2.10.5 정보전송 보안

2. 보호대책 요구사항 > 2.10 시스템 및 서비스 보안관리 > 2.10.5 정보전송 보안

항목		상세내용
2.10.5	정보전송 보안	타 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 조직간 협의를 통해 관리 책임, 전송방법, 개인정보 및 중요정보 보호를 위한 기술적 보호조치 등을 협약하고 이행하여야 한다.
주요 확인사항		ㆍ외부 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 있는가? ㆍ업무상 조직 간 개인정보 및 중요정보를 상호교환하는 경우 안전한 전송을 위한 협약체결 등 보호대책을 수립•이행하고 있는가?
관련 법규		ㆍ개인정보보호법 시행령 제30조(개인정보의 안전성 확보 조치) ㆍ전자금융거래법 제21조(안전성의 확보의무)

 

● 중요사안

- 조직 또는 계열사 간 업무수행을 위하여 중요정보를 전자적으로 상호 교환하는 경우 안전한 전송을 위한 협약(보안약정서, 계약서, 부속합의서, SLA 등)을 체결하고 이에 따라 이행하여야 한다.

 

● 운영현황

- 중요정보를 상호 전송하는 연계 조직간 정보보호협약서를 체결하고 있으며, 이를 근거로 관리적•기술적 보호조치 여부를 관리 및 감독하고 있음
  > 업무목적 및 범위, 역할 및 책임, 손해배상 등 기타 법적 요구사항 정의
  > 개인정보 및 중요정보 전송기술 표준 : 암호화 방식, 키관리 절차, 통신방식 등
  > 보안성 검토 결과

 

● 기록(증적자료)

- 보안약정서
- 정보전송 협약서 또는 계약서
- 정보전송 기술표준
- 인터페이스 정의서
- 보안성 검토 결과서

 

● 주요 결함사례

- 조직 간에 개인정보 및 중요정보를 상호 교환하는 경우 안전한 전송을 위한 고객정보 보안 관리 약정서 등 협약을 체결하지 않은 경우
- 개인정보를 인터넷이나 이메일로 전달 시 암호화 등 안전조치를 하지 않고 전달하는 경우
- 대외 기관과 연계 시 전용망 또는 VPN을 적용하고 중계서버와 인증서 적용 등을 통해 안전하게 정보를 전송하고 있으나 외부 기관별 연계 시기, 방식, 담당자 및 책임자, 연계정보, 법적 근거 등에 대한 현황관리가 적절히 이루어지지 않은 경우
- 중계과정에서의 암호 해제 구간 또는 취약한 암호화 알고리즘 사용 등에 대한 보안성 검토, 보안표준 및 조치방안 수립 등에 대한 협의가 이행되고 있지 않은 경우