IT Security

3. 개인정보 처리단계 별 요구사항 (수보제파정) 3.1 개인정보 수집 시 보호조치 (제동주민간영홍) 3.1.1 개인정보 수집 제한 ① 최소한의 정보만 수집 ② 최소한의 정보 이외의 선택항목 ③ 동의 거부권 3.1.2 개인정보의 수집 동의 ① 명확히 고지 후 동의 개인정보의 수집·이용이 가능한 경우 개인정보처리자 (동법공계급정) 정보주체의 동의를 받은 경우 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 공공기관이 법령 등에서 정하는 소관 업무의 수행을 위하여 불가피한 경우 정보주체와의 계약 체결 및 이행을 위하여 불가피한 경우 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태에 있거나 사전동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체,..

2. 보호대책 요구사항 (정인외물 / 인접암도 / 시시사재) 2.1 정책,조직,자산 관리 (정조자) 2.1.1 정책의 유지관리 ① 최상위 정책 및 시행 문서 타당성 검토 ② 중대한 환경 변화 시 영향성 검토 및 필요 시 제·개정 ③ 정책 제·개정 시 이해관계자 검토 ④ 제·개정 이력 관리 2.1.2 조직의 유지관리 ① 책임자 및 담당자 역할 및 책임 정의 정보보호 최고책임자 수감평훈법 정보보호 관리체계의 수립·시행 및 개선 정보보호 실태와 관행의 정기적인 감사 및 개선 정보보호 위험의 식별 평가 및 정보보호 대책 마련 정보보호 교육과 모의 훈련 계획의 수립 및 시행 그 밖에 정보통신망법 또는 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 개인정보 보호책임자 수조불통교감처자파 개인정보 보호 계획의..

1. 관리체계 수립 및 운영 (기위운점) 1.1 관리체계 기반마련 (경최조범정자) 1.1.1 경영진의 참여 ① 경영진 책임 및 역할 문서화 ② 의사결정 절차 수립·이행 1.1.2 최고책임자 지정 ① CPO,CISO 공식 지정 ② 임원급 지정(예산, 인력 등 자원을 할당할 수 있는 자격) 및 법령 자격요건 충족 법령 자격요건 CPO 지정요건 (공공기관) 국법헌중고 정3 교3 군4 34 학행 국회,법원,헌법재판소,중앙선거관리위원회 고위공무원 정무직공무원을 장으로 하는 국가기관 3급 이상 공무원 시·도 및 시·도 교육청 3급 이상 공무원 시·군 및 자치구 4급 공무원 고위공무원, 3급 공무원 이상의 공무원을 장으로 하는 국가기관 4급 이상 공무원 제2조제5호에 따른 각급 학교: 해당 학교의 행정사무를 총괄하는..

3.5 정보주체 권리보호 3.5.1 개인정보처리방침 공개 개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 개인정보처리방침을 수립하고, 이를 정보주체(이용자)가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다. 개인정보처리방침 현행화 및 공개 법령요구사항 모두 포함 개인정보처리방침 변경 시 사유·변경내용 공지 및 변경사항 공개 결함사례 개인정보 처리방침에 공개되어 있는 개인정보 수집, 제3자 제공 내역이 실제 수집 및 제공하는 내역과 다른 경우 개인정보 보호책임자의 변경, 수탁자 변경 등 개인정보 처리방침 공개 내용 중에 변경사항이 발생하였음에도 이를 반영하여 변경하지 않은 경우 개인정보 처리방침이 공개는 되어 있으나, 명칭이 ʻ개인정보 처리방침ʼ이 아니라 ʻ..

3.4 개인정보 파기 시 보호조치 3.4.1 개인정보의 파기 개인정보의 보유기간 및 파기 관련 내부 정책을 수립하고 개인정보의 보유기간 경과, 처리목적 달성 등 파기 시점이 도달한 때에는 파기의 안전성 및 완전성이 보장될 수 있는 방법으로 지체 없이 파기하여야 한다. 개인정보 보유기간 및 파기와 관련된 내부 정책 수립 처리목적 달성 또는 보유기간 경과 시 지체없이 파기 복구·재생되지 않도록 안전한 방법으로 파기 파기 기록 보관·관리 결함사례 회원 탈퇴 등 목적이 달성되거나 보유기간이 경과된 경우 회원 데이터베이스에서는 해당 개인정보를 파기하였으나, CRM·DW 등 연계된 개인정보처리시스템에 복제되어 저장되어 있는 개인정보를 파기하지 않은 경우 특정 기간 동안 이벤트를 하면서 수집된 개인정보에 대하여 이벤..

3.3 개인정보 제공 시 보호조치 3.3.1 개인정보 제3자 제공 개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체(이용자)의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립·이행하여야 한다. 명확하게 고지하고 별도 동의 동의하지 않는다는 이유로 해당 서비스의 제공을 거부하지 않아야 함 최소한의 개인정보 항목으로 제한 제3자에게 제공하는 경우 안전한 절차와 방법을 통한 제공 및 제공내역 기록 보관 제3자에게 접근 허용하는 경우 안전하게 보호하기 위한 보호절차에 따른 통제 결함사례 개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는 사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 ..

3.2 개인정보 보유 및 이용 시 보호조치 3.2.1 개인정보 현황 관리 수집·보유하는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관계기관의 장에게 등록하여야 한다. 수집·보유 개인정보 현황 정기적 관리 공공기관 개인정보파일 등록 (60일이내 등록) 공공기관 개인정보 파일 보유현황 개인정보처리방침 공개 결함사례 개인정보파일을 홈페이지의 개인정보파일 등록 메뉴를 통하여 목록을 관리하고 있으나, 그 중 일부 홈페이지 서비스와 관련된 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우 신규 개인정보파일을 구축한 지 2개월이 경과하였으나, 해당 개인정보파일을 개인정보보호 위원회에 등록하지 않은 경우 개인정보보호위원..

3. 개인정보 처리단계 별 요구사항 개인정보 처리단계 별 요구사항 영역은 5개 분야 22개 인증기준으로 구성 ʻ개인정보 처리 단계별 요구사항ʼ 영역은 개인정보 생명주기에 따른 개인정보 수집 시 보호조치, 개인정보 보유 및 이용 시 보호조치, 개인정보 제공 시 보호조치, 개인정보 파기 시 보호조치와 정보주체 권리보호를 포함하여 5개 분야 22개의 인증기준으로 구성되어 있다. 이 영역은 대부분 법적 요구사항과 직접적으로 관련되어 있으므로 개인정보 흐름분석을 바탕으로 조직이 적용받는 법규 및 세부 조항을 명확히 파악하여 이를 준수하여야 한다. 3.1 개인정보 수집 시 보호조치 3.1.1 개인정보 수집 제한 개인정보는 서비스 제공을 위하여 필요한 최소한의 정보를 적법하고 정당하게 수집하여야 하며, 필수정보 이외..

2.12 재해 복구 2.12.1 재해·재난 대비 안전조치 자연재해, 통신·전력 장애, 해킹 등 조직의 핵심 서비스 및 시스템의 운영 연속성을 위협할 수 있는 재해 유형을 식별하고, 유형별 예상 피해규모 및 영향을 분석하여야 한다. 또한 복구 목표시간, 복구 목표시점을 정의하고 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구체계를 구축하여야 한다. IT 재해유형 및 핵심 IT시스템·서비스 식별 복구목표시간·복구목표시점 정의 재해복구 계획 수립·이행 (BCP) 결함사례 IT 재해 복구 절차서 내에 IT 재해 복구 조직 및 역할 정의, 비상연락체계, 복구 절차 및 방법 등 중요한 내용이 누락되어 있는 경우 비상사태 발생 시 정보시스템의 연속성 확보 및 피해 최소화를 위하여 백업..

2.11 사고 예방 및 대응 2.11.1 사고 예방 및 대응체계 구축 침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내·외부 침해시도의 탐지·대응·분석 및 공유를 위한 체계와 절차를 수립하고, 관련 외부기관 및 전문가들과 협조체계를 구축하여야 한다. 침해사고·개인정보 유출 등 대응체계 절차 수립·이행 외부기관 대응체계 구축·운영 시 계약서에 대응절차 반영 외부 협조체계 수립 결함사례 침해사고에 대비한 침해사고 대응 조직 및 대응 절차를 명확히 정의하고 있지 않은 경우 내부 지침 및 절차에 침해사고 단계별(사고 전, 인지, 처리, 복구, 보고 등) 대응 절차를 수립하여 명시하고 있으나, 침해사고 발생 시 사고 유형 및 심각도에 따른 신고·통지 절차, 대응 및 ..