● 인증심사 일정
| 1일차 | 2~3일차 | 4일차 | 5일차 |
| [시작회의] - 심사원 소개 - 인증범위 소개 [인증범위설명] - 조직및 물리적범위 설명 [문서심사] - 정보자산목록 - 정책문서 등 [심사팀 회의] - 추가자료요청 - 인터뷰대상,일정 - 심사주안점 |
[문서 및 현장심사] [심사팀 회의] |
[추가증적 확인 및 인터뷰] [심사팀 회의] [결함보고서 작성] |
[검토회의] [종료회의] |
| ① 인증 신청인은 인증범위 및 일정 등을 심사수행기관(인증기관 아니고) 과 사전협의하여 신청하여야 한다. ② 서면심사는 별표 7의 인증기준에 적합한지에 대하여 정보보호 및 개인정보보호 관리체계 구축·운영 관련 정책, 지침, 절차 및 이행의 증적자료 검토, 정보보호대책 및 개인정보 처리단계별 요구사항 적용 여부 확인 등의 방법으로 관리적 요소를 심사한다. ③ 현장심사는 서면심사의 결과와 기술적·물리적 보호대책 이행여부를 확인하기 위하여 담당자 면담, 관련 시스템 확인 및 취약점 점검 등의 방법으로 기술적 요소를 심사한다. |
|||
● 인증심사 중단 사유 - 고준보천
1. 신청인이 고의로 인증심사의 실시를 지연 또는 방해하거나 신청인의 귀책사유로 인하여 인증심사팀장이
인증심사를 계속 진행하기가 곤란하다고 판단하는 경우
2. 신청인이 제출한 관련자료 등을 검토한 결과 인증심사를 받을 준비가 되었다고 볼수 없는 경우
3. 인증심사 후 보완조치를 최대 100일 (재조치 요구 60일 포함) 이내에 완료하지 못한 경우
4. 천재지변 및 경영환경 변화 등으로 인하여 인증심사 진행이 불가능하다고 판단되는 경우
* 인증심사 기간중에 증적부족 및 인터뷰 스케쥴 지연 등이 발생하는 경우에는 그 전까지 확인된 사항만을
가지고 결함보고서를 작성을 하고 규정된 기간내에 보완조치하도록 가이드를 한다.
● 인증심사원 자격유지조건
유효기간 3년 이내 42시간 이상 수료
- 필수교육 : 1일 (7시간)
- 선택교육 : 5일 (35시간)
인증심사 5일 참여시마다 선택교육 1일 이수한 것으로 인정
● 개인정보 안전성 확보조치 기준
내부관리계획 중 유형2는 해당하지 않는 항목 (위재위)
- 위험도분석 및 대응방안 마련에 관한 사항
- 재해 및 재난대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
- 개인정보처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
● 업무양도양수시 고지
- 고지내용에는 이전받는자의 정보를 고지하는 거지 이전하는 자의 정보를 고지하는 게 아니다.
1.개인정보를 이전하려는 사실
2.이전받는자의 성명,주소,전화번호 및 연락처
- 개인정보보호법에서는 양수자가 이미 고지했으면 양수자는 고지 안해도 되지만
정통망법에서는 무조건 양도자,양수자 각각 고지 해야 한다. (개통명 망통통)
- 고지할때 개별통지가 어려우면 대신 양도자의 홈페이지에 30일 이상 게제만 해도
된다.
● 주민등록번호 수집.이용 허용 법령 사례
| 법률 | 수집주체 | 사유 |
| 금융실명거래 및 비밀보장에 관한법률 | 금융회사 | 금융거래시 거래자의 성명,주민등록번호로 실명 확인 |
| 전자상거래 등에서의 소비자보호법 | 전자상거래 사업자 | 거래기록 및 그와 관련한 개인정보 보존 |
| 전자금융 거래법 | 금융기관, 전자금융업자 | 전자화폐를 사용하고자 할 경우 실지명의와 연결하여 관리 |
| 부가가치세법 | 일반사업자 | 세금계산서에 공급받은 자의 주소.성명,주민등록번호 기재 |
| 소득세법 | 원천징수 의무자 | 원천징수영수증상의 주민등록번호 기재 |
| 의료법 | 병원 | 진단서.처방전,진료기록부상의 주민등록번호 기재 |
| 보험업법 | 보험회사 | 각 호에서 정하는 업무수행에 불가피하경우 예) 회사가 단체보험가입때문에 임직원의 주민등록번호처리 |
| 자격기본법 | 공인자격 관리자 | 공인자격증 기재사항 및 관리를 위해 주민등록번호 수집 이용가능 |
| 고용보험법 | 사업주 또는 훈련기관 | 직업능력개발 훈련비용 청구를 위한 지원서 작성시 훈련생의 주민등록번호 기재 |
| 전기통신사업법 | 전기통신사업자가 수시기간 에 재출 |
수사기관이 전기통신사업법에 의한 통신자료 요청 시 |
| 전자서명법 | 공인인증기관 | |
| 방송법 | 방송사업자 | 방송사업자에 대해 정보공개 요구 |
| 벤처기업 육성에 관한 특별조치법 |
벤처기업 | 주식 교환 시 주주의 주민등록번호 기재사항 |
● 개인정보보호조치 기준 조항 비교
| 개인정보의 안전성 확보조치 기준 | 개인정보의 기술적, 관리적 보호조치 기준 |
| 제1조 (목적) | 제1조 (목적) |
| 제2조 (정의) | 제2조 (정의) |
| 제3조 (안전조치기준 적용) | |
| 제4조 (내부관리계획의 수립.시행) | 제3조 (내부관리계획의 수립.시행) |
| 제5조 (접근권한의 관리) | |
| 제6조 (접근통제) | 제4조 (접근통제) |
| 제7조 (개인정보의 암호화) | 제6조 (개인정보의 암호화) |
| 제8조 (접속기록 보관 및 점검) | 제5조 (접속기록 위변조 방지) |
| 제9조 (악성프로그램 등 방지) | 제7조 (악성프로그램 방지) |
| 제10조 (관리용단말기의 안전조치) | |
| 제11조 (물리적 안전조치) | 제8조 (물리적 접근 방지) |
| 제12조 (재해.재난대비 안전조치) | |
| 제13조 (개인정보의 파기) | |
| 제9조 (출력.복사시 보호조치) | |
| 제10조 (개인정보표시제한조치) | |
| 제11조 (규제의 검토) | |
| [별표] 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준 |
'ISMS-P' 카테고리의 다른 글
| ISMS-P 키워드별 정리(7/10) (0) | 2021.02.19 |
|---|---|
| ISMS-P 키워드별 정리(6/10) (4) | 2021.02.17 |
| ISMS-P 키워드별 정리(4/10) (0) | 2021.02.10 |
| ISMS-P 키워드별 정리(3/10) (0) | 2021.02.08 |
| ISMS-P 키워드별 정리(2/10) (0) | 2021.02.04 |