[(PDF) A Reference Model of Information Assurance & Security
PDF | Information Assurance & Security (IAS) is a dynamic domain which changes continuously in response to the evolution of society, business needs and... | Find, read and cite all the research you need on ResearchGate
Here we provide links to background information and specifically some articles or sources used in these sessions to introduce information/cyber security. You may find these useful to further explore the subject.
Y. Cherdantseva and J. Hilton, "A Reference Model of Information Assurance & Security," Availability, Reliability and Security (ARES), 2013 Eighth International Conference on , vol., no., pp.546-555, IEEE, doi: 10.1109/ARES.2013.72, 2–6 September 2013.
인증기준 : 정보시스템의 도입 ․ 개발 ․ 변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다.
주요확인사항 : 정보시스템을 신규로 도입 ․ 개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성 검토 및 인수 절차를 수립 ․ 이행하고 있는가? 정보시스템을 신규로 도입 ․ 개발 또는 변경하는 경우 법적 요구사항, 최신 취약점등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하고 있는가? 정보시스템의 안전한 구현을 위한 코딩 표준을 수립하여 적용하고 있는가?
세부설명
정보시스템을 신규로 도입 ․ 개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성을 검토하고 인수할 수 있도록 절차를 수립 ․ 이행하여야 한다. ▶ 새로운 정보시스템(서버, 네트워크 장비, 상용 소프트웨어 패키지) 및 보안시스템 도입 시 도입 타당성 분석 등의 내용이 포함된 도입계획을 수립 현재 시스템 자원의 이용률, 사용량, 능력한계에 대한 분석 성능, 안정성, 보안성, 신뢰성 및 기존시스템과의 호환성, 상호 운용성 요건 개인정보처리시스템에 해당될 경우 개인정보 보호법(개인정보의 안전성 확보조치 기준 고시 포함), 정보통신망법(개인정보의 기술적 ․ 관리적 보호조치 기준 고시 포함) 등에서 요구하는 법적 요구사항 준수 ▶ 정보보호 및 개인정보보호 측면의 요구사항을 제안요청서(RFP)에 반영하고 업체 또는 제품 선정 시 기준으로 활용 ▶ 정보시스템 인수 여부를 판단하기 위한 시스템 인수기준을 수립 도입계획 수립 시 정의된 성능, 보안성, 법적 요구사항 등을 반영한 인수 승인기준 수립 시스템 도입 과정에서 인수기준을 준수하도록 구매계약서 등에 반영 정보시스템을 신규로 도입 ․ 개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하여야 한다. ▶ 개인정보보호 관련 법적 요구사항 : 접근권한, 접근통제, 암호화, 접속기록 등 ▶ 상위 기관 및 내부 규정에 따른 정보보호 및 개인정보보호 요구사항 ▶ 정보보호 관련 기술적 요구사항 : 인증, 개발보안 등 ▶ 최신 보안취약점 등 정보시스템의 안전한 구현을 위한 코딩 표준을 마련하고 적용하여야 한다. ▶ 알려진 기술적 보안 취약점으로 인한 위협을 최소화하기 위하여 안전한 코딩 표준 및 규약 마련 ▶ Java, PHP, ASP, 웹, 모바일 등 관련된 개발 언어 및 환경을 모두 포함 ▶ 안전한 코딩 표준 및 규약에 대하여 개발자 대상 교육 수행
- 이름 - 김** , 거주지역 (동까지), 이동 경로, 이동목적, 동행 등 정보들을 통해 확진자를 조금이라도 아는 사람이라면 충분히 확진자를 '특정'할 수 있는데, 이와같이 다른 정보와 결합했을 때 누군지 알 수 있는 정보는 '개인정보'라고 할 수 있다.
- 공개된 정보를 조합했을 때 누구인지 알아볼 수 있는지가 쟁점이다.
- 현재까지 나온 정보를 현행법상 '개인정보'라고 일률적으로 단정하기 어렵다는 것이 법조계의 해석.
- 개인정보보호법 개정안(2020.08.05 시행)상 '가명정보'에 해당한다고 함. 가명정보는 그 자체로는 개인을 알아보기 어렵지만 해당 개인과 1:1 대응되는 '연결정보'를 가진 정보인다. 이번 확진자 번호가 개인별 고유번호라는 점에서 '연결정보'에 해당함.
- 가명정보도 개인정보의 일종이지만, 연결정보가 법률상 또는 계약상 비밀로 유지된다는 전제 하에 정보주체의 동의 없는 활용이 특별히 허용된다. 다만, 확진자 번호와 해당 환자의 신상정보 간 연결정보는 정부만 가지고 있어야 하고, 이것이 민간에 새어나가지 않도록 비밀로 유지해야만 확진자 정보공개가 적법할 수 있다.
감염병 환자의 이동경로 등 정보공개 범위
코로나19 확진자의 정보가 공개될 수 있는 것은 '재난 및 안전관리 기본법' 때문이다. 재난피해자등의 '성명, 주민등록번호, 주소 및 전화번호, 재난피해자등의 이동경로(CCTV, 교통카드 사용 명세, 신용카드 직불카드 선불카드 사용정보, 진료기록부 정보, 전기통신사업자 및 위치정보사업자에 요청)등 확보가 가능.
그 밖에
한편, 그동안 역학조사관이 일일이 수작업으로 조사했던 확진자 동선파악이 앞으로 자동화되어 하루 이상 소요되던 시간이 10분 이내로 줄어들 전망이다. 국토교통부는 과기정통부와 질병관리본부와 함께 ‘코로나19 역학조사 지원시스템’을 26일부터 정식 운영한다고 밝혔다. 코로나19 역학조사 지원시스템은 ‘감염병 예방 및 관리에 관한 법률’에 따른 역학조사 절차를 자동화하는 시스템으로, 대규모 도시데이터를 수집·처리하는 스마트시티 연구개발 기술을 활용한 시스템이다.<
국가에서 특정인에 대한 이동경로 파악이 10분밖에 안걸린다는 것은 편리하면서도 두려운 기능..