반응형
ISMS-P 인증
2.7 암호화 적용
2.7.1 암호정책 적용
2.7.2 암호키 관리
ISMS-P 간편인증(7의2)
2.6 암호화 적용
2.6.1 암호정책 적용
ISMS-P 간편인증(7의3)
2.7 암호화 적용
2.7.1 암호정책 적용
(7의2) 대상: 소기업, 정보통신서비스 부문 매출액 300억 미만의 중기업
(7의3) 대상: 주요 정보통신설비를 보유하지 않은 정보통신서비스 부문 매출액 300억 이상의 중기업
개요
인증기준
개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다.
주요확인사항
ISMS-P 인증
* 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가?
* 암호정책에 따라 개인정보 및 주요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가?
ISMS-P 간편인증(7의2, 7의3) - ISMS 인증 2.7.1 과 2.7.2 를 통합
* 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가?
* 암호정책에 따라 개인정보 및 주요정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가?
* 암호키 생성, 이용, 보관, 배포, 변경, 복구, 파기 등에 관한 절차를 수립∙이행하고 있는가?
* 암호키는 필요시 복구가 가능하도록 별도의 안전한 장소에 보관하고 암호키 사용에 관한 접근권한을 최소화하고 있는가?
관련법규
개인정보 보호법 제24조의2(주민등록번호 처리의 제한), 제29조(안전조치의무)
개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화)
세부 설명
1. 암호 정책 수립
개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하여야 한다.
2. 정책에 따른 암호화 수행
암호정책에 따라 개인정보 및 중요정보의 저장, 전송, 전달 시 암호화를 수행하여야 한다.
* 암호화 위치, 시스템 특성 등을 고려하여 암호화 방식 선정 및 적용
아래 항목은 ISMS-P 간편인증 (7의2, 7의3) 해당
3. 암호키 생성, 이용, 보관, 배포, 파기에 대하여 다음과 같은 내용이 포함된 정책 및 절차를 수립하여야 한다.
* 암호키 관리 담당자
* 암호키 생성, 보관(소산 백업 등) 방법
* 암호키 배포 대상자 및 배포방법(복호화 권한 부여 포함)
* 암호키 사용 유효기간(변경 주기) : 암호키 변경 시 비용, 업무중요도 등을 고려하여 결정
* 암호키 복구 및 폐기 절차와 방법
* 소스코드에 하드코딩 방식의 암호키 기록 금지에 관한 사항 등
4. 암호키는 필요시 복구가 가능하도록 별도의 안전한 장소에 보관하고 암호키 사용에 관한 접근권한을 최소화하여야 한다.
* 암호키 손상 시 시스템 또는 암호화된 정보의 복구를 위하여 암호키는 별도의 매체에 저장한 후 안전한 장소에 보관(암호키 관리시스템, 물리적 분리된 곳 등)
* 암호키에 대한 접근권한 최소화 및 접근 모니터링
증거자료
* 암호통제 정책(대상, 방식, 알고리즘 등)
* 암호화 적용현황(저장 및 전송 시)
* 위험도 분석 결과(내부망 고유식별정보 암호화 미적용 시)
* 암호화 솔루션 관리 화면
아래 항목은 ISMS-P 간편인증 (7의2, 7의3) 해당
* 암호키 관리정책
* 암호키 관리대장 및 관리시스템 화면
결함사례
* 내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우
* 암호정책을 수립하면서 해당 기업이 적용 받는 법규를 잘못 적용하여 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우(예를 들어, 이용자의 계좌번호를 저장하면서 암호화 미적용)
* 개인정보취급자 및 정보주체의 비밀번호에 대하여 일방향 암호화를 적용하였으나, 안전하지 않은 MD5 알고리즘을 사용한 경우
* 개인정보처리자가 관련 법규 및 내부 규정에 따라 인터넷 쇼핑몰에 대하여 보안서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 이용자의 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우
* 정보시스템 접속용 비밀번호, 인증키 값 등이 시스템 설정파일 및 소스코드 내에 평문으로 저장되어 있는 경우
아래 항목은 ISMS-P 간편인증 (7의2, 7의3) 해당
* 암호 정책 내에 암호키 관리와 관련된 절차, 방법 등이 명시되어 있지 않아 담당자별로 암호키 관리 수준 및 방법 상이 등 암호키 관리에 취약사항이 존재하는 경우
* 내부 규정에 중요 정보를 암호화할 경우 관련 책임자 승인 하에 암호화 키를 생성하고 암호키 관리대장을 작성하도록 정하고 있으나, 암호키 관리대장에 일부 암호키가 누락되어 있거나 현행화되어 있지 않은 경우
참고 문헌
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.23)
반응형
'ISMS-P 인증 기준 > 보호대책 요구사항' 카테고리의 다른 글
| ISMS-P 인증 기준, 보안 요구사항 정의 (0) | 2025.03.03 |
|---|---|
| ISMS-P 인증 기준, 암호키 관리 (0) | 2025.02.28 |
| ISMS-P 인증기준, 무선 네트워크 접근 (0) | 2025.02.26 |
| ISMS-P 인증기준, 데이터베이스 접근 (1) | 2025.02.25 |
| ISMS-P 인증 기준, 응용프로그램 접근 (0) | 2025.02.24 |
