IT/밥벌이 보안16 [금융권] 클라우드 컴퓨팅 이용 가이드 1. 클라우드 컴퓨팅 이용 절차 1) 금융회사는 클라우드서비스 이용 시 다음 절차에 따라 필요한 조치를 수행함으로써 감독규정 제14조의2(클라우드서스 이용 절차)를 준수하고 적절한 보안수준을 확보하여야 한다. 2. 클라우드 이용 보고 관련 제출 서류 리스크에 대한 간략 설명 1) 클라우드 컴퓨팅 서비스 이용대상 정보처리시스템 지정 보고서에 대한 내용 현재 서비스 하려고 하는 서비스에 대한 전체적인 시스템, 개요, 처리 절차, 시스템 개요, 계약 관련 내용, 책임자 등을 한개의 보고서 형식으로 작성 2) 금융 회사의 정보처리 업무 위탁에 관한 규정 제 7조1항 각호에 대한 서류 1. 위탁계약서(안) 사본 - > CSP와의 계약서 사본 2. 「금융기관의 업무위탁 등에 관한 규정」 제3조의2에 따라 금융기관이.. 2021. 11. 22. 패스워드(암호) 관리 정책에 대해서 패스워드(암호) 관리 정책에 대해서 보안 담당자로 근무하면서 임직원들에게 가장 많이 컴플레인을 듣고 지원 요청을 받는 사항 중 하나가 패스워드 잠김 또는 패스워드 분실 건이었습니다. 이유는 간단했습니다. 임직원 한 명이 기억하고 있어야 하는 계정 정보가 최소 2개 이상이며, 변경 주기도 90일(3개월)에 한 번씩, 거기에 과거에 사용하였던 패스워드는 사용하지 못하도록 정책이 되어 있으니 처음 한두 번은 괜찮지만 이게 누적이 되다 보면 잊어버리거나 분실하거나 하는 이슈가 하나둘씩 생겼기 때문입니다. 임직원 나름 패스워드 분실의 예방차원으로 노트나 포스트잇 등에 작성하여 어딘가 부착해 두기도 합니다. 하지만 그렇게 되면 사내 보안 정책에 걸려 나중에 인사상 불이익이 발생하기 때문에 임직원들의 원성을 듣는 걷.. 2021. 8. 22. 통신보안인증- GSMA SAS 인증 인증 심사 지원 배경 SAS(Security Accreditation Scheme) 인증은 우리가 흔히 핸드폰에 사용하는 SIM, USIM 칩과 관련된 인증으로 GSM 제품을 생산 하는데 필요한 보안 수준을 평가하는 인증입니다. 위에서 언급한 핸드폰 즉 모바일 장치에서 사용하는 SIM의 프로그램과 데이터의 무결성을 보호하기 위해서 제조 및 관리에 사용되는 공급자(제조사) 환경과 프로세스 상의 보안을 평가하는 인증입니다. 지사에서 해당 인증을 진행하는 사유는 당시 큰 고객사 중 한 곳에서 해당 인증을 요구하였고 회사 차원에서도 그 고객뿐 아니라 해외 고객도 유치하자는 차원에서 진행을 하기로 했던 것입니다. 당시 해당 인증 획득 프로젝트에 투입이 된 것은 입사하고 얼마되지 않아서 입니다. 인증을 진행하는데 .. 2021. 8. 22. 정보보안 인증 - PCI DSS(카드 데이터) 해당 인증은 Visa, Master, American Explress, Discover, JCB의 카드 브랜드에서 자신들의 카드 데이터를 이용하는 것에 대한 별도의 만든 정보보안 표준으로 만든 인증으로 국내에서는 거의 수요가 없다가 2014(?)년도 경에 VISA와 몇 개의 카드사에서 자신들의 카드를 유통하기 위해서는 반드시 해당 인증을 받으라는 이야기가 나오고 있어서 국내 카드 및 PG, VAN 사 등에서 진행한 것으로 알고 있습니다. 당신에는 보안에 대해서 조금 신경쓰는 몇몇 PG 사만 받고 있었던 것으로 기억하고 당시 재직하던 회사에서 해당 인증을 준비하는데 관련되어서 국내에서 컨설팅 및 인증을 진행하는 곳이 BBSec이라는 곳에서만 했던 것으로 기억합니다. 현재는 조금씩 관련 업체가 늘어난 것으로.. 2021. 8. 22. 이전 1 2 3 4 다음 728x90
