ISMS(정보보호관리체계) 인증 기준 2.7.1 암호정책 적용

2. 보호대책 요구사항 > 2.7 암호화 적용 > 2.7.1 암호정책 적용

항목		상세내용
2.7.1	암호정책 적용	개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장•전송•전달 시 암호화를 적용하여야 한다.
주요 확인사항		ㆍ개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 등이 포함된 암호정책을 수립하고 있는가? ㆍ암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가?
관련 법규		ㆍ개인정보보호법 제24조의2(주민등록번호 처리의 제한) ㆍ개인정보보호법 제29조(안전조치의무) ㆍ개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화)

 

● 중요사안

- 관리자 페이지 접속구간에 대한 암호화가 적용되어 있는지 확인한다.
- 게시판의 비밀번호 암호화 적용여부를 확인한다.
- 시스템 접속 비밀번호에 대한 암호화 적용여부를 확인한다.
- 암호화 대상선정 및 대상별 적합한 암호화 방식을 선정하고 있는지 확인한다.
- 전산망 통한 정보전송 및 보조저장장치(USB, 외장하드디스크 등)를 통한 전송시 암호화하고 있는지 확인한다.
- 개인정보취급자 PC 내 개인정보에 대하여 암호화하고 있는지 확인한다.

 

● 운영현황

- 암호화 키 생명주기를 식별하고 각 단계별 안전한 보안관리 대책을 수립/시행하고 있음
- 고유식별정보, 신용카드번호, 계좌번호, 생체인식정보, 비밀번호를 안전한 암호화 알고리즘으로 저장하고 있음
- 정보통신망을 통한 송/수신 시 SSL인증서를 설치하여 전송하는 정보를 암호화 송수신하고 있음
- 암호화키 관리, 암호화 정책 등에 관한 사항을 문서로 관리하고 있음

 

● 기록(증적자료)

- 암호정책 문서
- 암호화 알고리즘 적용 현황

 

● 주요 결함사례

- SSL인증서를 설치하여 암호화 송수신을 하고 있으나 안전하지 않은 버전(TLS 1.0/1.1)을 사용하는 경우
- 내부 정책 및 지침에 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 중요정보 전송 및 저장 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되어 있지 않은 경우
- 내부 정책 및 지침에 명시하고 있는 바와 달리, 데이터베이스 또는 파일에 암호화 대상 정보(고유식별정보 등)가 내부 지침 등에 정한 방법으로 암호화되지 않은 평문으로 저장되어있거나 취약한 암호화 알고리즘(MD5, SHA1, DES 등)으로 저장되어 있는 경우
- 내부 정책 및 지침에 명시하고 있는 바와 달리, 일부 응용프로그램에서 패스워드가 암호화 대상 정보를 안전하지 않은 방식(평문 또는 BASE64 인코딩 전송, 소스코드 내 암•복호화 키 및 관련 함수 노출 등)으로 전송하고 있는 경우