정보보호 안전진단에 대해 정리해봅니다.
KISA 에 가시면 정보보호 안전진단에 관한 문서를 다운로드 하실 수 있습니다.
<< 정보보호 안전진단 해설서>>
<< 정보보호 안전진단 해설서>>
1. 제도 도입배경
2003. 1. 25 인터넷 대란에서 나타난 ISP, 쇼핑몰 등의 낮은 보안수준이 사회적 문제 되었었습니다. 이때문에 인터넷을 기반으로 한 정보통신서비스의 정보보호 수준을 강화하여 안전한 이용 기반을 조성하고자 정보통신망의 정보보호 안전진단 제도를 도입
2. 안전진단 개념
정보보호 안전진단 제도는 주요정보통신서비스제공자(ISP), 집적정보통신시설사업자(IDC), 쇼핑몰 등의 정보통신망에 대한 침해사고 예방을 위하여 관리적ㆍ기술적ㆍ물리적 정보보호지침(안전진단기준)를 이행하고, 안전진단수행기관으로부터 안전진단을 받음으로써 정보통신망 및 정보통신서비스에 대한 안정성 및 신뢰성 을 확보하기 위한 제도입니다.
▶근거 : 정보통신망 이용 촉진 및 정보보호 등에 관한 법률
– 제45조(정보통신망 안정성 확보 등)
-제46조의 3(정보보호 안전진단)
-제46조의 3(정보보호 안전진단)
3. 추진경과
2003. 3 : 정보보호 안전진단 대통령 보고
2004. 1 : 『정보통신망 이용촉진 정보 보호 등에 관한 법률』개정(안전진단 법제화)
2004. 7 : 하위법령 공포
2004. 10 : 정보보호 조치 및 안전진단 방법•절차•수수료에 관한 지침 고시
4. 안전진단대상자
1) 주요정보통신서비스제공자
1) 주요정보통신서비스제공자
2) 전국적으로 정보통신망 접속서비스를 제공하는 자
-인터넷접속서비스제공자
-전기통신회선설비 및 네트워크 서비스 제공자 등
3) 집적정보통신시설사업자
-타인의 정보통신서비스제공을 위하여 집적된 정보통신시설을 운영ㆍ관리하는 사업자를 말하며, 예를 들면 다음과 같은 집적정보통신시설사업자를 의미한다.
-네트워크 제공 서비스, 서버임대(서버호스팅) 또는 공간임대서비스(Co-location) 등을 제공하는 자 (자사를 제외한 그룹 계열사 지원 포함)
-집적정보통신시설을 임차한 집적정보통신시설사업자(재판매사업자 (VIDC)) 등
5. 안전진단대상자
1) 주요정보통신서비스제공자
1) 주요정보통신서비스제공자
2) 전국적으로 정보통신망 접속서비스를 제공하는 자
-인터넷접속서비스제공자
-전기통신회선설비 및 네트워크 서비스 제공자 등3) 집적정보통신시설사업자
-타인의 정보통신서비스제공을 위하여 집적된 정보통신시설을 운영ㆍ관리하는 사업자를 말하며, 예를 들면 다음과 같은 집적정보통신시설사업자를 의미한다.
-네트워크 제공 서비스, 서버임대(서버호스팅) 또는 공간임대서비스(Co-location) 등을 제공하는 자 (자사를 제외한 그룹 계열사 지원 포함)
-집적정보통신시설을 임차한 집적정보통신시설사업자(재판매사업자 (VIDC)) 등
4) 전년도 매출액의 정보통신서비스 부문 연간 매출액이 100억 이상이거나
5) 전년도 말 이전 3개월간의 평균 1일 이용자수가 100만명 이상인 정보통신서비스제공자
6) 단 주요정보통신서비스제공자는 매출액, 일평균 이용자 수와 무관
7) 정보통신서비스제공자의 예
-네트워크서비스(회선임대포함), 포털, 쇼핑몰, 교육, 게임,
-예약, 음악, 신문/방송, 전자문서교환, 신용카드조회/지불중계 등의 서비스제공자
6. 안전진단 시행주체
1) 정보통신망이용촉진및정보보호등에관한법률 제46조의3제1항에 의한 안전진단수행기관
-15인 이상의 정보보호 기술인력을 보유
-최근 3년 이내 정보보호 컨설팅을 수행한 실적이 있는 법인으로 방통위가 인정한 자
2) 안전진단수행기관 지정현황
-2010년 1월 기준 총 20개 업체
-넷시큐어테크놀러지, 딜로이트 안진회계법인, 롯데정보통신, 시큐야이닷컴, 씨에이에스, 안철수연구소, STG시큐리티, 에이스리씨큐리티, 언스트앤영 어드바이저리, 인코딩패스, 이글루시큐리티, 인젠, 인젠시큐리티서비스, 인포섹, 정보보호기술, 케이씨씨시큐리티, KT, 한국IT감리컨설팅, 한국전산감리원, 한국통신인터넷기술
7. 안전진단 대상설비 및 시설 선정
1) 진단대상
-인터넷 또는 외부와 연결되는 정보통신 설비 및 설비 운영 관련 시설
2) 정보통신 설비
-서버 : DNS, DHCP, DB, 공개, 관리, 응용, 로그 서버 등
-네트워크 장비 : 라우터, 스위치 등
-정보보호시스템 : Firewall, IDS 등3) 정보통신 시설
-전산시설 : 전산실, 네트워크 운영센터, 기지국 등
8. 정보보호 조치
1) 정보보호 조치(망법 제45조)
1) 정보보호 조치(망법 제45조)
(1)정당한 권한 없는 자의 정보통신망에의 접근과 침입을 방지하거나 대응하기 위한 정보보호시스템의 설치
(2)정보의 불법 유출•변조 •삭제 등을 방지하기 위한 기술적 보호조치
(3)정보통신망의 지속적인 이용이 가능한 상태를 확보하기 위한 기술적•물리적 보호조치
(4)정보통신망의 안정 및 정보보호를 위한 인력 •조직 •경비의 확보 및 관련계획 수립 등 관리적 보호조치
2) IDC 보호조치(망법 제37조)
(1)정보통신 시설에 대한 접근권한이 없는 자의 접근통제 및 감시를 위한 기술적 •관리적 조치
(2)정보통신 시설의 지속적•안정적 운영을 확보하고 화재•지진•수해 등의 각종 재해와 테러 등의 각종 위협으로부터 정보통신 시설을 보호하기 위한 물리적•기술적 조치
(3)정보통신 시설의 안정적 관리를 위한 관리인원 선발 •배치 등의 조치
(4)정보통신 시설의 안정적 운영을 위한 내부관리계획의 수립 및 시행
(5)침해사고의 확산을 차단하기 위한 기술적•관리적 조치의 마련 및 시행
3) 『정보보호조치』의 구성(48항목)
(1)관리적 보호조치(21항목)
-정보보호 조직의 구성•운영(5항목)
-정보보호계획 등의 수립 및 관리(6항목)
-인적보안(5항목)
-이용자 보호(1항목)
-침해사고 대응(1항목)
-정보보호 조치점검(1항목)
-정보자산 관리(2항목)
(2)기술적 보호조치(24 항목)
-네트워크 보안(3항목)
-정보통신설비보안(21항목)
(3)물리적 보호조치(3)
-출입 및 접근보안(2항목)
-부대설비 및 시설 운영•관리(1항목)
9. 안전진단방법
서면검사
(1차)정보보호지침(법제45조제2항)의 이행여부를 서면상으로 확인 가능한 사항에 대하여 관련 서류 및 증적 자료를 토대로 검사현장검사
(2차) 취약점 점검 및 보완조치 동작여부 등 정보보호지침 이행여부를 확인하기 위하여 취약점 점검, 모의해킹 등의 방법으로 검사
10. 안전진단 절차
(1)안전진단 시행안내(방통위)
(2)안전진단 계획 수립 및 보호조치 이행(대상자)
(3)안전진단 계약체결(대상자, 수행기관)
(4)안전진단 실시(수행기관)
(5)안전진단 결과 통보 및 제출(수행기관→대상자→방통위)
(6)개선권고 및 이행확인(수행기관→대상자)
(7)개선권고 내용 및 결과제출(수행기관→방통위)
(8)안전진단 결과검토 및 개선명령(방통위)
(9)개선명령 이행확인 및 과태료 부과(방통위)
2011. 정보보호 시니어 컨설턴트 교육중에 정리…