728x90
반응형
SMALL

 

2.1.1 정책의 유지관리
(일신명변)
일관성
신규도입
명시
변경사항		 2.1 정책,조직,자산 - 조자
 사례 1 : 지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우
 사례 2 : 정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부규정, 지침, 
              절차에 서로 다르게 명시되어 일관성이 없는 경우
 사례 3 : 데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위해 DB 접근통제솔루션을 
              신규로 도입하여 운영하고 있으나 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 내부보안지침에
             접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우
              (대내외 환경변화를 정책에 반영하지 않음)
 사례 4 : 개인정보보호 정책이 개정 되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책의 작성일자
            , 작성자 및 승인자 등이 누락되어 있는 경우
 사례 5 : 개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나 이러한 변경이 개인정보보호 
               정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정하지 않은 경우

   * 단 개정된 정책의 공유및 전달은 "1.1.5 정책수립" 에만 해당된다.

 

2.1.2 조직의 유지관리
(역평의 명) 2.1 정책,조직,자산 - 
사례 1 : 내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임
           정의하고 있으나 실제 운영현황과 일치하지 않는 경우 (①역할과 책임할당)
사례 2 : 정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가
           마련되어 있지 않은 경우 (②평가체계)
사례 3 : 내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가시 반영하도록
           되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우
           (②평가체계   
사례 4 : 정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임
          이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우  (①역할과 책임할당)
2.1.3 정보자산 관리
(보안등급표시, 담당자&책임자, 취급절차) 2.1 정책,조직,자산 - 
사례 1 : 내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우
            (자산을 식별하고 보안등급을 부여하는건 '1.2.1 정보자산 식별' 이고, 실제 자산에 등급 스티커를 표시
             하지 않은 , 즉 이행하지 않는것은 '2.1.3 정보자산관리' 의 결함사항이다.)
사례 2 : 정보자산별 담당자 및 책임자를 식별하지 않았거나, 자산목록 현행화가 미흡하여 퇴직, 전보 등 인사이동
           이 발생하여 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우
사례 3 : 식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록에 기록하고 있으나
           (요기까지는 '1.2.1 정보자산 식별' 이고)
          보안등급에 따른 취급절차를 정의하지 않은 경우
2.2.1 주요 직무자 지정 및 관리
     (누포괄) 2.2 인적보안 - 분서인퇴위
사례 1 : 주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나 대량의 개인정보
          등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자등)을 명단에 누락한 경우
사례 2 : 주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사
          한 인력이 포함되어 있지 않는 등 현행화 관리가 되어 있지 않은 경우
사례 3 : 부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지
           과다하게 개인정보취급자로 지정 경우
사례 4 : 내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 득하고 주요 직무에 따른 보안서약서를
           작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요직무자가 다수 존재하는 경우
2.2.2 직무 분리
  2.2 인적보안 - 서인퇴위
사례 1 : 조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무의 편의성만을 사유로 내부
           규정으로 정한 직무분리 기준을 준수하고 있지 않는 경우
사례 2 : 조직의 특성상 경영진의 승인을 득한 후 개발과 운영 직무를 병행하고 있으나,
            직무자간의 상호 검토
          , 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토 ․ 승인,
          , 직무자의 책임추적성 확보 등의
           보완통제 절차가 마련되어 있지 않은 경우
기타 : Devops 도입으로 인하여 개발과 운영직무를 별도 분리하고 있지 않는 정책을 운영하고 있지만 별도 보안통제
        이루어지지 않는 경우
2.2.3 보안 서약
(신외방포)

입직원 보안서약서
주인력 보안서약서
보안서약서 
정보보호관련 불		 2.2 인적보안 - 인퇴위
사례 1 : 신규 입사자에 대해서는 입사 절차상에 보안서약서를 받도록 규정하고 있으나, 최근에 입사한 일부 직원
          의 보안서약서 작성이 누락된 경우
사례 2 : 임직원에 대해서는 보안서약서를 받고 있으나, 정보처리시스템에 직접 접속이 가능한 외주인력에 대해
          서는 보안서약서를 받지 않는 경우
사례 3 : 제출된 정보보호 및 개인정보보호 서약서를 모아 놓은 문서철이 비인가자가 접근 가능한 상태로 사무실
           책상에 방치되어 있는 등 관리가 미흡한 경우
사례 4 : 개인정보취급자에 대해 보안서약서만 받고 있으나 보안서약서 내에 비밀유지에 대한 내용만 있고
           개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우
2.2.4 인식제고 및 교육훈련
(계외증미)

교육
주직원 교육대상 누락
교육적 
이수자 추가교육		 2.2 인적보안 - 분서퇴위
사례 1 : 전년도에는 연간 정보보호 및 개인정보보호 교육 계획을 수립하여 이행하였으나 당해년도에 타당한 사유
          없이 연간 정보보호 및 개인정보보호 교육 계획을 수립하지 않은 경우
사례 2 : 연간 정보보호 및 개인정보보호 교육 계획에 교육 주기와 대상은 명시하고 있으나 시행일정, 내용 및 방법
          등의 내용이 포함되어 있지 않은 경우
사례 3 : 연간 정보보호 및 개인정보보호 교육 계획에 전 직원을 대상으로 하는 개인정보보호인식 교육은 일정 시간
          계획되어 있으나 개인정보 보호책임자 및 개인정보담당자 등 각 직무별로 필요한 개인정보보호관련 교육
          계획이 포함되어 있지 않은 경우
사례 4 : 정보보호 및 개인정보보호 교육 계획서 및 결과 보고서를 확인한 결과, 인증범위 내의 정보자산 및 설비에
          접근하는 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등)을 교육 대상에서 누락한 경우
사례 5 : 당해 연도 정보보호 및 개인정보보호 교육을 실시하였으나 교육시행 및 평가에 관한 기록 (교육자료, 출석부
        , 평가 설문지, 결과보고서 등) 일부를 남기지 않고 있는 경우
사례 6 : 정보보호 및 개인정보보호 교육 미이수자를 파악하지 않고 있거나 해당 미이수자에 대한 추가교육 방법
         (전달교육, 추가교육, 온라인교육 등)을 수립 ․이행하고 있지 않은 경우
2.2.5 퇴직 및 직무변경 관리
    (남이확) 2.2 인적보안 - 분서인
사례 1 : 직무 변동에 따라 개인정보취급자에서 제외된 인력의 계정과 권한이 개인정보처리시스템에 그대로 남
          있은 경우 -> 퇴직자의 계정이 활성화 되어있어 퇴직자의 계정으로 개인정보처리시스템에 로그인이 가능함.
          ( 퇴직자가 개인정보취급자 명단에 안빠지고 남아있는건 "2.2.1 주요 직무자 지정및 관리" 의 결함이고
            명단에는 빠져있지만 실제 해당 계정이 권한에서 안빠져서 계속해서 접속이 되는 경우는 "퇴직및 직무변경
            관리" 의 결함이다.)
사례 2 : 최근에 퇴직한 주요직무자 및 개인정보취급자에 대하여 자산반납, 권한 회수 등의 퇴직절차 이행 기록
          확인되지 않은 경우
사례 3 : 임직원 퇴직 시 자산반납 관리는 잘 이행하고 있으나 인사규정에서 정한 퇴직자 보안점검 및 퇴직확인서
          를 작성하지 않은 경우
2.2.6 보안 위반 시 조치
  2.2 인적보안 - 분서인퇴
사례 1 : 정보보호 및 개인정보보호 규정 위반자대한 처리 기준 및 절차가 내부 규정에 전혀 포함되어
          있지 않은 경우
사례 2 : 보안시스템(DLP, DB접근제어시스템, 내부정보유출통제시스템 등)을 통해 정책 위반이 탐지된 관련자에게
          경고 메시지를 전달하고 있으나, 이에 대한 소명 및 추가 조사, 징계 처분등 내부 규정에 따른 후속 조치가
          이행되고 있지 않은 경우
2.3.1 외부자 현황 관리
  2. 보호대책 요구사항 - 정인물 인접암정 운보사재 
   - 2.3 외부자보안 - 계보변
사례 1 : 내부 규정에 따라 외부 위탁 및 외부 시설 ․ 서비스 현황을 목록으로 관리하고 있으나, 수개월 전에
           변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우
사례 2 : 관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나 이에 대한 식별 및
           위험평가가 수행되지 않은 경우
2.3.2 외부자 계약 시 보안
  2. 보호대책 요구사항 - 정인물 인접암정 운보사재  
   - 2.3 외부자보안 - 보변
사례 1 : IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우
사례 2 : 개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서 상에 개인정보 보호법 등 법령에서 요구하는
          일부 항목(관리 ․감독에 관한 사항 등)이 포함되어 있지 않은 경우
사례 3 : 인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나 계약서 등에는 위탁업무의 특성
           에 따른 보안요구사항을 식별 ․ 반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고
          있는 경우
         (예) A쇼핑몰은 금번 위탁한 고도화사업은 기존 업무기능의 일부를 개선,추가하는 과제이기 때문에 기존의
             보안체계를 그대로 준용하여 개발을 진행하면 되기 때문에 개발과 관련된 별도의 보안요구사항을 명시하지
             않았다.(X)
기타 : 외부 개발시 개발요구사항에 법률 준거성 검토를 수행하지 않아 법적 요구사항을 반영하지 않았다.
2.3.3 외부자 보안 이행 관리
  2. 보호대책 요구사항 - 정인물 인접암정 운보사재  
   - 2.3 외부자보안 - 
사례 1 : 회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는 외주업체에 대해서는 정기적으로 보안점검을 수행
          하고 있지 않은 경우
사례 2 : 개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나 교육 수행여부를 확인하고
          있지 않은 경우
사례 3 : 정보통신서비스 제공자인 신청기관으로부터 개인정보 처리업무를 위탁받은 수탁자 중 일부가 신청기관
          동의 없이 해당 업무를 재위탁한 경우
사례 4 : 수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안점검을
           충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안점검 결과의 신뢰성이 매우
          떨어지는 경우
2.3.4 외부자 계약 변경 및 만료 시 보안
  2. 보호대책 요구사항 - 정인물 인접암정 운보사재  
   - 2.3 외부자보안 - 계보
사례 1 : 일부 정보시스템에서 계약 만료된 외부자의 계정 및 권한이 삭제되지 않고 존재하는 경우
사례 2 : 외주용역사업 수행과정에서 일부 용역업체 담당자가 교체되거나 계약 만료로 퇴직하였으나 관련 인력들
           에 대한 퇴사시 보안서약서 등 내부 규정에 따른 조치가 이행되지 않은 경우
사례 3 : 개인정보 처리 위탁한 업체와 계약 종료 이후 보유하고 있는 개인정보를 파기했는지 여부를 확인 ․ 점검
           하지 않은 경우

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 결함사례 (4/7)  (0) 2021.01.29
ISMS-P 결함사례 (3/7)  (0) 2021.01.27
ISMS-P 결함사례(1/7)  (0) 2021.01.22
ISMS-P 유사 인증기준 항목 비교 (2/2)  (0) 2021.01.21
ISMS-P 유사 인증기준 항목 비교 (1/2)  (0) 2021.01.19
728x90
반응형
SMALL
1.1.1 경영진의 참여
(권장절증)
경영진or권한위임자 참여
장기간 관련 보고 안함
참여할수 있는 절차 수립
참여를 명시한 정책or문서 증적 		1.1 관리체계 기반 마련 - 최조범정자
   사례 2 : 중요 정보보호 활동을 수행하면서 관련 활동 보고, 승인 등 의사결정에 경영진 또는 경영진의 권한을
              위임받은 자가 참여하지 않았거나 관련 증적이 확인되지 않는 경우
   사례 1 : 정보보호및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록
              명시하였으나, 장기간 관련 보고를 수행하지 않은 경우
   기타 : 경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고,검토 및 승인절차
           수립되지 않았다.
   기타 : 경영진의 정보보호및 개인정보보호 업무에 참여를 명시한 정책 또는 문서화된 증적이 없다.

 

1.1.3 조직 구성
(경실의명)

위원회에 경영진 포함안되어있음
실무협의체의 운영실적이 없음
위원회 개최했으나 의사결정이 안됨
조직의 구성.운영에 관해 정책서에 명시안됨		 1.1 관리체계 기반 마련 - 경최범정자
   사례 1 : 정보보호 및 개인정보보호 위윈회를 구성하였으나 임원 등 경영진이 포함되어 있지 않고 실무부서의
              장으로 구성되어 있어 조직의 중요정보 및 개인정보보호에 관한 사항을 결정할 수 없는 경우
   사례 2: 내부 지침에 따라 중요 정보처리부서 및 개인정보처리부서의 장(팀장급)으로 구성된 정보보호 및
             개인정보보호 실무협의체를 구성하였으나, 장기간 운영실적이 없는 경우
   사례 3 : 정보보호 및 개인정보보호 위원회를 개최하였으나 주요 사항이 검토 및 의사결정이 되지 않은 경우
   기타 : 정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO), 개인정보보호 실무조직, 위원회 등 정보보호 및
          개인정보호보 조직의 구성.운영 관련 사항이 정책서에 명시되지 않았다.
   단, 구성원이 IT관련 전문성이 꼭 있어야 하는 것은 아니다.
1.1.4 범위 설정
(개핵보웹) 1.1 관리체계 기반 마련 - 경최정자
   1. 정보시스템 및 개인정보처리시스템 개발업무에  관련한 개발 및 시험시스템, 외주업체직원, PC, 단말기 등이
      관리체계 범위에서 누락됨.
   2. 정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을
      수행하고 있는 임직원, 사업부서 등의 핵심조직(인력)을 인증범위에 포함하지 않은 경우
   3. 인증범위 내 조직 및 인력에 적용하고 있는 보안시스템 (PC보안, 백신, 패치 등)을 인증범위에서 배제하고
      있는 경우
   4. 정보보호 관리체계 의무대상자임에도 불구하고 인터넷에 공개되어 있는 일부 웹사이트가 관리체계 범위에
      누락된 경우
1.1.5 정책 수립
(의전공열내 - 의결,전달,공유,열람,내부관리계획) 1.1 관리체계 기반 마련 - 경최
  1. 내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제.개정시는 정보보호 및 개인정보보호위원회의 의결
      을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회 안건으로 상정하지 않고 정보보호 최고책임자 및
      개인정보보호책임자의 승인을 근거로만 개정한 경우
  2. 정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나 해당 사항이 관련 부서 및 임직원에게
      전달(공유)되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우
  3. 정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고 임직원이 열람할수 있도록
      게시판, 문서 등의 방법으로 제공하지 않는 경우
 기타 : 50만명 이상의 정보주체에 대한 개인정보를 보유하고 있는 중견기업에서 개인정보 관련 내규 및 내부관리계획
         수립하였으나 관련법규에서 요구하는 내부관리계획요건이 포함되어 있지 않다.
 기타 : 조직의 정보보호 및 개인정보보호를 위한 역할과 책임 및 대상과 범위 등의 정책이 수립되지 않았다.
1.1.6 자원 할당
(전비예 - 전문,비용,예산) 1.1 관리체계 기반 마련 - 경최범정
 사례 1 : 정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는
           IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우
 사례 2 : 개인정보처리시스템의 기술적, 관리적 보호조치의 요건을 갖추기 위한 보안 솔루션 등의 비용
           최고경영자가 지원하지 않고 법적 위험을 수용하고 있는 경우 
 사례 3 : 인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 타부서로 배치하거나 일부 예산을
            다른 용도로 사용하는 경우
1.2.1 정보자산 식별
  (누락 불일치) 1.2 위험관리 - 현위선
  사례 1 : 정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보취급자
            PC를 통제하는데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이
            누락되어 있는 경우
  사례 2 : 정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나
             해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우 
  사례 3 : 내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이
             일치하지 않은 경우
  기타 : 회원DB서버에 대해서는 중요도를 3으로 식별했으나 회원DB서버에 대한 백업서버에 대해서는 중요도를 2로
          평가한 경우 (둘다 같은 중요도로 식별해야 한다.)
1.2.2 현황 및 흐름분석
  1.2 위험관리 - 위선
  사례 1 : 관리체계 범위 내 주요 서비스의 업무 절차․흐름 및 현황에 문서화가 이루어지지 않은 경우
  사례 2 : 개인정보 흐름도를 작성하였으나 실제 개인정보의 흐름과 상이한 부분이 다수 존재하거나 중요한
             개인정보 흐름이 누락되어 있는 경우 
  사례 3 : 최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아 변화된 개인정보 흐름이 흐름도에
             반영되지 않고 있는 경우
1.2.3 위험 평가
  1.2 위험관리 - 
 사례 1 : 수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의 되어 있으나, 위험관리
            수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우
 사례 2 : 전년도에는 위험평가를 수행하였으나, 금년도에는 자산의 변경이 없었다는 사유로 위험 평가를
            수행하지 않은 경우
 사례 3 : 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한
            위험 식별 및 평가를 수행하지 않았거나 정보보호 관련 법적 요구 사항 준수여부에 따른
            위험을 식별 및 평가 하지 않은 경우
 사례 4 : 위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정하였으나
           관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우
1.2.4 보호대책 선정
(이이미)

행계획 수립 보고 
행계획 누락
이행건 조치		 1.2 위험관리 - 현위
위험처리 : 회피,전가,감소,수용

 사례 1 : 정보보호 및 개인정보보호 대책에 대한 이행계획은 수립하였으나 정보보호 최고책임자 및
            개인정보 보호책임자에게 보고가 이루어지지 않은 경우
 사례 2 : 위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우
 사례 3 : 이행계획 시행에 대한 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하였으나
             일부 미이행된 건에 대한 사유 보고 및 후속 조치가 이루어지지 않은 경우
1.3.1 보호대책 구현 
  1.3 관리체계 운영 - 공운
 사례 1 : 정보보호 및 개인정보보호 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보 보호책임자
            에게 보고하지 않은 경우
 사례 2 : 위험조치 이행결과보고서는 ʻ조치 완료ʼ로 명시되어 있으나, 관련된 위험이 여전히 존재하거나
            이행결과의 정확성 및 효과성이 확인되지 않은 경우 
 사례 3 : 전년도 정보보호대책 이행계획에 따라 중․장기로 분류된 위험들이 해당년도에 구현이 되고 있지
            않거나 이행결과를 경영진이 검토 및 확인하고 있지 않은 경우
1.3.2 보호대책 공유
  1.3 관리체계 운영 - 
 사례 1 : 정보보호대책을 마련하여 구현하고 있으나 관련 내용을 충분히 공유․교육하지 않아 실제 운영 또는
            수행 부서 및 담당자가 해당 내용을 인지하지 못하고 있는 경우
1.3.3 운영현황 관리
(문검보)

요구되는 활동 문서화
문서화한 활동을 하고 있는지 검토
활동결과 보고서 작성		 1.3 관리체계 운영 - 
 사례 1 : 정보보호 및 개인정보보호 관리체계 운영현황 중 주기적 또는 상시적인 활동이 요구되는 활동 현황을
              문서화하지 않은 경우
 사례 2 : 정보보호 및 개인정보보호 관리체계 운영현황에 대한 문서화는 이루어졌으나, 해당 운영현황에 대한
              주기적인 검토가 이루어지지 않아 월간 및 분기별 활동이 요구되는 일부 정보보호 및 개인정보보호
              활동이 누락되었고 일부는 이행 여부를 확인할 수 없는 경우
 기타 : 사이버보안의날을 지정하여 개인PC 보안항목 점검을 하고 있으나 점검결과에 대해 지적하고 조치할 뿐
            따로 점검결과 보고서를 작성하지는 않는다.
1.4.1 법적 요구사항 준수 검토
  1.4 관리체계 점검 및 개선 - 점개
 사례 1 : 정보통신망법 및 개인정보 보호법이 최근 개정되었으나, 개정사항이 조직에 미치는 영향을
               검토하지 않았으며 정책서 및 시행문서에도 해당 내용을 반영하지 않아 정책서 및 시행문서의 내용이
              법령의 내용과 일치하지 않은 경우
 사례 2 : 조직에서 준수해야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 1년 이상 수행하지 않은 경우
 사례 3 : 법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 개인정보 보호법 등 법규 위반 사항이
               다수 발견된 경우
1.4.2 관리체계 점검
독범발확 1.4 관리체계 점검 및 개선 - 
  사례 1 : 관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 있어 점검의 독립성 이 훼손된
             경우  
  사례 2 : 금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보
            보호 관리체계 범위를 충족하지 못한 경우 
  사례 3 : 관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료여부를 확인하지
            않은 경우
1.4.3 관리체계 개선
반재보 1.4 관리체계 점검 및 개선 - 
 사례 1 : 내부점검을 통해 발견된 정보보호 및 개인정보보호 관리체계 운영상의 문제점이 매번 동일하게 반복
               되어 발생되는 경우
 사례 2 : 내부 규정에는 내부점검 시 발견된 문제점에 대해서는 근본원인에 대한 분석 및 재발방지 대책
               수립하도록 되어 있으나, 최근에 수행된 내부점검에서는 발견된 문제점에 대하여 근본원인 분석 및
              재발방지 대책이 수립되지 않은 경우
 사례 3 : 관리체계 상 문제점에 대한 재발방지 대책을 수립하고 핵심성과지표를 마련하여 주기적으로 측정하
              고 있으나, 그 결과에 대해 경영진 보고가 장기간 이루어지지 않은 경우

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 결함사례 (3/7)  (0) 2021.01.27
ISMS-P 결함사례 (2/7)  (0) 2021.01.25
ISMS-P 유사 인증기준 항목 비교 (2/2)  (0) 2021.01.21
ISMS-P 유사 인증기준 항목 비교 (1/2)  (0) 2021.01.19
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(3/3)  (0) 2021.01.17
728x90
반응형
SMALL
키워드 인증기준 차이점
이상행위 2.9.5 로그및 접속기록 점검 로그및 접속기록 점검에서의 이상접속,이상행위에 대한 모니터링및
점검은 정보시스템 등 내부시스템에서 정상적인 사용자의 정상적인
로그기록을 점검해서 이상행위(과다조회 및 특정범위조회등)를 찾는다는
의미이고
2.11.3 이상행위 분석및 모니터링 이상행위 분석및 모니터링에서의 이상행위란 외부의 비정상적인
해킹시도나 침해시도를 말하는 것이다.
모바일 기기 및
단말기 		2.6.6 원격접근통제
(IP VPN 외부) 		외부근무자를 위해서 근무자의 개인 핸드폰에 업무용 모바일앱을 설치
하는 경우 적절한 보호대책을 하고 있는지츨 체크하는 것이
2.6.6 원격접근통제이고

사례: 외부근무자를 위해 개인 스마트기기에 업무용 모바일앱을 설치하여
       운영하고 있으나 악성코드,분실,도난 등에 의한 개인정보 유출을 방지
       하기 위한 적절하 보호대책을 적용하고 있지 않은 경우
사례 : 장애대응을 위해 장애 대응 전담인원의 핸드폰에 업무용 앱을
        설치하여 내부 시스템 제어를 할수 있게 하였으나 백신 등 보안조치
        를 별도로 적용하지 않은 경우
2.10.6 업무용 단말기의 보안 사무실에서 회사가 제공하는 업무용 PC나 모바일 즉 업무용 단말기들에
대한 보호 및 보안대책을 체크하는 것이 업무용 단말기 보안이다.

사례: 개인정보 업무처리에 이용되는 모바일 기기에 대하여 비밀번호
       설정 등 분실에 대한 보호대책이 적용되어 있지 않은 경우
책상서랍 2.2.3 보안서약 제출된 보안서약서들을 사무실 책상서랍에 방치하는 거나
외주인력에게 징구한 보안서약서를 담당자의 책상서랍에 방치하는건
2.2.3 보안서약 결함이고
2.4.7 업무환경보안 가입신청서 등 개인정보가 포함된 서류를 사무실 책상
서랍에 방치하는 건 2.4.7 업무환경 보안 결합이다.
2.10.7 보조저장매체 관리 개인정보가 포함된 보조저장매체를 사무실 책상서랍에
방치하는 건 2.10.7 보조저장매체 관리의 결함이다.
단순 조회자 2.5.3 사용자 인증 단순 조회업무라고 해도 외부에서 개인정보처리시스템 접속시 안전한
인증수단(OTP) 을 적용해야 한다.

"개인정보의 기술적 관리적 보호조치 기준"에 따르면 개인정보취급자가
외부에서 개인정보처리시스템에 접속시 안전한 인증수단을 적용해야한다.(제4조4항)
여기서 개인정보취급자란 신청기관의 직원뿐만아니라 협력사 및 알바생도
포함된다. 또한 "개인정보취급자"란 이용자의 개인정보를 수집,보관,처리,
이용,제공,관리,파기 등의 업무를 하는 자를 말한다. 그러므로 조회 업무
하더라도 협력사 직원이 인터넷에서 개인정보처리시스템에 접속시 안전한
인증수단(OTP)을 적용해야 한다.
2.6.7 인터넷 접속 통제 망분리의 경우는 단순조회자의 PC는 망분리 대상이 아니다.
2.6.3 응용프로그램 접근 관리자 전용 응용프로그램은 비인가자가 접근할수 없도록 접근을 통제해
야 하나, 관리자전용 프로그램이 아닌 경우 단순조회권한을 가진 사용자가
로그인시 추가인증 수단(OTP)을 적용해야 하는 것은 아니다.
동의 받을 때
알려야하는
사항 		개인정보 유출시 정보주체에게 알려야할 사항
개인정보보호법 - 1.유출된 개인정보의 항목
                     2.유출된 시점과 그 경위
                     3.피해를 최소화하기 위해 정보주체가 할수 있는 방법
                     4. 개인정보처리자의 대응조치 및 피해 구제절차
                     5.담당부서 및 연락처
정보통신망법 - 1. 유출된 개인정보 항목
                   2. 유출등이 발생한 시점
                   3. 이용자가 취할 수 있는 조치
                   4. 정보통신제공자의 대응조치
                   5. 부서및 연락처
개인정보 수집,이용 동의시  개인정보보호법(목항기거)      정보통신망법(목항기)
1.수집.이용 목적               1.수집.이용 목적
2.항목                             2.항목
3.보유및 이용기간             3.보유및 이용기간
4.동의를 거부할 권리
간접수집 출처 고지 요청  2. 통지해야 할 사항 (출목정)
   - 개인정보의 수집 출처
   - 개인정보의 처리 목적
   - 개인정보 처리의 정지를 요구할 권리
공고성정보 수신동의 내용 통지 1. 전송자의 명칭
2. 수신자의 수신동의 사실과 수신 동의한 날짜
3. 수신동의에 대한 유지 또는 철회의 의사를 표하는 방법

(예) OO쇼핑몰 수신동의 내역을 알려드립니다.
      …………………………….
    가. 광고정보 수신 동의여부및 동의일자
         광고성 문자 : 미동의
         광고성 Email : 동의 (2020-05-17)
         광고성 전화 : 미동의
         APP Push : 동의 (2020-05-17)
    나. 동의 철회방법
         .......................................
공공기관 목적외 이용,제공시 제공대장에 기록 항목 명명 목항기 근형
[개인정보보호법 시행령]
제15조 (개인정보의 목적외 이용 또는 제3자 제공의 관리)
<목적외 이용 및 제3자 제공 대장 기록 항목>
1. 이용하거나 제공하는 개인정보 또는 개인정보파일의 명칭
2. 이용기관 또는 제공받는 기관의 명칭
3. 이용 목적 또는 제공받는 목적
4. 이용 또는 제공의 법적 근거
5. 이용하거나 제공하는 개인정보의 항목
6. 이용 또는 제공 날짜,주기 또는 기간
7. 이용하거나 제공하는 형태
3자 제공 동의     개인정보보호법(목항기거)             정보통신망법(목항기)
1.제공받는자                                    1.제공받는자
2.제공받는자의 이용목적                    2.제공받는자의 이용목적
3.제공하는 개인정보 항목                   3.제공하는 개인정보 항목
4.제공받는자의 보유및 이용기간          4.제공받는자의 보유및 이용기간
5.동의를 거부할 권리
업무 위탁 정통망법 에서만 위탁시 동의 필요
  (1) 처리위탁을 받은 자
  (2) 처리위탁하는 업무의 내용
영업 양도 시  1.개인정보를 이전하려는 사실
 2.전받는자의 성명,주소,전화번호 및 연락처
   (이전하는 자의 정보는 고지 안해도 됨)
 3.이전을 원하지 않는 경우 조치방법 및 절차
국외 이전 시    개인정보법    - 목항기거자
   정보통신망법 - 목항기자 국일방
          - 이전되는 개인정보 항목
          - 이전되는 국가. 이전일시, 이전방법 (국일방)
          - 이전받는 자의 성명
          - 이전받는 개인정보의 목적및 보유.이용기간
 법률에 의해 장기간 보관 3.4.1 개인정보의 파기 콜센터에서 수집되는 민원처리 관련 개인정보(상담이력, 녹취 등)를 전자상거래법을 근거로 3년간 보존하고 있으나, 3년이 경과한 후에도 파기하지 않고 보관하고 있는 경우 
 -> 파기하지 않고 있다는게 결함
3.4.2 처리목적 달성 후 보유 시 조치 전자상거래법에 따른 소비자 불만 및 분쟁처리에 관한 기록을 법적 의무보존 기간인 3년을 초과하여 5년간 보존하고 있는 경우.
-> 파기는 했으나 3년만 보관하고 파기해야 하나 5년
   이나 보관한 후 파기했다는 것이 결함
과도한 권한부여 2.2.1 주요 직무자 지정 및 관리
(누포괄) 		사례: 부서단위로 개인정보취급자 권한 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된경우
2.5.1 사용자 계정 관리
(발최본 공퇴어) 		사례: 정보시스템 또는 개인정보처리시스템 사용자에게 필요 이상의 과도한 권한을 부여하여 업무상 불필요한 정보 또는 개인정보 접근이 가능한
경우
조직구성 1.1.1 경영진의 참여

(권장절증) 		사례 : 경영진의 정보보호및 개인정보보호 업무에 참여를 명시한 정책 또는
        문서화된 증적이 없다.
1.1.3 조직구성 사례 : 정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO), 개인정보보호 실무조직, 위원회 등 정보보호 및 개인정보호보 조직의 구성.운영 관련
사항이 정책서에 명시되지 않았다.
2.1.2 조직의 유지관리

(역평의명) 		사례: 정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우
내부관리계획 2.1.1 정책수립

(의전공열내) 		50만명 이상의 정보주체에 대한 개인정보를 보유하고 있는 중견기업에서
개인정보 관련 내규 및 내부관리계획을 수립하였으나 관련법규에서 요구하는 내부관리계획요건이 포함되어 있지 않다
 -> 내부관리계획은 작성했으나 항목구성이 불충분하다는 뜻.
2.1.1 정책의 유지관리

일신명변 		사례 5 : 개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나 이러한 변경이 개인정보보호 정책 및 시행문서에 미치는 영향을 검토
하지 않았거나 변경사항을 반영하여 개정하지 않은 경우
 -> 내부관리계획 항목은 맞게 작성했으나 일부 항목이 변경된 법령을 반영
     하지 못하고 있는 경우를 뜻한다.
외부에서 접근 2.5.3 사용자 인증
       (외실실B) 		사례 1 : 개인정보취급자가 공개된 외부 인터넷망을 통해서 개인정보처리시스템에 접근 시 안전한 인증수단(OTP)을 적용하지 않고 아이디․비밀번호
방식으로만 인증하고 있는 경우
2.6.6 원격접근 통제
   (IP VPN 외부) 		사례 3 : 외부 근무자를 위해 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영 하고 있으나 악성코드 , 분실․도난 등에 의한 개인정보 유출을
방지하기 위한 적절한 보호대책(백신, 초기화, 암호화 등)을 적용 하고 있지
않은 경우
취약점 2.8.2 보안 요구사항 검토 및 시험 사례 3 : 구현 또는 시험 과정에서 알려진 기술적 취약성이 존재하는지 여부를 점검하지 않거나, 타당한 사유 또는 승인 없이 확인된 취약성에 대한
개선조치를 이행하지 않은 경우
2.11.2 취약점 점검 및 조치 사례 2 : 취약점 점검에서 발견된 취약점에 대한 보완조치를 이행하지 않았거나,단기간 내에 조치 할 수 없는 취약점에 대한 타당성 검토 및 승인 이력이 없는 경우
직무분리 2.2.2 직무 분리 기타 : Devops 도입으로 인하여 개발과 운영직무를 별도 분리하고 있지 않는 정책을 운영하고 있지만 별도 보안통제가 이루어지지 않는 경우
2.8.3 시험과 운영 환경 분리 사례 2 : 불가피하게 개발시스템과 운영시스템을 분리하지 않고 운영 중에 있으나, 이에 대한 상호검토 내역, 모니터링 내역 등이 누락되어 있는 경우
법개정 반영 1.4.1 법적요구사항준수 검토 사례 1 : 정보통신망법 및 개인정보 보호법이 최근 개정되었으나, 개정사항이 조직에 미치는 영향을 검토하지 않았으며 정책서 및 시행문서에도 해당
내용을 반영하지 않아 정책서 및 시행문서의 내용이 법령의 내용과 일치
하지 않은 경우
2.1.1 정책의 유지관리

일신명변 		사례 5 : 개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나 이러한 변경이 개인정보보호 정책 및 시행문서에 미치는 영향을 검토
하지 않았거나 변경사항을 반영하여 개정하지 않은 경우
재위탁 2.3.3 외부자 보안 이행 관리 사례 3 : 정보통신서비스 제공자인 신청기관으로부터 개인정보 처리업무를
  위탁받은 수탁자 중 일부가 신청기관의 동의 없이 해당 업무를 재위탁한
  경우
3.3.2 업무위탁에 따른 정보주체고지 사례 3 : 정보통신서비스 제공자로부터 개인정보 처리업무를 위탁받은 수탁자가 위탁자의 승인없이 개인정보 처리업무를 재위탁 한 경우

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 결함사례 (2/7)  (0) 2021.01.25
ISMS-P 결함사례(1/7)  (0) 2021.01.22
ISMS-P 유사 인증기준 항목 비교 (1/2)  (0) 2021.01.19
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(3/3)  (0) 2021.01.17
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(2/3)  (0) 2021.01.15
728x90
반응형
SMALL
키워드 인증기준 차이점
정책 1.1.5 정책수립 1.1 관리체계 기반마련 - 경최조범정자
•정책수립 - 경영진의 의지와방향, 역할과책임, 대상과 범위 , 활동의 근거
•지침/절차/매뉴얼, 승인 , 이해하기 쉬운,
•내부관리계획
•재.개정시 승인
*즉 정책.시행문서 작성을 하고 경영진의 승인을 받고 임직원들에게 공유
 되어야 한다는 뜻
예) 정책및 지침서가 최근 개정되었으나 임직원에게 공유가 안된 경우 
    (2.1.1 정책의 유지가 아님)
1.4.1 법적요구사항준수 1.4 관리체계 점검및 개선 - 법점개
 - 준수해야할 법규 요구사항반영 
2.1.1 정책의 유지관리 2.1 정책,조직,자산관리 - 정조자
•정책과 시행문서에 대한 정기적인 타당성 검토하고
•필요시 재.개정하고 재.개정 시 이해관계자 승인
•재개정에 대한 이력관리
  * 정책과 시행문서간의 일관성 결여
예) 지침서와 절차서간의 패스워드 설정규칙이 상이
예) DB접근통제솔루션을 신규로 도입했으나 내부보안 지침서에 별도의
    접근통제사항을 반영하지 않음
   (대내외 환경변화를 정책에 반영하지 않음)
예) 정책을 개정했으나 시행기준일을 명시하지 않음
예) 변경된 개인정보보호법 내용을 정책에 반영안함.
보호대책 1.2.4 보호대책 선정 이행계획 , 위험처리(회피,전가,수용,감소)
1.3.1 보호대책 구현 이행결과
1.3.2 보호대책 공유 시행부서,담당자들에 대한 공유&교육
정보자산 1.2.1 정보자산식별

      (누락 불일치) 		1.2 위험관리 - 자현위선
 - 자산 식별해서 목록 관리
 - 보안등급 부여
2.1.3 정보자산 관리

      (보안등급표시
       담당자&책임자
       취급절차) 		2.1 정책,조직,자산 - 정조자
 - 식별된 자산에 대한 보호대책수립및 책임자지정
 * 1.2.1 정보자산식별은 자산을 식별하고 보안등급을 설정하는것을 의미하고,
   2.1.3 정보자산 관리는 실제 보안등급을 제대로 현장에서 표시가 되고 있는가를 체크하고
          관리자를 지정했는지를 말한다.
인적보안 2.2.1. 주요 직무자 지정 및 관리 퇴사하거나 직무가 변경된 직원의 이름이 개인정보 취급자 명단에
그대로 남아 있으면 '2.2.1 주요 직무자 지정및 관리' 의 결함이고,
취급자 명단에서는 제외되었으나 해당 계정과 권한이 그대로 시스템에
남아 있는 경우는 '2.2.5 퇴직 및 직무변경 관리'의 결함이다.
(예) 최근 개인정보시스템에 개인정보취급자 명단에서 제외된
     인력중 3명의 계정과 권한이 그대로 남아있음
 -> 명단에서 제외되었으므로 "주요 직무자지정및 관리"는 충족된거구
     실제 계정이 삭제안되었으므로 "퇴직및 직무변경관리" 결함이다.    
2.2.5 퇴직 및 직무변경 관리
2.5.6 접근권한 검토 미사용한지 6개월이 넘은 계정이 여전히 비활성화안되어 있고
활성화되어 있는 경우는 접근기록을 주기적으로 검토하지 않았다는 뜻.
재직직원의 계정이 6개월이상 미사용했는데 계정이 여전히 활성화되어 있으면 접근기록 로그를
주기적으로 검토하지 않은 것이므로 2.5.6 접근권한검토 에 해당하고
재직직원이 아닌 퇴사나 직무변경된 직원이라면 2.2.5 퇴직및직무변경관리 이고
외부직원이라면 2.3.4 외부자계약변경및만료시보안 에 해당된다.
물리보안 2.4.1 보호구역 지정 2.4 물리보안 - 출정설작반업
 - 통제구역.제한구역.접견구역 지정하고 보호대책 수립
 - 통제구역은 제한구역의 통제항목을 모두 포함하고 출입자격이
   최소한으로 유지되며, 출입을 위하여 추가적인 절차가 필요한 곳
   (전산실, 통신장비실,관제실,공조실,발전실)
2.4.2 출입통제 2.4 물리보안 - 구정설작반업
 - 위 보호구역은 인가된 사람만이 출입할수있도록 보호대책 수립
 - 출입기록 주기적 검토
2.4.3 정보시스템 보호 2.4 물리보안 - 구출설작반업
 - 배치 장소 분리
 - 전력 및 통신케이블 보호
2.4.4 보호설비 운영 2.4 물리보안 - 구출정작반업
 - UPS, 항온항습기,소화기…..
2.4.7 업무환경보안 2.4 물리보안 - 구출정설작반
 - 클린데스크
사용자 2.5.1 사용자계정관리
(발최본 공퇴어) 		2.5 인증및 권한관리 - 식인비특접
 - 사용자계정및권한 등록,변경,말소절차 수립이행
 - 최소한의 권한만 부여
 - 사용자에게 보안책임이 있음을 인식
   (출장가면서 다른사람에게 개인정보취급자 계정을 알려준경우)
2.5.2 사용자 식별 2.5 인증 및 권한관리 - 계인비특접
 - 유일한 식별자 할당
 - 동일계정 공유시 타당성검토및 승인 및 보완 대책 수립
2.5.3 사용자 인증 (외실실B) 2.5 인증 및 권한관리 - 계식비특접
 - 로그인실패횟수,접속시간,동시접속제한, 불법 로그인 경고
 - 외부에서 접속 시 안전한 인증수단제공
자산식별 1.1.4 범위설정 1.1 관리체계 기반마련 - 경최조정자
 - 핵심자산을 누락없이 관리체계(ISMS-P)에 포함
 - 예외사항은 승인필요
 - ISMS-P 범위확인을 위해 문서하
 * 다수의 자산혹은 시스템을 통제로 누락했다면
1.2.1. 정보자산 식별 1.2 위험관리 - 현위선
 - ISMS-P 범위내의 모든 자산을 식별
 - 보안등급 부여
 - 최신으로 유지
 * 특정 자산이 식별되지 않고 누락된 경우
2.1.3 정보자산 관리 2.1 정책,조직,자산 - 조자
 - 식별된 자산에 대해서 보호대책 수립하고
 - 책임자 및 관리자 지정

* 자산을 식별했으나 보안대응을 하지 않은 경우
* 1.2.1 정보자산식별은 자산을 식별하고 보안등급을 설정하는것을 의미
  2.1.3 정보자산 관리는 실제 보안등급을 제대로 현장에서 표시가 되고 
         있는가를 체크하는 것을 말한다
2.4.3 정보시스템 보호 2.4 물리보안 - 구출설작반업
 - 물리적 분리 배치
 - 케이블,통신,전력 보호 : 랙 실장도
 * 랙실장도에만 누락된 경우
업무환경/단말기

 2.4.7 업무환경보안 공용PC,문서고,복합기,사무용기기 등 업무환경을 통해 정보가 노출되지
않도록 하는 것을 말함
 예) 클린데스크를 이행안함
 예) 가입자서류를 잠금장치가 없는 서랍에 보관
 예) 컴퓨터에 화면보호기, 및 패스워드 미설정
 예) 공용PC에 대한 대책이 수립되지 않아서 개인정보가 암호화되지 않은
      상태로 있거나 보안 업데이트 미적용, 백신 미설치 등 취약한 상
2.10.6 업무용 단말기의 보안 * PC,모바일기기에 대한 네트워크 접근 통제절차 수립
  (신청,승인,등록,해지,기기인증이력)
* 업무용단말기를 통한 자료공유제한 (공용폴더)
* 업무용단말기의 분실,도난으로 인한 정보유출 대책
   (킬스위치 MDM설치)
예)모바일기기에 비밀번호 설정이 안되어있는 경우
예)업무용단말기의 공유폴더 사용금지했으나 사용

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 결함사례(1/7)  (0) 2021.01.22
ISMS-P 유사 인증기준 항목 비교 (2/2)  (0) 2021.01.21
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(3/3)  (0) 2021.01.17
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(2/3)  (0) 2021.01.15
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(1/3)  (0) 2021.01.13
728x90
반응형
SMALL
3. 개인정보 처리 단계별 요구사항 - 수보제파권
3.1 개인정보 수집 시 보호조치 수 - 제동 주민간 영홍 3.1.1 개인정보 수집
3.1.2 개인정보 수집
3.1.3 민등록번호 처리제한
3.1.4 감정보및고유식별정보처리제한
3.1.5 접수집 시 보호조치
3.1.6 상정보처리기기 설치.운영
3.1.7 보및 마케팅 목적 활용시 조치
3.2 개인정보 보유 및 이용시 보호조치 보 - 현품표 단목 3.2.1 개인정보 황관리
3.2.2 개인정보 질보장
3.2.3 개인정보 시제한 및 이용시 보호조치
3.2.4 이용자 말기 접근 보호
3.2.5 개인정보 적외 이용 및 제공
3.3 개인정보 제공 시 보호조치 제 - 3위영국 3.3.1 개인정보 제3자 제공
3.3.2 업무탁에 따른 정보주체 고지
3.3.3 업의 양수에 따른 개인정보이전
3.3.4 개인정보의 외이전
3.4 개인정보 파기 시 보호조치 파 - 파목휴 3.4.1 개인정보의 
3.4.2 처리적 달성 후 보유 시 조치
3.4.3 면 이용자 관리 
3.5 정보주체 권리보장 권 - 처권통 3.5.1 개인정보리방침 공개
3.5.2 정보추제 리보장
3.5.2 이용내역 

 

3.4 개인정보 파기 시 보호조치 (파목휴)

항목 설명 및 사례 keyword
3.4.1 개인정보의 파기 1)처리목적이 달성되거나
 2)보유기간이 경과,
 3)처리목적 달성후, 3.4.2 처리목적 달성후 보유시 조치에 의해 저장
   되었다가 법령에 따른 보존기관이 경과한경우
지체없이 개인정보를  파기하여야 한다. (5일 이내 파기)

• 개인정보 수집및 이용목적을 달성한 경우
   - 정보주체(이용자)가 웹사이트 회원에서 탈퇴한 경우
   - 이용자가 초고속인터넷을 해지한 경우
   - 정보주체(이용자)가 마일리지 회원에서 탈퇴를 요청한 경우
   - 개인정보를 수집하는 이벤트가 종료된 경우
   - 제3의 업체에게 텔레마케팅을 위해 정보를 제공한 후 해당 업체의
     TM업무가 종료된 경우
• 단, [전자상거래 등에서의 소비자보호에 관한 법률및시행령]에서는
  대금결재및 재화공급에관한 기록을 5년 간 보관하도록 하고 있으며
 ,요금미납,A/S 등에 해당하는 경우에는 5년 간 보관이 가능
 소비자불만및 분쟁처리에 관한 기록은 3년
•파기시 복구.재생되지 않도록 (현재의 기술수준에서 사회통념상 적정한 비용으로 파기한 정보의 복원이 불가능하도록 하는 방법)
 - 완전파괴 : 소각, 파쇄
 - 전용 소자방비 : 디가우저
 - 초기화 또는 덮어쓰기 (매직으로 마스킹처리도 가능)
•파기에 대한 대장관리 (하드디스크의 경우는 일련번호를 기록해야 한다.)		 보유기간 및 파기 정책,
불필요 시 파기,
안전한 방법 파기,
파기 기록 관리
3.4.2 처리목적 달성후 보유 시 조치 •목적달성,보유기간경과후에도 법령에 따라 보존하는 경우 최소한의
 기간과 최소한의 항목만 보존한다.
 ( 위 [전자상거래..] 법률에 의해서 대금결재,재화공급,요금미납,A/S 등
  때문에 5년간 보관이 허용되지만 대신 다른 개인정보와 분리해서
  보관해야한다)
•보관시 다른 개인정보와 리적 또는 물리적으로 분리하여 보관한다.
•분리보관된 개인정보의 접근권한 최소한 인원으로		 불필요 시 최소 기간,
최소정보,
분리보관,
목적 범위 내 처리,
접근권한 최소인원 제한 
3.4.3 휴면 이용자 관리

(정통망법에만 규정되어있음)		 정보통신서비스 제공자(즉 정통망법) 등은 정보통신서비스를 1년의
기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여
지체 없이 파기하거나 분리 보관해야 함(개인정보 유효기간제)

•휴면이용자의 개인정보를 파기 또는 분리보관
     (물리적까지 분리는 아니고. 테이블분리만)
 - 1년동안 미이용시 파기하거나 분리보관 한다.
   (개인정보 유효기간제로 시행주기는 5일 이내) -> 한달단위로 하는 건 안됨(X)
 - 단순 광고이메일 클릭으로는 안되면 로그인 여부로 미이용여부를 판단

•이용자의 요청이 있는 경우 예외적으로 1년 이외의 서비스 미이용
 기간을 정할 수 있음. (즉 이용자의 요청이 없는 한 1년 기준적용)

•분리보관하는 항목은 최초 개인정보항목 뿐만 아니라 접속로그, 결제
 기록 등 서비스이용시 생성되는 정보도 포함하여 분리보관한다.

•이용자의 재이용 요청이 있는 경우를 대비하여 온라인 이용자의 편의
 성을 높이기 위한 목적으로 ID 등 최소한의 연결값을 서비스 중인 DB
 에 남겨두는 것은 가능함 (단 이름,연락처 등 과도한 개인정보를 남기
 는 건 안된다.)

•분리되어 저장․관리하는 휴면 이용자의 개인정보는 법령에 따른 보관
 목적 또는 이용자의 요청에 대해서만 이용 및 제공하여야 한다.

•통지항목(사만항)
  - 파기되는 사실
  - 기간 만료일
  - 파기되는 개인정보 항목 		파기 또는 분리보관,
알림,
보관목적 또는 이용자 요청 이용,
접근권한 최소인원 제한 

 

3.5 정보주체 권리보장 (처권통)

항목 설명 및 사례 keyword
3.5.1 개인정보처리방침 
       공개		 •개인정보 처리방침을 홈페이지등에 지속적으로 공개
 - '개인정보 처리방침' 이라는 표준화된 명칭 사용
 - 클자크기, 색상달리해서 쉽게 확인할수있도록
 인사 간신 관계 - 인터넷홈페이지, 사업장, 간행물 ,신문, 관보, 계약서
•홈페이지 없는 경우
 - 사업장 등의 보기쉬운 장소에 비치
 - 관보,일간신문,인터넷신문
 - 연2회 이상 발행하는 간행물,소식지,홍보지,청구서
 - 계약서

•단 개인정보 처리방침에 등록이 면제되는 개인정보파일
 (공공기관만 해당) - 국범조내비
 1.국가,안전,외교상비밀에 관련된 개인정보파일
 2.범죄의 수사,공소제기.형.감호,교정 집행,출입국관리
 3.조세범처벌법, 관세법 에 따른 범칙행위 조사사항
 4.공공기관의 내부적 업무처리용
 5.법령에 따라 비밀로 분류된 파일

* 개인정보파일을 등록하지 않아도 되므로 개인정보 처리방침에 공개
  안해도 된다
•개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체없이 공지하고 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하여야 한다.
  - 단, 변경 전.후를 비교할 수 있도록 공개하여야 한다.


•개인정보 처리방침에 포함해야할 필수사항
      개인정보보호법                              정통망법
목항기 3위권 부자파안
1.개인정보의 처리목적                         1.개인정보 수집.이용목적
2.개인정보의 처리 및 보유기간                 .수집하는 항목및 수집방법
3.제3자 제공에 관한사항                       2.제3자 제공하는 경우
4.위탁에 관한 사항                   :제공받는자의 성명,이용목적,제공항목
5.정보주체의 권리.의무 및 그 행사방법    
6.개인정보 보호책임자의 성명 또는       3.보유 및 이용기간, 파기 절차
   부서명과 그 연락처                         4.처리위탁을 하는 업무내용과
7.자동으로 수집하는 장치의 설치              수탁자
  ,운영 거부에 관한                               5.이용자의 권리,행사방법
<시행령>
8.처리하는 개인정보 항목                      6.자동으로 수집하는 장치
9.파기에 관한 사항                                 설치,운영,거부
10.안정성 확보조치에 관한                    7.개인정보 보호책임자의
                                                          성명, 부서명과 연락처

* 개보법이나 정통망법이나 거의 비슷하고 개보법에서만 안전성확보
   조치항목이 더 추가됐을뿐이다

* 개보법에서는
     1.개인정보의 처리목적,
     2.개인정보 처리및 보유기간,
     8.처리하는 개인정보항목
으로 목항기가 표현되는데 반해

* 정통망법에서는
     1.개인정보 수집.이용목적, 수집하는 개인정보의 항목및 수집방법  
     3. 개인정보의 보유및 이용기간, 개인정보의 파기절차 등
2개 항목으로 표현한다.


• 기타 기재사항 (열변부구영)
 - 개인정보의 열람.정정.삭제.처리정지 요구권 관련
 - 개인정보 처리방침의 변경에 관한 사항
 - 개인정보 열람청구를 접수.처리하는 부서
 - 정보주체의 권익침해에 대한 구제방법
 - 영상정보처리기기 운영.관리에 관한 사항		 처리방침 공개,
요구내용 포함,
변경 시 공지,
이력관리 
3.5.2 정보주체 권리보장 •정보주체 또는 그 대리인이 열람,정정,삭제,처리정지,이의제기,동의철회(이하 열람)
 요구를 쉽게할 수 있도록 권리행사방법과 절차를 마련.
  (수집절차, 회원가입절차보다 쉽게해야 함)
•열람시 발생하는 수수료,우편료는 청구가능하나 사유가 개인정보처리자에게 있는 경우 청구할수없음
•열람요구를 받은 후 10일 이내 조치
  만약 처리하는데 10일이내에 조치가 불가하다면 10일 이내에 그 사유를 알려야함

열람 거부가능 사유 (법생 조성 채보감)
 1.법률에 의해 금지된 경우
 2.다른 사람의 생명.신체를 해하거나 재산상 이익을 부당 하게 침해할
   우려가 있는 경우
 3.공공기관이 다음 업무 진행시 중대한 지장 초래시
   - 조세의 부과.징수.환급 업무
   - 성적평가. 입학자선발 업무
   - 학력.기능 및 채용에 관한 시험.자격심사에 관한 업무
   - 보상금.급부금 산정 업무
   - 진행중인 감사. 조사 업무


•처리정지 요구 거부 가능 사유 (법생 소계)
 1. 법률에 규정이 있거나 .법령상 의무준수하기 위하여 불가피한 경우
 2..다른 사람의 생명.신체를 해하거나 재산.이익을 부당하게 침해할
   우려가 있는 경우
 3. 공공기관의 소관업무 수행
 4. 처리하지 아니하면 계약한 서비스를 제공하기 곤란한 경우로서
   정보주체가 해지의사를 명확히 밝히지 않은 경우		 행사방법(열람, 정정·삭제, 처리정지)
   및 절차,
이의제기,
동의철회,
처리기록,
타인권리침해 
3.5.3 이용내역 통지 •개인정보 이용내역을 주기적으로 통지 (정통망법에 의한 정보통신서비스제공자에한함)
 - 대상 : ①전년도 말 기준 직전 3개월간 이용자수가
               일일평균 100만영 이상이거나
           ②정보통신서비스 전년도매출액이 100억원
              이상인 정보통신서비스 제공자
            * 망분리 대상이랑 동일함. 100,100
 - 주기 : 연 1회 이상
 - 방법 : 전자우편, 서면, 모사전송, 전화등 유사한방법
           (위 통지방법대신 홈페이지등에 게제하는 건 안된다.)
           (단, 연락처등 통지할수 있는 개인정보를 수집하지 아니한 경우
            에는 통지 안해도 된다.)		 이용내역 주기적 통지
    (100/100연1회),
통지항목 법 요구항목 포함 

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 유사 인증기준 항목 비교 (2/2)  (0) 2021.01.21
ISMS-P 유사 인증기준 항목 비교 (1/2)  (0) 2021.01.19
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(2/3)  (0) 2021.01.15
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(1/3)  (0) 2021.01.13
ISMS-P 인증기준 - 2. 보호대책 요구사항 (3/3)  (0) 2021.01.11
728x90
반응형
SMALL
3. 개인정보 처리 단계별 요구사항 - 수보제파권
3.1 개인정보 수집 시 보호조치 수 - 제동 주민간 영홍 3.1.1 개인정보 수집
3.1.2 개인정보 수집
3.1.3 민등록번호 처리제한
3.1.4 감정보및고유식별정보처리제한
3.1.5 접수집 시 보호조치
3.1.6 상정보처리기기 설치.운영
3.1.7 보및 마케팅 목적 활용시 조치
3.2 개인정보 보유 및 이용시 보호조치 보 - 현품표 단목 3.2.1 개인정보 황관리
3.2.2 개인정보 질보장
3.2.3 개인정보 시제한 및 이용시 보호조치
3.2.4 이용자 말기 접근 보호
3.2.5 개인정보 적외 이용 및 제공
3.3 개인정보 제공 시 보호조치 제 - 3위영국 3.3.1 개인정보 제3자 제공
3.3.2 업무탁에 따른 정보주체 고지
3.3.3 업의 양수에 따른 개인정보이전
3.3.4 개인정보의 외이전
3.4 개인정보 파기 시 보호조치 파 - 파목휴 3.4.1 개인정보의 
3.4.2 처리적 달성 후 보유 시 조치
3.4.3 면 이용자 관리 
3.5 정보주체 권리보장 권 - 처권통 3.5.1 개인정보리방침 공개
3.5.2 정보추제 리보장
3.5.2 이용내역 

 

3.2 개인정보 보유 및 이용시 보호조치 (현품표 단목)

항목 설명 및 사례 keyword
3.2.1 개인정보 현황관리 1)수집.보유하는 개인정보의 항목,보유량,처리목적,기간 등 현황을
   정기적 으로 관리
 - 개인정보현황표, 개인정보흐름표, 개인정보흐름도
2)공공기관이 개인정보파일을 운용,변경하는 경우 법률에서 정한 관계
  기관의 장에 등록
  ① 개인정보파일 등록 또는 변경 신청을 받은 개인정보 보호책임자
      등록․변경 사항을 검토하고 그 적정성을 판단한 후 행정안전부
      60일 이내에 등록
  중앙행정기관,지방자치단체의 소속기관,기타 공공기관은 개인정보
      파일 등록 ․변경검토 및 적정성 판단을 상위기관에 요청한 후
     ,상위 관리기관의 확인을 받아서 -> 행안부에  60일 이내 등록
  국회,법원,헌재,중앙선관위는 국회규칙,대법원규칙, 헌재규칙,중앙
      선관위규칙을 따름
3)공공기관은 개인정보파일의 보유현황을 개인정보처리방침에 공개


• 단 아래 개인정보파일은 행안부에 등록안해도 됨.
국범 조내비 통안 공영 1금
 1.국가,안전,외교상비밀, 그 밖에 국가의 중대한 이익에 관한 사항을
   기록한 개인정보파일
 2.범죄의 수사,공소제기및유지,형및 감호의 집행,교정처분,보호처분
  ,보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일
 3.[조세범처벌법]에 따른 범칙행위조사 및 [관세법]에 따른 범칙행위
   조사에 관한 사항을 기록한 개인정보파일.
 4.공공기관의 내부적 업부처리만을 위하여 사용되는 개인정보파일
 5.다른 법령에 따라 비밀로 분류된 개인정보파일
 6.[통계법]에 따라 수집되는 개인정보파일
 7.국가안전보장과 관련한 정보분석을 목적으로 수집제공 요청되는
   개인정보파일
 8.공중위생등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서
   일시적으로 처리되는 개인정보파일
 9.영상정보처리기기를 통하여 처리되는 개인정보파일
 10.자료.물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여
운용하는 경우로서 저장하지 않고 폐기할 목적으로 수집된 개인정보파일
 11.[금융실명거래및 비밀보장에 관한법률] 에 따른  금융기관
     금융업무 취급을 위해 보유하는 파일


<개인정보파일 등록항목>
명운항 처보반 명수담열 거평
- 개인정보파일 명칭
 - 개인정보파일의 운영근거 및 목적
 - 개인정보파일에 기록되는 개인정보 항목
 - 개인정보 처리방법
 - 개인정보 보유기간
 - 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는자
 - 개인정보파일을 운용하는 공공기관의 명칭
 - 개인정보파일로 보유하고 있는 개인정보의 정보주체수
 - 해당 공공기관에서 개인정보처리 업무를 담당하는 부서
 - 개인정보의 열람요구를 접수.처리하는 부서
 - 열람을 제한하거나 거절할수 있는 개인정보의 범위및 제한 또는 거절 사유
 - 개인정보 영향평가를 실시한 경우 그 결과 첨부

* 파기에 대해서는 언급이 없다. 		현황 정기적 관리,
공공기관 개인정보파일 등록,
처리방침 공개 
3.2.2 개인정보 품질보장

  (주로 회원정보 변경 관련)		 •정확성,완전성,최신성이 보장되도록 정보주체에게 관리절차를 제공
  - 회원정보변경 시 본인확인절차
  - 온라인회원에서는 개인정보변경방법을 제공하나 오프라인 회원에게
    는 제공하지 않는 경우		 최신화,
정보주체 개인정보 품질(정확성, 완전성, 최신성) 유지 
3.2.3 개인정표 표시제한 및 이용 시 보호조치

Like마비		 •개인정보의 조회및 출력시 용도를 특정하고 출력항목을 최소화
•개인정보의 조회및 출력시 불필요한 개인정보는 마스킹처리 등 표시
  제한조치 수행
종이등 인쇄물등에 개인정보 유출 방지
•검색시 Like검색등 과도한 검색이 안되게
비식별화하여 이용.제공시 재식별화의 위험을 방지하고 '개인정보 비식
 별 조치 가이드라인' 에 따른 적정성 평가 수행
•가명처리기법만 단독 활용된 경우는 충분한 비식별 조치로 보기 어려움


<비식별화>
구성 - 3전과(법비) : 3명이상 전문가중 외부전문가 과반수
                           (법률전문가, 비식별화 기법 전문가 1명씩)
기법 - 가총삭범마 : 가명처리/총계처리/데이터삭제/데이터범주화
                           /데이터마스킹
프라이버시보호모델 - KLT : K-익명성 / L-다양성 / T-근접성 		출력항목 최소화,
마스킹 기준,
출력물 보호조치,
검색(일치,복합),
비식별 적정성평가,
재식별 모니터링 
3.2.4 이용자 단말기 접근 보호 •정보주체의 이동통신단말기내의 기능이나 정보이용 시 명확하게 알리
  고 동의를 받아야 한다
  - 2G폰, 단순 블루투스,와이파이 공기계는 제외
•이동통신단말장치 내에서 해당 접근권한에 대한 정보주체의 동의및
 철회방법을 마련해야 한다.		 이동통신단말장치
접근권한 고지,
동의,
거부권,
동의 및 철회방법 마련
3.2.5 개인정보 목적 외 이용 및 제공 •동의를 받은 목적 또는 법령에 초과하여 이용,제공시 추가 동의를 받거나
 법령에 적합한지 확인

 - 목적외 이용,제공이 가능한 경우 (개인정보보호법)
동법 급통 소약 범법형
  1.별도 동의를 받은 경우
  2.법령에 특별한 규정이 있는 경우
  3.사전동의를 받을수 없는 경우로서 급박한 생명…
  4.통계작성 학술연구 등의 목적으로 특정개인을 알아볼수 없는 형태로 개인정보를 제공하는 경우 (단 동의받은 개인정보를제공)

이하는 공공기관만 해당하며 관보,홈페이지에 공개해야함. (소약범법형)
  5.법률에서 정한 소관업무수행으로 보호위원회의심의.의결을 거친 경우
  6.조약, 국제협정을 위해 외국에 제공
  7.범죄의 수사와 공소제기 및 유지를 위하여
  8.법원의 재판업무 수행
  9.및 보호 감호처분의 집행


•개인정보를 목적외 용도로 제3자에게 제공하는 경우 제공받는 자에게
 안정성 확보조치를 요청해야 함.
1)공공기관이 위 사유에따라 개인정보를 목적외의 용도로 이용하거나
 제3자에게 제공하는 경우 그 내용을 관보,인터넷 홈 페이지에 게제하여
 야 한다. (즉 동의 안받는 대신 게제해서 알려야 함)
  - 단, ①동의를 받았거나,  ②범죄의 수사등에 관련된 경우
   게제하지 않아도 된다.
  - 게제시점 : 이용.제공한 날로부터 30일 이내
    게제기간 : 홈페이지에 게제하는 경우 10일 이상
 예) 상품배송을 목적으로 수입한 개인정보를 동의받지 않고 상품의
     통신판매,광고등에 이용
 예) 경품행사때문에 수집한 개인정보를 자사의 할인판매행사 안내문자
     발송에 이용한 경우
 예) 공공기간이 민원인의 개인정보를 목적외로 타기관에 제공한 경우
     관보,홈페이지에 게제안한 경우
2)공공기관이 개인정보를 목적외의 용도로 이용하거나 제3자에게 제공
  하는 경우 '제공대장' 을 관리해야함.


[개인정보보호법 시행령]
제15조 (개인정보의 목적외 이용 또는 제3자 제공의 관리)
<목적외 이용 및 제3자 제공 대장 기록 항목> 명명 목항기 근형
1. 이용하거나 제공하는 개인정보 또는 개인정보파일의 명칭
2. 이용기관 또는 제공받는 기관의 명칭
3. 이용 목적 또는 제공받는 목적
4. 이용 또는 제공의 법적 근거
5. 이용하거나 제공하는 개인정보의 항목
6. 이용 또는 제공 날짜,주기 또는 기간
7. 이용하거나 제공하는 형태 		목적 내 외 별도 동의,
법적 근거,
제3자 안전조치,
공공기관은
  ①관보, 홈페이지에 게제
  ②제공대장 작성

정통망법에서는 목적외이용을
허용하는 조항은 없다.

'소약범법형' 은 공공기관이
(1) 민감정보,고유식별정보를 동의없이 처리가능한 경우
(2) 동의없이 목적외이용.제공이 가능한 경우
(단, 요경우는 관보,홈페이지 게시(30일 이내, 10일이상) 및 제공대장 기록)

 

3.3 개인정보 제공 시 보호조치 (3위영국)

항목 설명 및 사례 keyword
3.3.1 개인정보 제3자 제공 •개인정보를 제3자에게 제공하는 경우 명확하게 고지해서 동의를 별도
 받거나, 법령에 규정이 있어야 함.
 - 제3자란 정보주체와 그 정보주체의 개인정보를 수집 보유하고 있는
  개인정보처리자를 제외한 모든 자
   (회사내 타부서및 타조직은 제3자가 아님)
 - 여기서 말하는 제3자의 제공은 개인정보를 제공하는 자와 정보주체간의 계약이행을 위한것이 아니라 제공받는 자의 이익을 위해 수집하는 경우이다. 만일 제공받는자의 이익을 위해서 제3자에게 제공하는 것은 '위탁' 이다.

 - 3자 제공 예시
   1.저장매체나 출력물을 통한 물리적인 이전
   2.네트워크를 통한 전송
   3.제3자의 접근권한 부여
   4.제3자와 개인정보 공유
   5.기타 개인정보의 이전,공동이용상태를 초래하는 모든행위


•개인정보를 제3자에게 제공할 수있는 경우
       개인정보보호법                                  정보통신망법
 동법소급  / 동요법
1.정보주체의 동의를 받음                     1.이용자의 동의를 받음
2.법률에 규정, 법령상 의무준수 불가피    2.요금정산을 위하여
3.공공기관이 소관업무                         3.법률에 규정
4.사전동의받을수 없는 급박한 생명,신체.재산상

•개인정보 제3자 제공 동의시 알려야할 사항
      개인정보보호법(목항기거자)             정보통신망법(목항기자)
1.제공받는자                                    1.제공받는자
2.제공받는자의 이용목적                    2.제공받는자의 이용목적
3.제공하는 개인정보 항목                   3.제공하는 개인정보 항목
4.제공받는자의 보유및 이용기간          4.제공받는자의 보유및 이용기간
5.동의를 거부할 권리 		별도 동의,
거부권,
예외 법령 규정,
제3자 제공내역 기록보관,
제3자 보호절차 통제

공공기관 소관업무 예
 - 건강보험공단이 법률에 의해 진료내역을 수집하는 경우

급한한 이익 예
 - 조난.홍수로부터 실종되거나 고립된 사람을 구조하기위하여 연락처, 주소, 위치정보
    등 개인정보를 수집

 - 아파트안에 화재가 발생되어 집안에 있는 자녀를 구하기위해 부모의 핸드폰 번호를
   수집하는 경우

 - 의식불명이나 중태에 빠진 환자를 치료하기 위해 개인정보를 수집하는 경우

 - 고객이 보이스피싱에 걸린것으로 보여 은행이 임시로 자금이체를 중단시키고 고객
   애게 사실확인을 하고자하는 경우
3.3.2 업무 위탁에 따른 정보주체 고지 •개인정보 처리업무를 제3자에게 위탁하는 경우 홈페이지 등에 위탁하는
 업무의 내용과 수탁자를 현행화하여 지속적으로 공개해야 한다.
 (수탁자가 아무리 많아도 해당 수탁자명을 모두 열거)

• 정통망법상으로는 위탁시에도 동의를 받아야 함.

     개인정보보보법                               정통망법
1.위탁시 동의 불필요                            1.위탁시 동의 필요
  *단, 홍보,판매업무를 위탁할때에는             - 처리위탁 받은
   위탁하는 업무의 내용과 수탁자를             - 처리위탁하는 업무내용
   정보주체에게 고지해야 한다.          * 단, 계약을 이행하고 이용자
                                           편의증진을 위하여 개인정보처리방침
                                              을 통하여 위탁사실을 공개한 경우
                                              동의 안받아도 됨 (고지와 동의절차
                                              안받아도 됨)

•홍보,판매를 권유하는 업무를 위탁하는 경우 서면, 전자우편,모사전송
 ,전화,문자를 통하여 정보주체에게 알려야 한다.(동의X, 공개X, 고지O)
•위탁하는 업무의 내용이 변경된 경우 내용을 알리거나 필요한 경우
 동의를 받아야 한다.
•수탁자가 다시 재위탁하는 경우 위탁자의 사전동의를 받아야 한다.
•정보통신서비스 제공자(즉 정통망법 적용대상자)이면서 정보통신서비스
 제공에 관한 계약이행과 무관한 개인정보 처리업무를 위탁하면서 개인
 정보 처리방침에만 공개하는 것으로 갈음하여 이용자의 동의를 받지
 않는 것은 안된다.		 위탁 내용과 수탁자 공개,
필요시 동의,
홍보 또는 판매업무 위탁시 통지,
재위탁 시 사전 동의

개보법     정통망법
동의 X       동의 O
홍보,판매  계약,편의  
고지         공개
(개고 망공)
3.3.3 업무의 양수 등에 따른 개인정보의 이전 •영업의 전부 또는 일부의 양도.합병 등으로 개인정보를 다른 사람에게
 이전하는 경우 다음 사항을 정보주체에게 알려야 한다. (사자철)
 1.개인정보를 이전하려는 사실
 2.이전받는자의 성명,주소,전화번호 및 연락처
   (이전하는 자의 정보는 고지 안해도 됨)
 3.이용자가 개인정보 이전을 원하지 아니하는 경우 그 동의를 철회할 수 있는 방법과 절차

•알리는 방법
 1.전자우편,서면,모사전송,전화. 또는 이와 유사한방법
 2.정보주체에게 직접 알릴수 없는 경우에는
   - 홈페이지에 30일 이상 기재로 갈음 가능
   - 홈페이지가 없는 경우 양도자의 보기쉬운 장소에  30일 이상 게시
     또는 일간신문에 1회이상 공고

•양수자는 법적 통지요건에 해당하는 경우 개인정보를 이전받은 사실을
 정보주체에게 지체없이 알려야한다.

•통지의무 대상
통지의무대상  개인정보보호법(개통면)           정통망법(망통통)
   양도자            통지필요                                통지필요
   양수자            통지필요                                통지필요
                    단, 양도자가 이미 이전
                    사실을 알린경우 면제
•이전받은 자가 목적외로 개인정보를 이용,제공하려는 경우 별도로
  정보주체에게 동의를 받아야함.		 양도·합병 이전 시 통지
   (개통면 망통통),
통지요건(사실, 받는자, 아니),
본래 목적 
3.3.4 개인정보의 국외이전 • 개인정보를 국외의 제3자에게 제공하는 경우 내용을 알리고 동의를
  받아야 한다
정보통신서비스 제공자로서 계약을 이행하고 이용자 편의 증진을 위하
 여 필요한 경우로서 그 내용을 이용자에게 알리는 것으로 동의를 갈음
 할수 있다.

동의시 고지사항
     개인정보법  - 목항기거자
     정보통신망법 - 목항기자 국일방
          - 이전되는 개인정보 항목
          - 이전되는 국가. 이전일시, 이전방법 (국일방)
          - 이전받는 자의 성명
          - 이전받는 개인정보의 목적및 보유.이용기간

 예) 정보통신서비스제공자(정보통신망법)가 필수적인 서비스제공
     위하여 해외 클라우드 서비스를 이용하여 개인정보 처리위탁 및
     보관을 하면서 이전되는 국가.이전방법 등 관련사항을 홈페이지에
     공개하거나 이용자에게 알리지 않은 경우
   (계약이행및 편의증진은 동의 안받는 대신 공개및 고지해야 함)

  -> 반면 개인정보처리자. 즉 개인정보보호법에서는 무조건 국외이전은
       정보주체에게 동의를 받아야 한다는 뜻


•개인정보 국외이전에 관한 계약 시 고려사항
     개인정보보호법                          정통망법
개인정보보호법을 위반하는     아래 사항을 미리 협의
내용으로 계약을 체결하면     1.개인정보보호를 위한 기술적관리적 조치
안됨                                  2.개인정보 침해에 대한 고충처리,분행
                                          해결 사항
                                       3.그밖에 개인정보보호를 위한 필요조치		 고지(목항기거자
    목항기자 국일방자) &동의,
동의갈음,
국외이전 계약,
국외 보호조치 
728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 유사 인증기준 항목 비교 (1/2)  (0) 2021.01.19
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(3/3)  (0) 2021.01.17
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(1/3)  (0) 2021.01.13
ISMS-P 인증기준 - 2. 보호대책 요구사항 (3/3)  (0) 2021.01.11
ISMS-P 인증기준 - 2. 보호대책 요구사항 (2/3)  (0) 2021.01.07
728x90
반응형
SMALL
3. 개인정보 처리 단계별 요구사항 - 수보제파권
3.1 개인정보 수집 시 보호조치 수 - 제동 주민간 영홍 3.1.1 개인정보 수집
3.1.2 개인정보 수집
3.1.3 민등록번호 처리제한
3.1.4 감정보및고유식별정보처리제한
3.1.5 접수집 시 보호조치
3.1.6 상정보처리기기 설치.운영
3.1.7 보및 마케팅 목적 활용시 조치
3.2 개인정보 보유 및 이용시 보호조치 보 - 현품표 단목 3.2.1 개인정보 황관리
3.2.2 개인정보 질보장
3.2.3 개인정보 시제한 및 이용시 보호조치
3.2.4 이용자 말기 접근 보호
3.2.5 개인정보 적외 이용 및 제공
3.3 개인정보 제공 시 보호조치 제 - 3위영국 3.3.1 개인정보 제3자 제공
3.3.2 업무탁에 따른 정보주체 고지
3.3.3 업의 양수에 따른 개인정보이전
3.3.4 개인정보의 외이전
3.4 개인정보 파기 시 보호조치 파 - 파목휴 3.4.1 개인정보의 
3.4.2 처리적 달성 후 보유 시 조치
3.4.3 면 이용자 관리 
3.5 정보주체 권리보장 권 - 처권통 3.5.1 개인정보리방침 공개
3.5.2 정보추제 리보장
3.5.2 이용내역 

 

3.1 개인정보 수집 시 보호조치 (제동 주민간 영홍)

항목 설명 및 사례 keyword
3.1.1 개인정보 수집 제한   (최선거)

(일과단가)
괄로 동의
도한 정보 수집
선택 미동의시 다음 계 거부
선택 미동의시 입 가능		 최소한의 정보만 수집 (동의,법령에 근거)
•최소한의 정보외에는 선택할수 있도록 (별도선택항목)
  - 일괄동의 안되고 필수와 선택으로 구분
•최소한의 정보외에 정보제공에 동의하지 않는다는 이유로 거부하지
 않아야 한다.
(즉 선택항목에 동의하지 않았다고 해서 서비스제공이 거부되면 안됨)
반대로 필수항목에 대해 동의하지 않는 경우 회원가입을 거부할 수 있다 		최소정보,
선택항목,
거부권 
3.1.2 개인정보의 수집 동의 •동의를 받거나 관계법령에 따라 적법하게 수집
  - 법령에 특별한 규정이 있는 경우 동의안받고 가능
•정보가 필요한 시점에 동의받고 수집 (미리 안됨)
•동의를 받을 때 관련 내용을 명확하게 고지 (홍민고기3목자)
  - 명확히 표시하여야 하는 중요한 내용
    1. 해당정보를 이용하여 연락할수 있다는 사실 (홍보.마케팅 항목)
    2. 처리하는 개인정보 항목중 민감정보,여권정보 ,운전면허번호,외국
       인등록번호 등 고유식별정보
    3. 개인정보의 보유 및 이용기간
    4. 제공받는자의 개인정보 이용 목적

  - 중요내용 표시 방법
    1. 9포인트 이상, 다른내용보다 20% 이상 크게
만14세미만의 경우 법정대리인에게 동의 받음.
  - 법정대리인의 최소한의 정보만 수집하여야 하며 (법정대리인의 동의
     없이 아동으로부터 수집가능) 법정대리인의 자격요건을 확인하는
     방법.절차 마련
  - 법정대리인이 거부하는 경우 수집일로부터 5일이내 파기해야함.

예) 쇼핑몰 홈페이지 회원가입 시 회원가입에 필요한 개인정보 외에
    추후 물품 구매 시 필요한결제 배송 정보를 미리 필수 항목으로 수집
    하는 경우
     -> 최소한의 정보외에 추가적으로 배송정보를 수집한다는 점에서
         3.3.3 개인정보수집제한 에 위배된다고고 볼수 있으나 그보다는
         필요한시점에 수집하지 않고 미리 수집했다는 점이 더 포커스
        이므로 3.1.2 항목 위반에 해당

* 개인정보의 수집.이용이 가능한 경우 (동법 소계 급정 / 계요법)
       개인정보보호법                                정보통신망법
1.정보주체의 동의받은경우  
2.법률에 특별한규정이 있거나 법령상  1.계약의 이행을 위해 경제적,
  의무를 준수하기위해 불가피한경우      기술적인 사유로 통상적인
3.공공기관이 소관의 업무수행을 위해     동의를 받는 것이 경우
  불가피한 경우                                2.요금정산을 위하여
4.계약의 체결및 이행을 위해                3.다른 법률에 특별한 특별한 
 (예) 온라인 쇼핑몰에서 고객이 주문한     규정이 있는 경우
 상품을 배송하기 위하여 주소,.연락처를
 수집하는 경우
5.의사표시를 할수없거나 사전동의를
  받을수 없는 경우로서 명백히 정보주체
  또는 제3자의 급박한 생명,신체,재산의
  이익을 위하여 필요하다고 인정되는경우
  (예) 교통사고를 당한 의식불명환자의
     핸드폰에서 가족의 연락처를 수집
6.개인정보처리자의 정당한 이익달성으로
  명백하게 정보주체의 권리보다 우선
  (예) 문방구에서 외상을 갚지 않는 학생의
       집에 연락하기 위해 학생의 동의없이
       부모님 연락처를 수집


* 개인정보의 수집.이용 동의시 고지사항
 개인정보보호법(목항기거)      정보통신망법(목항기)
1.수집.이용 목적               1.수집.이용 목적
2.항목                             2.항목
3.보유및 이용기간             3.보유및 이용기간
4.동의를 거부할 권리 		고지(목항기거) 후 동의,
방법 및 시점,
명확 표시,
법정대리인(만14세),
동의 기록 보관 
3.1.3 주민등록번호 처리 제한 •주민등록번호는 법적근거가 있는 경우를 제외하고는 설사 동의를 받는
 다하더라고 수집할수 없다.

 - 수집이 가능한 경우
        개인정보보호법                                 정보통신망법
법급행                                            본법방
1.법률,대통령령,국회규칙,대법원규칙    1.본인확인기관으로 지정받은
  ,헌법재판소규칙,중앙선거관리위원        경우
   회규칙 및 감사원규칙에서 구체적      2.법령에서 허용
  으로 주민등록번호 처리를 요구.허용   3.정보통신제공자로서 방통위        한 경우                                          가 고시
2.급박한 생명,신체,재산상 이익으로       
  명백히 필요
3.행정안전부령으로 정함.
  (시행규칙,조례,훈련 X)


•법령에서 구체적으로 주민등록번호 처리근거가 명확해야 함.
  - 훈령,예규,고시,조례 등은 근거가 될수 없음
  - 법령에서 단순히 신원확인,연령확인등 의무규정만을 규정하고 있다면 이는 처리근거가 명확하지않음
뒷자리 7자리만 수집한다고 해도 전체를 수집하는 것과 동일함.
•주민등록번호 수집이 가능하더라도 대체수단 제공		 법적 근거,
법조항 식별,
대체수단 제공 
3.1.4 민감정보및 고유식별정보의 처리 제한 •민감정보는 원칙적으로 처리하여서는 안된다.
 다만 별도의 동의를 받거나 법령에 근거가 있는 경우에 한해 처리가능
•민감정보유형 (노사정유범건성)
  :  노동조합, 사상, 정당가입.탈퇴, 유전정보, 범죄경력 , 건강, 성생활
    (이 외에는 민감정보로 인정하지 않는다.)
 - 혈액형은 민감정보에 해당하지 않음
 - 유전정보범죄경력정보는 공공기관이 업무수행을 위하여 처리하는 경우 민감정보로 보지 아니하므로 정보주체의 별도동의 없이 처리가능
 - 고유식별정보 : 주민번호,여권번호,운전면허번호,외국인등록번호
•다른 개인정보항목 동의와는 구분해서 갹각 하나씩 별도항목으로  동의받아야함.
 - 일괄동의 안됨.
공공기관이 업무수행을 위해 동의없이 민감정보,고유식별정보 처리가능경우
  소약범법형
  소관업무를 위해 보호위원회 심의.의결 거침
  조약, 국제협정이행 위하여 외국에 제공
  범죄의 수사, 공소제기,유지에 필요
  법원의 재판업무 수행을 위해
  형 및 감호, 보호처분의 집행을 위해 필요
* 정보통신망법에서는 '고유식별정보'에 대한 규정은 없어서 개인정보
  보호법을 준용하고 있다.		 별도 동의,
법령 근거 
3.1.5 간접수집 보호조치

1.인터넷등 공개된 개인정보
2.다른사람으로부터 받은 개인정보
3.쿠키등 자동수집장치		 •정보주체 이외로부터 수집한 개인정보를 처리할 때는 개인정보의 종류
 ,규모,법적요건에 해당하는 경우 필요한 사항을 정보주체에게 통지하여
 야 한다. (단, 이 통지의무는 개인정보보호법상 동의를 받아 개인정보를
 제공한 개인정보처리자로부터 수집한 개인정보에 대해서만 적용,)
 - 통지의무요건 및 방법
 1.통지의무가 부과되는 개인정보처리자의 요건
   - 5만명 이상의 민감정보 , 고유식별정보 처리자
   - 100만명 이상의 개인정보 처리자
  예) A사가 B사로부터 1만건의 개인정보를 수집.처리 하는경우 정보
     주체에게 수집출처를 고지안해도 된다. (5만건이 넘어야 고지의무)

 2. 통지해야 할 사항 (출목정)
   - 개인정보의 수집 출처
   - 개인정보의 처리 목적
   - 개인정보 처리의 정지를 요구할 권리
 3. 통지시기
   - 개인정보를 제공받는 날로부터 3개월 이내
 4. 통지방법
   - 서면,전화,문자전송,전자우편
 5. 고지예외
  ① 정보주체에게 알릴수있는 개인정보(연락처)가 없는 경우
  ② 범죄수사,공소제기.유지, 형집행감호,출입국관리사항 등의 개인정보 또는 다른사람의 생명,신체를 해할 우려 또는 재산,이익의 부당침해 우려시에는 적용 제외
• 공개된 개인정보 수집하는 경우 통상 동의의사가 있다고 인정되는
  범위내에서만 수집.
• 서비스제공과 관련이 없는 타깃마케팅 목적으로 쿠키정보 수집시에는
  별도 동의를 받아야 한다.
   --> 바꿔 말하면 서비스이행계약에 필요한 경우 동의없이 쿠키 수집 가능 		동의획득 책임(제공자),
사회통념 동의의사 이용,
자동수집장치,
출목정 통지
  (요구-3일,
   처리자-3개월),
보관


간접수집 고지는 2가지 조건에 해당할 때 입니다.
1. 정보주체 요구 시 고지 사항입니다.
 - 본 건은 보편법인 개보법, 특별법인 망법이나 신정법 등 어느 법이든지 해당합니다.

2. 대량의 개인정보 처리자입니다.
 - 5만명 민감정보 또는 고유식별 정보, 100만명 정보주체 개인정보 처리를 하는 개인정보처리자입니다.
 - 본 법은 개보법에 따른 정보주체의 제3자 제공 동의를 받은 자로부터 간접수집한 경우에 해당합니다.
3.1.6 영상정보처리기기 설치.운영 공개된 장소에 한정 영상정보처리기기를 설치,운영(법범시단교)
  1.법령에서 구체적으로 허용
  2.범죄의 예방 및 수사를 위해 필요한경우
  3.시설안전 및 화재 예방을 위하여
  4.교통단속을 위하여
  5.교통정보의 수집 및 분석. 제공을 위하여

•블특정 다수가 이용하는 목욕실,화장실,탈의실은 금지

공공기관이 공개된 장소에 설치하려면 공청회,설명회 및 전문가,이해관
 계장의 의견을 수렴해야 한다.
  - 의견수렴절차 (행의 설설여)
     1.행정예고의 실시 또는 의견청취
     2.설명회,설문조사,여론조사  (사기업의 경우 공청회 필요없음)

•목욕탕,발한실 등 사생활침해가 우려되는 장소에는 설치불가,
  (단 교도소,정신보건시설에는 설치가능)

안내판 설치내용 (목장 시범 관위)
  1.설치목적장소
  2.촬영범위시간
  3.관리책임자 성명,연락처
  4.위탁받은 자의 명칭,연락처

•안내판 설치예외 (군중보)
   -군사시설,국가중요시설,국가보안시설 		허용장소,
공공 공청회,
안내판,
운영관리방침,
보관기관,
위탁시 절차 계약서

법범시단교
행의설설여
목장시범관위
군중보
3.1.7 홍보 및 마케팅 목적 활용 시 조치

(포괄 push default 2년)		 •홍보,마케팅 목적으로 수집하는 개인정보는 분리해서
  별도로 동의를 받아야 한다.
•2년마다 정기적으로 영리목적성 광고성정보 수신동의 여부 확인
•야간시간에 보낼려면 별도 동의 필요(단 메일은 에외)
•수신거부,회원탈퇴시 즉시 모든 광고 전송 중단
광고수신거부처리시 연락처 이외의 정보를 요구할 수 없다.

영리목적의 광고성 정보의 개념
 - 영업을 하는자가 고객에게 보내는 정보는 원칙적으로 광고성 정보에
   해당함.
 - 구체적인 재화,서비스의 홍보가 아니더라도 발신인의 이미지 홍보에
   해당하는 경우 광고성정보로 봄.
 - 주된 정보가 광고성 정보가 아니더라도 부수적으로 광고성 정보가
   포함되어 있으면 전체가 광고성정보

•개인정보보호법 상의 홍보,판매권유 목적의 동의는 광고성정보를 전송
  하기 위해 당신의 개인정보를 수집하겠다는 것에 대한 동의를 말하는
  거구,  정통망법상의 동의는 광고성정보를 수신하겠다는 것에 대한
  동의를 말하므로 두개의 동의는 구분 후 별개로 받아야 한다.

(1)거래관계에 의한 광고성 정보수신 동의 예외
  ① 재화등의 거래관계를 통하여 수신자로부터 직접 연락처를 수집한 자가 거래가 있은 날부터 6개월 이내 자신이 처리하고 수신자와 거래한 것과 동종의 재화 등에 대한 영리목적의 광고성 정보를 전송하려는 경우
  ② 방판법에 의한 전화권유판매자가 육성으로 수신자에게 개인정보수집 출처를 고지하고 전화권유하는  경우
   (예) 정보주체에게 별도의 동의를 받지않고 전화를 걸어 개인정보의 수집출처를 고지후 전화상으로 제품판매를시도하였다. (O)

(2)영리목적의 광고성 정보의 예외
 - 수신자와 이전에 체결하였던 거래를 용이하게 하거나 완성,확인하는 것이 목적인정보
 - 수신자가 사용하거나 구매한 재화 또는 서비스에 대한 설명,보증,리콜 ,안전,보안 관련 정보
 - 고객의 요청에 의해 발송하는 일회성 정보 (견적서 등)
 - 수신자가 금전적 대가를 지불하고 신청한 정보 (뉴스레터,주식정보,축산물거래정보)
 - 전송자가 제공하는 재화 또는 서비스에 대해 수신자가 구매 또는 이용과 관련한 안내 및 확인정보 (회원등급변경, 포인트 소멸 안내 등)
 - 정보제공을 서비스로 하는 자가 이용자와 명시적인 계약체결을 하여 정보를 전송하되 이를 대가로 직접적인 수익이 발생하지 않아야 하며, 정보의 내용이 서비스,재화 구매와 직접적인 관련이 없는 정보

< 공고성정보 수신동의 내용 통지>
1. 전송자의 명칭
2. 수신자의 수신동의 사실과 수신 동의한 날짜
3. 수신동의에 대한 유지 또는 철회의 의사를 표하는 방법

(예) OO쇼핑몰 수신동의 내역을 알려드립니다.
      …………………………….
    가. 광고정보 수신 동의여부및 동의일자
         광고성 문자 : 미동의
         광고성 Email : 동의 (2020-05-17)
         광고성 전화 : 미동의
         APP Push : 동의 (2020-05-17)
    나. 동의 철회방법
         .......................................		 별도 동의,
광고 사전 동의,
2년 확인,
영리목적광고 고지(전송자 , 수신거부),
야간 금지 
728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(3/3)  (0) 2021.01.17
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(2/3)  (0) 2021.01.15
ISMS-P 인증기준 - 2. 보호대책 요구사항 (3/3)  (0) 2021.01.11
ISMS-P 인증기준 - 2. 보호대책 요구사항 (2/3)  (0) 2021.01.07
ISMS-P 인증기준 - 2. 보호대책 요구사항 (1/3)  (0) 2021.01.06
728x90
반응형
SMALL
2. 보호대책 요구사항 - 정인외물 인접암정 운보사재
2.1 정책,조직,자산 정 – 정조자  2.1.1 정책의 유지관리
2.1.2 조직의 유지관리
2.1.3 정보자산 관리
2.2 인적보안 인 – 직분서인퇴위 2.2.1 주요 직무자 지정 및 관리
2.2.2 직무 분리
2.2.3 보안 서약
2.2.4 인식제고 및 교육훈련
2.2.5 퇴직 및 직무변경 관리
2.2.6 보안 위반 시 조치
2.3 외부자보안 외 – 현계보변 2.3.1 외부자 현황 관리
2.3.2 외부자 계약 시 보안
2.3.3 외부자 보안 이행 관리
2.3.4 외부자 계약 변경 및 만료시 보안
2.4 물리보안 물 – 구출정설작반업  2.4.1 보호구역 지정
2.4.2 출입통제
2.4.3 정보시스템 보호
2.4.4 보호설비 운영
2.4.5 보호구역 내 작업
2.4.6 반출입 기기 통제
2.4.7 업무환경 보안
2.5 인증및 권한관리 인 – 계식인비특접 2.5.1 사용자 계정 관리
2.5.2 사용자 식별
2.5.3 사용자 인증
2.5.4 비밀번호 관리
2.5.5 특수 계정 및 권한관리
2.5.6 접근권한 검토
2.6 접근통제 접 – 네정응데무원인  2.6.1 네트워크 접근
2.6.2 정보시스템 접근
2.6.3 응용프로그램 접근
2.6.4 데이터베이스 접근
2.6.5 무선 네트워크 접근
2.6.6 원격접근 통제
2.6.7 인터넷 접속 통제
2.7 암호화적용 암 – 정키 2.7.1 암호정책 적용
2.7.2 암호키 관리
2.8 정보시스템 도입및개발보안 정 – 요검시데소운 2.8.1 보안 요구사항 정의
2.8.2 보안 요구사항 검토 및 시험
2.8.3 시험과 운영환경 분리
2.8.4 시험 데이터 보안
2.8.5 소스 프로그램 관리
2.8.6 운영환경 이관
2.9 시스템 및 서비스 운영관리 운 – 변성 백로 점시재  2.9.1 변경관리
2.9.2 성능 및 장애관리
2.9.3 백업 및 복구관리
2.9.4 로그 및 접속기록 관리
2.9.5 로그 및 접속기록 점검
2.9.6 시간 동기화
2.9,.7 정보자산 재사용 및 폐기
2.10 시스템 및 서비스 보안관리 보 – 보클 공거전 업보 패악 2.10.1 보안시스템 운영
2.10.2 클라우드 보안
2.10.3 공개서버 보안
2.10.4 전자거래 및 핀테그 보안
2.10.5 정보전송 보안
2.10.6 업무용 단말기 보안
2.10.7 보조저장매체 관리
2.10.8 패치관리
2.10.9 악성코드 통제
2.11 사고예방 및 대응 사 – 체취이훈대 2.11.1 사고예방 및 대응체계 구축
2.11.2 취약점 점검 및 조치
2.11.3 이상행위 분석 및 모니터링
2.11.4 사고대응훈련 및 개선
2.11.5 사고대응 및 복구
2.12 재해복구 재 – 안시 2.12.1 재해.재난 대비 안전조치
2.12.2 재해 복구 시험 및 개선

 

2.9 시스템 및 서비스 운영관리 (변성 백로 점시재)

항목 설명 및 사례 keyword
2.9.1 변경관리 •정보시스템자산의 모든 변경내역을 관리하는 절차 수립.이행
•변경전에 영향도 분석  실시
예) 신규장비 도입시 공식적인 절차 준수해야함		 변경 절차,
변경 전 영향 분석 
2.9.2 성능 및 장애관리 •가용성보장을 위해 성능,용량 모니터링 절차수립.이행
  : 성능및 용량관리 대상식별 -> 성능요구사항(임계치) 정의 -> 초과
   여부를 모니터링할수 있는 방안 수립
임계치 초과시 대응절차 수립 및 이행
장애발생시 대응절차 수립 (비상연락망)
•장애발생시 절차에 따라 조치하고 장애조치내역을 기록.관리한다.
•심각도가 높은 장애에 대해서는 재발방지책 수립		 성능 및 용량 모니터링 절차,
초과 시 대응절차,
장애 대응절차,
장애조치 기록,
재발방지대책 
2.9.3 백업 및 복구관리 •백업및 복구절차 수립.이행
•정기적인 복구 테스트
•중요백업매체는 물리적으로 떨어진 장소에 소산
※ 주요 백업 대상 (예시)
ㆍ중요정보(개인정보, 기밀정보 등)
ㆍ중요 데이터베이스
ㆍ각종 로그(정보시스템 감사로그, 이벤트로그, 보안시스템 이벤트로그)
ㆍ환경설정 파일 등 		백업 및 복구절차
(대상,주기,방법,절차),
복구테스트,
중요정보 저장 백업매체 소산 
2.9.4 로그 및 접속기록 관리 •로그관리절차 수립하고 로그를 셍성,보관
•로그기록은 별도 백업
•접속기록은 법적준수를 위해 일정기간 보관
*개인정보보호법
 - 접속기록 : 최소 1년 이상
 - 다만, 5만명이상이거나 고유식별정보,민감정보 처리시 2년 이상 보관
*정통망법
 - 접속기록 : 최소 1년 이상 보관
 - 단 기간통신사업자는 최소 2년 이상 보관

▶ 개인정보처리시스템 접속기록에 반드시 포함되어야 할 항목 
     • 계정 또는 식별자 : 개인정보취급자 아이디 등 
     • 접속일시 : 접속 날짜 및 시분초
     • 접속지 정보 : 접속자 IP주소 등  
     • 수행업무 : 개인정보 조회, 변경, 입력, 삭제, 다운로드 등
▶ 접속기록의 안전한 보관방법 (예시)
     • 물리적으로 분리된 별도의 저장장치에 백업 보관
     • DVD, WORM Disk 등 덮어쓰기가 방지된 저장매체에 보존 등		 관리 절차,
생성 보관,
별도 저장장치 백업,
로그 접근권한 최소화,
개처시 접속기록
2.9.5 로그 및 접속기록 점검 •이상접속, 이상행위에 대한 모니터링,알림정책 수립
•접속기록 점검주기
 - 월1회 이상 (개인정보법,정통망법 동일)

① 정보시스템 관련 오류, 오․남용(비인가접속, 과다조회 등), 부정행위
    등 이상 징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을
    포함한 로그 검토 및 모니터링 절차를 수립․이행하여야 한다
② 로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견
    시 절차에 따라 대응하여야 한다.
③ 개인정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라
    정기적으로 점검하여야 한다.  (월1회이상)		 로그 검토기준
(비인가 접속, 과다조회),
주기적 점검,
문제 발생 시 사후조치 
2.9.6 시간 동기화 •표준시간으로 동기화
•주기적 점검 및 문제시 대응절차		 정보시스템 시간 동기화,
주기적 점검 
2.9.7 정보자산의 재사용및 폐기 •정보자산 재사용 및 폐기 절차수립
•폐기시에는 복원이 불가능하도록 처리
 - 복원이 불가능한 방법이란 현재의 기술수준에서 사회통념상 적정한
   비용으로 복원이 불가능하게 하는 조치
      : 완전파괴 (소각,파쇄)
        전용소자장비 (디가우저)
        초기화 또는 덮어쓰기
•폐기이력 관리		 재사용 및 폐기 절차,
복구 불가 방법,
폐기이력 및 증적,
폐기절차 계약서,
교체 복구시 대책 

 

2.10 시스템 및 서비스 보안관리 (보클 공거전 업보 패악)

항목 설명 및 사례 keyword
2.10.1 보안시스템 운영 •보안시스템에 대한 운영절차 수립.이행
•비인가의 접근통제
•정책의 신규등록,변경,삭제를 위한 공식적인 절차
•예외정책등록에 대한 절차, 최소한의 권한
•정책의 타당성여부의 주기적 검토
•법령에서 정한 기능을 수행하는 보안시스템의 설치
* 방화벽 정책 관련

1 : 침입차단시스템(IPS) 보안정책에 대한 정기 검토가 수행되지 않아 불필
    요하거나 과도하게 허용된 정책이 다수 존재하는 경우
2 : 보안시스템 보안정책의 신청, 변경, 삭제, 주기적 검토에 대한 절차 및
    기준이 없거나, 절차는 있으나 이를 준수하지 않은 경우
3 : 보안시스템의 관리자 지정 및 권한 부여 현황에 대한 관리감독이 적절
    히 이행되고 있지 않은 경우
4 : 내부 지침에는 정보보호담당자가 보안시스템의 보안정책 변경 이력
    기록 ․보관하도록 정하고 있으나 정책관리대장을 주기적으로 작성하지
    않고 있거나 정책관리대장에 기록된 보안정책과 실제 운영 중인 시스템
    의 보안정책이 상이한 경우
기타 : 방화벽 정책 설정시 이에 대한 절차가 없어 장비 담당자가 임의로 정
         책을  설정하는 경우		 운영절차,
접근인원 최소화,
정책 변경절차,
예외 최소화,
정책 타당성 검토

보안정책 정기검토
보안정책 신청,변경 절차/기준
보안시스템 관리자 지정 감독
보안정책 변경이력 기록/보관
2.10.2 클라우드 보안 •클라우스 서비스 제공자의 정보보호에 대한 역할과 책임을 SLA에 반영

사례 1 : 클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한
           사항이 포함되어 있지 않은 경우
사례 2 : 클라우드 서비스의 보안설정을 변경할 수 있는 권한이 업무상
           반드시 필요하지 않은 직원들에게 과도하게 부여되어 있는 경우
사례 3 : 내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule)
          변경 시 보안책임자 승인을 받도록 하고 있으나 승인절차를 거치지
          않고 등록․변경된 접근제어 룰이 다수 발견된 경우
사례 4 : 클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을
           통해 공개되어 있는 경우
기타 : 클라우드 서비스에 대한 보안설정 변경이력을 별도로 검토한 증적이
        없는 경우		 CSP R&R SLA 반영,
이용시 보안 통제 정책수립·이행,
관리자권한 보호대책,
정기적 검토 
2.10.3 공개서버 보안 웹서버등 공개서버를 운영하는 경우 보호대책 수립
•공개서버는 DMZ영역에 설치, 내부와 차단
•공개서버에 개인정보 게시,저장시 승인등 게시절차
•중요정보가 웹서버를 통해 노출되는지 주기적 검사
 - 공개된 웹사이트(홈페이지), 게시판등 웹프로그램 		공개서버 보호대책,
DMZ에 설치,
보안시스템 통해 보호,
게시 저장 시 절차,
노출 확인 및차단
2.10.4 전자거래 및 핀테크 보안 •결제시스템 연계시 보호대책 수립
 - 전자결재대행업체와 연계시		 전자거래 및 핀테크 보호대책, 
연계 시 송수신 정보 보호대책
2.10.5 정보전송 보안 •외부조직에 개인정보및 중요정보 전송시 안전한 정책
•조직간 상호교환시 안전한 전송을 위한 보호대책
 - 정보전송기술표준 정의
예)법규준수를 위해 주기적으로 금융감독원에 개인정보를 전송하면서
   외부기관별 연계시기,방식,담당자및 책임자, 연계정보, 법적근거 등에
   대한 현황관리가 적절히 이루어지고 있지 않은 경우		 외부에 개인정보 전송 정책 수립,
조직 간 개인정보 상호교환 시 협약체결 등 보호대책 
2.10.6 업무용 단말기 보안 •업무용 단말기(PC,노트북,태블릿)에 대한 통제절차(기기인증,승인)
•업무용 단말기에 자료공유프로그램 금지, 공유폴더금지
•업무용 모바일 단말기의 분실,도난에대한 보안대책 (MDM)
•업무용 단말기에 대한 통제정책의 주기적 점검 		업무용 단말기 접근통제 정책,
공유 시 DLP 정책,
분실 시 DLP 대책,
주기적 점검 
2.10.7 보조저장매체 관리 •외장하드USB,CD등 보조저장매체 취급,보관,폐기, 재사용 절차
•통제구역등에서 보조저장매체 사용 제한
•개인정보가 포함된 보조저장매체는 잠금장치가 있는 안전한 장소에
  보관

사례 1 : 통제구역인 서버실에서의 보조저장매체 사용을 제한하는 정책을
           수립하여 운영하고 있으나, 예외 승인절차를 준수하지 않고 보조
           저장매체를 사용한 이력이 다수 확인되었으며, 보조저장매체 관리
           실태에 대한 주기적 점검이 실시되지 않아 보조저장매체 관리대장
           의 현행화가 미흡한 경우
사례 2 : 개인정보가 포함된 보조저장매체를 잠금장치가 있는 안전한 장소
           에 보관하지 않고 사무실 서랍 등에 방치하고 있는 경우
사례 4 : 전산실에 위치한 일부 공용 PC 및 전산장비에서 일반 USB에 대한
           쓰기가 가능한 상황이나 매체 반입 및 사용 제한, 사용이력 기록
           및 검토 등 통제가 적용되고 있지 않는 경우
      (공용PC라고 해서 2.4.7 업무환경보안 은 아님, 매체반입 이라고해서
        2.4.6 반출입기기통제 아님.)		 보조저장매체 취급 정책,
주기적 점검,
통제구역 사용 제한,
악성코드 및 DLP 대책, 보관 
2.10.8 패치관리 •OS패치가 장기간 적용안되고 있는 경우
•지원이 종료된 EOS 버전을 사용중이거나
•주요 서버, 네트워크시스템, 보안시스템 등의 경우
 공개 인터넷 접속을 통한 패치를 제한하여야 한다		 패치관리 정책,
패치현황 관리,
불가시 보완대책,
인터넷 패치 제한,
PMS 보호대책 
2.10.9 악성코드 통제 •내부망PC에 대해서는 백신업데이트가 되지 않았다
•일부임직원의 PC에서 백신의 실시간 검사를 해제
•일부임직원이 도박사이트에 접속하여 악성코드에 감염되었으나 별도
 현황파악및 조치를 안했다.
•백신 패턴 배포시 무결성 검증을 하지않아 악의적인 행위자에 의해
 위변조되었다.		 악성코드 보호대책,
예방탐지 활동,
보안프로그램 최신상태 유지,
감염 시 대응절차

 

2.11 사고예방 및 대응 (체취이훈대)

항목 설명 및 사례 keyword
2.11.1 사고예방및 대응체계구축 •침해사고에 대비한 대응조직및  대응 절차 수립
•보완관제서비스와 계약시 침해사고 대응관련 내용이 누락되어 있는
 경우 (SLA에 누락)
비상연락망이 현행화되어있지 않은 경우
  (대응조직도, 대외협조기관 연락처 현행화)

•침해사고 대응 7단계
 1단계 : 사고 전 준비
 2단계 : 사고 탐지
 3단계 : 초기 대응
 4단계 : 대응 전략 체계화 - 최적의 전략을 결정하고 관리자의 승인을
              획득, 초기조사결과를 참고하여 소송이 필요한 사항인지 결정
              하여 사고조사과정에 수사기관 공조여부 판단.
 5단계 : 사고 조사
 6단계 : 보고서 작성
 7단계 : 해결		 사고대응체계,
외부기관 침해사고 대응절차 계약서 반영,
외부기관 협조체계 수립 
2.11.2 취약점 점검 및 조치 •취약점 점검절차 수립
 - 모의침투테스트, 연1회 이상 취약점 점검 실시
•최신 보안취약점 발생여부 지속적 파악
•취약점 점검 이력 기록 관리.		 점검 절차 수립 및 정기적 점검,
결과 보고,
최신 보안취약점,
취약점 점검 이력 기록관리 
2.11.3 이상행위 분석및 모니터링 •임계치를 초과하는 이상 트래픽 대응
* 침해시도를 인지할 수 있는 모니터링 체계 수립
* 외부보완관제업체의 침해시도 모니터링 보고서를 검토한 이력이 없는
  경우
* 이상트래픽이 지속적으로 발생하나 조치를 안취함.		 내외부 침해시도,
개인정보 유출시도,
부정행위 모니터링,
임계치 정의 및 이상행위 판단 
2.11.4 사고대응훈련 및 개선 •모의훈련을 연1회 이상 실시
* 모의훈련 했으나 보고서를 작성안함
* 대응훈련을 계획했으나 수행하지 않은 경우		 모의훈련 계획수립,
모의훈련 연1회 실시,
대응체계 개선 
2.11.5 사고대응 및 복구  *개인정보 유출시 정보주체에게 알려야할 사항 *
개인정보보호법 - 1.유출된 개인정보의 항목
                     2.유출된 시점과 그 경위
                     3.피해를 최소화하기 위해 정보주체가 할수 있는 방법
                     4. 개인정보처리자의 대응조치 및 피해 구제절차
                     5.담당부서 및 연락처
정보통신망법 - 1. 유출된 개인정보 항목
                   2. 유출등이 발생한 시점
                   3. 이용자가 취할 수 있는 조치
                   4. 정보통신제공자의 대응조치
                   5. 부서및 연락처

 *개인정보 유출 신고 기준 *
구분                 개인정보법                             정통망법
신고대상건수  1천명이상 개인정보 유출시  유출건수 무관
신고시점        지체없이(5일이내)             정당한 사유가 없는한 그사실
                                                           을 안날부터 24시간이내
신고기관        행안부 or KISA                   방통위 or KISA   
신고방법        전자우편,팩스,인터넷사이트를 통해 유출사고 신고 및
                     신고서제출, 시간적여유가 없거나 특별한 사정이 있는
                    경우 전화를 통하여 통지내용 신고후 유출신고서를
                     제출할 수 있음.
홈페이지        7일 이상 게재                      30일이상 게재          

위는 신고기준이고 1명이라도 유출되면 정보주체에게 통지해야 한다.
   구체적인 유출내용을 확인 못한 경우 일단 정보주체에게 먼저 통지한 후 나중에 추가 확인된 사항을 알려줄수 있다. 		사고 인지 시 대응 및 보고,
정보주체 통지 및 관계기관 신고,
종결 후 공유, 재발방지대책 

 

2.12 재해복구 (안시)

항목 설명 및 사례 keyword
2.12.1 재해.재난 대비 안전조치 •연속성을 위협할 수 있는
   IT재해유형 식별하고
   영향도 분석하여
   핵심IT서비스 및 시스템을 식별
•복구목표시간(RTO), 복구목표시점(RPO) 정의
•재해복구계획 수립.이행 (BCP)

예)재해복구절차서에 비상연락망이 누락
예)재해복구정책에 백업센터를 활용한 재해복구절차 등이 수립되어 있지
   않아 재해복구시험 및 복구가 효과적으로 진행되기 어려운 경우
예)중요시스템에대한 복구목표시간이 정의되어 있지 않은 경우		 IT재해유형 식별,
영향 분석,
핵심 IT서비스 및 시스템 식별,
RTO, RPO 정의,
BCP 
2.12.2 재해 복구 시험 및 개선 ① 수립된 IT 재해 복구체계의 실효성을 판단하기 위하여
   재해 복구 시험 및 훈련 계획을 수립 ․이행하고 있는가? Ÿ
② 시험결과, 정보시스템 환경변화, 법률 등에 따른 변화를 반영할 수
    있도록 복구전략 및 대책을 정기적으로 검토․보완하고 있는가?		 BCP 수립·이행,
복구전략 및 대책 정기적 검토·보완 

 

728x90
반응형
LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(2/3)  (0) 2021.01.15
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(1/3)  (0) 2021.01.13
ISMS-P 인증기준 - 2. 보호대책 요구사항 (2/3)  (0) 2021.01.07
ISMS-P 인증기준 - 2. 보호대책 요구사항 (1/3)  (0) 2021.01.06
ISMS-P 인증기준 - 1. 관리체계 수립 및 운영  (0) 2021.01.06

+ Recent posts

티스토리툴바