11. 데이터보호 및 암호화 지

inswave-wiki
Wikiadmin (토론 | 기여)님의 2025년 10월 16일 (목) 10:34 판 (새 문서: __NOTOC__ <div style="border:2px solid #888; padding:20px; background-color:#f9f9f9; border-radius:8px;"> == 제1장 총칙 == === 제1조 (목적) === 이 지침은 ㈜인스웨이브(이하 “회사”)의 「정보보호정책서」에 의거하여 구성원의 데이터보호 및 암호화 관리에 필요한 사항을 규정함을 목적으로 한다. === 제2조 (적용범위) === 이 지침은 회사의 클라우드컴퓨팅 서비스 업무에 종사하는 임직...)
(차이) ← 이전 판 | 최신판 (차이) | 다음 판 → (차이)
둘러보기로 이동 검색으로 이동



제1장 총칙[편집]

제1조 (목적)[편집]

이 지침은 ㈜인스웨이브(이하 “회사”)의 「정보보호정책서」에 의거하여 구성원의 데이터보호 및 암호화 관리에 필요한 사항을 규정함을 목적으로 한다.

제2조 (적용범위)[편집]

이 지침은 회사의 클라우드컴퓨팅 서비스 업무에 종사하는 임직원 및 회사와 계약을 맺은 외부업체 직원에게 적용한다.

제3조 (용어 정의)[편집]

  1. **암호화(Encryption)** : 암호화 기법 및 프로그램을 사용하여 평문 정보를 식별 불가능한 형태로 변환하는 과정
  2. **복호화(Decryption)** : 암호화된 정보를 다시 평문으로 변환하는 과정
  3. **암호 키(Encryption Key)** : 암호화 및 복호화를 수행하기 위해 사용하는 키

제2장 데이터 보호[편집]

제4조 (데이터 분류)[편집]

  1. 데이터의 유출, 장애 및 침해 발생 시 영향을 고려하여 데이터 중요도를 평가해야 한다.
  2. 기밀성·무결성·가용성 및 법적 요구사항, 서비스 영향, 손실, 고객 상실, 대외 이미지 등을 기준으로 한다.
  3. 클라우드서비스에서 생성·처리되는 데이터는 **이용자 데이터**와 **사용자 데이터**로 구분한다.
  4. 중요도 및 민감도에 따른 데이터 분류 기준을 수립하고, 생성·전송·저장·폐기 등 전 과정에 관리방안을 적용한다.

제5조 (데이터 소유권)[편집]

  1. 클라우드 서비스 제공 시 발생하는 **이용자 데이터의 소유권**은 명확히 정의되어야 하며, 회사와 이용자 간 계약서에 명시한다.

제6조 (데이터 무결성)[편집]

  1. 데이터의 입력·전송·저장 시 무결성을 보장하기 위한 기술적 방안을 수립해야 한다.
  2. 시스템 설계 시 무결성 보장 대상 데이터의 유형별 분류 및 정의를 수행한다.

제7조 (데이터 보호)[편집]

  1. 스토리지, 백업 드라이브, 가상 이미지, 스냅샷 등 모든 매체에 대해 **엄격한 접근통제**를 시행한다.
  2. 다음 각 호에 해당하는 경우 데이터 분실 방지 대책을 마련해야 한다.
    1. 클라우드 시스템 내 스토리지에 저장된 데이터
    2. 내부·외부 네트워크에서 이동 중인 데이터
  3. 다수 이용자 서비스 시 **테넌트 분리, 테이블 분리, 물리적 분리** 등을 통해 데이터 격리를 보장한다.
  4. SaaS 서비스의 경우 로그 및 중요 데이터 접근을 통제하고 위·변조 방지 대책을 수립해야 한다.
  5. 정부나 제3자의 요청 시에는 **데이터 소유자 동의 후** 제공해야 하며, 개인정보가 포함될 경우 「개인정보보호법」을 준수한다.

제8조 (데이터 추적성)[편집]

  1. 서비스 제공 전 이용자와 합의하여 데이터의 저장 및 처리 위치를 계약서 또는 SLA에 명시한다.

제9조 (데이터 폐기)[편집]

  1. 계약 종료 또는 이전 시 이용자 데이터를 재사용할 수 없도록 완전 삭제한다.
  2. 백업 데이터는 이용자와 협의한 기간 내 삭제해야 한다.
  3. SaaS 이용자의 데이터 폐기 시 **복구 불가능한 방식으로** 삭제한다.

제3장 암호화[편집]

제10조 (암호 정책 수립)[편집]

  1. 회사는 다음 각 호의 정보를 암호화 대상으로 지정해야 한다.
    1. 중요정보: 정보자산목록, 네트워크 구성도, 취약점 결과 등
    2. 클라우드 서비스 관련 계약 및 약정 정보
    3. 법적 요구사항에 따른 정보(개인정보, 인증정보, 금융정보, 고유식별정보 등)
  2. 데이터 암호화 시 검증된 알고리즘(예: SEED, ARIA 등)을 사용하며, **키 길이는 128비트 이상**으로 해야 한다.
  3. 서버-클라이언트 간 중요정보 전송 시 SSL/TLS 또는 안전한 응용 암호화 방식을 사용한다.
  4. 개인정보처리시스템 간 전송 시 IPSec, SSL/TLS, SSH 등 안전한 통신 방식을 적용한다.
  5. 저장 시에는 다음 방법 중 하나 이상을 적용해야 한다.
    1. 응용프로그램 자체 암호화
    2. DB 서버 또는 DBMS 암호화
    3. OS 수준의 암호화 기능
  6. 비밀번호는 SHA-256 이상 안전한 알고리즘으로 **일방향 암호화**해야 한다.

제11조 (암호 키 관리)[편집]

  1. 암호 키 관리 담당자는 키 생성·배포·백업·복구·폐기를 수행하며, 정보보호 최고책임자의 승인을 받아야 한다.
  2. 암호 키는 목적별로 구분하여 사용하고, 불법 변경·대체되지 않도록 관리한다.
  3. 분실 시 즉시 보고하고, 해당 키를 사용하는 시스템의 키를 즉시 변경해야 한다.
  4. 암호 키는 물리적으로 분리된 서버에 저장하며, 접근 권한을 최소화해야 한다.
  5. 암호 키의 생성·사용·폐기 기록은 `암호화 키 관리 대장`에 기록하고 내화 금고 등에 보관한다.
  6. 암호화 키는 사용 주기 만료 또는 종료 시 즉시 폐기한다.

제12조 (암호 키 복구)[편집]

  1. 분실·손상 등으로 암호 키를 복구할 경우, 정보보호 최고책임자 승인 후
 `암호 키 복구 대장`에 기록한다.
  1. 해당 대장은 기술보안 담당자가 관리하며, 내화 금고 등 안전한 장소에 보관해야 한다.
  2. 파일 형태의 키를 분배할 경우 별도의 매체에 백업하여 안전한 장소에 보관한다.

[별표 1] 키 유형에 따른 유효기간[편집]

키 유형 유효기간
개인 서명키 1~3년
공개 서명 검증키 키 크기에 따라 다름
개인 인증키 1~2년
공개 인증키 -
대칭 인증키 2년 이하 (발신자 기간 + 3년 이하)
대칭 암호 키 2년 이하
대칭/공개 RNG키 리시딩에 따라 다름
대칭 마스터키 약 1년
개인키 전송키 2년 이하
공개키 전송키 1~2년
대칭 인가키 2년 이하
개인 인가키 -
공개 인가키 -

[별지 제1호 서식] 암호화 키 관리 대장[편집]

일련번호 일자 키 사용 용도 암호화키 부서명/사용자명 담당자 서명 관리자 서명

[별지 제2호 서식] 암호 키 복구 대장[편집]

일련번호 일자 암호화키 일련번호 복구 사유 부서명/사용자명 담당자 서명 관리자 서명

[별지 제3호 서식] 암호화키 관리대장 봉인해제 내역[편집]

일련번호 구분(열람/불출) 일자 열람·불출 목적 및 내용 담당자 서명 관리자 서명

※ 암호화키 관리대장 봉투에 부착하여 봉인해제 내역(열람 및 불출 내역)을 관리한다.

(끝)

원본 주소 "https://wiki.inswave.kr/index.php?title=11._데이터보호_및_암호화_지&oldid=558"