이번 ISMS 심사 중 권고사항으로 지적받은 부분인데요
2pc 중 인터넷PC에서 개인정보 처리 업무 범위가 과도하다는 것입니다.
현재 업무망PC에서는 대량 개인정보취급업무를 주로 하고 있고
외부망PC 에서는 일반 업무처리를 하고 있는데 통상적으로 일반 업무를 어디까지 하고 계신지
그 업무를 함에 있어서 외부망PC에 대해서 어떤 보안조치(이중로그인, 화면캡처 금지, 드래그&카피 금지 등)를 적용하고 계신지 선배님들 의견 여쭙고자 합니다
2pc 망분리 시 인터넷PC에서의 개인정보처리 업무 범위
6개의 답변이 있습니다.
저희는 통상 정통법에서 말하는 관리용 단말기 PC를 폐쇄망 (in/out바운드 패킷 차단) 으로 적용, 개인정보 처리 시스템(DB)만 접근하게 정책을두고 또 다른 업무용 PC는 단순히 인터넷은 하되 개인정보처리를 하지 못하도록 DB 접속제한을 하고 있습니다.
같은 '망 분리'라는 표현을 쓰고 있지만, 정보통신서비스 제공자(정보통신망법)와 금융회사(전자금융거래법)의 망 분리 세부 내용은 다릅니다. 정보통신서비스 제공자이시면, 개인정보의 기술적 관리적 보호조치 기준에는 다음과 같이 되어 있습니다.
개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리 하여야 한다. (제4조 제6항)
즉 개인정보를 조회만 할 수 있는 개인정보취급자의 PC는 법적으로 망 분리 대상은 아닙니다.
그리고 정보통신망법에서의 망 분리는 법률의 개정 없이 시행령 개정만으로 시행되었습니다. 국회가 아니라 정부가 했다는 것이지요. 망 분리의 시작 역시 국정원 주도로 정부 부문부터 적용한 거구요. 팩트체크 잠시 곁가지로^^
인터넷 PC : 인터넷, 이메일 가능, 개인 정보 취급 시스템 접근 가능
업무망 PC : 이메일 사용 불가 , 개인 정보 취급 시스템 접근 가능
개인 정보를 한 건 을 처리한다. 만 건을 처리한다가 기준이 될 수 없고 개인 정보에 접근이 가능한지 안 한지를 기준으로 봐야합니다.
국내 보안 업체들이 국회의원을 아주 잘 구워 삶아 주셔서 외국에는 찾아보기 힘든 망분리라는 구성을 강제 적용하게 해서 아주 골때립니다.
심사원들도 망분리가 업렵다는 것을 모두 인정합니다.
개선 사항에 대해 완벽한 대응 보다는 이렇게 이렇게 노력해서 업무를 분리하고 있고 이렇게 이렇게 개선해 나갈 계획이다 라고 매년 심사 대응하고 있습니다.
각 보험사 보안( 개인정보)실사 대응를 진행하고 있구요
ISMS 심사 관련 개인정보 처리에 관련 모든 시스템에 대해 솔루션 도입이 원칙적이며
어떻게 정책 설계에 따라 가산점이 있습니다.
모든 PC에 대해 DRM/DLP 솔루션을 도입하여 개인정보 관련 이슈를 차단하고 있습니다.
그리고 사용자 요청에 따라 정책적으로 허용하고 있습니다.
업무망으로 사용하는 컴퓨터는 외부 차단을 해야 합니다.아마도 이부분을 그냥 넘어가시면 나중에 감사를 했을때 걸릴겁니다. 필요로 하는 사이트를 열어야 한다면 해당 포트를 방화벽에서 오픈만 해주고
개인 정보를 취금해야 하는 컴퓨터는 인터넷을 차단 시켜야 하는게 바람직하지 않을까 싶네요.
만약 인터넷으로 개인정보를 처리하는 업무를 해야 한다면...
방화벽에서 해당 사이트만 접속할 수 있게 하고, 나머지 다른 사이트들은 모두 차단 시키는 게 맞을 것 같고요.