정보보호 및 개인정보보호 관리체계 인증 고시 변경

조문별 제ㆍ개정이유서
(정보보호 및 개인정보보호 관리체계 인증등에 관한 고시)

 

1. 개정이유

해당 개정안은 ｢개인정보 보호법｣ 개정(법률 제19234호, 2023.3.14.공포, 2023. 9.15.시행) 및 같은 법 시행령 개정안(2023.5.19. 입법예고)의 변경된 내용을반영하고, 개인정보 보호법 상의 원칙을 중심으로 인증 체계를 정비하기위해 ｢정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시｣ 별표7의인증기준을 개정하고자 함

 

2. 주요내용

가. 인증기준 현행화 및 체계 정비

- 개인정보 보호법 및 동법 시행령 개정사항*을 반영하여 인증기준 정비

* 개인정보 수집·이용, 이동형 영상정보 처리기기, 가명정보 처리, 개인정보 처리위탁, 휴면이용자개인정보 파기규정 삭제 등의 법 개정사항을 인증기준에 반영

 

- 개인정보 보호법 상 원칙을 중심으로 인증기준 체계 정비

* 구체적이고 세부적인 점검 사항을 기술한 인증항목(개인정보 표시제한 및 이용 시 보호조치(3.2.3)를 삭제하고, 응용프로그램 접근(2.6.3), 업무환경 보안(2.4.7), 가명정보 처리(3.2.5) 항목하위의 세부 점검항목으로 분산 이관

 

나. 정보보호관리체계 인증 기준

구분	분야		항목		내용
관리체계 수립 및 운영	1.1.	관리체계 기반 마련	1.1.1	경영진의 참여
			1.1.2	최고책임자의 지정
			1.1.3	조직 구성
			1.1.4	범위 설정
			1.1.5	정책 수립
			1.1.6	자원 할당
	1.2.	위험 관리	1.2.1	정보자산 식별
			1.2.2	현황 및 흐름분석
			1.2.3	위험 평가
			1.2.4	보호대책 선정
	1.3.	관리체계 운영	1.3.1	보호대책 구현
			1.3.2	보호대책 공유
			1.3.3	운영현황 관리
	1.4.	관리체계 점검 및 개선	1.4.1	법적 요구사항 준수 검토
			1.4.2	관리체계 점검
			1.4.3	관리체계 개선
보호대책 요구사항	2.1.	정책, 조직, 자산 관리	2.1.1	정책의 유지관리
			2.1.2	조직의 유지관리
			2.1.3	정보자산 관리
	2.2.	인적 보안	2.2.1	주요 직무자 지정 및 관리
			2.2.2	직무 분리
			2.2.3	보안 서약
			2.2.4	인식제고 및 교육훈련
			2.2.5	퇴직 및 직무변경 관리
			2.2.6	보안 위반 시 조치
	2.3.	외부자 보안	2.3.1	외부자 현황 관리
			2.3.2	외부자 계약 시 보안
			2.3.3	외부자 보안 이행 관리	수정
			2.3.4	외부자 계약 변경 및 만료 시 보안
	2.4.	물리 보안	2.4.1	보호구역 지정
			2.4.2	출입통제
			2.4.3	정보시스템 보호
			2.4.4	보호설비 운영
			2.4.5	보호구역 내 작업
			2.4.6	반출입 기기 통제
			2.4.7	업무환경 보안	추가
	2.5.	인증 및 권한관리	2.5.1	사용자 계정 관리
			2.5.2	사용자 식별
			2.5.3	사용자 인증
			2.5.4	비밀번호 관리	수정 및 추가
			2.5.5	특수 계정 및 권한 관리
			2.5.6	접근권한 검토
	2.6.	접근통제	2.6.1	네트워크 접근
			2.6.2	정보시스템 접근
			2.6.3	응용프로그램 접근	수정 및 추가
			2.6.4	데이터베이스 접근
			2.6.5	무선 네트워크 접근
			2.6.6	원격접근 통제
			2.6.7	인터넷 접속 통제	수정
	2.7.	암호화 적용	2.7.1	암호정책 적용
			2.7.2	암호키 관리
	2.8.	정보시스템 도입 및 개발 보안	2.8.1	보안 요구사항 정의
			2.8.2	보안 요구사항 검토 및 시험
			2.8.3	시험과 운영 환경 분리
			2.8.4	시험 데이터 보안
			2.8.5	소스 프로그램 관리
			2.8.6	운영환경 이관
	2.9.	시스템 및 서비스 운영관리	2.9.1	변경관리
			2.9.2	성능 및 장애관리
			2.9.3	백업 및 복구관리
			2.9.4	로그 및 접속기록 관리	수정
			2.9.5	로그 및 접속기록 점검
			2.9.6	시간 동기화
			2.9.7	정보자산의 재사용 및 폐기
	2.10.	시스템 및 서비스 보안관리	2.10.1	보안시스템 운영
			2.10.2	클라우드 보안
			2.10.3	공개서버 보안
			2.10.4	전자거래 및 핀테크 보안
			2.10.5	정보전송 보안
			2.10.6	업무용 단말기기 보안
			2.10.7	보조저장매체 관리
			2.10.8	패치관리
			2.10.9	악성코드 통제
	2.11.	사고 예방 및 대응	2.11.1	사고 예방 및 대응체계 구축
			2.11.2	취약점 점검 및 조치
			2.11.3	이상행위 분석 및 모니터링
			2.11.4	사고 대응 훈련 및 개선
			2.11.5	사고 대응 및 복구
	2.12.	재해복구	2.12.1	재해∙재난 대비 안전조치
			2.12.2	재해 복구 시험 및 개선
개인정보 처리 단계별 보호조치	3.1.	개인정보 수집 시 보호조치	3.1.1	개인정보 수집∙이용	조항 3.1.2 -> 3.1.1로 변경, 수정 및 추가
			3.1.2	개인정보 수집 제한	조항 3.1.1 -> 3.1.2로 변경, 수정
			3.1.3	주민등록번호 처리 제한	수정
			3.1.4	민감정보 및 고유식별정보의 처리 제한	추가
			3.1.5	개인정보 간접수집
			3.1.6	영상정보처리기기 설치∙운영	수정 및 추가
			3.1.7	마케팅 목적의 개인정보 수집∙이용
	3.2.	개인정보 보유 및 이용시 보호조치	3.2.1	개인정보 현황관리
			3.2.2	개인정보 품질보장
			3.2.3	개인정보 표시제한 및 이용 시 보호조치	삭제
			3.2.3	이용자 단말기 접근 보호	조항 3.2.4 -> 3.2.3으로 변경
			3.2.4	개인정보 목적 외 이용 및 제공	조항 3.2.5 -> 3.2.4로 변경, 수정 및 추가
			3.2.5	가명정보 처리	신규
	3.3.	개인정보 제공 시 보호조치	3.3.1	개인정보 제3자 제공	수정 및 추가
			3.3.2	개인정보 처리 업무 위탁	조항명 변경, 수정
			3.3.4	개인정보 국외이전	조항명 변경, 수정
	3.3.	개인정보 파기 시 보호조치	3.4.1	개인정보 파기	조항명 변경
			3.4.2	처리목적 달성 후 보유 시 조치
			3.4.3	휴면 이용자 관리	삭제
	3.4.	정보주체 권리보호	3.5.1	개인정보 처리방침 공개	수정
			3.5.2	정보주체 권리보장	수정
			3.5.3	정보주체에 대한 통지	조항명 변경, 수정

 

표시 설명

ㅇ 신규: 새로운 조항 생성

ㅇ 삭제: 조항 삭제

ㅇ 수정: 이전조항의 문구 및 내용이 변경

ㅇ 추가: 이전조항에서 새로운 주요확인사항 추가

 

 

 

 

관련근거

https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS061&mCode=C010010000&nttId=9077#LINK