[ 방통위 주관 ] 개인정보 보호 자율점검 체크리스트 관련 체크사항

방통위 주관 [자율점검 체크리스트]

방송통신위원회는 2014년 11월 12일 "온라인 개인정보 취급 가이드라인" 시행을 통해 현장에서의 개인정보 취급을 위한 기준을 하였다. 또한 2014년 11월 29일 시행된 개정 정보통신망 이용촉진 및 정보보호 등에 관한 법률 및 시행령을 통해 정보통신서비스 제공자의 자율성과 책임성을 강화하는 정책을 마련하여 추진하고 하고 있습니다.

1. 체크리스트 작성 시

• (긍정/부정) 에 상관없이 Y : 이상없음, N : 개선필요, N/A : 해당 없음으로 표시

2. 제 22조 (개인정보의 수집/이용 동의 등) 관련

• 필수/선택 동의는 구분하여 고객이 직접 선택하여 동의 가능하도록 구현 (온/오프라인 동일)
• 단, 선택동의(마케팅, 포인트 등) 내용이 필수 동의 내용과 연계되어 고객 서비스 이용 시 편의 증진을 위해 꼭 필요한 경우에는 일괄 동의 가능

3. 제23조의 2 (주민등록번호의 사용제한)

• 본인확인을 위해 주민등록증이 기재된 서류를 요구하는 경우, 스캔본에 주민번호 뒷자리 마스킹 필수

4. 제28조(개인정보의 보호 조치)

• 1) 내부관리계획 내 "유출 시 대응 매뉴얼", "개인정보를 취급 위탁한 경우 수탁자에 대한 관리감독", "물리적 접근통제에 관련된 사항", 필수 기재
• 4) 암호화 및 5) 개인정보 표시제한 보호조치 부분은 현장점검 시 필수 검증 부분으로 명확히 실시

5. 제29조(개인정보의 파기 및 유효기간제)

• 개인정보 유효기간제 시행에 따라 1년 동안 이용기록이 없는 이용자의 개인정보는 파기 혹은 별도 분리보관을 해야 하지만,
• 통신업체의 경우, 온라인 이용기록 뿐만 아니라 오프라인(통신 서비스)으로 사용 중이라면 온라인 이용기록이 없더라도 오프라인 이용기록으로 대체하여 보관 가능

6. 체크리스트 입증 자료

• 기본적으로 체크리스트 파일에 표시(캡쳐, 관련 법적 근거 등)
• 단, 암호화 등의 내용에 대하여 회사 내부 보안 등으로 유출이 어려운 경우, 계약서 혹은 고객정보가 포함되지 않은 문서로 대체 가능

Continue reading

No comments

[서평] 기획은 2형식이다

우선 책이 이뻐서 눈에 띄었고, 독특하지만 자신감있는 책 제목이 내 마음을 사로 잡았다.

나는 평소 기획에 대해 관심이 많은 지라, 틈틈히 블로그 혹은 관련 사이트를 통해서 관련 지식을 축척하고 있던 터였다. 그리고 이내 기본기와 핵심을 배우기 위한 저서의 필요성이 절실히 요구되었다. 

나는 이 책을 기획의 기본서가 되었으면 하는 마음에 바람으로 구입하였고, 이는 역할을 톡톡히 했다고 생각한다. 기획만으로 봤을때 '초짜' 인 나에게 적당한 수준이 었고, 옆에서 말을 해주듯한 구어체 형식의 구성 덕분에 쉽게 이해할 수 있었다.

전공자도 아닌 내가 기획에 관심을 가지는 이유는 단 한가지다. '기획' 은 우리 삶에 빠질 수 없는것이며 빠져선 안될 요소라고 생각하기 때문이다. (또한 책에서는 기업에게 기획력은 생존의 문제라고 한다. 충분히 공감한다.) 쉽게 말하면 일 잘하는 사람과 일 못하는 사람의 차이는 바로 '기획력' 된다는 것이다. 내가 속한 회사의 문제점을 찾아내고, 솔루션을 찾아내는 '기획' 뿐만 아니라, 우리 가족, 그리고 나 자신의 모든 상태에 대해 고민하고, 발전하는 모든 것이 '기획'을 통해 이행될 수 있다고 생각하기 때문이다.

이 세상 모든 사람이 알고 있는 기획의 대가라고 하면 스티브잡스가 있을것 이다. 그는 애플이라는 기업을 통해 세상을 통채로 바꿔버렸다. '음악', '전화', '인터넷' 을 하나로 합쳐 '아이폰' 아이폰이 정말 엄청난 큰 변화를 가져왔다.(지금 생각하면 별거 아닌 듯한 개념이지만..) 이도 훌륭한 '기획' 덕분에 가능한 일이라 생각이 된다.

이 책은 충분히 여러번 정독할만한 가치가 있다고 생각된다. 

*  기획이 중요한 이유.. * 

기획이 '왜' 중요한 걸까요

기획은 '새로운 가치'를 만들어내는 작업이기 때문이다.

잘된 기획, 좋은 기획은 세상을 바꾸기 때문입니다.

'아이폰'을 처음 만나던날 세상을 다 얻은 것처럼 행복해하던 사람들이 기억나시나요?

<나는 가수다>의 무대를 보고 눈물을 흘리며

기립 박수를 보내던 중년 아주머니도 생각이 납니다.

새로운 가치로 더 살기 좋은 세상, 더 행복한 세상을 만드는 것이 기획의 힘입니다.

인류가 오늘날의 문명을 이룩할 수 있었던 건, 

끊임없는 기획의 힘이었다고 해도 과언이 아닐 것입니다.

기획은 가치를 만듭니다.

지금 이 순간에도 세상은 좋은 기획을 기다리고 있습니다.

그리고 기꺼이 대가를 지불할 준비도 되어 있습니다.

자, 그럼 결론은 났습니다.

기획,

무조건 잘하고 볼 일입니다.

Continue reading

No comments

[비 전산 부서를 위한] 관리적 취약점 분석 방법 가이드

지니온 노종현입니다. 본 포스팅은 '관리적 취약점 분석' 에 대해 내용을 기술하였습니다.

'관리적 취약점 분석' 이란, 조직이 수집한 전체 자산에 대해 기술적 방법이 아닌 '관리적인 방법으로 취약점을 분석' 하는 방법이며 , 최종적으로 1) '위험 정도' 와 2) '발생 가능성' 이 도출됩니다.

가능한 쉽게 설명하기 위해 5가지 단계로 분류하여 설명을 기재하였습니다.

STEP 1. 자산을 취합합니다.

아래 그림과 같이 '자산 분석' 하는 단계에 해당합니다. (해당 내용은 제공되는 방법론 가이드를 참조하시면 어려움 없이 진행될 것 같습니다.)

STEP 2. 그룹핑 기준 수립합니다. (위험 시나리오 문서 참고)

이는 전체 방법론 중에 '관리적 분석' 단계에 해당됩니다.

'관리적 분석' 을 위해서 우선 그룹핑이란 작업이 선행됩니다. 그룹핑이란 모든 자산에 대해 '위험 시나리오' 평가를 수행하게 되는 번거로움을 피하기 위해 자산을 형태 혹은 성격에 따라 그룹화하는 것을 의미합니다. 아래의 예를 보겠습니다.

위의 예시는 문서를 성격에 따라 그룹핑한 현황입니다. 저희가 1차적으로 그룹핑 기준을 수립하였으며, (위험 시나리오에서 그룹핑 예시 확인 가능) 만약 추가적인 그룹핑 구분이 필요하시면 추가하시면 됩니다. 이와 같은 방법으로 리스팅한 자산에 대해 그룹핑 기준을 수립하시면 됩니다.

- 주의 -
위의 기준은 자산의 종류에 따른 분류가 아니라 자산의 관리형태 혹은 성격에 따른 분류 기준입니다. 즉 [매뉴얼/기획문서/보고서/신청서] 와 같은 분류기준은 올바르지 않은 분류 기준입니다. 기준은 [전자문서-FTP 공유문서] 와 [전자문서-PC 내 저장문서] 와 같이 관리 형태의 기준으로 분류가 되어야 합니다. (이를 기준으로 각각의 [위험도] 와 [발생가능성]은 명확하게 차이가 나기 때문입니다.)

STEP 3. 각각 리스팅한 자산에 대해 위의 STEP 2 에서 정한 분류 기준을 명시해 주세요.

아래의 붉은 색으로 표기된 부분에 각 자산의 그룹핑 기준을 명시해 주세요

STEP 4. [위험정도] 와 [발생가능성]을 평가합니다.

이제 저희가 전달드린 [위험 시나리오] 문서에 각각 분류한 대상에 따라 [위험정도]와 [발생가능성]을 평가하여 값을 기재합니다.  (아래 이미지 참고)

( 각 자산에 대한 '위험도'와 해당 위험의 '발생가능성'은 자산 담당자가 가장 정확하게 판단할 수 있다는 전제하에 진행됩니다)

만약 '내가 분류한 문서 목록 리스트의 그룹핑은 [전자문서-PC 내 저장문서] 밖에 없어요" 라고 하시는 분들은 하나의 평가 테이블에만 평가값을 기재하면 됩니다. 

STEP 5. 나머지는 IT팀의 의 역할

위의 1-2 단계를 수행해주시면 나머지는 IT팀의 몫입니다. 

즉 위의 내용에 따라 업데이트된 1) 자산목록과 2) 위험시나리오 파일을 작성하여 IT팀에 전달해주시면,

위험평가를 통해 전체적인 RISK Value를 도출하게 됩니다. 

Continue reading

No comments