있는고객정보취약점에대하여점검 서버진단 : 시스템을통한고객정보유출가능유무점검 소스진단 : 고객정보를포함하는주요어플리케이션소스를분석하여, 현재취약점및향후발생가능한위협을점검 무선진단 : 무선망에서고객정보유출가능유무점검 소스진단 무선 무선진단 DB 진단 : 고객정보를저장하는데이터베이스에대한계정및접근통제, 환경설정등 DB 취약점에대하여진단 PC/ 단말기진단 : 고객정보를다루는 PC 및단말기를통한고객정보유출가능성을점검 21

개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 고객 DB 분석 분석대상 분석내역 DB 관리현황 고객 DB Table 백업 / 로그파일 고객정보복사및추출현황 고객정보관리현황을파악 - 고객정보관리시스템보유현황점검 - 고객정보를보유하고있는데이터베이스현황점검 고객정보가포함된 DB 의개인정보현황점검 - 고객정보 ( 주민등록번호등 ) 보유현황 - 고객정보암호화현황점검 - 고객정보가포함된임시 / 중복테이블관리현황점검 - 취약한패스워드를가진 DB 의고객정보현황점검 고객정보 DB 의백업 / 로그데이터관리현황점검 - 고객정보가포함된백업데이터점검 - 고객정보가포함된로그데이터점검 고객 DB 로부터고객정보를복사 / 추출현황점검 - 메인고객 DB 로부터고객정보를복사하여보존유무점검 - 고객 DB 추출프로그램에서의저장여부점검 비밀번호카드번호백업주민번호복사로그추출 고객정보 : 주민등록번호, 이름, 사용자계정, 패스워드, 전화번호, 주소, E-mail, 카드번호, 계좌번호 22

개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 개인정보유출경로분석 정밀진단영역 고객 DB 분석내역 PC 진단내역 ( 단말기 ) 기술적 웹페이지노출 소스노출 복사및다운로드 화면덤프 백업파일 FTP/Telnet 고객DB 관리현황 고객DB 테이블 고객정보복사및추출현황 백업 / 로그파일 보안프로그램우회 - DRM 네트워크를통한우회 - p2p - messenger - remote connection - E-mail 이동형저장장치연결 - USB 모바일장치 - PDA - 핸드폰 관리적 인식제고및기준수립, 외주 / 협력업체관리, 정보자산관리, 침해사고대응 물리적 인원출입통제, 인쇄물통제, 시건장치, FAX 전송통제 외부자정보유출 내부자정보유출 23

개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 개인정보흐름파악 개인정보흐름표 관계법률의수집근거확인 정보주체동의확인 개인정보수집사실안내 수집 업무별개인정보흐름도 개인정보파일의보유 개인정보파일대장관리 개인정보파일열람조치 사전협의 / 심의수행 Sample 분류 / 분석 폐기 보유 도식화 Sample 개인정보파기및파일삭제 개인정보파일파기사실기록관리 개인정보파일파기사실안내 이용 / 제공 보유목적의이용 제공 문서에의한이용 제공요청 이용 제공대장관리 이용 제공사실안내 24

개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 개인정보위험평가 개인정보보호위험평가방안 개인정보자산민감도평가 1 단계 자산의가치평가자산그룹핑분류 위협 / 취약성분석 2 단계 위협및취약성평가자산별위협, 취약성매핑 위험도산정 3 단계 자산, 위협, 취약성등급을기반으로자산의위험관리지수 (DoA) 산정 보호대책선정 4 단계 위험허용기준치 (DoA) 이상인위험에대한보호대책선정 개인정보현황분석 고객 DB 분석 어플리케이션정밀진단 개인정보유출경로분석 위협, 취약성평가지표로활용 수행방법 위험평가를통한취약한영역분석취약한영역보완을위한보호대책제시비용및기타요인대비효과를분석한보호대책선정보호대책을선정하여마스터플랜수립에활용 25

개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 마스터플랜수립 마스터플랜수립방안 관리, 물리기술보호대책구현 이행과제목록작성, 우선순위평가 2 단계 1단계보호대책수립결과이행과제목록작성위험평가결과도출된및우선순위평가보호대책에대한구현 이행과제일정, 비용산정 3 단계 이행과제별추진주체, 세부일정, 소요비용고려사항등정의 이행 ROAD MAP 정의 4 단계 마스터플랜이행에따른개인정보보호관리체계이미지제시 위험평가를통한보호대책선정 Sample 개인정보보호측면에서보호대책구현 관리적보호대책 물리적보호대책 기술적보호대책 수행방법 도출된보호대책에대한이행과제목록작성및우선순위평가 ( 단기, 중기, 장기 ) 이행과제수행에대한세부일정계획수립및고려사항분석 이행과제수행에대한소요비용및고려사항분석 최근기술동향및개인정보보호환경을반영한이행 ROAD MAP 정의 26

개인정보보호컨설팅 개인정보보호방법론 / 컨설팅 마스터플랜수립 / 세부수행내역 관리 / 물리 / 기술적보호대책구현 위험평가단계에서도출된보호대책을기반으로관리적보안, 물리적보안, 기술적보안측면의개인정보보호대책구현 관리적보안대책구현 물리적보안대책구현 기술적보안대책구현 이행과제일정, 비용산정 이행과제별추진주체, 세부일정, 소요비용, 고려사항등에대한정의 이행과제별소요비용산정 - 투입인력, 솔루션, 관리비용등포함 - 분기 / 년간계획별예산산정 - 개인정보보호조직체계강화 - 개인정보보호정책, 지침, 개선 - 개인정보보호교육체계강화 - 개인정보침해사고대응방안수립 - 출입통제강화 - 시설 / 환경보안 - 장비보안관리강화 - 반출입통제강화 - 문서 (Paper) 보안관리강화 - 서버, 네트워크,DB 보안강화 - 어플리케이션보안강화 -PC 보안강화 - 개인정보유출경로에대한보안강화 SAMPLE 이행과제목록작성, 우선순위평가 개인정보보호대책에대한추진이행과제목록작성 이행 ROAD MAP 정의 향후수행해야할개인정보보호활동들의 Roadmap 이미지제시 SAMPLE SAMPLE 정보보호이행과제 SAMPLE 27

개인정보유출대응방안 대응방안 최근의내부자의정보유출에대응하는방안으로 DRM < 문서보안 >, IAM < 계정관리 >, Forensic < 디지털증거수집 > 등의솔루션중심으로발전되고있다. 내부환경 전자정보의접근통제 전산실 내부네트워크 ( 서버, DB) 해킹, 내부사용자 공유폴더, 바이러스감염 사무실 문서및출력물 PC E-Mail 네트워크를통한해킹공격 외부환경 외부네트워크 ( 인터넷 ) PC보안솔루션 DRM < 문서보안 > 이동식저장매체제어 SSO < 사용자인증 > EAM < 접근통제 > 저장매체 저장매체 IAM < 계정관리 > 노트북 DB 보안솔루션 시스템실 사무실 디지털포렌식 물리적접근통제 / 반출입통제 정보자산관리 외주 / 협력업체관리 진단 / 감사 침해사고대응 28

개인정보유출대응을위한소요비용항목 대응방안 개인정보보호체계를위한필요소요비용항목 구분 개인정보보호컨설팅 PC보안솔루션 DRM 이동식저장매체제어 SSO EAM IAM DB보안디지털포렌식데이터삭제방화벽, Web 방화벽 IPS 메일방역백신관리 NAC 로그관리 내역 3-4개월, 컨설턴트 3~4명투입 PC 내개인정보관리통제문서보안, 출력물보안등 USB, 외장형하드등사용자인증관리서버및네트워크접근제어사용자및시스템계정관리접근통제및암호화모든보안관련로그관리데이터삭제통제통제용 Desk-Top PC 필요동일유형의해킹패턴인식및제어메일접근통제서버및 PC용백신 Network 접근통제향후포렌식등대응 비고 컨설팅결과에따라필요한솔루션구현바람직 소요수량산정은컨설팅및현황조사에따라변동 솔루션우선적구축은아무런효과를기대할수없음 29

개인정보유출대응방향 대응방안 사전개인정보보호조치후마케팅으로전환 업무편의성및마케팅우선정책개인정보보호사후처리 수익이손해배상비용으로지출 주민번호관리위주에서 Guaranteed Privacy 조치후마케팅실시 소비자의민사소송 (Civil Action) 을기업리스크관리의핵심요소로인식 CCTV, 생체, 지문, 의료정보등대상확대예상 개인정보 Life Cycle 을고려한보호관리체계강화 생성전송보관폐기 주민번호미수집주민번호대체수단 (i-pin) 암호화적용 개인정보노출방지장치 폐기확인및재사용금지 30

기대효과 개인정보보호컨설팅 개인정보보호관리체계수립 개인정보보호법령및지침준수 개인정보유출경로차단 개인정보보호관리체계수립을통한대외신뢰성향상 개인정보수집및이용하는정보시스템의보안진단을통하여정보시스템의취약점제거및보안성강화 개인정보보호표준통제항목표 ( 국내외개인정보보호지침, 법령, 보안표준등포함 ) 를이용한개인정보보호업무의준거성평가결과를정보보호정책및지침수립, 정보보호마스터플랜등에반영하여관련법률및기준의요규사항에부합한개인정보보호관리체계수립 개인정보흐름에따른개인정보유출분석을통해체계적인개인정보관리 31

결론 개인정보보호핵심영역을파악하고효율적인대응을위해정보보호솔루션구축및위험을관리하여비용대비효과를극대화한다. 기업정보보호핵심영역 사용자계정관리 문서보호 외부로데이터전송차단 기업핵심기술보호 보안솔루션의단순화 / 표준화 효율적인정보보호솔루션도입 침해사고대응 상시적인사내보안체계 디지털증거확보 지적재산관리 기업의위험관리 핵심영역보호를위한국 / 내외선진사례 통합사용자관리 (IAM) 시스템구축 산업기밀정보보호시스템구축 IT 컴플라이언스관리시스템구축 디지털포렌식시스템구축 위험관리시스템구축 기업정보보호강화 개인및기업정보유출방지 정보보호솔루션투자, 활용 위험관리및대응체계 32

2024 © docsplayer.org 개인정보보호 | 약관 | 지원