ISACA Audit 감사 결과 확인하기 (3/3)

·         ISACA Audit History

·         ISACA 에서 온 메일 확인

·         첫번째 메일 내용

·         두번쩨 메일 내용

 

디지털원패스 회원가입/계정 생성하기

·         사전 준비사항 - Mobile

·         디지털원패스 사이트에 접속 - PC

·         회원가입하기 - PC

·         약관동의 - PC

·         본인확인 - PC

·         회원정보 입력 단계 - PC

·         인증 수단 선택 - PC

·         디지털원패스 어플 실행 - Mobile

·         모바일인증 등록단계 - Mobile

·         모바일인증 등록단계; QR코드 스캔 - PC, Mobile

·         지문 스캔 - Mobile

·         웹페이지로 이동 - PC

·         디지털원패스 웹사이트에 로그인 - PC

 

 

ISACA CPE Audit 문서 제출 하기 - CISA 감사 문서 제출 

·         CPE Audit 문서 제출 페이지

·         Cerification Type 선택

·         Name, Email 입력

·         ISACA ID 입력

·         ISACA ID 확인

·         Attach Documents 제출

·         확인 메시지

·         확인메시지 - 파해치기

·         메일 확인

 

 

 

 

"CISA Audit Notification" CISA 감사 통지 메일 - 메일 내용 해부하기

·         메일 내용 해부 - 첫 머리 부분

·         메일 내용 해부 - Key Dates

·         메일 내용 해부 - Supporting Documentation

·         메일 내용 해부 - Submission

·         메일 내용 해부 - Audit Resources

·         메일 내용 해부 - 마지막 부분

 

 

 

 

 

"CISA Audit Notification" CISA 감사 통지 메일 - 메일의 첨부파일 내용 해부하기

https://codedragon.tistory.com/10950

 

 

 

 

ANNUAL CPE AUDIT

https://bit.ly/2W5EIFh

 

 

 

 

 

 

ISACA - Verification of Attendance Form

 

 

 

 

직접 다운로드

Fillable-Verification-Attendance-Form_frm_0618.pdf

 

 

or

https://bit.ly/3eqHhsF

 

 

 

 

금융분야 클라우드컴퓨팅서비스 이용 가이드(2019)

https://bit.ly/2XX6nJI

 

 

 

 

직접 다운로드

금융보안원-금융분야 클라우드컴퓨팅서비스 이용 가이드-FN.z01

금융보안원-금융분야 클라우드컴퓨팅서비스 이용 가이드-FN.z02

금융보안원-금융분야 클라우드컴퓨팅서비스 이용 가이드-FN.z03

금융보안원-금융분야 클라우드컴퓨팅서비스 이용 가이드-FN.z04

금융보안원-금융분야 클라우드컴퓨팅서비스 이용 가이드-FN.zip

 

 

 

Confidentiality(기밀성)

·         정보가 불법적으로 누출되지 않도록 보호하는 것입니다.

·         자원에 대한 접근은 합법적인 권한을 가진 사람만 가능합니다.

·         허용되지 않은 것을 보이지 않게 하거나 알아 볼 수 없게 또는 접근하더라도 이용하지 못하게 하는 것입니다.

·         즉, 합법적인 주체만 읽을 수 있도록 보호하는 것으로서, 기밀성을 보장하기 위해 메시지 내용을 암호화하고, 트래픽 흐름을 분석하며, 도청으로부터 메시지 내용을 보호합니다.

 

 

 

Confidentiality 관련 이슈

issue	description
암호화 vs 접근제어	·         기밀성은 다양한 방법이 있으며 상황과 환경, 서비스, 자산의 가치, 기술에 따라 적절한 방법을 적용해야 합니다.
Black List, White List, Heuristic , Behavior	·         블랙리스트과 화이트 리스트 사이에 빈 여백 존재(보안 취약부분)하며 이를 보완하기 위해 Heuristic, Behavior 로 보완하려는 기술이 나왔습니다.
Rule & Exception	·         Rule을 통해 보안을 어느 정도 할 수는 있지만 정상인 것도 탐지하므로 룰(Rule)과 함께 예외(Exception)부분도 필요합니다.
Sensing & Defensing	·         감지, 차단 ·         컴퓨터 잘하는 사람이 많으면 센싱(Sensing), 못하는 사람 많으면 차단(Defensing)하는 것이 좋습니다.

 

 

 

 

 

Confidentiality 보장 방법

·         정보가 허가되지 않은 사용자나 조직에게 노출되지 않도록 하는 보안 조치가 필요합니다.

·         접속 구간과 내용, 메시지 흐름의 기밀성에 암호 알고리즘 기술을 이용합니다.

·         방화벽, 암호화, 백신, 접근 제어(SSO, EAM, IAM), DRM 등이 사용되어질 수 있습니다.

 

 

 

 

개인정보 비식별 기술 가이드라인

 

http://bit.ly/2vPYJEV 

 

 

index

I. 비식별 기술 적용시 사전 검토 사항

 

 1. 비식별 적용 절차 개요

 

 2. 데이터 사용 목적 및 환경에 대한 검토

 

 3. 재식별 공격의 이해

 

 

 

II. 비식별 대상 데이터에 대한 개인정보 속성 결정

 

 1. ISO/IEC 20889 기반의 식별자 구분

 

  가) 일반 운영환경에서의 분류

 

  나) 데이터 셋 관점에서의 분류

 

  다) 개인정보 속성 분류

 

  2. 민감 정보의 구분

 

  가) 민감 정보의 정의

 

  나) 민감 정보의 분류

 

  3. 목적성 정보(TA,Target Attribute)의 구분

 

  가) 분석 대상을 정의하는 칼럼

 

  나) 분석 목적에 필수적인 컬럼

 

  4. 개인정보 속성 결정 원칙

 

  가) 법적 근거

 

  나) 처리자의 입장에서 판단

 

  다) 비식별 처리 기법에 대한 판단

 

  라) 처리자의 분석 환경에 대해 판단

 

  마) 기타 경우에 대한 판단

 

 

 

Ⅲ. ISO/IEC 20889의 비식별 기술의 종류

 

 1. ISO/IEC 20889

 

  가) 등장배경

 

  나) 목적

 

  다) 범위

 

  라) ISO/IEC 20889의 비식별 기술 개요

 

 2. 통계도구

 

  가) 표본 추출

 

  나) 총계 처리

 

 3. 암호화 기법(분석 효용성 입장의)

 

  가) 결정성 암호화

 

  나) 순서보존 암호화

 

  다) 형태보존 암호화

 

  라) 동형암호화

 

  마) 동형비밀분산

 

 4. 삭제 기법

 

  가) 마스킹

 

  나) 컬럼삭제

 

  다) 부분 삭제

 

  라) 레코드 삭제

 

  마) 식별자 전부 삭제

 

 5. 가명화 기법

 

  가) 양방향 암호화를 이용

 

  나) 일방향 암호화를 이용

 

  다) 토큰 기법을 이용

 

  라) 랜덤할당(Random assign)

 

  마) 매핑 테이블을 이용

 

  바) UUID(Universally Unique Identifier)

 

 6. 해부화 기법

 

 ​7. 일반화 기법

 

  가) 일반 라운딩

 

  나) 랜덤 라운딩

 

  다) 제어 라운딩

 

  라) 상하단 코딩(Top & Bottom Coding)

 

  마) 로컬 일반화

 

 8. 무작위화 기법

 

  가) 순열

 

  나) 잡음추가

 

  다) 부분 총계

 

 9. 재현 데이터

 

 

 

Ⅳ. 프라이버시 보호 모델의 종류 및 검증 방법

 

 1. k-익명성

 

 2. l-다양성

 

 3. t-근접성

 

 

 

 

 

별첨. 비식별 기법 적용_ARX

 

 1. 개요

 

 2. 데이터 명세

 

 3. 준식별자 비식별 기법 적용

 

 4. 프라이버시 보호 모델 적용

 

 

 

 

 

직접 다운로드

1.비식별+기술+가이드라인_NIA.pdf

 

 

 

 

Availability(가용성, 사용성, 편의성)

·         서비스 부인 공격(DOS)으로부터 시스템을 보호해야 합니다.

·         정당한 권한을 가진 사용자는 필요할 때 언제나 자원에 접근하여 사용 가능해야 합니다.

·         만족스럽게 안정적으로 동작해야 합니다.

·         즉, 정보에 대한 접근과 사용이 적시에 확실하게 보장되는 상태를 말하며, 정보 또는 정보 시스템이 원하는 때에 제대로 제공 되는 것을 의미합니다.

·         불편하고 만족스럽지 못한 것은 보안이 아닙니다.

·         보안을 강화하면서 불편하다는 애기는 적절하지 못한 표현입니다.

·         보안을 스스로 허무는 가장 큰 이유이기도 합니다.

 

 

 

 

 

 

Availability의 전환점

구분	설명
아이폰 도입 전	·         PDA 사용 ·         컴퓨터를 옮겨 오자가 목적
2005년 아이폰 도입	·         쓰기 쉬워야 한다는 것(전력, 입력, 안전등) ·         디자인적으로 예쁘고 아름다운 것 추구

 

 

 

 

 

 

Availability 관련 이슈

·         DDOS

·         국내 인터넷 뱅킹/결제

·         외울 수 없는 복잡하고 긴 패스워드

·         CPU 성능 다 집아 먹는 RSA연산

·         무슨 기능을 하는지 알 수 없는 보안 제품 메뉴

·         사용되지 않은 보안기능들

·         등