IT IS IT ::

(2019.06.13 시행) 정보통신망법 시행령 개정안 정보통신서비스 제공자에 대한 CISO 지정 2019년 6월 13일 시행예정인 정보통신망법 시행령 개정안이 입법 예고되어 있다. 여기서 크게 변경되는 부분이 정보통신서비스 제공자에 대한 CISO 지정에 관한 부분이다. * CISO: chief information security officer로 한국말로 하면 '정보보안 최고 책임자' 이다. 먼저, 2019년 6월 13일에 개선되는 법령은 아래와 같다. 정보통신망법 45조의3(정보보호 최고책임자의 지정 등) ① 정보통신서비스 제공자는 정보통신시스템 등에 대한 보안 및 정보의 안전한 관리를 위하여 임원급의 정보보호 최고책임자를 지정하고 과학기술정보통신부장관에게 신고하여야 한다. 다만, 자산총액, 매출액 ..

개인정보 국외 이전 관련 법령 | 정보통신망법 | 개인정보 국외 반출 / 해외 반출 클라우드 플랫폼이 활성화 되면서, 또한 외국계 기업의 한국 진출이 늘어나면서 개인정보가 국외로 이전되는 경우가 심심치 않게 발생하고 있다. 특히 AWS나 MS AZURE 등의 Cloud 기반 서비스가 늘어나면서 자연스럽게 고객 정보가 해외로 반출되는 경우도 많이 발생하고 있다. 국내에도 클라우드 데이터 센터가 있다고는 하지만 아직 모든 서비스가 제공되지 않아 MS Azure 같은 경우에는 서비스에 따라 일본이나 싱가포르에서 서비스 되는 경우도 있다. 개인정보가 국외로 반출/이전되는 경우 해당 정보 주체 (예를 들어 고객정보인 경우 고객 당사자)에게 '당신의 어떠한 정보가 어떠한 목적으로 인하여 어느나라에 이전되었다'라는 ..

2차인증, 추가인증 관련 법령 | 개인정보보호법 | 전자금융감독규정 개인정보 보호에 대한 법률 규정이 강화되면서 2차인증 (추가인증)에 대한 부분은 거의 필수가 되어 가고 있는 것 같습니다. 금융권 같은 경우에는 진작부터 전자금융감독규정에서 더 강하게 규정하고 있어서 많이 적용되어 있지만 그와 비교해서 비 금융권은 조금 약한 편입니다. 많이 강화되가고 있는 중인 것 같습니다. 그럼 먼저, 국내 법령에서 2차인증 관련하여 어떤 법령이 있는지, 또한 법령을 어떻게 해석하느냐에 따라서 어떻게 적용을 해야 하는지도 있는데 그것도 한번 간단하게 (개인적인 사견으로) 보도록 하겠습니다. 먼저, 개인정보보호법에서 요구하는 2차인증 관련하여서는 아래 법령이 있습니다. 개인정보 보호법 제4조 (접근통제) ④ 정보통신서비..

ESP (Enterprise Security Planning) | 전사적 정보보안 계획 ESP란, Enterprise Security Planning의 약자로 전사적 정보보안 계획 혹은 전사적 통합보안관리 시스템이라는 의미를 가진다. 관리자는 보안지침을 등록하고 등록한 보안지침을 기준으로 운영중인, 도입 예정인 시스템의 보안 수준을 점검한다. 그리고 그 점검 결과 및 이력, 통계, 증적을 관리하고 비즈니스의 핵심 가치에 보안적인 측면에서 기여할 수 있도록 정보보안 프로세스를 통합하여 관리할 수 있다. ESP의 목표와 역할은 아래와 같다.- 효율적인 정보보안 투자 (중복 방지)- 전사 차원의 정보보안 전략 실행- 정보보안의 비즈니스 기여에 대한 투명성 확보- 개인정보 등 비즈니스 정보의 Life Cycle..