본문 바로가기
반응형

전체 글54

데이터 품질 관리 1. 데이터 품질 표준 데이터 품질은 사용 가치 관점에서 “실제적 또는 잠재적 사용의 적합성(fitness for use or potential use)”으로 정의된다. 데이터 품질을 측정하는 지표들로는 정확성(accuracy), 완전성(completeness), 최신성(currentness), 정밀성(precision) 등이 있다. 데이터 품질을 확보하려면 데이터 수명 주기 전체에 걸쳐 이러한 품질 지표에 대한 측정과 관리가 이루어져야 한다. 2.데이터 품질 통제(QC)와 데이터 품질 보증(QA) 일반적으로 품질 관리의 접근은 과정의 품질(quality of process)과 제품의 품질(quality of product)로 나눌 수 있다. 데이터의 경우 과정의 품질은 데이터 수명 주기에 걸쳐 관리 체.. 2024. 1. 9.
전자 매체 위생 처리 데이터 위생 처리는 저장 매체에 기록된 데이터를 복구할 수 없도록 제거하는 기법을 총칭한다. 심지어 위생 처리는 종이와 같은 비전자 매체에 저장된 데이터에도 적용된다. 한편 전자 매체에 대한 위생 처리 기법은 여러 가지가 있다. 하지만 데이터 삭제는 데이터 위생 처리 기법이 아니다. 데이터 삭제(deleting)는 운영체제(OS)가 관리하는 저장 매체의 파일 목록에서 특정 파일을 제거하는 것이다. 따라서 삭제된 데이터는 운영체제가 다시 찾을 수 없다. 하지만 실제로 해당 데이터가 저장 매체에서 사라진 것은 아니다. 또한 휴지통(recycle bin)에서 복구할 수 있는 기능을 제공한다. 전자 매체 위생 처리 기법 덮어 쓰기(Overwriting): 동일한 데이터나 0으로 매체 전체를 덮어 쓴다. 1990.. 2024. 1. 9.
잔존 데이터 처리 데이터 수명 주기 관리에서 정보 보호의 중요성이 간과되곤 하는 단계는 폐기이다. 폐기 단계에서 정보가 제대로 처분되지 않으면 데이터의 기밀성과 가용성이 손상될 수 있다. 데이터 폐기에서 널리 사용되는 보안 대책은 잔존 데이터의 처리이다. 잔존 데이터를 적절히 처분하지 않으면 승인 받지 않은 복구가 가능할 수 있다. 따라서 데이터 위생 처리라고도 불리는 기법을 적용하여 복구가 불가능하도록 데이터 저장 매체를 처리할 필요가 있다. 1. 데이터 수명 주기 관리(Data Life Cycle Management) ① 생성(Create): 새로운 데이터가 생성되거나 기존 데이터가 변경/갱신된다. 데이터의 보안 등급이 부여되고 접근 권한을 제한해야 한다. ② 저장(Store): 생성된 데이터를 저장 매체에 저장한다... 2024. 1. 8.
전자 증거 개시 제도 1. 기본 개념 ① 증거 개시 제도(Discovery): 영미법(Common law) 민사 소송 절차 중 사전 심리 단계에서 법원 개입 없이 소송 당사자 간 상호 합의와 요청에 의해 사건 관련 자료를 공유·공개하는 제도로서 소송 제기 전 증거 조사 제도라고도 한다. ☞ 대안적 분쟁 해결(ADR: Alternative Dispute Resolution): 증거 개시 제도 덕분에 많은 소송은 재판 전에 소송 대리인들이 관련 자료를 확인한 후 협상과 합의로 종결된다. ② 전자 문서(ESI: Electronically Stored Information): 전자 매체 상에서 생성·저장되어 있는 모든 데이터 또는 파일로서 많은 법률 소송에서 전자 증거로 자주 사용된다. 예) 이메일, 데이터베이스, 오피스 문서, 웹.. 2024. 1. 8.
데이터 수명 주기 관리 데이터에 대한 보호는 데이터 수명 주기 전체에 걸쳐 이루어져야 하듯이 저장 매체에 대한 보호도 저장 매체의 수명 주기 전체에 걸쳐 이루어져야 한다. 다시 말해, 저장 매체의 획득, 활용 및 취급, 보존 및 백업, 폐기로 구성되는 전체 단계에 걸쳐 적절한 보호 대책이 필요하다. 1. 저장 매체의 보호 ① 저장 매체(Storage Media): 데이터를 저장하는 데 사용하는 전자적 및 물리적 매체 예) 자기 테이프, 디스켓, 자기 디스크(HDD/SDD), USB 카드, 광학 매체, 종이 ② 매체 수명 주기(Media Life Cycle): 저장 매체의 획득(구입)하여 사용(유통) 및 보관하다가 최종적으로 폐기할 때까지 이르는 전체 과정 ③ 저장 매체를 정확히 식별하고 올바로 사용하며 적절히 보호하려면 매체 .. 2024. 1. 7.
데이터 보안 통제 3 4. 사용 중인 데이터(Data in Use) (1) 기본 특성 ① 컴퓨터 시스템에 의해 데이터가 접근, 조회, 연산, 처리, 갱신되는 상태의 데이터 예) 기업 애플리케이션을 통한 배치 처리, 전자상거래 시스템 통한 실시간 거래 처리, 클라우드 또는 모바일 앱을 이용한 연산, 상용 오피스 프로그램을 이용한 문서 편집 ② 데이터는 CPU 레지스터, 캐시(cache), 실시간 메모리(RAM), 각종 처리 장치의 버퍼, 데이터베이스에 위치하며 빈번하게 참조·연산·갱신되는 매우 가변적인 상태로 존재한다. ③ 전체적으로 볼 때 사용 중인 상태로 존재하는 시간은 상대적으로 짧으며 처리가 완료되면 이차 저장 장치에 저장되어 휴식 상태(at rest)에 들어간다. (2) 보안 위협 및 대책 ① 승인 받지 않은 사용자가.. 2024. 1. 7.
데이터 보안 통제 2 3. 전송중인 데이터(Data in Transit) (1) 기본 특성 ① 네트워크를 통해 전송 또는 이동 중인(in motion) 상태의 데이터 예) 인터넷 상에서의 파일 전송(이메일, 실시간 채팅, 웹 등), 팩스 및 MoDem 전송 ② 전송 방법은 장비 간 직접 연결한 케이블 통신, 원거리 유무선 통신(인터넷 포함), 전화망을 이용한 음성 및 데이터 통신, 위성 통신, 블루투스 연결 등을 포괄한다. ☞ 특정한 컴퓨터나 디바이스 내부의 컴포넌트 간 데이터 송수신도 넓은 의미에서 전송 중인 데이터로 간주하기도 하지만, 일반적으로는 장비 간 통신을 염두에 둔다. ③ 데이터의 세 가지 상태 중에서 보안 위협에 가장 많이 노출된 상태로서 특히 메시지의 기밀성이 손상 리스크가 크다. ☞ 따라서 전송중인 데이터를.. 2024. 1. 6.
데이터 보안 통제 1 1. 데이터의 세 가지 상태 ① 데이터는 정보 처리 과정에 따라 여러 상태(state) 중 하나의 상태로 존재한다. ② 데이터의 상태는 일반적으로 다음과 같이 세 가지로 분류한다. ③ 데이터의 상태는 수시로 변하며 각 상태에 따른 보안 위협과 취약점도 달라지기 때문에 정보 자산이 모든 상태에서 안전하게 보호되는지 면밀히 확인할 필요가 있다. ④ 하나의 보안 대책이 세 가지 상태에서 동일하게 활용될 수도 있지만, 그렇지 않은 경우도 있기 때문에 복수의 대책으로 서로 보완해야 할 수 있다. 2. 저장 중인 데이터(Data at Rest) (1) 기본 특성 ① 데이터가 조직 내외부에 위치한 이차 저장 매체에 디지털 형태로 저장되어 있는 상태 예) 파일 서버, 사용자 단말기 디스크(HDD/SDD), USB 드라.. 2024. 1. 6.
유럽연합(EU)의 일반 개인정보 보호법(GDPR) 2 유럽연합(EU)의 GDPR에 따르면 기업은 개인정보 보호와 관련한 책임을 이행해야 한다. GDPR은 개인정보에 대한 비식별화를 하도록 요구하고 있는데 이와 관련한 다양한 기법들이 있다. 3. 개인정보 보호를 위한 기업의 책임 정보 주체는 다음 8가지 권리를 가지며 컨트롤러는 관련 서비스를 무료로 제공해야 한다. 개인정보 처리 활동의 기록 • 종업원 수가 250명 이상인 기업의 컨트롤러와 프로세서는 개인정보 처리 활동을 기록하고 보유해야 한다. ☞ 단, 정보 주체의 권익에 위험을 초래하거나 개인정보 처리가 간헐적이지 않거나 민감 정보 또는 범죄 관련 정보를 저리하는 경우는 종업원 수가 250명 미만이라도 본 의무가 적용된다. • 예) 개인정보 보호 책임자, 컨트롤러, 프로세서, 대리인의 이름과 연락처, 처.. 2024. 1. 5.
유럽연합(EU)의 일반 개인정보 보호법(GDPR) 1 개인정보 보호에 대한 유럽연합(EU)의 공통적인 개인정보 보호에 관한 규정이 GDPR이다. GDPR에는 7가지 개인정보 처리 원칙과 더불어 8가지 정보주체의 권리 보장을 권고한다. 1. 개인정보 처리 원칙 일반 개인정보 보호법(General Data Protection Regulation)은 유럽연합(EU)이 2016년 5월에 제정하였고 2018년 5월 25일부터 시행되고 있다. GDPR은 EU 회원국들 그리고 EU 회원국들과 거래하는 기업들에게 개인정보를 처리할 때 다음 7가지 원칙을 모두 준수할 것을 요구한다. 적법성/공정성/투명성(Lawfulness, Fairness, Transparency) • 적법성: 정보 주체의 동의나 요청 또는 다른 적법한 근거가 있다. • 공정성: 개인정보는 사람들이 합리.. 2024. 1. 5.
프라이버시 보호의 개념 및 기본 원칙 프라이버시는 크게 공간과 관련한 프라이버시와 개인정보와 관련한 프라이버시로 구분한다. 공간과 관련한 프라이버시란 사유지 또는 주거지 무단 침범으로부터의 보호와 관련한 개념이다. 이에 비해 개인정보와 관련한 프라이버시는 개인정보의 무단 공개로부터의 보호와 관련한 개념이다. 프라이버시 보호의 대상이 되는 정보는 개인 정보(PI), 개인 식별 정보(PII), 보호 대상 건강 정보(PHI) 등으로 구분할 수 있다. 프라이버시와 관련해서는 OECD 8대 원칙이 널리 적용된다. 1. 프라이버시 기본 개념 프라이버스 보호 대상 정보는 개인 정보, 개인 식별 정보, 보호 대상 건강 정보가 있다. 개인 정보의 처리는 정보 주체의 동의를 전제로 한다. 개인 정보의 처리와 관련된 사람은 개인 정보 컨트롤러, 책임자, 취급자.. 2024. 1. 4.
자산 보호 수준의 결정 자산 보호를 위한 기초적인 업무로는 인벤토리 관리, 형상 관리, 자산 관리가 있다. 인벤토리 관리는 조직이 보유한 자산의 목록을 작성하고 유지하는 활동에 기초한다. 형상 관리는 자산의 버전에 따른 구성 및 특성에 대한 정보를 관리하는 것이다. 자산 관리는 자산을 획득할 때의 투자 타당성 분석, 운영 및 유지할 때의 유지 관리 실무, 폐기할 때의 폐기 실무 등을 포함한다. 자산 보안이 비용 대비 편익을 일정 수준 이상으로 유지될 수 있도록 등급별 보안 기준선을 수립하고 적용하는 것이 바람직하다. 자산 보호 대책은 목적 및 특성에 따라 유형을 분류할 수 있다. 1. 자산 보안의 기초 실무 자산 보안 실무의 출발은 인벤토리 관리인데 인벤토리는 일종의 자산 목록으로 이해할 수 있다. 하드웨어 및 소프트웨어의 형.. 2024. 1. 4.
반응형

티스토리툴바