Honey buns

드디어 CPPG에 합격했다. 

개인정보보호 시험이지만, 개인정보보호법 뿐만 아니라 약간의 IT지식이나 정보보안 지식에 대한 문제도 일부 있었던 것 같다.

단순히 개인정보보호법만 공부했다간 매우 당황할 수 있으니, 개인정보와 관련한 가이드 등을 폭넓게 공부해두어야 한다. 

A Reference Model of Information Assurance & Security

• RMIAS based on IAS - Information Assurance and Security
  • integration of Information Security (Information Assurance
• RMIAS 4차원 
  • Information Systems Security Lifecycle (정보시스템 보안 수명 주기)  
    • 정보시스템(솔루션) 생성, 배포, 측정, 개선부터 폐기까지의 일시적인 측면과 적용 
  • Information taxonomy (정보 분류)
    • 정보 생성부터 파기까지의 수명 주기 
    • 형태, 상태, 민감도, 위치 등 고려 
  • Security Goals (보안 목표)
    • 조직 또는 시스템에 적용할 목표 정의
    • CIA Traid 확장 개념 (IAS octave이 되도록)
    • 위험 분석 프로세스를 통해 보안 목표의 우선순위 지정, 보안대책 설정 
  • Security countermeasures (보안 대책)
    • 보안목표를 달성하는데 사용되는 기술 또는 프로세스 
    •  

관련 논문 링크

- September 2013

https://www.researchgate.net/publication/261338307_A_Reference_Model_of_Information_Assurance_Security

[(PDF) A Reference Model of Information Assurance & Security

PDF | Information Assurance & Security (IAS) is a dynamic domain which changes continuously in response to the evolution of society, business needs and... | Find, read and cite all the research you need on ResearchGate

www.researchgate.net](https://www.researchgate.net/publication/261338307_A_Reference_Model_of_Information_Assurance_Security)

https://www.techrepublic.com/article/the-cia-triad/

Resources and bibliography:

Here we provide links to background information and specifically some articles or sources used in these sessions to introduce information/cyber security. You may find these useful to further explore the subject.

The CIA Triad is discussed on the Wikipedia page on Information Security. It refers to a short article The CIA Triad by Chad Perrin published in TechRepublic in IT Security, which is a useful security resource.

A brief outline of the RMIAS model is available on Wikipedia. The complete paper reference is:

Y. Cherdantseva and J. Hilton, "A Reference Model of Information Assurance & Security," Availability, Reliability and Security (ARES), 2013 Eighth International Conference on , vol., no., pp.546-555, IEEE, doi: 10.1109/ARES.2013.72, 2–6 September 2013.

The paper can be downloaded from researchgate.net.

출처 :

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS217&mCode=D010030000&nttId=7045#LINK 

안전조치 기준 적용 유형

https://www.ncsc.go.kr:4018/PageLink.do

2.8 정보시스템 도입 및 개발보안 

2.8.1 보안 요구사항 정의 

인증기준 : 정보시스템의 도입 ․ 개발 ․ 변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다.

주요확인사항 :  정보시스템을 신규로 도입 ․ 개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성 검토 및 인수 절차를 수립 ․ 이행하고 있는가?
 정보시스템을 신규로 도입 ․ 개발 또는 변경하는 경우 법적 요구사항, 최신 취약점등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하고 있는가?
 정보시스템의 안전한 구현을 위한 코딩 표준을 수립하여 적용하고 있는가?

세부설명

 정보시스템을 신규로 도입 ․ 개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성을 검토하고 인수할 수 있도록 절차를 수립 ․ 이행하여야 한다.
▶ 새로운 정보시스템(서버, 네트워크 장비, 상용 소프트웨어 패키지) 및 보안시스템 도입 시 도입 타당성 분석 등의 내용이 포함된 도입계획을 수립
 현재 시스템 자원의 이용률, 사용량, 능력한계에 대한 분석
 성능, 안정성, 보안성, 신뢰성 및 기존시스템과의 호환성, 상호 운용성 요건
 개인정보처리시스템에 해당될 경우 개인정보 보호법(개인정보의 안전성 확보조치 기준 고시 포함), 정보통신망법(개인정보의 기술적 ․ 관리적 보호조치 기준 고시 포함) 등에서 요구하는 법적 요구사항 준수
▶ 정보보호 및 개인정보보호 측면의 요구사항을 제안요청서(RFP)에 반영하고 업체 또는 제품 선정 시 기준으로 활용
▶ 정보시스템 인수 여부를 판단하기 위한 시스템 인수기준을 수립
 도입계획 수립 시 정의된 성능, 보안성, 법적 요구사항 등을 반영한 인수 승인기준 수립
 시스템 도입 과정에서 인수기준을 준수하도록 구매계약서 등에 반영
 정보시스템을 신규로 도입 ․ 개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하여야 한다.
▶ 개인정보보호 관련 법적 요구사항 : 접근권한, 접근통제, 암호화, 접속기록 등
▶ 상위 기관 및 내부 규정에 따른 정보보호 및 개인정보보호 요구사항
▶ 정보보호 관련 기술적 요구사항 : 인증, 개발보안 등
▶ 최신 보안취약점 등
 정보시스템의 안전한 구현을 위한 코딩 표준을 마련하고 적용하여야 한다.
▶ 알려진 기술적 보안 취약점으로 인한 위협을 최소화하기 위하여 안전한 코딩 표준 및 규약 마련
▶ Java, PHP, ASP, 웹, 모바일 등 관련된 개발 언어 및 환경을 모두 포함
▶ 안전한 코딩 표준 및 규약에 대하여 개발자 대상 교육 수행

원문 : https://www.boannews.com/media/view.asp?idx=87223

코로나 확진자의 정보는 개인정보인가?

- 이름 - 김** , 거주지역 (동까지), 이동 경로, 이동목적, 동행 등 정보들을 통해 확진자를 조금이라도 아는 사람이라면 충분히 확진자를 '특정'할 수 있는데, 이와같이 다른 정보와 결합했을 때 누군지 알 수 있는 정보는 '개인정보'라고 할 수 있다.

- 공개된 정보를 조합했을 때 누구인지 알아볼 수 있는지가 쟁점이다.

- 현재까지 나온 정보를 현행법상 '개인정보'라고 일률적으로 단정하기 어렵다는 것이 법조계의 해석.

- 개인정보보호법 개정안(2020.08.05 시행)상 '가명정보'에 해당한다고 함. 가명정보는 그 자체로는 개인을 알아보기 어렵지만 해당 개인과 1:1 대응되는 '연결정보'를 가진 정보인다. 이번 확진자 번호가 개인별 고유번호라는 점에서 '연결정보'에 해당함.

- 가명정보도 개인정보의 일종이지만, 연결정보가 법률상 또는 계약상 비밀로 유지된다는 전제 하에 정보주체의 동의 없는 활용이 특별히 허용된다. 다만, 확진자 번호와 해당 환자의 신상정보 간 연결정보는 정부만 가지고 있어야 하고, 이것이 민간에 새어나가지 않도록 비밀로 유지해야만 확진자 정보공개가 적법할 수 있다.

감염병 환자의 이동경로 등 정보공개 범위

코로나19 확진자의 정보가 공개될 수 있는 것은 '재난 및 안전관리 기본법' 때문이다. 재난피해자등의 '성명, 주민등록번호, 주소 및 전화번호, 재난피해자등의 이동경로(CCTV, 교통카드 사용 명세, 신용카드 직불카드 선불카드 사용정보, 진료기록부 정보, 전기통신사업자 및 위치정보사업자에 요청)등 확보가 가능.

그 밖에

한편, 그동안 역학조사관이 일일이 수작업으로 조사했던 확진자 동선파악이 앞으로 자동화되어 하루 이상 소요되던 시간이 10분 이내로 줄어들 전망이다. 국토교통부는 과기정통부와 질병관리본부와 함께 ‘코로나19 역학조사 지원시스템’을 26일부터 정식 운영한다고 밝혔다. 코로나19 역학조사 지원시스템은 ‘감염병 예방 및 관리에 관한 법률’에 따른 역학조사 절차를 자동화하는 시스템으로, 대규모 도시데이터를 수집·처리하는 스마트시티 연구개발 기술을 활용한 시스템이다.<

국가에서 특정인에 대한 이동경로 파악이 10분밖에 안걸린다는 것은 편리하면서도 두려운 기능..

출처: : 금융위원회 보도자료 페이지
(https://www.fsc.go.kr/info/ntc_news_view.jsp?menu=7210100&bbsid=BBS0030&no=31755)