취약점 진단 왜 하냐?

ISMS-P

 

금취분평

 

특금법(AML)

 

 

 

 

 

 

 

 

 

정보통신망 이용촉진 및 정보보호 등에 관한 법률

약칭 정보통신망법인데 제47조에 정보보호 관리체계의 인증이라고 있다 이거때매 ISMS 인증 받는거겠지

 

47조 2항에 보면 인증을 받아야 하는 대상이 주요정보통신서비스 제공자인데

정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명 이상 이라고 하니깐

여기 해당되면 받아야겠다

 

시행령에 보면 인증 받을 때 어떤 것들 보는건지 나와있고..

 

시행규칙에 개인정보 보호법 제32조2에 따라 개인정보 보호 인증을 받거나(이게 ISMS-P 겠지)

정보통신기반 보호법 제9조에 따라 취약점 분석 평가를 받으면 인증심사의 일부를 생략할 수 있다고 한다(어디까지 생략?)

 

개인정보 보호법

제32조2에 보면 개인정보처리자에 대해 인증 받는다고 되어있고

개인정보처리자가 뭐냐면 업무할 때 개인정보 사용하는 모든 기관이라 보면 되겠다

무튼 W는 개인정보처리자니깐 이 법에 따라서 개인정보 보호 인증을 받으면 되겠다

ISMS 받을지, ISMS-P 받을지는 선택사항 이라고 되어있긴 한데 개인정보 처리하면 걍 다 ISMS-P 받는것 같다

개인정보보호호 협회 참고 : https://www.opa.or.kr/front/content/contentViewer.do?contentId=CONTENT_0000191

ISMS-P 세부점검항목을 보면 2.11.2 취약점 점검 및 조치 요 부분 때문에 취약점 진단을 한다고 보면 되겠다

 

정보통신기반 보호법

제9조에 주요정보통신기반시설에 대해 취약점을 분석 평가해야 한다고 되어 있다

여기서 관리기관이 취약점을 분석 평가하라고 되어있는데 관리기관에 대한 설명은 아래 참고(걍 정보보호부서 같은거)

정보통신기반 보호법도 시행령이 있는데 여기 어떻게 취약점 분석 평가 하면 되는지 자세히 나와있다

주요정보통신기반시설이면 매년 해야 한다고 되어 있음

 

글고 전자금융거래법이라고 말 그대로 전자금융거래 관련된 기관 대상으로 법이 있는데

여기도 21조에서 전자금융업자는 취약점 분석 평가를 받아야 한다고 되어있다

그래서 전자금융거래법에 따라 뭘 어떻게 하면 되는지 규정해 놓은 전자금융감독규정 이란게 있는데

37조에 보면 취약점 분석 평가를 연 1회 이상(홈페이지는 6개월에 1회 이상) 해야 한다고 되어 있다

그래서 W는 1년에 2번 한다고 함

 

결론은 정보통신망법 때문에 인증심사를 반드시 받아야 하는데

개인정보처리자면 ISMS-P, 주요정보통신기반시설이면 ISMS 선택해서 받으면 되는데

W는 둘다 해당되니깐 걍 ISMS-P 받는거고

근데 전자상거래도 하니깐 전자금융거래법 때문에 1년에 2회 취약점 분석 평가하는 대상이 있는것

 

팀장님이 법 말고 고시에 어떻게 조치하면 되는지 자세히 나와있다고 고시를 참고하라고 함

- 개인정보의 기술적 관리적 보호조치 기준

- 개인정보의 안전성 확보조치 기준

- 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시