프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2018.01.11 -전자금융거래법 고시② 개인정보규정인 4절 IT부문 보기

목록

정당한 사용자 여부를 확인할 수 있는 기록유지 <정보처리시스템> 사용자의 정당성 확인을 위해 사용자인가 정보조회가 가능하도록 조치 DB-i 3. <강화된 보호대책>이 적용되는 <중요단말기>지정 <중요단말기> : <정보처리시스템> or DB에 직접 접근가능한 단말기 Privacy-i <강화된 보호대책> : 외부반출금지, 인터넷접속금지, 그룹웨어접속금지 망분리 WebKeeper 4. 단말기에서 <매체> & 휴대용 전산장비 접근을 통제 (유출, 악성코드방지목적) 외주개발직원의 단말기에도 동일수준의 접속통제를 적용 Privacy-i (Media Control) 용도에 따라 USB 쓰기/읽기 기능 차단 USB 사용시 책임자의 사전 승인 보안 정책에 따른 USB 관리 기록<정보처리 시스템> & 정보 통신망 해킹방지 1. 해킹사고방지를 위한 <정보보호시스템> 설치 & 운영 [해] 침입차단&탐지, 암호화프로그램 등 정보보호시스템을 설치 & 운영 대내외에서 <정보처리시스템>접속시 정보보호시스템을 우회접속하지 못하도록 보안정책적용 2. 해킹대비<정보보호시스템>프로그램은 긴급&중요패치에 대하여 즉시 패치 [해] 시스템프로그램의 보안취약점개선 등 긴급하고 중요한 사항은 즉시 보정작업 실시 망분리 예외 1 본점, 영업점 단말기 3. 내부통신망과 연결된 내부업무용시스템은 외부망과 분리·차단 망분리 대체 정보보호 통제 [시] 2조의 2 ① 업무상 특정 외부기관과 연결시 포트를 한정 [해] 내부통신망과 연결된 본점 영업점 PC,프린터 등 주변 기기는 물리적 or 논리적 망분리 업무상 불가피한 경우 내부망의 서버에서 특정 외부기관과의 연결가능 4. 내부통신망 파일 배포기능은 통합 & 최소화운영, 배포시 무결성검증 수행 망분리 예외2 중요단말기 5. 전산실내 <정보처리시스템>과 <정보처리시스템>에 직접 접속하는 중요단말기는 외부망과 물리적분리 망분리 대체 정보보호 통제 하단 <중요단말기> 망분리 예외규정 전자금융 감독규정 시행세칙 2조의 2 참고 ② <정보보호시스템> 설치 운영시 준수사항 2. 최소한의 Port와 기능만을 적용, 업무목적외 기능 & 프로그램 제거 3. <보안정책 승인,적용,등록, 변경, 삭제이력>을 기록·보관 4. 원격관리금지. 불가피한 경우 전용회선(VPN 포함)사용, <원격접속보안대책> 수립·운영 5. <정보보호시스템> 작동상태를 주기적 점검 6. 시스템 장애, 가동중지 등 긴급사태에 대비하여 <백업 & 복구절차> 등을 수립·시행 <중요단말기> 망분리 예외규정 전자금융 감독규정 시행세칙 2조의 2 1. 정보처리업무를 국외 전산센터에 위탁처리시, 국외소재 전산센터는 물리적 망분리 이외 방법으로 망분리 가능 2. 업무상 외부통신망과 연결이 불가피한 다음의 정보처리시스템 (필요한 포트에 한하여 연결) 가. 전자금융업무의 처리를 위하여 특정 외부기관과 데이터를 송수신하는 정보처리시스템 나. DMZ구간 내 정보처리시스템과 실시간으로 데이터를 송수신하는 내부통신망의 정보처리시스템 [해] DMZ내 인터넷뱅킹 등 공개서버(Web서버)와 내부서버(WAS) 연결 다. 다른 계열사와 공동으로 사용하는 정보처리시스템 [해] 계열사와 공동사용하는 인트라넷, 이메일, 회계시스템과 내부서버연결 3. 전자금융감독규정 23조의 비상대책에 따라 원격 접속이 필요한 경우 비상시 제한적으로 외부망에서 내부망으로 원격 접속 가능 4. 전산실 내에 위치한 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기와 외부통신망과의 연결구간 망분리 대체 정보보호 통제 기술적 보호조치 메일시스템 보안 메일을 통한 <전산자료> 외부전송 시 정보유출 탐지,차단,사후 모니터링 대책 수립 Network DLP 본문과 첨부파일 포함하여 메일을 통한 악성코드 감염 예방 대책 수립 외부망 보안 외부망을 통해 <전산자료> 외부전송 시 정보유출 탐지, 차단, 사후 모니터링 대책 수립 Network DLP 지능형 해킹(APT)차단 대책 수립 단말기 보안 PC 사용자의 관리자 권한 제거 – 승인된 프로그램만 설치,실행토록 대책 수립 단말기 전산 자료 암호화 저장 Privacy-i 원격접속통제 원격접속 기준 및 절차가 포함된 보안정책 수립 불법 원격접속을 방지하기 위한 사용자인증, 암호화 등의 보안대책을 수립 원격접속은 승인받은 사전 등록자에 한하여 허용하며 원격접속관리기록부를 기록보관 WebKeeper 원격에서 접속하는 외부 단말기와 내부 업무용 시스템 구간의 암호화 통신 원격접속 사용자는 ID,PW 이외에 추가 인증수단을 적용 원격에서 접속하는 외부 단말기의 악성코드 감염 예방 대책 수립적용 원격접속 가능한 내부 업무용시스템의 접근통제 수립적용 원격접속하여 수행한 모든 작업 내역 기록하고 매일 이상여부 점검 실시 및 책임자가 확인 WebKeeper 특정 외부기관의 범위 – 행정안전부, 금융협회, 금융결제원, 예탁결제원, 코스콤, 금융보안원, 공인인증기관 등의 정부 또는 금융 유관기관 – 그 외 업무상 연결이 필요한 전자금융보조업자 내용 19조 IT부문 계획서 제출 ① 금융위에 를 제출해야 하는 금융회사 or 전자금융업자는 <장·단기 IT부문계획> 매년 수립·운용 ② 금융위원장은 금감원장으로 하여금 의 적정성 등을 평가한 후 관련보고서를 제출하게함 19조의2 정보보호 교육계획 수립 시행 ① CPO는 매년 교육계획을 수립·시행 1. 임원 : 3시간 이상(단, CIO는 6시간 이상) 2. 일반직원 : 6시간 이상 3. IT부문업무 담당 직원 : 9시간 이상 4. 정보보호업무 담당 직원 : 12시간 이상 ② CEO는 정보보호교육을 실시한 이후 대상 임직원에 대해 평가를 실시 ③ ①의 교육프로그램 개발과 정보보호교육은 정보보호 전문 교육기관에 위탁할 수 있다. 20조 <정보 처리시스템> 구축 & 전자금융 거래 관련 사업추진 1.영향이 크거나 부서장전결금액 이상의 사업추진시 사전에 타당성검토실시 2. <정보처리시스템> 신규·통합·전환·재개발 등 사업에 대하여 비용대비효과분석 실시 3. 타당성 검토와 비용 대비 효과분석 결과는 전산운영위원회 등 독립적인 조직의 승인 4. <정보처리시스템>의 안전성과 신뢰성을 확보하기 위하여 분석·설계 단계부터 보안대책을 강구 21조 <정보 처리시스템> 구축 & 전자금융 거래 관련 계약 1. 적합한 업체를 공정하게 선정하기 위하여 객관적인 <업체 선정 기준 & 절차>를 마련·운용할 것 2. <정보처리시스템>의 안전성&신뢰성확보를 위해 <업체 선정 기준 & 절차>에 정보보안 포함 3. 공정하고 합리적인 <예정가격 산출 기준>을 수립·적용할 것 4. <계약서 작성 기준>을 수립·운용(계약금액, 구축완료일자, 납품방법 & 대금지급방법 등 ) 5. 구매,개발제품의 소유권, 저작권,지적재산권 등의 귀속관계를 명확히 하여 사후분쟁을 막을 것 6. 납품, 개발이 완료된 SW 등에 대하여 공급업체 파산 등 <비상사태대비대책>을 마련·운용할 것 7. 검수는 개발자, 계약자 등 이해당사자를 배제하여 공정하게 실시할 것 8. 계약 미이행사유가 발생하였거나 계약조항을 변경할 경우에는 검사부서의 승인을 받을 것 9. 내부감사규정에 따라 감사가 정한 금액 이상의 계약에 대하여는 자체감사실시or 검사부서의 승인 22조 <정보 처리시스템> 감리 정보처리 시스템 <감리 지침> 작성·운용 1. 목적 & 대상, 시스템 감리인, 감리시기 & 계획 등 일반기준 2. 기획, 개발 & 운용의 감리 실시 기준 3. 지적사항 & 개선사항 등 감리 후 보고 기준 4. 전자금융업무와 관련된 외부주문 등에 대한 감리 기준 제5절 IT부문 내부통제 발송 | 2018.01 발송제목 | 전자금융거래법고시 전자금융감독규정 내 ‘전자금융거래의 안전성확보 & 이용자보호’규정 제4절. IT부문 (69) 단말기보호(4) 전산자료보호대책(20) <정보처리시스템>보호대책(10) 비중요<정보처리시스템>보호대책(5) 해킹등방지대책(11) 악성코드감염방지대책(4) 공개용웹서버관리대책(10) IP주소관리대책(5) 제2절. 인력조직예산 (8) 인력&조직운용(5) 인력&예산(2) 인력&예산규정 미이행시 공시규정(1) 제3절. 시설 (25) 건물(6) 전원 공조 등 설비(7) 전산실(12) 제5절. IT부문 내부통제 (72) 계획서(2) 교육(3) 계약(9) 감리(4) 비상대책(10) 비상대응훈련(3) 성능관리(1) 직무분리(8) 전산원장통제(5) 거래통제(2) 프로그램통제(10) 일괄작업에 대한 통제(5) 암호프로그램&키관리통제(2) 내부사용자PW관리(3) 이용자PW관리(5) 제6절. 전자금융업무 (18) 전자금융거래(5) 이용자주의사항공지(4) 자체보안성심의(8) 인증방법사용기준(1) 전자금융감독규정 항목보기 긴급상황시 <업무지속성 확보대책> 수립·준수 1. 상황별 대응절차 2. 백업 or 재해복구센터를 활용한 재해복구계획 3. 비상대응조직의 구성 & 운용 4. 입력대행, 수작업 등의 조건 & 절차 5. 모의훈련의 실시 6. 유관기관&관련업체 비상연락체제 구축 7. 보고 & 대외통보의 범위와 절차 ② <업무지속성확보대책>에는 비상사태 대비 안전대책 반영. 1. 파업시 비상지원인력 확보·운영 2. <정보처리시스템> 운영에 대한 <비상지원인력 or 외부 전문업체 활용방안>을 수립·운영 3. 비상지원인력이 업무가능한 수준으로 <전산시스템 운영지침서>, <사용자매뉴얼> 작성 & 유지 4. 담당자 부재시에도 비상지원 인력이 업무를 수행할 수 있도록 비상지원인력에 대한 연수 실시 ③ ①의 규정에 따른 <업무지속성 확보대책>의 실효성·적정성 등을 매년 1회 이상 점검, 최신상태로 유지, 관리 ④ 「국가위기관리기본지침」에 따라 금융위가 지정한 금융회사는 금융위「금융전산분야위기대응실무매뉴얼」에 따라 <위기대응행동매뉴얼>수립·준수, 금융위에 알림 ⑤ 금융위가 별도로 지정하지 아니한 금융회사 or 전자금융업자는 자연 재해, 인적 재해, 기술적 재해, 전자적 침해 등으로 인한 전산시스템의 마비 방지와 신속한 복구를 위한 <비상대책>을 수립·운영 ⑥ <위기대응행동매뉴얼>(④에 따른) or <비상대책>(⑤에 따른)에는 <업무지속성 확보대책>(①에 따른) 반영 ⑦ 중앙처리장치, 데이터저장장치 등 주요 전산장비에 대하여 이중화 or 예비장치 확보 ⑧ 다음 금융회사는 재해복구센터를 주 전산센터와 일정거리 이상 떨어진 안전한 장소에 구축·운용 1. 은행 2.한국산업은행, 중소기업은행, 농협은행, 수산업협동조합중앙회의 신용사업부문 3.투자매매업자·투자중개업자 4.증권금융회사 & 한국예탁결제원 5.거래소 6.신용카드업자 7.보험요율산출기관 8.상호저축은행중앙회 9.신용협동조합중앙회 10.보험회사 제24조 비상 대응훈련 실시 ① <행동매뉴얼><비상대책>에 따라 비상대응훈련 연 1회 실시, 금융위에 결과보고. <재해복구전환훈련>을 포함하여 실시할 수 있다. ② 금융위는 금융회사 or 전자금융업자를 선별하여 <금융분야 합동비상대응훈련>을 실시 ③ 금융위는 <합동비상대응훈련>때, 다음 기관에게 지원요청가능 1.”국가정보원(국가사이버안전센터)” 2.”경찰청(사이버테러대응센터)” 3. 침해사고대응기관 4. 금융위가 필요하다고 인정하는 기관 25조 성능관리 장애예방 & 성능최적화를 위하여 <정보처리시스템> 사용현황 & 추이분석 등을 정기실시 26조 직무의 분리 1. 프로그래머와 오퍼레이터 5. 업무운영자와 내부감사자 2. 응용프로그래머와 시스템프로그래머 6. 내부인력과 전자금융보조업자 & 유지보수업자 등을 포함한 외부인력 3. 시스템보안관리자와 시스템프로그래머 7. IT부문인력과 정보보호인력 4. <전산자료>관리자와 그밖의 업무담당자 8. 그 밖에 내부통제관련 직무분리가 요구되는 경우 제27조 전산 원장 통제 ① 장애 or 오류 등에 의한 전산원장의 변경을 위하여 별도의 변경절차를 수립·운용 ② ①의 포함사항 – 변경대상 & 방법, 변경권한자 지정, 변경 전후내용 자동기록 & 보존, 변경내용의 정당여부에 대한 제3자확인 ③ 대차대조표 등 중요자료의 계상액과 각종 보조부·거래기록· 전산원장파일의 계상액에 대한 상호일치여부를 전산시스템을 통하여 주기적으로 확인 ④ ③확인 결과 불일치가 발견시 원인 & 조치 내용을 <전산자료>의 형태로 5년간 보존 ⑤ 이용자중요원장에 직접 접근, 조회·수정·삭제·삽입하는 경우 작업자 & 작업내용기록을 5년보존 전자금융감독규정 해설서 내용

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2018.01.11 – 전자금융거래법 고시① 적용범위, 4대의의, 개인정보측면의 핵심의미

목록

전자금융거래법고시 전자금융감독규정 2절~6절 <전자금융거래의 안전성확보&이용자 보호규정>① 2016.10월 개정시행 전자금융감독규정 원문보기 2017. 5월 발간 전자금융감독규정 해설서 원문보기 적용대상 <금융회사> <전자금융업자>의 모든 <전자금융거래> 전자금융거래에 사용하는 모든 데이터 <전산자료> <전산자료> 중 중요정보는 개인정보( 특히 고유식별정보, 개인신용정보) 금융회사 전자금융업자 (법적인 정의) 전자화폐, 전자자금이체, 직불전자지급수단, 선불전자지급수단 전자지급결제대행업자 등 전자금융거래와 관련하여 전자금융보조업자의 고의나 과실은 금융회사 or 전자금융업자의 고의나 과실로 본다. 전자금융보조업자 (전자금융거래의 수탁자) (동일한 안전조치 기준 적용) 핀테크, 비트코인 등 금융플랫폼이 혁신되면서 범위 확대 중 <전자금융거래> <금융회사> or <전자금융업자>가 전자적장치로 금융상품제공 이용자가 <금융회사> or <전자금융업자> 종사자와 대면or의사소통 없이 자동화거래 &<전산자료> 보유현황관리 &책임자 지정·운영 중요도에 따라 <전산자료> 정기백업 접근통제 & 접속기록관리 <전산자료> 입력·출력·열람시 접근권한 통제 외부자에게 ID 부여시 최소권한 할당 & 통제장치 ID,PW개인별 부여, <전산자료> 등록·변경·폐기를 체계적관리 전 산 자 료 유출통제 <전산자료> & 전산장비의 반출·반입을 통제 전 산 자 료 가 포 함 된 정 보 시 스 템 <정보처리시스템> 현황파악 <중요단말기>지정, 보호대책강화 단말기에 이용자정보 등 주요정보 보관금지 (불가피할 경우 보관사유, 기간&PW 등을 책임자승인) <정보자산중요도평가기준>수립 →<중요정보처리시스템> 지정 (고유식별정보와 개인신용정보가 있는 경우 <중요정보처리시스템>임) →<중요정보처리시스템> 내역은 정보보호위원회심의를 거쳐 금감원에 제출 DMZ구간내에 이용자정보 등 주요정보 저장 & 관리금지 (거래로그 관리목적시 예외로 하되 반드시 암호화저장) <단말기> <공개용웹서버> <단말기> 접근통제 & 접속기록관리 <정보처리시스템> <유해사이트> 단말기를 통한 이용자정보 조회시 다음을 <정보처리시스템>에 자동기록& 1년이상 보존 사용자, 사용일시, 변경·조회내용, 접속방법 <정보처리시스템> 가동기록은 1년 이상 보존, 접속성공여부와 상관없이 다음 자동기록·유지 1. <정보처리시스템> 접속일시, 접속자 & 접근을 확인할 수 있는 접근기록 2. <전산자료>사용일시, 사용자 & 자료의 내용을 확인할 수 있는 접근기록 3. <정보처리시스템>내 <전산자료>처리내용을 확인할 수 있는 로그인, 액세스로그 등 접근기록 (5회 내에서) 규정이상의 접속오류시 <정보처리시스템> 접속제한 이용자중요원장에 직접 접근/조회/수정/삭제/삽입시 작업자 & 작업내용을 5년보존 유출통제(출력물 매체) 단말기에서 <매체> & 휴대용전산장비 접근을 통제(유출, 악성코드 방지목적) <전산자료> 출력시 접근권한통제 단말기에서 음란, 도박 등 비업무프로그램 or 인터넷접근에 대한 통제대책 마련 내부·외부 IP의 인터넷 접속내용을 1년 이상 별도로 기록·보관 DB, 서버단 엔드포인트 유출경로(네트워크,매체, 출력물) 망 분 리 대 체 단말기 <전산자료> 암호화 저장 PC사용자의 관리자권한 제거, 승인된 프로그램만 설치/실행토록 대책수립 단말기보안강화 메일보안강화 외부망보안강화 원격접속통제 메일을 통한 <전산자료> 외부전송시 정보유출탐지/차단/ 사후모니터링 수립 본문과 첨부파일 포함하여 메일을 통한 악성코드 감염 예방 대책 외부망을 통한 <전산자료> 외부전송시 정보유출탐지/차단/ 사후모니터링 수립 지능형 해킹(APT) 차단대책 수립 원격접속시 모든 작업내역 기록 매일 이상여부 점검 책임자가