1.통제목적
개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용정책을 수립하고 개인정보 및 주요정보의 저장·전송·전달 시 암호화를 적용하여야 한다.
2.주요 확인사항
- 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가?
- 암호정책에 따라 개인정보 및 중요 정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가?
3.결함 사례
1)내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우
2)암호정책을 수립하면서 해당 기업이 적용받는 법규를 잘못 적용하여 (정보통신망법 대상자 에게 개인정보 보호법의 암호화 요건 적용) 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우
3)개인정보취급자 및 정보주체(이용자)의 비밀번호에 대하여 일방향 암호화를 적용하였으나 안전하지 않은 MD5 알고리즘을 사용한 경우
4)정보통신망법 및 내부 규정에 따라 인터넷 웹사이트에 대하여 보안서버를 적용하였으나, 회원 정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우
4.안전한 알고리즘 (개인정보 암호화 조치 참조)
| 구분 | 알고리즘 |
| 대칭키 암호 알고리즘 | SEED, ARIA-128/192/256, AES-128/192/256, HIGHT ,LEA 등 |
| 공개키 암호 알고리즘 | RSAES-OAEP, RSAES-PKCS1 등 |
| 일방향 암호 알고리즘 | SHA-256/384/512 등 |
'정보보호 및 개인정보보호 관리체계 > 항목별 참조 자료 모음' 카테고리의 다른 글
| 2.8.1 보안 요구사항 정의 (0) | 2021.02.19 |
|---|---|
| 2.7.2 암호키 관리 (0) | 2021.02.19 |
| 2.6.7 인터넷 접속 통제 (0) | 2021.02.18 |
| 2.6.6 원격 접근 통제 (0) | 2021.02.17 |
| 2.6.5 무선 네트워크 접근 (0) | 2021.02.16 |