KR20150029513A - 개인정보보호 측정 시스템 및 방법 - Google Patents
개인정보보호 측정 시스템 및 방법 Download PDFInfo
- Publication number
- KR20150029513A KR20150029513A KR20140019775A KR20140019775A KR20150029513A KR 20150029513 A KR20150029513 A KR 20150029513A KR 20140019775 A KR20140019775 A KR 20140019775A KR 20140019775 A KR20140019775 A KR 20140019775A KR 20150029513 A KR20150029513 A KR 20150029513A
- Authority
- KR
- South Korea
- Prior art keywords
- information protection
- server
- item
- security
- personal information
- Prior art date
Links
- 238000000034 method Methods 0.000 title claims abstract description 37
- 238000005259 measurement Methods 0.000 claims abstract description 90
- 230000009471 action Effects 0.000 claims description 130
- 238000011156 evaluation Methods 0.000 claims description 21
- 230000002265 prevention Effects 0.000 claims description 8
- 238000001514 detection method Methods 0.000 claims description 5
- 238000013480 data collection Methods 0.000 claims description 2
- 230000002194 synthesizing effect Effects 0.000 abstract 1
- 230000000875 corresponding effect Effects 0.000 description 9
- 230000000704 physical effect Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 7
- 238000000691 measurement method Methods 0.000 description 6
- 238000010586 diagram Methods 0.000 description 4
- 238000012544 monitoring process Methods 0.000 description 4
- 238000004891 communication Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000004044 response Effects 0.000 description 3
- 238000010276 construction Methods 0.000 description 2
- 230000006378 damage Effects 0.000 description 2
- 230000007812 deficiency Effects 0.000 description 2
- 238000012217 deletion Methods 0.000 description 2
- 230000037430 deletion Effects 0.000 description 2
- 238000012986 modification Methods 0.000 description 2
- 230000004048 modification Effects 0.000 description 2
- 230000008520 organization Effects 0.000 description 2
- 230000001360 synchronised effect Effects 0.000 description 2
- 238000012790 confirmation Methods 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 238000003745 diagnosis Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 238000011002 quantification Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/10—Services
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N7/00—Television systems
- H04N7/18—Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast
Landscapes
- Engineering & Computer Science (AREA)
- Business, Economics & Management (AREA)
- Theoretical Computer Science (AREA)
- General Health & Medical Sciences (AREA)
- Health & Medical Sciences (AREA)
- Tourism & Hospitality (AREA)
- Signal Processing (AREA)
- General Engineering & Computer Science (AREA)
- Bioethics (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- General Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Economics (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- General Business, Economics & Management (AREA)
- Multimedia (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
본 발명은 개인정보보호법 준수를 위한 지표를 시스템화하여 현재 기업에서 관리되고 있는 개인정보보호 준수 상태를 지표 항목별로 측정하고, 기업이 보유한 보안솔루션을 연동하여 기술적 조치에 대한 지표를 측정한 후 이를 종합하여 기업이 갖고 있는 문제점을 쉽게 파악하고 부실한 지표항목에 대해 관리적, 기술적 조치를 취할 수 있도록 체계적으로 관리하는 서버 및 방법을 제공한다.
Description
본 발명은 공공기관이나 기업 등에서 개인정보보호법을 준수하고 있는지를 측정하는 시스템 및 방법에 관한 것이다.
현재 국내에서는 개인정보의 수집, 이용, 제공, 파기 등 보호 기준과 안정성 조치를 강화한 개인정보보호법인 2012년 3월 30일자로 본격 시행되고 있다. 이에 따라 개인정보보호법은 그간 공공기관과 정보통신사업자, 신용정보 제공업자 등 일부 사업자에 적용되던 개인정보보호 의무가 공공기관은 물론 서비스업, 1인 사업자, 의료기관 등 350만에 이르는 개인 정보처리자로 확대되었다.
이에 따라 개인정보보호법 준수를 위하여 공공기관 및 기업에서는 기술적 조치, 관리적 조치 등을 수행하여 개인정보보호 의무를 수행하고 있다. 그러나 이에 대한 관리실태가 미흡하여 개인정보 보유기간 과다 산정, 개인정보 관리 미흡, 파기절차 미준수 등 개인정보보호에 대한 관리가 총체적으로 심각한 수준이다.
따라서 공공기관이나 기업등에서 개인정보보호법을 준수하는지를 원격에서 쉽게 파악하고 미흡한 점을 찾아 보완 또는 시정할 수 있도록 하는 시스템이 요구된다.
본 발명이 이루고자 하는 기술적 과제는 공공기관이나 기업 등에서 개인정보보호법을 준수하고 있는지를 측정하고 평가하는 시스템 및 방법을 제공하는 것이다.
상기 기술적 과제를 달성하기 위한 본 발명은 제1 대상기업에 대한 개인정보보호의 준수 여부를 측정하기 위한 개인정보보호 측정 시스템을 제공한다. 이 개인정보보호 측정 시스템은 외부에 제공하는 서비스를 위한 웹서버(web server), 또는 DBMS(DataBase Management System) 서버, 내부 업무를 위한 로컬 서버(intranet server) 등의 서버 중 적어도 하나로 구성된 서버군,
상기 제1 대상기업의 직원 또는 보안담당자에 의해 사용되는 적어도 하나의 사용자 단말로 이루어진 사용자단말군, 타보안업체에서 상기 제1 대상기업에 설치한 적어도 하나의 보안용 장비를 포함하는 타 보안장비군, 상기 서버군, 상기 사용자단말군 및 상기 타 보안장비군에 대하여 상기 보안 정책에 따른 보안 동작을 수행하는 적어도 하나의 보안 장비를 포함하는 보안장비군, 그리고 외부 인터넷과 내부 네트워크 사이에 위치하며, 상기 서버군, 상기 사용자단말군, 상기 타 보안장비군 및 상기 보안장비군에 대하여 개인정보보호법에서 제시하는 안전성 확보 조치에 근거한 복수의 관리적 조치 항목과 복수의 기술적 조치 항목에 대하여 항목 데이터 수집, 기술적조치 측정, 관리적조치 측정 및 항목 평가를 수행하는 정보보호 측정서버를 포함하며, 상기 보안장비군, 상기 서버군, 상기 사용자단말군과 상기 타 보안장비군을 포함하여 상기 제1 대상기업의 상기 내부 네트워크를 형성한다.
상기에서 정보보호 측정서버는 방화벽 내에 설치되며, 상기 개인정보 측정서버는 UTM(United Threat Management)을 탑재할 수 있다.
상기 보안장비군은 침입탐지 시스템(IDS; Intrusion Detection System), 침입방지 시스템(IPS; Intrusion prevention System), 침입차단 시스템(firewall), UTM(United Threat Management), L2 스위치, L3 스위치, L4 스위치, DDOS(Distributed Denial of Service) 방지 장비 중 적어도 2 이상을 포함한다.
상기에서 관리적 조치 항목은 개인정보보호법에서 제시하는 안전성 확보 조치에 근거한 조치 항목 중 정보보호 담당자에 의해 체크되어 담당자의 단말을 통해 제공되는 조치 항목이며, 상기 기술적 조치 항목은 상기 보안장비군, 상기 서버군, 상기 사용자 단말 및, 상기 타 보안장비군으로부터 자동으로 획득되는 조치 항목이다.
상기에서 기술적조치 측정은 내부 네트워크를 이루고 있는 각 구성 및 보안 솔루션과 연동하여 획득한 상기 기술적 조치 항목과 관련된 특정 데이터를 측정하고 및 수치화한 후, 수치화한 값을 설정된 해당 기준값과 비교하여 측정 결과를 산출한다. 그리고 상기 관리적조치 측정은 상기 정보보호 담당자의 단말로부터 획득한 상기 관리적 조치 항목에 대한 결과 데이터와 증빙 자료 포함 유무를 알리는 데이터를 파악하고 이를 수치화한 후 수치화한 값을 설정된 해당 기준값과 비교하여 측정 결과를 산출한다.
상기 항목 평가는 상기 기술적조치 측정과 상기 관리적조치 측정을 통해서 얻어진 측정 결과를 통해 최종적으로 상기 제1 대상기업에서 개인정보보호법에서 제시한 상기 관리적 조치 항목 및 이의 세부 항목과 상기 기술적 조치 항목 및 이의 세부에 대한 점수를 해당 기준값과 비교하여 해당 측정 결과가 설정 기준값에 대비하여 어느 정도인지를 파악하여 해당 항목에 대한 평가를 수행한다.
상기 기술적 과제를 달성하기 위한 본 발명은 제1 대상기업의 내부 네트워크를 형성하는 서버군, 사용자단말군, 타 보안장비군과 보안장비군을 통해 상기 제1 대상기업에 대한 개인정보보호의 준수 여부를 측정하기 위한 개인정보보호 측정서버에서의 개인정보보호 측정 방법에 있어서, 보안책임자 단말로부터 개인정보보호법에서 제시하는 안전성 확보 조치에 근거한 복수의 관리적 조치 항목 및 복수의 기술적 조치 항목에 대한 등록 요청을 수신하는 제1 단계, 상기 정보보호 측정서버에서, 상기 복수의 관리적 조치 항목과 상기 복수의 기술적 조치 항목을 등록하고 상기 복수의 관리적 조치 항목과 상기 복수의 기술적 조치 항목을 측정 및 평가하기 위한 스케쥴 정보를 등록하는 제2 단계, 상기 정보보호 측정서버에서, 상기 등록된 스케쥴 정보에 따라 신규 회차의 개인정보보호 측정 동작의 시작을 파악하는 제3 단계, 상기 정보보호 측정서버에서, 상기 제1 대상기업의 정보보호 담당자의 단말로 상기 복수의 관리적 조치 항목에 대한 관리적 조치 수행을 알려 상기 정보보호 담당자의 단말로부터 상기 관리적 조치 항목에 대한 상기 복수의 관리적 조치 항목에 대한 데이터를 수집하는 제4 단계, 상기 제4 단계와 동시에, 상기 정보보호 측정서버에서 상기 내부 네트워크의 각 구성으로부터 상기 기술적 조치 항목에 대한 데이터를 수집하는 제5 단계, 상기 복수의 관리적 조치 항목에 대한 데이터를 이용하여 관리적조치 측정을 수행하고, 상기 복수의 기술적 조치 항목에 대한 데이터를 이용하여 기술적조치 측정을 수행하는 제6 단계, 그리고 상기 관리적조치 측정의 결과를 이용하여 상기 복수의 관리적 조치 항목 각각에 대한 항목 평가를 수행하고, 상기 기술적조치 측정의 결과를 이용하여 상기 복수의 기술적 관리 조치 항목 각각에 대한 항목 평가를 수행하는 제7 단계를 포함한다.
상기에서 제1 대상기업의 지점에 제2 내부 네트워크가 형성되어 있고, 상기 제2 내부 네트워크의 각 구성을 상기 제1 대상기업의 지점에 대한 개인정보보호의 준수 여부를 측정하기 위한 제2 정보보호 측정서버가 구축된 경우에, 상기 제2 단계 이후에, 상기 정보보호 측정서버는 등록된 상기 복수의 관리적 조치 항목과 상기 복수의 기술적 조치 항목 및, 등록된 상기 스케쥴 정보를 상기 제2 정보보호 측정서버에 제공하여 정보를 동기화시키는 단계와, 상기 제5 단계 이후에, 상기 정보보호 측정서버는 상기 제2 정보보호 측정서버로부터 상기 제2 내부 네트워크에 대한 상기 복수의 관리적 조치 항목에 대한 데이터 및 상기 복수의 기술적 조치 항목에 대한 데이터를 수집하는 단계를 더 포함한다.
본 발명의 실시 예에 따르면, 공공기관이나 기업 등에서의 개인정보보호를 위한 다양한 항목을 원격에서 개인정보보호법을 기반으로 측정하고 평가하며 각 항목별 평가결과를 지표로 제공함으로써, 공공기관이나 기업에게 개인정보보호에 미흡한 부분이나 개선할 사항을 즉시 알릴 수 있게 한다.
도 1은 본 발명의 제1 실시 예에 따른 개인정보보호 측정 시스템의 네트워크 구성도이다.
도 2는 본 발명의 제2 실시 예에 따른 개인정보보호 측정 네트워크의 구성도이다.
도 3은 본 발명의 실시 예에 따른 개인정보보호 측정 방법에서 조치 항목 초기 등록 과정을 보인 데이터 흐름도이다.
도 4는 본 발명의 실시 예에 따른 개인정보보호 측정 방법에서 증빙자료 항목 관리 과정을 보인 데이터 흐름도이다.
도 5는 본 발명의 실시 예에 따른 개인정보보호 측정 방법에서 조치 항목의 관리 과정을 보인 데이터 흐름도이다.
도 6은 본 발명의 실시 예에 따른 개인정보보호 측정 과정을 보인 데이터 흐름도이다.
도 7은 본 발명의 실시 예에 따른 개인정보보호 측정 결과를 보인 제1 예시도이다.
도 8은 본 발명의 실시 예에 따른 개인정보보호 측정 결과를 보인 제2 예시도이다.
도 9는 본 발명의 실시 예에 따른 개인정보보호 측정 결과를 보인 제3 예시도이다.
도 10은 본 발명의 실시 예에 따른 개인정보보호 측정 결과를 보인 제4 예시도이다.
도 11은 본 발명의 실시 예에 따른 개인정보보호 측정 결과를 보인 제5 예시도이다.
도 2는 본 발명의 제2 실시 예에 따른 개인정보보호 측정 네트워크의 구성도이다.
도 3은 본 발명의 실시 예에 따른 개인정보보호 측정 방법에서 조치 항목 초기 등록 과정을 보인 데이터 흐름도이다.
도 4는 본 발명의 실시 예에 따른 개인정보보호 측정 방법에서 증빙자료 항목 관리 과정을 보인 데이터 흐름도이다.
도 5는 본 발명의 실시 예에 따른 개인정보보호 측정 방법에서 조치 항목의 관리 과정을 보인 데이터 흐름도이다.
도 6은 본 발명의 실시 예에 따른 개인정보보호 측정 과정을 보인 데이터 흐름도이다.
도 7은 본 발명의 실시 예에 따른 개인정보보호 측정 결과를 보인 제1 예시도이다.
도 8은 본 발명의 실시 예에 따른 개인정보보호 측정 결과를 보인 제2 예시도이다.
도 9는 본 발명의 실시 예에 따른 개인정보보호 측정 결과를 보인 제3 예시도이다.
도 10은 본 발명의 실시 예에 따른 개인정보보호 측정 결과를 보인 제4 예시도이다.
도 11은 본 발명의 실시 예에 따른 개인정보보호 측정 결과를 보인 제5 예시도이다.
아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.
이제, 도면을 참조하여 본 발명의 실시 예에 따른 개인정보보호 측정 시스템 및 방법에 대하여 상세히 설명하기로 한다.
도 1은 본 발명의 제1 실시 예에 따른 개인정보보호 측정 시스템의 네트워크 구성도이다. 도 1에 도시된 개인정보보호 측정 시스템은 기업 또는 기관 등이 국지적인 장소에만 위치한 경우에 대한 것이다. 즉, 기업 또는 기관 등이 원격지에 지점이나 분점 등을 가지지 않는 경우에 대한 것이다.
도 1에 도시된 바와 같이, 본 발명의 제1 실시 예에 따른 개인정보보호 측정 시스템은 정보보호 측정서버(100), 보안장비군(200), 서버군(300), 사용자 단말군(400)와 타 보안장비군(500)을 포함한다.
정보보호 측정서버(100)는 외부 인터넷과 내부 네트워크 사이에 위치한다. 예컨대, 정보보호 측정서버(100)는 방화벽(firewall) 내에 설치된다. 이러한 정보보호 측정서버(100)는 책임자 단말(10)과 유선 또는 무선으로 연결되어 책임자 단말(10)의 제어하에 동작한다. 정보보호 측정서버(100)는 개인정보보호법에서 제시하는 안전성 확보 조치에 근거한 다양한 조치 항목을 설정하고 있으며, 설정된 다양한 조치 항목에 대한 측정 및 평가를 수행하여 개인정보보호법에 근거한 기준에 어느 정도 만족하였는지를 판단한다.
정보보호 관리적 조치 항목과 기술적 조치 항목에 대하여 항목 데이터 수집, 기술적조치 측정, 관리적조치 측정 및 항목 평가를 수행한다.
관리적 조치 항목과 기술적 조치 항목은 개인정보보호법에서 제시하는 조치 항목으로, 관리적 조치 항목은 정보보호 담당자 즉, 내부 네트워크의 각 장비를 사용하거나 담당하는 자에 의해 제공되는 조치 항목이며, 기술적 조치 항목은 보안장비군(200), 서버군(300), 사용자 단말(400) 및 타 보안장비군(500)으로부터 획득되는 조치 항목이다. 관리적 조치 항목과 기술적 조치 항목은 복수개의 세부 항목으로 이루어진다.
기술적조치 측정은 내부 네트워크를 이루고 있는 각 장비(200, 300, 400, 500) 및 보안 솔루션과 연동하여 획득한 기술적 조치 항목과 관련된 특정 데이터를 측정하고 및 수치화한 후, 수치화한 값을 설정된 기준값(항목마다 다를 수 있음)과 비교하여 측정 결과(예; 점수)를 산출한다. 이때 특정 데이터는 수량이나 횟수 등에 대한 데이터이거나 그렇다 또는 그렇지 않다라는 어떤 조건에 따른 유무를 나타내는 데이터이다. 어떤 조건이라는 것은 예컨대, 하기 표 4에 기재된 시스템 구축 항목의 서버 보안 항목과 같이 '1개월마다 전체 백업 시행 등 백업 규정을 준수하였는가?"라던지, 시스템 연동 항목의 사내망 시스템간 연동 항목과 같이 "시스템 연동에 대한 이력관리가 이루어지고 있는가?" 등이다.
관리적조치 측정은 사용자 단말군(400)에 포함된 담당자 단말(미도시)로부터 획득한 관리적 조치 항목에 대한 결과 데이터와 증빙 자료 포함 유무를 알리는 데이터를 파악하고 이를 수치화한 후 수치화한 값을 설정된 기준값(항목마다 다를 수 있음)과 비교하여 측정 결과(예; 점수)를 산출한다. 관리적 조치 측정에서는 각 항목별로 해당 항목과 관련된 증빙자료를 반드시 등록해야 측정 결과에 반영되도록 한다.
항목 평가는 기술적조치 측정과 관리적조치 측정을 통해서 얻어진 측정 결과를 통해 최종적으로 기업 또는 기관(다수의 지점이 있는 경우 각 지점별로) 등에서 개인정보보호법에서 제시한 관리적 조치 항목 및 이의 세부 항목과 기술적 조치 항목 및 이의 세부에 대한 점수를 기준값(즉, 보안 적정 또는 보안 미달을 판단하는 기준이되는 값)과 비교하여 해당 점수가 기준값에 대비하여 어느 정도인지를 파악하여 해당 항목에 대한 평가를 수행한다.
또한 정보보호 측정서버(100)는 항목관리, 증빙자료 설정, 보안장비 연동 등의 기능을 수행한다. 지표관리 기능은 조치 항목을 등록 및 관리하고, 자동 스케줄러에 의하여 조치 항목에 대한 측정 시기에 대한 측정 스케줄을 생성하는 기능이다. 증빙자료 설정기능은 각 조치 항목별로 증빙자료가 필요한 조치 항목에 대해서 관련 증빙자료를 제시하여 담당자가 이를 참조하여 증빙자료를 작성후 첨부하여 정보보호 측정서버(100)에 제공할 수 있도록 하는 기능이다. 보안장비 연동기능은 개인정보보호법 준수를 위한 보안 장비, 솔루션 등과 연동하여 각 장비/솔루션 이벤트 정보를 수집하고, 수집된 솔류션/장비별 이벤트를 기반으로 기술적 조치 항목을 지표화하여 각 기술적 조치 항목에 대한 점수를 산출할 수 있게 하는 기능이다.
보안장비군(200)은 내부 네트워크 장비에 대하여 보안 정책에 따른 보안 동작을 수행하는 각종 장비를 통칭한다. 보안장비군(200)에 포함되는 보안장비의 예로는 침입탐지 시스템(IDS; Intrusion Detection System), 침입방지 시스템(IPS; Intrusion prevention System), 침입차단 시스템(firewall), UTM(United Threat Management). L2 스위치, L3 스위치, L4 스위치, DDOS(Distributed Denial of Service) 방지 장비 등이 있으며, 보안장비군(200)는 2 이상의 보안 장비를 구성으로 한다.
서버군(300)은 내부 네트워크를 구성하는 하나의 구성요소로서, 기업 또는 기관 등에서 외부에 제공하는 서비스를 위한 웹서버(web server), 또는 DBMS(DataBase Management System) 서버, 내부 업무를 위한 로컬 서버(intranet server) 등의 서버 중 적어도 하나를 구성으로 한다.
사용자 단말군(400)는 기업 또는 기관의 직원이 사용하는 컴퓨터나 노트북 등으로 이루어지며, 기업 또는 기관 내에서 개인정보보호를 담당하는 담당자의 단말(컴퓨터 또는 노트북 등)을 포함한다. 타 보안장비군(500)은 기업 또는 기관 등에 설치된 타 업체의 보안장비로서, 외부업체가 설치한 CCTV, 문이나 창문 등에 설치된 감지센서, 경보장치 등으로 이루어진다.
한편, 보안장비군(200)에 포함된 UTM은 정보보호 측정서버 내에 탑재될 수 있다. 또 한편, 도 1에 도시하지 않았지만, 본 발명의 실시 예에 따른 개인정보보호 측정 시스템은 관제 서버를 더 포함할 수 있으며, 관제 서버는 정보보호 측정서버(100)에 의해 측정된 결과물을 수신하여 정보보호 책임자가 원격에서 관제 서버를 통해 특정 기업이나 기관 또는 복수의 기업이나 기관 등에서 개인정보보호법에 따른 안정성 확보 조치 여부를 만족하는지를 디지털 수치나 그래프 등을 통해 확인할 수 있게 한다.
여기서, 관리적 조치 항목 및 세부 항목, 그리고 기술적 조치 항목 및 이의 세부 항목은 다음의 표 1 내지 표 6과 같다. 이하의 표에 기재된 조치 항목은 본 발명의 실시 예에 따른 개인정보보호 측정 시스템이 적용된 사업장이 은행인 경우를 예로 한 것이다. 개인정보보호법에서 제시하는 안전성 확보 조치에 근거한 다양한 조치 항목은 적용되는 사업장의 종류나 특성에 따라 약간의 차이를 가진다.
하기에서 표 1 내지 표 3은 관리적 조치 항목에 관한 것이고, 표 4 내지 도 6은 기술적 조치 항목에 관한 것이다.
상기 표 1에 기재된 바와 같이, 관리적 조치 항목은 경비에 관련한 조치 항목을 포함하며, 경비에 관련된 조치 항목에 대한 세부 항목은 객장 경비, 당번근무, 사고예방 및 비상연락망을 포함한다. 이러한 관리적 조치 항목에 대하여 담당자는 각 세부 항목에 대한 점검사항의 가부(可否)를 체크하여 담당자 단말을 통해 개인정보 보호서버(100)에 제공한다.
상기 표 2 및 표 3에 기재된 바와 같이, 관리적 조치 항목은 보안, 시설, 소방, 장비, 및 기타 항목에 관련한 조치 항목을 포함하며, 보안의 세부 항목은 일일보안을 포함하고, 시설의 세부 항목은 시간외 출입문 및 자동화 코너를 포함하며, 소방의 세부 항목은 가스시설, 소화기 및 화재를 포함하고, 장비의 세부 항목은 CCTV, 경비장비 및 비상벨을 포함한다.
표 1과 더불어, 표 2 및 표 3에 기재된 관리적 조치 항목에 대하여 담당자는 각 세부 항목에 대한 점검사항의 가부(可否)를 체크하여 담당자 단말을 통해 개인정보 보호서버(100)에 제공한다. 관리적 조치 항목의 각 세부 항목에 대한 설명은 표 1 내지 3의 점검항목에 기재되어 있으므로, 자세한 설명은 생략한다.
상기 표 3 내지 표 6에 기재된 바와 같이, 기술적 조치 항목은 시스템 구축, 시스템 연동, 시스템 원격검침, 시스템 원격접속, 어플리케이션 개발 및, 개인정보를 포함한다.
시스템 구축의 세부 항목은 서버 보안, 접근 제어시스템 수용, 취약점 진단 및 조치 등과, 서버 보안을 포함한다. 시스템 연동의 세부 항목은 사내망 시스템간 연동 및 사내망과 시외망 시스템간 연동을 포함한다. 시스템 원격접속의 세부 항목은 원격접속을 포함하고, 시스템 원격접속은 원격접속, 접근권한 및 접속로그 관리를 포함한다. 어플리케이션 개발의 세부 항목은 개인정보 취급, 개인정보취급 방침, 개인정보 암호화, 어플리케이션 개발, 접근 통제 및 로그 관리를 포함한다.
이러한 기술적 조치 항목에 대하여 정보보호 측정서버(100)는 보안장비군(200)의 각 보안장비 및 서버군(300)의 DBMS 서버 등으로부터 관련 정보를 취득한다.
도 2는 본 발명의 제2 실시 예에 따른 개인정보보호 측정 시스템의 네트워크 구성도이다. 도 2에 도시된 개인정보보호 측정 시스템은 본점이 있고 원격지에 지점이나 분점 등을 가지지 않는 경우에 대한 것이다. 예컨대, 본점이 서울에 있고, 성남, 인천, 대구, 대전, 부산 등에 지점 등이 있는 경우에 대한 것으로, 이하의 실시 예에서는 하나의 본점과 2개의 지점을 가진 기업 또는 기관 등에 적용되는 경우에 대한 것이다.
본 발명의 제2 실시 예에 따른 개인정보보호 측정 시스템은 본점 서버(100a), 제1 지점서버(100b), 제2 지점서버(100c), 본점에서 내부 네트워크를 형성하는 본점 네트워크장비(A), 제1 지점에서 내부 네트워크를 형성하는 제1지점 네트워크장비(B)와, 제2 지점에서 내부 네트워크를 형성하는 제2지점 네트워크장비(C)를 포함한다.
본점 서버(100a), 제1 지점서버(100b)와 제2 지점서버(100c) 각각은 본 발명의 제1 실시 예에서 정보보호 측정서버(100)와 동일하다.
다만 본 발명의 제1 실시 예와 달리, 본점 서버(100a)는 제1 지점서버(100b) 및 제2 지점서버(100c)간에 데이터 통신이 가능하도록 구성되며, 제1 지점서버(100b) 및 제2 지점서버(100c)로부터 수신되는 관리적 조치 항목 및 기술적 조치 항목에 대한 측정 결과 또는 항목 평가를 수신하여, 본점, 제1 지점 및 제2 지점의 네트워크장비(A, B, C)를 통합하는 전체적인 항목 평가를 수행한다. 또한 제1 및 제2 지점서버(100b, 100c)는 제1지점 네트워크장비(B) 또는 제2지점 네트워크장비(C)에 대한 기술적 조치 항목 및 관리적 조치 항목에 대한 항목 측정 또는 항목 평가를 본점 서버(100a)에 제공한다.
본점 네트워크장비(A) 및 제1 및 제2지점 네트워크장비(B, C)는 본 발명의 제1 실시 예에서 서술한 보안장비군(200), 서버군(300), 사용자 단말군(400) 및 타 보안장비군(500)을 포함한다. 물론 제1 지점이나 제2 지점에 보안장비군(200)이 설치되어 있지 않으면, 보안장비군(200)은 네트워크장비(B, C)에서 제외된다.
이하에서는 도 3 내지 도 6을 참조로 하여 본 발명의 실시 예에 따른 개인정보보호 측정 시스템의 동작을 설명한다.
도 3은 본 발명의 실시 예에 따른 개인정보보호 측정 방법에서 조치 항목 초기 등록 과정을 보인 데이터 흐름도이다. 도 3에 도시된 바와 같이, 개인정보보호법에서 제시하는 안전성 확보 조치를 만족하고 있는지의 여부를 측정하는 책임을 맡은 책임자는 책임자 단말(10)를 통해 본점 서버(100a)에 접속하고(S301), 접속 인증을 수행한 후 본점 서버(100a)에 조치 항목에 대한 등록을 요청한다(S302).
이에 본점 서버(100a)는 조치 항목을 등록할 수 있는 등록화면(등록창)을 책임자 단말(10)에 제공하고(S303), 책임자는 책임자 단말(10)에 표시된 등록화면을 통해 각 관리적 조치 항목 및 각 기술적 조치 항목, 그리고 이의 세부 항목을 입력하고(S304), 등록을 요청한다(S305).
본점 서버(100a)는 책임자 단말(10)로부터 각 조치 항목 및 이의 세부 항목을 수신하고 등록 요청에 따라 수신한 각 항목의 정보를 등록한다(S306). 이와 동시에 본점 서버(100a)는 등록한 각 조치 항목 및 이의 세부 항목에 대한 정보를 제1 및 제2 지점서버(100b, 100c)로 전송하여 등록 요청한다(S307, S309).
제1 및 제2 지점서버(100b, 100c)는 본점 서버(100a)로부터 각 조치 항목 및 이의 세부 항목에 대한 정보를 수신하면 등록 요청에 따라 이를 등록하여 본점 서버(100a)와 동일한 조치 항목 및 세부 항목을 공유(동기화)한다(S308, S310).
이상의 과정을 통해 책임 담당자가 등록 요청한 해당 기관 또는 기업에 대한 개인정보보호법에 따른 기술적 조치 항목 및 이의 세부 항목, 그리고 관리적 조치 항목 및 이의 세부 항목은 본점 서버(100a) 및 각 지점서버(100b, 100c)가 동기화하여 등록된다.
도 4는 본 발명의 실시 예에 따른 개인정보보호 측정 방법에서 증빙자료 항목 관리 과정을 보인 데이터 흐름도이다. 관리적 조치 항목의 세부 항목 중에는 담당자가 체크해야 할 사항과 더불어, 실질적인 확인을 위한 증빙 자료를 필요로 하는 항목이 존재한다. 이를 위해 본 발명의 실시 예에 따른 정보보호 측정서버(100) 또는, 본점 서버(100a)와 각 지점서버(100b, 100c)는 증빙 자료의 첨부를 가능하게 하는 기능 및 증빙 자료의 첨부 여부를 확인하는 기능을 가진다.
구체적으로 도 4에 도시된 바와 같이, 책임자는 책임자 단말(10)을 통해 본점 서버(100a)에 접속하고 접속 인증을 수행한 후(S401), 증빙자료 항목 편집(또는 등록)을 요청한다(S402). 이에 본점 서버(100a)는 증빙자료 편집 화면을 책임자 단말(10)에 제공하고(S403), 책임자는 책임자 단말(10)의 화면상에 표시된 증빙자료 편집 화면에 표시된 증빙자료 편집 항목(메뉴)를 조작하여, 특정 조치 항목 또는 세부 항목을 선택하고 선택한 특정 조치 항목 또는 세부 항목에 관련된 증빙 자료의 신규 등록 또는 수정 또는 삭제를 하며(S404), 이에 책임자 단말(10)은 본점 서버(100a)에 편집 결과의 등록을 요청한다(S405).
본점 서버(100a)는 사용자의 요청에 따라 해당 조치 항목 또는 세부 항목에 관련된 증빙 자료의 신규 등록(등록할 증빙자료의 종류 정보가 기재됨) 또는 수정 또는 삭제하고, 그 결과를 등록한다(S406).
이와 동시에 본점 서버(100a)는 등록한 증빙 서류에 대한 편집 결과(예; 신규 등록 또는 수정 또는 삭제)를 제1 및 제2 지점서버(100b, 100c)로 전송하여 등록을 요청한다(S407, S409).
이에 제1 및 제2 지점서버(100b, 100c)는 본점 서버(100a)로부터 등록한 증빙 서류에 대한 편집 결과를 수신하면 등록 요청에 따라 이를 등록하여 본점 서버(100a)와 동일한 조치 항목에 대하여 동일한 증빙 서류가 매칭되도록 동기화한다(S408, S410).
도 5는 본 발명의 실시 예에 따른 개인정보보호 측정 방법에서 조치 항목의 관리 과정을 보인 데이터 흐름도이다. 여기서 조치 항목의 관리 과정은 기 등록되어 있는 기술적 조치 항목 및 이의 세부 항목 그리고, 관리적 조치 항목 및 이의 세부 항목에 대하여 추가로 신규 조치 항목 또는 세부 항목을 등록하거나, 기존 조치 항목 또는 세부 항목을 삭제하거나, 수정하는 과정을 말한다.
도 5에 도시된 바와 같이, 책임자는 책임자 단말(10)를 통해 본점 서버(100a)에 접속하고(S501), 접속 인증을 수행한 후 본점 서버(100a)에 조치 항목의 편집을 요청한다(S502).
이에 본점 서버(100a)는 조치 항목을 편집할 수 있는 편집화면(편집창)을 책임자 단말(10)에 제공하고(S503), 책임자는 책임자 단말(10)의 화면상에 표시된 편집 화면에서 편집 항목(메뉴)를 조작하여, 특정 조치 항목 또는 세부 항목을 선택하고 선택한 특정 조치 항목 또는 세부 항목에 대한 신규 등록 또는 수정 또는 삭제를 설정하고, 이에 따라 책임자 단말(10)은 이를 본점 서버(100a)에 알린다(S504).
또한 책임자는 책임자 단말(10)의 화면상에 표시된 편집 화면에서 신규 등록 또는 수정된 항목에 대하여 개인정보보호 측정 시간에 대한 스케쥴 정보를 입력하고, 이에 따라 책임자 단말(10)은 스케쥴 정보를 본점 서버(100a)에 알린다(S505).
본점 서버(100a)는 수신한 사용자의 요청에 따라 해당 조치 항목 또는 세부 항목에 대한 편집 정보 및 스케쥴 정보를 기 저장된 조치 항목에 대하여 편집 동작을 수행하고 편집 결과를 등록한다(S506).
이와 동시에 본점 서버(100a)는 책임자 단말(10)로부터 수신한 편집 정보와 스케쥴 정보를 제1 및 제2 지점서버(100b, 100c)로 전송하여 등록을 요청한다(S507, S509).
이에 제1 및 제2 지점서버(100b, 100c)는 본점 서버(100a)로부터 편집 정보와 스케쥴 정보를 수신하면 등록 요청에 따라 이를 등록하여 본점 서버(100a)와 조치 항목 및 이에 대응한 스케쥴을 동기화한다(S508, S510).
이후, 본점 서버(100a)와 제1 및 제2 지점서버(100b, 100c)에서는 타이머(미도시)를 통해 현재 시간 체크를 수행하고 체크한 현재시간이 등록된 스케쥴 정보에 해당하는지의 여부를 감시하는 감시 동작을 수행한다(S511). 이때 본점 서버(100a)와 제1 및 제2 지점서버(100b, 100c)에서는 각 조치 항목 또는 세부 항목에 대하여 동일한 스케쥴 정보를 가지고 있으므로, 동일한 감시 이벤트(즉, 현재 시간이 스케쥴 정보에 해당하는 이벤트)가 발생한다.
그러므로 본점 서버(100a)와 제1 및 제2 지점서버(100b, 100c)는 동시에 신규 회차에 따른 개인정보보호 측정 동작의 수행의 시작을 파악하고(S512), 이를 각 담당자에게 공지한다(S513).
여기서, 각 조치 항목 또는 세부 항목은 서로 다른 스케쥴 정보를 가질 수 있으며, 이에 따라 각기 다른 시간에 해당 항목에 대한 개인정보보호 측정을 수행하거나 측정을 위해 담당자에게 알리는 공지 동작이 수행된다. 이렇게 각 조치 항목 또는 세부 항목에 대응하여 서로 다른 스케쥴 정보를 가지는 경우에 본점 서버(100a), 제1 및 제2 지점서버(100b, 100c)는 서로 다른 스케쥴 정보에 따라 수집된 정보를 누적 저장한 후, 각 항목에 대한 평가가 이루어지는 시간에 각 조치 항목 및 이의 세부 항목에 대한 측정 또는, 측정 및 평가를 수행하게 된다.
도 6은 본 발명의 실시 예에 따른 개인정보보호 측정 과정을 보인 데이터 흐름도이다. 도 6에서는 제1 지점서버(100b)와 제2 지점서버(100c)가 동일한 동작을 수행하므로, 이해를 돕기 위해 제1 지점서버(100b)의 동작만을 도시하였다.
본점 서버(100a)와 제1 지점서버(100b)는 현재 시간과 등록된 스케쥴 정보를 비교하여 스케쥴 감시를 수행한다(S601). 스케쥴 감시 결과, 현재일 또는 현재 시간이 개인정보보호 측정 시점이면 본점 서버(100a) 및 제1 지점서버(100b)는 개인정보보호 측정 및 평가 동작을 시작한다.
즉, 본점 서버(100a)는 본점에서 개인정보보호에 따른 보안을 담당하는 담당자인 담당자 A의 단말(20)(이하 '담당자 A 단말'이라 함)로 관리적 조치 수행을 알리며(S603), 담당자 A는 담당자 A 단말(20)을 통해 설정된 형식의 관리적 조치 수행 입력 화면을 호출하고, 관리적 조치 수행 입력 화면을 통해 각 관리적 조치 항목 및 세부 항목에 대한 보안 결과를 작성하고, 또한 증빙자료의 첨부를 요구하는 항목에 대하여 증빙자료를 첨부한다. 그런 다음 담당자 A는 담당자 A 단말(20)을 통해 각 관리적 조치 항목 및 세부 항목에 대한 보안 결과, 그리고 증빙자료를 본점 서버(100a)에 제공한다(S605).
제1 지점서버(100b) 또한 제1 지점에서 개인정보보호에 따른 보안을 담당하는 담당자인 담당자 B의 단말(30)(이하 '담당자 B 단말'이라 함)로 관리적 조치 수행을 알리며(S604), 담당자 B는 담당자 B 단말(30)을 통해 설정된 형식의 관리적 조치 수행 입력 화면을 호출하고, 관리적 조치 수행 입력 화면을 통해 각 관리적 조치 항목 및 세부 항목에 대한 보안 결과를 작성하고, 또한 증빙자료의 첨부를 요구하는 항목에 대하여 증빙자료를 첨부한다. 그런 다음 담당자 B는 담당자 B 단말(30)을 통해 각 관리적 조치 항목 및 세부 항목에 대한 보안 결과, 그리고 증빙자료를 본점 서버(100a)에 제공한다(S606).
그리고, 본점 및 제1 지점서버(100a, 100b)는 각각 자신과 연결된 보안장비군(200a, 200b) 및 서버군(300a, 300b) 등으로부터 관리적 조치 항목 및 이의 세부 항목에 관련된 보안 데이터를 요청하고(S607, S608), 이의 응답으로 해당 보안 데이터를 수신한다(S609, S610).
이때, 본점 서버(100a) 및 제1 지점서버(100b)는 보안장비군(200a, 200b)의 각 보안장비로부터 로그(log) 이벤트 정보와 설정 정보 및 기타 보안 관련 정보를 수집하고, 서버군(300a, 300b)의 DBMS 서버 및 기타 서버로부터 로그 이벤트 정보와 DB 설정 정보 등을 수집하여, DLP(Data Loss Prevention), DB 암호화, 접근제어, 침입탐지, 개인정보유출, 침입방지, 네트워크 보안 연동, 사용자 인증 등 보안에 관련된 정보를 파악하고 이를 이용하여 물리적 조치 항목 및 이의 세부 항목에 대한 측정을 수행하고, 측정을 통해 각 조치 항목의 결과를 수치화한 후 수치화한 값을 기준값과 비교하여 점수를 산출한다(S611, S612).
여기서 물리적 조치 항목에 대한 기준값은 수량이나 횟수(또는 수(number))에 대한 값으로, 트래픽 분석/감시인 경우에 수량이고, 접속 제어 등인 경우에는 횟수이며, 어떤 조건에 대한 유무인 경우에도 횟수이다. 그리고 관리적 조치 항목에 대한 기준값은 횟수나 수(number)이다.
따라서 본점 서버(100a)는, 물리적 조치 항목인 경우에는 기준값에 대비하여 측정 결과가 어느 정도인지에 따라 점수를 산출하게 되고, 관리적 조치 항목인 경우에는 기준값에 대비하여 어느 정도 체크 항목(yes인 항목)이 많은지에 따라 점수를 산출한다.
이에 따라 물리적 조치 항목, 관리적 조치 항목 및 이들의 세부 항목 각각은 측정 결과에 따른 점수가 산출된다. 물론 물리적 조치 항목과 관리적 조치 항목은 해당 세부 항목의 점수에 따라 점수가 산출된다.
제1 지점 서버(100b)는 물리적 조치 항목, 관리적 조치 항목 및 이들의 세부 항목에 대한 점수를 산출하면 이에 대한 정보를 본점 서버(100a)에 제공하고(S613), 본점 서버(100a)는 자신의 내부 네트워크에 대한 물리적 조치 항목, 관리적 조치 항목 및 이들의 세부 항목에 대한 점수와, 제1 지점 서버(100b)로부터 수신한 물리적 조치 항목, 관리적 조치 항목 및 이들의 세부 항목에 대한 점수를 이용하여 전체적으로 물리적 조치 항목, 관리적 조치 항목 및 이들의 세부 항목에 대한 평가를 수행한다(S614).
평가는 각 물리적 조치 항목 및 각 관리적 조치 항목에 대하여 개인정보보호가 정상적인지 또는 미달인지를 파악하여 수치화한 것이며, 또한 각 물리적 조치 항목의 세부 항목별 및 각 관리적 조치 항목의 세부 항목별에 대하여 개인정보보호가 정상적인지 또는 주의인지 또는 경고인지 또는 위험인지를 파악하여 수치화한 것이다.
이러한 평가를 통해 수치화한 결과는 도 7 내지 도 11과 그래프 정보로 표현되어 원격지 등에서 확인이 가능하게 된다.
이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.
이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.
Claims (14)
- 제1 대상기업에 대한 개인정보보호의 준수 여부를 측정하기 위한 개인정보보호 측정 시스템에 있어서,
외부에 제공하는 서비스를 위한 웹서버(web server), 또는 DBMS(DataBase Management System) 서버, 내부 업무를 위한 로컬 서버(intranet server) 등의 서버 중 적어도 하나로 구성된 서버군,
상기 제1 대상기업의 직원 또는 보안담당자에 의해 사용되는 적어도 하나의 사용자 단말로 이루어진 사용자단말군,
타보안업체에서 상기 제1 대상기업에 설치한 적어도 하나의 보안용 장비를 포함하는 타 보안장비군,
상기 서버군, 상기 사용자단말군 및 상기 타 보안장비군에 대하여 상기 보안 정책에 따른 보안 동작을 수행하는 적어도 하나의 보안 장비를 포함하는 보안장비군, 그리고
외부 인터넷과 내부 네트워크 사이에 위치하며, 상기 서버군, 상기 사용자단말군, 상기 타 보안장비군 및 상기 보안장비군에 대하여 개인정보보호법에서 제시하는 안전성 확보 조치에 근거한 복수의 관리적 조치 항목과 복수의 기술적 조치 항목에 대하여 항목 데이터 수집, 기술적조치 측정, 관리적조치 측정 및 항목 평가를 수행하는 정보보호 측정서버를 포함하며,
상기 보안장비군, 상기 서버군, 상기 사용자단말군과 상기 타 보안장비군을 포함하여 상기 제1 대상기업의 상기 내부 네트워크를 형성하는 개인정보보호 측정 시스템. - 제1항에서,
상기 정보보호 측정서버는 방화벽(firewall) 내에 설치되는 것을 특징으로 하는 개인정보보호 측정 시스템. - 제1항에서,
상기 보안장비군은 침입탐지 시스템(IDS; Intrusion Detection System), 침입방지 시스템(IPS; Intrusion prevention System), 침입차단 시스템(firewall), UTM(United Threat Management), L2 스위치, L3 스위치, L4 스위치, DDOS(Distributed Denial of Service) 방지 장비 중 적어도 2 이상을 포함하는 것을 특징으로 하는 개인정보보호 측정 시스템. - 제1항에서,
상기 개인정보 측정서버는 UTM(United Threat Management)을 탑재하는 것을 특징으로 하는 개인정보보호 측정 시스템. - 제1항 또는 제2항에서,
상기 관리적 조치 항목은 개인정보보호법에서 제시하는 안전성 확보 조치에 근거한 조치 항목 중 정보보호 담당자에 의해 체크되어 담당자의 단말을 통해 제공되는 조치 항목이며, 상기 기술적 조치 항목은 상기 보안장비군, 상기 서버군, 상기 사용자 단말 및, 상기 타 보안장비군으로부터 자동으로 획득되는 조치 항목인 것을 특징으로 하는 개인정보보호 측정 시스템. - 제5항에서,
상기 기술적조치 측정은 내부 네트워크를 이루고 있는 각 구성 및 보안 솔루션과 연동하여 획득한 상기 기술적 조치 항목과 관련된 특정 데이터를 측정하고 및 수치화한 후, 수치화한 값을 설정된 해당 기준값과 비교하여 측정 결과를 산출하는 것을 특징으로 하는 개인정보보호 측정 시스템. - 제6항에서,
상기 관리적조치 측정은 상기 정보보호 담당자의 단말로부터 획득한 상기 관리적 조치 항목에 대한 결과 데이터와 증빙 자료 포함 유무를 알리는 데이터를 파악하고 이를 수치화한 후 수치화한 값을 설정된 해당 기준값과 비교하여 측정 결과를 산출하는 것을 특징으로 하는 개인정보보호 측정 시스템. - 제7항에서,
상기 항목 평가는 상기 기술적조치 측정과 상기 관리적조치 측정을 통해서 얻어진 측정 결과를 통해 최종적으로 상기 제1 대상기업에서 개인정보보호법에서 제시한 상기 관리적 조치 항목 및 이의 세부 항목과 상기 기술적 조치 항목 및 이의 세부에 대한 점수를 해당 기준값과 비교하여 해당 측정 결과가 설정 기준값에 대비하여 어느 정도인지를 파악하여 해당 항목에 대한 평가를 수행하는 개인정보보호 측정 시스템. - 제1 대상기업의 내부 네트워크를 형성하는 서버군, 사용자단말군, 타 보안장비군과 보안장비군을 통해 상기 제1 대상기업에 대한 개인정보보호의 준수 여부를 측정하기 위한 개인정보보호 측정서버에서의 개인정보보호 측정 방법에 있어서,
보안책임자 단말로부터 개인정보보호법에서 제시하는 안전성 확보 조치에 근거한 복수의 관리적 조치 항목 및 복수의 기술적 조치 항목에 대한 등록 요청을 수신하는 제1 단계,
상기 정보보호 측정서버에서, 상기 복수의 관리적 조치 항목과 상기 복수의 기술적 조치 항목을 등록하고 상기 복수의 관리적 조치 항목과 상기 복수의 기술적 조치 항목을 측정 및 평가하기 위한 스케쥴 정보를 등록하는 제2 단계,
상기 정보보호 측정서버에서, 상기 등록된 스케쥴 정보에 따라 신규 회차의 개인정보보호 측정 동작의 시작을 파악하는 제3 단계,
상기 정보보호 측정서버에서, 상기 제1 대상기업의 정보보호 담당자의 단말로 상기 복수의 관리적 조치 항목에 대한 관리적 조치 수행을 알려 상기 정보보호 담당자의 단말로부터 상기 관리적 조치 항목에 대한 상기 복수의 관리적 조치 항목에 대한 데이터를 수집하는 제4 단계,
상기 제4 단계와 동시에, 상기 정보보호 측정서버에서 상기 내부 네트워크의 각 구성으로부터 상기 기술적 조치 항목에 대한 데이터를 수집하는 제5 단계,
상기 복수의 관리적 조치 항목에 대한 데이터를 이용하여 관리적조치 측정을 수행하고, 상기 복수의 기술적 조치 항목에 대한 데이터를 이용하여 기술적조치 측정을 수행하는 제6 단계, 그리고
상기 관리적조치 측정의 결과를 이용하여 상기 복수의 관리적 조치 항목 각각에 대한 항목 평가를 수행하고, 상기 기술적조치 측정의 결과를 이용하여 상기 복수의 기술적 관리 조치 항목 각각에 대한 항목 평가를 수행하는 제7 단계를 포함하는 개인정보보호 측정 방법. - 제9항에서,
상기 제1 대상기업의 지점에 제2 내부 네트워크가 형성되어 있고, 상기 제2 내부 네트워크의 각 구성을 상기 제1 대상기업의 지점에 대한 개인정보보호의 준수 여부를 측정하기 위한 제2 정보보호 측정서버가 구축된 경우에,
상기 제2 단계 이후에, 상기 정보보호 측정서버는 등록된 상기 복수의 관리적 조치 항목과 상기 복수의 기술적 조치 항목 및, 등록된 상기 스케쥴 정보를 상기 제2 정보보호 측정서버에 제공하여 정보를 동기화시키는 단계와,
상기 제5 단계 이후에, 상기 정보보호 측정서버는 상기 제2 정보보호 측정서버로부터 상기 제2 내부 네트워크에 대한 상기 복수의 관리적 조치 항목에 대한 데이터 및 상기 복수의 기술적 조치 항목에 대한 데이터를 수집하는 단계를 더 포함하는 개인정보보호 측정 방법. - 제9항 또는 제10항에서,
상기 관리적 조치 항목은 개인정보보호법에서 제시하는 안전성 확보 조치에 근거한 조치 항목 중 정보보호 담당자에 의해 체크되어 담당자의 단말을 통해 제공되는 조치 항목이며, 상기 기술적 조치 항목은 상기 보안장비군, 상기 서버군, 상기 사용자 단말 및, 상기 타 보안장비군으로부터 자동으로 획득되는 조치 항목인 것을 특징으로 하는 개인정보보호 측정 방법. - 제11항에서,
상기 기술적조치 측정은 내부 네트워크를 이루고 있는 각 구성 및 보안 솔루션과 연동하여 획득한 상기 기술적 조치 항목과 관련된 특정 데이터를 측정하고 및 수치화한 후, 수치화한 값을 설정된 해당 기준값과 비교하여 측정 결과를 산출하는 것을 특징으로 하는 개인정보보호 측정 방법. - 제12항에서,
상기 관리적조치 측정은 상기 정보보호 담당자의 단말로부터 획득한 상기 관리적 조치 항목에 대한 결과 데이터와 증빙 자료 포함 유무를 알리는 데이터를 파악하고 이를 수치화한 후 수치화한 값을 설정된 해당 기준값과 비교하여 측정 결과를 산출하는 것을 특징으로 하는 개인정보보호 측정 방법. - 제13항에서,
상기 항목 평가는 상기 기술적조치 측정과 상기 관리적조치 측정을 통해서 얻어진 측정 결과를 통해 최종적으로 상기 제1 대상기업에서 개인정보보호법에서 제시한 상기 관리적 조치 항목 및 이의 세부 항목과 상기 기술적 조치 항목 및 이의 세부에 대한 점수를 해당 기준값과 비교하여 해당 측정 결과가 설정 기준값에 대비하여 어느 정도인지를 파악하여 해당 항목에 대한 평가를 수행하는 개인정보보호 측정 방법.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| KR1020130107968 | 2013-09-09 | ||
| KR20130107968 | 2013-09-09 |
Related Child Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160038515A Division KR20160046767A (ko) | 2013-09-09 | 2016-03-30 | 개인정보보호 측정 시스템 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| KR20150029513A true KR20150029513A (ko) | 2015-03-18 |
Family
ID=53023988
Family Applications (2)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR20140019775A KR20150029513A (ko) | 2013-09-09 | 2014-02-20 | 개인정보보호 측정 시스템 및 방법 |
| KR1020160038515A KR20160046767A (ko) | 2013-09-09 | 2016-03-30 | 개인정보보호 측정 시스템 |
Family Applications After (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1020160038515A KR20160046767A (ko) | 2013-09-09 | 2016-03-30 | 개인정보보호 측정 시스템 |
Country Status (1)
| Country | Link |
|---|---|
| KR (2) | KR20150029513A (ko) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20160121289A (ko) | 2015-04-10 | 2016-10-19 | 최종기 | 구매정보 수집 시스템, 단말기 및 방법 |
| CN113222391A (zh) * | 2021-05-06 | 2021-08-06 | 南京财经大学 | 一种众包商务平台注册者的全局评分方法 |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100524649B1 (ko) | 2003-06-04 | 2005-10-31 | (주)인젠 | 정보 자산의 위험 분석 시스템 |
| KR101166568B1 (ko) | 2012-03-05 | 2012-07-18 | 워치아이시스템주식회사 | 보안 위험도 산정방법 및 산정시스템, 그 기록매체 |
-
2014
- 2014-02-20 KR KR20140019775A patent/KR20150029513A/ko active Search and Examination
-
2016
- 2016-03-30 KR KR1020160038515A patent/KR20160046767A/ko not_active Application Discontinuation
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR20160121289A (ko) | 2015-04-10 | 2016-10-19 | 최종기 | 구매정보 수집 시스템, 단말기 및 방법 |
| CN113222391A (zh) * | 2021-05-06 | 2021-08-06 | 南京财经大学 | 一种众包商务平台注册者的全局评分方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| KR20160046767A (ko) | 2016-04-29 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Pell et al. | A lot more than a pen register, and less than a wiretap: what the StingRay teaches us about how Congress should approach the reform of law enforcement surveillance authorities | |
| CN104486346B (zh) | 一种跳板机系统 | |
| Kitchin | Using digital technologies to tackle the spread of the coronavirus: Panacea or folly | |
| US20160366163A1 (en) | Method and system for managing a protective distribution system | |
| Park et al. | Analysis of information security management systems at 5 domestic hospitals with more than 500 beds | |
| CN103283246A (zh) | 影像信息滥用的监查系统 | |
| Ali et al. | ICS/SCADA system security for CPS | |
| Serafino | " I Know My Rights, So You Go'n Need a Warrant for That": The Fourth Amendment, Riley's Impact, and Warrantless Searches of Third-Party Clouds | |
| KR20160046767A (ko) | 개인정보보호 측정 시스템 | |
| Spears et al. | Privacy risk in contact tracing systems | |
| Ali et al. | A study on contact tracing apps for Covid-19: Privacy and security perspective. | |
| Gupta et al. | Cyber security assessment education for E-governance systems | |
| KR20140081071A (ko) | 실시간 보안수준 측정 관리 방법 및 시스템 | |
| Hémond et al. | Assessment process of the resilience potential of critical infrastructures | |
| Pollet et al. | All hazards approach for assessing readiness of critical infrastructure | |
| Hale et al. | Communicating potential mission impact using shared mission representations | |
| Gonzalez-Granadillo et al. | Using an event data taxonomy to represent the impact of cyber events as geometrical instances | |
| Pigou | Keeping track of the risks of contact tracing: An international law analysis of contact tracing in New Zealand and the prospect of cross-border contact tracing | |
| KR102417277B1 (ko) | 블록체인기반 위험구조물 안전진단 플랫폼 시스템 | |
| Fifolt et al. | Protecting First Responders While Maintaining Personal Privacy During the COVID-19 Pandemic: One County's Approach | |
| Sanders et al. | Baseline security guidelines for health care management | |
| CN111178231B (zh) | 一种对象监测方法及装置 | |
| Chim et al. | A RISK-BASED LAYERED DEFENCE FOR MANAGING THE TRUSTED INSIDER THREAT. | |
| Thom | Reflections of a former inspector-general of intelligence and security | |
| KR20210086479A (ko) | 소셜 범죄 구성에 따른 신고 시스템 및 그 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| E902 | Notification of reason for refusal | ||
| AMND | Amendment | ||
| E601 | Decision to refuse application | ||
| AMND | Amendment | ||
| J301 | Trial decision |
Free format text: TRIAL NUMBER: 2016101001965; TRIAL DECISION FOR APPEAL AGAINST DECISION TO DECLINE REFUSAL REQUESTED 20160330 Effective date: 20180131 |