KR20160046767A - Server for assessing personal information protection - Google Patents

Server for assessing personal information protection Download PDF

Info

Publication number
KR20160046767A
KR20160046767A KR1020160038515A KR20160038515A KR20160046767A KR 20160046767 A KR20160046767 A KR 20160046767A KR 1020160038515 A KR1020160038515 A KR 1020160038515A KR 20160038515 A KR20160038515 A KR 20160038515A KR 20160046767 A KR20160046767 A KR 20160046767A
Authority
KR
South Korea
Prior art keywords
server
item
personal information
security
information protection
Prior art date
Application number
KR1020160038515A
Other languages
Korean (ko)
Inventor
곽동선
Original Assignee
에스2정보 주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스2정보 주식회사 filed Critical 에스2정보 주식회사
Publication of KR20160046767A publication Critical patent/KR20160046767A/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/10Services
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04NPICTORIAL COMMUNICATION, e.g. TELEVISION
    • H04N7/00Television systems
    • H04N7/18Closed-circuit television [CCTV] systems, i.e. systems in which the video signal is not broadcast

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Tourism & Hospitality (AREA)
  • Signal Processing (AREA)
  • General Engineering & Computer Science (AREA)
  • Bioethics (AREA)
  • Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Economics (AREA)
  • Human Resources & Organizations (AREA)
  • Marketing (AREA)
  • Primary Health Care (AREA)
  • Strategic Management (AREA)
  • General Business, Economics & Management (AREA)
  • Multimedia (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

The present invention provides a sever and a method for guaranteeing systematic management in order to take a managerial and technical measure against a low-grade indicator item and easily comprehend a problem of a company by combining two indicators: an indicator configured to measure a level of a protection status of personal information, which is currently managed in the company, per item by systemizing an indicator to comply with a personal information protection act; and an indicator configured to measure the technical measure by interlocking a security solution of the company.

Description

개인정보보호 측정 시스템{Server for assessing personal information protection}[0001] Server for assessing personal information protection [

본 발명은 공공기관이나 기업 등에서 개인정보보호법을 준수하고 있는지를 측정하는 시스템에 관한 것이다.The present invention relates to a system for measuring whether a personal information protection law is complied with by a public agency or a corporation.

현재 국내에서는 개인정보의 수집, 이용, 제공, 파기 등 보호 기준과 안정성 조치를 강화한 개인정보보호법인 2012년 3월 30일자로 본격 시행되고 있다. 이에 따라 개인정보보호법은 그간 공공기관과 정보통신사업자, 신용정보 제공업자 등 일부 사업자에 적용되던 개인정보보호 의무가 공공기관은 물론 서비스업, 1인 사업자, 의료기관 등 350만에 이르는 개인 정보처리자로 확대되었다.Currently, in Korea, personal information protection, such as the collection, use, provision, and destruction of personal information protection law and strengthened measures to strengthen the law, March 30, 2012 is being implemented in earnest. Accordingly, the Personal Information Protection Act extends the personal information protection obligation that has been applied to some organizations such as public institutions, information communication providers, and credit information providers to more than 3.5 million personal information processors, including public institutions, service companies, .

이에 따라 개인정보보호법 준수를 위하여 공공기관 및 기업에서는 기술적 조치, 관리적 조치 등을 수행하여 개인정보보호 의무를 수행하고 있다. 그러나 이에 대한 관리실태가 미흡하여 개인정보 보유기간 과다 산정, 개인정보 관리 미흡, 파기절차 미준수 등 개인정보보호에 대한 관리가 총체적으로 심각한 수준이다.Accordingly, in order to comply with the Personal Information Protection Act, public institutions and companies perform technical measures and administrative measures to protect personal information. However, the management situation is insufficient, and the management of personal information protection is totally serious, such as overestimation of personal information retention period, inadequate personal information management, and non-compliance with the destruction procedure.

따라서 공공기관이나 기업등에서 개인정보보호법을 준수하는지를 원격에서 쉽게 파악하고 미흡한 점을 찾아 보완 또는 시정할 수 있도록 하는 시스템이 요구된다.Therefore, there is a need for a system that can easily remotely grasp the compliance with the Personal Information Protection Act in public institutions or corporations, and find out any deficiencies and correct or correct them.

한국등록특허 제10-1166568(공고일: 2012. 07. 18)Korean Registered Patent No. 10-1166568 (public announcement date: 2012. 07. 18) 한국공개특허 제10-2004-0104853(공개일: 2004. 12. 13)Korean Patent Publication No. 10-2004-0104853 (published on December 13, 2004)

본 발명이 이루고자 하는 기술적 과제는 공공기관이나 기업 등에서 개인정보보호법을 준수하고 있는지를 측정하고 평가하는 시스템을 제공하는 것이다.The technical problem to be solved by the present invention is to provide a system for measuring and evaluating whether a public institution or a corporation complies with the Personal Information Protection Act.

상기 기술적 과제를 달성하기 위한 본 발명은 제1 대상기업에 대한 개인정보보호의 준수 여부를 측정하기 위한 개인정보보호 측정 시스템을 제공한다. 이 개인정보보호 측정 시스템은 외부에 제공하는 서비스를 위한 웹서버(web server), 또는 DBMS(DataBase Management System) 서버, 내부 업무를 위한 로컬 서버(intranet server) 등의 서버 중 적어도 하나로 구성된 서버군,According to an aspect of the present invention, there is provided a personal information protection measurement system for measuring compliance of personal information protection for a first target company. This personal information protection measurement system includes a server group composed of at least one of a web server for providing services to the outside or a server such as a DBMS (Data Base Management System) server and an intranet server for internal business,

상기 제1 대상기업의 직원 또는 보안담당자에 의해 사용되는 적어도 하나의 사용자 단말로 이루어진 사용자단말군, 타보안업체에서 상기 제1 대상기업에 설치한 적어도 하나의 보안용 장비를 포함하는 타 보안장비군, 상기 서버군, 상기 사용자단말군 및 상기 타 보안장비군에 대하여 상기 보안 정책에 따른 보안 동작을 수행하는 적어도 하나의 보안 장비를 포함하는 보안장비군, 그리고 외부 인터넷과 내부 네트워크 사이에 위치하며, 상기 서버군, 상기 사용자단말군, 상기 타 보안장비군 및 상기 보안장비군에 대하여 개인정보보호법에서 제시하는 안전성 확보 조치에 근거한 복수의 관리적 조치 항목과 복수의 기술적 조치 항목에 대하여 항목 데이터 수집, 기술적조치 측정, 관리적조치 측정 및 항목 평가를 수행하는 정보보호 측정서버를 포함하며, 상기 보안장비군, 상기 서버군, 상기 사용자단말군과 상기 타 보안장비군을 포함하여 상기 제1 대상기업의 상기 내부 네트워크를 형성한다.A user terminal group consisting of at least one user terminal used by an employee of the first target company or a security officer, and another security equipment group including at least one security equipment installed in the first target company by another security company A security device group including at least one security device for performing a security operation according to the security policy for the server group, the user terminal group, and the other security device group, and a security device group located between the external Internet and the internal network, A plurality of administrative action items and a plurality of technical action items based on security assurance measures provided in the Personal Information Protection Act for the server group, the user terminal group, the other security equipment group, and the security equipment group, An information protection measure server that performs action measures, managerial measures, and item evaluations, The internal network of the first target enterprise including the security device group, the server group, the user terminal group, and the other security device group is formed.

상기에서 정보보호 측정서버는 방화벽 내에 설치되며, 상기 정보보호 측정서버는 UTM(United Threat Management)을 탑재할 수 있다.The information protection measurement server may be installed in a firewall, and the information protection measurement server may be equipped with United Threat Management (UTM).

상기 보안장비군은 침입탐지 시스템(IDS; Intrusion Detection System), 침입방지 시스템(IPS; Intrusion prevention System), 침입차단 시스템(firewall), UTM(United Threat Management), L2 스위치, L3 스위치, L4 스위치, DDOS(Distributed Denial of Service) 방지 장비 중 적어도 2 이상을 포함한다.The security device group includes an intrusion detection system (IDS), an intrusion prevention system (IPS), a firewall, a United Threat Management (UTM), an L2 switch, an L3 switch, an L4 switch, And DDOS (Distributed Denial of Service) prevention equipment.

상기에서 관리적 조치 항목은 개인정보보호법에서 제시하는 안전성 확보 조치에 근거한 조치 항목 중 정보보호 담당자에 의해 체크되어 담당자의 단말을 통해 제공되는 조치 항목이며, 상기 기술적 조치 항목은 상기 보안장비군, 상기 서버군, 상기 사용자 단말 및, 상기 타 보안장비군으로부터 자동으로 획득되는 조치 항목이다.In the above, the administrative action item is an action item that is checked by the information security officer and provided through the terminal of the person in charge, among the action items based on the safety assurance measure presented in the Personal Information Protection Act, and the technical action item is the security device group, The user terminal, and the other security equipment group.

상기에서 기술적조치 측정은 내부 네트워크를 이루고 있는 각 구성 및 보안 솔루션과 연동하여 획득한 상기 기술적 조치 항목과 관련된 특정 데이터를 측정하고 및 수치화한 후, 수치화한 값을 설정된 해당 기준값과 비교하여 측정 결과를 산출한다. 그리고 상기 관리적조치 측정은 상기 정보보호 담당자의 단말로부터 획득한 상기 관리적 조치 항목에 대한 결과 데이터와 증빙 자료 포함 유무를 알리는 데이터를 파악하고 이를 수치화한 후 수치화한 값을 설정된 해당 기준값과 비교하여 측정 결과를 산출한다.In the above description, the technical measures measure the specific data related to the technical measures obtained in conjunction with each configuration and security solution constituting the internal network, measure and quantify the numerical values, compare the numerical values with the corresponding reference values, . The managerial measure measures the result data of the administrative action item acquired from the terminal of the information protection person and the data indicating the existence of the evidence document, and quantifies the resultant data. Then, the numerical value is compared with the corresponding reference value, .

상기 항목 평가는 상기 기술적조치 측정과 상기 관리적조치 측정을 통해서 얻어진 측정 결과를 통해 최종적으로 상기 제1 대상기업에서 개인정보보호법에서 제시한 상기 관리적 조치 항목 및 이의 세부 항목과 상기 기술적 조치 항목 및 이의 세부에 대한 점수를 해당 기준값과 비교하여 해당 측정 결과가 설정 기준값에 대비하여 어느 정도인지를 파악하여 해당 항목에 대한 평가를 수행한다.The item evaluation is performed by measuring the technical measures and the management measures, and finally obtaining the administrative action items and their detailed items presented in the personal information protection law at the first target company, the technical action items and the details thereof Is compared with the corresponding reference value to determine the degree to which the measured result corresponds to the set reference value, and the evaluation is performed on the corresponding item.

본 발명의 실시 예에 따르면, 공공기관이나 기업 등에서의 개인정보보호를 위한 다양한 항목을 원격에서 개인정보보호법을 기반으로 측정하고 평가하며 각 항목별 평가결과를 지표로 제공함으로써, 공공기관이나 기업에게 개인정보보호에 미흡한 부분이나 개선할 사항을 즉시 알릴 수 있게 한다.According to the embodiment of the present invention, various items for protecting personal information in a public institution or a company are measured and evaluated based on the personal information protection law remotely, and the evaluation result of each item is provided as an index, We will immediately notify you of any deficiencies or improvements to your privacy.

도 1은 본 발명의 제1 실시 예에 따른 개인정보보호 측정 시스템의 네트워크 구성도이다.
도 2는 본 발명의 제2 실시 예에 따른 개인정보보호 측정 네트워크의 구성도이다.
도 3은 본 발명의 실시 예에 따른 개인정보보호 측정 방법에서 조치 항목 초기 등록 과정을 보인 데이터 흐름도이다.
도 4는 본 발명의 실시 예에 따른 개인정보보호 측정 방법에서 증빙자료 항목 관리 과정을 보인 데이터 흐름도이다.
도 5는 본 발명의 실시 예에 따른 개인정보보호 측정 방법에서 조치 항목의 관리 과정을 보인 데이터 흐름도이다.
도 6은 본 발명의 실시 예에 따른 개인정보보호 측정 과정을 보인 데이터 흐름도이다.
도 7은 본 발명의 실시 예에 따른 개인정보보호 측정 결과를 보인 제1 예시도이다.
도 8은 본 발명의 실시 예에 따른 개인정보보호 측정 결과를 보인 제2 예시도이다.
도 9는 본 발명의 실시 예에 따른 개인정보보호 측정 결과를 보인 제3 예시도이다.
도 10은 본 발명의 실시 예에 따른 개인정보보호 측정 결과를 보인 제4 예시도이다.
도 11은 본 발명의 실시 예에 따른 개인정보보호 측정 결과를 보인 제5 예시도이다.1 is a network configuration diagram of a personal information protection measurement system according to a first embodiment of the present invention.
2 is a block diagram of a personal information protection measurement network according to a second embodiment of the present invention.
FIG. 3 is a data flow chart showing an initial item registration procedure of an action item in the personal information protection measurement method according to the embodiment of the present invention.
FIG. 4 is a data flow chart illustrating a procedure of managing an evidence item in the personal information protection measurement method according to the embodiment of the present invention.
FIG. 5 is a data flow chart showing a process of managing an action item in the personal information protection measurement method according to the embodiment of the present invention.
FIG. 6 is a data flow chart illustrating a personal information protection measurement process according to an embodiment of the present invention.
FIG. 7 is a first exemplary view illustrating a personal information protection measurement result according to an embodiment of the present invention.
FIG. 8 is a second exemplary view illustrating a personal information protection measurement result according to an embodiment of the present invention.
FIG. 9 is a third exemplary view illustrating a personal information protection measurement result according to an embodiment of the present invention.
FIG. 10 is a fourth exemplary view showing a personal information protection measurement result according to an embodiment of the present invention.
FIG. 11 is a fifth exemplary view illustrating a personal information protection measurement result according to an embodiment of the present invention.

아래에서는 첨부한 도면을 참고로 하여 본 발명의 실시 예에 대하여 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나 본 발명은 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시 예에 한정되지 않는다. 그리고 도면에서 본 발명을 명확하게 설명하기 위해서 설명과 관계없는 부분은 생략하였으며, 명세서 전체를 통하여 유사한 부분에 대해서는 유사한 도면 부호를 붙였다.Hereinafter, embodiments of the present invention will be described in detail with reference to the accompanying drawings so that those skilled in the art can easily carry out the present invention. The present invention may, however, be embodied in many different forms and should not be construed as limited to the embodiments set forth herein. In order to clearly illustrate the present invention, parts not related to the description are omitted, and similar parts are denoted by like reference characters throughout the specification.

이제, 도면을 참조하여 본 발명의 실시 예에 따른 개인정보보호 측정 시스템 및 방법에 대하여 상세히 설명하기로 한다.DETAILED DESCRIPTION OF THE PREFERRED EMBODIMENTS A personal information protection measurement system and method according to an embodiment of the present invention will now be described in detail with reference to the drawings.

도 1은 본 발명의 제1 실시 예에 따른 개인정보보호 측정 시스템의 네트워크 구성도이다. 도 1에 도시된 개인정보보호 측정 시스템은 기업 또는 기관 등이 국지적인 장소에만 위치한 경우에 대한 것이다. 즉, 기업 또는 기관 등이 원격지에 지점이나 분점 등을 가지지 않는 경우에 대한 것이다.1 is a network configuration diagram of a personal information protection measurement system according to a first embodiment of the present invention. The personal information protection measurement system shown in FIG. 1 is for a case where a company or an institution is located only at a local place. That is, the case where a company or an institution does not have a branch point or a branch point at a remote place.

도 1에 도시된 바와 같이, 본 발명의 제1 실시 예에 따른 개인정보보호 측정 시스템은 정보보호 측정서버(100), 보안장비군(200), 서버군(300), 사용자 단말군(400)와 타 보안장비군(500)을 포함한다.1, the personal information protection measurement system according to the first embodiment of the present invention includes an information protection measurement server 100, a security device group 200, a server group 300, a user terminal group 400, And a group of security devices 500.

정보보호 측정서버(100)는 외부 인터넷과 내부 네트워크 사이에 위치한다. 예컨대, 정보보호 측정서버(100)는 방화벽(firewall) 내에 설치된다. 이러한 정보보호 측정서버(100)는 책임자 단말(10)과 유선 또는 무선으로 연결되어 책임자 단말(10)의 제어하에 동작한다. 정보보호 측정서버(100)는 개인정보보호법에서 제시하는 안전성 확보 조치에 근거한 다양한 조치 항목을 설정하고 있으며, 설정된 다양한 조치 항목에 대한 측정 및 평가를 수행하여 개인정보보호법에 근거한 기준에 어느 정도 만족하였는지를 판단한다.The information protection measurement server 100 is located between the external Internet and the internal network. For example, the information protection measurement server 100 is installed in a firewall. The information protection measurement server 100 is connected to the responsible person terminal 10 in a wired or wireless manner and operates under the control of the responsible person terminal 10. The information protection measurement server 100 sets various action items based on the security assurance measures presented in the Personal Information Protection Act and measures and evaluates the various action items set up to determine the degree of satisfaction with the standards based on the personal information protection law .

정보보호 관리적 조치 항목과 기술적 조치 항목에 대하여 항목 데이터 수집, 기술적조치 측정, 관리적조치 측정 및 항목 평가를 수행한다.Performs item data collection, measurement of technical measures, measurement of managerial measures, and item evaluation for information security management action items and technical action items.

관리적 조치 항목과 기술적 조치 항목은 개인정보보호법에서 제시하는 조치 항목으로, 관리적 조치 항목은 정보보호 담당자 즉, 내부 네트워크의 각 장비를 사용하거나 담당하는 자에 의해 제공되는 조치 항목이며, 기술적 조치 항목은 보안장비군(200), 서버군(300), 사용자 단말(400) 및 타 보안장비군(500)으로부터 획득되는 조치 항목이다. 관리적 조치 항목과 기술적 조치 항목은 복수개의 세부 항목으로 이루어진다.The administrative action item and the technical action item are items to be addressed by the Personal Information Protection Act. The administrative action item is an action item provided by the information security officer, that is, the person using or handling the equipment of the internal network. An action item obtained from the security device group 200, the server group 300, the user terminal 400, and the other security device group 500. The administrative action items and the technical action items consist of a plurality of sub-items.

기술적조치 측정은 내부 네트워크를 이루고 있는 각 장비(200, 300, 400, 500) 및 보안 솔루션과 연동하여 획득한 기술적 조치 항목과 관련된 특정 데이터를 측정하고 및 수치화한 후, 수치화한 값을 설정된 기준값(항목마다 다를 수 있음)과 비교하여 측정 결과(예; 점수)를 산출한다. 이때 특정 데이터는 수량이나 횟수 등에 대한 데이터이거나 그렇다 또는 그렇지 않다라는 어떤 조건에 따른 유무를 나타내는 데이터이다. 어떤 조건이라는 것은 예컨대, 하기 표 4에 기재된 시스템 구축 항목의 서버 보안 항목과 같이 '1개월마다 전체 백업 시행 등 백업 규정을 준수하였는가?"라던지, 시스템 연동 항목의 사내망 시스템간 연동 항목과 같이 "시스템 연동에 대한 이력관리가 이루어지고 있는가?" 등이다.Technical Measures Measures measure and quantify specific data related to the technical measures acquired in conjunction with each of the devices (200, 300, 400, 500) and the security solution of the internal network, (Eg, score) by comparing the measured value with the measured value (which may be different for each item). In this case, the specific data is data indicating the number or the number of times, etc., or whether or not the condition is satisfied. For example, as in the server security item of the system configuration item shown in Table 4 below, whether or not the backup rule was enforced such as the execution of a full backup every one month or the like, "Is history management on system interworking?"

관리적조치 측정은 사용자 단말군(400)에 포함된 담당자 단말(미도시)로부터 획득한 관리적 조치 항목에 대한 결과 데이터와 증빙 자료 포함 유무를 알리는 데이터를 파악하고 이를 수치화한 후 수치화한 값을 설정된 기준값(항목마다 다를 수 있음)과 비교하여 측정 결과(예; 점수)를 산출한다. 관리적 조치 측정에서는 각 항목별로 해당 항목과 관련된 증빙자료를 반드시 등록해야 측정 결과에 반영되도록 한다.The managerial measure measures the result data of the managerial action item acquired from the person in charge terminal (not shown) included in the user terminal group 400 and the data informing the presence or absence of the evidence data, and quantifies the resultant data. (Which may be different for each item) to calculate the measurement result (eg, score). In administrative measures, the evidence related to the item must be registered for each item to be reflected in the measurement results.

항목 평가는 기술적조치 측정과 관리적조치 측정을 통해서 얻어진 측정 결과를 통해 최종적으로 기업 또는 기관(다수의 지점이 있는 경우 각 지점별로) 등에서 개인정보보호법에서 제시한 관리적 조치 항목 및 이의 세부 항목과 기술적 조치 항목 및 이의 세부에 대한 점수를 기준값(즉, 보안 적정 또는 보안 미달을 판단하는 기준이되는 값)과 비교하여 해당 점수가 기준값에 대비하여 어느 정도인지를 파악하여 해당 항목에 대한 평가를 수행한다.Item evaluation refers to the administrative action item and its sub-items and technical measures presented in the Personal Information Protection Act at the end of the measurement result obtained through measurement of technical measures and managerial measures The score of the item and its detail is compared with a reference value (that is, a value that is a criterion for judging whether the security is appropriate or insecure), and the evaluation of the item is performed by determining the degree of the corresponding score in comparison with the reference value.

또한 정보보호 측정서버(100)는 항목관리, 증빙자료 설정, 보안장비 연동 등의 기능을 수행한다. 지표관리 기능은 조치 항목을 등록 및 관리하고, 자동 스케줄러에 의하여 조치 항목에 대한 측정 시기에 대한 측정 스케줄을 생성하는 기능이다. 증빙자료 설정기능은 각 조치 항목별로 증빙자료가 필요한 조치 항목에 대해서 관련 증빙자료를 제시하여 담당자가 이를 참조하여 증빙자료를 작성후 첨부하여 정보보호 측정서버(100)에 제공할 수 있도록 하는 기능이다. 보안장비 연동기능은 개인정보보호법 준수를 위한 보안 장비, 솔루션 등과 연동하여 각 장비/솔루션 이벤트 정보를 수집하고, 수집된 솔류션/장비별 이벤트를 기반으로 기술적 조치 항목을 지표화하여 각 기술적 조치 항목에 대한 점수를 산출할 수 있게 하는 기능이다.In addition, the information protection measurement server 100 performs functions such as item management, provision of evidence data, and security equipment interworking. The indicator management function is a function of registering and managing an action item, and generating a measurement schedule for a measurement time for an action item by an automatic scheduler. The provisional document setting function is a function for presenting related documentary evidence for an action item requiring documentary evidence for each action item so that the person in charge can refer to it and provide the document to the information security measurement server 100 . The interlocking function of security equipment collects each device / solution event information in conjunction with the security equipment and solution for compliance with the personal information protection law, indexes the technical action item based on the collected solution / device event, It is a function that enables to calculate the score.

보안장비군(200)은 내부 네트워크 장비에 대하여 보안 정책에 따른 보안 동작을 수행하는 각종 장비를 통칭한다. 보안장비군(200)에 포함되는 보안장비의 예로는 침입탐지 시스템(IDS; Intrusion Detection System), 침입방지 시스템(IPS; Intrusion prevention System), 침입차단 시스템(firewall), UTM(United Threat Management). L2 스위치, L3 스위치, L4 스위치, DDOS(Distributed Denial of Service) 방지 장비 등이 있으며, 보안장비군(200)는 2 이상의 보안 장비를 구성으로 한다.The group of security devices 200 collectively refers to various devices that perform security operations according to the security policies of the internal network devices. Examples of the security equipment included in the security device group 200 include an Intrusion Detection System (IDS), an Intrusion Prevention System (IPS), a firewall, and a United Threat Management (UTM). L2 switch, L3 switch, L4 switch, DDOS (Distributed Denial of Service) prevention device, and the security device group 200 constitute two or more security devices.

서버군(300)은 내부 네트워크를 구성하는 하나의 구성요소로서, 기업 또는 기관 등에서 외부에 제공하는 서비스를 위한 웹서버(web server), 또는 DBMS(DataBase Management System) 서버, 내부 업무를 위한 로컬 서버(intranet server) 등의 서버 중 적어도 하나를 구성으로 한다.The server group 300 is a constituent element of the internal network. The server group 300 includes a web server for providing services externally to a company or an institution, a DBMS (DataBase Management System) server, a local server and a server such as an intranet server.

사용자 단말군(400)는 기업 또는 기관의 직원이 사용하는 컴퓨터나 노트북 등으로 이루어지며, 기업 또는 기관 내에서 개인정보보호를 담당하는 담당자의 단말(컴퓨터 또는 노트북 등)을 포함한다. 타 보안장비군(500)은 기업 또는 기관 등에 설치된 타 업체의 보안장비로서, 외부업체가 설치한 CCTV, 문이나 창문 등에 설치된 감지센서, 경보장치 등으로 이루어진다.The user terminal group 400 includes a computer or a notebook computer used by an employee of an enterprise or an institution and includes a terminal (such as a computer or a notebook computer) of a person in charge of protecting personal information within the enterprise or organization. The other security equipment group 500 is a security equipment of a third party installed in a company or an institution, and includes a CCTV installed by an outside company, a detection sensor installed in a door or a window, and an alarm device.

한편, 보안장비군(200)에 포함된 UTM은 정보보호 측정서버 내에 탑재될 수 있다. 또 한편, 도 1에 도시하지 않았지만, 본 발명의 실시 예에 따른 개인정보보호 측정 시스템은 관제 서버를 더 포함할 수 있으며, 관제 서버는 정보보호 측정서버(100)에 의해 측정된 결과물을 수신하여 정보보호 책임자가 원격에서 관제 서버를 통해 특정 기업이나 기관 또는 복수의 기업이나 기관 등에서 개인정보보호법에 따른 안정성 확보 조치 여부를 만족하는지를 디지털 수치나 그래프 등을 통해 확인할 수 있게 한다.Meanwhile, the UTM included in the security device group 200 can be loaded in the information protection measurement server. 1, the personal information protection measurement system according to the embodiment of the present invention may further include a control server, and the control server receives the result measured by the information protection measurement server 100 The information security officer can remotely monitor the security server through a digital server or an institution or a plurality of companies or organizations to check whether they satisfy the security measures according to the Personal Information Protection Act.

여기서, 관리적 조치 항목 및 세부 항목, 그리고 기술적 조치 항목 및 이의 세부 항목은 다음의 표 1 내지 표 6과 같다. 이하의 표에 기재된 조치 항목은 본 발명의 실시 예에 따른 개인정보보호 측정 시스템이 적용된 사업장이 은행인 경우를 예로 한 것이다. 개인정보보호법에서 제시하는 안전성 확보 조치에 근거한 다양한 조치 항목은 적용되는 사업장의 종류나 특성에 따라 약간의 차이를 가진다.Here, the administrative action items and the detailed items, and the technical action items and the detailed items thereof are shown in the following Tables 1 to 6. The action item described in the following table is an example of a case where the business place to which the personal information protection measurement system according to the embodiment of the present invention is applied is a bank. The various action items based on the safety assurance measures provided by the Personal Information Protection Act differ slightly depending on the type and nature of the workplaces to which they apply.

하기에서 표 1 내지 표 3은 관리적 조치 항목에 관한 것이고, 표 4 내지 도 6은 기술적 조치 항목에 관한 것이다.In the following, Tables 1 to 3 relate to administrative action items, and Tables 4 to 6 relate to technical action items.

Figure pat00001
Figure pat00001

상기 표 1에 기재된 바와 같이, 관리적 조치 항목은 경비에 관련한 조치 항목을 포함하며, 경비에 관련된 조치 항목에 대한 세부 항목은 객장 경비, 당번근무, 사고예방 및 비상연락망을 포함한다. 이러한 관리적 조치 항목에 대하여 담당자는 각 세부 항목에 대한 점검사항의 가부(可否)를 체크하여 담당자 단말을 통해 개인정보 보호서버(100)에 제공한다.As shown in Table 1, the administrative action item includes an item related to the expense, and the details of the item related to the expense include the expense of the item, the duty for the duty, the accident prevention, and the emergency communication network. The person in charge of the managerial action item checks whether or not the check item for each detail item is available, and provides it to the personal information protection server 100 through the contact person terminal.

Figure pat00002
Figure pat00002

Figure pat00003
Figure pat00003

상기 표 2 및 표 3에 기재된 바와 같이, 관리적 조치 항목은 보안, 시설, 소방, 장비, 및 기타 항목에 관련한 조치 항목을 포함하며, 보안의 세부 항목은 일일보안을 포함하고, 시설의 세부 항목은 시간외 출입문 및 자동화 코너를 포함하며, 소방의 세부 항목은 가스시설, 소화기 및 화재를 포함하고, 장비의 세부 항목은 CCTV, 경비장비 및 비상벨을 포함한다.As shown in the above Tables 2 and 3, the management action items include action items related to security, facilities, fire fighting, equipment, and other items, the details of security include daily security, Out door and automation corner. Details of fire fighting include gas facilities, fire extinguishers and fire, and details of equipment include CCTV, security equipment and emergency bell.

표 1과 더불어, 표 2 및 표 3에 기재된 관리적 조치 항목에 대하여 담당자는 각 세부 항목에 대한 점검사항의 가부(可否)를 체크하여 담당자 단말을 통해 개인정보 보호서버(100)에 제공한다. 관리적 조치 항목의 각 세부 항목에 대한 설명은 표 1 내지 3의 점검항목에 기재되어 있으므로, 자세한 설명은 생략한다.In addition to Table 1, the person in charge of the management action items listed in Tables 2 and 3 checks whether or not the check items for each detail item are available, and provides them to the personal information protection server 100 through the contact person terminal. The description of each detail item of the administrative action item is described in the check items of Tables 1 to 3, and a detailed description thereof will be omitted.

Figure pat00004
Figure pat00004

Figure pat00005
Figure pat00005

Figure pat00006
Figure pat00006

상기 표 3 내지 표 6에 기재된 바와 같이, 기술적 조치 항목은 시스템 구축, 시스템 연동, 시스템 원격검침, 시스템 원격접속, 어플리케이션 개발 및, 개인정보를 포함한다.As shown in Tables 3 to 6, the technical measures include system construction, system interlocking, system remote meter reading, system remote access, application development, and personal information.

시스템 구축의 세부 항목은 서버 보안, 접근 제어시스템 수용, 취약점 진단 및 조치 등과, 서버 보안을 포함한다. 시스템 연동의 세부 항목은 사내망 시스템간 연동 및 사내망과 시외망 시스템간 연동을 포함한다. 시스템 원격접속의 세부 항목은 원격접속을 포함하고, 시스템 원격접속은 원격접속, 접근권한 및 접속로그 관리를 포함한다. 어플리케이션 개발의 세부 항목은 개인정보 취급, 개인정보취급 방침, 개인정보 암호화, 어플리케이션 개발, 접근 통제 및 로그 관리를 포함한다.Details of system construction include server security, access control system acceptance, vulnerability diagnosis and action, and server security. The details of system interworking include interworking between in-house network systems and interworking between in-house and out-of-network systems. Details of the system remote connection include remote connection, and system remote connection includes remote connection, access right, and access log management. The details of application development include personal information handling, privacy policy, personal information encryption, application development, access control and log management.

이러한 기술적 조치 항목에 대하여 정보보호 측정서버(100)는 보안장비군(200)의 각 보안장비 및 서버군(300)의 DBMS 서버 등으로부터 관련 정보를 취득한다.For this technical measure item, the information protection measurement server 100 acquires relevant information from each security device of the security device group 200 and a DBMS server of the server group 300 and the like.

도 2는 본 발명의 제2 실시 예에 따른 개인정보보호 측정 시스템의 네트워크 구성도이다. 도 2에 도시된 개인정보보호 측정 시스템은 본점이 있고 원격지에 지점이나 분점 등을 가지지 않는 경우에 대한 것이다. 예컨대, 본점이 서울에 있고, 성남, 인천, 대구, 대전, 부산 등에 지점 등이 있는 경우에 대한 것으로, 이하의 실시 예에서는 하나의 본점과 2개의 지점을 가진 기업 또는 기관 등에 적용되는 경우에 대한 것이다.2 is a network configuration diagram of a personal information protection measurement system according to a second embodiment of the present invention. The personal information protection measurement system shown in FIG. 2 is for a case where there is a head office and does not have a branch point or a branch point at a remote place. For example, in the case where the head office is located in Seoul, and there is a branch office in Seongnam, Incheon, Daegu, Daejeon, Busan, and the like, the following embodiments are applied to a company or an organization having one head office and two branches will be.

본 발명의 제2 실시 예에 따른 개인정보보호 측정 시스템은 본점 서버(100a), 제1 지점서버(100b), 제2 지점서버(100c), 본점에서 내부 네트워크를 형성하는 본점 네트워크장비(A), 제1 지점에서 내부 네트워크를 형성하는 제1지점 네트워크장비(B)와, 제2 지점에서 내부 네트워크를 형성하는 제2지점 네트워크장비(C)를 포함한다.The personal information protection measuring system according to the second embodiment of the present invention includes a head office server 100a, a first branch server 100b, a second branch server 100c, a main office network equipment A forming an internal network at the head office, A first point network equipment B forming an internal network at a first point, and a second point network equipment C forming an internal network at a second point.

본점 서버(100a), 제1 지점서버(100b)와 제2 지점서버(100c) 각각은 본 발명의 제1 실시 예에서 정보보호 측정서버(100)와 동일하다.The head office server 100a, the first branch server 100b and the second branch server 100c are the same as the information protection measurement server 100 in the first embodiment of the present invention.

다만 본 발명의 제1 실시 예와 달리, 본점 서버(100a)는 제1 지점서버(100b) 및 제2 지점서버(100c)간에 데이터 통신이 가능하도록 구성되며, 제1 지점서버(100b) 및 제2 지점서버(100c)로부터 수신되는 관리적 조치 항목 및 기술적 조치 항목에 대한 측정 결과 또는 항목 평가를 수신하여, 본점, 제1 지점 및 제2 지점의 네트워크장비(A, B, C)를 통합하는 전체적인 항목 평가를 수행한다. 또한 제1 및 제2 지점서버(100b, 100c)는 제1지점 네트워크장비(B) 또는 제2지점 네트워크장비(C)에 대한 기술적 조치 항목 및 관리적 조치 항목에 대한 항목 측정 또는 항목 평가를 본점 서버(100a)에 제공한다.However, unlike the first embodiment of the present invention, the head office server 100a is configured to be capable of data communication between the first point server 100b and the second point server 100c, (A, B, C) of the head office, the first point and the second point by receiving the measurement result or the item evaluation on the administrative action item and the technical action item received from the two-point server 100c Perform item evaluation. The first and second branch servers 100b and 100c may also perform item measurement or item evaluation on the technical action item and the administrative action item for the first branch network device B or the second branch network device C, (100a).

본점 네트워크장비(A) 및 제1 및 제2지점 네트워크장비(B, C)는 본 발명의 제1 실시 예에서 서술한 보안장비군(200), 서버군(300), 사용자 단말군(400) 및 타 보안장비군(500)을 포함한다. 물론 제1 지점이나 제2 지점에 보안장비군(200)이 설치되어 있지 않으면, 보안장비군(200)은 네트워크장비(B, C)에서 제외된다.The main office network equipment A and the first and second branch network equipments B and C correspond to the security equipment group 200, the server group 300 and the user terminal group 400 described in the first embodiment of the present invention. And a group of other security devices 500. Of course, if the security device group 200 is not installed at the first point or the second point, the security device group 200 is excluded from the network devices B and C.

이하에서는 도 3 내지 도 6을 참조로 하여 본 발명의 실시 예에 따른 개인정보보호 측정 시스템의 동작을 설명한다.Hereinafter, the operation of the personal information protection measurement system according to the embodiment of the present invention will be described with reference to FIG. 3 to FIG.

도 3은 본 발명의 실시 예에 따른 개인정보보호 측정 방법에서 조치 항목 초기 등록 과정을 보인 데이터 흐름도이다. 도 3에 도시된 바와 같이, 개인정보보호법에서 제시하는 안전성 확보 조치를 만족하고 있는지의 여부를 측정하는 책임을 맡은 책임자는 책임자 단말(10)를 통해 본점 서버(100a)에 접속하고(S301), 접속 인증을 수행한 후 본점 서버(100a)에 조치 항목에 대한 등록을 요청한다(S302).FIG. 3 is a data flow chart showing an initial item registration procedure of an action item in the personal information protection measurement method according to the embodiment of the present invention. As shown in Fig. 3, the responsible person responsible for measuring whether or not satisfying the safety assurance measure presented in the personal information protection law accesses the head office server 100a through the responsible person terminal 10 (S301) After performing connection authentication, the main office 100a requests registration of an action item (S302).

이에 본점 서버(100a)는 조치 항목을 등록할 수 있는 등록화면(등록창)을 책임자 단말(10)에 제공하고(S303), 책임자는 책임자 단말(10)에 표시된 등록화면을 통해 각 관리적 조치 항목 및 각 기술적 조치 항목, 그리고 이의 세부 항목을 입력하고(S304), 등록을 요청한다(S305).The headquarters server 100a provides a registration screen (registration window) for registering an action item to the responsible person terminal 10 (S303) And each technical measure item and its detailed items are input (S304), and registration is requested (S305).

본점 서버(100a)는 책임자 단말(10)로부터 각 조치 항목 및 이의 세부 항목을 수신하고 등록 요청에 따라 수신한 각 항목의 정보를 등록한다(S306). 이와 동시에 본점 서버(100a)는 등록한 각 조치 항목 및 이의 세부 항목에 대한 정보를 제1 및 제2 지점서버(100b, 100c)로 전송하여 등록 요청한다(S307, S309).The headquarters server 100a receives the action item and its sub items from the responsible person terminal 10 and registers information of each item received according to the registration request (S306). At the same time, the headquarters server 100a transmits information about each registered action item and its detailed items to the first and second branch servers 100b and 100c (S307 and S309).

제1 및 제2 지점서버(100b, 100c)는 본점 서버(100a)로부터 각 조치 항목 및 이의 세부 항목에 대한 정보를 수신하면 등록 요청에 따라 이를 등록하여 본점 서버(100a)와 동일한 조치 항목 및 세부 항목을 공유(동기화)한다(S308, S310).When the first and second branch servers 100b and 100c receive information on each action item and its detailed items from the headquarters server 100a, the first and second branch servers 100b and 100c register the same item in response to the registration request, (Synchronized) (S308, S310).

이상의 과정을 통해 책임 담당자가 등록 요청한 해당 기관 또는 기업에 대한 개인정보보호법에 따른 기술적 조치 항목 및 이의 세부 항목, 그리고 관리적 조치 항목 및 이의 세부 항목은 본점 서버(100a) 및 각 지점서버(100b, 100c)가 동기화하여 등록된다.Through the above process, the technical action items and their detailed items and the administrative action items and their detailed items in accordance with the Personal Information Protection Act for the relevant institution or company requested by the responsible person in charge are stored in the headquarters server 100a and each of the branch servers 100b and 100c Are registered in synchronization with each other.

도 4는 본 발명의 실시 예에 따른 개인정보보호 측정 방법에서 증빙자료 항목 관리 과정을 보인 데이터 흐름도이다. 관리적 조치 항목의 세부 항목 중에는 담당자가 체크해야 할 사항과 더불어, 실질적인 확인을 위한 증빙 자료를 필요로 하는 항목이 존재한다. 이를 위해 본 발명의 실시 예에 따른 정보보호 측정서버(100) 또는, 본점 서버(100a)와 각 지점서버(100b, 100c)는 증빙 자료의 첨부를 가능하게 하는 기능 및 증빙 자료의 첨부 여부를 확인하는 기능을 가진다.FIG. 4 is a data flow chart illustrating a procedure of managing an evidence item in the personal information protection measurement method according to the embodiment of the present invention. Among the details of the administrative action items, there are items that require proof for practical confirmation, in addition to the items to be checked by the person in charge. To this end, the information protection measurement server 100 according to the embodiment of the present invention, or the head office server 100a and each of the branch servers 100b and 100c, confirms whether or not the function of enabling the attachment of the evidence data and the attachment of the supporting document .

구체적으로 도 4에 도시된 바와 같이, 책임자는 책임자 단말(10)을 통해 본점 서버(100a)에 접속하고 접속 인증을 수행한 후(S401), 증빙자료 항목 편집(또는 등록)을 요청한다(S402). 이에 본점 서버(100a)는 증빙자료 편집 화면을 책임자 단말(10)에 제공하고(S403), 책임자는 책임자 단말(10)의 화면상에 표시된 증빙자료 편집 화면에 표시된 증빙자료 편집 항목(메뉴)를 조작하여, 특정 조치 항목 또는 세부 항목을 선택하고 선택한 특정 조치 항목 또는 세부 항목에 관련된 증빙 자료의 신규 등록 또는 수정 또는 삭제를 하며(S404), 이에 책임자 단말(10)은 본점 서버(100a)에 편집 결과의 등록을 요청한다(S405).4, the person in charge connects to the headquarters server 100a through the responsible person terminal 10 and performs connection authentication (S401), and requests editing (or registration) of the evidence item (S402) ). The headquarters server 100a provides the proof sheet editing screen to the responsible person terminal 10 in step S403 and the responsible person edits the proof sheet editing menu displayed on the proof sheet editing screen displayed on the screen of the responsible person terminal 10 (Step S404), and the responsible person terminal 10 transmits the edit item to the head office server 100a by editing And requests registration of the result (S405).

본점 서버(100a)는 사용자의 요청에 따라 해당 조치 항목 또는 세부 항목에 관련된 증빙 자료의 신규 등록(등록할 증빙자료의 종류 정보가 기재됨) 또는 수정 또는 삭제하고, 그 결과를 등록한다(S406).The headquarters server 100a newly registers (corrects the type information of the proof material to be registered) or corrects or deletes the evidence item related to the corresponding action item or detail item, and registers the result thereof (S406) .

이와 동시에 본점 서버(100a)는 등록한 증빙 서류에 대한 편집 결과(예; 신규 등록 또는 수정 또는 삭제)를 제1 및 제2 지점서버(100b, 100c)로 전송하여 등록을 요청한다(S407, S409).At the same time, the headquarters server 100a sends registration results (e.g., new registration, correction or deletion) to the first and second branch servers 100b and 100c to request registration (S407 and S409) .

이에 제1 및 제2 지점서버(100b, 100c)는 본점 서버(100a)로부터 등록한 증빙 서류에 대한 편집 결과를 수신하면 등록 요청에 따라 이를 등록하여 본점 서버(100a)와 동일한 조치 항목에 대하여 동일한 증빙 서류가 매칭되도록 동기화한다(S408, S410).Upon receiving the editing result of the registered document from the head office server 100a, the first and second point servers 100b and 100c register the same in response to the registration request, The documents are synchronized so as to be matched (S408, S410).

도 5는 본 발명의 실시 예에 따른 개인정보보호 측정 방법에서 조치 항목의 관리 과정을 보인 데이터 흐름도이다. 여기서 조치 항목의 관리 과정은 기 등록되어 있는 기술적 조치 항목 및 이의 세부 항목 그리고, 관리적 조치 항목 및 이의 세부 항목에 대하여 추가로 신규 조치 항목 또는 세부 항목을 등록하거나, 기존 조치 항목 또는 세부 항목을 삭제하거나, 수정하는 과정을 말한다.FIG. 5 is a data flow chart showing a process of managing an action item in the personal information protection measurement method according to the embodiment of the present invention. Here, the management process of the action item is to register an additional new action item or detail item for the previously registered technical action item and its detailed item, the administrative action item and the detailed item thereof, delete the existing action item or the detailed item , And the process of modification.

도 5에 도시된 바와 같이, 책임자는 책임자 단말(10)를 통해 본점 서버(100a)에 접속하고(S501), 접속 인증을 수행한 후 본점 서버(100a)에 조치 항목의 편집을 요청한다(S502).5, the responsible person accesses the head office server 100a through the responsible person terminal 10 (S501), performs connection authentication, and requests the head office server 100a to edit the action item (S502 ).

이에 본점 서버(100a)는 조치 항목을 편집할 수 있는 편집화면(편집창)을 책임자 단말(10)에 제공하고(S503), 책임자는 책임자 단말(10)의 화면상에 표시된 편집 화면에서 편집 항목(메뉴)를 조작하여, 특정 조치 항목 또는 세부 항목을 선택하고 선택한 특정 조치 항목 또는 세부 항목에 대한 신규 등록 또는 수정 또는 삭제를 설정하고, 이에 따라 책임자 단말(10)은 이를 본점 서버(100a)에 알린다(S504).The headquarters server 100a provides an edit screen (edit window) capable of editing an action item to the responsible person terminal 10 (S503), and the person in charge is allowed to edit the edit item displayed on the screen of the responsible person terminal 10 (Menu) to select a specific action item or detail item, and set a new registration, modification, or deletion for the selected specific action item or detail item, and accordingly, the responsible person terminal 10 transmits it to the headquarters server 100a (S504).

또한 책임자는 책임자 단말(10)의 화면상에 표시된 편집 화면에서 신규 등록 또는 수정된 항목에 대하여 개인정보보호 측정 시간에 대한 스케쥴 정보를 입력하고, 이에 따라 책임자 단말(10)은 스케쥴 정보를 본점 서버(100a)에 알린다(S505).Also, the responsible person inputs the schedule information about the personal information protection measurement time with respect to the newly registered or modified item on the editing screen displayed on the screen of the responsible person terminal 10, and accordingly, the responsible person terminal 10 transmits the schedule information to the head office server (Step S505).

본점 서버(100a)는 수신한 사용자의 요청에 따라 해당 조치 항목 또는 세부 항목에 대한 편집 정보 및 스케쥴 정보를 기 저장된 조치 항목에 대하여 편집 동작을 수행하고 편집 결과를 등록한다(S506).In step S506, the headquarters server 100a performs an editing operation on the previously stored action items and the editing information on the corresponding action items or detailed items and the schedule information, and registers the edited results in step S506.

이와 동시에 본점 서버(100a)는 책임자 단말(10)로부터 수신한 편집 정보와 스케쥴 정보를 제1 및 제2 지점서버(100b, 100c)로 전송하여 등록을 요청한다(S507, S509).At the same time, the headquarters server 100a transmits the edit information and the schedule information received from the responsible person terminal 10 to the first and second branch servers 100b and 100c to request registration (S507 and S509).

이에 제1 및 제2 지점서버(100b, 100c)는 본점 서버(100a)로부터 편집 정보와 스케쥴 정보를 수신하면 등록 요청에 따라 이를 등록하여 본점 서버(100a)와 조치 항목 및 이에 대응한 스케쥴을 동기화한다(S508, S510).When the first and second branch servers 100b and 100c receive the edit information and schedule information from the head office server 100a, the first and second branch servers 100b and 100c register the edit information and the schedule information according to the registration request and synchronize the head office server 100a, (S508, S510).

이후, 본점 서버(100a)와 제1 및 제2 지점서버(100b, 100c)에서는 타이머(미도시)를 통해 현재 시간 체크를 수행하고 체크한 현재시간이 등록된 스케쥴 정보에 해당하는지의 여부를 감시하는 감시 동작을 수행한다(S511). 이때 본점 서버(100a)와 제1 및 제2 지점서버(100b, 100c)에서는 각 조치 항목 또는 세부 항목에 대하여 동일한 스케쥴 정보를 가지고 있으므로, 동일한 감시 이벤트(즉, 현재 시간이 스케쥴 정보에 해당하는 이벤트)가 발생한다.Then, the main office server 100a and the first and second branch servers 100b and 100c perform a current time check through a timer (not shown) and check whether the checked current time corresponds to the registered schedule information (S511). At this time, since the main server 100a and the first and second branch servers 100b and 100c have the same schedule information for each action item or sub-item, the same monitoring event (that is, an event corresponding to the schedule information ).

그러므로 본점 서버(100a)와 제1 및 제2 지점서버(100b, 100c)는 동시에 신규 회차에 따른 개인정보보호 측정 동작의 수행의 시작을 파악하고(S512), 이를 각 담당자에게 공지한다(S513).Therefore, the headquarters server 100a and the first and second branch servers 100b and 100c simultaneously grasp the start of performance of the personal information protection measurement operation according to the new turn (S512), and notify each person in charge thereof (S513) .

여기서, 각 조치 항목 또는 세부 항목은 서로 다른 스케쥴 정보를 가질 수 있으며, 이에 따라 각기 다른 시간에 해당 항목에 대한 개인정보보호 측정을 수행하거나 측정을 위해 담당자에게 알리는 공지 동작이 수행된다. 이렇게 각 조치 항목 또는 세부 항목에 대응하여 서로 다른 스케쥴 정보를 가지는 경우에 본점 서버(100a), 제1 및 제2 지점서버(100b, 100c)는 서로 다른 스케쥴 정보에 따라 수집된 정보를 누적 저장한 후, 각 항목에 대한 평가가 이루어지는 시간에 각 조치 항목 및 이의 세부 항목에 대한 측정 또는, 측정 및 평가를 수행하게 된다.Here, each action item or detail item may have different schedule information, and accordingly, a notice operation is performed to measure personal information protection for the item at different times or notify the person in charge for measurement. In the case where the schedule server 100a, the first and second branch servers 100b and 100c accumulate the collected information according to different schedule information, Then, at the time when the evaluation for each item is made, the measure, the measurement and the evaluation are carried out on each item of the measure and its detailed items.

도 6은 본 발명의 실시 예에 따른 개인정보보호 측정 과정을 보인 데이터 흐름도이다. 도 6에서는 제1 지점서버(100b)와 제2 지점서버(100c)가 동일한 동작을 수행하므로, 이해를 돕기 위해 제1 지점서버(100b)의 동작만을 도시하였다.FIG. 6 is a data flow chart illustrating a personal information protection measurement process according to an embodiment of the present invention. In FIG. 6, since the first point server 100b and the second point server 100c perform the same operation, only the operation of the first point server 100b is shown for the sake of understanding.

본점 서버(100a)와 제1 지점서버(100b)는 현재 시간과 등록된 스케쥴 정보를 비교하여 스케쥴 감시를 수행한다(S601). 스케쥴 감시 결과, 현재일 또는 현재 시간이 개인정보보호 측정 시점이면 본점 서버(100a) 및 제1 지점서버(100b)는 개인정보보호 측정 및 평가 동작을 시작한다.The main server 100a and the first branch server 100b compare the current time with the registered schedule information to perform schedule monitoring (S601). If the schedule monitoring result, the current day or the current time is the personal information protection measurement point, the main office server 100a and the first branch server 100b start the personal information protection measurement and evaluation operation.

즉, 본점 서버(100a)는 본점에서 개인정보보호에 따른 보안을 담당하는 담당자인 담당자 A의 단말(20)(이하 '담당자 A 단말'이라 함)로 관리적 조치 수행을 알리며(S603), 담당자 A는 담당자 A 단말(20)을 통해 설정된 형식의 관리적 조치 수행 입력 화면을 호출하고, 관리적 조치 수행 입력 화면을 통해 각 관리적 조치 항목 및 세부 항목에 대한 보안 결과를 작성하고, 또한 증빙자료의 첨부를 요구하는 항목에 대하여 증빙자료를 첨부한다. 그런 다음 담당자 A는 담당자 A 단말(20)을 통해 각 관리적 조치 항목 및 세부 항목에 대한 보안 결과, 그리고 증빙자료를 본점 서버(100a)에 제공한다(S605).That is, the headquarters server 100a informs the head office 20 of performing the managerial action with the terminal 20 (hereinafter referred to as the "agent A terminal") of the person in charge A who is in charge of securing personal information protection (S603) Invokes a managerial action execution input screen of the format set through the agent A terminal 20, creates a security result for each managerial action item and detail items through the managerial action execution input screen, and also requests the attachment of the evidence (S) shall be accompanied by supporting evidence. Then, the person in charge A provides the security result for each administrative action item, the detailed item, and the supporting document to the headquarters server 100a through the contact person A terminal 20 (S605).

제1 지점서버(100b) 또한 제1 지점에서 개인정보보호에 따른 보안을 담당하는 담당자인 담당자 B의 단말(30)(이하 '담당자 B 단말'이라 함)로 관리적 조치 수행을 알리며(S604), 담당자 B는 담당자 B 단말(30)을 통해 설정된 형식의 관리적 조치 수행 입력 화면을 호출하고, 관리적 조치 수행 입력 화면을 통해 각 관리적 조치 항목 및 세부 항목에 대한 보안 결과를 작성하고, 또한 증빙자료의 첨부를 요구하는 항목에 대하여 증빙자료를 첨부한다. 그런 다음 담당자 B는 담당자 B 단말(30)을 통해 각 관리적 조치 항목 및 세부 항목에 대한 보안 결과, 그리고 증빙자료를 본점 서버(100a)에 제공한다(S606).The first point server 100b also informs the terminal 30 of the person in charge B (hereinafter, referred to as the "person in charge B") who is in charge of security according to personal information protection at the first point (step S604) The person in charge B invokes the management action execution input screen of the format set through the contact person B terminal 30 and creates the security result for each managerial action item and the detailed item through the managerial action execution input screen, (S) shall be attached. Then, the person in charge B provides the security result for each administrative action item and the detailed item and the supporting document to the headquarters server 100a through the contact person B terminal 30 (S606).

그리고, 본점 및 제1 지점서버(100a, 100b)는 각각 자신과 연결된 보안장비군(200a, 200b) 및 서버군(300a, 300b) 등으로부터 관리적 조치 항목 및 이의 세부 항목에 관련된 보안 데이터를 요청하고(S607, S608), 이의 응답으로 해당 보안 데이터를 수신한다(S609, S610).The head office and the first branch servers 100a and 100b request security data related to the administrative action items and their detailed items from the security device groups 200a and 200b and the server groups 300a and 300b connected thereto (S607, S608), and receives the corresponding security data in response thereto (S609, S610).

이때, 본점 서버(100a) 및 제1 지점서버(100b)는 보안장비군(200a, 200b)의 각 보안장비로부터 로그(log) 이벤트 정보와 설정 정보 및 기타 보안 관련 정보를 수집하고, 서버군(300a, 300b)의 DBMS 서버 및 기타 서버로부터 로그 이벤트 정보와 DB 설정 정보 등을 수집하여, DLP(Data Loss Prevention), DB 암호화, 접근제어, 침입탐지, 개인정보유출, 침입방지, 네트워크 보안 연동, 사용자 인증 등 보안에 관련된 정보를 파악하고 이를 이용하여 물리적 조치 항목 및 이의 세부 항목에 대한 측정을 수행하고, 측정을 통해 각 조치 항목의 결과를 수치화한 후 수치화한 값을 기준값과 비교하여 점수를 산출한다(S611, S612).At this time, the head office server 100a and the first branch server 100b collect log event information, setting information, and other security related information from each security device of the security device groups 200a and 200b, DB encryption, access control, intrusion detection, personal information leakage, intrusion prevention, network security interworking, and the like, by collecting log event information and DB setting information from DBMS servers and other servers of servers 300a, 300b, User authentication, etc., to measure the physical measures and their detailed items, to measure the results of each action item by measurement, and to compare the numerical values with the reference values to calculate the score (S611, S612).

여기서 물리적 조치 항목에 대한 기준값은 수량이나 횟수(또는 수(number))에 대한 값으로, 트래픽 분석/감시인 경우에 수량이고, 접속 제어 등인 경우에는 횟수이며, 어떤 조건에 대한 유무인 경우에도 횟수이다. 그리고 관리적 조치 항목에 대한 기준값은 횟수나 수(number)이다.Here, the reference value for the physical action item is a value for the quantity or number (or number), the quantity for the traffic analysis / monitoring, the number for the access control, etc., and the number for the certain condition . And the reference value for the administrative action item is the number or number.

따라서 본점 서버(100a)는, 물리적 조치 항목인 경우에는 기준값에 대비하여 측정 결과가 어느 정도인지에 따라 점수를 산출하게 되고, 관리적 조치 항목인 경우에는 기준값에 대비하여 어느 정도 체크 항목(yes인 항목)이 많은지에 따라 점수를 산출한다.Therefore, in the case of a physical action item, the headquarters server 100a calculates a score according to how much the measurement result is in relation to the reference value. If the item is a management action item, ), The score is calculated.

이에 따라 물리적 조치 항목, 관리적 조치 항목 및 이들의 세부 항목 각각은 측정 결과에 따른 점수가 산출된다. 물론 물리적 조치 항목과 관리적 조치 항목은 해당 세부 항목의 점수에 따라 점수가 산출된다.As a result, the physical measures, the administrative measures, and each of these sub-items are scored according to the measurement results. Of course, the physical and administrative measures are scored according to the scores of the sub-items.

제1 지점 서버(100b)는 물리적 조치 항목, 관리적 조치 항목 및 이들의 세부 항목에 대한 점수를 산출하면 이에 대한 정보를 본점 서버(100a)에 제공하고(S613), 본점 서버(100a)는 자신의 내부 네트워크에 대한 물리적 조치 항목, 관리적 조치 항목 및 이들의 세부 항목에 대한 점수와, 제1 지점 서버(100b)로부터 수신한 물리적 조치 항목, 관리적 조치 항목 및 이들의 세부 항목에 대한 점수를 이용하여 전체적으로 물리적 조치 항목, 관리적 조치 항목 및 이들의 세부 항목에 대한 평가를 수행한다(S614).When the first point server 100b calculates a score for the physical action item, the administrative action item, and the detailed items thereof, the first point server 100b provides information on the physical action item, the administrative action item, and the detailed items to the headquarters server 100a (S613) The physical action item for the internal network, the administrative action item and the score for the detailed items thereof, the physical action items received from the first branch server 100b, the administrative action items, Physical measures, administrative action items and their detailed items (S614).

평가는 각 물리적 조치 항목 및 각 관리적 조치 항목에 대하여 개인정보보호가 정상적인지 또는 미달인지를 파악하여 수치화한 것이며, 또한 각 물리적 조치 항목의 세부 항목별 및 각 관리적 조치 항목의 세부 항목별에 대하여 개인정보보호가 정상적인지 또는 주의인지 또는 경고인지 또는 위험인지를 파악하여 수치화한 것이다.Evaluation is the identification of each physical action item and each administrative action item by identifying whether the protection of personal information is normal or not. It is the identification and the quantification of whether information security is normal or caution, warning or danger.

이러한 평가를 통해 수치화한 결과는 도 7 내지 도 11과 그래프 정보로 표현되어 원격지 등에서 확인이 가능하게 된다.Numerical results obtained through such evaluation are represented by graph information as shown in FIG. 7 to FIG. 11 and can be confirmed at a remote place.

이상에서 설명한 본 발명의 실시예는 장치 및 방법을 통해서만 구현이 되는 것은 아니며, 본 발명의 실시예의 구성에 대응하는 기능을 실현하는 프로그램 또는 그 프로그램이 기록된 기록 매체를 통해 구현될 수도 있으며, 이러한 구현은 앞서 설명한 실시예의 기재로부터 본 발명이 속하는 기술분야의 전문가라면 쉽게 구현할 수 있는 것이다.The embodiments of the present invention described above are not only implemented by the apparatus and method but may be implemented through a program for realizing the function corresponding to the configuration of the embodiment of the present invention or a recording medium on which the program is recorded, The embodiments can be easily implemented by those skilled in the art from the description of the embodiments described above.

이상에서 본 발명의 실시예에 대하여 상세하게 설명하였지만 본 발명의 권리범위는 이에 한정되는 것은 아니고 다음의 청구범위에서 정의하고 있는 본 발명의 기본 개념을 이용한 당업자의 여러 변형 및 개량 형태 또한 본 발명의 권리범위에 속하는 것이다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments, It belongs to the scope of right.

Claims (1)

제1 대상기업에 대한 개인정보보호의 준수 여부를 측정하기 위한 개인정보보호 측정 시스템에 있어서,
본점 서버(100a),
제1 지점서버(100b),
제2 지점서버(100c),
본점에서 내부 네트워크를 형성하는 본점 네트워크장비(A),
제1 지점에서 내부 네트워크를 형성하는 제1지점 네트워크장비(B), 그리고
제2 지점에서 내부 네트워크를 형성하는 제2지점 네트워크장비(C)를 포함하며,
상기 정보보호 측정서버는 상기 사용자단말군의 사용자 단말로부터 상기 관리적 조치 항목에 대한 항목 데이터 수집을 하고, 상기 보안장비군, 상기 서버군, 상기 사용자 단말 및, 상기 타 보안장비군으로부터 상기 기술적 조치 항목에 대한 항목 데이터 수집을 하며,
상기 관리적 조치 항목은 보안, 시설, 소방, 장비, 및 기타 항목에 관련한 조치 항목을 포함하며, 상기 보안의 세부 항목은 일일보안을 포함하고, 상기 시설의 세부 항목은 시간외 출입문 및 자동화 코너를 포함하며, 상기 소방의 세부 항목은 가스시설, 소화기 및 화재를 포함하고, 상기 장비의 세부 항목은 CCTV, 경비장비 및 비상벨을 포함하며,
상기 기술적 조치 항목은 시스템 구축, 시스템 연동, 시스템 원격검침, 시스템 원격접속, 어플리케이션 개발 및, 개인정보에 관련한 조치 항목을 포함하고, 상기 시스템 구축의 세부 항목은 서버 보안, 접근 제어시스템 수용, 취약점 진단 및 조치 등과, 서버 보안을 포함하며, 상기 시스템 연동의 세부 항목은 사내망 시스템간 연동 및 사내망과 시외망 시스템간 연동을 포함하고, 상기 시스템 원격접속의 세부 항목은 원격접속을 포함하며, 상기 시스템 원격접속의 세부 항목은 원격접속, 접근권한 및 접속로그 관리를 포함하고, 상기 어플리케이션 개발의 세부 항목은 개인정보 취급, 개인정보취급 방침, 개인정보 암호화, 어플리케이션 개발, 접근 통제 및 로그 관리를 포함하며,
상기 정보보호 측정서버는 방화벽(firewall) 내에 설치되고,
상기 기술적조치 측정은 내부 네트워크를 이루고 있는 각 구성 및 보안 솔루션과 연동하여 획득한 상기 기술적 조치 항목과 관련된 특정 데이터를 측정하고 수치화한 후, 수치화한 값을 설정된 해당 기준값과 비교하여 측정 결과를 산출하고,
상기 관리적조치 측정은 상기 사용자단말군의 사용자 단말로부터 획득한 상기 관리적 조치 항목에 대한 가부(可否)에 대한 데이터 및 증빙 자료 포함 유무를 알리는 데이터를 파악하고 이를 수치화한 후 수치화한 값을 설정된 해당 기준값과 비교하여 측정 결과를 산출하며,
상기 보안장비군, 상기 서버군, 상기 사용자단말군과 상기 타 보안장비군을 포함하여 상기 제1 대상기업의 상기 내부 네트워크를 형성하며,
상기 항목 평가는 상기 기술적조치 측정과 상기 관리적조치 측정을 통해서 얻어진 측정 결과를 통해 최종적으로 상기 제1 대상기업에서 개인정보보호법에서 제시한 상기 관리적 조치 항목 및 이의 세부 항목과 상기 기술적 조치 항목 및 이의 세부에 대한 점수를 해당 기준값과 비교하여 해당 측정 결과가 설정 기준값에 대비하여 어느 정도인지를 파악하여 해당 항목에 대한 평가를 수행하는 개인정보보호 측정 시스템.1. A privacy measurement system for measuring compliance of personal information protection to a first target company,
The main office 100a,
The first point server 100b,
The second point server 100c,
The main office network equipment (A), which forms the internal network at the main office,
A first point network equipment (B) forming an internal network at a first point, and
And a second branch network equipment (C) forming an internal network at a second point,
Wherein the information protection measurement server collects item data on the administrative action item from the user terminal of the user terminal group and receives the technical measure item from the security device group, the server group, the user terminal, And the like,
Wherein the administrative action item includes an action item related to security, facilities, fire fighting, equipment, and other items, the subset of security includes daily security, the subset of the facility includes an after-hours gate and an automation corner , The details of the fire fighting include gas facilities, fire extinguishers and fire, the details of which include CCTV, security equipment and emergency bell,
The technical action items include system construction, system interlocking, system remote meter reading, system remote access, application development, and measures related to personal information. Details of the system construction include server security, access control system acceptance, vulnerability diagnosis And a server security. The details of the system interworking include interworking between intra-company network systems and interworking between the intra-company network and the inter-network network system, and the details of the system remote connection include a remote connection, Details of system remote access include remote access, access right and access log management, and the details of application development include personal information handling, personal information handling policy, personal information encryption, application development, access control and log management. In addition,
The information protection measurement server is installed in a firewall,
The technical measure measurement is performed by measuring and quantifying specific data related to the technical measure item interlocked with each configuration and security solution constituting the internal network, comparing the numerical value with the set reference value, and calculating the measurement result ,
Wherein the managerial measure measures the data on whether the management action item acquired from the user terminal of the user terminal group includes data on whether the management action item is available and whether or not the data includes evidence, To calculate the measurement result,
Forming the internal network of the first target enterprise including the security device group, the server group, the user terminal group and the other security device group,
The item evaluation is performed by measuring the technical measures and the management measures, and finally obtaining the administrative action items and their detailed items presented in the personal information protection law at the first target company, the technical action items and the details thereof , And comparing the score with the corresponding reference value to determine the degree to which the measured result corresponds to the set reference value, and evaluating the corresponding item.
KR1020160038515A 2013-09-09 2016-03-30 Server for assessing personal information protection KR20160046767A (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
KR1020130107968 2013-09-09
KR20130107968 2013-09-09

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
KR20140019775A Division KR20150029513A (en) 2013-09-09 2014-02-20 Server for assessing personal information protection and method thereof

Publications (1)

Publication Number Publication Date
KR20160046767A true KR20160046767A (en) 2016-04-29

Family

ID=53023988

Family Applications (2)

Application Number Title Priority Date Filing Date
KR20140019775A KR20150029513A (en) 2013-09-09 2014-02-20 Server for assessing personal information protection and method thereof
KR1020160038515A KR20160046767A (en) 2013-09-09 2016-03-30 Server for assessing personal information protection

Family Applications Before (1)

Application Number Title Priority Date Filing Date
KR20140019775A KR20150029513A (en) 2013-09-09 2014-02-20 Server for assessing personal information protection and method thereof

Country Status (1)

Country Link
KR (2) KR20150029513A (en)

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101730233B1 (en) 2015-04-10 2017-04-25 최종기 System, mobile and method for collecting purchasing information
CN113222391A (en) * 2021-05-06 2021-08-06 南京财经大学 Global scoring method for registrants of crowdsourcing business platform

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040104853A (en) 2003-06-04 2004-12-13 (주)인젠 Risk analysis system for information assets
KR101166568B1 (en) 2012-03-05 2012-07-18 워치아이시스템주식회사 Method and system for estimating degree of security risk, and recording medium thereof

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20040104853A (en) 2003-06-04 2004-12-13 (주)인젠 Risk analysis system for information assets
KR101166568B1 (en) 2012-03-05 2012-07-18 워치아이시스템주식회사 Method and system for estimating degree of security risk, and recording medium thereof

Also Published As

Publication number Publication date
KR20150029513A (en) 2015-03-18

Similar Documents

Publication Publication Date Title
Idrees et al. Blockchain-based digital contact tracing apps for COVID-19 pandemic management: Issues, challenges, solutions, and future directions
Kuris Watchdogs or guard dogs: Do anti-corruption agencies need strong teeth?
Gellman et al. NSA tracking cellphone locations worldwide, Snowden documents show
Tombs et al. Transcending the deregulation debate? Regulation, risk, and the enforcement of health and safety law in the UK
Kitchin Using digital technologies to tackle the spread of the coronavirus: Panacea or folly
CN104486346B (en) A kind of springboard machine system
De Bruyn The protection of personal information (POPI) act: impact on South Africa
US20140279641A1 (en) Identity and asset risk score intelligence and threat mitigation
US20120254048A1 (en) System and method for regulatory security compliance management
Park et al. Analysis of information security management systems at 5 domestic hospitals with more than 500 beds
KR102417277B1 (en) Safety diagnosis platform system of danger structure based on blockchain
Ali et al. ICS/SCADA system security for CPS
KR20160046767A (en) Server for assessing personal information protection
Hémond et al. Assessment process of the resilience potential of critical infrastructures
KR20190009859A (en) Security inspection respondence system
Enerstvedt et al. Analysis of privacy and data protection principles
Hale et al. Communicating potential mission impact using shared mission representations
Gonzalez-Granadillo et al. Using an event data taxonomy to represent the impact of cyber events as geometrical instances
Brown The Developing Habitus of the Anti‐Social Behaviour Practitioner: From Expansion in Years of Plenty to Surviving the Age of Austerity
KR102440447B1 (en) Reporting system according to social crime constitution and method thereof
Pigou Keeping track of the risks of contact tracing: An international law analysis of contact tracing in New Zealand and the prospect of cross-border contact tracing
Elgujja et al. Mobile apps for covid-19 surveillance: Balancing public health needs with the privacy of personal data
Janashvili Data Retention in Labour Law
Hassan Decoding Aarogya Setu: Data Protection and the Right to Privacy
CN102483838A (en) Security management using social networking

Legal Events

Date Code Title Description
A107 Divisional application of patent
WITN Application deemed withdrawn, e.g. because no request for examination was filed or no examination fee was paid