目次
情報保護事前点検制度
1
CISOの役割
1-1. 情報保護事前点検制度とは?
ITは、生きている生命体と同じです。 進化し発展しながら成長 し続けます。 すくすく 人を例にとって みましょうか? わぁ! 赤ん坊だ! 可愛い! 妊婦が赤ん坊を生むためには、 まず健康でなければならないで すね? よいしょ! このような支援活動を情報 保護事前点検制度といいま すね? 新しいITサービスも事前に弱点を取り除き、保護対策を樹 立し適用できるようにコンサルティング活動を支援します。 健康診断もあらか じめ受けました。 はい! 健康が一番! 妊娠 健康 書き写し ヒ ゚シ ャリ おい! はっ!I. 概要
1-1. 情報保護事前点検制度とは ?
ITサービスの構築段階(計画・設計・実現・テスト)でセキュリティホール分析などの診断を通じ、 事前に弱点を除去し保護対策を樹立・適用する一連のセキュリティコンサルティング活動 情報保護事前点検の定義 計画 設 計 実 現 テ ス ト 運 営 メンテ ナンス [サービス Life-Cycle] 事前予防 (情報保護事前点検) 事後対応 (ISMS,ISO27001)テレマティックス 応用サービスを脅かす テレマティックス端末を 脅かす ホームネットワーク 機器を脅かす DMB/DTV端末を脅かす 次世代移動通信端末を脅かす サービスロボット/ 次世代PC端末を脅かす 無線Ad-hocなど 無線サービスを脅かす DMB/DTV サービスを脅かす ホームネットワーク 応用サービスを脅かす 端末ハッキング 内部 不法侵入 コンテンツ 偽造、変造 プライバシー 侵害 システム ハッキング 無線通信 盗聴 コンテンツ 偽造、変造 情報 流出 ワーム/ ウイルス 攻撃
I. 概要
1-2. 情報保護事前点検制度登場の背景
新規ITサービスの場合、利用者がサービスを使いやすくする、無線ネットワーク、 複合端末使用など情報システムが複雑になるほど、セキュリティ脅威および脆弱性が 増加し侵害事故発生の可能性が非常に高まる 新規ITサービスの情報セキュリティ脅威の増加 ビジネス 遠隔教育 遠隔検針 [コンテンツ応用サービス] 放送サービス 交通/地図 テレマ ティックス センター 衛星 無線移動通信 無線LANなど インターネット、 放送網、電力線など ホーム ゲートウェイ ホームサーバー 公共行政 遠隔医療I. 概要
60 1 6.5 15 40 1 100 段階別 弱点措置費用 設計 実現 テスティング 運営 段階別 事前点検投資vs効果 高い テスティング 実現 設計 12% 15% 21% 低い ROI 段階1-3. 情報保護事前点検制度の必要性
新規ITサービスのためのシステム構築時、セキュリティホール発生の可能性が大きくなっているが、 これに対し相応する予防次元の先行投資は不十分 -> サービス提供のための情報システムの弱点発見および修正に必要とされる費用は、運営 段階では設計段階に比べて60~100倍増加 (IBMシステム技術研究所) 事前的情報保護安全性確保の必要1-4. 情報保護事前点検制度の根拠
第45条の2 (情報保護事前点検) ① 情報通信サービス提供者は新しく情報通信網を構築したり、情報通信サービスを 提供しようと思う時には、その計画または設計において情報保護に関する事項を考慮しなければなら ない。 ② 未来創造科学部長官は、次の各号のどれか一つに該当する情報通信サービスまたは 電気通信事業を施行しようとする者に対して、大統領令で定める情報保護事前点検基準により、保護 措置をするように勧告することができる。 1. この法または他の法令により、未来創造科学部長官の認可・許可を受けたり登録・申告を するようになっている事業として、大統領令で定める情報通信サービスまたは電気通信事業 2. 未来創造科学部長官が事業費の全部または一部を支援する事業として、大統領令で 定める情報通信サービスまたは、電気通信事業 ③ 第2項にともない情報保護事前点検の基準・方法・手続き・手数料などの必要な事項は、 大統領令で定める。 [施行日:2013.2.18] 根拠法令: 情報通信網利用促進および情報保護などに関する法律1-4. 情報保護事前点検制度の根拠
根拠法令: 情報通信網利用促進および情報保護などに関する法の施行令 第36条の2 (情報保護事前点検の基準) 法第45条の2、第2項にともない情報保護事前点検の基準は、次の各号の事項を考慮 し未来創造科学部が定め告示する。 1. 対象サービスの情報通信システム構造 2. サービス運営環境 3. 保護対象識別および危険性 4. 保護対策導出および実現現況1-4. 情報保護事前点検制度の根拠
根拠法令: 情報通信網利用促進および情報保護などに関する法の施行令 第36条の3(情報保護事前点検勧告対象) ① 法第45条の2 第2項 第1号で、大統領令で定める情報通信サービスまたは電気 通信事業とは、未来創造科学部の認可、許可を受けたり、登録・申告をすること になっているサービスまたは事業の内、情報システム構築に必要とされる投資規 模が5億ウォン以上(ハードウェア・ソフトウェアの単純な購入費用を除いた金額 をいう)のサービスまたは事業をいう。 ② 法第45条の2 第2項 第2号で、大統領令で定める情報通信サービスまたは電気 通信事業とは、未来創造科学部が新規情報通信サービスまたは電気通信事業の発 掘・育成のために、事業費の全部または一部を支援するモデル事業をいう。1-4. 情報保護事前点検制度の根拠
根拠法令: 情報通信網利用促進および情報保護などに関する法の施行令 第36条の4(情報保護事前点検の方法・手続きなど) ① 法 第45条の2 第3項にともない情報保護事前点検は、書面点検、現場点 検または、遠隔点検の方法で行う。 ② 法 第45条の2 第3項にともない情報保護事前点検は、次の各号の順序で 進める。 1. 事前点検準備 2. 設計検討 3. 保護対策の適用 4. 保護対策の実現現況点検 5. 事前点検結果の整理1-4. 情報保護事前点検制度の根拠
根拠法令: 情報通信網利用促進および情報保護などに関する法の施行令 第36条の4 (情報保護事前点検の方法・手続きなど) ③ 法 第45条の2項にともない未来創造科学部長官の勧告を受けた者は、情報保護 事前点検を直接実施するか、法第52条にともない韓国インターネット振興院ま たは、外部専門機関に実施させることができる。この場合、情報保護事前点検 は、別表2に記載されている、情報保護技術人材の資格基準を備えた人のみが遂 行できる。 ④ 第1項から第3項までで規定した事項の他に、情報保護事前点検の方法および 手続きに関しての必要な細部事項は、未来創造科学部が定めて告示する。1-4. 情報保護事前点検制度の根拠
根拠法令: 情報通信網利用促進および情報保護などに関する法の施行令 第36条の5(情報保護事前点検手数料) 未来創造科学部は、次の各号の事項を考慮し情報保護事前点検 手数料算定のための具体的な基準を定め告示する。 1. 情報保護事前点検を受ける事業の規模 2. 情報保護事前点検に参加する者の専門性 3. 情報保護事前点検の期間IV. 事前点検推進経過
2-1サイバー侵害事故の現況
IV. 事前点検推進経過
2-2企業情報保護の必要性
企業セキュリティ担当者 9,600人を対象に質問 2012 2013 $200万 企業の情報流出、ハッキングにともなう被害規模は次第に増加 セキュリティ事故は創造経済を牽引する企業の生存を脅かす! 京畿道警察庁 70億台 半導体技術流出 一斉摘発 北朝鮮 大企業コンピュータ・ネットワーク 1年間ハッキング 800億相当の核心技術を流出した会社幹部、捕まるIV. 事前点検推進経過
2-3企業の役割と責任
企業の情報保護番人“CISO”の役割が重要!
IV. 事前点検推進経過
2-4 国際社会のCISOの役割と重要性拡大
<第2回CISO Asia Summit(’13.11.12) > < Detroit CISO Summit(’13.11.19) >
CISOの独立性の強化
世界的にCISO関連協議会構成および運営増加
兼職しない
IV. 事前点検推進経過
2-5韓国CISO協議会スタートおよび役割
韓国CISO協議会スタート 専門家グループ 協力分課 政策/制度 分課 技術分課 教育分課 事務局 監査 会長 諮問委員会 理事会IV. 事前点検推進経過
2-5韓国CISO協議会スタートおよび役割
韓国CISO協議会の役割および主な活動
