본문 바로가기

ISMS-P

 (20)
[ISMS-P] 정보보호 및 개인정보보호 관리체계 결함 사례 정리 정보보호 및 개인정보보호 관리체계 결함사례 포스팅 글 정리 1.1 관리체계 기반마련 항목 결함사례 1.1.1 경영진의 참여 1.정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보 현황을 경영진에게 보고하 도록 명시하였으나 장기간 관련 보고를 수행하지 않은 경우 2.중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보호 대 책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동보고, 승인 등 의사결정에 경영진 또는 경 영진의 권한을 위임받은 자가 참여하지 않았거나 관련 증적이 확인되지 않은 경우 1.1.2 최고책임자의 지정 1. 정통망법에 따른 CISO 지정 및 신고 의무 대상임에도 신고하지 않은 경우 2. 개보법을 적용받는 민간기업이 개인정보 처리업무 관..
[ISMS-P] 개인정보 처리 단계별 요구사항 (3.5 정보주체 권리보호) #개인정보 처리 단계별 요구사항 기준 3.5 정보주체 권리보호 3.5.1 개인정보처리방침 공개 인증기준 : 개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 개인정보처리방침을 수립하고, 이를 정보주체(이용자)가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다. 확인사항 - 개인정보 처리방침을 정보주체(이용자)가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 지속적으로 현행화하여 공개하고 있는가? - 개인정보 처리방침에는 법령에서 요구하는 내용을 모두 포함하고 있는가? - 개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체 없이 공지하고 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 알아볼 수 있도록 조치하고 있는가? 관련법규 - 개인정보 보호법 제30..
[ISMS-P] 개인정보 처리 단계별 요구사항 (3.4 개인정보 파기 시 보호조치) #개인정보 처리 단계별 요구사항 기준 3.4 개인정보 파기 시 보호조치 3.4.1 개인정보의 파기 인증기준 : 개인정보의 보유기간 및 파기 관련 내부 정책을 수립하고 개인정보의 보유기간 경과, 처리목적 달성 등 파기 시점이 도달한 때에는 파기의 안전성 및 완전성이 보장될 수 있는 방법으로 지체 없이 파기하여야 한다. 확인사항 - 개인정보의 보유기간 및 파기와 관련된 내부 정책을 수립하고 있는가? - 개인정보의 처리목적이 달성되거나 보유기간이 경과한 경우 지체 없이 해당 개인정보를 파기하고 있는가? - 개인정보를 파기할 때에는 복구/재생되지 않도록 안전한 방법으로 파기하고 있는가? - 개인정보 파기에 대한 기록을 남기고 관리하고 있는가? 관련법규 - 개인정보 보호법 제21조(개인정보의 파기) - 개인정보의..
[ISMS-P] 개인정보 처리 단계별 요구사항 (3.3 개인정보 제공 시 보호조치) #개인정보 처리 단계별 요구사항 기준 3.3 개인정보 제공 시 보호조치 3.3.1 개인정보 제3자 제공 인증기준 : 개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체(이용자)의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립/이행하여야 한다. 확인사항 - 개인정보를 제3자에게 제공하는 경우 법령에 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받고 있는가? - 개인정보의 제3자 제공 동의는 수집/이용에 대한 동의와 구분하여 받고 이에 동의하지 않는다는 이유로 해당 서비스의 제공을 거부하지 않도록 하고 있는가? - 개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최..
[ISMS-P] 개인정보 처리 단계별 요구사항 (3.2 개인정보 보유 및 이용 시 보호조치) #개인정보 처리 단계별 요구사항 기준 3.2 개인정보 보유 및 이용 시 보호조치 3.2.1 개인정보 현황 관리 인증기준 : 수집/보유하는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관게기관의 장에게 등록하여야 한다. 확인사항 - 수집/보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하고 있는가? - 공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하고 있는가? - 공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하고 있는가? 관련법규 - 개인정보 보호법 제32조(개인정보파일의 등록 및 공개) 증거자료 - ..
[ISMS-P] 개인정보 처리 단계별 요구사항 (3.1 개인정보 수집 시 보호조치) #개인정보 처리 단계별 요구사항 기준 3.1 개인정보 수집 시 보호조치 3.1.1 개인정보 수집 제한 인증기준 : 개인정보는 서비스 제공을 위하여 필요한 최소한의 정보를 적법하고 정당하게 수집하여야 하며, 필수정보 이외의 개인정보를 수집하는 경우에는 선택항목으로 구분하여 해당 정보를 제공하지 않는다는 이유로 서비스 제공을 거부하지 않아야 한다. 확인사항 - 개인정보를 수집하는 경우 서비스 제공 또는 법령에 근거한 처리 등을 위하여 필요한 범위 내에서 최소한의 정보만을 수집하고 있는가? - 수집 목적에 필요한 최소한의 정보 외의 개인정보를 수집하는 경우 정보주체(이용자)가 해당 개인정보의 제공 여부를 선택할 수 있도록 하고 있는가? - 정보주체(이용자)가 수집 목적에 필요한 최소한의 정보 이외의 개인정보 ..
[ISMS-P] 보호대책 요구사항 (2.12 재해 복구) #보호대책 요구사항 기준 2.12 재해 복구 2.12.1 재해/재난 대비 안전조치 인증기준 : 자연재해, 통신, 전력 장애, 해킹 등 조직의 핵심 서비스 및 시스템의 운영 연속성을 위협할 수 있는 재해 유형을 식별하고, 유형별 예상 피해규모 및 영향을 분석하여야 한다. 또한 복구 목표시간, 복구 목표시점을 정의하고 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구체계를 구축하여야 한다. 확인사항 - 조직의 핵심 서비스(업무) 연속성을 위협할 수 있는 IT 재해 유형을 식별하고, 유형별 피해규모 및 업무에 미치는 영향을 분석하여 핵심 IT 서비스(업무) 및 시스템을 식별하고 있는가? - 핵심 IT 서비스 및 시스템의 중요도 및 특성에 따른 복구 목표시간, 복구 목표시점을 정의..
[ISMS-P] 보호대책 요구사항 (2.11 사고 예방 및 대응) #보호대책 요구사항 기준 2.11 사고 예방 및 대응 2.11.1 사고 예방 및 대응체계 구축 인증기준 : 침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내/외부 침해시도의 탐지, 대응, 분석 및 공유를 위한 체계와 절차를 수립하고 관련 외부기관 및 전문가들과 협조체계를 구축하여야 한다. 확인사항 - 침해사고 및 개인정보 유출사고를 예방하고 사고 발생 시 신속하고 효과적으로 대응하기 위한 체계와 절차를 마련하고 있는가? - 보안관제서비스 등 외부 기관을 통하여 침해사고 대응체계를 구축, 운영하는 경우 침해사고 대응절차의 세부사항을 계약서에 반영하고 있는가? - 침해사고의 모니터링, 대응 및 처리를 위하여 외부전문가, 전문업체, 전문기관 등과의 협조체계를 수립..

티스토리툴바