KISA의 정보보호 안내서,해설서를 한눈에 보세요

KISA 홈페이지에 오시면 정보보호 관련 안내서와 해설서를 한눈에 볼 수가 있답니다.  그 동안 안내서와 해설서를 찾기 위해 열심히 구글 검색을 했었는데 페이스북 [보안인] 그룹에서 어느 분이 알려주신 덕분에  알게 되었습니다.  제가 찾던 문서는 정보통신서비스 제공자등을 위한 외부 인터넷망 차단조치 안내서였는데  한참 찾았었거든요.  ^^    다음부턴  헤매지 않겠네요   
  KISA 홈페이지: http://www.kisa.or.kr/
웹페이지 위치는  [자료실/관련 법령 메뉴/ 안내서ㆍ해설서]  입니다. 

■ 정보보호 관련 안내서ㆍ 해설서 페이지  << http://www.kisa.or.kr/public/laws/laws3.jsp >>

image

법령, 시행령, 시행규칙 3단 비교하기

   어제는 국가법령정보센터에서 법령,시행령,시행규칙을 PDF로 출력하는 방법에 대해 포스팅했었습니다 .오늘은 법령,시행령,시행규칙을 3단 비교하는 방법 및  비교내용을 파일로 저장하는 방법을 소개해드리려고 합니다.  최신 법령등을 PDF로 저장하는 방법은  다음 URL을 참고하세요.
 <<  정보보호에 관한 관련 법규 출력하기  >>  

■  법령, 시행령, 시행규칙의 차이
먼저  법령, 시행령, 시행규칙의 차이를 알아야겠죠?   이 세가지는 모두 법적 구속력을 가집니다.  법령을 출력하실 때  꼭 세가지를 모두 확인하셔야 합니다.

법령: 국회에서 제정, 법률은 모든 내용을 구체적으로 명시하는데 어려움이 있고 현실적인 집행을 하는데 한계가 있기에 법률에서는 원칙적인 사항이나 반드시 준수되어야할 사항을 명기하고 나머지는 시행령이나 규칙에서 규정하도록 하는 유보조항을 두고 있습니다.  "~한 사항은 대통령령으로 정한다"이런 식으로 하위법인 명령에 그 세부사항을 적시하도록 위임하고 있지요
시행령: 법률이 있을 때 해당 법률의 시행하기 위한 상세한 내역을 규율하는  명령으로써 대통령령으로서 제정됩니다. 
시행규칙: 시행령이 있을 때 그에 대한 상세한 내역을 규율하기 위한 것입니다. 실제 시행과 관련된 행정부서에서 제정됩니다.

먼저 국가법령정보센터 사이트에 가셔야 합니다.
■ 국가법령정보센터 사이트: http://law.go.kr

image

법률검색을 하시면 나오는 화면에서  중앙에 보이는 [3단 비교] 버튼을 클릭하세요
image

■ 3단 비교하기 및  비교내용 파일로 저장하기
그러면 3단비교(법률기준) 창이 새로 뜨게 됩니다.  여기서는 법률기준으로 해당하는 시행령과 시행규칙을 같은 라인에 함께 비교해주므로  한눈에 법률, 시행령, 시행규칙의 세부내역을 확인하실 수 있어서 매우 편리합니다. 역시 여기서도 파일로 내보내기를 지원합니다.   HWP, 엑셀, HTML 파일로 내보내기를 하실 수 있습니다. 
 image

도움이 되셨나요?   무슨 법이든  법률, 시행령, 시행규칙을 함께 확인하시는거 잊지마세요 ^^

정보보호에 관한 관련 법규 출력하기

  국가법령정보센터 싸이트에 가시면 최신 정보보호 관련 법규를 확인하실 수 있습니다.  이 사이트에서는 최신 법령을 쉽게 검색할 수 있을 뿐 아니라   조회중인 법령을 PDF나 문서파일로 저장할 수 있으며  즉시 프린트도 가능합니다. 

■ 국가법령정보센터 사이트: http://law.go.kr

image

  오늘 국가법령정보 사이트에서 정통망법과 개인정보보호법을  PDF파일로 내려 받아  소책자를 만들어 보았습니다. ^^   항상 최신 법령자료들을 쉽게 다운로드할 수 있어서 참 좋은 것 같습니다.  바로 웹페이지에서 프린트도 가능합니다만  보관 및 좀더 깔끔한 인쇄를 위해서 PDF파일로 내려받는 것을 추천합니다. ^^

image

■  정보보호 관련 법규 리스트

– 정통망법 (정보통신망 이용촉진 및 정보보호 등에 관한 법률), 시행령, 시행규칙  <<보기>>  
– 개인정보보호 법, 시행령, 시행규칙 <<보기>> 
– 부정경쟁방지 및 영업비밀보호에 관한 법률, 시행령  <<보기>>  

■  정보보호 관련 법규 PDF로 만드는 방법

1. 국가법령센터에서  법령을 검색한 후 나오는 법령을 더블클릭합니다.
image

2. 출력하기 원하는 법령을 클릭한 후 오른쪽 상단의   디스켓 모양 image 버튼을 클릭합니다.
image

3. 출력하기 원하는 문서 포맷으로 지정하고  저장버튼을 클릭합니다. (HWP, PDF, DOC 세가지 옵션)

image

image

4. PDF로 저장된  법령을 확인하세요

image

개인정보보호법, 최소한 지켜야할 10가지 !!!

3월말부로 개인정보보호법의 계도기간이 종료됩니다. 계도기간이 끝나고나서  개인정보보호법을 위반이 드러나면 처벌을 받게 되지만 아직 개인정보보호법에 대비하여 준비가 되지 않은 회사가 매우 많은 상황입니다.

모든 개인정보보호법 항목을 준비하기 어렵다면  71조 6가지, 72조 3가지, 73조 3가지 총 12개 조항에 대해서는 꼭 대비하여 형사처벌 받는 일이 없도록 해야겠습니다.   개인정보보호법 71조, 72조, 73조는 개인정보보호법을 정보주체 동의 없이 이용하거나 제3자에게 부정한 방법으로 제공하는 경우, 기한이 지난 개인정보를 조치 없이 계속 이용하는 경우 등에 해당합니다. 위반 시 최고 5년 이하 징역형 또는 5000만원 이하 벌금형을 받습니다.

 

▶ 개인정보보호법 대비한  최소한도의 준수항목 10가지 (12개조항 포함)

1. 정보주체 동의 없이 개인정보를 제3자에게 제공하지 말 것
2. 영리 또는 부정한 목적과 수단으로 개인정보를 취득하지 말 것
3. 사생활 침해 우려 정보를 다루지 말 것
4. 동의 없이 고유식별정보를 다루지 말 것
5. 업무상 알게 된 개인정보를 누설하지 말 것
6. 타인 개인정보를 훼손, 멸실, 유출하지 말 것
7. 영상정보처리기기를 설치목적에 맞게 사용할 것
8. 안전성 확보 조치 없이 개인정보를 분실, 도난, 유출하지 말 것
9. 정정, 삭제에 필요한 조치 없이 개인정보를 계속 이용하지 말 것
10. 개인정보처리 정지요구를 무시하고 계속 이용하거나 제3자에게 제공하지 말 것

 

▶ 관련 전문가 의견

“방대한 개인정보보호법 전체 조항을 분석하고 대비할 수 없다면 최소한 12가지만 기억하라. 형사처벌이라는 가장 무거운 벌칙을 피하기 위해 71~73조 12가지만이라도 숙지하라. 개인정보보호법은 양벌규정이라 개인정보보호법을 위반하면 개인과 법인 양쪽으로 벌금이 부과되므로 더욱 철저한 대비가 필요하다”  – 구태언 행복마루 변호사

“최근 사업 현장을 둘러보면 전체 350만 사업자의 90% 이상을 차지하는 중소·중견기업의 문제가 심각하다. 유예 기간이 끝났기 때문에 이제 사업자의 책임이며, 사업주가 법을 위반하지 않도록 적극적으로 행동에 나서야 할 시점이다”   -이경호 고려대 정보보호 대학원 교수

 

▶ 개인정보보호법 위반 시 형사처벌 조항 12가지

 

원문참조: http://www.etnews.com/news/computing/security/2571860_1477.html

정보보호 안전진단이란

정보보호 안전진단에 대해 정리해봅니다. 
KISA 에 가시면 정보보호 안전진단에 관한 문서를 다운로드 하실 수 있습니다. 
<< 정보보호 안전진단 해설서>>
1. 제도 도입배경
  2003. 1. 25 인터넷 대란에서 나타난 ISP, 쇼핑몰 등의 낮은 보안수준이 사회적 문제 되었었습니다.    이때문에 인터넷을 기반으로 한 정보통신서비스의 정보보호 수준을 강화하여 안전한 이용 기반을 조성하고자 정보통신망의 정보보호 안전진단 제도를 도입
2. 안전진단 개념
  정보보호 안전진단 제도는 주요정보통신서비스제공자(ISP), 집적정보통신시설사업자(IDC), 쇼핑몰 등의 정보통신망에 대한 침해사고 예방을 위하여 관리적ㆍ기술적ㆍ물리적 정보보호지침(안전진단기준)를 이행하고, 안전진단수행기관으로부터 안전진단을 받음으로써 정보통신망 및 정보통신서비스에 대한 안정성 및 신뢰성 을 확보하기 위한 제도입니다.  
▶근거 : 정보통신망 이용 촉진 및 정보보호 등에 관한 법률
   – 제45조(정보통신망 안정성 확보 등)   
   -제46조의 3(정보보호 안전진단) 
3. 추진경과
2003. 3 :    정보보호 안전진단 대통령 보고
2004. 1 :  『정보통신망 이용촉진 정보 보호 등에 관한 법률』개정(안전진단 법제화)
2004. 7 :   하위법령 공포
2004. 10 : 정보보호 조치 및 안전진단 방법•절차•수수료에 관한 지침 고시
4. 안전진단대상자
1) 주요정보통신서비스제공자
2) 전국적으로 정보통신망 접속서비스를 제공하는 자 
  -인터넷접속서비스제공자 
  -전기통신회선설비 및 네트워크 서비스 제공자 등
3) 집적정보통신시설사업자  
  -타인의 정보통신서비스제공을 위하여 집적된 정보통신시설을 운영ㆍ관리하는 사업자를 말하며, 예를 들면 다음과 같은 집적정보통신시설사업자를 의미한다. 
  -네트워크 제공 서비스, 서버임대(서버호스팅) 또는 공간임대서비스(Co-location) 등을 제공하는 자 (자사를 제외한 그룹 계열사 지원 포함) 
  -집적정보통신시설을 임차한 집적정보통신시설사업자(재판매사업자 (VIDC)) 등
5. 안전진단대상자
1) 주요정보통신서비스제공자
2) 전국적으로 정보통신망 접속서비스를 제공하는 자 
  -인터넷접속서비스제공자 
  -전기통신회선설비 및 네트워크 서비스 제공자 등3) 집적정보통신시설사업자  
  -타인의 정보통신서비스제공을 위하여 집적된 정보통신시설을 운영ㆍ관리하는 사업자를 말하며, 예를 들면 다음과 같은 집적정보통신시설사업자를 의미한다. 
  -네트워크 제공 서비스, 서버임대(서버호스팅) 또는 공간임대서비스(Co-location) 등을 제공하는 자 (자사를 제외한 그룹 계열사 지원 포함) 
  -집적정보통신시설을 임차한 집적정보통신시설사업자(재판매사업자 (VIDC)) 등
4) 전년도 매출액의 정보통신서비스 부문 연간 매출액이 100억 이상이거나 
5) 전년도 말 이전 3개월간의 평균 1일 이용자수가 100만명 이상인 정보통신서비스제공자
6) 단 주요정보통신서비스제공자는 매출액, 일평균 이용자 수와 무관
7) 정보통신서비스제공자의 예 
  -네트워크서비스(회선임대포함), 포털, 쇼핑몰, 교육, 게임, 
  -예약, 음악, 신문/방송, 전자문서교환, 신용카드조회/지불중계 등의 서비스제공자
6. 안전진단 시행주체
1) 정보통신망이용촉진및정보보호등에관한법률 제46조의3제1항에 의한 안전진단수행기관 
  -15인 이상의 정보보호 기술인력을 보유 
  -최근 3년 이내 정보보호 컨설팅을 수행한 실적이 있는 법인으로 방통위가 인정한 자
2) 안전진단수행기관 지정현황 
  -2010년 1월 기준 총 20개 업체  
  -넷시큐어테크놀러지, 딜로이트 안진회계법인, 롯데정보통신, 시큐야이닷컴, 씨에이에스, 안철수연구소, STG시큐리티, 에이스리씨큐리티, 언스트앤영 어드바이저리, 인코딩패스, 이글루시큐리티, 인젠, 인젠시큐리티서비스, 인포섹, 정보보호기술, 케이씨씨시큐리티, KT, 한국IT감리컨설팅, 한국전산감리원, 한국통신인터넷기술
7. 안전진단 대상설비 및 시설 선정
1) 진단대상 
  -인터넷 또는 외부와 연결되는  정보통신 설비 및 설비 운영 관련 시설
2) 정보통신 설비 
  -서버 : DNS, DHCP, DB, 공개, 관리, 응용, 로그 서버 등 
  -네트워크 장비 : 라우터, 스위치 등 
  -정보보호시스템 : Firewall, IDS 등3) 정보통신 시설  
-전산시설 : 전산실, 네트워크 운영센터, 기지국 등 
 
8. 정보보호 조치
1) 정보보호 조치(망법 제45조) 
  (1)정당한 권한 없는 자의 정보통신망에의 접근과 침입을 방지하거나 대응하기 위한 정보보호시스템의 설치 
  (2)정보의 불법 유출•변조 •삭제 등을 방지하기 위한 기술적 보호조치 
  (3)정보통신망의 지속적인 이용이 가능한 상태를 확보하기 위한 기술적•물리적 보호조치
  (4)정보통신망의 안정 및 정보보호를 위한 인력 •조직 •경비의 확보 및 관련계획 수립 등 관리적 보호조치 
2) IDC 보호조치(망법 제37조) 
  (1)정보통신 시설에 대한 접근권한이 없는 자의 접근통제 및 감시를 위한 기술적 •관리적  조치 
  (2)정보통신 시설의 지속적•안정적 운영을 확보하고 화재•지진•수해 등의 각종 재해와 테러 등의 각종 위협으로부터 정보통신 시설을 보호하기 위한 물리적•기술적 조치 
  (3)정보통신 시설의 안정적 관리를 위한 관리인원 선발 •배치 등의 조치  
  (4)정보통신 시설의 안정적 운영을 위한 내부관리계획의 수립 및 시행 
  (5)침해사고의 확산을 차단하기 위한 기술적•관리적 조치의 마련 및 시행  
3) 『정보보호조치』의 구성(48항목) 
(1)관리적 보호조치(21항목)   
  -정보보호 조직의 구성•운영(5항목)   
  -정보보호계획 등의 수립 및 관리(6항목)   
  -인적보안(5항목)    
   -이용자 보호(1항목)   
  -침해사고 대응(1항목)   
  -정보보호 조치점검(1항목)   
  -정보자산 관리(2항목) 
(2)기술적 보호조치(24 항목)   
  -네트워크 보안(3항목)   
  -정보통신설비보안(21항목) 
(3)물리적 보호조치(3)   
  -출입 및 접근보안(2항목)   
  -부대설비 및 시설 운영•관리(1항목)
9. 안전진단방법
서면검사
  (1차)정보보호지침(법제45조제2항)의 이행여부를 서면상으로 확인 가능한 사항에 대하여 관련 서류 및 증적 자료를 토대로 검사현장검사
  (2차) 취약점 점검 및 보완조치 동작여부 등 정보보호지침 이행여부를 확인하기 위하여 취약점 점검, 모의해킹 등의 방법으로 검사

10. 안전진단 절차

  (1)안전진단 시행안내(방통위)  
  (2)안전진단 계획 수립 및 보호조치 이행(대상자) 
  (3)안전진단 계약체결(대상자, 수행기관) 
  (4)안전진단 실시(수행기관) 
  (5)안전진단 결과 통보 및 제출(수행기관→대상자→방통위) 
  (6)개선권고 및 이행확인(수행기관→대상자) 
  (7)개선권고 내용 및 결과제출(수행기관→방통위) 
  (8)안전진단 결과검토 및 개선명령(방통위) 
  (9)개선명령 이행확인 및 과태료 부과(방통위)
2011. 정보보호 시니어 컨설턴트 교육중에 정리…

개인정보보호법 요약

 개인정보보호법 요약된 것들은 다들 많이 보셨을텐데 국가법령정보센타에 가시면  법령전문을 보실 수 있답니다. 

<< 국가법령정보센타에서 개인정보보호법 보기 >>

1. 법 제정 배경
  1)대규모 개인정보 침해사고 빈발로 국민 불안감 급증
    – 최근의 개인정보 침해는 대형화·지능화·다양화 추세
    – 해킹, 내부직원 유출, 담당자 부주의 등이 주요 원인
  2)개인정보보호 일반법 미비로 법 적용 사각지대 발생
    -공공기관(개인정보보호법), 정보통신사업자(정보통신망법) 등 개별법 체계로 헌법기관, 오프라인 사업자, 비영리기관 등은 관련법 부재
    -개별법간 보호원칙, 처리기준 및 추진체계가 상이하여 국민 혼란, 일관된 정책 추진에 한계
  3)세계 각국과의 FTA 대비 및 IT강국으로서의 위상 확보
    -최근 전 세계적 국제통상 관련, 프라이버시 라운드(Privacy Round) 대두
    – 유럽연합(EU) : 적절한 보호수준을 갖춘 제3국으로만 개인정보 이전

2. 개인정보보호법 구성체계
  1장.총칙
   – 목적, 정의, 개인정보보호원칙, 다른 법률과의 관계 등
  2장.개인정보보호정책의 수립등
   – 개인정보보호위원회, 기본계획·시행계획 수립, 개인정보보호지침, 자율규제촉진 등
  3장.개인정보의 처리
   – 수집·이용·제공 등 처리기준, 민감정보·고유식별정보 제한, 영상정보처리기기 제한 등
  4장.개인정보의 안전한 관리
   – 안전조치의무, 개인정보파일 등록·공개,  개인정보영향평가, 유출통지제도 등
  5장.정보주체의 권리 보장
   – 열람요구권, 정정·삭제요구권, 처리정지요구권, 권리행사방법 및 절차, 손해배상책임 등
  6장.개인정보분쟁조정위원회
   – 분쟁조정위원회 설치·구성, 분쟁조정의 신청방법·절차, 효력, 집단분쟁조정제도 등
  7장.개인정보 단체소송
   – 단체소송 대상, 소송허가요건, 확정판결의 효력 등
  8장.보칙
   – 적용제외, 금지행위, 침해사실신고, 시정조치 등
  9장.벌칙
   – 벌칙, 과태료 및 양벌규정 등

3.개인정보보호법 체계 일원화 


4. 개인정보보호 행정체계 일원화


정보통신기반보호법 요약

<< 국가법령정보센타에서 정보통신기반보호법 보기 >>

정보통신기반보호법 요약은 아래와 같습니다.

1.개요

  정보통신기반보호법은 주요정보통신기반시설 보호 및 침해사고 대응 사항을 총 7장, 30조에 담고 있는 법률
  동 법 중  IT Compliance 와 관련이 높은 부분은
  제2장 주요정보통신기반시설의 보호체계,
  제3장 주요정보통신기반시설의 지정 및 취약점 분석,
  제4장 주요정보통신기반시설의 보호 및 침해사고의 대응 등임

  적용대상: 주요정보통신기반시설의 관리자 및 정보공유,분석센터의 관리자 등

2. 취약점 분석평가
  주요 정보통신기반시설로 지정된 시설은 지정 후 6개월 내에 취약점 분석,평가를 실시하여야 함.    최초의 취약점 분석, 평가 이후에는 2년마다 취약점 분석,평가 실시.   취약점 분석,평가는 객관성과 실효성을 확보할 수 있도록 일정한 자격을 갖춘 자들로 구성된 전담반이 행하도록 하여야 함

3.보호대책의 수립 및 이행
  주요정보통신기반시설 관리기관의 장은 취약점 분석,평가의 결과에 따라 주요정보통신기반시설을 안전하게 보호하기 위한 물리적,기술적 대책 등 보호대책을 수립,    관리기관의 장은 보호대책을 수립하여 매년 3월말까지 관할 중앙행정기관의 장에게 제출하여야 함.   행정안전부장관과 국가정보원장 등은 관리기관이 수립한 보호대책을 이행하는지 여부를 점검함

4. 보호조치의 이행
  다음의 경우 관리기관의 장은 관계중앙행정기관의 장이 내리는 보호 조치에 대한 명령,권고를 이행하여야 함.   관리기관의 장이 제출한 주요정보통신기반시설 보호대책을 분석한 결과 별도의 보호조치가 필요한 경우   보호대책 이행여부 분석의 결과 별도의 보호조치가 필요하다고 인정되는 경우

5. 침해사고 통지 및 복구
  침해사고란 주요정보통신기반시설이 교란,마비,파괴된 상황으로 관리기관의 장은 i) 침해사고발생 일시 및 시설 ii) 피해 내역, iii) 기타 신속한 대응,복구를 위하여 필요한 사항 등의 내용을 관계 행정기관, 수사기관 또는 한국인터넷진흥원에 통지하여야 함.   또한 침해사고 발생시 관리기관의 장은 소관 주요정보통신기반시설의 복구 및 보호에 필요한 조치를 신속히 취해야 함

6.  정보공유 및 분석센터
  분야별 정보통신기반시설 보호를 위하여   i) 취약점 및 침해요인과 그 대응방안에 대한 정보제공,   ii) 침해사고 발생시 실시간 경보,분석 체계 운영 등의 업무를 수행하고자 하는 자는 정보공유,분석센터 구축,운영 가능