728x90
반응형
SMALL
| 키워드 | 인증기준 | 차이점 |
| 이상행위 | 2.9.5 로그및 접속기록 점검 | 로그및 접속기록 점검에서의 이상접속,이상행위에 대한 모니터링및 점검은 정보시스템 등 내부시스템에서 정상적인 사용자의 정상적인 로그기록을 점검해서 이상행위(과다조회 및 특정범위조회등)를 찾는다는 의미이고 |
| 2.11.3 이상행위 분석및 모니터링 | 이상행위 분석및 모니터링에서의 이상행위란 외부의 비정상적인 해킹시도나 침해시도를 말하는 것이다. |
|
| 모바일 기기 및 단말기 |
2.6.6 원격접근통제 (IP VPN 외부) |
외부근무자를 위해서 근무자의 개인 핸드폰에 업무용 모바일앱을 설치 하는 경우 적절한 보호대책을 하고 있는지츨 체크하는 것이 2.6.6 원격접근통제이고 사례: 외부근무자를 위해 개인 스마트기기에 업무용 모바일앱을 설치하여 운영하고 있으나 악성코드,분실,도난 등에 의한 개인정보 유출을 방지 하기 위한 적절하 보호대책을 적용하고 있지 않은 경우 사례 : 장애대응을 위해 장애 대응 전담인원의 핸드폰에 업무용 앱을 설치하여 내부 시스템 제어를 할수 있게 하였으나 백신 등 보안조치 를 별도로 적용하지 않은 경우 |
| 2.10.6 업무용 단말기의 보안 | 사무실에서 회사가 제공하는 업무용 PC나 모바일 즉 업무용 단말기들에 대한 보호 및 보안대책을 체크하는 것이 업무용 단말기 보안이다. 사례: 개인정보 업무처리에 이용되는 모바일 기기에 대하여 비밀번호 설정 등 분실에 대한 보호대책이 적용되어 있지 않은 경우 |
|
| 책상서랍 | 2.2.3 보안서약 | 제출된 보안서약서들을 사무실 책상서랍에 방치하는 거나 외주인력에게 징구한 보안서약서를 담당자의 책상서랍에 방치하는건 2.2.3 보안서약 결함이고 |
| 2.4.7 업무환경보안 | 가입신청서 등 개인정보가 포함된 서류를 사무실 책상 서랍에 방치하는 건 2.4.7 업무환경 보안 결합이다. |
|
| 2.10.7 보조저장매체 관리 | 개인정보가 포함된 보조저장매체를 사무실 책상서랍에 방치하는 건 2.10.7 보조저장매체 관리의 결함이다. |
|
| 단순 조회자 | 2.5.3 사용자 인증 | 단순 조회업무라고 해도 외부에서 개인정보처리시스템 접속시 안전한 인증수단(OTP) 을 적용해야 한다. "개인정보의 기술적 관리적 보호조치 기준"에 따르면 개인정보취급자가 외부에서 개인정보처리시스템에 접속시 안전한 인증수단을 적용해야한다.(제4조4항) 여기서 개인정보취급자란 신청기관의 직원뿐만아니라 협력사 및 알바생도 포함된다. 또한 "개인정보취급자"란 이용자의 개인정보를 수집,보관,처리, 이용,제공,관리,파기 등의 업무를 하는 자를 말한다. 그러므로 조회 업무만 하더라도 협력사 직원이 인터넷에서 개인정보처리시스템에 접속시 안전한 인증수단(OTP)을 적용해야 한다. |
| 2.6.7 인터넷 접속 통제 | 망분리의 경우는 단순조회자의 PC는 망분리 대상이 아니다. | |
| 2.6.3 응용프로그램 접근 | 관리자 전용 응용프로그램은 비인가자가 접근할수 없도록 접근을 통제해 야 하나, 관리자전용 프로그램이 아닌 경우 단순조회권한을 가진 사용자가 로그인시 추가인증 수단(OTP)을 적용해야 하는 것은 아니다. |
|
| 동의 받을 때 알려야하는 사항 |
개인정보 유출시 정보주체에게 알려야할 사항 | 개인정보보호법 - 1.유출된 개인정보의 항목 2.유출된 시점과 그 경위 3.피해를 최소화하기 위해 정보주체가 할수 있는 방법 4. 개인정보처리자의 대응조치 및 피해 구제절차 5.담당부서 및 연락처 정보통신망법 - 1. 유출된 개인정보 항목 2. 유출등이 발생한 시점 3. 이용자가 취할 수 있는 조치 4. 정보통신제공자의 대응조치 5. 부서및 연락처 |
| 개인정보 수집,이용 동의시 | 개인정보보호법(목항기거) 정보통신망법(목항기) 1.수집.이용 목적 1.수집.이용 목적 2.항목 2.항목 3.보유및 이용기간 3.보유및 이용기간 4.동의를 거부할 권리 |
|
| 간접수집 출처 고지 요청 | 2. 통지해야 할 사항 (출목정) - 개인정보의 수집 출처 - 개인정보의 처리 목적 - 개인정보 처리의 정지를 요구할 권리 |
|
| 공고성정보 수신동의 내용 통지 | 1. 전송자의 명칭 2. 수신자의 수신동의 사실과 수신 동의한 날짜 3. 수신동의에 대한 유지 또는 철회의 의사를 표하는 방법 (예) OO쇼핑몰 수신동의 내역을 알려드립니다. ……………………………. 가. 광고정보 수신 동의여부및 동의일자 광고성 문자 : 미동의 광고성 Email : 동의 (2020-05-17) 광고성 전화 : 미동의 APP Push : 동의 (2020-05-17) 나. 동의 철회방법 ....................................... |
|
| 공공기관 목적외 이용,제공시 제공대장에 기록 항목 | 명명 목항기 근형 [개인정보보호법 시행령] 제15조 (개인정보의 목적외 이용 또는 제3자 제공의 관리) <목적외 이용 및 제3자 제공 대장 기록 항목> 1. 이용하거나 제공하는 개인정보 또는 개인정보파일의 명칭 2. 이용기관 또는 제공받는 기관의 명칭 3. 이용 목적 또는 제공받는 목적 4. 이용 또는 제공의 법적 근거 5. 이용하거나 제공하는 개인정보의 항목 6. 이용 또는 제공 날짜,주기 또는 기간 7. 이용하거나 제공하는 형태 |
|
| 3자 제공 동의 | 개인정보보호법(목항기거자) 정보통신망법(목항기자) 1.제공받는자 1.제공받는자 2.제공받는자의 이용목적 2.제공받는자의 이용목적 3.제공하는 개인정보 항목 3.제공하는 개인정보 항목 4.제공받는자의 보유및 이용기간 4.제공받는자의 보유및 이용기간 5.동의를 거부할 권리 |
|
| 업무 위탁 | 정통망법 에서만 위탁시 동의 필요 (1) 처리위탁을 받은 자 (2) 처리위탁하는 업무의 내용 |
|
| 영업 양도 시 | 1.개인정보를 이전하려는 사실 2.이전받는자의 성명,주소,전화번호 및 연락처 (이전하는 자의 정보는 고지 안해도 됨) 3.이전을 원하지 않는 경우 조치방법 및 절차 |
|
| 국외 이전 시 | 개인정보법 - 목항기거자 정보통신망법 - 목항기자 국일방 - 이전되는 개인정보 항목 - 이전되는 국가. 이전일시, 이전방법 (국일방) - 이전받는 자의 성명 - 이전받는 개인정보의 목적및 보유.이용기간 |
|
| 법률에 의해 장기간 보관 | 3.4.1 개인정보의 파기 | 콜센터에서 수집되는 민원처리 관련 개인정보(상담이력, 녹취 등)를 전자상거래법을 근거로 3년간 보존하고 있으나, 3년이 경과한 후에도 파기하지 않고 보관하고 있는 경우 -> 파기하지 않고 있다는게 결함 |
| 3.4.2 처리목적 달성 후 보유 시 조치 | 전자상거래법에 따른 소비자 불만 및 분쟁처리에 관한 기록을 법적 의무보존 기간인 3년을 초과하여 5년간 보존하고 있는 경우. -> 파기는 했으나 3년만 보관하고 파기해야 하나 5년 이나 보관한 후 파기했다는 것이 결함 |
|
| 과도한 권한부여 | 2.2.1 주요 직무자 지정 및 관리 (누포괄) |
사례: 부서단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된경우 |
| 2.5.1 사용자 계정 관리 (발최본 공퇴어) |
사례: 정보시스템 또는 개인정보처리시스템 사용자에게 필요 이상의 과도한 권한을 부여하여 업무상 불필요한 정보 또는 개인정보 접근이 가능한 경우 |
|
| 조직구성 | 1.1.1 경영진의 참여 (권장절증) |
사례 : 경영진의 정보보호및 개인정보보호 업무에 참여를 명시한 정책 또는 문서화된 증적이 없다. |
| 1.1.3 조직구성 | 사례 : 정보보호 최고책임자(CISO), 개인정보 보호책임자(CPO), 개인정보보호 실무조직, 위원회 등 정보보호 및 개인정보호보 조직의 구성.운영 관련 사항이 정책서에 명시되지 않았다. |
|
| 2.1.2 조직의 유지관리 (역평의명) |
사례: 정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우 | |
| 내부관리계획 | 2.1.1 정책수립 (의전공열내) |
50만명 이상의 정보주체에 대한 개인정보를 보유하고 있는 중견기업에서 개인정보 관련 내규 및 내부관리계획을 수립하였으나 관련법규에서 요구하는 내부관리계획요건이 포함되어 있지 않다 -> 내부관리계획은 작성했으나 항목구성이 불충분하다는 뜻. |
| 2.1.1 정책의 유지관리 일신명변 |
사례 5 : 개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나 이러한 변경이 개인정보보호 정책 및 시행문서에 미치는 영향을 검토 하지 않았거나 변경사항을 반영하여 개정하지 않은 경우 -> 내부관리계획 항목은 맞게 작성했으나 일부 항목이 변경된 법령을 반영 하지 못하고 있는 경우를 뜻한다. |
|
| 외부에서 접근 | 2.5.3 사용자 인증 (외실실B) |
사례 1 : 개인정보취급자가 공개된 외부 인터넷망을 통해서 개인정보처리시스템에 접근 시 안전한 인증수단(OTP)을 적용하지 않고 아이디․비밀번호 방식으로만 인증하고 있는 경우 |
| 2.6.6 원격접근 통제 (IP VPN 외부) |
사례 3 : 외부 근무자를 위해 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영 하고 있으나 악성코드 , 분실․도난 등에 의한 개인정보 유출을 방지하기 위한 적절한 보호대책(백신, 초기화, 암호화 등)을 적용 하고 있지 않은 경우 |
|
| 취약점 | 2.8.2 보안 요구사항 검토 및 시험 | 사례 3 : 구현 또는 시험 과정에서 알려진 기술적 취약성이 존재하는지 여부를 점검하지 않거나, 타당한 사유 또는 승인 없이 확인된 취약성에 대한 개선조치를 이행하지 않은 경우 |
| 2.11.2 취약점 점검 및 조치 | 사례 2 : 취약점 점검에서 발견된 취약점에 대한 보완조치를 이행하지 않았거나,단기간 내에 조치 할 수 없는 취약점에 대한 타당성 검토 및 승인 이력이 없는 경우 | |
| 직무분리 | 2.2.2 직무 분리 | 기타 : Devops 도입으로 인하여 개발과 운영직무를 별도 분리하고 있지 않는 정책을 운영하고 있지만 별도 보안통제가 이루어지지 않는 경우 |
| 2.8.3 시험과 운영 환경 분리 | 사례 2 : 불가피하게 개발시스템과 운영시스템을 분리하지 않고 운영 중에 있으나, 이에 대한 상호검토 내역, 모니터링 내역 등이 누락되어 있는 경우 | |
| 법개정 반영 | 1.4.1 법적요구사항준수 검토 | 사례 1 : 정보통신망법 및 개인정보 보호법이 최근 개정되었으나, 개정사항이 조직에 미치는 영향을 검토하지 않았으며 정책서 및 시행문서에도 해당 내용을 반영하지 않아 정책서 및 시행문서의 내용이 법령의 내용과 일치 하지 않은 경우 |
| 2.1.1 정책의 유지관리 일신명변 |
사례 5 : 개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나 이러한 변경이 개인정보보호 정책 및 시행문서에 미치는 영향을 검토 하지 않았거나 변경사항을 반영하여 개정하지 않은 경우 |
|
| 재위탁 | 2.3.3 외부자 보안 이행 관리 | 사례 3 : 정보통신서비스 제공자인 신청기관으로부터 개인정보 처리업무를 위탁받은 수탁자 중 일부가 신청기관의 동의 없이 해당 업무를 재위탁한 경우 |
| 3.3.2 업무위탁에 따른 정보주체고지 | 사례 3 : 정보통신서비스 제공자로부터 개인정보 처리업무를 위탁받은 수탁자가 위탁자의 승인없이 개인정보 처리업무를 재위탁 한 경우 |
728x90
반응형
LIST
'ISMS-P' 카테고리의 다른 글
| ISMS-P 결함사례 (2/7) (0) | 2021.01.25 |
|---|---|
| ISMS-P 결함사례(1/7) (0) | 2021.01.22 |
| ISMS-P 유사 인증기준 항목 비교 (1/2) (0) | 2021.01.19 |
| ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(3/3) (0) | 2021.01.17 |
| ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(2/3) (0) | 2021.01.15 |