ISMS-P_인증기준_세부점검항목(2019.01.17).xlsx
0.05MB
인증기준_신구_비교표v1.2(수정).pdf
0.21MB
KISA 정보보호 및 개인정보보호관리체계 인증 사이트에는 최근 개정된 ISMS-P에 대한 내용이 자료실에 포함되어있다.
전체 항목은 102개의 영역으로 구성되어 있으며 ISMS 만 해당되는 항목은 80개 항목이다.
1. 관리체계 수립 및 운영 (16개)
2. 보호대책 요구사항(64개)
3. 개인정보 처리단계별 요구사항(22개)
기존의 ISMS 및 PIMS에 포함되지 않았던 새로 생긴 항목 정리
| 2.3 | 외부자 보안 | 2.3.1 | 외부자 현황 관리 | 업무의 일부(개인정보취급, 정보보호, 정보시스템 운영 또는 개발 등)를 외부 에 위탁하거나 외부의 시설 또는 서비스(집적정보통신시설, 클라우드 서비 스, 애플리케이션 서비스 등)를 이용하는 경우 그 현황을 식별하고 법적 요구 사항 및 외부 조직·서비스로부터 발생되는 위험을 파악하여 적절한 보호대책 을 마련하여야 한다. | 관리체계 범위 내에서 발생하고 있는 업무 위탁 및 외부 시설‧서비스의 이용 현황을 식별하고 있는가? |
| 업무 위탁 및 외부 시설‧서비스의 이용에 따른 법적 요구사항과 위험을 파악하고 적절한 보호대책을 마련하였는가? | |||||
| 2.10 | 시스템 및 서비스 보안관리 | 2.10.2 | 클라우드 보안 | 클라우드 서비스 이용 시 서비스 유형(SaaS, PaaS, IaaS 등)에 따른 비인가 접 근, 설정 오류 등에 따라 중요정보와 개인정보가 유·노출되지 않도록 관리자 접근 및 보안 설정 등에 대한 보호대책을 수립·이행하여야 한다. | 클라우드 서비스 제공자와 정보보호 및 개인정보보호에 대한 책임과 역할을 명확히 정의하고 이를 계약서(SLA 등)에 반영하고 있는가? |
| 클라우드 서비스 이용 시 서비스 유형에 따른 보안위험을 평가하여 비인가 접근, 설정오류 등을 방지할 수 있도록 보안 구성 및 설정 기준, 보안설정 변경 및 승인 절차, 안전한 접속방법, 권한 체계 등 보안 통제 정책을 수립‧이행하고 있는가? | |||||
| 클라우드 서비스 관리자 권한은 역할에 따라 최소화하여 부여하고 관리자 권한에 대한 비인가된 접근, 권한 오남용 등을 방지할 수 있도록 강화된 인증, 암호화, 접근통제, 감사기록 등 보호대책을 적용하고 있는가? | |||||
| 클라우드 서비스의 보안 설정 변경, 운영 현황 등을 모니터링하고 그 적절성을 정기적으로 검토하고 있는가? | |||||
| 3.1 | 개인정보 수집 시보호조치 | 3.1.7 | 홍보 및 마케팅 목적 활용 시 조치 | 재화나 서비스의 홍보, 판매 권유, 광고성 정보전송 등 마케팅 목적으로 개인 정보를 수집·이용하는 경우에는 그 목적을 정보주체(이용자)가 명확하게 인 지할 수 있도록 고지하고 동의를 받아야 한다. | 정보주체(이용자)에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보 처리에 대한 동의를 받는 경우 정보주체(이용자)가 이를 명확하게 인지할 수 있도록 알리고 별도 동의를 받고 있는가 |
| 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 경우 수신자의 명시적인 사전 동의를 받고 있으며, 2년 마다 정기적으로 수신자의 수신동의 여부를 확인하고 있는가? | |||||
| 전자적 전송매체를 이용한 영리목적의 광고성 정보 전송에 대해 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우 영리목적의 광고성 정보 전송을 중단하도록 하고 있는가? | |||||
| 영리목적의 광고성 정보를 전송하는 경우 전송자의 명칭, 수신거부 방법 등을 구체적으로 밝히고 있으며, 야간시간에는 전송하지 않도록 하고 있는가? | |||||
| 2.1 | 개인정보 보유 및 이용 시 보호조치 | 3.2.4 | 이용자 단말기 접근 보호 | 정보주체(이용자)의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신 단말장치에 설치된 기능에 접근이 필요한 경우 이를 명확하게 인지할 수 있 도록 알리고 정보주체(이용자)의 동의를 받아야 한다. | 정보주체(이용자)의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한이 필요한 경우 명확하게 인지할 수 있도록 알리고 정보주체(이용자)의 동의를 받고 있는가? |
| 이동통신단말장치 내에서 해당 서비스를 제공하기 위하여 반드시 필요한 접근권한이 아닌 경우, 정보주체(이용자)가 동의하지 않아도 서비스 제공을 거부하지 않도록 하고 있는가? | |||||
| 이동통신단말장치 내에서 해당 접근권한에 대한 정보주체(이용자)의 동의 및 철회방법을 마련하고 있는가? | |||||
| 3.4 | 개인정보 파기 시 보호조치 | 3.4.2 | 처리목적 달성 후 보유 시 조치 | 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우에는 해당 목적에 필요한 최소한의 항목으 로 제한하고 다른 개인정보와 분리하여 저장·관리하여야 한다. | 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우, 관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하고 있는가? |
| 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장‧관리하고 있는가? | |||||
| 분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리하고 있는가? | |||||
| 분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가? | |||||
| 3.4.3 | 휴면 이용자 관리 | 서비스를 일정기간 동안 이용하지 않는 휴면 이용자의 개인정보를 보호하기 위하여 관련 사항의 통지, 개인정보의 파기 또는 분리보관 등 적절한 보호조 치를 이행하여야 한다. | 정보통신서비스 제공자등은 법령에서 정한 기간 동안 이용하지 않는 휴면 이용자의 개인정보를 파기 또는 분리 보관하고 있는가? | ||
| 휴면 이용자의 개인정보를 파기하거나 분리하여 저장·관리하려는 경우 이용자에게 알리고 있는가? | |||||
| 분리되어 저장·관리하는 휴면 이용자의 개인정보는 법령에 따른 보관 목적 또는 이용자의 요청에 대해서만 이용 및 제공하고 있는가? | |||||
| 분리되어 저장·관리하는 휴면 이용자의 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가? |