프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2019.06 – 중국 데이터 보안 관리 방법(초안) 발표, 중국 내 기업들에 대한 정보 관리 기준 강화

목록

중국 데이터 보안관리 방법 초안발표

중국 내 기업들에 대한 관리기준 강화
중국에 진출한 외국기업들의 내부데이터 보호에 비상

1. 개요
– 글로벌 기업, 영업기밀 보호차원에서 중국 내 데이터 보관부담 가중
– 국가 안보 등의 이유로 중국이 언제든 데이터 제출 요구 가능

2. 주요 내용 요약
– 데이터수집 : 개인정보 수집 및 미용 규칙 공개 / 중요 또는 민감 정보 수집시 소재지 관할 사이버 행정기관에 보고 / 자동화 수단을 이용한 과도한 웹사이트 데이트 수집은 제한

– 데이터 처리 이용: 빅데이터 또는 AI 기술 등으로 정보 생성시 이를 표기하고, 이익추구나 타인에게 손해를 입히는 목적으로 사용되지 않아야 함
– 중국 내 이용자가 중국 내 인터넷사이트를 이용하는 경우 국외로 트래픽이 전송되지 않아야 함.
– 보유중인 데이터자원을 분석 또는 이용하여 시장예측, 통계, 개인/기업신용발표, 국가안보위협, 경제운용, 사회안정을 위협해서는 안되며
타인의 법적권리에 손해를 입히는 목적으로 사용되지 않아야 함 .

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2019.01- 2018년 국내외5대 프라이버시 이슈와 2019년 5대 개인정보보호관련 변화

목록

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2018.01.31 – 17.6.1일 시행 <네트워크 안전법>, 중국에 진출한 국내기업은 어떻게 대응해야하는가?

목록

2017.6.1일 시행 <네트워크 안전법>
중국에 진출한 국내기업은 어떻게 대응해야 하는가?
자국, 해외기업 모두 포함하여
중국에서 생산,수집된 개인정보, 데이터는 중국 내 저장
2018년 12월부터 개인정보, 데이터의 국외반출 제한
위반시 허가취소, 폐쇄, 영업정지, 과징금

다음을 핵심정보 인프라 시설로 규정하여 중점적용

<사이트> 정당 및 정부기관 웹사이트, 기업 및 업체 사이트, 뉴스웹사이트 등
<네트워크서비스플랫폼> 실시간통신, 온라인쇼핑 및 결제, 검색엔진, 전자메일, 포럼, 지도, 오디오 및 비디오 등 서비스
<생산비즈니스> 사무와 업무시스템, 산업제어시스템, 대형데이터센터, 클라우드컴퓨팅플랫폼, 텔레비전 전파시스템 등
<정보네트워크> 정보통신망, 방송, 인터넷망 등 정보네트워크 및 클라우드컴퓨팅, 빅데이터와 기타 대형공공정보네트워크
서비스를 제공하는 기관 (출처:핵심정보 인프라시설 안전보호조례 의견수렴안, 국가 네트워크 보안검사 운영지침)

<네트워크 안전법> 적용정보

– 개인정보 및 중요정보도 처리대상
– 네트워크상의 불법정보처리를 막기 위한
법이므로 수기로 기록된 정보는 규제하지 않음

중요정보 – 핵시설, 화학바이오, 국방군사공업, 인구건강분야 정보
– 대형프로젝트, 해양환경관련 민감한 지리정보
– <핵심정보 인프라시설>의 네트워크 안전정보
(출처: 개인정보 및 중요데이터 안전평가방법 수렴방안)

중국에 진출한 국내기업이 직면한 2 대 RISK

1. RISK 안전평가 및 수사 협조 과정에서 영업비밀 침해 RISK
2 허가취소, 폐쇄, 영업정지, 업무정지의 RISK

1. <핵심정보 인프라시설>일 경우
중요정보 및 개인정보 국외 이전시 연 1회 안전평가를 받아야 함
위반시
허가취소, 홈페이지폐쇄
관련업무정지, 과징금

보안심사를 통과한 네트워크 상품, 서비스만 이용해야 함 위반시
관련업무정지, 과징금

1. 구매자와 제공자 사이에 보안 및 비밀유지의 의무 범위, 책임사항을 명확히 해야 함
2. 국가안보에 영향을 미칠 가능성이 있는 경우 <국가 안보심사를> 거쳐야 함

2. <네트워크운영자(네트워크 소유/관리/제공자)>일 경우
사용자의 실명을 요구하지 않거나 실명을 사용하지 않은 사용자에게 서비스를 제공한 경우
위반시
홈페이지폐쇄
관련업무정지, 과징금
네트워크사용자에게 실명가입 요청 의무
네트워크접속 및 도메인등록, 집전화/휴대폰 등록, 사용자를 위한 안내서비스 등 에서
네트워크사용자에게 실제 신분정보를 요구해야함 , 사용자가 거부시 서비스제공 금지
<금지정보>전송을 확인했으나 적절한 조치를 취하지 않고 관련기록을 보관하지 않은 경우
위반시 영업중지, 관련업무정지, 과징금

3. <네트워크운영자> or <네트워크제품 및 서비스제공자>일 경우
개인정보 보호의무(41조)
(비식별화정보는 예외)
개인정보 수집/사용시 합법성, 정당성, 필요성의 원칙 준수
공개수집·사용 원칙에 따라 정보수집 및 사용 목적과 방식과 범위 명시하여
정보주체의 동의 획득
서비스와 무관한 개인정보를 수집하지 않아야 함
정보주체의
삭제권, 수정권 보장 (43조)
법규나 계약을 위반하여 개인정보 수집 및 사용시 정보주체는 개인정보 삭제 요구가능
정보에 오류가 있는 경우에는 수정 요구 가능
위반시 허가취소,
영업중지 ,
관련업무정지,
홈페이지폐쇄,
과징금

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2017.10.12 – GDPR. 전 유럽연합에 적용되는 개인정보보호법. 핵심은 개인정보의 보호와 활용의 <균형>

목록

[Privacy Report]
GDPR. 전 유럽연합에 적용되는 개인정보보호법. 핵심은 개인정보의 보호와 활용의 <균형>
Ⅰ. Intro
1. 유럽연합 28개국 대상. 23년만의 변화. GDPR
General Data Protection Regulation의 약자로
유럽연합 28개국에 적용되는 강화된 개인정보보호법.
1995년 제정되어 23년간 이어져온 유럽연합 개인정보보호지침을 대체
2. EU 거주자에게 제품 or 서비스 제공시 GDPR 적용대상
·EU내 법인이 설립되어 있는 경우 적용
·(EU에 법인이 없어도) 거주자에게 제품이나 서비스를 하는 경우 적용
·EU 거주자의 행동을 모니터링하는 경우 적용
3. 핵심은 개인정보보호와 활용의 균형
·개인정보의 활용과 자유로운 이동 과학기술발전 및 활용에 개방적
Ⅱ. Subject
1. 어떤 정보가 GDPR의 주된 보호대상인가?
1) 신기술을 반영하는 정보와 유전자정보, 건강관련정보에 Focus
2) GDPR 보호대상은 <자동화,구조화된 정보>
3) 가장 중요한 보호대상은 <프로파일링>: 프로파일링의 조건 → ① 평가와 예측목적 ② 인적개입 없이 자동화처리
2. GDPR의 핵심은 개인정보보호와 활용의 균형
1) 개인정보의 보호측면:
① 프로파일링: 온라인상 자취를 다른 정보와 결합하여 인간자체를 정의하는 프로파일링을 최초로 규제.
향후 사물인터넷 시대의 정보유출을 대비
② Privacy By Design: 초기부터 전체 라이프 사이클에 걸쳐 개인정보를 보호받을 수 있음
③ 정보주체의 권리강화: 삭제권으로 잊혀질 권리를 명시.
개인정보 이동권으로 구조화된 개인정보를 경쟁사에 직접 전송해야하는 상황도 가능.
2) 개인정보의 활용측면:
① 프로파일링: 핵심보호대상인 프로파일링 DB 및 연계시스템에 보안리소스 집중가능
② Privacy By Design: 가명화 처리를 하면 활용범위가 높아짐
③ 가명처리: 추가정보 없이는 식별할 수 없게 처리하는 것으로 추가정보는 분리보관하고
기술적/조직적 조치를 취해야 함
GDPR 더 자세히 알아보기 http://www.webkeeper.so/news/20171011_gdpr.html
#GDPR #소만사 #프라이버시리포트 #유럽개인정보보호법

프라이버시 리포트

프라이버시 리포트는 개인정보법제의 태동기인 2011년부터 지금까지 국내 2만여 보안담당자 대상으로
약 400회 발간, 총 8백만통의 개인정보소식을 전달한 국내유일 개인정보법제 분석리포트 입니다

프라이버시 리포트

2017.08.21- NYCRR 500 미금융 데이터중심 보안체계 강화

목록

금융서비스업규제인Title 23 Financial Service의NYCRR 500 은뉴욕금융서비스국(NY Department of Financial Services)장이공포한규정으로2017년3월1일시행, 뉴욕주의모든금융기관에적용되는사이버보안규정

기존의금융IT보안규제와달리데이터중심보안체계구축을위한조항(유출통제, 파기,접근통제, 암호화등)들이포함되어있어그동안정보보안투자대부분을차지해온네트워크보안과달리데이터및데이터가포함된정보시스템보안을강조

전세계금융의메카인뉴욕에적용, 전세계금융기관의향후보안전략수립에새로운영향을끼칠것으로예상

Nonpublic Information (NPI): 비공개정보-개인정보(Personal Information) 보다더광범위

NPI를주기적으로안전하게파기(500.13):사업상에필요한기간이지나거나,법규정에의해보유하여야하는경우를제외하고NPI는주기적으로안전하게파기하여야함

NPI 접근기록무단조회, 유출통제구축(500.14):인가된사용자의활동에대한모니터링뿐만아니라비인가자의NPI무단접근을탐지하기위한정책, 절차수립, 통제구축

보유NPI 암호화, 전송NPI 암호화, 불가한경우대체방안수립(500.15):보유또는전송하는NPI의보호를위한암호화조치필요외부네트워크를통해전송또는보유대기중인NPI의암호화가불가능할경우CISO 승인하에보호가능한대체방안수립이가능

접근권한통제(500.07): NPI에접근가능한정보시스템접근권한을설정하고주기적으로접근권한검토

외부접근에대한인증방법강화(500.12):NPI 또는정보시스템에비인가접근방지를위해다중요소인증또는위험기반인증필요외부네트워크에서내부네트워크로접속하는모든사용자에는다중요소인증필수

제3자서비스제공자(Third Party Service Provider)관리필수(500.11): 제3자서비스제공자가접근, 보유할수있는정보시스템및NPI의보안을위해정책및절차를마련.여기에는제3자서비스제공자식별, 위험평가, 최소보안요구사항이행에대한내용과NPI 및정보시스템접속시다중요소인증, 전송시암호화, NPI 및정보시스템에영향을줄수있는사건보고등이포함되어야함

응용프로그램보안(500.08):사내에서안전한응용프로그램개발을위한절차, 가이드라인, 표준등을마련.외부에서개발된응용프로그램에대한보안평가, 테스트절차를마련해야함

위험평가(500.05):정보시스템에대해주기적으로위험평가를수행, 위험요소를도출하고이를완화시킬수있는요구사항마련

보안사고/이벤트기록유지(500.06): 금융거래내역최소5년이상, 사이버보안사건(Event)은최소3년이상보관,감사기록을안전하게보관할수있는시스템필요

분류
항목
NYCRR 500
신용정보법
일반
적용시기
2017년3월시행
2016년10월개정(법)시행
적용대상
뉴욕주의금융기관
대한민국내신용정보를이용·제공하는금융기관,신용정보회사, 신용정보집중기관
보호대상데이터
NPI (비공개정보): 개인정보(PII, 바이오정보포함),금융정보, 사업기밀, 건강정보등
신용정보, 개인신용정보(개인정보포함)
주요특징
NPI 데이터중심의보호조치
기존금융기관이적용받던개인정보보호법, 망법등유사규제를신용정보법으로일원화
제3자제공업체관리감독기준강화
응용프로그램의보호
형사처벌및징계에대한수위가높음
NPI데이터암호화혹은암호화에준하는보호조치인정
위반시징계
미국의특성상유출사고발생시집단소송으로충분히기관을징계할수있기에, 과징금, 형사처벌등에대한규정이없음
과태료,과징금, 형사처벌,업무정지등
기술적보호조치
데이터보유제한
NPI자산식별, 보유기간통제, 파기강제
신용정보자산식별, 보유기간통제, 파기
데이터암호화
NPI저장및전송시암호화불가피할경우에는대체수단강구
개인신용정보암호화보관,전송시암호화송수신
데이터모니터링
NPI 접근통제, 과다조회및유출통제를위한모니터링강화
개인신용정보신용정보유출통제, 과다조회통제를위한모니터링강화(출력, 복사, 보조저장매체,이메일등)
응용프로그램보안
사내개발, 외부개발응용프로그램에대한보호조치
상대적으로강조가덜되어있음
인증
다중요소인증등강화된인증(외부에서내부접속시필수)
(감독규정*) 중요정보처리시스템접근시ID/PW 이외의추가인증(2-Factor)
접근통제
NPI접속시접근통제강화,접근권한주기적검토
주요데이터접속시접근통제강화,접근권한최소화및주기적검토

항목
기술적보호조치
소만사대응솔루션
Data Asset Assessment(NPI식별과파기)
PC, DBMS, Server, Cloud에서의[NPI] 식별및보유기간경과데이터파기
Privacy-i,Server-i
AccessControl(NPI 접근통제)
[NPI] 접근통제, 과다조회통제, 접속기록관리, 조회시스템
DB-i,WAS-i, App-i
Monitoring/ DLP(NPI 유출통제)
[NPI] USB Copy, 출력, 인터넷, 웹메일, Monitoring 및유출통제
[EndpointDLP] Privacy-i[Network DLP] Mail-i
Encryption(NPI 암호화)
PC, DBMS, Server, Cloud 에서[NPI]식별및암호화
Privacy-i,Server-i
Authentication(NPI접근시인증)
(외부) Application 등을통해[NPI] 를포함한정보시스템접속시Multi-Factor인증
8

500.02
사이버보안프로그램
위험평가(Risk Assessment)를통해해당기관정보시스템(IS)의기밀성, 무결성, 가용성을보장하는보안프로그램확립
500.03
사이버보안정책
기관이보유하고있는비공개정보(NPI) 및정보시스템보호를위한정책수립
500.04
정보보호책임자임명및역할
사이버보안프로그램/정책을주도할자격을갖춘CISO 임명, 역할이행
500.05
모의침투테스트및취약성평가
위험평가에서도출된위험요소를기반으로연간모의침투테스트실시, 2년마다취약성평가실시
500.06
감사추적
금융거래내역최소5년이상,사이버보안사건(Event)은최소3년이상보관
500.07
접근권한
NPI에접근가능한정보시스템접근권한설정, 주기적으로접근권한검토
500.08
응용프로그램보안
사내에서안전한응용프로그램개발을위한절차, 지침등마련,보안평가등
500.09
위험평가
절차에따라주기적위험평가수행(NPI,정보시스템변경시등)
500.10
사이버보안요원및지능
사이버보안위험에대응할수있는보안전문인력확보, 위험대응교육제공
500.11
제3자서비스제공자보안정책
제3자서비스제공자가접근, 보유하고있는정보시스템및NPI의보호를위한정책및절차수립(식별, 위험평가, NPI 전송시암호화등)
500.12
다중요소인증
NPI또는정보시스템비인가접근통제를위한다중요소/위험기반인증도입,외부에서내부네트워크접근시필수(CISO가동등한기술조치시대체가능)
500.13
데이터보유제한
불필요한NPI를주기적으로파기할의무
500.14
교육과모니터링
인가된사용자활동감시및비인가자의NPI무단접근에대한내부통제구축,보안의식제고를위한임직원교육
500.15
비공개정보암호화
기관에서보유또는전송하는NPI에대해암호화조치
500.16
침해사고대응계획
침해사고에서대응및신속한복구를위한계획수립
500.17
감독기관보고
보안사건발생시72간내감독기관신고, 규정컴플라이언스여부연간보고