신용정보업감독규정 개인정보의 안전성 확보조치
1. 접근통제 ① 신용정보회사등은 개인신용정보를 처리할 수 있도록 체계적으로 구성한 전산시스템(이하 "개인신용정보처리시스템"이라 한다)에 대한 접근권한을 서비스제공을 위하여 필요한 최소한의 인원에게만 부여한다. 개인정보의 안전성 확보조치 제5조(접근 권한의 관리) 1항
② 신용정보회사등은 전보 또는 퇴직 등 인사이동이 발생하여 신용정보회사등의 지휘ㆍ감독을 받아 개인신용정보를 처리하는 업무를 담당하는 자(이하 "개인신용정보취급자"라 한다)가 변경되었을 경우 지체 없이 개인신용정보처리시스템의 접근권한을 변경 또는 말소한다. 개인정보의 안전성 확보조치 제5조(접근 권한의 관리) 2항
③ 신용정보회사등은 제1항 및 제2항에 따른 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관한다. 개인정보의 안전성 확보조치 제5조(접근 권한의 관리) 3항
④ 신용정보회사등은 개인신용정보처리시스템에 침입차단시스템과 침입탐지시스템을 설치하여 보호한다. 개인정보의 안전성 확보조치 제6조(접근통제) 1항
⑤ 신용정보회사등은 개인신용정보주체 및 개인신용정보취급자가 생일, 주민등록번호, 전화번호 등 추측하기 쉬운 숫자를 비밀번호로 이용하지 않도록  비밀번호 작성규칙을 수립하고 이행한다. 개인정보의 안전성 확보조치 제5조(접근 권한의 관리) 5항
⑥ 신용정보회사등은 취급 중인 개인신용정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람 권한이 없는 자에게 공개되지 않도록 개인신용정보처리시스템 및 개인신용정보취급자의 PC를 설정한다. 개인정보의 안전성 확보조치 제6조(접근통제) 3항
⑦ 신용정보회사등은 제휴, 위탁 또는 외부주문에 의한 개인신용정보처리시스템, 신용평가모형 또는 위험관리모형 개발업무에 사용되는 업무장소 및 전산설비는 내부 업무용과 분리하여 설치ㆍ운영한다. 신규
⑧ 신용정보회사등은 업무목적을 위하여 불가피한 경우에만 외부사용자에게 개인신용정보처리시스템에 대한 최소한의 접근권한을 부여하고, 권한 부여에 관한 기록을 3년 이상 보관하는 등 적절한 통제시스템을 갖추어야 한다. 개인정보의 안전성 확보조치 제5조(접근 권한의 관리) 1항, 3항
2. 접속기록의 위ㆍ변조 방지 ① 신용정보회사등은 개인신용정보취급자가 개인신용정보처리시스템에 접속하여 개인신용정보를 처리한 경우에는 처리일시, 처리내역 등 접속기록을 저장하고 이를 월 1회 이상 정기적으로 확인ㆍ감독한다. 개인정보의 안전성 확보조치 제8조(접속기록의 보관 및 점검) 2항
② 신용정보회사등은 개인신용정보처리시스템의 접속기록을 1년 이상 저장하고, 위ㆍ변조되지 않도록 별도 저장장치에 백업 보관한다. 개인정보의 안전성 확보조치 제8조(접속기록의 보관 및 점검) 1항, 3항
3. 개인신용정보의 암호화 ① 신용정보회사등은 비밀번호, 생체인식정보 등 본인임을 인증하는 정보는 암호화하여 저장하며, 이는 조회할 수 없도록 하여야 한다. 다만, 조회가 불가피하다고 인정되는 경우에는 그 조회사유ㆍ내용 등을 기록ㆍ관리하여야 한다. 개인정보의 안전성 확보조치 제7조(개인정보의 암호화) 1항
② 신용정보회사등은 정보통신망을 통해 개인신용정보 및 인증정보를 송ㆍ수신할 때에는 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호의 어느 하나의 기능을 갖추어야 한다.
   1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 개인신용정보를 암호화하여 송ㆍ수신하는 기능
   2. 웹서버에 암호화 응용프로그램을 설치하여 개인신용정보를 암호화하여 송ㆍ수신하는 기능		 개인정보의 안전성 확보조치 제7조(개인정보의 암호화) 4항
③ 신용정보회사등은 개인신용정보를 PC에 저장할 때에는 이를 암호화해야 한다. 개인정보의 안전성 확보조치 제7조(개인정보의 암호화) 5항
④ 신용정보회사등은 다음 각 호의 기준에 따라 개인식별정보의 암호화 등의 조치를 취하여야 한다.
   1. 정보통신망을 통하여 송수신하거나 보조저장매체를 통하여 전달하는 경우에는 암호화하여야 한다.
   2. 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone) 에 저장할 때에는 암호화하여야 한다.
   3. 신용정보회사등이 내부망에 개인식별정보를 저장하는 경우에는 암호화하여야 한다. 다만, 영 제2조제2항 각 호의 정보 중 주민등록번호 외의 정보를 저장하는 경우에는 다음 각 목의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
     가. 「개인정보 보호법」 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과
     나. 그 밖의 신용정보회사등의 경우에는 개인신용정보처리시스템에 적용되고 있는 개인신용정보 보호를 위한 수단과 개인신용정보 유출시 신용정보주체의 권익을 해할 가능성 및 그 위험의 정도를 분석한 결과
   4. 업무용 컴퓨터 또는 모바일 기기에 저장하여 관리하는 경우에는 상용 암호화 소프트웨어 또는 안전한 알고리즘을 사용하여 암호화하여야 한다.		 개인정보의 안전성 확보조치 제7조(개인정보의 암호화) 3항, 4항, 5항
⑤ 신용정보집중기관과 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사(기업정보조회업무만 하는 기업신용조회회사는 제외한다)가 서로 개인식별번호를 제공하는 경우에는 상용 암호화 소프트웨어 또는 안전한 알고리즘을 사용하여 암호화하여야 한다. 개인정보의 안전성 확보조치 제7조(개인정보의 암호화) 2항
⑥ 신용정보회사등이 개인신용정보의 처리를 위탁하는 경우 개인식별번호를 암호화하여 수탁자에게 제공하여야 한다. 개인정보의 안전성 확보조치 제7조(개인정보의 암호화) 2항
4. 컴퓨터바이러스 방지 ① 신용정보회사등은 개인신용정보처리시스템 및 개인신용정보취급자가 개인신용정보 처리에 이용하는 정보처리기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 백신소프트웨어를 설치한다. 개인정보의 안전성 확보조치 제9조(악성프로그램 등 방지) 1항
② 제1항에 따른 백신 소프트웨어는 월 1회 이상 주기적으로 갱신ㆍ점검하고, 바이러스 경보가 발령된 경우 및 백신 소프트웨어 제작 업체에서 업데이트 공지를 한 경우에는 즉시 최신 소프트웨어로 갱신ㆍ점검한다. 개인정보의 안전성 확보조치 제9조(악성프로그램 등 방지) 1항, 2항
5. 출력ㆍ복사시 보호조치 ① 신용정보회사등은 개인신용정보처리시스템에서 개인신용정보의 출력시(인쇄, 화면표시, 파일생성 등) 용도를 특정하여야 하며, 용도에 따라 출력 항목을 최소화 한다. 개인정보의 안전성 확보조치 제12조(출력ㆍ복사시 안전조치) 1항
② 신용정보회사등은 개인신용정보를 조회(활용)하는 경우 조회자의 신원, 조회일시, 대상정보, 목적, 용도 등의 기록을 관리하여야 하며, 개인신용정보취급자가 개인신용정보를 보조저장매체에 저장하거나 이메일 등의 방법으로 외부에 전송하는 경우에는 관리책임자의 사전 승인을 받아야 한다. 신규 - 개인신용정보를 조회 시 목적, 용도 등 기록
신규 - 외부 전송 시 관리책임자의 사전 승인
③ 개인신용정보취급자는 제1항 및 제2항의 준수에 필요한 내부시스템을 구축하여야 하며 사전 승인시 승인신청자에게 관련 법령을 준수하여야 한다는 사실을 주지시켜야 한다. 신규
저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

인증조항별 결함 사례 공부하기  (0) 2024.06.14
인증 조항별 키워드 (비교 자료)  (1) 2024.03.04
정보보호 업무 시기별 수행 항목  (0) 2024.03.04
담당자별 역할 정의  (0) 2024.03.04
ISMS 인증 조항 포인트 외우기  (1) 2023.11.30

ISMS 인증조항별 결함 사례를 어떻게 공부할까 하다가 아래처럼 해보았습니다.

결함 사례 옆 인증 항목을 드래그 하시면 인증조항이 보일 겁니다.

같이 공부해서 합격해요!!!

 

※ 결함 사례가 시험에 왜 도움이 되는지 아시는 분들도 계시겠지만, 설명 드립니다.

 

시험 문제에는 인터뷰 내용이 있고, 해당 인터뷰의 내용에서 결함을 찾습니다.

그 인터뷰의 결함내용이 인증 기준 안내서의 결함 사례입니다.

그래서 결함 사례를 많이 봐두면, 시험 볼때 결함 사례를 잘 찾을 수 있습니다.

 

[인터뷰 내용]

심사원: ABC 기관의 정보보호 담당자 인터뷰를 요청드립니다.
담당자: 제가 현재 정보보안 담당을 하고 있습니다.
심사원: 정보보안 관련 업무 경력이 얼마나 되십니까?
담당자: 전임 담당자는 정보보안 경력이 5년 되었으나 9개월 전 퇴사하여 총부 업무를 담당하던 제가 정보보안 업무를 같이 하고 있습니다.
심사원: 이전에 정보보안 이나 IT관련 경력이 있으십니까?
담당자: 전혀 없습니다. 처음입니다.
심사원: 인력 충원 계획은 있습니까?
담당자: 회사 경영상황이 악화 되어 채용 계획이 없는 상황입니다.

1) 1.1.1 경영진의 참여
2) 1.1.3 조직 구성
3) 1.1.6 자원 할당
4) 1.3.3 운영 현황 관리
5) 1.4.3 관리체계 개선

정답: 3 ← 드래그 해보세요

 

 

결함 사례 인증 항목
모든 서버로의 접근은 서버접근제어 시스템을 통하도록 접근통제 정책을 가져가고 있으나, 서버접근제어 시스템을 통하지 않고 서버에 접근할 수 있는 우회 경로가 존재하는 경우 2.6.2 정보시스템 접근
고유식별정보 등 개인정보를 저장하고 있는 백업서버의 기밀성 등급을 (하)로 산정하는 등 정보자산 중요도 평가의 합리성 및 신뢰성이 미흡한 경우 1.2.1 정보자산 식별
전년도에는 연간 정보보호 및 개인정보보호 교육 계획을 수립하여 이행하였으나, 당해 연도에 타당한 사유 없이 연간 정보보호 및 개인정보보호 교육 계획을 수립하지 않은 경우 2.2.4 인식제고 및 교육훈련
변경관리시스템을 구축하여 정보시스템 입고 또는 변경 시 성능 및 보안에 미치는 영향을 분석·협의하고 관련 이력을 관리하도록 하고 있으나, 해당 시스템을 통하지 않고도 시스템 변경이 가능하며, 관련 변경사항이 적절히 검토되지 않는 경우 2.9.1 변경관리
멤버십 가입신청서 등 개인정보가 포함된 서류를 잠금장치가 없는 사무실 문서함에 보관한 경우 2.4.7 업무환경 보안
데이터베이스 접근제어 솔루션을 도입하여 운영하고 있으나, 데이터베이스 접속자에 대한 IP주소 등이 적절히 제한되어 있지 않아 데이터베이스 접근제어 솔루션을 우회하여 데이터베이스에 접속하고 있는 경우 2.6.4 데이터베이스 접근
개인정보 처리업무 수탁자 중 일부가 위탁자의 동의 없이 해당 업무를 제3자에게 재위탁한 경우 2.3.3 외부자 보안 이행 관리
운영지침에 따라 전산실 내에 온·습도 조절기를 설치하였으나, 용량 부족으로 인하여 표준 온·습도를 유지하지 못하여 장애발생 가능성이 높은 경우 2.4.4 보호설비 운영
기존 개인정보 처리업무 수탁자와의 계약 해지에 따라 개인정보 처리업무 수탁자가 변경되었으나, 이에 대하여 개인정보 처리방침에 지체 없이 반영하지 않은 경우 3.3.2 개인정보 처리 업무 위탁
개인정보 처리방침이 몇 차례 개정되었으나, 예전에 작성된 개인정보 처리방침의 내용을 확인할 수 있도록 공개되어 있지 않은 경우 3.5.1 개인정보 처리방침 공개
인프라 운영과 개인정보 처리업무 일부를 외부업체에 위탁하고 있으나, 계약서 등에는 위탁업무의 특성에 따른 보안 요구사항을 식별·반영하지 않고 비밀유지 및 손해배상에 관한 일반 사항만 규정하고 있는 경우 2.3.2 외부자 계약 시 보안
응용프로그램 테스트 시나리오 및 기술적 취약점 점검항목에 입력값 유효성 체크 등의 중요 점검항목 일부가 누락된 경우 2.8.2 보안 요구사항 검토 및 시험
주요 직무자 및 개인정보취급자 목록을 관리하고 있으나, 퇴사한 임직원이 포함되어 있고 최근 신규 입사한 인력이 포함되어 있지 않는 등 현행화 관리가 되어 있지 않은 경우 2.2.1 주요 직무자 지정 및 관리
신규 입사자에 대해서는 입사 절차상에 보안서약서를 받도록 규정하고 있으나, 최근에 입사한 일부 직원의 보안서약서 작성이 누락된 경우 2.2.3 보안 서약
테스트 데이터 생성, 외부 공개 등을 위하여 개인정보를 익명처리하였으나, 특이치 등으로 인하여 특정 개인에 대한 식별가능성이 존재하는 등 익명처리가 적정하게 수행되었다고 보기 어려운 경우 3.2.5 가명정보 처리
개인정보처리자가 영업 양수를 통하여 개인정보를 이전받으면서 양도자가 개인정보 이전 사실을 알리지 않았음에도 개인정보 이전 사실을 정보주체에게 알리지 않은 경우 3.3.3 영업의 양도 등에 따른 개인정보 이전
개인정보 국외 이전에 대한 동의를 받으면서 이전받는 자의 명칭(업체명)만 고지하고 이전되는 국가 등에 대하여 알리지 않은 경우 3.3.4 개인정보 국외이전
개인정보취급자에 대하여 보안서약서만 받고 있으나, 보안서약서 내에 비밀유지에 대한 내용만 있고 개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우 2.2.3 보안 서약
영상정보처리기기의 설치·운영 사무를 외부업체에 위탁하고 있으나, 영상정보처리기기 안내판에 수탁자의 명칭과 연락처를 누락하여 고지한 경우 3.1.6 영상정보처리기기 설치ㆍ운영
전년도에는 위험평가를 수행하였으나, 금년도에는 자산 변경이 없었다는 사유로 위험 평가를 수행하지 않은 경우 1.2.3 위험 평가
분리 데이터베이스를 구성하였으나 접근권한을 별도로 설정하지 않아 업무상 접근이 불필요한 인원도 분리 데이터베이스에 자유롭게 접근이 가능한 경우 3.4.2 처리목적 달성 후 보유 시 조치
백신 중앙관리시스템에 접근통제 등 보호대책이 미비하여 중앙관리시스템을 통한 침해사고발생 가능성이 있는 경우 또는 백신 패턴에 대한 무결성 검증을 하지 않아 악의적인 사용자에 의한 악성코드 전파 가능성이 있는 경우 2.10.9 악성코드 통제
위험관리 계획에 따라 위험 식별 및 평가를 수행하고 수용 가능한 목표 위험수준을 설정하였으나, 관련 사항을 경영진(정보보호 최고책임자 등)에 보고하여 승인받지 않은 경우 1.2.3 위험 평가
현실적 대책 없이 복구 목표시간을 과도 또는 과소하게 설정하고 있거나, 복구 목표시점과 백업정책(대상, 주기 등)이 적절히 연계되지 않아 복구 효과성을 보장할 수 없는 경우 2.12.1 재해ㆍ재난 대비 안전조치
법에 따라 의무적으로 이행하여야 할 사항, 보안 취약성이 높은 위험 등을 별도의 보호조치 계획 없이 위험수용으로 결정하여 조치하지 않은 경우 1.2.4 보호대책 선정
정보보호 및 개인정보보호 관련 심의·의결을 위해 정보보호위원회를 구성하여 운영하고 있으나, 운영 및 IT보안 관련 조직만 참여하고 개인정보보호 관련 조직은 참여하지 않고 있어 개인정보보호에 관한 사항을 결정할 수 없는 경우 1.1.3 조직 구성
백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구 절차가 수립되어 있지 않은 경우 2.9.3 백업 및 복구 관리
접근권한 검토와 관련된 방법, 점검주기, 보고체계, 오·남용 기준 등이 관련 지침에 구체적으로 정의되어 있지 않아 접근권한 검토가 정기적으로 수행되지 않은 경우 2.5.6 접근권한 검토
회원가입 시 외국인에 한하여 외국인등록번호를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우 3.1.4 민감정보 및 고유식별정보의 처리 제한
스마트폰 앱에서 서비스에 불필요함에도 불구하고 주소록, 사진, 문자 등 스마트폰 내 개인정보 영역에 접근할 수 있는 권한을 과도하게 설정한 경우 3.2.3 이용자 단말기 접근 보호
탈퇴회원 정보를 파기하지 않고 전자상거래법에 따라 계약 또는 청약철회, 대금결제 및 재화 공급에 관한 기록을 분리하여 보존하였으나, 전자상거래법에 따른 보존의무가 없는 선택정보까지 과도하게 보존한 경우 3.4.2 처리목적 달성 후 보유 시 조치
전산실 내에 UPS, 소화설비 등의 보호설비는 갖추고 있으나, 관련 설비에 대한 운영 및 점검 기준을 수립하고 있지 않은 경우 2.4.4 보호설비 운영
정보보호 최고책임자 및 개인정보 보호책임자가 지정되어 있으나, 관련 법령에서 요구하는 역할 및 책임이 내부 지침이나 직무기술서 등에 구체적으로 명시되어 있지 않은 경우 2.1.2 조직의 유지관리
응용프로그램의 개인정보 처리화면 중 일부 화면의 권한 제어 기능에 오류가 존재하여 개인정보 열람 권한이 없는 사용자에게도 개인정보가 노출되고 있는 경우 2.6.3 응용프로그램 접근
개인정보를 처리하는 과정에서 국외 사업자에게 개인정보 제3자 제공이 발생하였으나, 인증, 대상국 인정 등 동의 예외 요건에 해당되지 않음에도 불구하고 개인정보 국외 이전에 대한 별도 동의를 받지 않은 경우 3.3.4 개인정보 국외이전
영상정보처리기기의 설치·운영 사무를 외부업체에 위탁하고 있으나, 영상정보의 관리 현황 점검에 관한 사항, 손해배상 책임에 관한 사항 등 법령에서 요구하는 내용을 영상정보처리기기 업무 위탁 계약서에 명시하지 않은 경우 3.1.6 영상정보처리기기 설치ㆍ운영
개인정보의 열람 민원에 대한 처리 내역 기록 및 보관이 이루어지지 않은 경우 3.5.2 정보주체 권리보장
클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한 사항이 포함되어 있지 않은 경우 2.10.2 클라우드 보안
전년도 말 기준 직전 3개월 간 일일 평균 저장·관리하고 있는 개인정보가 100만명 이상으로서 개인정보 이용제공 내역 통지 의무 대상자에 해당 됨에도 불구하고 금년도에 개인정보 이용·내역을 통지하지 않은 경우 3.5.3 정보주체에 대한 통지
정보보호 및 개인정보보호 관리체계 운영현황 중 주기적 또는 상시적인 활동이 요구되는 활동 현황을 문서화하지 않은 경우 1.3.3 운영현황 관리
회원 가입 시에는 온라인을 통하여 쉽게 회원 가입이 가능하였으나, 회원 탈퇴 시에는 신분증 등 추가 서류를 제출하게 하거나 오프라인 방문을 통해서만 가능하도록 하는 경우 3.5.2 정보주체 권리보장
ISMS 인증 의무대상자이면서 전년도 말 기준 자산총액이 5천억 원을 초과한 정보통신서비스 제공자이지만 정보보호 최고책임자가 CIO를 겸직하고 있는 경우 1.1.2 최고책임자의 지정
내부 지침에 따라 전산장비 반출입이 있는 경우 작업계획서에 반출입 내용을 기재하고 관리 책임자의 서명을 받도록 되어 있으나, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우 2.4.6 반출입기기 통제
내부 지침 및 절차에 침해사고 단계별(사고 전, 인지, 처리, 복구, 보고 등) 대응 절차를 수립하여 명시하고 있으나, 침해사고 발생 시 사고 유형 및 심각도에 따른 신고·통지 절차, 대응 및 복구 절차의 일부 또는 전부를 수립하고 있지 않은 경우 2.11.1 사고 예방 및 대응체계 구축
일부 시스템에 서비스 지원이 종료(EOS)된 OS버전을 사용 중이나, 이에 따른 대응계획이나 보완대책이 수립되어 있지 않은 경우 2.10.8 패치관리
개인정보의 열람 요구에 대하여 정당한 사유의 통지 없이 열람 요구를 접수받은 날로부터 10일을 초과하여 회신하고 있는 경우 3.5.2 정보주체 권리보장
내부 규정과는 달리 MAC주소 인증, 필수 보안 소프트웨어 설치 등의 보호대책을 적용하지 않은 상태로 네트워크 케이블 연결만으로 사내 네트워크에 접근 및 이용할 수 있는 경우 2.6.1 네트워크 접근
보안시스템의 관리자 지정 및 권한 부여 현황에 대한 관리감독이 적절히 이행되고 있지 않은 경우 2.10.1 보안시스템 운영
인터넷 홈페이지를 통하여 회원정보를 변경할 때는 본인확인 절차를 거치고 있으나, 고객센터 상담원과의 통화를 통한 회원 정보 변경 시에는 본인확인 절차가 미흡하여 회원정보의 불법적인 변경이 가능한 경우 3.2.2 개인정보 품질보장
회원가입 양식에서 필수와 선택 정보를 구분하여 별도 동의를 받도록 되어 있었으나, 선택정보에 대하여 동의하지 않아도 회원가입이 가능함을 정보주체가 인지할 수 있도록 구체적으로 알리지 않은 경우(개인정보 입력 양식에 개인정보 항목별로 필수, 선택 여부가 표시되어 있지 않은 경우 등) 3.1.2 개인정보 수집 제한
연간 정보보호 및 개인정보보호 교육 계획에 전 직원을 대상으로 하는 개인정보보호 인식 교육은 일정시간 계획되어 있으나, 개인정보 보호책임자 및 개인정보담당자 등 직무별로 필요한 개인정보보호 관련 교육 계획이 포함되어 있지 않은 경우 2.2.4 인식제고 및 교육훈련
외부 해킹에 의해 개인정보 유출사고가 발생하였으나, 유출된 개인정보 건수가 소량이라는 이유로 72시간 이내에 통지 및 신고가 이루어지지 않은 경우 2.11.5 사고 대응 및 복구
법적 의무 대상자에 해당되어 개인정보 수집 출처를 정보주체에게 통지하였으나, 수집 출처 통지에 관한 기록을 해당 개인정보의 파기 시까지 보관하지 않은 경우 3.1.5 개인정보 간접수집
내부 규정에서는 업무용 단말기의 공유폴더 사용을 금지하고 있으나, 이에 대한 주기적인 점검이 이루어지고 있지 않아 다수의 업무용 단말기에서 과도하게 공유폴더를 설정하여 사용하고 있는 경우 2.10.6 업무용 단말기기 보안
개인정보 처리업무를 위탁하는 외부업체와의 위탁계약서상에 개인정보 보호법 등 법령에서 요구하는 일부 항목(관리·감독에 관한 사항 등)이 포함되어 있지 않은 경우 2.3.2 외부자 계약 시 보안
내부적으로 정의한 임계치를 초과하는 이상 트래픽이 지속적으로 발견되고 있으나, 이에 대한 대응조치가 이루어지고 있지 않은 경우 2.11.3 이상행위 분석 및 모니터링
정보시스템(서버, 네트워크, 침입차단시스템, DBMS 등)의 계정 현황을 확인한 결과, 제조사에서 제공하는 기본 관리자 계정을 기술적으로 변경 가능함에도 불구하고 변경하지 않고 사용하고 있는 경우 2.5.2 사용자 식별
타당한 사유 또는 보완 대책 없이 안전하지 않은 접속 프로토콜(telnet, ftp 등)을 사용하여 접근하고 있으며, 불필요한 서비스 및 포트를 오픈하고 있는 경우 2.6.2 정보시스템 접근
위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우 1.2.4 보호대책 선정
개인정보를 가명처리하여 활용하고 있으나 적정한 수준의 가명처리가 수행되지 않아 추가 정보의 사용 없이도 다른 정보와의 결합 등을 통하여 특정 개인을 알아볼 수 있는 가능성이 존재하는 경우 3.2.5 가명정보 처리
신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토하도록 내부 규정을 마련하고 있으나, 최근 도입한 일부 정보시스템에 대하여 인수 시 보안요건에 대해 세부 기준 및 계획이 수립되지 않았으며, 이에 따라 인수 시 보안성검토가 수행되지 않은 경우 2.8.1 보안 요구사항 정의
개인정보처리자의 내부 관리계획에는 1,000명 이상의 정보주체에 대한 개인정보를 다운로드한 경우에는 사유를 확인하도록 기준이 책정되어 있는 상태에서 1,000건 이상의 개인정보 다운로드가 발생하였으나 그 사유를 확인하지 않고 있는 경우 2.9.5 로그 및 접속기록 점검
개인정보처리자가 관련 법규 및 내부 규정에 따라 인터넷 쇼핑몰에 대하여 보안서버를 적용하였으나, 회원정보 조회 및 변경, 비밀번호 찾기, 비밀번호 변경 등 이용자의 개인정보가 전송되는 일부 구간에 암호화 조치가 누락된 경우 2.7.1 암호정책 적용
고객 만족도 조사, 경품 행사에 응모하기 위하여 수집한 개인정보를 자사의 할인판매행사 안내용 광고 발송에 이용한 경우 3.2.4 개인정보 목적 외 이용 및 제공
사무실에서 서버관리자가 IDC에 위치한 윈도우 서버에 접근 시 터미널 서비스를 이용하여 접근하고 있으나, 터미널 서비스에 대한 세션 타임아웃 설정이 되어 있지 않아 장시간 아무런 작업을 하지 않아도 해당 세션이 차단되지 않는 경우 2.6.2 정보시스템 접근
중계과정에서의 암호 해제 구간 또는 취약한 암호화 알고리즘(DES, 3DES) 사용 등에 대한 보안성 검토, 보안표준 및 조치방안 수립 등에 대한 협의가 이행되고 있지 않은 경우 2.10.5 정보전송 보안
정보보호 및 개인정보보호 교육 계획서 및 결과 보고서를 확인한 결과, 인증범위 내의 정보자산 및 설비에 접근하는 외주용역업체 직원(전산실 출입 청소원, 경비원, 외주개발자 등)을 교육 대상에서 누락한 경우 2.2.4 인식제고 및 교육훈련
내부 지침에는 클라우드 내 사설 네트워크의 접근통제 룰(Rule) 변경 시 보안책임자 승인을 받도록 하고 있으나, 승인절차를 거치지 않고 등록·변경된 접근제어 룰이 다수 발견된 경우 2.10.2 클라우드 보안
내부 지침 및 직무기술서에 정보보호 최고책임자, 개인정보 보호책임자 및 관련 담당자의 역할과 책임을 정의하고 있으나, 실제 운영현황과 일치하지 않는 경우 2.1.2 조직의 유지관리
내부 지침에 따라 문서에 보안등급을 표기하도록 되어 있으나, 이를 표시하지 않은 경우 2.1.3 정보자산 관리
보안 이벤트 로그, 응용프로그램 및 서비스 로그(윈도우 2008 서버 이상) 등 중요 로그에 대한 최대 크기를 충분하게 설정하지 않아 내부 기준에 정한 기간 동안 기록·보관되고 있지 않은 경우 2.9.4 로그 및 접속기록 관리
모바일앱을 통해 위치정보사업자로부터 이용자의 개인위치정보를 전송받아 서비스에 이용하고 있으나, 위치기반서비스사업 신고를 하지 않은 경우 1.4.1 법적 요구사항 준수 검토
개인정보취급자가 휴가, 출장, 공가 등에 따른 업무 백업을 사유로 공식적인 절차를 거치지 않고 개인정보취급자로 지정되지 않은 인원에게 개인정보취급자 계정을 알려주는 경우 2.5.1 사용자 계정 관리
공공기관이 영향평가를 수행한 후 영향평가기관으로부터 영향평가서를 받은 지 2개월이 지났음에도 불구하고 영향평가서를 개인정보 보호위원회에 제출하지 않은 경우 2.8.2 보안 요구사항 검토 및 시험
개인정보 처리업무에 이용되는 모바일 기기에 대하여 비밀번호 설정 등 도난·분실에 대한 보호대책이 적용되어 있지 않은 경우 2.10.6 업무용 단말기기 보안
상위 지침 또는 내부 지침에는 주기적으로 백업매체에 대한 복구 테스트를 수행하도록 정하고 있으나 복구테스트를 장기간 실시하지 않은 경우 2.9.3 백업 및 복구 관리
내부 지침 또는 시스템 등에 접근 및 사용에 대한 주기적인 점검·모니터링 기준을 마련하고 있으나 실제 이상접속 및 이상행위에 대한 검토 내역이 확인되지 않은 경우 2.9.5 로그 및 접속기록 점검
내부 규정에는 시스템에 대한 원격 접근은 원칙적으로 금지하고 불가피한 경우 IP 기반의 접근통제를 통하여 승인된 사용자만 접근할 수 있도록 명시하고 있으나, 시스템에 대한 원격 데스크톱 연결, SSH 접속이 IP주소 등으로 제한되어 있지 않아 모든 PC에서 원격 접속이 가능한 경우 2.6.6 원격접근 통제
이행계획 시행에 대한 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하였으나, 일부 미이행된 건에 대한 사유 보고 및 후속 조치가 이루어지지 않은 경우 1.3.1 보호대책 구현
개인정보 흐름도를 작성하였으나, 실제 개인정보의 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락되어 있는 경우 1.2.2 현황 및 흐름분석
개인정보 보호위원회에 등록되어 공개된 개인정보파일의 내용(수집하는 개인정보의 항목 등)이 실제 처리하고 있는 개인정보파일 현황과 상이한 경우 3.2.1 개인정보 현황관리
ʻ홍보 및 마케팅ʼ 목적으로 개인정보를 수집하면서 ʻ부가서비스 제공ʼ, ʻ제휴 서비스 제공ʼ 등과 같이 목적을 모호하게 안내하는 경우 또는 다른 목적으로 수집하는 개인정보와 구분하지 않고 포괄 동의를 받는 경우 3.1.7 마케팅 목적의 개인정보 수집ㆍ이용
정보시스템 및 개인정보처리시스템 로그인 실패 시 해당 ID가 존재하지 않거나 비밀번호가 틀림을 자세히 표시해 주고 있으며, 로그인 실패횟수에 대한 제한이 없는 경우 2.5.3 사용자 인증
관리체계상 문제점에 대한 재발방지 대책을 수립하고 핵심성과지표를 마련하여 주기적으로 측정하고 있으나, 그 결과에 대하여 경영진 보고가 장기간 이루어지지 않은 경우 1.4.3 관리체계 개선
정보시스템 구현 이후 개발 관련 내부 지침 및 문서에 정의된 보안 요구사항을 시험하지 않고 있는 경우 2.8.2 보안 요구사항 검토 및 시험
영업 양수도 등에 의하여 개인정보를 이전받으면서 정보주체가 이전을 원하지 않은 경우 조치할 수 있는 방법과 절차를 마련하지 않거나, 이를 정보주체에게 알리지 않은 경우 3.3.3 영업의 양도 등에 따른 개인정보 이전
모의훈련을 계획하여 실시하였으나, 관련 내부 지침에 정한 절차 및 서식에 따라 수행하지 않은 경우 2.11.4 사고 대응 훈련 및 개선
중요 Linux/UNIX 계열 서버에 대한 로그 기록을 별도로 백업하거나 적절히 보호하지 않아 사용자의 명령 실행 기록 및 접속 이력 등을 임의로 삭제할 수 있는 경우 2.9.4 로그 및 접속기록 관리
외부인용 무선 네트워크와 내부 무선 네트워크 영역대가 동일하여 외부인도 무선네트워크를 통하여 별도의 통제 없이 내부 네트워크에 접근이 가능한 경우 2.6.5 무선 네트워크 접근
정보통신망법에 따른 정보보호 최고책임자 지정 및 신고 의무 대상자임에도 불구하고 정보보호 최고책임자를 지정 및 신고하지 않은 경우 1.1.2 최고책임자의 지정
임직원 퇴직 시 자산반납 관리는 잘 이행하고 있으나, 인사규정에서 정한 퇴직자 보안점검 및 퇴직확인서를 작성하지 않은 경우 2.2.5 퇴직 및 직무변경 관리
일부 정보시스템에서 계약 만료된 외부자의 계정 및 권한이 삭제되지 않고 존재하는 경우 2.3.4 외부자 계약 변경 및 만료 시 보안
정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 개발자 PC, 테스트용 단말기, 개발조직 등이 관리체계 범위에서 누락된 경우 1.1.4 범위 설정
개발자 및 운영자들이 응응 프로그램에서 사용하고 있는 계정을 공유하여 운영 데이터베이스에 접속하고 있는 경우 2.6.4 데이터베이스 접근
정보보호 및 개인정보보호 위원회를 개최하였으나, 연간 정보보호 및 개인정보보호 계획 및 교육 계획, 예산 및 인력 등 정보보호 및 개인정보보호에 관한 주요 사항이 검토 및 의사결정이 되지 않은 경우 1.1.3 조직 구성
민감정보 또는 고유식별정보의 수집에 대해 별도의 동의를 받으면서 고지하여야 할 4가지 사항 중에 일부를 누락하거나 잘못된 내용으로 고지하는 경우(동의 거부 권리 및 동의 거부에 따른 불이익 사항을 고지하지 않은 경우 등) 3.1.4 민감정보 및 고유식별정보의 처리 제한
응용프로그램을 통하여 개인정보를 다운로드받는 경우 해당 파일 내에 주민등록번호 등 업무상 불필요한 정보가 과도하게 포함되어 있는 경우 2.6.3 응용프로그램 접근
내부 규정에는 데이터베이스의 접속권한을 오브젝트별로 제한하도록 되어 있으나, 데이터베이스 접근권한을 운영자에게 일괄 부여하고 있어 개인정보 테이블에 접근할 필요가 없는 운영자에게도 과도하게 접근 권한이 부여된 경우 2.6.4 데이터베이스 접근
주요 직무자 명단(개인정보취급자 명단, 비밀정보관리자 명단 등)을 작성하고 있으나, 대량의 개인정보 등 중요정보를 취급하는 일부 임직원(DBA, DLP 관리자 등)을 명단에 누락한 경우 2.2.1 주요 직무자 지정 및 관리
관리체계 범위 내 주요 서비스의 업무 절차·흐름 및 현황에 문서화가 이루어지지 않은 경우 1.2.2 현황 및 흐름분석
가명정보와 동일한 데이터베이스 내에 추가 정보를 분리하지 않고 보관하고 있거나, 또는 가명 정보와 추가 정보에 대한 접근권한이 적절히 분리되지 않은 경우 3.2.5 가명정보 처리
개인정보를 제3자에게 제공하는 과정에서 제3자 제공 동의 여부를 적절히 확인하지 못하여 동의하지않은 정보주체의 개인정보가 함께 제공된 경우 3.3.1 개인정보 제3자 제공
장애인에 대한 요금감면 등 혜택 부여를 위하여 장애 여부 등 건강에 관한 민감정보를 수집하면서 다른 개인정보 항목에 포함하여 일괄 동의를 받은 경우 3.1.4 민감정보 및 고유식별정보의 처리 제한
직원들의 컴퓨터 화면보호기 및 패스워드가 설정되어 있지 않고, 휴가자 책상 위에 중요문서가 장기간 방치되어 있는 경우 2.4.7 업무환경 보안
외부 접속용 VPN에서 사용자별로 원격접근이 가능한 네트워크 구간 및 정보시스템을 제한하지 않아 원격접근 인증을 받은 사용자가 전체 내부망 및 정보시스템에 과도하게 접근이 가능한 경우 2.6.6 원격접근 통제
대외 기관과 연계 시 전용망 또는 VPN을 적용하고 중계서버와 인증서 적용 등을 통하여 안전하게 정보를 전송하고 있으나, 외부 기관별 연계 시기, 방식, 담당자 및 책임자, 연계 정보, 법적 근거 등에 대한 현황관리가 적절히 이루어지지 않고 있는 경우 2.10.5 정보전송 보안
일부 내부망 PC 및 서버에서 다수의 악성코드 감염이력이 확인되었으나, 감염 현황, 감염 경로 및 원인 분석, 그에 따른 조치내역 등이 확인되지 않은 경우 2.10.9 악성코드 통제
직무 변동에 따라 개인정보취급자에서 제외된 인력의 계정과 권한이 개인정보처리시스템에 그대로 남아 있는 경우 2.2.5 퇴직 및 직무변경 관리
개인정보처리시스템의 기술적·관리적 보호조치의 요건을 갖추기 위한 최소한의 보안 솔루션 도입, 안전조치 적용 등을 위한 비용을 최고경영자가 지원하지 않고 있는 경우 1.1.6 자원 할당
개인정보보호 정책이 개정되었으나 정책 시행 기준일이 명시되어 있지 않으며, 관련 정책의 작성일, 작성자 및 승인자 등이 누락되어 있는 경우 2.1.1 정책의 유지관리
암호 정책 내에 암호키 관리와 관련된 절차, 방법 등이 명시되어 있지 않아 담당자별로 암호키 관리 수준 및 방법 상이 등 암호키 관리에 취약사항이 존재하는 경우 2.7.2 암호키 관리
계약의 체결 및 이행을 근거로 정보주체 동의 없이 개인정보를 수집하면서 계약의 체결 및 이행을 위해 반드시 필요하지 않은 개인정보 항목까지 과도하게 수집하는 경우 3.1.2 개인정보 수집 제한
개인정보 표시제한 조치 기준이 마련되어 있지 않거나 이를 준수하지 않는 등의 사유로 동일한 개인정보 항목에 대하여 개인정보처리시스템 화면별로 서로 다른 마스킹 기준이 적용된 경우 2.6.3 응용프로그램 접근
제공받는 자의 이용 목적과 관련 없이 지나치게 많은 개인정보를 제공하는 경우 3.3.1 개인정보 제3자 제공
법정대리인의 진위 여부를 확인하는 절차가 미흡하여 미성년자 등 아동의 법정대리인으로 보기 어려운데도 법정대리인 동의가 가능한 경우 3.1.1 개인정보 수집ㆍ이용
연간 정보보호 및 개인정보보호 교육 계획에 교육 주기와 대상은 명시하고 있으나, 시행 일정, 내용 및 방법 등의 내용이 포함되어 있지 않은 경우 2.2.4 인식제고 및 교육훈련
조직도상에 정보보호 최고책임자 및 개인정보 보호책임자를 명시하고 있으나, 인사발령 등의 공식적인 지정절차를 거치지 않은 경우 1.1.2 최고책임자의 지정
중요 정보보호 활동(위험평가, 위험수용수준 결정, 정보보호대책 및 이행계획 검토, 정보보호대책 이행결과 검토, 보안감사 등)을 수행하면서 관련 활동관련 보고, 승인 등 의사결정에 경영진 또는 경영진의 권한을 위임받은 자가 참여하지 않았거나 관련 증거자료가 확인되지 않은 경우 1.1.1 경영진의 참여
개인정보처리자가 정보주체 10만 명의 개인정보를 처리하는 개인정보처리시스템의 개인정보취급자 접속기록을 1년간만 보관하고 있는 경우 2.9.4 로그 및 접속기록 관리
Q&A, 게시판을 통하여 비회원의 개인정보(이름, 이메일, 휴대폰번호)를 수집하면서 개인정보 수집 동의 절차를 거치지 않은 경우 3.1.1 개인정보 수집ㆍ이용
온프레미스 자산에 대해서는 식별이 이루어졌으나, 외부에 위탁한 IT 서비스(웹호스팅, 서버호스팅, 클라우드 등)에 대한 자산 식별이 누락된 경우(단, 인증범위 내) 1.2.1 정보자산 식별
클라우드 서비스의 보안설정 오류로 내부 로그 파일이 인터넷을 통하여 공개되어 있는 경우 2.10.2 클라우드 보안
재해 복구 훈련 계획을 수립하였으나, 타당한 사유 또는 승인 없이 계획대로 실시하지 않았거나 관련 결과보고가 확인되지 않은 경우 2.12.2 재해 복구 시험 및 개선
조직의 특성상 경영진의 승인을 받은 후 개발과 운영 직무를 병행하고 있으나, 직무자 간 상호 검토, 상위관리자의 주기적인 직무수행 모니터링 및 변경 사항 검토·승인, 직무자의 책임추적성 확보 등의 보완통제 절차가 마련되어 있지 않은 경우 2.2.2 직무 분리
만 14세 미만 아동으로부터 법정대리인 동의를 받는 목적으로 법정대리인의 개인정보(이름, 휴대폰번호)를 수집한 이후 법정대리인의 동의가 장기간 확인되지 않았음에도 이를 파기하지 않고 계속 보유하고 있는 경우 3.1.1 개인정보 수집ㆍ이용
상용 소프트웨어 및 OS에 대해서는 최신 패치가 적용되고 있으나, 오픈소스 프로그램(openssl, openssh, Apache 등)에 대해서는 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정되어 있지 않아 최신 보안패치가 적용되고 있지 않은 경우 2.10.8 패치관리
비상사태 발생 시 정보시스템의 연속성 확보 및 피해 최소화를 위하여 백업센터를 구축하여 운영하고 있으나, 관련 정책에 백업센터를 활용한 재해 복구 절차 등이 수립되어 있지 않아 재해 복구 시험 및 복구가 효과적으로 진행되기 어려운 경우 2.12.1 재해ㆍ재난 대비 안전조치
외부 보안관제 전문업체 등 외부 기관에 침해시도 모니터링 업무를 위탁하고 있으나, 위탁업체가 제공한 관련 보고서를 검토한 이력이 확인되지 않거나, 위탁 대상에서 제외된 시스템에 대한 자체 모니터링 체계를 갖추고 있지 않은 경우 2.11.3 이상행위 분석 및 모니터링
내부망에 위치한 데이터베이스 서버 등 일부 중요 서버의 IP주소가 내부 규정과 달리 공인 IP로 설정되어 있고, 네트워크 접근 차단이 적용되어 있지 않은 경우 2.6.1 네트워크 접근
외부업체를 통하여 저장매체를 폐기하고 있으나, 계약 내용상 안전한 폐기 절차 및 보호대책에 대한 내용이 누락되어 있고 폐기 이행 증거자료 확인 및 실사 등의 관리·감독이 이루어지지 않은 경우 2.9.7 정보자산의 재사용 및 폐기
전산실 출입로그에는 외부 유지보수 업체 직원의 출입기록이 남아 있으나, 이에 대한 보호구역 작업 신청 및 승인 내역이 존재하지 않은 경우(내부 규정에 따른 보호구역 작업 신청 없이 보호구역 출입 및 작업이 이루어지고 있는 경우) 2.4.5 보호구역 내 작업
개인정보취급자 퇴직 시 개인정보처리시스템의 접근 권한은 지체 없이 회수되었지만, 출입통제 시스템 및 VPN 등 일부 시스템의 접근 권한이 회수되지 않은 경우 2.2.5 퇴직 및 직무변경 관리
광고성 정보 수신동의 여부에 대하여 2년마다 확인하지 않은 경우 3.1.7 마케팅 목적의 개인정보 수집ㆍ이용
회수한 폐기 대상 하드디스크가 완전삭제 되지 않은 상태로 잠금장치가 되지 않은 장소에 방치되고 있는 경우 2.9.7 정보자산의 재사용 및 폐기
내부 규정에는 개인정보 관리자 및 특수권한 보유자를 목록으로 작성·관리하도록 되어 있으나 이를 작성·관리하고 있지 않거나, 보안시스템 관리자 등 일부 특수권한이 식별·관리되지 않는 경우 2.5.5 특수계정 및 권한 관리
타당한 사유 또는 승인 없이 별도의 개발환경을 구성하지 않고 운영환경에서 직접 소스코드 변경을 수행하고 있는 경우 2.8.3 시험과 운영 환경 분리
침해사고 대응절차를 수립하였으나, 개인정보 침해 신고 기준, 시점 등이 법적 요구사항을 준수하지 못하는 경우 2.11.1 사고 예방 및 대응체계 구축
통제구역을 정의하여 보호대책을 수립하고 출입 가능한 임직원을 관리하고 있으나, 출입기록을 주기적으로 검토하지 않아 퇴직, 전배 등에 따른 장기 미출입자가 다수 존재하고 있는 경우 2.4.2 출입통제
침해사고 신고·통지 및 대응 협조를 위한 대외기관 연락처에 기관명, 홈페이지, 연락처 등이 잘못 명시되어 있거나, 일부 기관 관련 정보가 누락 또는 현행화되지 않은 경우 2.11.1 사고 예방 및 대응체계 구축
침입차단시스템 보안정책에 대한 정기 검토가 수행되지 않아 불필요하거나 과도하게 허용된 정책이 다수 존재하는 경우 2.10.1 보안시스템 운영
수용 가능한 목표 위험수준(DoA)을 타당한 사유 없이 과도하게 높이는 것으로 결정함에 따라, 실질적으로 대응이 필요한 주요 위험들이 조치가 불필요한 위험(수용 가능한 위험)으로 지정된 경우 1.2.3 위험 평가
대량의 개인정보를 보관·처리하고 있는 데이터베이스를 인터넷을 통하여 접근 가능한 웹 응용프로그램과 분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우 2.6.4 데이터베이스 접근
개인정보 보호책임자의 변경, 수탁자 변경 등 개인정보 처리방침 공개 내용 중에 변경사항이 발생하였음에도 이를 반영하여 변경하지 않은 경우 3.5.1 개인정보 처리방침 공개
최근 DDoS 공격으로 의심되는 침해사고로 인하여 서비스 일부가 중단된 사례가 있으나, 이에 대한 원인분석 및 재발방지 대책이 수립되지 않은 경우 2.11.5 사고 대응 및 복구
재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하면서, 위탁하는 업무의 내용과 수탁자를 서면등의 방법으로 정보주체에게 알리지 않고 개인정보 처리방침에 공개하는 것으로 갈음한 경우 3.3.2 개인정보 처리 업무 위탁
로그 기록 대상, 방법, 보존기간, 검토 주기, 담당자 등에 대한 세부 기준 및 절차가 수립되어 있지 않은 경우 2.9.4 로그 및 접속기록 관리
공공기관이 범죄 수사의 목적으로 경찰서에 개인정보를 제공하면서 ʻ개인정보 목적 외 이용 및 제3자 제공 대장ʼ에 관련 사항을 기록하지 않은 경우 3.2.4 개인정보 목적 외 이용 및 제공
스마트폰 앱의 접근권한에 대한 동의를 받으면서 선택사항에 해당하는 권한을 필수권한으로 고지하여 동의를 받는 경우 3.2.3 이용자 단말기 접근 보호
백신 프로그램의 환경설정(실시간 검사, 예약검사, 업데이트 설정 등)을 이용자가 임의로 변경할 수 있음에도 그에 따른 추가 보호대책이 수립되어 있지 않은 경우 2.10.9 악성코드 통제
콜센터에 상품, 서비스 관련 문의 시 본인확인을 위하여 주민등록번호를 수집한 경우 3.1.3 주민등록번호 처리 제한
당해 연도 정보보호 및 개인정보보호 교육을 실시하였으나, 교육시행 및 평가에 관한 기록(교육 자료, 출석부, 평가 설문지, 결과보고서 등) 일부를 남기지 않고 있는 경우 2.2.4 인식제고 및 교육훈련
운영서버에 서비스 실행에 불필요한 파일(소스코드 또는 배포모듈, 백업본, 개발 관련 문서,  매뉴얼 등)이 존재하는 경우 2.8.6 운영환경 이관
정보보호 및 개인정보보호 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원, 사업부서 등의 핵심 조직(인력)을 인증범위에 포함하지 않은 경우 1.1.4 범위 설정
정보통신서비스 제공자의 스마트폰 앱에서 스마트폰 내에 저장되어 있는 정보 및 설치된 기능에 접근하면서 접근권한에 대한 고지 및 동의를 받지 않고 있는 경우 3.2.3 이용자 단말기 접근 보호
개발 서버에서 사용할 시험 데이터 생성에 대한 구체적 기준 및 절차가 수립되어 있지 않은 경우 2.8.4 시험 데이터 보안
내부 규정에는 개인정보취급자가 P2P 및 웹하드 사이트 접속 시 책임자 승인을 거쳐 특정 기간 동안만 허용하도록 되어 있으나, 승인절차를 거치지 않고 예외 접속이 허용된 사례가 다수 존재하는 경우 2.6.7 인터넷 접속 통제
내부 지침에 따라 중요 정보처리 부서 및 개인정보처리 부서의 장(팀장급)으로 구성된 정보보호 및 개인정보보호 실무 협의체를 구성하였으나, 장기간 운영 실적이 없는 경우 1.1.3 조직 구성
국내에 주소 또는 영업소가 없는 개인정보처리자로서 전년도 말 기준 직전 3개월 간 그 개인정보가 저장·관리되고 있는 국내 정보주체의 수가 일일평균 100만명 이상인 자에 해당되어 국내대리인 지정의무에 해당됨에도 불구하고, 국내대리인을 문서로 지정하지 않은 경우 1.4.1 법적 요구사항 준수 검토
정보시스템 또는 개인정보처리시스템 사용자에게 필요 이상의 과도한 권한을 부여하여 업무상 불필요한 정보 또는 개인정보에 접근이 가능한 경우 2.5.1 사용자 계정 관리
최근 DMZ 구간 이중화에 따른 변경 작업을 수행하였으나, 변경 후 발생할 수 있는 보안위험성 및 성능 평가에 대한 수행·승인 증거자료가 확인되지 않은 경우 2.9.1 변경관리
운영명세서에 작성된 운영 현황이 실제와 일치하지 않고, 운명명세서에 기록되어 있는 관련 문서, 결재 내용, 회의록 등이 존재하지 않는 경우 1.3.1 보호대책 구현
회사 내에 상주하여 IT 개발 및 운영 업무를 수행하는 외주업체에 대해서는 정기적으로 보안점검을 수행하고 있지 않은 경우 2.3.3 외부자 보안 이행 관리
내부 침해사고 대응지침에는 침해사고 발생 시 내부 정보보호위원회 및 이해관계 부서에게 보고하도록 정하고 있으나, 침해사고 발생 시 담당 부서에서 자체적으로 대응 조치 후 정보보호위원회 및 이해관계 부서에 보고하지 않은 경우 2.11.5 사고 대응 및 복구
네트워크 구성도와 인터뷰를 통하여 확인한 결과, 외부 지점에서 사용하는 정보시스템 및 개인정보 처리시스템과 IDC에 위치한 서버 간 연결 시 일반 인터넷 회선을 통하여 데이터 송수신을 처리하고 있어 내부 규정에 명시된 VPN이나 전용망 등을 이용한 통신이 이루어지고 있지 않은 경우 2.6.1 네트워크 접근
서버실 바닥 또는 랙에 많은 케이블이 정리되지 않고 뒤엉켜 있어 전기적으로 간섭, 손상, 누수, 부주의 등에 의한 장애 발생이 우려되는 경우 2.4.3 정보시스템 보호
인터넷 PC와 내부 업무용 PC를 물리적 망분리 방식으로 인터넷망 차단 조치를 적용하고 망간 자료전송시스템을 구축·운영하고 있으나, 자료 전송에 대한 승인 절차가 부재하고 자료 전송 내역에 대한 주기적 검토가 이루어지고 있지 않은 경우 2.6.7 인터넷 접속 통제
사용자 및 개인정보취급자에 대한 계정·권한에 대한 사용자 등록, 해지 및 승인절차 없이 구두 요청, 이메일 등으로 처리하여 이에 대한 승인 및 처리 이력이 확인되지 않는 경우 2.5.1 사용자 계정 관리
비밀번호 분실 시 본인확인 등의 목적으로 주민등록번호 뒤 6자리를 수집하지만, 관련된 법적 근거가 없는 경우 3.1.3 주민등록번호 처리 제한
서버팜이 구성되어 있으나, 네트워크 접근제어 설정 미흡으로 내부망에서 서버팜으로의 접근이 과도하게 허용되어 있는 경우 2.6.1 네트워크 접근
정보보호 및 개인정보보호 위원회를 구성하였으나, 임원 등 경영진이 포함되어 있지 않고 실무 부서의 장으로 구성되어 있어 조직의 중요 정보 및 개인정보 보호에 관한 사항을 결정할 수 없는 경우 1.1.3 조직 구성
일부 외부 협력업체 직원에게 과도하게 전 구역을 상시 출입할 수 있는 출입카드를 부여하고 있는 경우 2.4.2 출입통제
내부 물리보안 지침에는 개인정보 보관시설 및 시스템 구역을 통제구역으로 지정한다고 명시되어 있으나, 멤버십 가입신청 서류가 보관되어 있는 문서고 등 일부 대상 구역이 통제구역에서 누락된 경우 2.4.1 보호구역 지정
영리목적의 광고성 정보를 전자우편으로 전송하면서 제목이 시작되는 부분에 ʻ(광고)ʼ 표시를 하지 않은 경우 3.1.7 마케팅 목적의 개인정보 수집ㆍ이용
별도의 소스 프로그램 백업 및 형상관리시스템이 구축되어 있지 않으며, 이전 버전의 소스 코드를 운영 서버 또는 개발자 PC에 승인 및 이력관리 없이 보관하고 있는 경우 2.8.5 소스 프로그램 관리
이동컴퓨팅기기 반출입에 대한 통제 절차를 수립하고 있으나, 통제구역 내 이동컴퓨팅기기 반입에 대한 통제를 하고 있지 않아 출입이 허용된 내·외부인이 이동컴퓨팅기기를 제약 없이 사용하고 있는 경우 2.4.6 반출입기기 통제
회원 탈퇴 등 목적이 달성되거나 보유기간이 경과된 경우 회원 데이터베이스에서는 해당 개인정보를 파기하였으나, CRM·DW 등 연계된 개인정보처리시스템에 복제되어 저장되어 있는 개인정보를 파기하지 않은 경우 3.4.1 개인정보 파기
콜센터에서 수집되는 민원처리 관련 개인정보(상담이력, 녹취 등)를 전자상거래법을 근거로 3년간 보존하고 있으나, 3년이 경과한 후에도 파기하지 않고 보관하고 있는 경우 3.4.1 개인정보 파기
신규 개인정보파일을 구축한 지 2개월이 경과하였으나, 해당 개인정보파일을 개인정보 보호위원회에 등록하지 않은 경우 3.2.1 개인정보 현황관리
특정 기간 동안 이벤트를 하면서 수집된 개인정보에 대하여 이벤트가 종료된 이후에도 파기 기준이 수립되어 있지 않거나 파기가 이루어지고 있지 않은 경우 3.4.1 개인정보 파기
내부 지침에는 부서별 정보보호 담당자는 정보보호와 관련된 KPI를 설정하여 인사평가 시 반영하도록 되어 있으나, 부서별 정보보호 담당자의 KPI에 정보보호와 관련된 사항이 전혀 반영되어 있지 않은 경우 2.1.2 조직의 유지관리
모바일 앱에서 광고성 정보전송(앱 푸시)에 대하여 거부 의사를 밝혔으나, 프로그램 오류 등의 이유로 광고성 앱 푸시가 이루어지는 경우 3.1.7 마케팅 목적의 개인정보 수집ㆍ이용
타당한 사유 및 책임자 승인 없이 실 운영데이터를 가공하지 않고 시험 데이터로 사용하고 있는 경우 2.8.4 시험 데이터 보안
개인정보를 제공 동의를 받을 때, 제공받는 자를 특정하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하고 동의를 받은 경우 3.3.1 개인정보 제3자 제공
상위 지침 또는 내부 지침에 따라 별도로 백업하여 관리하도록 명시된 일부 시스템(보안시스템 정책 및 로그 등)에 대한 백업이 이행되고 있지 않은 경우 2.9.3 백업 및 복구 관리
개인정보처리자가 개인정보 제3자 제공 동의를 받을 때 정보주체에게 고지하는 사항 중에 일부 사항(동의 거부권, 제공하는 항목 등)을 누락한 경우 3.3.1 개인정보 제3자 제공
서버 간 접속이 적절히 제한되지 않아 특정 사용자가 본인에게 인가된 서버에 접속한 후 해당 서버를 경유하여 다른 인가받지 않은 서버에도 접속할 수 있는 경우 2.6.2 정보시스템 접근
재해 복구 훈련을 계획·시행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않은 경우 2.12.2 재해 복구 시험 및 개선
관리체계 범위 내 일부 개인정보처리시스템을 외부 클라우드 서비스로 이전하였으나, 이에 대한 식별 및 위험평가가 수행되지 않은 경우 2.3.1 외부자 현황 관리
개인정보 수탁자에 대하여 보안교육을 실시하라는 공문을 발송하고 있으나, 교육 수행 여부를 확인하고 있지 않은 경우 2.3.3 외부자 보안 이행 관리
정보통신망법 및 개인정보 보호법이 최근 개정되었으나 개정사항이 조직에 미치는 영향을 검토하지 않았으며, 정책서·시행문서 및 법적준거성 체크리스트 등에도 해당 내용을 반영하지 않아 정책서·시행문서 및 법적준거성 체크리스트 등의 내용이 법령 내용과 일치하지 않은 경우 1.4.1 법적 요구사항 준수 검토
정보보호 및 개인정보보호 대책에 대한 이행완료 결과를 정보보호 최고책임자 및 개인정보 보호책임자에게 보고하지 않은 경우 1.3.1 보호대책 구현
정보시스템 접속용 비밀번호, 인증키 값 등이 시스템 설정파일 및 소스코드 내에 평문으로 저장되어 있는 경우 2.7.1 암호정책 적용
내부 규정에 따르면 정보보호 및 개인정보보호 정책서 제·개정 시에는 정보보호 및 개인정보보호 위원회의 의결을 거치도록 하고 있으나, 최근 정책서 개정 시 위원회에 안건으로 상정하지 않고 정보보호 최고책임자 및 개인정보 보호책임자의 승인을 근거로만 개정한 경우 1.1.5 정책 수립
회의실 등 공용 사무 공간에 설치된 공용PC에 대한 보호대책이 수립되어 있지 않아 개인정보가 포함된 파일이 암호화되지 않은 채로 저장되어 있거나, 보안 업데이트 미적용, 백신 미설치 등 취약한 상태로 유지하고 있는 경우 2.4.7 업무환경 보안
공공기관이 다른 법률에 근거하여 민원인의 개인정보를 목적 외로 타 기관에 제공하면서 관련 사항을 관보 또는 인터넷 홈페이지에 게시하지 않은 경우 3.2.4 개인정보 목적 외 이용 및 제공
최근에 퇴직한 주요직무자 및 개인정보취급자에 대하여 자산반납, 권한 회수 등의 퇴직절차 이행 기록이 확인되지 않은 경우 2.2.5 퇴직 및 직무변경 관리
영상정보처리기기 안내판의 고지 문구가 일부 누락되어 운영되고 있거나, 영상정보처리기기 운영·관리 방침을 수립·운영하고 있지 않은 경우 3.1.6 영상정보처리기기 설치ㆍ운영
개인정보파일을 홈페이지의 개인정보파일 등록 메뉴를 통하여 목록을 관리하고 있으나, 그 중 일부 홈페이지 서비스와 관련된 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우 3.2.1 개인정보 현황관리
조직의 규모와 인원이 담당자별 직무 분리가 충분히 가능한 조직임에도 업무 편의성만을 사유로 내부 규정으로 정한 직무 분리 기준을 준수하고 있지 않은 경우 2.2.2 직무 분리
내부 규정에 연 1회 이상 주요 시스템에 대한 기술적 취약점 점검을 하도록 정하고 있으나, 주요 시스템 중 일부가 취약점 점검 대상에서 누락된 경우 2.11.2 취약점 점검 및 조치
일부 중요 시스템(보안시스템, CCTV 등)의 시각이 표준시와 동기화되어 있지 않으며, 관련 동기화 여부에 대한 주기적 점검이 이행되고 있지 않은 경우 2.9.6 시간 동기화
연간 침해사고 모의훈련 계획을 수립하였으나 타당한 사유 또는 승인 없이 해당 기간 내에 실시하지 않은 경우 2.11.4 사고 대응 훈련 및 개선
정보주체 당사자 또는 정당한 대리인이 맞는지에 대한 확인 절차 없이 열람 통지가 이루어지는 경우 3.5.2 정보주체 권리보장
정보보호대책을 마련하여 구현하고 있으나, 관련 내용을 충분히 공유·교육하지 않아 실제 운영 또는 수행 부서 및 담당자가 해당 내용을 인지하지 못하고 있는 경우 1.3.2 보호대책 공유
전산실에 위치한 일부 공용 PC 및 전산장비에서 일반 USB메모리에 대한 쓰기가 가능한 상황이나 매체 반입 및 사용 제한, 사용이력 기록 및 검토 등 통제가 적용되고 있지 않은 경우 2.10.7 보조저장매체 관리
만 14세 미만 아동에 대하여 서비스를 제공하고 있지 않지만, 회원가입 단계에서 입력받는 생년월일을 통하여 나이 체크를 하지 않아 법정대리인 동의 없이 가입된 만 14세 미만 아동 회원이 존재한 경우 3.1.1 개인정보 수집ㆍ이용
정보시스템 인수 전 보안성 검증 기준 및 절차가 마련되어 있지 않은 경우 2.8.1 보안 요구사항 정의
법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 개인정보 보호법 등 법규 위반 사항이 다수 발견된 경우 1.4.1 법적 요구사항 준수 검토
정보보호 관리체계와 관련된 관리적·물리적 영역의 위험 식별 및 평가를 수행하지 않고, 단순히 기술적 취약점진단 결과를 위험 평가 결과로 갈음하고 있는 경우 1.2.3 위험 평가
보조저장매체 통제 솔루션을 도입·운영하고 있으나, 일부 사용자에 대하여 적절한 승인 절차 없이 예외처리되어 쓰기 등이 허용된 경우 2.10.7 보조저장매체 관리
불가피하게 개발시스템과 운영시스템을 분리하지 않고 운영 중에 있으나, 이에 대한 상호 검토 내역, 모니터링 내역 등이 누락되어 있는 경우 2.8.3 시험과 운영 환경 분리
모바일 기기 보안관리 지침에서는 모바일 기기의 업무용 사용을 원칙적으로 금지하고 필요시 승인 절차를 통하여 제한된 기간 동안 허가된 모바일 기기만 사용하도록 정하고 있으나, 허가된 모바일 기기가 식별·관리되지 않고 승인되지 않은 모바일 기기에서도 내부 정보시스템 접속이 가능한 경우 2.10.6 업무용 단말기기 보안
외부직원이 유지보수하고 있는 정보시스템의 운영계정을 별도의 승인 절차 없이 개인 계정처럼 사용하고 있는 경우 2.5.2 사용자 식별
외부 보안관제 전문업체 등 유관기관에 침해사고 탐지 및 대응을 위탁하여 운영하고 있으나, 침해사고 대응에 대한 상호 간 관련 역할 및 책임 범위가 계약서나 SLA에 명확하게 정의되지 않은 경우 2.11.1 사고 예방 및 대응체계 구축
홈페이지 개인정보 처리방침에 개인정보 처리업무 위탁 사항을 공개하고 있으나, 일부 수탁자와 위탁하는 업무의 내용이 누락된 경우 3.3.2 개인정보 처리 업무 위탁
정보보호 및 개인정보보호 정책 및 지침서가 최근에 개정되었으나, 해당 사항이 관련 부서 및 임직원에게 공유·전달되지 않아 일부 부서에서는 구버전의 지침서를 기준으로 업무를 수행하고 있는 경우 1.1.5 정책 수립
정보보호 및 개인정보보호 관련 정책, 지침 등에서 비밀번호 생성규칙의 기준을 정하고 있으나, 일부 정보시스템 및 개인정보처리시스템에서 내부 지침과 상이한 비밀번호를 사용하고 있는 경우 2.5.4 비밀번호 관리
상품배송을 목적으로 수집한 개인정보를 사전에 동의 받지 않은 자사 상품의 통신판매 광고에 이용한 경우 3.2.4 개인정보 목적 외 이용 및 제공
개인정보 보호법에 따라 개인정보 손해배상책임 보장제도 적용 대상이 되었으나, 이를 인지하지 못하여 보험 가입이나 준비금 적립을 하지 않은 경우 또는 보험 가입을 하였으나 이용자 수 및 매출액에 따른 최저가입금액 기준을 준수하지 못한 경우 1.4.1 법적 요구사항 준수 검토
비밀번호 관련 내부 규정에는 비밀번호를 초기화 시 임시 비밀번호를 부여받고 강제적으로 변경하도록 되어 있으나, 실제로는 임시 비밀번호를 그대로 사용하고 있는 경우 2.5.4 비밀번호 관리
개발시스템에 적용되어 있는 암호키와 운영시스템에 적용된 암호키가 동일하여, 암호화된 실데이터가 개발시스템을 통해 쉽게 복호화가 가능한 경우 2.7.2 암호키 관리
시스템 배치도가 최신 변경사항을 반영하여 업데이트되지 않아 장애가 발생된 정보시스템을 신속하게 확인할 수 없는 경우 2.4.3 정보시스템 보호
탈퇴회원 정보를 파기하지 않고 전자상거래법에 따라 일정기간 보관하면서 Flag값만 변경하여 다른 회원정보와 동일한 테이블에 보관하고 있는 경우 3.4.2 처리목적 달성 후 보유 시 조치
전자결제대행업체와 외부 연계 시스템이 전용망으로 연결되어 있으나, 해당 연계 시스템에서 내부 업무 시스템으로의 접근이 침입차단시스템 등으로 적절히 통제되지 않고 있는 경우 2.10.4 전자거래 및 핀테크 보안
일부 PC 및 서버에 백신이 설치되어 있지 않거나, 백신 엔진이 장기간 최신 버전으로 업데이트되지 않은 경우 2.10.9 악성코드 통제
신규 시스템 도입 시 기존 운영환경에 대한 영향 및 보안성을 검토(취약점 점검 등)하도록 내부 지침을 마련하고 있으나, 최근 도입한 일부 정보시스템에 대하여 인수 시 취약점 점검 등 보안성검토가 수행되지 않은 경우 2.8.2 보안 요구사항 검토 및 시험
중요 정보를 처리하고 있는 정보시스템에 대한 이상접속(휴일 새벽 접속, 우회경로 접속 등) 또는 이상행위(대량 데이터 조회 또는 소량 데이터의 지속적·연속적 조회 등)에 대한 모니터링 및 경고·알림 정책(기준)이 수립되어 있지 않은 경우 2.9.5 로그 및 접속기록 점검
침해사고 대응 조직도 및 비상연락망 등을 현행화하지 않고 있거나, 담당자별 역할과 책임이 명확히 정의되어 있지 않은 경우 2.11.1 사고 예방 및 대응체계 구축
정보자산별 담당자 및 책임자를 식별하지 않았거나, 자산목록 현행화가 미흡하여 퇴직, 전보 등 인사이동이 발생하여 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우 2.1.3 정보자산 관리
IT 재해 복구 절차서 내에 IT 재해 복구 조직 및 역할 정의, 비상연락체계, 복구 절차 및 방법 등 중요한 내용이 누락되어 있는 경우 2.12.1 재해ㆍ재난 대비 안전조치
클라우드 서비스의 보안설정을 변경할 수 있는 권한이 업무상 반드시 필요하지 않은 직원들에게 과도하게 부여되어 있는 경우 2.10.2 클라우드 보안
정보시스템 및 개인정보처리시스템의 관리자 및 특수권한 부여 등의 승인 이력이 시스템이나 문서상으로 확인이 되지 않거나, 승인 이력과 특수권한 내역이 서로 일치되지 않는 경우 2.5.5 특수계정 및 권한 관리
성능 및 용량 관리를 위한 대상별 요구사항(임계치 등)을 정의하고 있지 않거나 정기 점검보고서 등에 기록하고 있지 않아 현황을 파악할 수 없는 경우 2.9.2 성능 및 장애 관리
외주용역사업 수행과정에서 일부 용역업체 담당자가 교체되거나 계약 만료로 퇴직하였으나, 관련 인력들에 대한 퇴사 시 보안서약서 등 내부 규정에 따른 조치가 이행되지 않은 경우 2.3.4 외부자 계약 변경 및 만료 시 보안
채용전형 진행단계에서 법적 근거 없이 입사지원자의 주민등록번호를 수집한 경우 3.1.3 주민등록번호 처리 제한
전산실, 문서고 등 통제구역에 출입통제 장치가 설치되어 있으나, 타당한 사유 또는 승인 없이 장시간 개방 상태로 유지하고 있는 경우 2.4.2 출입통제
개인정보 처리방침에 공개되어 있는 개인정보 수집, 제3자 제공 내역이 실제 수집 및 제공하는 내역과 다른 경우 3.5.1 개인정보 처리방침 공개
암호정책을 수립하면서 해당 기업이 적용받는 법규를 잘못 적용하여 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우(예를 들어, 이용자의 계좌번호를 저장하면서 암호화 미적용) 2.7.1 암호정책 적용
국외 클라우드 서비스(국외 리전)를 이용하여 개인정보 처리위탁 및 보관을 하면서 이전되는 국가, 이전 방법 등 관련 사항을 개인정보 처리방침에 공개하거나 정보주체에게 알리지 않은 경우 3.3.4 개인정보 국외이전
개인정보 보호와 관련된 실질적인 권한 및 지위를 보유하고 있지 않은 인원을 개인정보 보호 책임자로 지정하고 있어, 개인정보 처리에 관한 업무를 총괄해서 책임질 수 있다고 보기 어려운 경우 1.1.2 최고책임자의 지정
쇼핑몰 홈페이지에서 회원가입 시 회원가입에 필요한 개인정보 외에 추후 물품 구매 시 필요한 결제·배송 정보를 미리 필수 항목으로 수집하는 경우 3.1.1 개인정보 수집ㆍ이용
인증을 취득한 이후에 인력과 예산 지원을 대폭 줄이고 기존 인력을 다른 부서로 배치하거나 일부 예산을 다른 용도로 사용하는 경우 1.1.6 자원 할당
위험관리 계획에 따라 위험 식별 및 평가를 수행하고 있으나, 범위 내 중요 정보자산에 대한 위험 식별 및 평가를 수행하지 않았거나, 정보보호 관련 법적 요구 사항 준수 여부에 따른 위험을 식별 및 평가하지 않은 경우 1.2.3 위험 평가
정보보호 최고책임자 및 관련 담당자의 활동을 주기적으로 평가할 수 있는 목표, 기준, 지표 등의 체계가 마련되어 있지 않은 경우 2.1.2 조직의 유지관리
개인정보처리자가 개인정보처리시스템의 접속기록 점검 주기를 분기 1회로 정하고 있는 경우 2.9.5 로그 및 접속기록 점검
최근 네트워크 변경 작업을 수행하였으나 관련 검토 및 공지가 충분히 이루어지지 않아 네트워크 구성도 및 일부 접근통제시스템(침입차단시스템, 데이터베이스 접근제어시스템 등)의 접근통제 리스트(ACL)에 적절히 반영되어 있지 않은 경우 2.9.1 변경관리
개인정보 보호법을 적용받는 개인정보처리자가 개인정보 수집 동의 시 고지 사항에 ʻ동의 거부 권리 및 동의 거부에 따른 불이익 내용ʼ을 누락한 경우 3.1.1 개인정보 수집ㆍ이용
개인정보취급자가 공개된 외부 인터넷망을 통하여 이용자의 개인정보를 처리하는 개인정보처리 시스템에 접근 시 안전한 인증수단을 적용하지 않고 ID·비밀번호 방식으로만 인증하고 있는 경우 2.5.3 사용자 인증
개발자가 개인정보처리시스템 계정을 공용으로 사용하고 있으나, 타당성 검토 또는 책임자의 승인 등이 없이 사용하고 있는 경우 2.5.2 사용자 식별
내부 지침에는 모바일 앱을 앱마켓에 배포하는 경우 내부 검토 및 승인을 받도록 하고 있으나, 개발자가 해당 절차를 거치지 않고 임의로 앱마켓에 배포하고 있는 경우 2.8.6 운영환경 이관
블록체인 등 기술적 특성으로 인하여 목적이 달성된 개인정보의 완전 파기가 어려워 완전파기 대신 익명처리를 하였으나, 익명처리가 적절하게 수행되지 않아 일부 개인정보의 재식별 등 복원이 가능한 경우 3.4.1 개인정보 파기
수탁자가 자체적으로 보안점검을 수행한 후 그 결과를 통지하도록 하고 있으나, 수탁자가 보안 점검을 충실히 수행하고 있는지 여부에 대하여 확인하는 절차가 존재하지 않아 보안점검 결과의 신뢰성이 매우 떨어지는 경우 2.3.3 외부자 보안 이행 관리
내부 정책, 지침 등에 장기 미사용자 계정에 대한 잠금(비활성화) 또는 삭제 조치하도록 되어 있으나, 6개월 이상 미접속한 사용자의 계정이 활성화되어 있는 경우(접근권한 검토가 충실히 수행되지 않아 해당 계정이 식별되지 않은 경우) 2.5.6 접근권한 검토
채용 계약 시 채용 예정 직무와 직접 관련이 없는 가족사항 등 과도한 개인정보를 수집하는 경우 3.1.2 개인정보 수집 제한
개발·변경이 완료된 소스 프로그램을 운영환경으로 이관 시 검토·승인하는 절차가 마련되어 있지 않은 경우 2.8.6 운영환경 이관
실 운영데이터를 테스트 용도로 사용한 후 테스트가 완료되었음에도 실 운영데이터를 테스트 데이터베이스에서 삭제하지 않은 경우 2.8.4 시험 데이터 보안
개인정보 보호 관련 법령, 고시 등에 중대한 변경사항이 발생하였으나, 이러한 변경이 개인정보보호 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정하지 않은 경우 2.1.1 정책의 유지관리
관리체계 점검팀이 위험평가 또는 취약점 점검 등 관리체계 구축 과정에 참여한 내부 직원 및 외부 컨설턴트로만 구성되어, 점검의 독립성이 확보되었다고 볼 수 없는 경우 1.4.2 관리체계 점검
내부 규정에 따라 외부 위탁 및 외부 시설·서비스 현황을 목록으로 관리하고 있으나, 몇 개월 전에 변경된 위탁업체가 목록에 반영되어 있지 않은 등 현행화 관리가 미흡한 경우 2.3.1 외부자 현황 관리
본사 전산실 등 일부 보호구역에 내부 지침에 정한 보호설비를 갖추고 있지 않은 경우 2.4.4 보호설비 운영
외부자(외부 개발자, 방문자 등)에게 제공되는 네트워크를 별도의 통제 없이 내부 업무 네트워크와 분리하지 않은 경우 2.6.1 네트워크 접근
개인정보를 저장하고 있는 데이터베이스의 테이블 현황이 파악되지 않아, 임시로 생성된 테이블에 불필요한 개인정보가 파기되지 않고 대량으로 저장되어 있는 경우 2.6.4 데이터베이스 접근
법적 의무 대상자에 해당되어 개인정보 수집 출처를 정보주체에게 통지하면서 개인정보의 처리목적 또는 동의를 철회할 권리가 있다는 사실 등 필수 통지사항을 일부 누락한 경우 3.1.5 개인정보 간접수집
내부 지침에 명시된 정보자산 및 개인정보 보안등급 분류 기준과 자산관리 대장의 분류 기준이 일치하지 않은 경우 1.2.1 정보자산 식별
회원 가입 단계에서 선택사항으로 제3자 제공 동의를 받고 있으나, 제3자 제공에 동의하지 않으면 회원 가입 절차가 더 이상 진행되지 않도록 되어 있는 경우 3.3.1 개인정보 제3자 제공
만 14세 미만 아동의 개인정보를 수집하면서 법정대리인의 동의를 받지 않은 경우 3.1.1 개인정보 수집ㆍ이용
정보시스템 및 개인정보처리시스템 개발업무에 관련한 개발 및 시험 시스템, 외주업체직원, PC, 테스트용 단말기 등이 관리체계 범위에서 누락된 경우 1.1.4 범위 설정
개인정보의 정정·삭제 요구에 대하여 정정·삭제 요구를 접수받은 날로부터 10일을 초과하여 회신하는 경우 3.5.2 정보주체 권리보장
개인정보처리시스템의 화면상에는 개인정보가 마스킹되어 표시되어 있으나, 웹브라우저 소스보기를 통하여 마스킹되지 않은 전체 개인정보가 노출되는 경우 2.6.3 응용프로그램 접근
내부점검을 통하여 발견된 정보보호 및 개인정보보호 관리체계 운영상 문제점이 매번 동일하게 반복되어 발생되는 경우 1.4.3 관리체계 개선
전자상거래법, 상법 등 다른 법령에 따라 개인정보를 파기하지 아니하고 일정기간 보관하고 있으나, 이에 따른 보존근거와 보존하는 개인정보 항목을 개인정보 처리방침에 공개하지 않은 경우 3.5.1 개인정보 처리방침 공개
온라인 회원가입 화면에서 문자, 이메일에 의한 광고성 정보 전송에 대하여 디폴트로 체크되어 있는 경우 3.1.7 마케팅 목적의 개인정보 수집ㆍ이용
성능 또는 용량 기준을 초과하였으나 관련 검토 및 후속조치방안 수립·이행이 이루어지고 있지 않은 경우 2.9.2 성능 및 장애 관리
내부 지침에 정의한 위험 평가 방법과 실제 수행한 위험 평가 방법이 상이할 경우 1.2.3 위험 평가
임직원에 대해서는 보안서약서를 받고 있으나, 정보처리시스템에 직접 접속이 가능한 외주 인력에 대해서는 보안서약서를 받지 않은 경우 2.2.3 보안 서약
정보보호 및 개인정보보호 규정 위반자에 대한 처리 기준 및 절차가 내부 규정에 전혀 포함되어 있지 않은 경우 2.2.6 보안 위반 시 조치
통제구역인 서버실에서의 보조저장매체 사용을 제한하는 정책을 수립하여 운영하고 있으나, 예외 승인 절차를 준수하지 않고 보조저장매체를 사용한 이력이 다수 확인되었으며, 보조저장매체 관리실태에 대한 주기적 점검이 실시되지 않아 보조저장매체 관리대장의 현행화가 미흡한 경우 2.10.7 보조저장매체 관리
개인정보취급자 PC를 재사용할 경우 데이터 삭제프로그램을 이용하여 완전삭제 하도록 정책 및 절차가 수립되어 있으나, 실제로는 완전삭제 조치 없이 재사용하거나 기본 포맷만 하고 재사용하고 있는 등 관련 절차가 이행되고 있지 않은 경우 2.9.7 정보자산의 재사용 및 폐기
내부 지침에는 주요 직무자 권한 부여 시에는 보안팀의 승인을 받고 주요 직무에 따른 보안서약서를 작성하도록 하고 있으나, 보안팀 승인 및 보안서약서 작성 없이 등록된 주요 직무자가 다수 존재하는 경우 2.2.1 주요 직무자 지정 및 관리
위험조치 이행결과보고서는 ʻ조치 완료ʼ로 명시되어 있으나, 관련된 위험이 여전히 존재하거나 이행결과의 정확성 및 효과성이 확인되지 않은 경우 1.3.1 보호대책 구현
수립된 위험관리계획서에 위험평가 기간 및 위험관리 대상과 방법이 정의되어 있으나, 위험관리 수행 인력과 소요 예산 등 구체적인 실행계획이 누락되어 있는 경우 1.2.3 위험 평가
홈페이지 회원가입 화면에서 선택사항에 대하여 동의하지 않거나 선택정보를 입력하지 않으면 다음 단계로 넘어가지 않거나 회원가입이 차단되는 경우 3.1.2 개인정보 수집 제한
게시판 등의 웹 응용프로그램에서 타인이 작성한 글을 임의로 수정·삭제하거나 비밀번호로 보호된 글을 열람할 수 있는 경우 2.10.3 공개서버 보안
개인정보처리시스템에 접속한 기록을 확인한 결과 접속자의 계정, 접속 일시, 접속자 IP주소 정보는 남기고 있으나, 처리한 정보주체 정보 및 수행업무(조회, 변경, 삭제, 다운로드 등)와 관련된 정보를 남기고 있지 않은 경우 2.9.4 로그 및 접속기록 관리
개인정보취급자 및 정보주체의 비밀번호에 대하여 일방향 암호화를 적용하였으나, 안전하지 않은 MD5 알고리즘을 사용한 경우 2.7.1 암호정책 적용
온라인 회원에 대해서는 개인정보를 변경할 수 있는 방법을 제공하고 있으나, 오프라인 회원에 대해서는 개인정보를 변경할 수 있는 방법을 제공하고 있지 않은 경우 3.2.2 개인정보 품질보장
담당자의 실수에 의해 인터넷 홈페이지 게시판을 통해 1천명 이상 정보주체에 대한 개인정보 유출이 발생하였으나, 해당 정보주체에 대한 유출 통지가 이루어지지 않은 경우 2.11.5 사고 대응 및 복구
비밀번호 관련 내부 규정에는 사용자 및 개인정보취급자의 비밀번호 변경주기를 정하고 이행하도록 하고 있음에도 불구하고 변경하지 않고 그대로 사용하고 있는 경우 2.5.4 비밀번호 관리
외부로부터의 서버, 네트워크, 데이터베이스, 보안시스템에 대한 침해 시도를 인지할 수 있도록 하는 상시 또는 정기적 모니터링 체계 및 절차를 마련하고 있지 않은 경우 2.11.3 이상행위 분석 및 모니터링
내부 정책·지침에 암호통제 관련 법적 요구사항을 고려한 암호화 대상, 암호 강도, 저장 및 전송 시 암호화 방법, 암호화 관련 담당자의 역할 및 책임 등에 관한 사항이 적절히 명시되지 않은 경우 2.7.1 암호정책 적용
응용프로그램에 대하여 타당한 사유 없이 세션 타임아웃 또는 동일 사용자 계정의 동시 접속을 제한하고 있지 않은 경우 2.6.3 응용프로그램 접근
개인정보 수집 동의 시 수집하는 개인정보 항목을 구체적으로 명시하지 않고 ʻ~ 등ʼ과 같이 포괄적으로 안내하는 경우 3.1.1 개인정보 수집ㆍ이용
원격운영관리를 위하여 VPN을 구축하여 운영하고 있으나, VPN에 대한 사용 승인 또는 접속 기간 제한 없이 상시 허용하고 있는 경우 2.6.6 원격접근 통제
IT 운영, 개발 및 개인정보 처리업무를 위탁하는 외주용역업체에 대한 위탁계약서가 존재하지 않는 경우 2.3.2 외부자 계약 시 보안
개인정보가 포함된 보조저장매체를 잠금장치가 있는 안전한 장소에 보관하지 않고 사무실 서랍 등에 방치하고 있는 경우 2.10.7 보조저장매체 관리
관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료 여부를 확인하지 않은 경우 1.4.3 관리체계 개선
개인정보 처리업무를 위탁받은 자가 해당 업무를 제3자에게 재위탁을 하고 있지만, 재위탁에 관한 사항을 인터넷 홈페이지 등에 공개하고 있지 않은 경우 3.3.2 개인정보 처리 업무 위탁
공공기관이 5만 명 이상 정보주체의 고유식별정보를 처리하는 등 영향평가 의무 대상 개인정보 파일 및 개인정보처리시스템을 신규로 구축하면서 영향평가를 실시하지 않은 경우 2.8.2 보안 요구사항 검토 및 시험
침해사고 모의훈련을 수행하지 않았거나 관련 계획서 및 결과보고서가 확인되지 않은 경우 2.11.4 사고 대응 훈련 및 개선
정보보호 및 개인정보보호 정책 및 지침서를 보안부서에서만 관리하고 있고, 임직원이 열람할 수 있도록 게시판, 문서 등의 방법으로 제공하지 않는 경우 1.1.5 정책 수립
개인정보 처리 위탁한 업체와 계약 종료 이후 보유하고 있는 개인정보를 파기하였는지 여부를 확인·점검하지 않은 경우 2.3.4 외부자 계약 변경 및 만료 시 보안
인터넷에 공개된 웹사이트의 취약점으로 인하여 구글 검색을 통하여 열람 권한이 없는 타인의 개인정보에 접근할 수 있는 경우 2.10.3 공개서버 보안
업무 목적으로 내부망에 연결된 무선AP에 대하여 무선AP 관리자 비밀번호 노출(디폴트 비밀번호 사용), 접근제어 미적용 등 보안 설정이 미흡한 경우 2.6.5 무선 네트워크 접근
개발표준정의서'에 사용자 패스워드를 안전하지 않은 암호화 알고리즘(MD5, SHA1)으로 사용하도록 되어 있어 관련 법적 요구사항을 적절히 반영하지 않는 경우 2.8.1 보안 요구사항 정의
내부 지침에 운영환경 이관 시 안전한 이관·복구를 위하여 변경작업 요청서 및 결과서를 작성하도록 정하고 있으나, 관련 문서가 확인되지 않은 경우 2.8.6 운영환경 이관
재해 복구 관련 지침서 등에 IT 서비스 또는 시스템에 대한 복구 우선순위, 복구 목표시간, 복구 목표시점 등이 정의되어 있지 않은 경우 2.12.1 재해ㆍ재난 대비 안전조치
외부 근무자를 위하여 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영하고 있으나, 악성코드, 분실·도난 등에 의한 개인정보 유출을 방지하기 위한 적절한 보호대책(백신, 초기화, 암호화 등)을 적용하고 있지 않은 경우 2.6.6 원격접근 통제
불가피한 사유로 사전 승인을 받아 실 운영데이터를 시험 용도로 사용하면서, 테스트 데이터베이스에 대하여 운영 데이터베이스와 동일한 수준의 접근통제를 적용하고 있지 않은 경우 2.8.4 시험 데이터 보안
영리 목적의 광고성 정보전송 업무를 타인에게 위탁하면서 수탁자에 대한 관리·감독을 수행하지 않고 있는 경우 2.3.3 외부자 보안 이행 관리
접근권한에 대한 개별동의가 불가능한 안드로이드 6.0 미만 버전을 지원하는 스마트폰 앱을 배포하면서 선택적 접근권한을 함께 설정하여, 선택적 접근권한에 대하여 거부할 수 없도록 하고 있는 경우 3.2.3 이용자 단말기 접근 보호
조직에서 준수하여야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 장기간 수행하지 않은 경우 1.4.1 법적 요구사항 준수 검토
인터넷 홈페이지, SNS에 공개된 개인정보를 수집하고 있는 상태에서 정보주체의 수집 출처 요구에 대한 처리절차가 존재하지 않은 경우 3.1.5 개인정보 간접수집
침해사고에 대비한 침해사고 대응 조직 및 대응 절차를 명확히 정의하고 있지 않은 경우 2.11.1 사고 예방 및 대응체계 구축
내부 규정에는 보호구역 내 작업 기록에 대하여 분기별 1회 이상 점검하도록 되어 있으나, 특별한 사유 없이 장기간 동안 보호구역 내 작업 기록에 대한 점검이 이루어지고 있지 않은 경우 2.4.5 보호구역 내 작업
일부 시스템에서 타당한 사유나 책임자 승인 없이 OS패치가 장기간 적용되고 있지 않은 경우 2.10.8 패치관리
보안시스템(DLP, 데이터베이스 접근제어시스템, 내부정보유출통제시스템 등)을 통하여 정책 위반이 탐지된 관련자에게 경고 메시지를 전달하고 있으나, 이에 대한 소명 및 추가 조사, 징계 처분 등 내부 규정에 따른 후속 조치가 이행되고 있지 않은 경우 2.2.6 보안 위반 시 조치
부서 단위로 개인정보취급자 권한을 일괄 부여하고 있어 실제 개인정보를 취급할 필요가 없는 인원까지 과다하게 개인정보취급자로 지정된 경우 2.2.1 주요 직무자 지정 및 관리
무선 AP 설정 시 정보 송수신 암호화 기능을 설정하였으나, 안전하지 않은 방식으로 설정한 경우 2.6.5 무선 네트워크 접근
법정대리인 동의에 근거하여 만 14세 미만 아동의 개인정보를 수집하였으나, 관련 기록을 보존하지 않아 법정대리인 동의와 관련된 사항(법정대리인 이름, 동의 일시 등)을 확인할 수 없는 경우 3.1.1 개인정보 수집ㆍ이용
정보보호 및 개인정보보호 관리체계 운영현황에 대한 문서화는 이루어졌으나, 해당 운영현황에 대한 주기적인 검토가 이루어지지 않아 월별 및 분기별 활동이 요구되는 일부 정보보호 및 개인정보보호 활동이 누락되었고 일부는 이행 여부를 확인할 수 없는 경우 1.3.3 운영현황 관리
전자상거래법에 따른 소비자 불만 및 분쟁처리에 관한 기록에 대해 관련 법적 요건을 잘못 적용하여 3년이 아닌 5년간 보존하도록 정하고 있는 경우 3.4.2 처리목적 달성 후 보유 시 조치
영상정보처리기기 운영·관리 방침을 수립 운영하고 있으나, 방침 내용과 달리 보관기간을 준수하지 않고 운영되거나, 영상정보 보호를 위한 접근통제 및 로깅 등 방침에 기술한 사항이 준수되지 않는 등 관리가 미흡한 경우 3.1.6 영상정보처리기기 설치ㆍ운영
재해 복구 훈련을 계획하여 실시하였으나, 내부 관련 지침에 정한 절차 및 서식에 따라 이행되지 않아 수립한 재해 복구 절차의 적정성 및 효과성을 평가하기 위한 훈련으로 보기 어려운 경우 2.12.2 재해 복구 시험 및 개선
개인정보 보호법에 따라 인터넷망 차단 조치를 적용하였으나, 개인정보처리시스템의 접근권한 설정 가능자 등 일부 의무대상자에 대하여 인터넷망 차단 조치 적용이 누락된 경우 2.6.7 인터넷 접속 통제
위험수용에 대한 근거와 타당성이 미흡하고, 시급성 및 구현 용이성 등의 측면에서 즉시 또는 단기 조치가 가능한 위험요인에 대해서도 특별한 사유 없이 장기 조치계획으로 분류한 경우 1.2.4 보호대책 선정
전년도 정보보호대책 이행계획에 따라 중·장기로 분류된 위험들이 해당연도에 구현이 되고 있지 않거나 이행결과를 경영진이 검토 및 확인하고 있지 않은 경우 1.3.1 보호대책 구현
내부 규정에 중요 정보를 암호화 할 경우 관련 책임자 승인 하에 암호화 키를 생성하고 암호키 관리대장을 작성하도록 정하고 있으나, 암호키 관리대장에 일부 암호키가 누락되어 있거나 현행화되어 있지 않은 경우 2.7.2 암호키 관리
개인정보 보호법 제17조제1항제1호에 따라 다른 사업자로부터 개인정보 제공동의를 근거로 개인정보를 제공받았으나, 이에 대하여 해당 정보주체에게 3개월 내에 통지하지 않은 경우(다만 제공받은 자가 5만 명 이상 정보주체의 민감정보 또는 고유식별정보를 처리하거나 100만 명 이상 정보주체의 개인정보를 처리하는 경우) 3.1.5 개인정보 간접수집
주민등록번호 수집의 법적 근거가 있다는 사유로 홈페이지 회원가입 단계에서 대체가입수단을 제공하지 않고 주민등록번호를 입력받는 본인확인 및 회원가입 방법만을 제공한 경우 3.1.3 주민등록번호 처리 제한
폐기된 HDD의 일련번호가 아닌 시스템명을 기록하거나 폐기 대장을 작성하지 않아 폐기 이력 및 추적할 수 있는 증거자료를 확인할 수 없는 경우 2.9.7 정보자산의 재사용 및 폐기
보안시스템 보안정책의 신청, 변경, 삭제, 주기적 검토에 대한 절차 및 기준이 없거나, 절차는 있으나 이를 준수하지 않은 경우 2.10.1 보안시스템 운영
정보보호 공시 의무대상 사업자이지만 법에 정한 시점 내에 정보보호 공시가 시행되지 않은 경우 1.4.1 법적 요구사항 준수 검토
개발시스템이 별도로 구성되어 있으나, 개발환경으로부터 운영환경으로의 접근이 통제되지 않아 개발자들이 개발시스템을 경유하여 불필요하게 운영시스템 접근이 가능한 경우 2.8.3 시험과 운영 환경 분리
관리자 및 특수권한의 사용 여부를 정기적으로 검토하지 않아 일부 특수권한자의 업무가 변경되었음에도 불구하고 기존 관리자 및 특수권한을 계속 보유하고 있는 경우 2.5.5 특수계정 및 권한 관리
장애처리절차와 장애유형별 조치방법 간 일관성이 없거나 예상소요시간 산정에 대한 근거가 부족하여 신속·정확하고 체계적인 대응이 어려운 경우 2.9.2 성능 및 장애 관리
웹사이트에 개인정보를 게시하는 경우 승인 절차를 거치도록 내부 규정이 마련되어 있으나, 이를 준수하지 않고 개인정보가 게시된 사례가 다수 존재한 경우 2.10.3 공개서버 보안
정보보호 및 개인정보보호 관리체계 범위 내에서 제3자로부터 제공받은 개인정보가 있으나, 해당 개인정보에 대한 자산 식별이 이루어지지 않은 경우 1.2.1 정보자산 식별
정보주체로부터 선택사항에 대한 동의를 받으면서 해당 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리지 않은 경우 3.1.2 개인정보 수집 제한
내부 규정에는 내부점검 시 발견된 문제점에 대해서는 근본원인에 대한 분석 및 재발방지 대책을 수립하도록 되어 있으나, 최근에 수행된 내부점검에서는 발견된 문제점에 대하여 근본원인 분석 및 재발방지 대책이 수립되지 않은 경우 1.4.3 관리체계 개선
내부 지침에는 외부 핀테크 서비스 연계 시 정보보호팀의 보안성 검토를 받도록 되어 있으나, 최근에 신규 핀테크 서비스를 연계하면서 일정상 이유로 보안성 검토를 수행하지 않은 경우 2.10.4 전자거래 및 핀테크 보안
전산장비 장애대응절차를 수립하고 있으나 네트워크 구성 및 외주업체 변경 등의 내·외부 환경변화가 적절히 반영되어 있지 않은 경우 2.9.2 성능 및 장애 관리
내부 규정에는 형상관리시스템을 통하여 소스 프로그램 버전관리를 하도록 되어 있으나, 최신 버전의 소스 프로그램은 개발자 PC에만 보관되어 있고 이에 대한 별도의 백업이 수행되고 있지 않은 경우 2.8.5 소스 프로그램 관리
내부 물리보안 지침에 통제구역에 대해서는 지정된 양식의 통제구역 표지판을 설치하도록 명시하고 있으나, 일부 통제구역에 표시판을 설치하지 않은 경우 2.4.1 보호구역 지정
지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우 2.1.1 정책의 유지관리
전자결제대행업체와 위탁 계약을 맺고 연계를 하였으나, 적절한 인증 및 접근제한 없이 특정 URL을 통하여 결제 관련 정보가 모두 평문으로 전송되는 경우 2.10.4 전자거래 및 핀테크 보안
정보보호 및 개인정보보호 조직을 구성하는데, 분야별 전문성을 갖춘 인력이 아닌 정보보호 관련 또는 IT 관련 전문성이 없는 인원으로만 보안인력을 구성한 경우 1.1.6 자원 할당
형상관리시스템을 구축하여 운영하고 있으나 형상관리시스템 또는 형상관리시스템에 저장된 소스코드에 대한 접근제한, 접근 및 변경이력이 적절히 관리되지 않고 있는 경우 2.8.5 소스 프로그램 관리
개인정보 내부 관리계획서 내 개인정보보호를 위한 생활보안 점검(클린데스크 운영 등)을 정기적으로 수행하도록 명시하고 있으나, 이를 이행하지 않은 경우 2.4.7 업무환경 보안
개인정보 이용·제공 내역을 개별 정보주체에게 직접적으로 통지하는 대신 홈페이지에서 단순 팝업창이나 별도 공지사항으로 안내만 한 경우 3.5.3 정보주체에 대한 통지
정보보호 및 개인정보보호 대책에 대한 이행계획은 수립하였으나, 정보보호 최고책임자 및 개인정보 보호책임자에게 보고가 이루어지지 않은 경우 1.2.4 보호대책 선정
응용프로그램의 관리자 페이지가 외부인터넷에 오픈되어 있으면서 안전한 인증수단이 적용되어 있지 않은 경우 2.6.3 응용프로그램 접근
개발 관련 내부 지침에 개발과 관련된 주요 보안 요구사항(인증 및 암호화, 보안로그 등)이 정의되어 있지 않은 경우 2.8.1 보안 요구사항 정의
관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 전산팀 관리 영역에 대한 점검에 관여하고 있어, 점검의 독립성이 훼손된 경우 1.4.2 관리체계 점검
식별된 정보자산에 대한 중요도 평가를 실시하여 보안등급을 부여하고 정보 자산목록에 기록하고 있으나, 보안등급에 따른 취급절차를 정의하지 않은 경우 2.1.3 정보자산 관리
정보보호 및 개인정보보호 정책서에 분기별로 정보보호 및 개인정보보호 현황을 경영진에게 보고하도록 명시하였으나, 장기간 관련 보고를 수행하지 않은 경우 1.1.1 경영진의 참여
내부 NTP 서버와 시각을 동기화하도록 설정하고 있으나 일부 시스템의 시각이 동기화되지 않고 있고, 이에 대한 원인분석 및 대응이 이루어지고 있지 않은 경우 2.9.6 시간 동기화
공공기관이 임직원의 개인정보파일, 통계법에 따라 수집되는 개인정보파일에 대해 개인정보파일 등록 예외사항에 해당되지 않음에도 불구하고 해당 개인정보파일을 개인정보 보호위원회에 등록하지 않은 경우 3.2.1 개인정보 현황관리
통계작성 및 과학적 연구를 위하여 정보주체 동의 없이 가명정보를 처리하면서 가명정보 처리에 관한 기록을 남기고 있지 않거나, 또는 개인정보 처리방침에 관련 사항을 공개하지 않은 경우 3.2.5 가명정보 처리
백업정책을 수립하고 있으나 법적 요구사항에 따라 장기간(6개월, 3년, 5년 등) 보관이 필요한 백업 대상 정보가 백업 정책에 따라 보관되고 있지 않은 경우 2.9.3 백업 및 복구 관리
금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보보호 관리체계 범위를 충족하지 못한 경우 1.4.2 관리체계 점검
정보보호 및 개인정보보호 교육 미이수자를 파악하지 않고 있거나, 해당 미이수자에 대한 추가교육 방법(전달교육, 추가교육, 온라인교육 등)을 수립·이행하고 있지 않은 경우 2.2.4 인식제고 및 교육훈련
정보보호 및 개인정보보호 관리체계 범위 내의 자산 목록에서 중요정보 취급자 및 개인정보 취급자 PC를 통제하는 데 사용되는 출력물 보안, 문서암호화, USB매체제어 등의 내부정보 유출통제 시스템이 누락된 경우 1.2.1 정보자산 식별
개인정보 보호법에 따른 인터넷망 차단 조치 의무대상으로서 인터넷망 차단 조치를 적용하였으나, 다른 서버를 경유한 우회접속이 가능하여 인터넷망 차단 조치가 적용되지 않은 환경에서 개인정보처리시스템에 접속하여 개인정보의 다운로드, 파기 등이 가능한 경우 2.6.7 인터넷 접속 통제
응용프로그램의 개인정보 조회화면에서 like 검색을 과도하게 허용하고 있어, 모든 사용자가 본인의 업무 범위를 초과하여 성씨만으로도 전체 고객 정보를 조회할 수 있는 경우 2.6.3 응용프로그램 접근
홈페이지 가입과 관련하여 실명확인 등 단순 회원관리 목적을 위하여 정보주체의 동의에 근거하여 주민등록번호를 수집한 경우 3.1.3 주민등록번호 처리 제한
제출된 정보보호 및 개인정보보호 서약서를 모아 놓은 문서철이 비인가자가 접근 가능한 상태로 사무실 책상에 방치되어 있는 등 관리가 미흡한 경우 2.2.3 보안 서약
최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아 변화된 개인정보 흐름이 흐름도에 반영되지 않고 있는 경우 1.2.2 현황 및 흐름분석
정보보호 활동(정보보호 교육, 암호화, 백업 등)의 대상, 주기, 수준, 방법 등이 관련 내부 규정, 지침, 절차에 서로 다르게 명시되어 일관성이 없는 경우 2.1.1 정책의 유지관리
데이터베이스에 대한 접근 및 작업이력을 효과적으로 기록 및 관리하기 위하여 데이터베이스 접근통제 솔루션을 신규로 도입하여 운영하고 있으나, 보안시스템 보안 관리지침 및 데이터베이스 보안 관리지침 등 내부 보안지침에 접근통제, 작업이력, 로깅, 검토 등에 관한 사항이 반영되어 있지 않은 경우 2.1.1 정책의 유지관리
업무적인 목적으로 노트북, 태블릿PC 등 모바일 기기를 사용하고 있으나, 업무용 모바일 기기에 대한 허용 기준, 사용 범위, 승인 절차, 인증 방법 등에 대한 정책이 수립되어 있지 않은 경우 2.10.6 업무용 단말기기 보안
취약점 점검에서 발견된 취약점에 대한 보완조치를 이행하지 않았거나, 단기간 내에 조치할 수 없는 취약점에 대한 타당성 검토 및 승인 이력이 없는 경우 2.11.2 취약점 점검 및 조치
로그 서버의 용량의 충분하지 않아서 개인정보처리시스템 접속기록이 2개월 밖에 남아 있지 않은 경우 2.9.4 로그 및 접속기록 관리
서비스 운영과 관련된 일부 중요 시스템에 대한 복구 목표시간이 정의되어 있지 않으며, 이에 대한 적절한 복구 대책을 마련하고 있지 않은 경우 2.12.1 재해ㆍ재난 대비 안전조치
정보주체의 주민등록번호를 시행규칙이나 지방자치단체의 조례에 근거하여 수집한 경우 3.1.3 주민등록번호 처리 제한
개인정보 처리방침이 공개는 되어 있으나, 명칭이 ʻ개인정보 처리방침ʼ이 아니라 ʻ개인정보 보호정책ʼ으로 되어 있고 글자 크기, 색상 등을 활용하여 정보주체가 쉽게 찾을 수 있도록 되어 있지 않은 경우 3.5.1 개인정보 처리방침 공개
정보시스템 및 개인정보처리시스템의 유지보수를 위하여 분기 1회에 방문하는 유지보수용 특수 계정이 사용기간 제한없이 상시로 활성화되어 있는 경우 2.5.5 특수계정 및 권한 관리
개인정보의 열람, 정정·삭제, 처리정지 요구 방법을 정보주체가 알 수 있도록 공개하지 않은 경우 3.5.2 정보주체 권리보장
접근권한 검토 시 접근권한의 과다 부여 및 오·남용 의심사례가 발견되었으나, 이에 대한 상세조사, 내부보고 등의 후속조치가 수행되지 않은 경우 2.5.6 접근권한 검토
DMZ 및 내부망에 위치한 일부 서버에서 불필요하게 인터넷으로의 직접 접속이 가능한 경우 2.6.7 인터넷 접속 통제
구현 또는 시험 과정에서 알려진 기술적 취약점이 존재하는지 여부를 점검하지 않거나, 타당한 사유 또는 승인 없이 확인된 취약점에 대한 개선조치를 이행하지 않은 경우 2.8.2 보안 요구사항 검토 및 시험
내부 지침에는 정보보호담당자가 보안시스템의 보안정책 변경 이력을 기록·보관하도록 정하고 있으나, 정책관리대장을 주기적으로 작성하지 않고 있거나 정책관리대장에 기록된 보안정책과 실제 운영 중인 시스템의 보안정책이 상이한 경우 2.10.1 보안시스템 운영
저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

신용정보업감독규정 VS 개인정보의 안전성 확보 조치  (1) 2024.09.27
인증 조항별 키워드 (비교 자료)  (1) 2024.03.04
정보보호 업무 시기별 수행 항목  (0) 2024.03.04
담당자별 역할 정의  (0) 2024.03.04
ISMS 인증 조항 포인트 외우기  (1) 2023.11.30

ISMS 인증 심사원 교육 시 확인 인증조항별 키워드 자료 입니다.

2개의 교육을 받아 교육별 키워드를 공유합니다.

 

해당 키워드 공유에 문제가 발생할 경우 삭제하겠습니다.

 

인증 조항 A 교육 (24년 진행) B 교육(22년 진행)
1 관리체계 수립 및 운영    
1.1 관리체계 기반 마련    
1.1.1 경영진의 참여 "보고" 및 의사결정체계 미흡 경영진 역할 및 책임 문서화, 보고체계
1.1.2 최고책임자의 지정 "임원급" 지정, 5조/5천억 겸직 금지, 180일내 과기부 신고 CISO, CPO 공식지정, 자격요건
1.1.3 조직 구성 위원회, 실무조직, 정보보호팀 구성 및 운영 실무조직, 정보보호위원회, 정보보호실무협의체
1.1.4 범위 설정 범위설정(자산누락), 인증범위 내 모든 자산(서비스) 핵심자산, 예외사항 근거 관리, 문서화
1.1.5 정책 수립 정책승인, 임직원 공유 및 열람 정책, 시행문서 승인(CEO, CISO), 임직원 전달
1.1.6 자원 할당 전문성 있는 인력, 예산, 자원할당 인력(전문성) 확보, 예산, 인력 지원, 계획, 결과 분석 평가
1.2 위험관리    
1.2.1 정보자산식별 자산 분류기준, 모든 자산식별, 중요도 산정 기준, 식별, 보안등급, 정기적 최신화
1.2.2 현황 및 흐름분석 흐름도 오류/누락, 문서현행화 정보서비스흐름도, 개인정보흐름도, 최신화
1.2.3 위험평가 매년 1회 이상 수행, CISO에 결재, 관리/법적/기술적측면으로 위험평가 수행 위험평가 방법론, 계획, 연1회, DOA, 경영진 승인
1.2.4 보호대책 선정 위험이행계획 수립, CISO 보고 위험처리(회피, 전가, 감소, 수용), 이행계획
1.3 관리체계 운영    
1.3.1 보호대책 구현 CISO보고, 보호대책을 구현, 잔여위험 관리, 운영명세서 증적 불일치 보호대책 구현 정확성, 효과성, 구체성 진척 보고
1.3.2 보호대책 공유 정보보호대책에 대하여 실제 담당부서에 공유/교육 보호대책 담당자, 보호대책 공유 & 교육
1.3.3 운영현황 관리 상시적 운영현황 활동 (월간, 분기보고 등), 문서화 및 누락 (개인)정보보호 활동 문서화, 경영진 확인
1.4 관리체계 점검 및 개선    
1.4.1 법적요구사항 준수 검토 법률 개정을 검토하지 않고 적용하지 않음 (1년 1회이상) 법규 최신성, 연1회 검토
1.4.2 관리체계 점검 1년에 1회이상, 내부감사의 독립성이 위배된 경우, 일부만 점검함 인력(독립성, 전문성), 연1회 경영진 보고
1.4.3 관리체계 개선 보안감사 결과에 대한 보고, 개선, 재발방지 대책, KPI 지표 관리 근본원인, 재발방지 기준 절차
2 보호대책 요구사항    
2.1 정책, 조직, 자산관리    
2.1.1 정책의 유지관리 정책의 일관성 미흡, 정책을 연1회이상 개정하지 않음 타당성 검토, 환경 변화 제개정, 이해관계자 검토, 이력관리
2.1.2 조직의 유지관리 CISO, CPO, 정보보호책임자/담당자, 개인정보담당자 역할정의, 활동평가 KPI 및 인사에 반영 담당자 R&R, 평가(MBO, KPI), 의사소통체계(주간보고, 게시판)
2.1.3 정보자산 관리 보안등급 부여, 담당자/책임자 지정, 자산관리대장 현행화 보안등급 취급절차, 책임자 & 관리자
2.2 인적보안    
2.2.1 주요직무자 지정 및 관리 (공식지정) 주요직무자, 개인정보취급자 명단(현행화) 기준 정의, 지정, 최신화, 개인정보취급자 목록, 최소화
2.2.2 직무분리 직무분리를 수행할 수 없을 때는 관리자 승인과 추가 보완대책 필요 직무 분리 기준, 보완통제(상호검토, 상위관리자 승인, 개인계정, 로그감사)
2.2.3 보안서약 보안서약서 누락, 보안서약서 항목 누락(책임), 보안서약서 보관 채용, 퇴직, 외부자, 서약서 보관
2.2.4 인식제고 및 교육 훈련 교육계획 수립, 직무별 차등교육, 미이수자 추가교육, 설문조사 후 내년에 반영 교육계획, 승인, 연1회 수행, 직무자 별도교육, 적정성 평가
2.2.5 퇴직 및 직무변경 관리 퇴직 시 사용자 계정 미삭제, 접근권한 미회수, 퇴사 시 보안서약서 (손해배상) 인사변경 공유, 자산 반납 & 권한 회수 & 결과 확인
2.2.6 보안 위반 시 조치 보안 위배자 징계 미수행, 내부 정보보호 규정에 보안 위배자 규정이 없음 처벌규정 수립, 적발 시 조치
2.3 외부자 보안    
2.3.1 외부자 현행 관리 위탁업체 현행화, 재위탁 업체 현행화, 외부 위탁 시 위험평가 수행 위탁 업무, 시설, 서비스 식별, 위험 파악, 보호대책 마련
2.3.2 외부자 계약 시 보안 표준 위수탁 계약서 사용 위탁업체 역량 평가, 계약서(보안요건, 개발요건)
2.3.3 외부자 보안 이행 관리 수탁사 보안점검 및 교육 외부자 점검&감사, 개선계획, 재위탁 시 승인
2.3.4 외부자 계약 변경 및 만료시 보안 보안서약서, 개인정보 파기, 계정삭제 및 권한 회수 외부자 자산, 계정, 권한 회수, 서약서 징구, 중요정보 파기
2.4 물리적 보안    
2.4.1 보호구역 지정 보호구역 지정과 표시판 부착 보호구역 지정 기준(통제, 제한, 접견), 보호대책
2.4.2 출입통제 출입기록 관리 출입 통제 절차, 출입 기록 점검
2.4.3 정보시스템 보호 시스템 물리적 배치도, 케이블 정리, 전력 이중화 특성 고려 배치, 배치도(서버, 랙), 케이블(전력, 통신)
2.4.4 보호설비 운영 운영 점검표 보호설비(항온항습, 화재감지, 소화, 누수, UPS, 발전기, 이중전원), IDC 계약서 & 검토
2.4.5 보호구역 내 작업 보호구역 내 작업 승인내역 및 작업 내역, 작업내역 점검 보호구역 내 작업신청, 작업기록 검토
2.4.6 반출입 기기 통제 모바일 기기 반출입 통제 반출입기기 통제절차(서버, 모바일, 저장매체/보안스티커, 보안SW설치), 반출입 이력 점검
2.4.7 업무환경 보안 화면보호기, 패스워드, 백신 업데이트 출력물 정리, 공용 PC 보안대책 시설(문서고), 기기(복합기, 파일서버), 개인 업무환경(PC, 책상) 보호대책, 검토
2.5 인증 및 권한관리    
2.5.1 사용자 계정 관리 계정부여 이력, 과도한 권한, 공식적인 승인 사용자 계정 발급 절차(등록, 변경, 삭제), 최소권한, 계정책임(본인)
2.5.2 사용자 식별 1인1ID, 공유계정 승인 이력, 외부업체 계정 관리, 디폴트 계정 변경 유일 식별자, 추측 식별자 제한, 동일식별자 타당성, 보완대책, 책임자 승인
2.5.3 사용자 인증 인터넷을 통한 접근 2-Factor 인증, 로그인 실패관리 인증 절차(로그인 횟수제한, 불법 로그인 시도 경고), 외부 개처시 안전 인증&접속수단
2.5.4 비밀번호 관리 비밀번호 작성규칙, 변경주기, 초기 비밀번호 변경 비밀번호 관리 절차, 작성규칙(사용자, 이용자)
2.5.5 특수계정 및 권한관리 특수계정 승인, 목록 특수계정 사용자 정기적 검토 특수권한 최소인원, 공식 승인, 별도 목록화
2.5.6 접근권한 검토 접근권한 검토(정기적) 수행, 접근권한 검토 후에 조치 계정 및 접근권한 변경 이력 남김, 검토기준(주체, 방법, 주기) 수립 및 이행, 문제점 조치
2.6 접근통제    
2.6.1 네트워크 접근 NAT 사용, 네트워크 접근제어, 업무망과 내부망 관리, 네트워크 접근통제 내부망 인가 사용자 접근, 영역 분리 및 접근통제, IP 주소 기준(사설 IP), 원거리 구간 보호대책
2.6.2 정보시스템 접근 계정승인, IP제한, 세션타임아웃, 서버접근제어, ssh 및 sftp 공용계정 제한 서버, NW, 보안시스템 OS 접근 통제, 세션타임아웃, 불필요서비스 제거, 주요서비스 독립서버
2.6.3 응용프로그램 접근 안전한 인증수단(인터넷 접근시), 세션 타임아웃, 동시접속 차단, 개인정보 다운로드, like 조건, 마스킹 처리 응용 접근권한 차등 부여, 정보 노출 최소화, 세션타임아웃, 동시세션 제한, 관리자페이지 통제
2.6.4 데이터베이스 접근 DB 접근경로, DB 공유계정, DB 사용자계정, DBA 권한부여, DB 연결 접속관리, 임시 테이블에 개인정보 저장 데이터베이스 테이블 목록 식별, 접근통제(응용프로그램, 서버, 사용자)
2.6.5 무선 네트워크 접근 업무망과 고객 무선망 분리, 안전하지 않는 암호화, 패스워드 설정 무선 네트워크 보호대책(인증, 암호화), 사용신청 및 해지절차, 비인가 무선 네트워크 보호대책
2.6.6 원격접근 통제 원격(재택) 접근 시에 VPN(2-Factor) 인증 사용, 원격접근 계정관리, 단말기 백신 설치 원칙금지, 보완대책(승인, 특정 단말, 허용범위, 기간 한정), 보호대책, 단말기 지정, 임의조작 금지
2.6.7 인터넷 접속 통제 유해사이트 차단, 인터넷(망분리) 차단, 서버내에서 인터넷 연결 차단 주요 직무자, 취급 단말기, 주요 정보시스템(DB서버 등) 인터넷 접속통제, 망분리 대상 식별, 적용
2.7 암호화 적용    
2.7.1 암호정책 적용 법적 암호화대상에 대한 암호화 수행, 안전한 암호화 알고리즘 암호정책(대상, 강도, 사용) 수립, 저장, 전송, 전달 시 암호화
2.7.2 암호키 관리 암호키 관리 절차, 암호키 관리 대장, 암호키 접근을 통제 암호키 관리절차(생성, 이용, 변경, 파기), 복구방안(보관), 암호키 접근권한 최소화
2.8 정보시스템 도입 및 개발보안   도입 시 타당성 검토 및 인수절차, 보안요구사항 정의, 시큐어코딩 표준
2.8.1 보안 요구사항 정의 보안 요구사항 정의  
2.8.2 보안 요구사항 검토 및 시험 항목 누락없이 보안 요구사항 시험, 개인정보영향평가, 시스템 도입 시에 보안성 검토 검토기준(법 요건, 보안 요건), 코딩 취약점 점검, 개선조치, 공공기관 개인정보영향평가 수행
2.8.3 시험과 운영환경 분리 개발환경과 운영환경 분리, 분리가 어려우면 상호검토 수행 개발 및 시험과 운영시스템 분리, 어려울 경우 보안대책(상호검토, 변경승인, 승급자, 백업)
2.8.4 시험 데이터 보안 개발환경과 운영환경 분리, 분리가 어려우면 상호검토 수행 운영데이터 사용 제한, 불가피 사용 시 보완통제(책임자, 모니터링, 시험 후 삭제)
2.8.5 소스 프로그램 관리 형상관리 소스프로그램 백업, 접근권한 관리 소스 접근통제 절차, 운영환경 아닌 곳 안전 보관, 변경이력 관리
2.8.6 운영환경 이관 배포담당자와 배포절차 마련, 이관 시 불필요한 파일도 배포됨, 관리자 승인 후 배포 운영환경 이관 통제 절차로 실행, 문제 대응 방안 마련, 필요한 파일만 설치
2.9 시스템 서비스 운영 관리    
2.9.1 변경 관리 개발환경과 운영환경 분리, 분리가 어려우면 상호검토 수행 정보자산 변경 절차, 변경 수행 전 영향 분석
2.9.2 성능 및 장애관리 성능, 용량, 장애관리, 부적절한 장애조치 내역, 시스템 용량 산정 성능 및 용량 모니터링 절차, 초과 시 대응절차, 장애 인지, 대응절차, 장애조치 기록, 재발방지대책
2.9.3 백업 및 복구관리 백업대상, 주기, 방법, 복구 테스트 실시 백업 및 복구절차(대상, 주기, 방법, 절차) 수립, 복구테스트, 중요정보 저장 백업매체 소산
2.9.4 로그 및 접속기록 관리 접속기록 서버 용량, 법적 보유기간 및 항목 로그관리 절차, 생성 보관, 별도 저장장치 백업, 로그 접근권한 최소화, 개처시 접속기록 법 준수
2.9.5 로그 및 집속기록 점검 접속로그 매월 1회 점검(보고), 이상행위 및 다운로드 검토, 과다 개인정보 조회 검토 로그 검토기준(비인가 접속, 과다조회) 수립, 문제 발생 시 사후조치, 주기적 점검
2.9.6 시간 동기화 서버 시간 동기화 설정 (클라우드는 시간 동기화 관리가 필요 없음) 정보시스템 표준시간 동기화, 주기적 점검
2.9.7 정보자산의 재사용 및 폐기 폐기 관리대장, 완전파기 재사용 및 폐기 절차 수립, 복구 불가방법, 폐기이력 및 증적, 폐기절차 계약서, 교체 복구시 대책
2.10 시스템 및 서비스 보안관리    
2.10.1 보안시스템 운영 방화벽 정책 과다 허용, 정책 공식 승인, 방화벽 정책 변경 이력 관리 보안시스템 운영절차, 접근인원 최소화, 정책 변경 절차, 예외정책 최소화, 정책 타당성 검토, 설치
2.10.2 클라우드 보안 클라우드 콘솔 사용자 관리, 클라우드 보안설정, 승인 후 접근제어 등록 CSP R&R 계약서 반영, 클라우드 보안 통제 정책 수립ㆍ이행, 관리자 권한 보호대책, 정기적 검토
2.10.3 공개서버 보안   공개서버 보호대책, DMZ에 설치, 보안시스템 통해 보호, 게시 저장 시 절차, 노출 확인 및 차단
2.10.4 전자거래 및 핀테크 보안 안전한 결제, 보안성 검토, 침입차단 및 탐지시스템 운영 전자거래 및 핀테크 보호대책, 연계 시 송수신 정보 보호대책 수립, 안전성 점검
2.10.5 정보전송 보안 타 조직관 연계 시 전송보안, 보안성 검토 외부에 개인정보 전송 정책 수립, 조직 간 개인정보 상호교환 시 협약체결 등 보호대책
2.10.6 업무용 단말기기 보안 업무용 모바일 단말 승인, 업무용 모바일 단말 분실대책, 업무용 단말기 보호대책, 업무용 단말 취약점 조치 업무용 단말기 접근통제 정책, 공유 시 DLP 정책, 분실 시 DLP 대책, 주기적 점검
2.10.7 보조저장매체 관리 보조저장장치 현행화, USB사용 승인 내역, 안전한 장소에 보관, USB 사용 기록 관리 보조저장매체 취급 정책, 관리 실태 주기적 점검, 통제구역 사용 제한, 악성코드 및 DLP 대책, 보관
2.10.8 패치관리 EOS 대응 계획, 프로그램 패치 패치관리 정책, 패치현황 관리, 불가 시 보완대책, 인터넷 패치 제한, PMS 보호대책
2.10.9 악성코드 통제 백신 업데이트, 실시간 검사를 수행 악성코드 보호대책, 예방탐지 활동, 보안프로그램 최신상태 유지, 감염 시 대응절차
2.11 사고 예방 및 대응    
2.11.1 사고 예방 및 대응 체계 구축 침해대응절차, 조직, 비상연락망, 지침에 신고기준 정의, 협조기관 사고대응체계, 외부기관 침해사고 대응체계 구축 계약서 반영, 외부기관 협조체계 수립
2.11.2 취약점 점검 및 조치 연1회 취약점 검사, 취약점에 대한 보완조치, 책임자에게 보고 취약점 점검 절차 수립 및 정기적 점검, 결과 보고, 최신 보안취약점 발생 파악, 점검 이력 기록관리
2.11.3 이상행위 분석 및 모니터링 이상행위 대응 모니터링 체계 내외부 침해시도, 개인정보 유출시도, 부정행위 모니터링, 임계치 정의 및 이상행위 판단 등 조치
2.11.4 사고 대응 훈련 및 개선 연1회 모의훈련, 훈련 결과를 대응체계에 반영 침해사고 및 유출사고 대응 모의훈련 계획수립, 모의훈련 연1회 실시, 대응체계 개선
2.11.5 사고 대응 및 복구 유출통지, 침해사고 원인 및 재발방지, 정보보호위원회보고 침해사고 인지 시 대응 및 보고, 정보주체 통지 및 관계기관 신고, 종결 후 공유, 재발방지대책 수립
2.12 재해복구    
2.12.1 재해재난 대비 안전조치 재해복구절차, 조직, RTO/RPO, 복구대책 IT재해유형 식별, 피해&업무 영향 분석, 핵심 IT서비스 및 시스템 식별, RTO, RPO 정의, BCP
2.12.2 재해복구 시험 및 개선 연1회 재해복구 시험 및 결과, 복구전략 및 대책 보완 BCP 수립ㆍ이행, 복구전략 및 대책 정기적 검토ㆍ보완
3 개인정보처리단계별 요구사항    
3.1 개인정보 수집 시 보호조치    
3.1.1 개인정보 수집 및 이용 동의 시 모든 항목포함, 동의시점, Q&A등 수집도 동의, 14세미만 법정더래인 명확 고지(목항기거) 후 동의, 방법 및 시점, 명확 표시, 만14세(법정대리인 동의), 동의 기록 보관
3.1.2 개인정보 의 수집 제한 최소수집, 선택정보에 동의하지 않을 수 있다는 사실 개인정보 최소한 정보 필수항목 수집, 최소 이외 선택항목, 거부권
3.1.3 주민등록번호 처리 제한 법령에 근거하여 수집, 대체수단 제공(CI, DI) 주민번호 수집 법적 근거, 법조항 구체적 식별, 대체수단 제공
3.1.4 민감정보 및 고유식별정보의 처리 제한 민감정보 일괄동의 금지, 민감정보 동의 시에 불이익에 관한 사항 포함해야 함 민감정보&고유식별정보 별도 동의, 법령 구체적 근거
3.1.5 개인정보 간접수집 수집출처, 3개월 이내 통지, 수집출저 통지에 대한 기록 보유 간접수집 동의획득 책임(제공자), 사회통념 동의 의사 이용, 자동수집장치, 통지(요구, 처리자), 보관
3.1.6 영상정보처리기기 설치 운여 안내판, 운영 및 관리 방침 허용장소 및 목적, 공공기관 공청회, 안내판, 운영관리방침, 보관기관 만료시 삭제, 위탁 시 계약서
3.1.7 마케팅 목적의 개인정보 수집 및 이용 포괄동의 안됨, 2년마다 재동의, 메일에 "(광고)" 표시 홍보 별도 동의, 광고 사전 동의, 2년 확인, 영리목적 광고 고지(전송자, 수신거부방법), 야간 금지
3.2 개인정보 보유 및 이용시 보호조치    
3.2.1 개인정보 현황관리 개인정보파일 개보위에 등록 (60일 이내 등록) 개인정보 현황 정기적 관리, 공공기관 개인정보파일 등록, 개인정보파일을 처리방침에 공개
3.2.2 개인정보 품질보장 본인확인 절차를 통한 개인정보 품질확보 수집 개인정보 최신화, 정보주체 개인정보 품질(정확성, 완전성, 최신성) 유지
3.2.3 이용자 단말기 접근보호 스마트폰 앱 접근권한 동의, 스마트폰 접근권한 과도한 동의 이동통신단말장치 접근권한 고지, 동의, 선택권한 거부권, 동의 및 철회방법 마련
3.2.4 개인정보 목적 외 이용 및 제공 목적 외 이용 시 동의, 공공 제3자 제공 시에 대장 기록 목적 외 별도 동의, 법적 근거, 제3자 안전조치, 공공기관(목적 외 관보&홈페이지 게재, 목적 외 대장)
3.2.5 가명정보 처리 가명정보 처리방침 공개, 가명정보와 추가정보 분리, 특이체 제거, 재식별 검토  
3.3 개인정보 제공 시 보호조치    
3.3.1 개인정보 제3자 제공 동의 거부권, 최소한의 개인정보만 제3자 제공 제3자 별도 동의, 거부권, 최소정보 제한, 제3자 제공내역 기록보관, 제3자 접근 시 보호절차 통제
3.3.2 개인정보 처리 업무 위탁 개인정보처리방침에 수탁사 공개, 홍보 등 업무위탁을 정보주차에게 알려야 함  
3.3.3 영업의 양수 등에 따른 개인정보의 이전 이전 사실 통지, 이전을 원하지 않을 때 방법 및 절차 마련함 양도ㆍ합병 이전 시 통지(개통면), 통지요건(사실, 받는자, 이전 불원), 본래 목적 이용
3.3.4 개인정보의 국외이전 개인정보처리방침에 국외이전 공개(클라우드), 국외 이전 별도 동의 국외이전 고지(목항기거자, 목항기국일방자)동의, 계편공 동의갈음, 국외이전 계약, 국외 보호조치
3.4 개인정보의 파기    
3.4.1 개인정보의 파기 목적 달성 시 파기, 이벤트 종료 시 파기, 익명처리로 파기 가능 개인정보 보유기간 및 파기 정책, 불필요 시 파기, 안전한 방법 파기, 파기 기록 관리
3.4.2 처리목적 달성 후 보유 시 조치 목적 달성 개인정보 분리보관, 선택정보는 파기 불필요 시 최소 기간, 최소정보 보관, 보존 시 분리보관, 목적 범위 내 처리, 접근권한 최소인원 제한
3.5 정보주체 권리보호    
3.5.1 개인정보처리방침 공개 개인정보처리방침 공개 (의무사항 모든 항목) 개인정보 처리방침 공개, 법령 요구내용 포함, 변경 시 공지, 변경 사항 이력관리
3.5.2 정보주체 권리보장 10일 이내 열람, 요청 내역 기록, 정보전송요구권 권리(열람, 정정ㆍ삭제, 처리정지) 행사 방법 및 절차, 이의제기, 동의 철회, 처리 기록, 타인 권리 침해
3.5.3 정보주체에 대한 통지 이용내역 통지 (메일, SMS 등) 개인정보 이용내역 주기적 통지(100만명 연1회), 통지항목 법 요구항목 포함
저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

신용정보업감독규정 VS 개인정보의 안전성 확보 조치  (1) 2024.09.27
인증조항별 결함 사례 공부하기  (0) 2024.06.14
정보보호 업무 시기별 수행 항목  (0) 2024.03.04
담당자별 역할 정의  (0) 2024.03.04
ISMS 인증 조항 포인트 외우기  (1) 2023.11.30

참고 자료 입니다.

 

구분 수행업무 증적자료 기안자/담당자 최종결재자 또는 최종확인자
년 1회 정보보호 관련 예산 확보 및 년간감사계획 승인 시 년간감사계획서
정보보호위원회회의록 - 위험분석 실시를 위한 컨설팅진행 승인 등		 정보보호담당자 정보보호위원회
  위험분석 시 위험분석 계획서 정보보호담당자 정보보호책임자
  위험분석 시 DoA 정보보호담당자 CEO
  위험분석 시 정보보호대책 이행계획서 정보보호담당자 정보보호책임자
  위험분석 시 위험분석평가보고서 정보보호담당자 CEO
  기술적 취약점 점검 시 기술적 취약점 점검결과 정보보호담당자 CEO
  정책/지침 제/개정 시 정보보호위원회회의록 - 정책/지침 제.개정 승인 정보보호담당자 정보보호위원회
  정책/지침 제/개정 시 정보보호 관련 정책/지침 앞장에 개정이력 관리 정보보호담당자 -
  정책/지침 제/개정 시 정보보호 관련 정책/지침 전 문서를 그룹웨어에 공지 정보보호담당자 -
  정보보호 년간 교육 및 인식제고 계획 시 정보보호 년간교육 및 인식제고 계획서 정보보호담당자 정보보호책임자
  교육 시 정보보호교육 계획서
개인/정보보호 교육자료
정보보호교육 결과보고서		 정보보호담당자 정보보호책임자
  교육 시
(개인정보 위탁사 대상)		 정보보호교육 계획서
개인/정보보호 교육 자료
정보보호교육 결과보고서		 정보보호담당자 정보보호책임자
  교육 시
(정책/지침 제/개정 시)		 정보보호교육 계획서
개인/정보보호 교육 자료
법 개정된 내용
정보보호교육 결과보고서		 정보보호담당자 정보보호책임자
  침해사고 모의훈련 시 비상연락망
침해사고모의훈련계획서
침해사고모의훈련결과서		 정보보호담당자 정보보호책임자
  IT재해복구 시험 시 비상연락망
IT재해복구 시험계획서
IT재해복구 시험결과서		 정보보호담당자 정보보호책임자
  감사 시 감사결과보고
정보보호위원회회의록		 정보보호담당자 정보보호위원회
  위탁사 점검 시 수탁사 점검 정보보호담당자 정보보호위원회
  직무기술 검토 시 직무기술서 정보보호담당자
정보보호관리자
정보보호책임자
정보보호지킴이		 상위권자
6개월 인가된 직원 출입 권한 검토 출입통제장치 출입/접근이력 검토대장
열쇠관리대장		 물리보안담당자
열쇠담당자		 정보보호관리자
  업무용 USB 관리 업무용 USB관리대장 업무용 USB 자산관리자  
  일반정보처리시스템 로그 점검 로그 검토 결과 및 백업대장 해당 정보처리시스템의 자산관리자 정보보호관리자
  정보보호시스템 정책 적정성 검토 로그 검토 결과 및 백업대장 해당 정보보호시스템의 자산관리자 정보보호관리자
  주요직무자 접근 권한 적정성 검토 주요직무자 리스트 및 접근권한 적정성 검토대장 부서장 정보보호관리자
  모바일기기승인현황 검토 모바일기기승인현황 검토대장 해당 정보처리시스템의 자산관리자 해당 정보처리시스템의 자산책임자
  접근권한 검토 접근권한 검토대장 해당 정보처리시스템의 자산관리자 해당 정보처리시스템의 자산책임자
  정보시스템 성능 및 용량 검토 정보시스템 성능 및 용량 검토대장 해당 정보처리시스템의 자산관리자 해당 정보처리시스템의 자산책임자
월 1회 사무실/PC/모바일 보안 점검 사무실/PC/모바일 보안 점검표 해당직원 상위권자(기안자 소속)
  출입관리 점검 외부 출입자 및 노트북/정보시스템/저장매체 반출입 포함 출입 방문자의 업무 담당자 정보보호담당자
  개인정보처리시스템 점검 로그검토 결과 및 백업대장 해당 개인정보처리시스템의 자산관리자 정보보호관리자
  공용 단말기/공용 계정 점검 공용계정 사용대장 공용 단말기/공용 계정 사용자 상위권자(기안자 소속)
  악성코드 탐지 검사 악성코드 탐지 검사 로그 해당 정보처리시스템의 자산관리자 -
  정보시스템 성능 및 용량 검토 정보시스템 성능 및 용량 검토대장 모니터링 담당자 모니터링 담당자의 상위권자
일1회 악성코드 엔진 업데이트 중요 서버 로그, PC 업데이트 로그 해당 정보처리시스템의 자산관리자
악성코드 담당자		 -
수시 직원 입사시 정보보호서약서 징구 인사부서 상위권자(기안자 소속)
  위수탁 계약 체결 시 외부용역 위탁 협약서 계약부서 상위권자(기안자 소속)
  외주 개발/변경 시 외부용역 위탁 협약서
개발 보안요구사항 체크리스트		 계약부서 상위권자(기안자 소속)
  위탁사 직원 업무 시 정보보호서약서 징구 계약부서 상위권자(기안자 소속)
  (개인)정보보호 조직 구성 시 정보보호 조직도 정보보호담당자 CEO
  CISO 지정 시 정보보호 최고책임자 지정신고서 정보보호담당자 CEO
  주요직무자용 - 계정 생성 및 권한 변경 시 계정 및 권한 신청/변경 신청서 주요직무자 정보보호책임자
  계정 생성 및 권한 변경 시 계정 및 권한 신청/변경 신청서 해당직원 상위권자(기안자 소속)
  직원 퇴사 시 사직원, 비밀유지서약서 해당직원 상위권자(기안자 소속)
  직원 직무변경 시 직무변경 체크리스트 해당직원 상위권자(기안자 소속)
  외부자 계약만료/업무종료/담당자변경 시 퇴사/계약만료 체크리스트 해당외부자의 담당직원 상위권자(기안자 소속)
  정보시스템 개발 시 계정 및 권한 신청/변경 신청서
개발 보안요구사항 체크리스트
응용프로그램 이관 대장		 해당직원 상위권자(기안자 소속)
  정보시스템 개발 시 기술적 취약점 점검결과
(신규 개발 및 기능추가 등 미들급이상의 변경시 적용)		 해당직원 정보보호관리자
  신규 정보시스템 도입 시 정보시스템 신규/개선 체크리스트 해당직원 구매부서 담당자
  기존 정보시스템 개선/변경/파기 시 변경처리작업계획서 해당직원 상위권자(기안자 소속)
  기존 정보시스템 개선 시 정보시스템 신규/개선 체크리스트 해당직원 구매부서 담당자
  정책 및 룰셋 업데이트 시 변경처리작업계획서 해당직원 상위권자(기안자 소속)
  웹사이트에 기밀 정보 공개 시 공개 내용 검토 해당직원 정보보호관리자
  웹사이트에 대외비 정보 공개 시 공개 내용 검토 해당직원 상위권자(기안자 소속)
  휴대용 저장매체 사용 시 휴대용 저장매체 예외적용 신청서) 해당직원 상위권자(기안자 소속)
  저장매체 폐기/재사용 시 저장매체 재사용/파기 대장 해당직원 해당 정보처리시스템의 자산책임자
  업무용으로 모바일기기를 사용 시 모바일기기 사용신청서 해당직원 정보보호관리자
  업무용으로 무선AP를 사용 시 무선AP사용 신청서 해당직원 정보보호관리자
  원격업무 신청 시 특정단말인증, 사용자인증, 구간암호화, 접속단말 보안(백신, 패치) 등 적용 해당직원 정보보호책임자
  개인정보를 외부업체에 전송 시 개인정보를 암호화 후 패스워드는 별도채널을 통해 전달 해당직원 개인 정보보호책임자
  개인정보가 포함된 문서를 출력 시 개인정보 출력관리 대장 해당직원 개인 정보보호책임자
  암호키 생성/복구 시 암호키관리대장 해당직원 정보보호책임자
  암호키 변경/폐기 시 암호키관리대장 해당직원 정보보호위원회
  정보시스템 장애 발생 시 장애사고 관리대장 해당직원 해당 정보처리시스템의 자산책임자
  침해사고 1등급 발생 시 침해사고발생보고서
침해사고대응보고서		 정보보호담당자 CEO
  개인정보가 유출되었을 시 개인정보 유출 신고서 정보보호담당자 CEO
  침해사고 2등급 발생 시 침해사고발생보고서
침해사고대응보고서		 정보보호담당자 정보보호책임자
  침해사고 3등급 발생 시 침해사고발생보고서
침해사고대응보고서		 정보보호담당자 정보보호관리자
  재해 발생 시 대응보고서 정보보호담당자 CEO

 

저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

인증조항별 결함 사례 공부하기  (0) 2024.06.14
인증 조항별 키워드 (비교 자료)  (1) 2024.03.04
담당자별 역할 정의  (0) 2024.03.04
ISMS 인증 조항 포인트 외우기  (1) 2023.11.30
ISMS 인증 조항 - 3.5 정보주체 권리보호  (1) 2023.11.09

이전에 다니던 회사 중 한 곳에서 컨설팅 받으면서 받은 자료입니다.

회사마다 역할은 다를 수 있어요.

그냥 참고 자료로 공유합니다.

 

담당자 역할 및 책임
정보보호책임자
  • 정보보호관리체계의 수립 및 관리ㆍ운영
  • 정보보호 취약점 분석ㆍ평가 및 개선
  • 침해사고의 예방 및 대응
  • 사전 정보보호대책 마련 및 보안조치 설계ㆍ구현
  • 정보보호 사전 보안성 검토
  • 중요 정보의 암호화 및 보안서버 적합성 검토
  • 그 밖에 관계 법령에 따라 정보보호를 위하여 필요한 조치의 이행 등 정보보호에 관한 업무 총괄 등
정보보호 관리자
  • 정보자산/접근통제/운영관리 등 정보보호관리체계 내 모든 보안업무에 관한 조정 및 감독
  • 정보자산/접근통제/운영관리 등 정보보호관리체계 내 모든 보안업무의 추진계획 관리 등
정보보호 담당자
  • 정보자산/접근통제/운영관리 등 정보보호관리체계 내 보안업무의 시행방법, 절차 등 추진계획 수립/시행
  • 자산 별 위험분석 및 보안대책 강구/관리
  • 보안사고 대응 및 복구 관리
  • 보안사고 모니터링 및 대응
  • 정보자산의 반출ㆍ입 등 정보자산에 대한 관리
  • 보호구역에 대한 출입통제 관리
  • 임직원 입사 및 퇴사 시 보안관리 등
팀 및 그룹별 정보보호 담당자
  • 해당 보안업무의 추진계획 시행
  • 구현된 보안대책의 운영
  • 해당 파트 내 정보자산에 대한 중요도 등급 결정
  • 해당 부서원 별 정보자산에 대한 접근통제 권한 결정
  • 해당 부서원 퇴직 시 서약서 징구 및 필요한 정보보호 조치
  • 해당 부서원에 대한 보안 교육 등
서버 담당자
  • 자산 별 위험분석 및 보안대책 강구/관리
  • 시스템 모니터링 및 사고 대응
  • 서비스 중요도에 따른 복구 방안 마련
서비스 담당자
  • 서비스 모니터링 및 사고 대응
이외 담당자
  • 자산 별 위험분석 및 보안대책 강구/관리
  • 모니터링 및 사고 대응 (복구 관리 포함)
저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

인증 조항별 키워드 (비교 자료)  (1) 2024.03.04
정보보호 업무 시기별 수행 항목  (0) 2024.03.04
ISMS 인증 조항 포인트 외우기  (1) 2023.11.30
ISMS 인증 조항 - 3.5 정보주체 권리보호  (1) 2023.11.09
ISMS 인증 조항 - 3.4 개인정보 파기 시 보호조치  (0) 2023.11.09

★ 무조건 조항별로 포인트를 직접 체크하여 외우셔야 합니다. (그래야 공부가 되요)

★ 무조건 조항별 포인트 키워드도 직접 체크하여 외우셔야 합니다. (그래야 바로 기억나요)

 

 

기술사님이 하시는 말이 아래 처럼만 되면 다 붙을 수 있다고 하시네요~

"1.1.2 최고책임자의 지정" 하면, 주요 확인사항이 바로 입으로 튀어나올 수 있을 정도로 외워야 하고, 주요 확인사항에 관련된 정보도 같이 공부를 해야 한다고 합니다. 예) 최고책임자의 지정은? 자격요건은?

 

 

내년에는 꼭 붙어야겠어서 지금부터 준비합니다 ㅠㅠ

모두 파이팅 입니다!!!

 

1. 관리체계 수립 및 운영(16개)/세부항목(42개)

분야 항목 상세내용 주요 확인사항
1.1.  관리체계 기반 마련 1.1.1 경영진의 참여 최고경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 체계를 수립하여 운영하여야 한다. 정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화하고 있는가?
경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립∙이행하고 있는가?
1.1.2 최고책임자의 지정 최고경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산∙인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다. 최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?
정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며 관련 법령에 따른 자격요건을 충족하고 있는가?
1.1.3 조직 구성 최고경영자는 정보보호와 개인정보보호의 효과적 구현을 위한 실무조직, 조직 전반의 정보보호와 개인정보보호 관련 주요 사항을 검토 및 의결할 수 있는 위원회, 전사적 보호활동을 위한 부서별 정보보호와 개인정보보호 담당자로 구성된 협의체를 구성하여 운영하여야 한다. 정보보호 최고책임자 및 개인정보 보호책임자의 업무를 지원하고 조직의 정보보호 및 개인정보보호 활동을 체계적으로 이행하기 위해 전문성을 갖춘 실무조직을 구성하여 운영하고 있는가?
조직 전반에 걸친 중요한 정보보호 및 개인정보보호 관련사항에 대하여 검토, 승인 및 의사결정을 할 수 있는 위원회를 구성하여 운영하고 있는가?
전사적 정보보호 및 개인정보보호 활동을 위하여 정보보호 및 개인정보보호 관련 담당자 및 부서별 담당자로 구성된 실무 협의체를 구성하여 운영하고 있는가?
1.1.4 범위 설정  조직의 핵심 서비스와 개인정보 처리 현황 등을 고려하여 관리체계 범위를 설정하고, 관련된 서비스를 비롯하여 개인정보 처리 업무와 조직, 자산, 물리적 위치 등을 문서화하여야 한다. 조직의 핵심 서비스 및 개인정보 처리에 영향을 줄 수 있는 핵심자산을 포함하도록 관리체계 범위를 설정하고 있는가?
정의된 범위 내에서 예외사항이 있을 경우 명확한 사유 및 관련자 협의∙책임자 승인 등 관련 근거를 기록∙관리하고 있는가?
정보보호 및 개인정보보호 관리체계 범위를 명확히 확인할 수 있도록 관련된 내용(주요 서비스 및 업무 현황, 정보시스템 목록, 문서목록 등)이 포함된 문서를 작성하여 관리하고 있는가?
1.1.5 정책 수립 정보보호와 개인정보보호 정책 및 시행문서를 수립∙작성하며, 이때 조직의 정보보호와 개인정보보호 방침 및 방향을 명확하게 제시하여야 한다. 또한 정책과 시행문서는 경영진 승인을 받고, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달하여야 한다. 조직이 수행하는 모든 정보보호 및 개인정보보호 활동의 근거를 포함하는 최상위 수준의 정보보호 및 개인정보보호 정책을 수립하고 있는가?
정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가?
정보보호 및 개인정보보호 정책∙시행문서의 제∙개정 시 최고경영자 또는 최고경영자로부터 권한을 위임받은 자의 승인을 받고 있는가?
정보보호 및 개인정보보호 정책∙시행문서의 최신본을 관련 임직원에게 접근하기 쉬운 형태로 제공하고 있는가?
1.1.6 자원 할당 최고경영자는 정보보호와 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고, 관리체계의 효과적 구현과 지속적 운영을 위한 예산 및 자원을 할당하여야 한다. 정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력을 확보하고 있는가?
정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위해 필요한 자원을 평가하여 필요한 예산과 인력을 지원하고 있는가?
연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립∙시행하고 그 추진결과에 대한 심사분석∙평가를 실시하고 있는가?
1.2.  위험 관리 1.2.1 정보자산 식별 조직의 업무특성에 따라 정보자산 분류기준을 수립하여 관리체계 범위 내 모든 정보자산을 식별∙분류하고, 중요도를 산정한 후 그 목록을 최신으로 관리하여야 한다. 정보자산의 분류기준을 수립하고 정보보호 및 개인정보보호 관리체계 범위 내의 모든 자산을 식별하여 목록으로 관리하고 있는가?
식별된 정보자산에 대해 법적 요구사항 및 업무에 미치는 영향 등을 고려하여 중요도를 결정하고 보안등급을 부여하고 있는가? 
정기적으로 정보자산 현황을 조사하여 정보자산목록을 최신으로 유지하고 있는가?
1.2.2 현황 및 흐름분석 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다. 관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가?
관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보흐름도 등으로 문서화하고 있는가?
서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 흐름도 등 관련 문서의 최신성을 유지하고 있는가?
1.2.3 위험 평가 조직의 대내외 환경분석을 통해 유형별 위협정보를 수집하고 조직에 적합한 위험 평가 방법을 선정하여 관리체계 전 영역에 대하여 연 1회 이상 위험을 평가하며, 수용할 수 있는 위험은 경영진의 승인을 받아 관리하여야 한다. 조직 또는 서비스의 특성에 따라 다양한 측면에서 발생할 수 있는 위험을 식별하고 평가할 수 있는 방법을 정의하고 있는가?
위험관리 방법 및 절차(수행인력, 기간, 대상, 방법, 예산 등)를 구체화한 위험관리계획을 매년 수립하고 있는가?
위험관리계획에 따라 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가를 수행하고 있는가?
조직에서 수용 가능한 목표 위험수준을 정하고 그 수준을 초과하는 위험을 식별하고 있는가?
위험식별 및 평가 결과를 경영진에게 보고하고 있는가?
1.2.4 보호대책 선정 위험 평가 결과에 따라 식별된 위험을 처리하기 위하여 조직에 적합한 보호대책을 선정하고, 보호대책의 우선순위와 일정∙담당자∙예산 등을 포함한 이행계획을 수립하여 경영진의 승인을 받아야 한다. 식별된 위험에 대한 처리 전략(감소, 회피, 전가, 수용 등)을 수립하고 위험처리를 위한 보호대책을 선정하고 있는가?
보호대책의 우선순위를 고려하여 일정, 담당부서 및 담당자, 예산 등의 항목을 포함한 보호대책 이행계획을 수립하고 경영진에 보고하고 있는가?
1.3.  관리체계 운영 1.3.1 보호대책 구현 선정한 보호대책은 이행계획에 따라 효과적으로 구현하고, 경영진은 이행결과의 정확성과 효과성 여부를 확인하여야 한다. 이행계획에 따라 보호대책을 효과적으로 구현하고 이행결과의 정확성 및 효과성 여부를 경영진이 확인할 수 있도록 보고하고 있는가?
관리체계 인증기준 별로 보호대책 구현 및 운영 현황을 기록한 운영명세서를 구체적으로 작성하고 있는가?
1.3.2 보호대책 공유 보호대책의 실제 운영 또는 시행할 부서 및 담당자를 파악하여 관련 내용을 공유하고 교육하여 지속적으로 운영되도록 하여야 한다. 구현된 보호대책을 운영 또는 시행할 부서 및 담당자를 명확하게 파악하고 있는가?
구현된 보호대책을 운영 또는 시행할 부서 및 담당자에게 관련 내용을 공유 또는 교육하고 있는가?
1.3.3 운영현황 관리 조직이 수립한 관리체계에 따라 상시적 또는 주기적으로 수행하여야 하는 운영활동 및 수행 내역은 식별 및 추적이 가능하도록 기록하여 관리하고, 경영진은 주기적으로 운영활동의 효과성을 확인하여 관리하여야 한다. 관리체계 운영을 위해 주기적 또는 상시적으로 수행해야 하는 정보보호 및 개인정보보호 활동을 문서화하여 관리하고 있는가?
경영진은 주기적으로 관리체계 운영활동의 효과성을 확인하고 이를 관리하고 있는가?
1.4.  관리체계 점검 및 개선 1.4.1 법적 요구사항 준수 검토 조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다. 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하고 있는가?
법적 요구사항의 준수여부를 연 1회 이상 정기적으로 검토하고 있는가?
1.4.2 관리체계 점검 관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다. 법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 있는가?
관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 경영진에게 보고하고 있는가?
1.4.3 관리체계 개선 법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립∙이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다. 법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계 상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립∙이행하고 있는가?
재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하고 있는가?

 

 

2. 보호대책 요구사항(64개)/세부항목(195개)

 분야 항목 상세내용 주요 확인사항
2.1.  정책, 조직, 자산 관리 2.1.1 정책의 유지관리 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 제∙개정하고 그 내역을 이력관리하여야 한다. 정보보호 및 개인정보보호 관련 정책 및 시행문서에 대한 정기적인 타당성 검토 절차를 수립∙이행하고 있는가?
조직의 대내외 환경에 중대한 변화 발생 시 정보보호 및 개인정보보호 관련 정책 및 시행문서에 미치는 영향을 검토하고 필요시 제∙개정하고 있는가?
정보보호 및 개인정보보호 관련 정책 및 시행문서의 제∙개정 시 이해 관계자의 검토를 받고 있는가?
정보보호 및 개인정보보호 관련 정책 및 시행문서의 제∙개정 내역에 대하여 이력 관리를 하고 있는가?
2.1.2 조직의 유지관리 조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원 간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다. 정보보호 및 개인정보보호 관련 책임자와 담당자의 역할 및 책임을 명확히 정의하고 있는가?
정보보호 및 개인정보보호 관련 책임자와 담당자의 활동을 평가할 수 있는 체계를 수립하고 있는가?
정보보호 및 개인정보보호 관련 조직 및 조직의 구성원간 상호 의사소통할 수 있는 체계 및 절차를 수립∙이행하고 있는가?
2.1.3 정보자산 관리 정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립∙이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다. 정보자산의 보안등급에 따른 취급절차(생성∙도입, 저장, 이용, 파기) 및 보호대책을 정의하고 이행하고 있는가?
식별된 정보자산에 대하여 책임자 및 관리자를 지정하고 있는가?
2.2.  인적 보안 2.2.1 주요 직무자 지정 및 관리 개인정보 및 중요정보의 취급이나 주요 시스템 접근 등 주요 직무의 기준과 관리방안을 수립하고, 주요 직무자를 최소한으로 지정하여 그 목록을 최신으로 관리하여야 한다. 개인정보 및 중요정보의 취급, 주요 시스템 접근 등 주요 직무의 기준을 명확히 정의하고 있는가?
주요 직무를 수행하는 임직원 및 외부자를 주요 직무자로 지정하고 그 목록을 최신으로 관리하고 있는가?
업무상 개인정보를 취급하는 자를 개인정보취급자로 지정하고 목록을 최신으로 관리하고 있는가?
업무 필요성에 따라 주요 직무자 및 개인정보취급자 지정을 최소화하는 등 관리방안을 수립∙이행하고 있는가?
2.2.2 직무 분리 권한 오∙남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하고 적용하여야 한다. 다만 불가피하게 직무 분리가 어려운 경우 별도의 보완대책을 마련하여 이행하여야 한다. 권한 오∙남용 등으로 인한 잠재적인 피해 예방을 위하여 직무 분리 기준을 수립하여 적용하고 있는가?
직무분리가 어려운 경우 직무자간 상호 검토, 상위관리자 정기 모니터링 및 변경사항 승인, 책임추적성 확보 방안 등의 보완통제를 마련하고 있는가?
2.2.3 보안 서약 정보자산을 취급하거나 접근권한이 부여된 임직원∙임시직원∙외부자 등이 내부 정책 및 관련 법규, 비밀유지 의무 등 준수사항을 명확히 인지할 수 있도록 업무 특성에 따른 정보보호 서약을 받아야 한다. 신규 인력 채용 시 정보보호 및 개인정보보호 책임이 명시된 정보보호 및 개인정보보호 서약서를 받고 있는가?
임시직원, 외주용역직원 등 외부자에게 정보자산에 대한 접근권한을 부여할 경우 정보보호 및 개인정보보호에 대한 책임, 비밀유지 의무 등이 명시된 서약서를 받고 있는가?
임직원 퇴직 시 별도의 비밀유지에 관련한 서약서를 받고 있는가?
정보보호, 개인정보보호 및 비밀유지 서약서는 안전하게 보관하고 필요시 쉽게 찾아볼 수 있도록 관리하고 있는가?
2.2.4 인식제고 및 교육훈련 임직원 및 관련 외부자가 조직의 관리체계와 정책을 이해하고 직무별 전문성을 확보할 수 있도록 연간 인식제고 활동 및 교육훈련 계획을 수립∙운영하고, 그 결과에 따른 효과성을 평가하여 다음 계획에 반영하여야 한다.  정보보호 및 개인정보보호 교육의 시기, 기간, 대상, 내용, 방법 등의 내용이 포함된 연간 교육 계획을 수립하고 경영진의 승인을 받고 있는가?
관리체계 범위 내 모든 임직원과 외부자를 대상으로 연간 교육계획에 따라 연1회 이상 정기적으로 교육을 수행하고, 관련 법규 및 규정의 중대한 변경 시 이에 대한 추가교육을 수행하고 있는가?
임직원 채용 및 외부자 신규 계약 시, 업무 시작 전에 정보보호 및 개인정보보호 교육을 시행하고 있는가?
IT 및 정보보호, 개인정보보호 조직 내 임직원은 정보보호 및 개인정보보호와 관련하여 직무별 전문성 제고를 위한 별도의 교육을 받고 있는가?
교육시행에 대한 기록을 남기고 교육 효과와 적정성을 평가하여 다음 교육 계획에 반영하고 있는가?
2.2.5 퇴직 및 직무변경 관리 퇴직 및 직무변경 시 인사∙정보보호∙개인정보보호∙IT 등 관련 부서별 이행하여야 할 자산반납, 계정 및 접근권한 회수∙조정, 결과확인 등의 절차를 수립∙관리하여야 한다.  퇴직, 직무변경, 부서이동, 휴직 등으로 인한 인사변경 내용이 인사부서, 정보보호 및 개인정보보호 부서, 정보시스템 및 개인정보처리시스템 운영부서 간에 공유되고 있는가?
조직 내 인력(임직원, 임시직원, 외주용역직원 등)의 퇴직 또는 직무변경 시 지체 없는 정보자산 반납, 접근권한 회수∙조정, 결과 확인 등의 절차를 수립∙이행하고 있는가?
2.2.6 보안 위반 시 조치 임직원 및 관련 외부자가 법령, 규제 및 내부정책을 위반한 경우 이에 따른 조치 절차를 수립∙이행하여야 한다.  임직원 및 관련 외부자가 법령과 규제 및 내부정책에 따른 정보보호 및 개인정보보호 책임과 의무를 위반한 경우에 대한 처벌 규정을 수립하고 있는가?
정보보호 및 개인정보 보호 위반 사항이 적발된 경우 내부 절차에 따른 조치를 수행하고 있는가?
2.3.  외부자 보안 2.3.1 외부자 현황 관리 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비스, 애플리케이션 서비스 등)를 이용하는 경우그 현황을 식별하고 법적 요구사항 및 외부 조직∙서비스로부터 발생되는 위험을 파악하여 적절한 보호대책을 마련하여야 한다. 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설∙서비스의 이용 현황을 식별하고 있는가?
업무 위탁 및 외부 시설∙서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하고 있는가?
2.3.2 외부자 계약 시 보안 외부 서비스를 이용하거나 외부자에게 업무를 위탁하는 경우 이에 따른 정보보호 및 개인정보보호 요구사항을 식별하고, 관련 내용을 계약서 또는 협정서 등에 명시하여야 한다. 중요정보 및 개인정보 처리와 관련된 외부 서비스 및 위탁 업체를 선정하는 경우 정보보호 및 개인정보 보호 역량을 고려하도록 절차를 마련하고 있는가?
외부 서비스 이용 및 업무 위탁에 따른 정보보호 및 개인정보보호 요구사항을 식별하고 이를 계약서 또는 협정서에 명시하고 있는가?
정보시스템 및 개인정보처리시스템 개발을 위탁하는 경우 개발 시 준수해야 할 정보보호 및 개인정보보호 요구사항을 계약서에 명시하고 있는가?
2.3.3 외부자 보안 이행 관리 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리∙감독하여야 한다. 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가?
외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립∙이행하고 있는가?
개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 동의를 받도록 하고 있는가?
2.3.4 외부자 계약 변경 및 만료 시 보안 외부자 계약만료, 업무종료, 담당자 변경 시에는 제공한 정보자산 반납, 정보시스템 접근계정 삭제, 중요정보 파기, 업무 수행 중 취득정보의 비밀유지 확약서 징구 등의 보호대책을 이행하여야 한다. 외부자 계약만료, 업무 종료, 담당자 변경시 공식적인 절차에 따른 정보자산 반납, 정보시스템 접근계정 삭제, 비밀유지 확약서 징구 등이 이루어질 수 있도록 보안대책을 수립∙이행하고 있는가?
외부자 계약 만료 시 위탁 업무와 관련하여 외부자가 중요정보 및 개인정보를 보유하고 있는지 확인하고 이를 회수∙파기할 수 있도록 절차를 수립∙이행하고 있는가?
2.4.  물리 보안 2.4.1 보호구역 지정 물리적∙환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역∙제한구역∙접견구역 등 물리적 보호구역을 지정하고 각 구역별 보호대책을 수립∙이행하여야 한다.  물리적, 환경적 위협으로부터 개인정보 및 중요정보, 문서, 저장매체, 주요 설비 및 시스템 등을 보호하기 위하여 통제구역, 제한구역, 접견구역 등 물리적 보호구역 지정기준을 마련하고 있는가?
물리적 보호구역 지정기준에 따라 보호구역을 지정하고 구역별 보호대책을 수립∙이하고 있는가?
2.4.2  출입통제 보호구역은 인가된 사람만이 출입하도록 통제하고 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토하여야 한다. 보호구역은 출입절차에 따라 출입이 허가된 자만 출입하도록 통제하고 있는가?
각 보호구역에 대한 내∙외부자 출입기록을 일정기간 보존하고 출입기록 및 출입권한을 주기적으로 검토하고 있는가?
2.4.3 정보시스템 보호 정보시스템은 환경적 위협과 유해요소, 비인가 접근 가능성을 감소시킬 수 있도록 중요도와 특성을 고려하여 배치하고, 통신 및 전력 케이블이 손상을 입지 않도록 보호하여야 한다. 정보시스템의 중요도, 용도, 특성 등을 고려하여 배치 장소를 분리하고 있는가?
정보시스템의 실제 물리적 위치를 손쉽게 확인할 수 있는 방안을 마련하고 있는가?
전력 및 통신케이블을 외부로부터의 물리적 손상 및 전기적 영향으로부터 안전하게 보호하고 있는가?
2.4.4 보호설비 운영 보호구역에 위치한 정보시스템의 중요도 및 특성에 따라 온도∙습도 조절, 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선 등의 보호설비를 갖추고 운영절차를 수립∙운영하여야 한다. 각 보호구역의 중요도 및 특성에 따라 화재, 수해, 전력 이상 등 인재 및 자연재해 등에 대비하여 필요한 설비를 갖추고 운영절차를 수립하여 운영하고 있는가?
외부 집적정보통신시설(IDC)에 위탁 운영하는 경우 물리적 보호에 필요한 요구사항을 계약서에 반영하고 운영상태를 주기적으로 검토하고 있는가?
2.4.5 보호구역 내 작업 보호구역 내에서의 비인가행위 및 권한 오∙남용 등을 방지하기 위한 작업 절차를 수립∙이행하고, 작업 기록을 주기적으로 검토하여야 한다. 정보시스템 도입, 유지보수 등으로 보호구역 내 작업이 필요한 경우에 대한 공식적인 작업신청 및 수행 절차를 수립∙이행하고 있는가?
보호구역내 작업이 통제 절차에 따라 적절히 수행되었는지 여부를 확인하기 위하여 작업 기록을 주기적으로 검토하고 있는가?
2.4.6 반출입 기기 통제 보호구역 내 정보시스템, 모바일 기기, 저장매체 등에 대한 반출입 통제절차를 수립∙이행하고 주기적으로 검토하여야 한다. 정보시스템, 모바일기기, 저장매체 등을 보호구역에 반입하거나 반출하는 경우 정보유출, 악성코드 감염 등 보안사고 예방을 위한 통제 절차를 수립∙이행하고 있는가?
반출입 통제절차에 따른 기록을 유지∙관리하고, 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검하고 있는가?
2.4.7 업무환경 보안 공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무환경(업무용 PC, 책상 등)을 통해 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립∙이행하여야 한다. 문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용 기기에 대한 보호대책을 수립∙이행하고 있는가?
업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유∙노출을 방지하기 위한 보호대책을 수립∙이행하고 있는가?
개인정보가 포함된 종이 인쇄물 등 개인정보의 출력∙복사물을 안전하게 관리하기 위해 필요한 보호조치를 하고 있는가?
개인 및 공용업무 환경에서의 정보보호 준수여부를 주기적으로 검토하고 있는가?
2.5. 인증 및 권한관리 2.5.1 사용자 계정 관리 정보시스템과 개인정보 및 중요정보에 대한 비인가 접근을 통제하고 업무 목적에 따른 접근권한을 최소한으로 부여할 수 있도록 사용자 등록∙해지 및 접근권한 부여∙변경∙말소 절차를 수립∙이행하고, 사용자 등록 및 권한부여 시 사용자에게 보안책임이 있음을 규정화하고 인식시켜야 한다. 정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한의 등록∙변경∙삭제에 관한 공식적인 절차를 수립∙이행하고 있는가?
정보시스템과 개인정보 및 중요정보에 접근할 수 있는 사용자 계정 및 접근권한 생성∙등록∙변경 시 직무별 접근권한 분류 체계에 따라 업무상 필요한 최소한의 권한만을 부여하고 있는가? 
사용자에게 계정 및 접근권한을 부여하는 경우 해당 계정에 대한 보안책임이 본인에게 있음을 명확히 인식시키고 있는가?
2.5.2 사용자 식별 사용자 계정은 사용자별로 유일하게 구분할 수 있도록 식별자를 할당하고 추측 가능한 식별자 사용을 제한하여야 하며, 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하여 책임자의 승인 및 책임추적성 확보 등 보완대책을 수립∙이행하여야 한다. 정보시스템 및 개인정보처리시스템에서 사용자 및 개인정보취급자를 유일하게 구분할 수 있는 식별자를 할당하고 추측 가능한 식별자의 사용을 제한하고 있는가?
불가피한 사유로 동일한 식별자를 공유하여 사용하는 경우 그 사유와 타당성을 검토하고 보완대책을 마련하여 책임자의 승인을 받고 있는가?
2.5.3 사용자 인증 정보시스템과 개인정보 및 중요정보에 대한 사용자의 접근은 안전한 인증절차와 필요에 따라 강화된 인증방식을 적용하여야 한다. 또한 로그인 횟수 제한, 불법 로그인 시도 경고 등 비인가자 접근 통제방안을 수립∙이행하여야 한다. 정보시스템 및 개인정보처리시스템에 대한 접근은 사용자 인증, 로그인 횟수 제한, 불법 로그인 시도 경고 등 안전한 사용자 인증 절차에 의해 통제하고 있는가?
정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 법적 요구사항에 따라 안전한 인증수단 또는 안전한 접속수단을 적용하고 있는가?
2.5.4  비밀번호 관리 법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및  고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립∙이행하여야 한다. 정보시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립∙이행하고 있는가?
정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성 규칙을 수립∙이행하고 있는가?
개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하고 있는가?
2.5.5 특수 계정 및 권한 관리 정보시스템 관리, 개인정보 및 중요정보 관리 등 특수 목적을 위하여 사용하는 계정 및 권한은 최소한으로 부여하고 별도로 식별하여 통제하여야 한다.  관리자 권한 등 특수권한은 최소한의 인원에게만 부여될 수 있도록 공식적인 권한 신청 및 승인 절차를 수립∙이행하고 있는가?
특수 목적을 위해 부여한 계정 및 권한을 식별하고 별도의 목록으로 관리하는 등 통제절차를 수립∙이행하고 있는가?
2.5.6 접근권한 검토 정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록∙이용∙삭제 및 접근권한의 부여∙변경∙삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다. 정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한 생성∙등록∙부여∙이용∙변경∙말소 등의 이력을 남기고 있는가?
정보시스템과 개인정보 및 중요정보에 대한 사용자 계정 및 접근권한의 적정성 검토 기준, 검토주체, 검토방법, 주기 등을 수립하여 정기적 검토를 이행하고 있는가?
접근권한 검토 결과 접근권한 과다 부여, 권한부여 절차 미준수, 권한 오남용 등 문제점이 발견된 경우 그에 따른 조치절차를 수립∙이행하고 있는가?
2.6. 접근통제  2.6.1 네트워크 접근 네트워크에 대한 비인가 접근을 통제하기 위하여 IP관리, 단말인증 등 관리절차를 수립∙이행하고, 업무목적 및 중요도에 따라 네트워크 분리(DMZ, 서버팜, DB존, 개발존 등)와 접근통제를 적용하여야 한다. 조직의 네트워크에 접근할 수 있는 모든 경로를 식별하고 접근통제 정책에 따라 내부 네트워크는 인가된 사용자만이 접근할 수 있도록 통제하고 있는가?
서비스, 사용자 그룹, 정보자산의 중요도, 법적 요구사항에 따라 네트워크 영역을 물리적 또는 논리적으로 분리하고 각 영역간 접근통제를 적용하고 있는가?
네트워크 대역별 IP주소 부여 기준을 마련하고 DB서버 등 외부 연결이 필요하지 않은 경우 사설 IP로 할당하는 등의 대책을 적용하고 있는가?
물리적으로 떨어진 IDC, 지사, 대리점 등과의 네트워크 연결 시 전송구간 보호대책을 마련하고 있는가?
2.6.2 정보시스템 접근 서버, 네트워크시스템 등 정보시스템에 접근을 허용하는 사용자, 접근제한 방식, 안전한 접근수단 등을 정의하여 통제하여야 한다. 서버, 네트워크시스템, 보안시스템 등 정보시스템 별 운영체제(OS)에  접근이 허용되는 사용자, 접근 가능 위치, 접근 수단 등을 정의하여 통제하고 있는가?
정보시스템에 접속 후 일정시간 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 하고 있는가?
정보시스템의 사용목적과 관계없는 서비스를 제거하고 있는가?
주요 서비스를 제공하는 정보시스템은 독립된 서버로 운영하고 있는가?
2.6.3 응용프로그램 접근 사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다. 중요정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가?
개인정보 및 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가?
일정 시간동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가?
관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제하고 있는가?
개인정보 및 중요정보의 표시제한 보호조치의 일관성을 확보할 수 있도록 관련 기준을 수립하여 적용하고 있는가?
2.6.4 데이터베이스 접근 테이블 목록 등 데이터베이스 내에서 저장∙관리되고 있는 정보를 식별하고, 정보의 중요도와 응용프로그램 및 사용자 유형 등에 따른 접근통제 정책을 수립∙이행하여야 한다. 데이터베이스의 테이블 목록 등 저장∙관리되고 있는 정보를 식별하고 있는가?
데이터베이스 내 정보에 접근이 필요한 응용프로그램, 정보시스템(서버) 및 사용자를 명확히 식별하고 접근통제 정책에 따라 통제하고 있는가?
2.6.5 무선 네트워크 접근 무선 네트워크를 사용하는 경우 사용자 인증, 송수신 데이터 암호화, AP 통제 등 무선 네트워크 보호대책을 적용하여야 한다. 또한 AD Hoc 접속, 비인가 AP 사용 등 비인가 무선 네트워크 접속으로부터 보호대책을 수립∙이행하여야 한다. 무선네트워크를 업무적으로 사용하는 경우 무선 AP 및 네트워크 구간 보안을 위해 인증, 송수신 데이터 암호화 등 보호대책을 수립∙이행하고 있는가?
인가된 임직원만이 무선네트워크를 사용할 수 있도록 사용 신청 및 해지 절차를 수립∙이행하고 있는가?
AD Hoc 접속 및 조직내 허가 받지 않은 무선 AP 탐지∙차단 등 비인가된 무선네트워크에 대한 보호대책을 수립∙이행하고 있는가?
2.6.6 원격접근 통제 보호구역 이외 장소에서의 정보시스템 관리 및 개인정보 처리는 원칙적으로 금지하고, 재택근무∙장애대응∙원격협업 등 불가피한 사유로 원격접근을 허용하는 경우 책임자 승인, 접근 단말 지정, 접근 허용범위 및 기간 설정, 강화된 인증, 구간 암호화, 접속단말 보안(백신, 패치 등) 등 보호대책을 수립∙이행하여야 한다. 인터넷과 같은 외부 네트워크를 통한 정보시스템 원격운영은 원칙적으로 금지하고 장애대응 등 부득이하게 허용하는 경우 보완대책을 마련하고 있는가?
내부 네트워크를 통해서 원격으로 정보시스템을 운영하는 경우 특정 단말에 한해서만 접근을 허용하고 있는가?
재택근무, 원격협업, 스마트워크 등과 같은 원격업무 수행 시 중요정보 유출, 해킹 등 침해사고 예방을 위한 보호대책을 수립∙이행하고 있는가?
개인정보처리시스템의 관리, 운영, 개발, 보안 등을 목적으로 원격으로 개인정보처리시스템에 접속하는 단말기는 관리용 단말기로 지정하고 임의조작 및 목적 외 사용 금지 등 안전조치를 적용하고 있는가?
2.6.7 인터넷 접속 통제 인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스(P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립∙이행하여야 한다. 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립∙이행하고 있는가?
주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가?
관련 법령에 따라 인터넷망 차단 의무가 부과된 경우 대상자를 식별하여 안전한 방식으로 인터넷망 차단 조치를 적용하고 있는가?
2.7.  암호화 적용 2.7.1 암호정책 적용 개인정보 및 주요정보 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호 강도, 암호 사용 정책을 수립하고 개인정보 및 주요정보의 저장∙전송∙전달 시 암호화를 적용하여야 한다. 개인정보 및 주요정보의 보호를 위하여 법적 요구사항을 반영한 암호화 대상, 암호강도, 암호사용 등이 포함된 암호정책을 수립하고 있는가?
암호정책에 따라 개인정보 및 주요정보의 저장, 전송, 전달 시 암호화를 수행하고 있는가?
2.7.2 암호키 관리 암호키의 안전한 생성∙이용∙보관∙배포∙파기를 위한 관리 절차를 수립∙이행하고, 필요 시 복구방안을 마련하여야 한다. 암호키 생성, 이용, 보관, 배포, 변경, 복구, 파기 등에 관한 절차를 수립∙이행하고 있는가?
암호키는 필요시 복구가 가능하도록 별도의 안전한 장소에 보관하고 암호키 사용에 관한 접근권한을 최소화하고 있는가?
2.8. 정보시스템 도입 및 개발 보안 2.8.1 보안 요구사항 정의 정보시스템의 도입∙개발∙변경 시 정보보호 및 개인정보보호 관련 법적 요구사항, 최신 보안취약점, 안전한 코딩방법 등 보안 요구사항을 정의하고 적용하여야 한다. 정보시스템을 신규로 도입∙개발 또는 변경하는 경우 정보보호 및 개인정보보호 측면의 타당성 검토 및 인수 절차를 수립∙이행하고 있는가?
정보시스템을 신규로 도입∙개발 또는 변경하는 경우 법적 요구사항, 최신 취약점 등을 포함한 보안 요구사항을 명확히 정의하고 설계 단계에서부터 반영하고 있는가?
정보시스템의 안전한 구현을 위한 코딩 표준을 수립하여 적용하고 있는가?
2.8.2 보안 요구사항 검토 및 시험 사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위하여 법적 요구사항 준수, 최신 보안취약점 점검, 안전한 코딩 구현, 개인정보 영향평가 등의 검토 기준과 절차를 수립∙이행하고, 발견된 문제점에 대한 개선조치를 수행하여야 한다. 정보시스템의 도입, 개발, 변경 시 분석 및 설계 단계에서 정의한 보안 요구사항이 효과적으로 적용되었는지를 확인하기 위한 시험을 수행하고 있는가?
정보시스템이 안전한 코딩 기준 등에 따라 안전하게 개발되었는지를 확인하기 위한 취약점 점검이 수행되고 있는가?
시험 및 취약점 점검 과정에서 발견된 문제점이 신속하게 개선될 수 있도록 개선계획 수립, 이행점검 등의 절차를 이행하고 있는가?
공공기관은 관련 법령에 따라 개인정보처리시스템 신규 개발 및 변경 시 분석∙설계 단계에서 영향평가기관을 통해 영향평가를 수행하고 그 결과를 개발 및 변경 시 반영하고 있는가?
2.8.3 시험과 운영 환경 분리  개발 및 시험 시스템은 운영시스템에 대한 비인가 접근 및 변경의 위험을 감소시키기 위하여 원칙적으로 분리하여야 한다.  정보시스템의 개발 및 시험 시스템을 운영시스템과 분리하고 있는가?
불가피한 사유로 개발과 운영환경의 분리가 어려운 경우 상호검토, 상급자 모니터링, 변경 승인, 책임추적성 확보 등의 보안대책을 마련하고 있는가?
2.8.4 시험 데이터 보안 시스템 시험 과정에서 운영데이터의 유출을 예방하기 위하여 시험 데이터의 생성과 이용 및 관리, 파기, 기술적 보호조치에 관한 절차를 수립∙이행하여야 한다. 정보시스템의 개발 및 시험 과정에서 실제 운영 데이터의 사용을 제한하고 있는가?
불가피하게 운영데이터를 시험 환경에서 사용할 경우 책임자 승인, 접근 및 유출 모니터링, 시험 후 데이터 삭제 등의 통제 절차를 수립∙이행하고 있는가?
2.8.5 소스 프로그램 관리 소스 프로그램은 인가된 사용자만이 접근할 수 있도록 관리하고, 운영환경에 보관하지 않는 것을 원칙으로 하여야 한다. 비인가된 자에 의한 소스 프로그램 접근을 통제하기 위한 절차를 수립∙이행하고 있는가?
소스 프로그램은 장애 등 비상시를 대비하여 운영환경이 아닌 곳에 안전하게 보관하고 있는가?
소스 프로그램에 대한 변경이력을 관리하고 있는가?
2.8.6 운영환경 이관 신규 도입∙개발 또는 변경된 시스템을 운영환경으로 이관할 때는 통제된 절차를 따라야 하고, 실행코드는 시험 및 사용자 인수 절차에 따라 실행되어야 한다. 신규 도입∙개발 및 변경된 시스템을 운영환경으로 안전하게 이관하기 위한 통제 절차를 수립∙이행하고 있는가?
운영환경으로의 이관 시 발생할 수 있는 문제에 대한 대응 방안을 마련하고 있는가?
운영환경에는 서비스 실행에 필요한 파일만을 설치하고 있는가?
2.9. 시스템 및 서비스 운영관리 2.9.1 변경관리 정보시스템 관련 자산의 모든 변경내역을 관리할 수 있도록 절차를 수립∙이행하고, 변경 전 시스템의 성능 및 보안에 미치는 영향을 분석하여야 한다. 정보시스템 관련 자산(하드웨어, 운영체제, 상용 소프트웨어 패키지 등) 변경에 관한 절차를 수립∙이행하고 있는가?
정보시스템 관련 자산 변경을 수행하기 전 성능 및 보안에 미치는 영향을 분석하고 있는가?
2.9.2 성능 및 장애관리 정보시스템의 가용성 보장을 위하여 성능 및 용량 요구사항을 정의하고 현황을 지속적으로 모니터링하여야 하며, 장애 발생 시 효과적으로 대응하기 위한 탐지∙기록∙분석∙복구∙보고 등의 절차를 수립∙관리하여야 한다. 정보시스템의 가용성 보장을 위하여 성능 및 용량을 지속적으로 모니터링 할 수 있는 절차를 수립∙이행하고 있는가?
정보시스템 성능 및 용량 요구사항(임계치)을 초과하는 경우에 대한 대응절차를 수립∙이하고 있는가? 
정보시스템 장애를 즉시 인지하고 대응하기 위한 절차를 수립∙이행하고 있는가?
장애 발생 시 절차에 따라 조치하고 장애조치보고서 등을 통해 장애조치내역을 기록하여 관리하고 있는가?
심각도가 높은 장애의 경우 원인분석을 통한 재발방지 대책을 마련하고 있는가?
2.9.3 백업 및 복구관리 정보시스템의 가용성과 데이터 무결성을 유지하기 위하여 백업 대상, 주기, 방법, 보관장소, 보관기간, 소산 등의 절차를 수립∙이행하여야 한다. 아울러 사고 발생 시 적시에 복구할 수 있도록 관리하여야 한다. 백업 대상, 주기, 방법, 절차 등이 포함된 백업 및 복구절차를 수립∙이행하고 있는가?
백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가?
중요정보가 저장된 백업매체의 경우 재해∙재난에 대처할 수 있도록 백업매체를 물리적으로 떨어진 장소에 소산하고 있는가?
2.9.4 로그 및 접속기록 관리 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 사용자 접속기록, 시스템로그, 권한부여 내역 등의 로그유형, 보존기간, 보존방법 등을 정하고 위∙변조, 도난, 분실 되지 않도록 안전하게 보존∙관리하여야 한다. 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 로그관리 절차를 수립하고 이에 따라 필요한 로그를 생성하여 보관하고 있는가?
정보시스템의 로그기록은 위∙변조 및 도난, 분실되지 않도록 안전하게 보관하고 로그기록에 대한 접근권한은 최소화하여 부여하고 있는가?
개인정보처리시스템에 대한 접속기록은 법적 요구사항을 준수할 수 있도록 필요한 항목을 모두 포함하여 일정기간 안전하게 보관하고 있는가?
2.9.5 로그 및 접속기록 점검 정보시스템의 정상적인 사용을 보장하고 사용자 오∙남용(비인가접속, 과다조회 등)을 방지하기 위하여 접근 및 사용에 대한 로그 검토기준을 수립하여 주기적으로 점검하며, 문제 발생 시 사후조치를 적시에 수행하여야 한다. 정보시스템 관련 오류, 오∙남용(비인가접속, 과다조회 등), 부정행위 등 이상징후를 인지할 수 있도록 로그 검토 주기, 대상, 방법 등을 포함한 로그 검토 및 모니터링 절차를 수립∙이행하고 있는가?
로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하고 있는가?
개인정보처리시스템의 접속기록은 관련 법령에서 정한 주기에 따라 정기적으로 점검하고 있는가?
2.9.6 시간 동기화 로그 및 접속기록의 정확성을 보장하고 신뢰성 있는 로그분석을 위하여 관련 정보시스템의 시각을 표준시각으로 동기화하고 주기적으로 관리하여야 한다. 정보시스템의 시간을 표준시간으로 동기화하고 있는가?
시간 동기화가 정상적으로 이루어지고 있는지 주기적으로 점검하고 있는가?
2.9.7 정보자산의 재사용 및 폐기 정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구∙재생되지 않도록 안전한 재사용 및 폐기 절차를 수립∙이행하여야 한다. 정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립∙이행하고 있는가?
정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보를 복구되지 않는 방법으로 처리하고 있는가?
자체적으로 정보자산 및 저장매체를 폐기할 경우 관리대장을 통해 폐기이력을 남기고 폐기확인 증적을 함께 보관하고 있는가?
외부업체를 통해 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고 완전히 폐기했는지 여부를 확인하고 있는가?
정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하고 있는가?
2.10. 시스템 및 서비스 보안관리 2.10.1 보안시스템 운영 보안시스템 유형별로 관리자 지정, 최신 정책 업데이트, 룰셋 변경, 이벤트 모니터링 등의 운영절차를 수립∙이행하고 보안시스템별 정책적용 현황을 관리하여야 한다. 조직에서 운영하고 있는 보안시스템에 대한 운영절차를 수립∙이행하고 있는가?
보안시스템 관리자 등 접근이 허용된 인원을 최소화하고 비인가자의 접근을 엄격하게 통제하고 있는가?
보안시스템별로 정책의 신규 등록, 변경, 삭제 등을 위한 공식적인 절차를 수립∙이행하고 있는가?
보안시스템의 예외 정책 등록에 대하여 절차에 따라 관리하고 있으며, 예외 정책 사용자에 대하여 최소한의 권한으로 관리하고 있는가?
보안시스템에 설정된 정책의 타당성 여부를 주기적으로 검토하고 있는가?
개인정보처리시스템에 대한 불법적인 접근 및 개인정보 유출 방지를 위하여 관련 법령에서 정한 기능을 수행하는 보안시스템을 설치하여 운영하고 있는가?
2.10.2 클라우드 보안 클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접근, 설정 오류 등에 따라 중요정보와 개인정보가 유∙노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립∙이행하여야 한다. 클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고 이를 계약서(SLA 등)에 반영하고 있는가?
클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립∙이행하고 있는가?
클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고 관리자 권한에 대한 비인가된 접근, 권한 오남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하고 있는가?
클라우드 서비스의 보안 설정 변경, 운영 현황 등을 모니터링하고 그 적절성을 정기적으로 검토하고 있는가?
2.10.3 공개서버 보안 외부 네트워크에 공개되는 서버의 경우 내부 네트워크와 분리하고 취약점 점검, 접근통제, 인증, 정보 수집∙저장∙공개 절차 등 강화된 보호대책을 수립∙이행하여야 한다. 공개서버를 운영하는 경우 이에 대한 보호대책을 수립∙이행하고 있는가?
공개서버는 내부 네트워크와 분리된 DMZ(Demilitarized Zone)영역에 설치하고 침입차단시스템 등 보안시스템을 통해 보호하고 있는가?
공개서버에 개인정보 및 중요정보를 게시하거나 저장하여야 할 경우 책임자 승인 등 허가 및 게시절차를 수립∙이행하고 있는가?
조직의 중요정보가 웹사이트 및 웹서버를 통해 노출되고 있는지 여부를 주기적으로 확인하여 중요정보 노출을 인지한 경우 이를 즉시 차단하는 등의 조치를 취하고 있는가?
2.10.4 전자거래 및 핀테크 보안 전자거래 및 핀테크 서비스 제공 시 정보유출이나 데이터 조작∙사기 등의 침해사고 예방을 위해 인증∙암호화 등의 보호대책을 수립하고, 결제시스템 등 외부 시스템과 연계할 경우 안전성을 점검하여야 한다. 전자거래 및 핀테크 서비스를 제공하는 경우 거래의 안전성과 신뢰성 확보를 위한 보호대책을 수립∙이행하고 있는가?
전자거래 및 핀테크 서비스 제공을 위하여 결제시스템 등 외부 시스템과 연계하는 경우 송∙수신되는 관련 정보의 보호를 위한 대책을 수립∙이행하고 안전성을 점검하고 있는가?
2.10.5 정보전송 보안 타 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 조직 간 합의를 통해 관리 책임, 전송방법, 개인정보 및 중요정보 보호를 위한 기술적 보호조치 등을 협약하고 이행하여야 한다. 외부 조직에 개인정보 및 중요정보를 전송할 경우 안전한 전송 정책을 수립하고 있는가?
업무상 조직 간에 개인정보 및 중요정보를 상호교환하는 경우 안전한 전송을 위한 협약체결 등 보호대책을 수립∙이행하고 있는가?
2.10.6 업무용 단말기기 보안 PC, 모바일 기기 등 단말기기를 업무 목적으로 네트워크에 연결할 경우 기기 인증 및 승인, 접근 범위, 기기 보안설정 등의 접근통제 대책을 수립하고 주기적으로 점검하여야 한다. PC, 노트북, 가상PC, 태블릿 등 업무에 사용되는 단말기에 대하여 기기인증, 승인, 접근범위 설정, 기기 보안설정 등의 보안 통제 정책을 수립∙이행하고 있는가?
업무용 단말기를 통해 개인정보 및 중요정보가 유출되는 것을 방지하기 위하여 자료공유프로그램 사용 금지, 공유설정 제한, 무선망 이용 통제 등의 정책을 수립∙이행하고 있는가?
업무용 모바일 기기의 분실, 도난 등으로 인한 개인정보 및 중요정보의 유∙노출을 방지하기 위하여 보안대책을 적용하고 있는가?
업무용 단말기기에 대한 접근통제 대책의 적절성에 대해 주기적으로 점검하고 있는가?
2.10.7 보조저장매체 관리 보조저장매체를 통하여 개인정보 또는 중요정보의 유출이 발생하거나 악성코드가 감염되지 않도록 관리 절차를 수립∙이행하고, 개인정보 또는 중요정보가 포함된 보조저장매체는 안전한 장소에 보관하여야 한다. 외장하드, USB메모리, CD 등 보조저장매체 취급(사용), 보관, 폐기, 재사용에 대한 정책 및 절차를 수립∙이행하고 있는가?
보조저장매체 보유현황, 사용 및 관리실태를 주기적으로 점검하고 있는가?
주요 정보시스템이 위치한 통제구역, 중요 제한구역 등에서 보조저장매체 사용을 제한하고 있는가?
보조저장매체를 통한 악성코드 감염 및 중요정보 유출 방지를 위한 대책을 마련하고 있는가?
개인정보 또는 중요정보가 포함된 보조저장매체를 잠금장치가 있는 안전한 장소에 보관하고 있는가?
2.10.8 패치관리 소프트웨어, 운영체제, 보안시스템 등의 취약점으로 인한 침해사고를 예방하기 위하여 최신 패치를 적용하여야 한다. 다만 서비스 영향을 검토하여 최신 패치 적용이 어려울 경우 별도의 보완대책을 마련하여 이행하여야 한다. 서버, 네트워크시스템, 보안시스템, PC 등 자산별 특성 및 중요도에 따라 운영체제(OS)와 소프트웨어의 패치관리 정책 및 절차를 수립∙이행하고 있는가?
주요 서버, 네트워크시스템, 보안시스템 등의 경우 설치된 OS, 소프트웨어 패치적용 현황을 주기적으로 관리하고 있는가? 
서비스 영향도 등에 따라 취약점을 조치하기 위한 최신의 패치 적용이 어려운 경우 보완대책을 마련하고 있는가?
주요 서버, 네트워크시스템, 보안시스템 등의 경우 공개 인터넷 접속을 통한 패치를 제한하고 있는가?
패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가?
2.10.9 악성코드 통제 바이러스∙웜∙트로이목마∙랜섬웨어 등의 악성코드로부터 개인정보 및 중요정보, 정보시스템 및 업무용 단말기 등을 보호하기 위하여 악성코드 예방∙탐지∙대응 등의 보호대책을 수립∙이행하여야 한다. 바이러스, 웜, 트로이목마, 랜섬웨어 등의 악성코드로부터 정보시스템 및 업무용단말기 등을 보호하기 위하여 보호대책을 수립∙이행하고 있는가?
백신 소프트웨어 등 보안프로그램을 통하여 최신 악성코드 예방∙탐지 활동을 지속적으로 수행하고 있는가?
백신 소프트웨어 등 보안프로그램은 최신의 상태로 유지하고 필요시 긴급 보안업데이트를 수행하고 있는가?
악성코드 감염 발견 시 악성코드 확산 및 피해 최소화 등의 대응절차를 수립∙이행하고 있는가?
2.11.  사고 예방 및 대응 2.11.1 사고 예방 및 대응체계 구축 침해사고 및 개인정보 유출 등을 예방하고 사고 발생 시 신속하고 효과적으로 대응할 수 있도록 내∙외부 침해시도의 탐지∙대응∙분석 및 공유를 위한 체계와 절차를 수립하고, 관련 외부기관 및 전문가들과 협조체계를 구축하여야 한다. 침해사고 및 개인정보 유출사고를 예방하고 사고 발생 시 신속하고 효과적으로 대응하기 위한 체계와 절차를 마련하고 있는가?
보안관제서비스 등 외부 기관을 통해 침해사고 대응체계를 구축∙운영하는 경우 침해사고 대응절차의 세부사항을 계약서에 반영하고 있는가?
침해사고의 모니터링, 대응 및 처리를 위하여 외부전문가, 전문업체, 전문기관 등과의 협조체계를 수립하고 있는가?
2.11.2 취약점 점검 및 조치 정보시스템의 취약점이 노출되어 있는지를 확인하기 위하여 정기적으로 취약점 점검을 수행하고 발견된 취약점에 대해서는 신속하게 조치하여야 한다. 또한 최신 보안취약점의 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하여야 한다. 정보시스템 취약점 점검 절차를 수립하고 정기적으로 점검을 수행하고 있는가?
발견된 취약점에 대한 조치를 수행하고 그 결과를 책임자에게 보고하고 있는가?
최신 보안취약점 발생 여부를 지속적으로 파악하고 정보시스템에 미치는 영향을 분석하여 조치하고 있는가?
취약점 점검 이력을 기록관리하여 전년도에 도출된 취약점이 재발생하는 등의 문제점에 대해 보호대책을 마련하고 있는가?
2.11.3  이상행위 분석 및 모니터링 내∙외부에 의한 침해시도, 개인정보유출 시도, 부정행위 등을 신속하게 탐지∙대응할 수 있도록 네트워크 및 데이터 흐름 등을 수집하여 분석하며, 모니터링 및 점검 결과에 따른 사후조치는 적시에 이루어져야 한다. 내∙외부에 의한 침해시도, 개인정보 유출 시도, 부정행위 등 이상행위를 탐지할 수 있도록 주요 정보시스템, 응용프로그램, 네트워크, 보안시스템 등에서 발생한 네트워크 트래픽, 데이터 흐름, 이벤트 로그 등을 수집하여 분석 및 모니터링하고 있는가?
침해시도, 개인정보유출시도, 부정행위 등의 여부를 판단하기 위한 기준 및 임계치를 정의하고 이에 따라 이상행위의 판단 및 조사 등 후속 조치가 적시에 이루어지고 있는가?
2.11.4 사고 대응 훈련 및 개선 침해사고 및 개인정보 유출사고 대응 절차를 임직원과 이해관계자가 숙지하도록 시나리오에 따른 모의훈련을 연 1회 이상 실시하고 훈련결과를 반영하여 대응체계를 개선하여야 한다. 침해사고 및 개인정보 유출사고 대응 절차에 관한 모의훈련계획을 수립하고 이에 따라 연1회 이상 주기적으로 훈련을 실시하고 있는가?
침해사고 및 개인정보 유출사고 훈련 결과를 반영하여 침해사고 및 개인정보 유출사고 대응체계를 개선하고 있는가?
2.11.5 사고 대응 및 복구 침해사고 및 개인정보 유출 징후나 발생을 인지한 때에는 법적 통지 및 신고 의무를 준수하여야 하며, 절차에 따라 신속하게 대응 및 복구하고 사고분석 후 재발방지 대책을 수립하여 대응체계에 반영하여야 한다. 침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우 정의된 침해사고 대응절차에 따라 신속하게 대응 및 보고가 이루어지고 있는가?
개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하고 있는가?
침해사고가 종결된 후 사고의 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하고 있는가?
침해사고 분석을 통해 얻어진 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하고 있는가? 
2.12. 재해복구 2.12.1 재해∙재난 대비 안전조치 자연재해, 통신∙전력 장애, 해킹 등 조직의 핵심 서비스 및 시스템의 운영 연속성을 위협할 수 있는 재해 유형을 식별하고 유형별 예상 피해규모 및 영향을 분석하여야 한다. 또한 복구 목표시간, 복구 목표시점을 정의하고 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구체계를 구축하여야 한다. 조직의 핵심 서비스(업무) 연속성을 위협할 수 있는 IT 재해 유형을 식별하고 유형별 피해규모 및 업무에 미치는 영향을 분석하여 핵심 IT 서비스(업무) 및 시스템을 식별하고 있는가?
핵심 IT 서비스 및 시스템의 중요도 및 특성에 따른 복구 목표시간, 복구 목표시점을 정의하고 있는가?
재해 및 재난 발생 시에도 핵심 서비스 및 시스템의 연속성을 보장할 수 있도록 복구 전략 및 대책, 비상시 복구 조직, 비상연락체계, 복구 절차 등 재해 복구 계획을 수립∙이행하고 있는가?
2.12.2 재해 복구 시험 및 개선 재해 복구 전략 및 대책의 적정성을 정기적으로 시험하여 시험결과, 정보시스템 환경변화, 법규 등에 따른 변화를 반영하여 복구전략 및 대책을 보완하여야 한다. 수립된 IT 재해 복구체계의 실효성을 판단하기 위하여 재해 복구 시험계획을 수립∙이행하고 있는가?
시험결과, 정보시스템 환경변화, 법률 등에 따른 변화를 반영할 수 있도록 복구전략 및 대책을 정기적으로 검토∙보완하고 있는가?

 

 

3. 개인정보 처리단계별 요구사항(21개)/세부항목(91개)

분야 항목 상세내용 주요 확인사항
3.1.  개인정보 수집 시 보호조치 3.1.1 개인정보 수집∙이용 개인정보는 적법하고 정당하게 수집∙이용하여야 하며, 정보주체의 동의를 근거로 수집하는 경우에는 적법한 방법으로 정보주체의 동의를 받아야 한다. 또한 만 14세 미만 아동의 개인정보를 수집하는 경우에는 그 법정대리인의 동의를 받아야 하며 법정대리인이 동의하였는지를 확인하여야 한다. 개인정보를 수집하는 경우 정보주체 동의, 법령상 의무준수, 계약 체결∙이행 등 적법 요건에 따라 수집하고 있는가?
정보주체에게 개인정보 수집 동의를 받는 경우 동의방법 및 시점은 적절하게 되어 있는가?
정보주체에게 개인정보 수집 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 표시하고 있는가?
만 14세 미만 아동의 개인정보에 대해 수집∙이용∙제공 등의 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받고 있는가?
법정대리인의 동의를 받기 위하여 필요한 최소한의 개인정보만을 수집하고 있으며, 법정대리인이 자격 요건을 갖추고 있는지 확인하는 절차와 방법을 마련하고 있는가?
만 14세 미만의 아동에게 개인정보 처리와 관련한 사항 등의 고지 시 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어로 표현하고 있는가?
정보주체 및 법정대리인에게 동의를 받은 기록을 보관하고 있는가?
정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 정보주체에게 알리고 있는가?
정보주체의 동의 없이 개인정보의 추가적인 이용 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립·이행하고, 추가적인 이용이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가?
3.1.2 개인정보 수집 제한 개인정보를 수집하는 경우 처리 목적에 필요한 최소한의 개인정보만을 수집하여야 하며, 정보주체가 선택적으로 동의할 수 있는 사항 등에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하지 않아야 한다. 개인정보를 수집하는 경우 그 목적에 필요한 범위에서 최소한의 정보만을 수집하고 있는가?
정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알리고 있는가?
정보주체가 수집 목적에 필요한 최소한의 정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하고 있는가?
3.1.3 주민등록번호 처리 제한 주민등록번호는 법적 근거가 있는 경우를 제외하고는 수집∙이용 등 처리할 수 없으며, 주민등록번호의 처리가 허용된 경우라 하더라도 인터넷 홈페이지 등에서 대체수단을 제공하여야 한다. 주민등록번호는 명확한 법적 근거가 있는 경우에만 처리하고 있는가?
주민등록번호의 수집 근거가 되는 법조항을 구체적으로 식별하고 있는가?
법적 근거에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하고 있는가?
3.1.4 민감정보 및 고유식별정보의 처리 제한 민감정보와 고유식별정보(주민등록번호 제외)를 처리하기 위해서는 법령에서 구체적으로 처리를 요구하거나 허용하는 경우를 제외하고는 정보주체의 별도 동의를 받아야 한다. 민감정보는 정보주체로부터 별도의 동의를 받거나 관련 법령에 근거가 있는 경우에만 처리하고 있는가?
고유식별정보(주민등록번호 제외)는 정보주체로부터 별도의 동의를 받거나 관련 법령에 구체적인 근거가 있는 경우에만 처리하고 있는가?
재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알리고 있는가?
3.1.5 개인정보 간접수집 정보주체 이외로부터 개인정보를 수집하거나 제3자로부터 제공받는 경우에는 업무에 필요한 최소한의 개인정보를 수집하거나 제공받아야 하며, 법령에 근거하거나 정보주체의 요구가 있으면 개인정보의 수집 출처, 처리목적, 처리정지의 요구권리를 알려야 한다. 정보주체 이외의 제3자로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의획득 책임이 개인정보를 제공하는 자에게 있음을 계약을 통해 명시하고 있는가?
공개된 매체 및 장소에서 개인정보를 수집하는 경우 정보주체의 공개 목적∙범위 및 사회 통념상 동의 의사가 있다고 인정되는 범위 내에서만 수집∙이용하고 있는가?
서비스 계약 이행을 위해 필요한 경우로서, 서비스 제공 과정에서 자동수집장치 등에 의해 수집∙생성하는 개인정보의 경우에도 최소수집 원칙을 적용하고 있는가?
정보주체 이외로부터 수집하는 개인정보에 대해 정보주체의 요구가 있는 경우 즉시 필요한 사항을 정보주체에게 알리고 있는가?
정보주체 이외로부터 수집한 개인정보를 처리하는 경우 개인정보의 종류∙규모 등이 법적 요건에 해당하는 경우 필요한 사항을 정보주체에게 알리고 있는가?
정보주체에게 수집 출처에 대해 알린 기록을 해당 개인정보의 파기 시까지 보관∙관리하고 있는가?
3.1.6 영상정보처리기기 설치∙운영  고정형 영상정보처리기기를 공개된 장소에 설치∙운영하거나 이동형 영상정보처리기기를 공개된 장소에서 업무를 목적으로 운영하는 경우 설치 목적 및 위치에 따라 법적 요구사항을 준수하고, 적절한 보호대책을 수립∙이행하여야 한다. 공개된 장소에 고정형 영상정보처리기기를 설치∙운영할 경우 적 허용 요건에 해당하는지를 검토하고 있는가?
공공기관 등이 공개된 장소에 고정형 영상정보처리기기를 설치∙운영하려는 경우 공청회∙설명회 개최 등의 법령에 따른 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하고 있는가?
고정형 영상정보처리기기 설치∙운영 시 보주체가 쉽게 인식할 수 있도록 안내판 설치 등 필요한 조치를 하고 있는가?
업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기를 운영하는 경우 법적 허용 요건에 해당하는지를 검토하고 있는가?
업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하는 경우 불빛, 소리, 안내판 등의 방법으로 촬영 사실을 표시하고 알리고 있는가?
영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영∙관리 방침을 마련하여 시행하고 있는가?
영상정보의 보관 기간을 정하고 있으며, 보관 기간 만료 시 지체 없이 파기하고 있는가?
영상정보처리기기 설치∙운영에 관한 사무를 위탁하는 경우 관련 절차 및 요건에 따라 계약서에 반영하고 있는가?
3.1.7 마케팅 목적의 개인정보 수집∙이용 재화나 서비스의 홍보, 판매 권유, 광고성 정보전송 등 마케팅 목적으로 개인정보를 수집∙이용하는 경우 그 목적을 정보주체가 명확하게 인지할 수 있도록 고지하고 동의를 받아야 한다. 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보 처리에 대한 동의를 받는 경우 정보주체가 이를 명확하게 인지할 수 있도록 알리고 별도 동의를 받고 있는가?
전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 경우 수신자의 명시적인 사전 동의를 받고 있으며, 2년 마다 정기적으로 수신자의 수신동의 여부를 확인하고 있는가?
전자적 전송매체를 이용한 영리목적의 광고성 정보 전송에 대해 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우 영리목적의 광고성 정보 전송을 중단하도록 하고 있는가?
영리목적의 광고성 정보를 전송하는 경우 전송자의 명칭, 수신거부 방법 등을 구체적으로 밝히고 있으며, 야간시간에는 전송하지 않도록 하고 있는가?
3.2.  개인정보 보유 및 이용 시 보호조치 3.2.1 개인정보 현황관리 수집∙보유하는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관계기관의 장에게 등록하여야 한다. 수집∙보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하고 있는가?
공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하고 있는가?
공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하고 있는가?
3.2.2 개인정보 품질보장 수집된 개인정보는 처리 목적에 필요한 범위에서 개인정보의 정확성∙완전성∙최신성이 보장되도록 정보주체에게 관리절차를 제공하여야 한다. 개인정보를 최신의 상태로 정확하게 유지하기 위한 절차 및 방안을 수립∙이행하고 있는가?
정보주체가 본인의 개인정보에 대하여 정확성, 완전성 및 최신성을 유지할 수 있는 방법을 제공하고 있는가?
3.2.3 이용자 단말기 접근 보호 정보주체(이용자)의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근이 필요한 경우 이를 명확하게 인지할 수 있도록 알리고 정보주체(이용자)의 동의를 받아야 한다. 정보주체(이용자)의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한이 필요한 경우 명확하게 인지할 수 있도록 알리고 정보주체(이용자)의 동의를 받고 있는가?
이동통신단말장치 내에서 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우, 정보주체(이용자)가 동의하지 않아도 서비스 제공을 거부하지 않도록 하고 있는가?
이동통신단말장치 내에서 해당 접근권한에 대한 정보주체(이용자)의 동의 및 철회방법을 마련하고 있는가?
3.2.4 개인정보 목적 외 이용 및 제공 개인정보는 수집 시의 정보주체에게 고지∙동의를 받은 목적 또는 법령에 근거한 범위 내에서만 이용 또는 제공하여야 하며, 이를 초과하여 이용∙제공하려는 때에는 정보주체의 추가 동의를 받거나 관계 법령에 따른 적법한 경우인지 확인하고 적절한 보호대책을 수립∙이행하여야 한다. 개인정보는 최초 수집 시 정보주체로부터 동의받은 목적 또는 법령에 근거한 범위 내에서만 이용∙제공하고 있는가?
개인정보처리자로부터 개인정보를 제공받은 경우 제공받은 목적의 범위 내에서만 이용∙제공하고 있는가?
개인정보를 수집 목적 또는 개인정보처리자로부터 제공받은 목적의 범위를 초과하여 이용하거나 제공하는 경우 정보주체에게 별도의 동의를 받거나 법적 근거가 있는 경우로 제한하고 있는가?
개인정보를 목적 외의 용도로 제3자에게 제공하는 경우 제공받는 자에게 이용목적∙방법 등을 제한하거나 안전성 확보를 위해 필요한 조치를 마련하도록 요청하고 있는가?
공공기관이 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하는 경우 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 관보 또는 인터넷 홈페이지 등에 게재하고 있는가?
공공기관 등이 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하는 경우 목적 외 이용 및 제3자 제공대장에 기록∙관리하는 등 절차를 마련하고 있는가?
3.2.5 가명정보 처리 가명정보를 처리하는 경우 목적제한, 결합제한, 안전조치, 금지의무 등 법적 요건을 준수하고 적정 수준의 가명처리를 보장할 수 있도록 가명처리 절차를 수립∙이행하여야 한다. 가명정보를 처리하는 경우 목적 제한, 가명처리 방법 및 기준, 적정성 검토, 재식별 금지 및 재식별 발생 시 조치사항 등 가명정보를 적정하게 처리하기 위한 절차를 수립하고 있는가?
개인정보를 가명처리하여 이용∙제공 시 추가 정보의 사용∙결합 없이는 개인을 알아볼 수 없도록 적정한 수준으로 가명처리를 수행하고 있는가?
다른 개인정보처리자와 가명정보를 결합하는 경우 결합전문기관 또는 데이터전문기관을 통해 결합하고 있는가?
가명정보를 처리하는 경우 추가 정보를 삭제 또는 별도로 분리하여 보관∙관리, 관련 기록의 작성∙보관 등 안전성 확보에 필요한 기술적∙관리적 및 물리적 조치를 하고 있는가?
가명정보 처리목적 등을 고려하여 가명정보의 처리 기간을 적정한 기간으로 정하고 있으며, 해당 기간이 경과한 경우 지체 없이 파기하고 있는가?
개인정보를 익명처리하는 경우 시간∙비용∙기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 특정 개인을 알아볼 수 없도록 적정한 수준으로 익명처리하고 있는가?
3.3.  개인정보 제공 시 보호조치 3.3.1 개인정보 제3자 제공 개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립∙이행하여야 한다. 개인정보를 제3자에게 제공하는 경우 정보주체 동의, 법령상 의무준수 등 적법 요건을 명확히 식별하고 이를 준수하고 있는가?
정보주체에게 개인정보 제3자 제공 동의를 받는 경우 관련 사항을 명확하게 고지하고 다른 동의사항과 구분하여 적법하게 동의를 받고 있는가?
정보주체에게 개인정보 제3자 제공 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 하고 있는가?
개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하고 있는가?
개인정보를 제3자에게 제공하는 경우 안전한 절차와 방법을 통해 제공하고 제공 내역을 기록하여 보관하고 있는가?
제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하고 있는가?
정보주체의 동의 없이 개인정보의 추가적인 제공 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립·이행하고, 추가적인 제공이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가?
3.3.2 개인정보 처리 업무 위탁 개인정보 처리업무를 제3자에게 위탁하는 경우 위탁하는 업무의 내용과 수탁자 등 관련사항을 공개하여야 한다. 또한 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다. 개인정보 처리업무를 제3자에게 위탁(재위탁 포함)하는 경우 인터넷 홈페이지 등에 위탁하는 업무의 내용과 수탁자를 현행화하여 공개하고 있는가?
재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 문자전송 등의 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알리고 있는가?
3.3.3 영업의 양도 등에 따른 개인정보 이전 영업의 양도∙합병 등으로 개인정보를 이전하거나 이전받는 경우 정보주체 통지 등 적절한 보호조치를 수립∙이행하여야 한다. 영업의 전부 또는 일부의 양도∙합병 등으로 개인정보를 다른 사람에게 이전하는 경우 필요한 사항을 사전에 정보주체에게 알리고 있는가?
개인정보를 이전받는 자는 법적 통지 요건에 해당될 경우 개인정보를 이전받은 사실 등 필요한 사항을 정보주체에게 지체 없이 알리고 있는가?
개인정보를 이전받는 자는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공하고 있는가?
3.3.4 개인정보 국외이전 개인정보를 국외로 이전하는 경우 국외 이전에 대한 동의, 관련 사항에 대한 공개 등 적절한 보호조치를 수립∙이행하여야 한다. 개인정보를 국외로 이전하는 경우 정보주체에게 국외 이전에 관한 고지 사항을 모두 알리고 별도 동의를 받거나, 인증 또는 인정 등 적법 요건을 준수하고 있는가?
정보주체와의 계약의 체결 및 이행을 위한 개인정보의 국외 처리위탁∙보관에 대해 정보주체에게 알리는 경우 필요한 사항을 모두 포함하여 적절한 방법으로 알리고 있는가?
개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하고 있는가?
개인정보를 국외로 이전하는 경우 개인정보 보호를 위해 필요한 조치를 취하고 있는가?
3.4.  개인정보 파기 시 보호조치 3.4.1 개인정보 파기 개인정보의 보유기간 및 파기 관련 내부 정책을 수립하고 개인정보의 보유기간 경과, 처리목적 달성 등 파기 시점이 도달한 때에는 파기의 안전성 및 완전성이 보장될 수 있는 방법으로 지체 없이 파기하여야 한다. 개인정보의 보유기간 및 파기와 관련된 내부 정책을 수립하고 있는가?
개인정보의 처리목적이 달성되거나 보유기간이 경과한 경우 지체 없이 해당 개인정보를 파기하고 있는가?
개인정보를 파기할 때에는 복구∙재생되지 않도록 안전한 방법으로 파기하고 있는가?
개인정보 파기에 대한 기록을 남기고 관리하고 있는가?
3.4.2 처리목적 달성 후 보유 시 조치 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우에는 해당 목적에 필요한 최소한의 항목으로 제한하고 다른 개인정보와 분리하여 저장∙관리하여야 한다. 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우, 관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하고 있는가?
개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장∙관리하고 있는가?
분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리하고 있는가?
분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가?
3.5.  정보주체 권리보호 3.5.1 개인정보 처리방침 공개 개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 정보주체가 알기 쉽도록 개인정보 처리방침을 수립하고, 이를 정보주체가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다. 개인정보 처리방침에는 법령에서 요구하는 내용을 모두 포함하여 알기 쉬운 용어로 구체적이고 명확하게 작성하였는가?
개인정보 처리방침을 정보주체가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 지속적으로 현행화하여 공개하고 있는가?
개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체 없이 공지하고 정보주체가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하고 있는가?
3.5.2 정보주체 권리보장 정보주체가 개인정보의 열람, 정정∙삭제, 처리정지, 이의제기, 동의철회 등 요구를 수집 방법∙절차보다 쉽게 할 수 있도록 권리행사 방법 및 절차를 수립∙이행하고, 정보주체의 요구를 받은 경우 지체 없이 처리하고 관련 기록을 남겨야 한다. 또한 정보주체의 사생활 침해, 명예훼손 등 타인의 권리를 침해하는 정보가 유통되지 않도록 삭제 요청, 임시조치 등의 기준을 수립∙이행하여야 한다. 정보주체 또는 그 대리인이 개인정보에 대한 열람, 정정∙삭제, 처리정지 및 동의 철회 등(이하 '열람 등 요구'라 함)을 개인정보 수집방법∙절차보다 어렵지 아니하도록 권리 행사 방법 및 절차를 마련하여 공개하고 있는가?
정보주체 또는 그 대리인이 열람 등 요구를 하는 경우 규정된 기간 내에 열람 등 요구에 따른 필요한 조치를 하고 있는가?
정보주체 또는 그 대리인이 개인정보 수집∙이용∙제공 등의 동의를 철회하는 경우 지체 없이 수집된 개인정보를 파기하는 등 필요한 조치를 취하고 있는가?
정보주체의 열람 등 요구에 대한 조치에 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하여 안내하고 있는가?
정보주체의 열람 등 요구 및 처리 결과에 대하여 기록을 남기고 있는가?
정보통신망에서 사생활 침해 또는 명예훼손 등 타인의 권리를 침해한 경우 침해를 받은 자가 정보통신서비스 제공자에게 정보의 삭제 요청 등을 할 수 있는 절차를 마련하여 시행하고 있는가?
3.5.3 정보주체에 대한 통지 개인정보의 이용∙제공 내역 등 정보주체에게 통지하여야 할 사항을 파악하여 그 내용을 주기적으로 통지하여야 한다. 법적 의무 대상자에 해당하는 경우 개인정보 이용∙제공 내역 또는 그 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 정보주체에게 주기적으로 통지하고 있는가?
개인정보 이용∙제공 내역 통지 항목은 법적 요구항목을 모두 포함하고 있는가?
저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

정보보호 업무 시기별 수행 항목  (0) 2024.03.04
담당자별 역할 정의  (0) 2024.03.04
ISMS 인증 조항 - 3.5 정보주체 권리보호  (1) 2023.11.09
ISMS 인증 조항 - 3.4 개인정보 파기 시 보호조치  (0) 2023.11.09
ISMS 인증 조항 - 3.3 개인정보 제공 시 보호조치  (0) 2023.11.09
구분 변경 전 변경 후
항목 3.5.1 개인정보 처리방침 공개 -
상세내용 개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 개인정보처리방침을 수립하고, 이를 정보주체(이용자)가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다. 개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 정보주체가 알기 쉽도록 개인정보 처리방침을 수립하고, 이를 정보주체가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다.
주요
확인사항		 ∙ 개인정보 처리방침에는 법령에서 요구하는 내용을 모두 포함하고 있는가?

∙ 개인정보 처리방침을 정보주체(이용자)가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 지속적으로 현행화하여 공개하고 있는가?
∙ 개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체 없이 공지하고 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 알아볼 수 있도록 조치하고 있는가?
 ∙ 개인정보 처리방침에는 법령에서 요구하는 내용을 모두 포함하여 알기 쉬운 용어로 구체적이고 명확하게 작성하였는가?
∙ 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 지속적으로 현행화하여 공개하고 있는가?
∙ 개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체 없이 공지하고 정보주체가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하고 있는가?

 

구분 변경 전 변경 후
항목 3.5.2 정보주체 권리보장 -
상세내용 정보주체(이용자)가 개인정보의 열람, 정정·삭제, 처리정지, 이의제기, 동의철회 요구를 수집 방법·절차보다 쉽게 할 수 있도록 권리행사 방법 및 절차를 수립·이행하고, 정보주체(이용자)의 요구를 받은 경우 지체 없이 처리하고 관련 기록을 남겨야 한다. 또한 정보주체(이용자)의 사생활 침해, 명예훼손 등 타인의 권리를 침해하는 정보가 유통되지 않도록 삭제 요청, 임시조치 등의 기준을 수립·이행하여야 한다. -
주요
확인사항		 ∙ 정보주체(이용자) 또는 그 대리인이 개인정보에 대한 열람, 정정·삭제, 처리정지, 이의제기, 동의 철회(이하 ʻ열람 등ʼ이라 함.) 요구를 개인정보 수집방법·절차보다 쉽게 할 수 있도록 권리 행사 방법 및 절차를 마련하고 있는가?
∙ 정보주체(이용자) 또는 그 대리인이 개인정보 열람 요구를 하는 경우 규정된 기간 내에 열람 가능하도록 필요한 조치를 하고 있는가?
∙ 정보주체(이용자) 또는 그 대리인이 개인정보 수집·이용·제공 등의 동의를 철회하는 경우 지체 없이 수집된 개인정보를 파기하는 등 필요한 조치를 취하고 있는가?
∙ 정보주체(이용자) 또는 그 대리인이 개인정보 처리정지 요구를 하는 경우 규정된 기간 내에 처리정지 등 필요한 조치를 하고 있는가?
∙ 정보주체(이용자)의 요구에 대한 조치에 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하여 안내하고 있는가?
∙ 정보주체(이용자) 또는 그 대리인이 개인정보 정정·삭제 요구를 하는 경우 규정된 기간 내에 정정·삭제 등 필요한 조치를 하고 있는가?
개인정보 열람 등 요구 및 처리 결과에 대하여 기록을 남기고 있는가?
∙ 정보통신망에서 사생활 침해 또는 명예훼손 등 타인의 권리를 침해한 경우 침해를 받은 자가 정보통신서비스 제공자에게 정보의 삭제 요청 등을 할 수 있는 절차를 마련하여 시행하고 있는가?		 ∙ 정보주체 또는 그 대리인이 개인정보에 대한 열람, 정정∙삭제, 처리정지 동의 철회 등(이하 '열람 등 요구'라 함)을 개인정보 수집방법∙절차보다 어렵지 아니하도록 권리 행사 방법 및 절차를 마련하여 공개하고 있는가?
∙ 정보주체 또는 그 대리인이 열람 요구를 하는 경우 규정된 기간 내에 열람 등 요구에 따른 필요한 조치를 하고 있는가?
∙ 정보주체 또는 그 대리인이 개인정보 수집∙이용∙제공 등의 동의를 철회하는 경우 지체 없이 수집된 개인정보를 파기하는 등 필요한 조치를 취하고 있는가?


∙ 정보주체의 열람 등 요구에 대한 조치에 불복이 있는 경우 이의를 제기할 수 있도록 필요한 절차를 마련하여 안내하고 있는가?


∙ 정보주체의 열람 등 요구 및 처리 결과에 대하여 기록을 남기고 있는가?
∙ 정보통신망에서 사생활 침해 또는 명예훼손 등 타인의 권리를 침해한 경우 침해를 받은 자가 정보통신서비스 제공자에게 정보의 삭제 요청 등을 할 수 있는 절차를 마련하여 시행하고 있는가?

 

구분 변경 전 변경 후
항목 3.5.3 이용내역 통지 3.5.3 정보주체에 대한 통지
상세내용 정보주체(이용자)가 개인정보의 열람, 정정·삭제, 처리정지, 이의제기, 동의철회 요구를 수집 방법·절차보다 쉽게 할 수 있도록 권리행사 방법 및 절차를 수립·이행하고, 정보주체(이용자)의 요구를 받은 경우 지체 없이 처리하고 관련 기록을 남겨야 한다. 또한 정보주체(이용자)의 사생활 침해, 명예훼손 등 타인의 권리를 침해하는 정보가 유통되지 않도록 삭제 요청, 임시조치 등의 기준을 수립·이행하여야 한다. -
주요
확인사항		 ∙ 법적 의무 대상자에 해당하는 경우 개인정보 이용내역을 주기적으로 정보주체(이용자)에게 통지하고 그 기록을 남기고 있는가?

∙  개인정보 이용내역 통지 항목은 법적 요구항목을 모두 포함하고 있는가?		 ∙ 법적 의무 대상자에 해당하는 경우 개인정보 이용∙제공 내역 또는 그 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 정보주체에게 주기적으로 통지하고 있는가?
∙ 개인정보 이용∙제공 내역 통지 항목은 법적 요구항목을 모두 포함하고 있는가?
저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

담당자별 역할 정의  (0) 2024.03.04
ISMS 인증 조항 포인트 외우기  (1) 2023.11.30
ISMS 인증 조항 - 3.4 개인정보 파기 시 보호조치  (0) 2023.11.09
ISMS 인증 조항 - 3.3 개인정보 제공 시 보호조치  (0) 2023.11.09
ISMS 인증 조항 - 3.1 개인정보 수집 시 보호조치  (1) 2023.11.09
구분 변경 전 변경 후
항목 3.4.1 개인정보의 파기 3.4.1 개인정보 파기
상세내용 개인정보의 보유기간 및 파기 관련 내부 정책을 수립하고 개인정보의 보유기간 경과, 처리목적 달성 등 파기 시점이 도달한 때에는 파기의 안전성 및 완전성이 보장될 수 있는 방법으로 지체 없이 파기하여야 한다. -
주요
확인사항		 ∙ 개인정보의 보유기간 및 파기와 관련된 내부 정책을 수립하고 있는가?
∙ 개인정보의 처리목적이 달성되거나 보유기간이 경과한 경우 지체 없이 해당 개인정보를 파기하고 있는가?
∙ 개인정보를 파기할 때에는 복구∙재생되지 않도록 안전한 방법으로 파기하고 있는가?
∙ 개인정보 파기에 대한 기록을 남기고 관리하고 있는가?		 -

 

구분 변경 전 변경 후
항목 3.4.2 처리목적 달성 후 보유 시 조치 -
상세내용 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우에는 해당 목적에 필요한 최소한의 항목으로 제한하고 다른 개인정보와 분리하여 저장·관리하여야 한다. -
주요
확인사항		 ∙ 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우, 관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하고 있는가?
∙ 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장·관리하고 있는가?
∙ 분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리하고 있는가?
∙ 분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가?		 -

 

구분 변경 전 변경 후
항목 3.4.3 휴면 이용자 관리 -
상세내용 서비스를 일정기간 동안 이용하지 않는 휴면 이용자의 개인정보를 보호하기 위하여 관련사항의 통지, 개인정보의 파기 또는 분리보관 등 적절한 보호조치를 이행하여야 한다. -
주요
확인사항		 ∙ 정보통신서비스 제공자 등은 법령에서 정한 기간 동안 이용하지 않는 휴면 이용자의 개인정보를 파기 또는 분리 보관하고 있는가?
∙ 휴면 이용자의 개인정보를 파기하거나 분리하여 저장·관리하려는 경우 이용자에게 알리고 있는가?
∙ 분리되어 저장·관리하는 휴면 이용자의 개인정보는 법령에 따른 보관 목적 또는 이용자의 요청에 대해서만 이용 및 제공하고 있는가?
∙ 분리되어 저장·관리하는 휴면 이용자의 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가?		 -
저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

ISMS 인증 조항 포인트 외우기  (1) 2023.11.30
ISMS 인증 조항 - 3.5 정보주체 권리보호  (1) 2023.11.09
ISMS 인증 조항 - 3.3 개인정보 제공 시 보호조치  (0) 2023.11.09
ISMS 인증 조항 - 3.1 개인정보 수집 시 보호조치  (1) 2023.11.09
ISMS 인증 조항 - 3.2 개인정보 보유 및 이용시 보호조치  (0) 2023.11.09
구분 변경 전 변경 후
항목 3.3.1 개인정보 제3자 제공 -
상세내용 개인정보를 제3자에게 제공하는 경우 법적 근거에 의하거나 정보주체(이용자)의 동의를 받아야 하며, 제3자에게 개인정보의 접근을 허용하는 등 제공 과정에서 개인정보를 안전하게 보호하기 위한 보호대책을 수립·이행하여야 한다. -
주요
확인사항		 ∙ 개인정보를 제3자에게 제공하는 경우 법령에 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받고 있는가?
∙ 개인정보의 제3자 제공 동의는 수집·이용에 대한 동의와 구분하여 받고 이에 동의하지 않는다는 이유로 해당 서비스의 제공을 거부하지 않도록 하고 있는가?



∙ 개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하고 있는가?
∙ 개인정보를 제3자에게 제공하는 경우 안전한 절차와 방법을 통하여 제공하고 제공 내역을 기록하여 보관하고 있는가?
∙ 제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하고 있는가?





 ∙ 개인정보를 제3자에게 제공하는 경우 정보주체 동의, 법령상 의무준수 등 적법 요건을 명확히 식별하고 이를 준수하고 있는가?
정보주체에게 개인정보 제3자 제공 동의를 받는 경우 관련 사항을 명확하게 고지하고 다른 동의사항과 구분하여 적법하게 동의를 받고 있는가?
∙ 정보주체에게 개인정보 제3자 제공 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 하고 있는가?
∙ 개인정보를 제3자에게 제공하는 경우 제공 목적에 맞는 최소한의 개인정보 항목으로 제한하고 있는가?
∙ 개인정보를 제3자에게 제공하는 경우 안전한 절차와 방법을 통해 제공하고 제공 내역을 기록하여 보관하고 있는가?
∙ 제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하고 있는가?
∙ 정보주체의 동의 없이 개인정보의 추가적인 제공 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립·이행하고, 추가적인 제공이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가?

 

구분 변경 전 변경 후
항목 3.3.2 업무 위탁에 따른 정보주체 고지 3.3.2 개인정보 처리 업무 위탁
상세내용 개인정보 처리업무를 제3자에게 위탁하는 경우 위탁하는 업무의 내용과 수탁자 등 관련사항을 정보주체(이용자)에게 알려야 하며, 필요한 경우 동의를 받아야 한다.

 개인정보 처리업무를 제3자에게 위탁하는 경우 위탁하는 업무의 내용과 수탁자 등 관련사항을 공개하여야 한다. 또한 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다.
주요
확인사항		 ∙ 개인정보 처리업무를 제3자에게 위탁하는 경우 인터넷 홈페이지 등에 위탁하는 업무의 내용과 수탁자를 현행화하여 공개하고 있는가?
∙ 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 문자전송 등의 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알리고 있는가?		 ∙ 개인정보 처리업무를 제3자에게 위탁(재위탁 포함)하는 경우 인터넷 홈페이지 등에 위탁하는 업무의 내용과 수탁자를 현행화하여 공개하고 있는가?
∙ 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우에는 서면, 전자우편, 문자전송 등의 방법으로 위탁하는 업무의 내용과 수탁자를 정보주체에게 알리고 있는가?

 

구분 변경 전 변경 후
항목 3.3.3 영업의 양도 등에 따른 개인정보 이전 -
상세내용 영업의 양도∙합병 등으로 개인정보를 이전하거나 이전받는 경우 정보주체 통지 등 적절한 보호조치를 수립∙이행하여야 한다. -
주요
확인사항		 ∙ 영업의 전부 또는 일부의 양도·합병 등으로 개인정보를 다른 사람에게 이전하는 경우 필요한 사항을 사전에 정보주체(이용자)에게 알리고 있는가?
영업양수자 등은 법적 통지 요건에 해당될 경우 개인정보를 이전받은 사실을 정보주체(이용자)에게 지체 없이 알리고 있는가?

∙ 개인정보를 이전받는 자는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공하고 있는가?		 ∙ 영업의 전부 또는 일부의 양도∙합병 등으로 개인정보를 다른 사람에게 이전하는 경우 필요한 사항을 사전에 정보주체에게 알리고 있는가?
개인정보를 이전받는 자는 법적 통지 요건에 해당될 경우 개인정보를 이전받은 사실 등 필요한 사항을 정보주체에게 지체 없이 알리고 있는가?
∙ 개인정보를 이전받는 자는 이전 당시의 본래 목적으로만 개인정보를 이용하거나 제3자에게 제공하고 있는가?

 

구분 변경 전 변경 후
항목 3.3.4 개인정보의 국외이전 3.3.4 개인정보 국외이전
상세내용 영업의 양도∙합병 등으로 개인정보를 이전하거나 이전받는 경우 정보주체 통지 등 적절한 보호조치를 수립∙이행하여야 한다. -
주요
확인사항		 ∙ 개인정보를 국외의 제3자에게 제공하는 경우 정보주체(이용자)에게 필요한 사항을 모두 알리고 동의를 받고 있는가?

∙ 정보통신서비스 제공자 등이 국외에 개인정보를 처리위탁 또는 보관 시 이전되는 개인정보의 항목, 이전되는 국가 등 필요한 사항을 모두 이용자에게 알리고 있는가?
∙ 개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하고 있는가?
∙ 개인정보를 국외로 이전하는 경우 개인정보 보호를 위하여 필요한 조치를 취하고있는가?		 ∙ 개인정보를 국외로 이전하는 경우 정보주체에게 국외 이전에 관한 고지 사항을 모두 알리고 별도 동의를 받거나, 인증 또는 인정 등 적법 요건을 준수하고 있는가?
∙ 정보주체와의 계약의 체결 및 이행을 위한 개인정보의 국외 처리위탁∙보관에 대해 정보주체에게 알리는 경우 필요한 사항을 모두 포함하여 적절한 방법으로 알리고 있는가?
∙ 개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하고 있는가?
∙ 개인정보를 국외로 이전하는 경우 개인정보 보호를 위해 필요한 조치를 취하고 있는가?
저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

ISMS 인증 조항 - 3.5 정보주체 권리보호  (1) 2023.11.09
ISMS 인증 조항 - 3.4 개인정보 파기 시 보호조치  (0) 2023.11.09
ISMS 인증 조항 - 3.1 개인정보 수집 시 보호조치  (1) 2023.11.09
ISMS 인증 조항 - 3.2 개인정보 보유 및 이용시 보호조치  (0) 2023.11.09
ISMS 인증 조항 - 2.12 재해 복구  (0) 2023.11.09
구분 변경 전 변경 후
항목 3.1.2 개인정보 수집 동의 3.1.1 개인정보 수집∙이용
상세내용 개인정보는 정보주체(이용자)의 동의를 받거나 관계 법령에 따라 적법하게 수집하여야 하며, 만 14세 미만 아동의 개인정보를 수집하려는 경우에는 법정대리인의 동의를 받아야 한다. 개인정보는 적법하고 정당하게 수집∙이용하여야 하며, 정보주체의 동의를 근거로 수집하는 경우에는 적법한 방법으로 정보주체의 동의를 받아야 한다. 또한 만 14세 미만 아동의 개인정보를 수집하는 경우에는 그 법정대리인의 동의를 받아야 하며 법정대리인이 동의하였는지를 확인하여야 한다.
주요
확인사항		 ∙ 개인정보 수집 시 법령에 특별한 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받고 있는가?


∙ 정보주체(이용자)에게 동의를 받는 방법 및 시점은 적절하게 되어 있는가?
∙ 정보주체(이용자)에게 동의를 서면(전자문서 포함)으로 받는 경우 법령에서 정한 중요한 내용에 대하여 명확히 표시하여 알아보기 쉽게 하고 있는가?
∙ 만 14세 미만 아동의 개인정보에 대하여 수집·이용·제공 등의 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받고 있는가?
∙ 법정대리인의 동의를 받기 위하여 필요한 최소한의 개인정보만을 수집하고 있으며, 법정대리인이 자격 요건을 갖추고 있는지 확인하는 절차와 방법을 마련하고 있는가?



∙ 정보주체(이용자) 및 법정대리인에게 동의를 받은 기록을 보관하고 있는가?


∙ 개인정보를 수집하는 경우 정보주체 동의, 법령상 의무준수, 계약 체결∙이행 등 적법 요건에 따라 수집하고 있는가?
∙ 정보주체에게 개인정보 수집 동의를 받는 경우 동의 방법 및 시점은 적절하게 되어 있는가?
∙ 정보주체에게 개인정보 수집 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 표시하고 있는가?
∙ 만 14세 미만 아동의 개인정보에 대해 수집∙이용∙제공 등의 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받고 있는가?
∙ 법정대리인의 동의를 받기 위하여 필요한 최소한의 개인정보만을 수집하고 있으며, 법정대리인이 자격 요건을 갖추고 있는지 확인하는 절차와 방법을 마련하고 있는가?
∙ 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항 등의 고지 시 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어로 표현하고 있는가?
∙ 정보주체 및 법정대리인에게 동의를 받은 기록을 보관하고 있는가?
∙ 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 정보주체에게 알리고 있는가?
∙ 정보주체의 동의 없이 개인정보의 추가적인 이용 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립·이행하고, 추가적인 이용이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가?

 

구분 변경 전 변경 후
항목 3.1.1 개인정보 수집 제한 3.1.2 개인정보 수집 제한
상세내용 개인정보는 서비스 제공을 위하여 필요한 최소한의 정보를 적법하고 정당하게 수집하여야 하며, 필수정보 이외의 개인정보를 수집하는 경우에는 선택항목으로 구분하여 해당 정보를 제공하지 않는다는 이유로 서비스 제공을 거부하지 않아야 한다. 개인정보를 수집하는 경우 처리 목적에 필요한 최소한의 개인정보만을 수집하여야 하며, 정보주체가 선택적으로 동의할 수 있는 사항 등에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하지 않아야 한다.
주요
확인사항		 ∙ 개인정보를 수집하는 경우 서비스 제공 또는 법령에 근거한 처리 등을 위하여 필요한 범위 에서 최소한의 정보만을 수집하고 있는가?
수집 목적에 필요한 최소한의 정보 외의 개인정보를 수집하는 경우 정보주체(이용자)가 해당 개인정보의 제공 여부를 선택할 수 있도록 하고 있는가?
∙ 정보주체(이용자)가 수집 목적에 필요한 최소한의 정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하고 있는가?		 ∙ 개인정보를 수집하는 경우 그 목적에 필요한 범위에서 최소한의 정보만을 수집하고 있는가?

정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알리고 있는가?
∙ 정보주체가 수집 목적에 필요한 최소한의 정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하고 있는가?

 

구분 변경 전 변경 후
항목 3.1.3 주민등록번호 처리 제한 -
상세내용 주민등록번호는 법적 근거가 있는 경우를 제외하고는 수집·이용 등 처리할 수 없으며, 주민등록번호의 처리가 허용된 경우라 하더라도 인터넷 홈페이지 등에서 대체수단을 제공하여야 한다. -
주요
확인사항		 ∙ 주민등록번호는 명확한 법적 근거가 있는 경우에만 처리하고 있는가?
∙ 주민등록번호의 수집 근거가 되는 법조항을 구체적으로 식별하고 있는가?
∙ 법적 근거에 따라 정보주체(이용자)의 주민등록번호 수집이 가능한 경우에도 아이핀, 휴대폰 인증 등 주민등록번호를 대체하는 수단을 제공하고 있는가?

 ∙ 주민등록번호는 명확한 법적 근거가 있는 경우에만 처리하고 있는가?
∙ 주민등록번호의 수집 근거가 되는 법조항을 구체적으로 식별하고 있는가?
∙ 법적 근거에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하고 있는가?

 

구분 변경 전 변경 후
항목 3.1.4 민감정보 및 고유식별정보의 처리 제한 -
상세내용 민감정보와 고유식별정보(주민등록번호 제외)를 처리하기 위해서는 법령에서 구체적으로 처리를 요구하거나 허용하는 경우를 제외하고는 정보주체(이용자)의 별도의 동의를 받아야 한다. -
주요
확인사항		 ∙ 민감정보는 정보주체(이용자)로부터 별도의 동의를 받거나 관련 법령에 근거가 있는 경우에만 처리하고 있는가?
∙ 고유식별정보(주민등록번호 제외)는 정보주체(이용자)로부터 별도의 동의를 받거나 관련 법령에 구체적인 근거가 있는 경우에만 처리하고 있는가?





 ∙ 민감정보는 정보주체로부터 별도의 동의를 받거나 관련 법령에 근거가 있는 경우에만 처리하고 있는가?
∙ 고유식별정보(주민등록번호 제외)는 정보주체로부터 별도의 동의를 받거나 관련 법령에 구체적인 근거가 있는 경우에만 처리하고 있는가?
재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알리고 있는가?

 

구분 변경 전 변경 후
항목 3.1.5 개인정보 간접수집 -
상세내용 정보주체 이외로부터 개인정보를 수집하거나 제3자로부터 제공받는 경우에는 업무에 필요한 최소한의 개인정보를 수집하거나 제공받아야 하며, 법령에 근거하거나 정보주체의 요구가 있으면 개인정보의 수집 출처, 처리목적, 처리정지의 요구권리를 알려야 한다. -
주요
확인사항		 ∙ 정보주체 이외의 제3자로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의획득 책임이 개인정보를 제공하는 자에게 있음을 계약을 통해 명시하고 있는가?
∙ 공개된 매체 및 장소에서 개인정보를 수집하는 경우 정보주체의 공개 목적∙범위 및 사회 통념상 동의 의사가 있다고 인정되는 범위 내에서만 수집∙이용하고 있는가?
∙ 서비스 계약 이행을 위해 필요한 경우로서, 서비스 제공 과정에서 자동수집장치 등에 의해 수집∙생성하는 개인정보의 경우에도 최소수집 원칙을 적용하고 있는가?
∙ 정보주체 이외로부터 수집하는 개인정보에 대해 정보주체의 요구가 있는 경우 즉시 필요한 사항을 정보주체에게 알리고 있는가?
∙ 정보주체 이외로부터 수집한 개인정보를 처리하는 경우 개인정보의 종류∙규모 등이 법적 요건에 해당하는 경우 필요한 사항을 정보주체에게 알리고 있는가?
∙ 정보주체에게 수집 출처에 대해 알린 기록을 해당 개인정보의 파기 시까지 보관∙관리하고 있는가?		 -

 

구분 변경 전 변경 후
항목 3.1.6 영상정보처리기기 설치∙운영  -
상세내용 영상정보처리기기를 공개된 장소에 설치·운영하는 경우 설치 목적 및 위치에 따라 법적 요구사항(안내판 설치 등)을 준수하고, 적절한 보호대책을 수립·이행하여야 한다. 고정형 영상정보처리기기를 공개된 장소에 설치∙운영하거나 이동형 영상정보처리기기를 공개된 장소에서 업무를 목적으로 운영하는 경우 설치 목적 및 위치에 따라 법적 요구사항을 준수하고, 적절한 보호대책을 수립∙이행하여야 한다.
주요
확인사항		 ∙ 공개된 장소에 영상정보처리기기를 설치·운영할 경우 법적으로 허용한 장소 및 목적인지 검토하고 있는가?

∙ 공공기관이 공개된 장소에 영상정보처리기기를 설치·운영하려는 경우 공청회·설명회 개최 등의 법령에 따른 절차를 거쳐 관계 전문가 및 이해관계자의 의견을 수렴하고 있는가?

∙ 영상정보처리기기 설치·운영 시 정보주체가 쉽게 인식할 수 있도록 안내판 설치 등 필요한 조치를 하고 있는가?








∙ 영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영·관리 방침을 마련하여 시행하고 있는가?
∙ 영상정보의 보관 기간을 정하고 있으며, 보관 기간 만료 시 지체 없이 삭제하고 있는가?
∙ 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우 관련 절차 및 요건에 따라 계약서에 반영하고 있는가??		 ∙ 공개된 장소에 고정형 영상정보처리기기를 설치∙운영할 경우 법적 허용 요건에 해당하는지를 검토하고 있는가?

∙ 공공기관 이 공개된 장소에 고정형 영상정보처리기기를 설치∙운영하려는 경우 공청회∙설명회 개최 등의 법령에 따른 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하고 있는가?

∙ 고정형 영상정보처리기기 설치∙운영 시 정보주체가 쉽게 인식할 수 있도록 안내판 설치 등 필요한 조치를 하고 있는가?
∙ 업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기를 운영하는 경우 법적 허용 요건에 해당하는지를 검토하고 있는가?
∙ 업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하는 경우 불빛, 소리, 안내판 등의 방법으로 촬영 사실을 표시하고 알리고 있는가?
∙ 영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영∙관리 방침을 마련하여 시행하고 있는가?
∙ 영상정보의 보관 기간을 정하고 있으며, 보관 기간 만료 시 지체 없이 파기하고 있는가?
∙ 영상정보처리기기 설치∙운영에 관한 사무를 위탁하는 경우 관련 절차 및 요건에 따라 계약서에 반영하고 있는가?

 

구분 변경 전 변경 후
항목 3.1.7 홍보 및 마케팅 목적 활용 시 조치 3.1.7 마케팅 목적의 개인정보 수집∙이용
상세내용 재화나 서비스의 홍보, 판매 권유, 광고성 정보전송 등 마케팅 목적으로 개인정보를 수집∙이용하는 경우 그 목적을 정보주체가 명확하게 인지할 수 있도록 고지하고 동의를 받아야 한다. -
주요
확인사항		 ∙ 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보 처리에 대한 동의를 받는 경우 정보주체가 이를 명확하게 인지할 수 있도록 알리고 별도 동의를 받고 있는가?
∙ 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 경우 수신자의 명시적인 사전 동의를 받고 있으며, 2년 마다 정기적으로 수신자의 수신동의 여부를 확인하고 있는가?
∙ 전자적 전송매체를 이용한 영리목적의 광고성 정보 전송에 대해 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우 영리목적의 광고성 정보 전송을 중단하도록 하고 있는가?
∙ 영리목적의 광고성 정보를 전송하는 경우 전송자의 명칭, 수신거부 방법 등을 구체적으로 밝히고 있으며, 야간시간에는 전송하지 않도록 하고 있는가?		 -
저작자표시 비영리 변경금지

'ISMS-P > 23.9.15 개보법 개정 이후 자료' 카테고리의 다른 글

ISMS 인증 조항 - 3.4 개인정보 파기 시 보호조치  (0) 2023.11.09
ISMS 인증 조항 - 3.3 개인정보 제공 시 보호조치  (0) 2023.11.09
ISMS 인증 조항 - 3.2 개인정보 보유 및 이용시 보호조치  (0) 2023.11.09
ISMS 인증 조항 - 2.12 재해 복구  (0) 2023.11.09
ISMS 인증 조항 - 2.11 사고 예방 및 대응  (0) 2023.11.09

+ Recent posts

티스토리툴바