반응형
* 개인정보 처리방침
1. 개인정보의 처리 목적
2. 개인정보의 처리 및 보유 기간
3. 개인정보의 제3자 제공에 관한 사항(해당되는 경우에만 정한다)
3의2. 개인정보의 파기절차 및 파기방법(제21조제1항 단서에 따라 개인정보를 보존하여야 하는 경우에는 그 보존근거와 보존하는 개인정보 항목을 포함한다)
4. 개인정보처리의 위탁에 관한 사항(해당되는 경우에만 정한다)
5. 정보주체와 법정대리인의 권리ㆍ의무 및 그 행사방법에 관한 사항
6. 제31조에 따른 개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충사항을 처리하는 부서의 명칭과 전화번호 등 연락처
7. 인터넷 접속정보파일 등 개인정보를 자동으로 수집하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
8. 그 밖에 개인정보의 처리에 관하여 대통령령으로 정한 사항
* 개인정보 이용 및 수집 시 동의 없이 처리할 수 있는 개인정보라는 입증책임은 개인정보처리자가 부담한다.
* 정보보호관리를 위한 6단계 활동:
정보보호 정책 및 조직 수립 → 정보보호 범위 설정 → 정보자산의 식별 → 위험관리 → 구현 → 사후관리
* 개인정보 정보주체의 권리
- 개인정보의 처리에 관한 정보를 제공받을 권리
- 개인정보의 처리에 관한 동의 여부, 동의 범위 등을 선택하고 결정할 권리
- 개인정보의 처리 여부를 확인하고 개인정보에 대하여 열람(사본의 발급을 포함한다. 이하 같다)을 요구할 권리
- 개인정보의 처리 정지, 정정ㆍ삭제 및 파기를 요구할 권리
- 개인정보의 처리로 인하여 발생한 피해를 신속하고 공정한 절차에 따라 구제받을 권리
* "개인정보 보호법”에서 개인정보의 파기 및 보존 시
- 개인정보의 이용목적이 달성된 때에는 즉시 파기하여야 한다.
- 개인정보를 파기하지 않고 보관할 시에는 다른 개인정보와 분리하여 저장 · 관리한다.
- 전자적 파일 형태인 경우, 복원이 불가능한 방법으로 행구 삭제한다.
* 개인정보보호법 고유식별정보 처리 제한 24조 에서 고유식별정보의 범위를 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호로 정의하고 이것들을 암호화 처리
* 개인정보보호법 상에서 민감정보로 명시되어 있는 것은?
- 사상·신념
* 개인정보처리자가 정보주체 이외로부터 수집한 개인정보를 처리하는 때에는 정보주체의 요구가 있으면 즉시 다음 각 호의 모든 사항을 정보주체에게 알려야 한다.
- 개인정보의 수집 출처
- 개인정보의 처리 목적
- 제37조에 따른 개인정보 처리의 정지를 요구할 권리가 있다는 사실
* 개인정보의 수집 이용 시 동의를 받아야 할 항목
- 개인정보 수집·이용 목적
- 수집하는 개인정보의 항목
- 개인정보의 보유 및 이용기간
- 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
* "개인정보"란 살아 있는 개인에 관한 정보로서 다음 각 목의 어느 하나에 해당하는 정보를 말한다.
- 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보
- 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는 정보
- 가목 또는 나목을 가명처리함으로써 원래의 상태로 복원하기 위한 추가 정보의 사용ㆍ결합 없이는 특정 개인을 알아볼 수 없는 정보(가명정보)
* 개인정보영향평가 시 반드시 고려할 사항:
- 처리하는 개인정보의 수, 개인정보의 제3자 제공 여부, 정보주체의 권리를 해할 가능성 및 그 위협
* 개인정보의 안전성 확보조치 기준에서의 인터넷 홈 페이지 취약점 점검
a. 인터넷 홈페이지를 통해 고유식별정보를 처리하는 개인정보처리자는 해당 인터넷 홈페이지에 대해 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.
b. 인터넷 홈페이지의 취약점 점검은 개인정보처리자의 자체인력, 보안업체 등을 활용할 수 있으며, 취약점 점검은 상용도구, 공개용 도구, 자체제작 도구 등을 사용할 수 있다.
c. 웹 취약점 점검과 함께 정기적으로 웹쉘 등을 점검하고 조치하는 경우 취급 중인 개인정보가 인터넷 홈페이지를 통 해 열람권한이 없는 자에게 공개되거나 유출되는 위험성을 더욱 줄일 수 있다.
* 개인정보 파기
- 개인정보의 이용목적이 달성될 때에는 즉시 파기하여야 한다.
- 개인정보 삭제 시 전자적 매체의 경우 복원이 불가능한 방법으로 영구 삭제
- 개인정보를 파기하지 않고 보관할 시에는 다른 개인정보와 분리하여 저장 • 관리한다.
- 전자적 파일 형태인 경우, 복원이 불가능한 방법으로 영구 삭제한다.
- 하드디스크 등 매체에 전자기적으로 기록된 개인정보는 물리적인 방법으로 매체를 파괴하여 복구할 수 없도록 한다.
- 이미 요금정산이 끝난 소비자의 개인정보는 채권 소멸기간까지 남아있다고 하더라도 개인정보를 보관할 수 없다.
* 정보보호 사전점검:
- 사전점검 대상 범위는 제공하려는 사업 또는 정보통신 서비스를 구성하는 하드웨어, 소프트웨어, 네트워크 등의 유무형 설비 및 시설을 대상으로 한다.
* 정보보호 관리체계 인증제도에 대한 설명
- 정보통신서비스와 직접적인 관련성이 낮은 전사적 자원관리시스템(ERP), 분석용 데이터베이스(DW), 그룹웨어 등 기업 내부 시스템, 영업/마케팅 조직은 일반적으로 인증 범위에서 제외해도 된다.
- 인증범위는 신청기관이 제공하는 정보통신서비스를 기준으로 해당 서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직 등을 포함하여야 한다.
- 해당 서비스의 직접적인 운영 및 관리를 위한 백오피스 시스템은 인증범위에 포함되며, 해당 서비스와 관련이 없더라도 그 서비스의 핵심정보자산에 접근가능 하다면 포함 하여야 한다.
①인증대상은 임의신청자와 의무대상자로 구분되며, 인공의무대상자가 인증을 받지 않으면 과태료 3천만원이 부과된다.
②임의신청자의 경우 인증범위를 신청기관이 정하여 신청할 수 있으며, 심사기준 및 심사절차는 의무대상자 심사와 동일하다.
③정보통신망법 제46조에 따른 집적정보통신시설 사업자는 의무대상자이다.
* 정보통신기반보호법에서 정의하는 주요 정보통신기반시설에 대한 취약점 분석 평가를 수행할 수 있는 기관
① 한국인터넷진흥원
② 정보보호 전문서비스 기업 (지정된 지식정보보안 컨설팅전문업체)
③ 한국전자통신연구원
* 정보통신기반보호법에서 규정된 주요정보 통신기반시설 지정 시 고려사항
1. 당해 정보통신기반시설을 관리하는 기관이 수행하는 업무의 국가사회적 중요성
2. 제1호의 규정에 의한 기관이 수행하는 업무의 정보통신기반시설에 대한 의존도
3. 다른 정보통신기반시설과의 상호연계성
4. 침해사고가 발생할 경우 국가안전보장과 경제사회에 미치는 피해규모 및 범위
5. 침해사고의 발생가능성 또는 그 복구의 용이성
* 주요정보통신기반시설 관리기관의 복무
① 정기적인 취약점 분석·평가
② 관계행정기관 또는 한국인터넷진흥원에 대한 침해사고 사실 통지
③ 주요정보통신기반시설 보호대책 수립·시행
④ 주요정보통신기반시설 보호대책을 수립한 때에는 관할하는 중앙행정기관에 상정
* 정보통신기반 보호법 제10조(보호지침)
①관계중앙행정기관의 장은 소관분야의 주요정보통신기반시설에 대하여 보호지침을 제정하고 해당분야의 관리기관의 장에게 이를 지키도록 권고할 수 있다.
* 정보통신망법상 전자문서의 정의
- 전자적형태의 표준자료
- '전자문서'란 컴퓨터 등 정보처리능력을 가진 장치에 의하여 (전자적)인 형태로 작성되어 송수신되거나 저장된 문서형식의 자료로서 (표준화)된 것을 말한다.
* 정보통신망법
- 정보통신망법 1조(목적)
이 법은 정보통신망의 이용을 촉진하고 정보통신서비스를 이용하는 자의 개인정보를 보호함과 아울러 정보통신망을 건전하고 안전하게 이용할 수 있는 환경을 조성하여 국민생활의 향상과 공공복리의 증진에 이바지함을 목적으로 한다.
- 정보통신망법 22조 1항
정보통신서비스제공자는 이용자의 개인정보를 (이용)하려고 (수집)하는 때에는 다음 각 호의 (모든) 사항에 대하여 이용자에게 알리고 (동의)를 얻어야 한다. 다음 각 호의 어느 하나의 사항을 (변경)하려는 때에도 또한 같다.
1. 개인정보 수집·이용 목적
2. 수집하는 개인정보의 항목
3. 개인정보의 보유 및 이용 기간
- 정보통신망법 46조 정보보호 관리체계 인증제도
① 정보보호 관리체계 인증의 유효기간은 3년이다.
② 정보보호 관리체계 인증은 의무 대상자는 반드시 인증을 받아야 하며 의무 대상자가 아닌 경우에도 인증을 취득할 수 있다.
③ 정보보호 관리체계는 정보통신망의 안정석, 신뢰성을 확보하기 위하여 관리적, 기술적, 물리적 보호조치를 포함한 종합적 관리체계를 의미한다.
④ 정보보호 관리체계 의무대상자는 국제표준 정보보호 인증을 받거나 정보보호 조치를 취한 경우에는 인증 심사를 (일부) 생략할 수 있다.
* 정보통신망 이용 촉진 및 정보보호 등에 관한 법률
① 정보통신서비스 제공자 : ‘전기통신사업법’ 제2조 8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신 역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다.
② 정보통신서비스 : ‘전기통신사업법’ 제2조 6호에 따른 전기 통신 역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것을 말한다.
③ 이용자 : 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다.
④ 개인정보 : 생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호, 문자, 음성, 음향 및 영상 등의 정보를 말한다.
* 정보통신서비스 제공자 등이 개인정보의 분실, 도난, 누출 사실을 안 때에는 지체 없이 수행하혀야 할 행동
① 방송통신위원회 또는 한국인터넷진흥원에 신고하여야 한다.
② 정당한 사유 없이 그 사실을 안 때부터 24시간을 경과하여 통지 및 신고해서는 아니된다.
③ 이용자에게 알릴 때에는 누출 등이 된 개인정보 항목이 포함된다.
④ 한국인터넷진흥원이 신고를 받았다면 그 사실을 방송통신위원회에 알려야 한다.
* 정보공유 분석센터(ISAC)
-금융, 통신 등 분야별 정보통신기반시설을 보호하기 위하여 구축·운영
-취약점 및 침해요인과 그 대응방인에 관한 정보 제공
-침해사고가 발생하는 경우 실시간 경보·분석 체계 운영
* 침해사고 대응절차
1. 사고처리지침과 절차, 필수적인 문서 및 업무의 연속성과 관련된 계획 등을 준비하는 절차
2. 사건을 보고하기 위한 수단을 준비하는 절차
3. 사고 조사 및 심각성 조사를 위한 절차
4. 사고 처리, 피해 제한, 사고 근절, 상부 보고에 대한 절차
5. 정상적인 서비스를 위한 재구축을 위한 절차
6. 법적 관계 조사 및 분석을 포함한 후기 사고 조치에 대한 절차
* OECD 프라이버시 가이드라인 8원칙 ( 수 정 목 이 안 공 개 책 )
1. 수집제한의 원칙
2. 정보 정확성의 원칙 –(정확성, 완전성, 최신성이 확보)
3. 목적 명확성의 원칙
4. 이용제한의 원칙
5. 안전성 보호의 원칙
6. 공개의 원칙
7. 개인 참여의 원칙
8. 책임의 원칙
* 미러사이트(Mirror Site)
주 센터와 동일한 수준의 정보기술자원을 원격지에 구축, Active-Active 상태로 실시간 동기 서비스 제공
* 핫 사이트(Hot site)
재난 발생으로 영향을 받는 업무 기능을 즉시 복구할 수 있도록 전산세터와 동일한 모든 설비와 자원을 보유하고 있다.
* 웜 사이트(Warm site)
이것은 부분적으로 설비를 가지고 있는 백업 사이트로서, 대개 디스크 드라이브, 테이프 드라이브와 같이 가격이 저렴한 주변기기를 가지고 있으나, 주 컴퓨터는 가지고 있지 않다.
* 콜드 사이트(Cold site)
재난 발생시 새로운 컴퓨터를 설치할 수 있는 컴퓨터실을 미리 준비해 둔 것으로서 전기, 냉방, 공간 정도만 마련되어 있으며 별다른 전산 장비는 가지고 있지 않다.
* 위험 전가(transfer):
- 도출된 위힘이 해당 사업에 심각한 영향을 주는 관계로 보험에 가입하였다. 이런 식으로 위험을 경감 또는 완화시키는 처리 유형
* CRL
개체 확장자 구성 필드
1) Reason Code: 폐지의 원인을 정의 하기 위한 코드
2) Hold Instruction Code: 인증서의 일시적은 유보를 지원하기 위해 사용(정지 지시 코드)
3) Certificate Issuer: 인증서 발행자 이름 (인증서 발행자)
4) Invalidity Date: 개인키 손상이 발생하는 등의 이유로 인증서가 유효하지 않게 된 날짜와 시간의 값(무효날짜)
* 정보보호제품 평가 · 인증 제도 Common Criteria(CC인증)
-국가마다 서로 다른 정보보호시스템 평가기준을 연동하고 평가결과를 상호 인증하기 위해 제정된 정보보안 평가기준
-현재 사용되는 IT 보안제품에 대해 보안성을 평가하는 제도로 제품유형별PP(Prolection Profile)를 정의하고, 8개 군의 평가항 목을 대상으로 평가가이루어진다.
-평가결과는 IT 보안제품의 보안위협 및 자산가치의 정도에 따라 EAL1(Evalualion Assurance Level 1) - EAL7(Evaluation Assurance Level 7) 까지 7단계로 부여하여 인증서가 제공된다.
- 민간업체 등에서 개발한 정보보호시스템을 국제표준인 ISO 15408 및 ISO 18045를 이용하여 보안기능에 대한 안정성과 신뢰성을 보증함으로써 사용자들이 안심하고 정보보호시스템 을 사용할 수 있도록 지원하는 제도
(ISO/IEC 15408는 정보보호제품에 대한 평가기준이다.)
* TCSEC (Trusted Computer Security Evaluation Criteria)
- 1983년에 미국 국방부에서 제정
- 표지가 오렌지색이라 오렌지북이라 불림
- 보안등급은 크게는 A, B, C, D 4단계, 세부적으론 A1, B3, B2, B1, C2, C1, D 총 7단계로 나뉜다.
- 4가지 요구사항 : 정책(Security Policy), 책임성(Accountability), 보증(Assurance), 문서(Documentation)
- TNI, TDI, CSSI 등 시스템 분류에 따라 적용 기준이 다르다.
* 유럽의 보안성 평가 기준
-ITSEC (1991 년 6월)
* ISMS(Information Security Management System) 의 각 단계 (계-수-점-조)
계획 -> 수행 -> 점검 -> 조치
1. 계획 - ISMS 수립
2. 수행 - ISMS 구현과 운영
3. 점검 - ISMS 모니터링과 검토
4. 조치 - ISMS 관리와 개선
* 정보보호 관리 체계 (ISMS)의 관리 과정
1. 정보보호 정책 수립 및 범위 설정
2. 경영진 책임 및 조직 구성
3. 위험관리
4. 정보보호 대책 구현
5. 사후관리
* BCP (Business Continuity Plan) 업무 연속성 계획
-각종 재해, 장애, 재난으로부터 위기관리를 기반으로 재해복구, 업무복구 및 재개, 비상계획 등의 비즈니스 연속성을 보장하는 계획
-구성요소
1) 재해 예방
2) 대응 및 복구
3) 유지보수
4) 모의 훈련
* BCP 계획 (프-사-전-계-수)
1. 프로젝트 범위 설정 및 기획
2. 사업영향평가(BIA) - 필요한 평가자료 수립, 취약성 평가 수행, 편집된 정보분석, 문서화&권고문 작성
3. 복구전략개발
4. 복구계획수립
5. 프로젝트 수행 및 테스트 유지보수
* DRP (Disaster Recovery Plan)
1) 재해 복구 계획 프로세스
2) 재해 복구 계획 테스트
3) 재해 복구 절차
* 전자 화폐
- 인출 단계(withdrawal phase)
사용자 - 금융기관
- 지불 단계(payment phase)
상점서버 - 사용자
- 예치 단계(deposit phase)
상점서버 - 금융기관
결제 단계라고도 한다.
* 업무영향분석 시 고려해야 할 내용:
- 사건 발생 이후 시간이 경과함에 따라 손해 혹은 손실이 점증되는 정도
- 최소한의 운영에 필요한 직원, 시설, 서비스를 복구하는데 소요되는 시간
- 수입상실, 추가적 비용부담, 신용상실 등과 같은 형태의 손실
* 전자 입찰
-요구 조건
독립성: 전자입찰 시스템의 각 구성요소들은 자신들의 독자적인 자율성을 보장 받아야 한다.
공평성: 입찰이 수행될 때 모든 정보는 공개 되어야 한다.
비밀성: 네트워크상에 각 구성요소 간에 개별정보는 누구에게도 노출되어서는 안된다.
무결성: 입찰 시 입찰자 자신의 정보를 확인 가능하게 함으로써 누락 및 변조 여부를 확인할 수 있어야 한다.
안전성: 각 입찰 참여자 간의 공모는 방지되어야 하고 입찰 공고자와 서버의 독단이 발생하면 안된다.
* 전자투표 방식
PSEV (Poll Site E-Voting)
-특정 지역에 마련된 투표장에 나와서 전자적인 방식으로 투표 한다.
-선거인단이 직접 관리하므로 투표의 신뢰도가 높다.
-국민 투표의 활용 가능성이 크다.
REV (Remote Internet E-Voting)
-투표소에 가지 않고 공개된 인터넷 망에서 투표를 진행한다.
-선거 관리가 어려우며 여러가지 부정행위의 가능성 및 취약점이 있다.
키오스크(Kiosk)
- PSEV와 REV의 중간 정도 방식
- 길에 있는 ATM기기처럼 군데군데 설치된 기기를 통해 투표할 수 있다.
- REV보단 신뢰도가 있지만 PSEV에 비하면 여러가지 부정행위의 가능성이 남아있디.
* 기업의 보안정책 수립 진행순서
정책수립 – 정보보안조직 및 책임 – 위험인식 – 보안방안 수립 – 사용자 교육
* 공인인증서에 포함되어야 할 사항
1. 가입자의 이름(법인인 경우 법인명)
2. 가입자의 전자서명검증정보
3. 가입자와 공인인증기관이 이용하는 전자서명 방식
4. 공인인증서의 일련번호
5. 공인인증서의 유효기간
6. 공인인증기관의 명칭 등 공인인증기관임을 확인할 수 있는 정보
7. 공인인증서의 이용범위 또는 용도를 제한하는 경우 이에 관한 사항
8. 가입자가 제3자를 위한 대리권 등을 갖는 경우 또는 직업상 자격등의 표시를 요청한 경우 이에 관한 사항
9. 공인인증서임을 나타내는 표시
* 공인인증서의 효력 소멸
1. 공인인증서의 유효기간이 경과한 경우
2. 공인인증기관의 지정이 취소된 경우
3. 공인인증서의 효력이 정지된 경우
4. 공인인증서가 폐지된 경우
* 공인인증서의 폐지
1. 가입자 또는 그 대리인이 공인인증서의 폐지를 신청한 경우
2. 가입자가 부정한 방법으로 공인인증서를 발급받은 경우
3. 사입자가 사망, 실종선고 또는 해산된 경우
4. 가입자의 전자서명생성정보가 분실/훼손/도난/유출된 경우
* 전자서명법에서 공인인증기관의 업무수행에 관한 조항
- (과학기술정보통신부장관)은 인증업무의 안전성과 신뢰성 확보를 위하여 공인인증기관이 인증업무 수행에 있어 지켜야 할 구체적 사항을 전자서명인증업무지침으로 정하여 고시할 수 있다.
* 공인인증 업무
-과학기술정보통신부장관은 공인인증업무(이하 "인증업무"라 한다)를 안전하고 신뢰성있게 수행할 능력이 있다고 인정되는 자를 공인인증기관으로 지정할 수 있다.
-공인인증기관으로 지정받을 수 있는 자는 국가기관ㆍ지방자치단체 또는 법인에 한한다.
-공인인증기관이 인증업무를 폐지하고자 하는 때에는 폐지하고자 하는 날의 60일전까지 이를 가입자에게 통보하고 과학기술정보통신부장관에게 신고하여야 한다.
-공인인증기관 가입자 또는 인증무역 이용자를 부당하게 차별하여서는 아니 된다.
* 공인인증기관
한국정보인증, 코스콤, 금융결제원, 한국전자인증, 한국무역정보통신, 이니텍
* HTTP 메소드 (1.1기준)
-GET
서버의 지정한 URI에 위치한 정보를 요청
-HEAD
헤더 정보만 요청
문서가 아닌 서버의 정보만 필요한 경우 사용
-POST
데이터를 메시지 body에 포함하여 입출력 스트림을 통해 처리
GET과 달리 데이터 크기에 제한 없음
전송할 데이터의 양이 많은 경우 또는 민감 정보를 전송해야 하는 경우에 주로 사용함
-OPTIONS
통신과 관련하여 선택 가능한 사항들에 대한 요청
-PUT
메시지에 포함되어 있는 데이터를 지정한 URI에 저장
-DELETE
URI에 지정되어 있는 자원을 서버에서 제거
-LINK
헤더 정보가 서버 내의 문서와 연결되도록 요청
-UNLINK
UNLINK 헤더 정보와 서버 내의 문서 연결을 해제하도록 요청
-TRACE
루프백 검사용
* HTTP 응답 상태코드
1xx - 조건부 응답
200 - OK (성공)
203 - 신뢰할 수 없는 정보
401 - 권한 없음
403 - Forbidden (접근거부)
404 - Not Found (서버가 요청한 페이지를 찾을 수 없다)
500 - Internal Server Error (내부 서버 오류)
502 - Bad Gateway (불량 게이트웨이)
* HTTP CC Attack
-헤더 옵션 값을 사용함으로써 웹 서버에 더 많은 부하를 유발시키는 지능화된 DDoS 공격 기법이다.
-웹 트랜잭션의 효율을 이용하여 사용하게 되는 Cache 기능을 사용하지 않고, 자주 변경되는 데이터에 대해 새롭게 HUP 요청 및 응답을 요구하기 위하여 사용되는 옵션이다.
* XML (eXtensible Markup Language / 확장 마크업 언어)
- 웹상에서 구조화된 문서를 전송 가능하도록 설계된 웹표준
- 계층형 표현 가능, 필드 속성 부여 가능
- 텍스트 기반 비독점 포맷
- 문서교환 표준인 SGML(Standard Generalized Markup Language)과 HTML(HyperText Markup
Language)의 장점 결합
- 1996년 W3C에서 제안
* XML 기반 보안 기술
- ebXML : 전자상거래 데이터 교환의 전세계적 표준 구축을 위한 OASIS(사설 컨소시엄)와 CEFACT(UN산하기관)의 프로젝트
- XML Signature : 영구 무결성 및 부인 방지
- XML Encryption : 영구 기밀성
- XKMS (XML Key Management Specification) : PKI 서비스 프록시
- SAML (Security Assertion Markup Laguage) : 인증, 승인, 속성 Assertion
- XACML (eXtention Access Control Markup Language) : XML 기반 접근 제어
* ebXML 구성요소
비즈니스 프로세스 BP(Business Process)
-비즈니스 거래절차에 대한 내용을 표준화된 방법으로 모델링
핵심 컴포넌트 CC(Core Components)
-전자문서 항목을 정의해 재사용이 가능하도록 표준화
등록 저장소 RR(Registry/Repository)
-제출된 정보를 저장
거래당사자 TP(Trading Partner)
거래당사자에 대한 정보 및 협업을 위한 프로파일을 통일된 규칙으로 표현
전송 교환 및 패키지 MS(Message Service)
-어떻게 전달할 것인가에 대한 표준
* 인터넷 표준 XML을 활용한 웹 표준 기술
① UDDI
② SOAP
③ SAML
* 신용 카드의 보안 코드 세 자리 번호
CVC (Card Verification Code)
CSC (Card Security Code)
CVV (Card Verification Value)
CID (Card Identification Number)
* KCMVP 한국암호모듈 검증제도:
-국가&공공기관 정보통신망에서 소통되는 자료 중에서 비밀로 분류되지 않은 중요 정보의 보호를 위해 사용되는 암호모듈의 안전성과 구현 적합성을 검증하는 제도이다.
* 국내 암호모듈 검증에 있어 검증대상 암호알고리즘으로 지정된 비밀키 &블록암호 알고리즘
㉠ ARIA ㉡ SEED ㉢ LEA
* 대통령 직속 기구에 속하는 기관:
-개인정보보호위원회
* 개인정보보호법상 주민번호 수집 후 유출 시 과징금
5억
* 개인정보보호법에서 개인정보처리자는 개인정보 열람요구서를 받은날부터 며칠 이내에 정보주체에게 해당 개인정보를 열람 할 수 있도록 알려주어야 하는가?
10일
* 개인정보보호법에 의한 대리인이 권한 행사를 할 수 있는 정보주체의 나이
만 14세 미만
* 개인정보보호법에 따른 사내 개인정보보호 교육의 주기
1년에 1회
반응형
'정보보안기사, 정보보안산업기사' 카테고리의 다른 글
[정보보안기사/산업기사] 실기 문제풀이 및 총정리 요약본 1탄 (0) | 2021.06.18 |
---|---|
[자격증] 제 16회 정보보안기사 필기 가답안 복구 (0) | 2020.11.08 |
[정보보안기사/산업기사] 정보보안 일반 과목 요약 정리 (0) | 2020.10.16 |
[정보보안기사/산업기사] 어플리케이션 보안 과목 요약 정리 (0) | 2020.10.16 |
[정보보안기사/산업기사] 네트워크 보안 과목 요약 정리 (0) | 2020.10.12 |
댓글