다소 상반된 주제 같지만 둘은 서로 연결이 되어 있다.
정보보호 관리체계에서는 1.2.1정보자산의 식별이라는 항목이 있고, ISMS 심사를 하게되면 항상 결함항목으로 나오는 부분이다.
|
관리체계 |
|
1.2. |
|
위험 관리 |
|
1.2.1 |
|
정보자산 식별 |
|
조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별·분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. |
|
정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가? |
|
가상자산과 관련한 자산을 식별하여 목록으로 관리하고, 최소한 필요한 인원에게만 제공하고 있는가? - 주요자산 예시 : 개인키, 패스프레이즈, 월렛(핫, 콜드), 월렛금고, 중요 통제구역(월렛 작업공간) CCTV, 출입통제시스템, 월렛서버 및 관련 어플리케이션, 가상자산 노드서버, 가상 인프라(스토리지 포함), 콜드/핫 월렛용 단말기(노트북, PC), 자금세탁방지(AML) 관련 시스템 등 |
- KISA에서 배포한 인증기준의 세부점검항목의 주요자산 예시 으로 자금세탁방지 시스템을 예를 들고 있다.
자금세탁방지(AML) 관련 시스템 ,콜드/핫 월렛용 단말기(노트북, PC)
또한 자금세탁방지시스템의 수집하는 개인정보도 개인정보수집동의를 받아서 수집이 되어야 하고, 국내외 기관과는 제3자 제공에 대한 동의를 받아야 하고, WLF (요주의인물필터링)을 하기 위한 과정도 제3자 제공중 하나에 해당이 된다.
앞으로는 자금세탁방지시스템부터 개인정보보호와 정보보호를 전체를 고려한 시스템 설계가 반드시 필요한 시점이다.
업무 개별 개별이 아닌 전체를 꿰뚫는 시각으로 접근이 필요하다.
ISMS심사원이며, 자금세탁방지 전문가의 시각으로 접근이 필요해보인다.
book.naver.com/bookdb/book_detail.nhn?bid=15660919
블록체인 암호화폐 자금세탁방지
암호화폐 거래소와 지갑 회사들이 반드시 알아야 할 자금세탁방지 이슈와 해결책최근 페이스북의 리브라, 카카오톡의 클레이튼, 중국의 법정 가상화폐, FATF(국제자금세탁방지기구)까지 뉴스를
book.naver.com
https://isms.kisa.or.kr/main/ispims/notice/?boardId=bbs_0000000000000014&mode=view&cntId=12