분야 | 등급 | 항목 | 요소 | 체크 | HOW |
---|---|---|---|---|---|
내부관리 계획수립 시행 |
필수 | 내부계획서 | 내부관리계획서가 마련되어있는가? | O | |
필수 | 개인정보보보책임자 지정과 역할이 명시되어 있는가? | O | |||
필수 | 개인정보 취급자가 지정과 역할이 명시되어 있는가? | O | |||
필수 | 개인정보보호 취급자에 대한 교육계획이 있고 실행하는가? | O | |||
필수 | 내부관리계획 수정이력 관리 | ||||
개인정보 처리 시스템 |
필수 | 개인정보취급 | 개인정보처리시스템에 대한 접근권한 차등관리되는가? | ||
필수 | 접근권한 부여/변경/말소 이력관리가 되는가?(3년보관) | ||||
필수 | 개인정보취급자는 고유 아이디가 부여되는가? | O | |||
필수 | 접속기록은 저장되고 보관되고 있는가?(6개월) | ||||
필수 | 접속기록은 무결성 체크를 위해 안전하게 보관되는가? | ||||
패스워드 검증관리 |
권고 | 패스워드 | 패스워드 강도체크 로직을 적용하는가? | O | |
권고 | 안전한 비밀번호 규격을 만족하는가? | O | |||
권고 | 가입자에게 패스워드 사용가능 정보를 주는가? | O | |||
필수 | 주기적 변경 주기 적용하는가? | O | |||
필수 | 비밀번호의 사용이력 추적하여 사용통제 하는가? | O | |||
DB 암호화 |
필수 | 패스워드 SALT |
개인별 고유 SALT를 랜덤으로 발생하여 사용하는가? | O | |
필수 | SALT추가법이 적정하고 외부 노출이 되지않도록 하는가? | O | |||
필수 | SALT는 언제라도 변경가능한 값을 사용하는가? | O | |||
필수 | 서버프로그램은 SALT를 외부에서 호출하여야 한다 | O | SALT서버운영 | ||
필수 | 패스워드 암호화 |
안전한 해쉬 암호화인가? | O | ||
> SHA-224 | |||||
> SHA-256 | O | ||||
> SHA-384 | |||||
> SHA-512 | |||||
필수 | 정보암호화 | 안전한 블록 암호화인가? | O | ||
> SEED | |||||
> HIGHT | |||||
> ARIA-128, AES-128 | |||||
> ARIA-192, AES-192 | |||||
> ARIA-256, AES-256 | O | CBC운영모드 | |||
권고 | 암회키 서버를 분리운영하는가? | O | |||
권고 | PBKDF2에 의해 암호키를 발생하는가? | O | |||
권고 | > 랜덤 발생 Salt인가? | O | |||
권고 | > 사용자 입력 password에 패스워드 로직 적용하는가? | O | |||
권고 | > iteration이 1000회 이상인가? | O | |||
권고 | > 128bit 이상의 키인가? | O | |||
암호키의 사용기간 및 유효기간을 관리하는가? | O | ||||
암호키를 블록 암호모듈로 전달시 안전하게 전달되는가? | O | 보안인증서 | |||
접근통제 | 서버간 접근통제 |
웹서버와 암호키 서버간의 접근통제가 이루어 지는가? | O | ||
암호키를 블록 암호모듈로 전달시 안전하게 전달되는가? | O | 보안인증서 | |||
필수 | 정보시스템 접근통제 |
정보시스템에 대한 접근통제가 이루어지는가? | |||
> IP통제 | |||||
> 페이지통제 | |||||
웹페이지 | 개인정보 페이지는 프린트 차단 스크립트 삽입 | CSS/PHP | |||
관리자만 프린트가 가능하도록 | CSS/PHP | ||||
필수 | 접속한 IP로 부터의 불법적인 개인정보 유출시도를 체크하나? | DB방화벽 | |||
개인정보 취급자의 접속 및 행위기록 저장 | 처리시스템로그 | ||||
무결성 체크 되는가? | Db log | ||||
홈페이지 취약점 조치가 이루어 지는가? | 주기적 점검 | ||||
필수 | 취급PC에 P2P, 공유설정 등이 금지되어 있는가? | 업무규정 |