[ISMS-P] 세부 점검항목별 키워드(2023.11월 기준)
가상자산 사업자 대상 주요 확인사항(특화항목 56개)
알뜰폰 사업자(MVNO) 대상 주요 확인사항(2024.9)
KISA 점검ㄹ항목 vs. FSI 점검항목의 차이점
ISMS-P 인증제도 vs. CSAP 인증제도
출처: ISMS-P 홈페이지 > 알림마당 > 자료실 > “ISMS-P 인증기준 안내서(2023.11) 수정게시”
| 항목 | 세부 점검항목별 키워드 | |
|---|---|---|
| 1.1.1 | 경영진의 참여 | 보고 및 의사결정 등의 책임과 역할을 문서화(정책/시행문서), 중요 사안 및 중요 정보보호 활동(정책의 제·개정/위험관리/DOA결정/내부감사 등)의 보고/검토 및 승인 절차를 수립·이행, 장기간 관련 보고를 수행하지 않거나 관련 증거자료가 확인되지 않은 경우, 중요 정보보호 활동의 결과 보고에 대해 경영진의 피드백이나 의사결정이 없는 경우, 개인신용정보 관리 및 보호실태 점검 결과를 대표자 및 이사회에 보고하지 않고 금융위원회에 제출한 경우(신용정보법 위반) |
| 1.1.2 | 최고책임자의 지정 | 정보보호 최고책임자 및 개인정보보호 책임자의 지정(공식적 인사발령), 법령에 따른 자격요건 및 겸직 제한 요건 준수, 당연직의 경우 정책서에 그 직위를 명시, 인사발령 등의 공식적인 절차를 거치지 않은 경우, CISO가 예산/인력 등 자원을 할당할 수 있는 임원급이 아닌 경우, 임원이 존재함에도 불구하고 부서장을 개인정보 보호책임자로 지정한 경우 |
| 1.1.3 | 조직 구성 | 전문성을 갖춘 실무조직, 위원회, 실무협의체, 공공시스템운영협의회, 위원회가 실무부서의 장으로 구성되어 있어 주요 사항의 검토 및 의사결정이 되지 않은 경우(정책의 제·개정/위혐평가 결과/내부감사 결과/안전성 확보/이용자 보호 등), 위원회 또는 실무협의체를 구성하지 않거나 운영실적이 없는 경우, 위원회에 개인정보보호 조직이 참여하지 않는 경우 |
| 1.1.4 | 범위 설정 | 조직의 핵심 서비스 및 개인정보 처리 업무와 조직/자산/물리적 위치 등을 문서화, 인증범위의 예외사항에 대한 승인 및 근거 서류 기록/관리, 정보시스템 및 개인정보처리시스템 개발업무에 관련한 시스템/자산/조직(인력) 등이 인증범위에서 누락된 경우, 관리체계 범위로 설정된 서비스 또는 사업에 대하여 중요 의사결정자 역할을 수행하고 있는 임직원 및 핵심 조직을 인증범위에 포함하지 않은 경우 |
| 1.1.5 | 정책 수립 | 정보보호와 개인정보보호 정책 및 시행문서의 수립·작성·승인·제공(최신본 유지 및 제공), 법적 요구사항/정보보호 요구사항/최신 동향/가이드라인 반영, 하위 실행 문서를 조직의 특성에 맞게 수립(보호대상 관점/수행주체 관점), 모든 법적 요구사항을 포함한 내부 관리계획 수립, 정책 및 지침서를 제공·공유하지 않거나 구버전을 사용하는 경우, 승인절차 등 내부규정을 따르지 않고 정책 및 지침서가 개정된 경우 |
| 1.1.6 | 자원 할당 | 정보보호 및 개인정보보호 분야별 전문성을 갖춘 인력 확보(관련 학위·자격/실무 경력/직무 교육), 필요한 예산과 인력 지원, 연도별 세부추진 계획 수립·시행·분석·평가·보고, 전문성이 없는 인원으로만 보안인력을 구성한 경우, 최소한의 보안 솔루션 도입도 지원하지 않는 경우, 인증 취득 이후 인력과 예산을 대폭 줄이거나 전용한 경우 |
| 1.2.1 | 정보자산 식별 | 정보자산관리대장 현행화(정보자산목록 최신 유지), 빠짐없이 식별, 정보자산 분류기준, 관리자 지정은 필수, 중요도(C/I/A) 산출 및 보안등급 부여는 필수, EOS 점검을 위한 서버의 OS version 관리 필요(권장) – 인증심사위원회에서 점검하는 주요 포인트, 위탁 서비스 자산 식별, 중요도 평가의 합리성과 신뢰성이 미흡한 경우, 제3자로부터 제공받은 개인정보를 정보자산으로 식별하지 않은 경우, 내부지침의 분류기준과 자산관리대장의 분류기준이 일치하지 않는 경우, 비회원의 주문정보가 자산목록에 누락된 경우, OS버전/IP주소 등이 현행화되지 않은 경우 |
| 1.2.2 | 현황 및 흐름분석 | 사용자 기반으로 도식화/문서화, 인증기준과 운영현황을 비교하는 GAP 분석표 작성(현황분석), 현황표/흐름표/흐름도 작성, 주기적으로 검토하여 최신성 유지(최소 연 1회 이상), 개인정보 수집경로 등 개인정보 흐름도가 현행화되지 않아 실제 개인정보의 흐름과 상이한 경우, 수집된 개인정보 중 파기절차가 파악되지 않아 개인정보 흐름도에 표시되지 경우, 정보시스템 흐름도가 실제 정보시스템 흐름과 상이하고 미흡한 부분이 많은 경우, 행사 진행 시 촬영하는 영상이나 사진은 개인정보로 보기에는 어렵기 때문에 개인정보 흐름도에 작성하지 않아도 됨(∵개인식별 어려움) |
| 1.2.3 | 위험 평가 | 위험평가 방법을 정의하고 문서화, 관리적·기술적·물리적·법적 분야 등에서 위험 식별, 위험관리계획(인력/기간/대상/방법/예산 등)을 매년 수립하고 연 1회 이상 정기적으로 또는 필요한 시점에 위험평가 수행, 서비스 및 정보자산의 현황과 흐름분석 결과 반영, 최신 법규 기반으로 관련 법적 요구사항 준수 여부 확인, ISMS-P 인증기준의 준수 여부 확인, 旣 적용된 대책의 실효성 검토, 위험도 산정기준에 따라 위험도 산정, DoA는 CISO/CPO 등 경영진의 의사결정을 통해 결정, DoA를 초과하는 위험의 식별 및 문서화, 식별된 위험별로 관련된 이해관계자에게 내용 공유 및 논의, 위험관리계획의 구체적인 실행계획이 미흡한 경우, 법적 요구사항 준수 여부에 따른 위험을 식별 및 평가하지 않는 경우, DoA를 타당한 이유없이 과도하게 높이는 경우, 위험평가 절차 중 중장기 보호대책 이행계획의 지연 및 조치불가에 대한 공식적인 승인이나 잠재위험관리 절차가 없는 경우, EOS/법적요건/정보자산 변화에 따라 위험을 식별하고 평가하는 관리체계가 갖춰져 있지 않은 경우 |
| 1.2.4 | 보호대책 선정 | 위험 평가 결과에 따라 식별된 위험에 대한 위험 처리 전략(감소/회피/전가/수용) 수립, 우선순위를 고려하여 보호대책 이행계획 수립·보고·승인(일정/담당/예산), 보호대책은 ISMS-P 인증기준과 연계성 고려, 법률 위반에 해당하는 위험을 수용 가능한 위험에 포함한 경우, 위험감소가 요구되는 일부 위험의 조치 이행계획이 누락되어 있는 경우, 보호대책이 보고되지 않거나 특별한 사유없이 장기 조치계획으로 분류한 경우 |
| 1.3.1 | 보호대책 구현 | 이행계획 구현 및 이행결과 보고(경영진은 정확성·효과성 확인), 인증기준별 보호대책 구현 및 운영 현황을 기록한 운영명세서 작성(“관리체계 수립 및 운영” 영역은 필수사항), 이행계획 변경 시 경영진에게 보고 및 승인, 이행완료 결과를 보고하지 않거나 경영진이 검토 및 확인하지 않은 경우, 운영명세서의 운영 현황이 실제와 일치하지 않고 기록된 결재내용/회의록 등의 증적자료가 존재하지 않는 경우, 이행결과의 정확성 및 효과성이 확인되지 않고 위험이 여전히 존재하는 경우, 비용부족 등의 사유로 수립된 보호대책이 이행되지 않거나 지연되는 경우, 중·장기 이행계획이 해당연도에 구현이 되지 않은 경우, 일부 미이행된 보호대책 이행계획에 대한 사유 보고 및 후속 조치가 이루어지지 않는 경우, |
| 1.3.2 | 보호대책 공유 | 구현된 보호대책을 운영/시행할 부서 및 담당자를 파악하고 해당 내용을 교육 및 공유, 관련 내용을 공유·교육하지 않아 운영/수행할 담당자가 구현된 보호대책을 인지하지 못하고 있는 경우 |
| 1.3.3 | 운영현황 관리 | 운영현황표는 필수 문서는 아니나 매우 권고(관리체계의 효과적인 운영을 위하여 주기적·상시적 활동 기록), 주기적 또는 상시적인 활동이 요구되는 활동현황을 문서화하지 않은 경우, 운영현황에 대한 주기적인 검토가 이루어지지 않아 활동이 누락되거나 이행 여부를 확인할 수 없는 경우 |
| 1.4.1 | 법적 요구사항 준수 검토 | 조직이 준수하여야 하는 관련 법적 요구사항을 파악하여 내부 정책·지침의 최신성을 유지(연 1회 이상 정기적으로 검토할 수 있도록 절차 수립), 법적 요구사항 준수 검토 결과 발견된 문제점에 대하여 신속하게 개선조치, 정보보호 공시 의무 대상, 개인정보 손해배상책임 보장제도 적용 대상, 국내대리인 지정 의무 대상, 관련 법률이 최근 개정되었으나 조직에 미치는 영향을 검토하지 않고 정책서·시행문서 및 법적준거성 체크리스트 등에도 해당 내용을 반영하지 않은 경우, 법적 준거성 준수 검토를 장기간 수행하지 않거나 해당 검토가 적절하지 않아 법규 위반 사항이 다수 발견된 경우, 모바일앱을 통해 위치정보사업자로부터 이용자의 개인위치정보를 전송받아 서비스에 이용하고 있으나 위치기반서비스사업 신고를 하지 않은 경우, 금융회사의 전산실 내에 위치한 정보처리시스템이 인터넷 등 외부통신망과 물리적으로 분리되지 않은 경우, 안전성 확보 및 이용자 보호를 위한 법적 요구사항에 대해 임직원의 준수여부를 연 1회 이상 정기적으로 검토하고 최고경영자에게 보고하지 않은 경우(가상자산/MVNO)
[금융회사]정보보호최고책임자는 정보보안점검의 날을 지정하고, 임직원이 정보보안 점검항목을 준수했는지 매월 점검하고 그 점검 결과 및 보완 계획을 최고경영자에 보고 < 의무 대상자의 과태료/과징금 부과 기준 >
|
| 1.4.2 | 관리체계 점검 | 관리체계 점검 계획 수립(점검 기준/범위/주기 및 점검인력 자격요건), 독립성과 전문성이 확보된 인력으로 연 1회 이상 점검, 발견된 문제점을 CISO/CPO 등에 보고, 보안감사 수행 인력에 정보보호팀 인력이 포함된 경우, 점검 대상 영역의 직원이 해당 영역의 점검에 관여하는 등 점검의 독립성이 훼손된 경우, 점검범위를 충족하지 못한 경우, 관리체계 구축 과정에 참여한 인력만으로 점검팀이 구성된 경우 [가상자산사업자]정보보호최고책임자는 정보보안점검의 날을 지정하고, 정보보안 점검항목을 수립하여 매분기 준수여부 점검 및 그 결과를 최고경영자에게 보고 [알뜰폰 사업자]정보보호최고책임자는 정보보호점검의 날을 지정하고, 정보보호 점검항목을 수립하여 매 분기별 준수여부 점검 및 그 결과를 최고경영자에게 보고 |
| 1.4.3 | 관리체계 개선 | 근본 원인 분석 및 재발방지 대책 수립·이행, 개선 결과의 정확성·효과성에 대한 확인 및 측정 결과(핵심성과지표/보안성과지표)를 경영진에게 보고, 보안감사 등 내부점검을 통해 발견된 문제점이 매번 동일하게 반복되나 추가적인 위험평가 및 보완조치가 없는 경우, 발견된 문제점에 대하여 근본원인 분석 및 재발방지 대책이 수립되지 않거나 조치 완료 여부를 확인하지 않은 경우, 재발방지대책 수립 및 핵심성과지표 측정 결과에 대하여 경영진 보고가 장기간 이루어지지 않은 경우 |
| 2.1.1 | 정책의 유지관리 | 정책 및 시행문서의 정기적인 타당성 검토, 문서간 일관성 유지, 법규 제·개정사항 반영(예정 사항 포함), 위험평가 및 관리체계 점검 결과 반영, 보안시스템 도입 등 대내외 환경의 중대한 변화 반영, 이해관계자 식별 및 협의·검토, 개정 이력관리(버전/개정일자/개정사유/개정내용/작성자/승인자), 지침서와 절차서 간 패스워드 설정 규칙에 일관성이 없는 경우, 법령의 중대한 변경사항이 정책 및 시행문서에 미치는 영향을 검토하지 않았거나 변경사항을 반영하여 개정하지 않은 경우, 신규 보안시스템이 도입되었으나 관련 보안지침에 접근통제/작업이력/로깅/검토 등에 관한 사항이 반영되지 않은 경우, 마스킹 정책이 제대로 시스템 매뉴얼까지 반영되지 않은 경우, 업무 수행 절차 및 항목의 일부가 지침에 누락된 경우, 각종 관리대장의 표준서식이 정의되지 않고 부서별 각기 다른 서식을 사용하는 경우, 지침 개정없이 휴면 이용자를 활성 이용자로 전환하여 이용하는 경우, 개정된 법령을 정책서에 반영하지 않았더라도 법령의 변경사항을 인지하고 있고 컨설팅을 통해 정책 등의 문서를 변경할 예정이라면 결함을 주기 어려움 |
| 2.1.2 | 조직의 유지관리 | 시행문서 및 직무기술서 등을 통하여 책임과 역할을 구체적으로 정의(CISO/CPO의 책임 및 역할에 법적 요구사항 반영), 평가체계(KPI/MBO) 수립, 의사소통 체계 및 절차를 수립·이행, 원활한 업무협의, 직무기술서 상의 역할과 책임이 실제 운영현황과 일치하지 않는 경우, 법령에서 요구하는 최고 책임자의 역할 및 책임이 내부지침이나 직무기술서에 구체적으로 명시되지 않은 경우, 서비스 영역에 따라 정보보호부서가 분리되어 업무협의나 의사소통이 원활하지 않은 경우 |
| 2.1.3 | 정보자산 관리 | 정보자산 목록, 정보자산의 용도·중요도·보안등급에 따른 취급 절차 및 보호대책을 수립·이행(등급표시/암호화/접근통제 등), 정보자산별 보안등급(기밀·대외비·일반 등)을 식별할 수 있도록 표시, 식별된 정보자산에 대하여 책임자/관리자(담당자) 지정 및 현행화, 문서에 보안등급을 표기하지 않은 경우, 보안등급에 따른 취급절차를 정의하지 않은 경우, 주요 정보자산의 담당자 및 책임자가 변경되었음에도 이를 식별하지 않은 경우, 담당자와 책임자를 동일하게 지정하여 관리하는 경우, 자산관리대장 내 식별된 직원 중 퇴사자가 존재하나 현행화되지 않은 경우 |
| 2.2.1 | 주요 직무자 지정 및 관리 | 주요 직무자 및 개인정보취급자의 지정을 최소화하고 정기적으로 적정성을 검토하여 목록 최신화/현행화(개인정보/중요정보/주요시스템/보안시스템 등), 주요 직무자 및 개인정보취급자의 권한 신청·부여에 대한 승인 및 통제방안 수립·이행, 교육/모니터링 등 관리 및 통제방안 수립·이행, 개인정보취급자가 과다하게 지정되었거나 수탁자의 개인정보취급자가 누락된 경우, 내부 지침과 달리 주요 직무자 권한 부여 시 보안팀 승인 및 보안서약서 작성없이 등록된 경우 |
| 2.2.2 | 직무 분리 | 직무 분리 기준을 수립·적용, 외부 위탁업체 직원에게 사용자 계정 등록·삭제(비활성화) 및 접근권한 등록·변경·삭제 설정 권한 부여 금지(다만 불가피한 경우 보완대책 마련), 직무 분리가 어려운 경우 보완통제 마련(상호 검토/정기 모니터링/관리자 승인/책임추적성 확보 등), 직무 분리가 충분히 가능한 조직임에도 업무 편의성만을 사유로 내부 규정으로 정한 직무 분리 기준을 준수하고 있지 않은 경우, 승인 후 개발과 운영 직무를 병행하고 있으나 보완통제 절차가 마련되어 있지 않은 경우 < 전자금융감독규정 제26조(직무의 분리) > 금융회사 또는 전자금융업자는 다음 각 호의 업무에 대하여 직무를 분리ㆍ운영하여야 한다.
|
| 2.2.3 | 보안 서약 | 업무 특성에 따른 정보보호 및 개인정보보호 서약서 징구, 신규 채용 시 비밀 유지 의무 등 명시, 외부자에게 접근권한 부여 시 손해배상 책임 등 필요한 내용 포함, 임직원 퇴직 시 정보유출 발생 시 그에 따르는 법적 책임 등이 있음을 명시, 고용 조건의 변경 등 중요 변경사항 발생 시 서약서 재작성, 서약서의 안전한 보관·관리, 개인정보취급자의 보안서약서 내에 비밀유지에 대한 내용만 있고 개인정보보호에 관한 책임 및 내용이 포함되어 있지 않은 경우, 서약서가 방치되는 등 관리가 미흡한 경우 |
| 2.2.4 | 인식제고 및 교육훈련 | 임직원 및 외부자에 대한 연간 교육계획 수립·승인·이행, 연 1회 이상 정기적 교육 및 법규/규정의 중대한 변경 시 추가 교육(임직원/임시직원/외부용역직원/개인정보취급자), 수탁자 및 파견직원에 대한 교육자료 제공 및 시행여부 관리·감독, 임직원 채용 및 외부자 계약 시 교육, 직무별 전문성 제고를 위한 특별 교육(IT/정보보호/개인정보), 교육 불참자에 대한 추가교육 시행, 직무별 필요한 개인정보보호 관련 교육 계획이 포함되지 않은 경우, IT/정보보호/개인정보보호 조직 내 임직원에게 추가로 직무별 전문 교육을 실시하지 않는 경우, 교육은 실시하였으나 교육시행 및 평가에 대한 기록을 남기지 않은 경우 < 전자금융감독규정 제19조의2(정보보호 교육계획의 수립 시행) >
|
| 2.2.5 | 퇴직 및 직무변경 관리 | 인사변경 내용의 관련 부서간 정보 공유, 퇴직 절차 준수 여부에 대하여 정기적으로 검토, 퇴직 및 직무변경 시 자산반납/접근권한 회수·조정/보안점검/퇴직확인서 작성/결과확인 등의 절차를 수립·이행, 공유 계정의 비밀번호 변경, 퇴직절차 준수 여부에 대한 정기적인 검토, 퇴직절차 이행 기록이 확인되지 않은 경우, 퇴직자 및 직무변경자의 계정/권한이 개인정보처리시스템에 남아 있는 경우 |
| 2.2.6 | 보안 위반 시 조치 | 보안 위반에 대한 처벌 규정의 수립·운영, 위반 탐지 시 경고 메시지만 보내고 후속 조치가 이행되고 있지 않은 경우 |
| 2.3.1 | 외부자 현황 관리 | 업무위탁 및 외부 시설·서비스 이용현황 식별 및 현행화(IT·보안업무 위탁/개인정보처리업무 위탁/외부 시설·서비스 이용), 법적 요구사항과 위험을 파악하고 적절한 보호대책 마련, 계약변경에 따른 위탁업체 목록의 현행화가 미흡한 경우, 클라우드 서비스로 이전 후 이에 대한 식별 및 위험평가가 수행되지 않은 경우 |
| 2.3.2 | 외부자 계약 시 보안 | 외부 업체 선정 시 역량 고려, 외부 서비스 이용 및 업무/개발 위탁 시 식별된 (개인)정보보호 요구사항을 계약서/협정서에 명시, 개인정보 처리업무 위탁 시 계약문서에 포함되어야 할 사항, 계약서가 존재하지 않거나 계약서 상에 보안 요구사항을 식별·반영하지 않은 경우, 위탁업체가 변경되었으나 새로 계약서를 작성하지 않은 경우 < 신용정보제공계약에 포함될 신용정보 보안관리 대책 >
|
| 2.3.3 | 외부자 보안 이행 관리 | 계약서/협정서/내부정책에 명시된 외부자의 보호대책(보안 요구사항) 이행 여부의 주기적인 관리·감독, 점검/감사 시 발견된 문제점에 대하여 개선계획 및 재발방지대책 수립·이행·점검, 개인정보 처리 수탁자는 위탁자의 동의를 받은 경우에 한하여 재위탁 가능, IT개발 및 운영업무를 수행하는 상주 외주업체에 대해서 정기적으로 보안점검을 수행하지 않은 경우, 수탁자에 대한 자체 보안점검/보안교육의 수행 여부를 제대로 확인하지 않은 경우, 수탁자가 위탁자의 동의없이 위탁업무를 제3자에게 재위탁한 경우, 영리 목적의 광고성 정보전송 업무를 위탁하면서 관리·감독하지 않은 경우 |
| 2.3.4 | 외부자 계약 변경 및 만료 시 보안 | 정보자산 반납, 계정 및 권한 삭제, 비밀유지 확인서 징구, 중요정보 및 개인정보의 회수·파기(PC/메일 송수신함), 계약 만료된 외부자의 계정 및 권한이 삭제되지 않은 경우, 퇴사 후 재입사자의 계정이 동일한 경우, 개인정보 처리 위탁업체와의 계약 종료 후 개인정보의 파기 여부를 확인하지 않은 경우, 퇴사한 수탁사 인력의 계정이 삭제되지 않고 활성화 상태인 경우 |
| 2.4.1 | 보호구역 지정 | 물리적 보호구역 지정기준에 따라 보호구역 지정 및 구역별 출입통제절차/보호대책 수립·이행(통제구역/제한구역/접견구역), 내부 물리보안 지침과 달리 개인정보를 보관하고 있는 일부 문서고가 통제구역에서 누락된 경우, 운영서버와 동일한 내용을 저장하고 있는 백업서버가 위치한 DR센터가 통제구역에서 누락된 경우 |
| 2.4.2 | 출입통제 | 출입관리대장(출입日時分 기록), 보호구역별 출입 가능 인원 현황 관리, 책임추적성을 확보할 수 있도록 출입 및 접근 이력을 주기적으로 검토, 출입권한의 적정성을 정기적으로 검토하지 않아 장기 미출입자가 다수 존재하고 있는 경우, 통제구역을 장시간 개방 상태로 유지하고 있는 경우 |
| 2.4.3 | 정보시스템 보호 | 정보시스템의 배치장소를 분리, 정보시스템 특성에 따라 전산랙을 이용하여 외부로부터 보호, 개인정보처리시스템 등 중요시스템의 경우에는 최소 인원만 접근(잠금장치가 있는 전산랙/케이지), 정보시스템 배치도 마련, 자산목록 등에 물리적 위치 항목을 포함하고 현행화, 전력 및 통신케이블을 물리적 손상 및 전기적 영향으로부터 안전하게 보호, 시스템 배치도가 업데이트되지 않은 경우, 서버실 바닥 및 랙이 정리되지 않아 장애 발생이 우려되는 경우 |
| 2.4.4 | 보호설비 운영 | 보호구역의 중요도 및 특성에 따른 보호설비의 설치 및 운영·점검 기준 마련, 외부 집적정보통신시설(IDC)을 사용하는 경우 물리적 보호에 필요한 요구사항 및 책임보험 가입 여부를 계약서에 반영(집적정보 통신시설 보호지침), 보호설비의 운영 및 점검 기준을 수립하고 있지 않은 경우, IDC의 물리적 보호조치에 대한 운영 상태를 주기적으로 검토하지 않는 경우 |
| 2.4.5 | 보호구역 내 작업 | 보호구역내 작업의 신청·승인, 작업 기록의 주기적인 검토(출입신청서와 출입내역 일치성 검토), 출입기록은 있으나 작업 신청 및 승인 내역이 존재하지 않는 경우, 내부 규정에 따른 작업 기록의 주기적인 점검이 이루어지지 않은 경우 |
| 2.4.6 | 반출입 기기 통제 | 반출입 관리대장(정보시스템/모바일 기기/저장매체 등), 절차 준수 여부를 확인할 수 있도록 반출입 이력을 주기적으로 점검, 통제구역에서 이동컴퓨팅기기를 제약없이 사용하고 있는 경우, 작업계획서의 반출입 기록에 관리책임자의 서명이 다수 누락되어 있는 경우 |
| 2.4.7 | 업무환경 보안 | 공용 시설 및 사무용기기에 대한 보호대책 수립·이행(문서고/공용PC/공용사무기기/파일서버/사무실), 개인업무 환경/출력·복사물을 통한 정보의 유·노출 방지, 주기적인 클린데스크 및 정보보호 준수 여부 검토, 지침 상 명시된 생활보안 점검(클린데스크 운영 등)을 정기적으로 수행하지 않는 경우, 개인정보가 포함된 서류를 잠금장치가 없는 사무실 문서함에 보관한 경우, 화면보호기 및 패스워드를 설정하지 않은 경우, 공용PC에 개인정보가 포함된 파일이 암호화되지 않고 저장된 경우, 공용PC에 백신 프로그램이 설치되지 않거나 업데이트가 적용되지 않는 경우 |
| 2.5.1 | 사용자 계정 관리 | 사용자 등록·해지 및 접근권한 부여·변경·말소 절차의 수립·이행(기록의 유지·관리), 직무별 접근권한 분류 체계에 따라 최소한 부여(권한 세분화), 정책/서약서 등에 계정에 대한 책임과 의무를 명기(본인 계정에 대한 보안책임이 본인에게 있음을 명확히 인식), 계정·권한에 대한 사용자 등록 및 해지가 승인절차 없이 구두 요청 등으로 처리하여 이에 대한 승인 및 처리 이력이 확인되지 않는 경우, 권한 담당자가 자의적 판단으로 사용자에게 권한을 부여하는 경우, 공식적인 절차를 거치지 않고 개인정보취급자로 지정되지 않은 인원에게 개인정보취급자 계정을 알려주는 경우, 과도한 권한 부여로 불필요한 접근이 가능한 경우, 내부 지침과 달리 접근 권한 변경·말소 조치시 개인정보취급자 계정을 삭제하지 않고 비밀번호만 초기화하는 경우 |
| 2.5.2 | 사용자 식별 | 추측 가능한 식별자 사용 제한(특히 관리자 계정·특수권한 계정), 1인 1계정 발급 및 공용 계정 사용 제한, 시스템이 사용하는 운영계정은 일반 사용자의 접근 제한, 업무 분장상 정·부의 역할이 구분되어 관리자 계정을 공유하는 경우에도 사용자 계정을 별도로 부여하고 사용자 계정으로 로그인 후 관리자 계정으로 변경, 유지보수 업무 등을 위하여 임시적으로 계정을 공유한 경우 업무 종료 후 즉시 비밀번호 변경, 정보시스템의 기본계정/시험계정은 제거하거나 변경(디폴트 비밀번호 변경), 공용계정 사용 시 사유와 타당성을 검토하고 책임자의 승인 및 책임추적성 확보를 위한 추가 통제방안 적용, 정보시스템의 제조사에서 제공하는 기본 관리자 계정을 기술적으로 변경 가능함에도 불구하고 변경하지 않고 사용하고 있는 경우, 개발자가 책임자의 승인없이 개인정보처리시스템 계정을 공용으로 사용하고 있는 경우, 유지보수업체 직원이 운영계정을 별도의 승인없이 개인 계정처럼 사용하고 있는 경우, 서비스용 계정을 개발자 또는 운영자가 임의로 사용하는 경우, 계정을 공용으로 사용하고 있으나 책임추적성이 확보되지 않는 경우 |
| 2.5.3 | 사용자 인증 | 계정 도용 및 불법적인 인증시도 통제방안(로그인 실패횟수 제한/접속 유지시간 제한/동시 접속 제한/불법 로그인 시도 경고), SSO 사용하는 경우 중요 시스템 접속 시 재인증 요구 등 추가 보호대책 마련, 외부에서 개인정보처리시스템에 접속하려는 경우 법적 요구사항 준수(안전한 인증수단 또는 안전한 접속수단), Linux의 PAM 기능 적용, 로그인 실패 시 이유를 자세히 표시하는 경우, 개인정보취급자가 외부에서 개인정보처리시스템 접속 시 안전한 인증수단을 적용하지 않은 경우 < 개인정보의 안전성 확보조치 기준 제5조(접근 권한의 관리)제6항 > ⑥ 개인정보처리자는 정당한 권한을 가진 개인정보취급자 또는 정보주체만이 개인정보처리시스템에 접근할 수 있도록 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 조치를 하여야 한다. < 개인정보의 안전성 확보조치 기준 제6조(접근통제)제2항 > ② 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다. |
| 2.5.4 | 비밀번호 관리 | 비밀번호 관리절차/작성지침의 수립·이행, 비밀번호 분실/도난 시 본인확인 등을 통한 안전한 재발급 절차 마련, 비밀번호 외 인증수단 사용 시 해당 인증수단의 보호대책 적용, Unix/Linux 계열 비밀번호 사용기간 및 복잡성 설정, 침해사고 발생 또는 비밀번호의 노출 징후가 의심될 경우 지체 없이 비밀번호 변경, 내부 비밀번호 생성지침과 다른 비밀번호를 사용하고 있는 경우, 비밀번호 초기화 후 임시 비밀번호를 그대로 사용하는 경우, 비밀번호 변경주기 지침을 따르지 않고 그대로 사용하는 경우 |
| 2.5.5 | 특수 계정 및 권한관리 | 관리자 권한/배치프로그램 권한/계정생성 권한/접근권한 설정 권한, 일반 사용자 계정·권한 발급 절차보다 엄격한 기준 적용, 정기적인 검토로 목록 현행화, 예외처리 최소화, 정보시스템 유지보수 등 외부자에게 부여하는 특수권한은 필요 시에만 생성하고 업무 종료 후 삭제하거나 정지, 승인 이력이 확인되지 않거나 현황과 일치하지 않는 경우, 유지보수용 특수 권한의 사용기간을 제한하지 않고 상시 활성화되어 있는 경우, 특수권한자의 업무가 변경되었음에도 계속 보유하고 있는 경우, WAS서버 서비스용 계정 등 특수계정의 비밀번호 변경 예외 처리의 승인 여부를 확인할 수 없는 경우, 보안시스템의 관리자 지정 및 권한 부여 현황에 대한 관리감독이 적절히 이행되고 있지 않은 경우는 “2.10.1 보안시스템 운영” 결함임 < 특수권한(예시) >
|
| 2.5.6 | 접근권한 검토 | 사용자 계정 및 접근권한 관련 이력 관리 및 주기적 점검(최소 분기 1회 이상 권고), 개인정보처리자의 접근권한 기록 최소 3년간 보관, 위치정보사업자등의 접근권한 기록 최소 5년간 보관, 공공시스템의 접근권한은 인사정보와 연계하고 반기별 1회 이상 점검, 접근권한 검토 지침이 구체적이지 않아 정기적인 접근권한 검토 미수행, 접근권한 검토가 미흡하여 장기 미접속 사용자 계정 활성화, 접근권한 검토결과에 대한 후속조치 미이행(상세조사/내부보고 등) |
| 2.6.1 | 네트워크 접근 | 네트워크에 대한 비인가 접근 통제, IP관리 및 부여 현황 최신 유지, 단말 인증, 네트워크 영역 분리 및 영역간 업무수행에 필요한 서비스의 접근만 허용(DMZ/서버팜/DB존/운영자 환경/개발환경/외부자 영역 등), 외부 연결이 필요하지 않은 경우 사설IP 할당 및 국제표준에 따른 사설IP 주소대역 사용, 네트워크 장비의 불필요한 서비스 및 포트 차단, 물리적으로 떨어진 IDC/지사/대리점/협력업체/고객센터 등과의 네트워크 연결 시 안전한 접속환경 구성(전용회선/VPN 구성), 내부망의 중요 서버 IP주소가 공인 IP로 설정된 경우, 내부규정과 달리 MAC인증/보안 프로그램 설치 등 보호대책을 적용하지 않은 상태로 케이블 연결만으로 사내 네트워크 접속이 가능한 경우, NAC 설정 미흡으로 내부망에서 서버팜으로의 접근이 과도하게 허용되어 있는 경우, 외부자 네트워크와 내부 업무 네트워크를 분리하지 않은 경우 |
| 2.6.2 | 정보시스템 접근 | 서버/네트워크시스템/보안시스템 등의 운영체계(OS)에 대한 접근통제(접근이 허용되는 사용자/접근 가능 위치/안전한 접근 수단), 계정 및 권한 신청·승인 절차, 사용자별로 개별 계정 부여 및 공용 계정 사용 제한, 계정 사용 현황에 대한 정기 검토 및 현행화 관리(장기 미사용/불필요 계정), 안전한 접근 수단 적용(SSH/SFTP/IPSec VPN), telnet/ftp 사용 금지(인증정보 암호화에 대한 법적 요구사항), 접속 위치 제한, 세션 타임아웃 설정, 불필요하거나 안전하지 않은 서비스·프로토콜·포트 제거/차단, 외부 서비스 및 민감 정보는 독립된 서버 사용(웹서버/DB서버 등), 장기간 아무런 작업을 하지 않아도 해당 세션이 차단되지 않는 경우, 안전하지 않는 포트·서비스·프로토콜 사용(telnet/ftp/netbios 등), 경유 접속 가능 또는 우회 접속 경로 존재, 접근통제솔류션을 거치지 않고 로그인 되는 경우, 방화벽없이 TCP wrapper만을 사용해서 접근통제하는 경우, 개인 계정이 아닌 서비스용 계정으로 접속한 경우(nginx/mysql/WAS 서비스 계정 등), 월1회 정기 유지보수하고 있으나 유지보수용 계정이 상시 enable 상태로 접근하고 있는 경우, NAS에 대한 접근통제가 미흡하여 내부망의 모든 사용자가 접근 가능한 경우(0.0.0.0/0 설정 등) |
| 2.6.3 | 응용프로그램 접근 | 접근권한 제한 및 차등부여(세분화), 접근권한 분류체계 마련, 불필요 노출 최소화, 입력없는 세션 자동 차단, 동일 사용자의 동시 세션 수 제한, 관리자 페이지 및 관리콘솔의 비인가자 접근통제 대책 마련(외부 공개 차단 및 IP제한/외부 공개 시 안전한 인증수단 또는 안전한 접속수단 적용/접속 로그 및 이벤트 로그에 대한 정기적 모니터링 및 이상징후 보고 절차 등), 표시제한 보호조치(마스킹)의 일관성 확보, 개인정보의 대량조회 및 다운로드 시 사유 입력 및 점검, 출력/다운로드 항목 최소화 및 like 검색이 되지 않도록 조치, 개인정보가 숨겨진 필드 형태로 저장되지 않도록 조치, 개인정보처리시스템의 권한 제어 기능 오류로 개인정보가 노출되고 있는 경우, 인터넷에 오픈된 관리자 페이지에 안전한 인증수단 미적용, 타당한 사유 없이 세션 타임아웃 또는 동일 사용자 계정의 동시 접속을 제한하고 있지 않은 경우, like 검색을 과도하게 허용하는 경우, 화면별로 서로 다른 마스킹 기준이 적용되어 정보결합 시 개인을 식별할 수 있는 경우, 관리자 화면과 감사자 화면의 개인정보 마스킹 기준이 다른 경우, 웹페이지 소스 보기를 통해 개인정보 노출, AWS의 Lambda함수를 Function URL로 호출 시 인증타입을 NONE으로 설정하여 URL endpoint가 인증절차없이 공개된 경우, 화면별로 마스킹 정책이 상이하나 이를 결합하여도 특정인이 식별되지 않는다면 결함이 아님 |
| 2.6.4 | 데이터베이스 접근 | 지속적으로 테이블 목록 현행화, 중요정보/개인정보의 저장위치 및 현황 식별(건수/암호화), 응용프로그램/정보시스템/사용자의 접근통제, 최소권한 원칙에 따른 테이블/뷰/컬럼/ 쿼리/명령어 등 오브젝트 레벨에서 접근통제, 응용프로그램에서 접속하는 계정과 사용자 계정의 공용 사용 제한, 사용하지 않는 계정/테스트용 계정/기본 계정 등 삭제, 개인정보를 저장하고 있는 데이터베이스는 DMZ 등 공개된 네트워크에 위치하지 않도록 제한, 일정시간 이상 업무를 수행하지 않는 경우 자동 접속차단, 접근을 허용하는 IP주소/포트/응용프로그램 제한, 대량의 개인정보를 보관·처리하고 있는 데이터베이스를 인터넷을 통하여 접근 가능한 웹 응용프로그램과 분리하지 않고 물리적으로 동일한 서버에서 운영하고 있는 경우, 데이터베이스 접근권한을 운영자에게 일괄 부여하여 과도하게 접근 권한이 부여된 경우, 응용프로그램에서 사용하는 계정을 공유하여 운영DB에 접속하는 경우, 과도하게 접근 권한 부여, DB 접근제어 솔류션을 우회하여 DB에 접속 가능, 임시 테이블에 불필요한 개인정보 대량 저장 |
| 2.6.5 | 무선 네트워크 접근 | 무선 네트워크 보호대책 적용(사용자 인증/송수신 데이터 암호화/AP통제), 무선네트워크 사용 신청/해지/승인 절차의 수립·이행, 비인가 무선 네트워크 접속 통제(AD Hoc 접속 차단/Rogue AP 사용 차단/WIPS 적용), SSID 숨김 기능 및 ACL 설정, WEP/WPA 등 안전하지 않은 암호화 방식 설정, 임직원과 외부인이 사용하는 무선 네트워크가 분리되지 않은 경우, 무선AP에 대하여 관리자 비밀번호 노출 및 접근제어 미적용 등 보안 설정이 미흡한 경우, 퇴직/기간만료 등의 사유로 무선 네트워크 사용이 필요하지 않음에도 접근권한을 삭제하지 않은 경우 < 전자금융감독규정 제15조(해킹 등 방지대책) > ⑥ 금융회사 또는 전자금융업자는 무선통신망을 설치ㆍ운용할 때에는 다음 각 호의 사항을 준수하여야 한다.
|
| 2.6.6 | 원격접근 통제 | 외부에서의 원격접근 원칙적으로 금지(재택근무·장애대응·원격협업·스마트워크·모바일오피스 등 예외 허용 시 책임자 승인/접근단말 지정 및 보안/접근 허용범위 및 기간 설정/안전한 접속수단/강화된 인증/백신설치/보안패치/전송구간 암호화 등 적용), 내부에서의 원격접근 특정 단말 제한(우회 접속 차단), 원격업무 수행 시 침해사고 예방을 위한 보호대책 수립·이행, 원격접속 로그 점검/분석, 원격으로 개인정보처리시스템의 관리·운영·개발·보안 등을 목적으로 접속하는 단말기 관리 및 보호조치(관리용 단말기 지정), Windows 원격데스크탑 설정 정책 수립·이행(3389/tcp), 원격데스크톱 연결 및 SSH 접속이 제한없이 가능한 경우, 원격접속 단말에서 Win7/WinXP 등 기술지원이 종료된 운영체계 사용, 원격운영관리를 위한 VPN의 사용승인 또는 접속기간제한 없이 상시 허용하고 있는 경우, 외부 근무자를 위하여 개인 스마트 기기에 업무용 모바일 앱을 설치하여 운영하고 있으나 악성코드·분실·도난 등에 의한 개인정보 유출을 방지하기 위한 적절한 보호대책(백신/초기화/암호화 등)을 적용하고 있지 않은 경우, 외부 접속용 VPN의 사용자에게 과도한 접근범위를 부여한 경우, 원격접속 로그 및 이력에 대한 점검 등 관리통제절차가 미흡한 경우(사용부서 자체 점검), 장애 발생 시 외부에서 장애 대응인력이 보안 통제가 미흡한 개인PC를 사용하여 원격으로 내부망에 접근하는 경우, 원격접속 단말기는 안전한 운영체제를 사용하고 기술지원이 종료된 운영체제를 사용하여서는 안되며 알려진 보안패치는 필수 적용해야 함(금융회사 등) ※ 참고자료: 금융회사 재택근무 보안 안내서 |
| 2.6.7 | 인터넷 접속 통제 | 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 통제 정책의 수립·이행(P2P/웹하드/메신저/외부이메일/유해사이트 등), 내부 서버(DB서버/파일서버 등)에서 불필요한 외부 인터넷 접속 통제, 인터넷망 차단의무 대상 개인정보처리자의 법규 준수, 망간 자료전송 절차의 수립·이행, 우회접속이 가능하여 인터넷망 차단 조치가 적용되는 않는 환경에서 개인정보처리시스템에 접속이 가능한 경우, 포털/웹메일/P2P/웹하드/메신저 등 예외 접속의 승인 증거가 미흡한 경우 < 개인정보의 안전성 확보조치 기준 제6조(접근통제)제6항 > ⑥ 전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상인 개인정보처리자는 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근 권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등에 대한 인터넷망 차단 조치를 하여야 한다. 다만, 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」 제2조제3호에 따른 클라우드컴퓨팅서비스를 이용하여 개인정보처리시스템을 구성ㆍ운영하는 경우에는 해당 서비스에 대한 접속 외에는 인터넷을 차단하는 조치를 하여야 한다. < 전자금융감독규정 제15조(해킹 등 방지대책) >
|
| 2.7.1 | 암호정책 적용 | 개인정보 및 주요정보 암호화 시 법적 요구사항 준수(저장/전송/전달), 안전한 암호 알고리즘 및 암호 강도 적용, 비밀번호 저장 시 Salt값을 추가한 일방향 해쉬함수 사용, SSL/VPN/PGP/DRM 등 암호화 방식 선정, 마이데이터의 저장 및 송수신 시 고유식별정보/인증정보/개인신용정보 암호화 및 TLS 1.3 이상 보안서버 구축, 콜센터 등에서 주민등록번호 수집이 업무절차상 명확한 경우의 음성기록은 암호화해야 함(단순 상담이 아닌 경우), PC에 저장된 개인정보의 경우 상용프로그램에서 제공하는 비밀번호 설정기능을 사용하여 암호화 적용 가능, 외부 서비스 이용 또는 위탁처리 시 암호화의 책임은 위탁사에 있으며 계약서 등을 통해 수탁사에 암호화를 요구해야 함, 내부 정책·지침에 암호화 관련 담당자의 책임과 역할이 적절히 명시되지 않은 경우, 암호정책 수립 시 법규를 잘못 적용하여 암호화 관련 법적 요구사항을 준수하지 못하고 있는 경우, DES/3DES/MD5/SHA-1/HAS-160/WEP/WPA1/TLS1.1 등과 같이 안전하지 않은 암호 알고리즘를 사용하는 경우, 시스템 설정파일 및 소스코드 내에 비밀번호 및 인증키가 평문으로 저장된 경우(Java Spring 프레임워크의 application.properties 파일 등), 주민등록번호 저장 컬럼의 데이터 타입이 평문(char 13)인 경우, 주민등록번호의 뒷자리 6개 번호만 암호화하여도 결함이 되지 않음, 이용자가 입력한 생체정보를 기기 등에 저장된 데이터와 대조 또는 매칭하여 본인 여부를 확인하는 경우는 암호화 대상이 아님, 암호화 계획이 있더라도 심사 당시 암호화 조치를 취하지 않았으면 법적 요구사항이므로 결함임 |
| 2.7.2 | 암호키 관리 | 암호키 관리대장 작성 및 현행화, 암호키의 안전한 관리절차 수립·이행(생성/이용/배포/파기/보관/복구), 접근권한 최소화, 장애·재해 대비 복구대책 마련, 소스코드에 암호키를 평문으로 하드코딩, 담당자별 암호키 관리 수준 및 방법 상이, 개발 및 운영시스템의 암호키 동일하여 암호화된 실데이터가 개발시스템을 통해 쉽게 복호화가 가능한 경우 < 개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화)제6항 > 10만명 이상의 정보주체에 관하여 개인정보를 처리하는 대기업ㆍ중견기업ㆍ공공기관 또는 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 중소기업ㆍ단체에 해당하는 개인정보처리자는 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립ㆍ시행하여야 한다. |
| 2.8.1 | 보안 요구사항 정의 | 정보시스템의 도입·개발·변경 시 보안 요구사항을 설계 단계에서부터 반영(법적 요구사항/최신 보안취약점/안전한 코딩), 자원이용률/성능/보안성/호환성/법적 준거성 등 타당성 검토 및 인수 승인기준의 수립·이행, 시큐어코딩 표준 수립 시 웹 애플리케이션 보안 취약점 최소화, 인수 전 보안성 검증 기준 및 절차가 마련되지 않은 경우, 인수 시 보안요건에 대한 세부기준 및 계획이 수립되지 않아 인수 시 보안성 검토가 수행되지 않은 경우, 개발표준정의서에 법적 요구사항을 적절히 반영하지 않은 경우 |
| 2.8.2 | 보안 요구사항 검토 및 시험 | 사전 정의된 보안 요구사항의 검토 기준과 절차를 수립·이행(법적 요구사항 준수/최신 보안취약점 점검/안전한 코딩 구현/개인정보 영향평가 수행), 정보시스템이 안전한 코딩 기준 등에 따라 안전하게 개발되었는지 취약점 점검 수행, 정보시스템 인수 전 시험 및 취약점 점검 과정에서 발견된 문제점의 개선계획 수립 및 이행 점검, 취약점 점검도구 또는 모의진단를 통한 코딩 완료된 프로그램의 취약점 노출 여부 점검, 보안 요구사항을 시험하지 않는 경우, 입력값 유효성 체크 등 소프트웨어 보안약점 진단이 수행되지 않은 경우, 타당한 사유 또는 승인없이 확인된 취약점에 대한 개선조치를 이행하지 않은 경우, 개인정보 영향평가 의무 대상임에도 이를 수행하지 않거나 수행 후 2개월이 지났음에도 영향평가서를 제출하지 않은 경우 |
| 2.8.3 | 시험과 운영 환경 분리 | 원칙적 분리, 개발·시험 시스템과 운영 시스템간 접근통제 방안 수립·이행, 개발과 운영환경의 분리가 어려운 경우 보안대책 마련(상호검토/상급자 모니터링/변경승인/책임추적성 확보 등), 타당한 사유나 승인 없이 운영환경에서 직접 소스코드 변경을 수행하고 있는 경우, 개발시스템을 경유하여 운영시스템에 우회 접속이 가능한 경우, 운영환경 내에 시험환경을 구성하면서 별도의 관리통제나 모니터링이 되지 않는 경우(운영담당자 실수 발생) |
| 2.8.4 | 시험 데이터 보안 | 시험데이터의 생성·이용·관리·파기·보호 등에 관한 절차를 수립·이행, 운영데이터의 사용을 제한해야 하며 불가피하게 운영데이터 사용 시 통제절차를 수립·이행(승인/폐기/접근통제), 책임자의 승인없이 운영데이터를 시험 환경에서 사용하는 경우, 운영데이터를 시험 용도로 사용하면서 운영 데이터베이스와 동일한 수준의 접근통제를 적용하고 있지 않은 경우, 개발자가 임의로 생성한 시험데이터에 관한 기준과 절차가 정의되어 있지 않은 경우 |
| 2.8.5 | 소스 프로그램 관리 | 운영환경에 보관하지 않는 것이 원칙, 비인가자의 접근 차단(백업본 포함), 형상관리서버(SVN)에 대한 접근통제, 소스 프로그램에 대한 변경이력 관리(정기적 검토), 이전 버전의 소스 코드를 운영 서버 또는 개발자 PC에 승인 및 이력관리 없이 보관하고 있는 경우, 최신 버전의 소스 프로그램은 개발자PC에만 보관되어 있고 백업이 수행되지 않은 경우 |
| 2.8.6 | 운영환경 이관 | 통제된 절차에 따라 이관(이관담당자 지정/시험 완료 여부 확인/책임자 승인 등), 이관 시 문제 대응 방안 마련(Rollback), 이전 버전의 시스템 보관 방안 마련(소프트웨어/부가 프로그램/구성파일/파라미터 등), 운영환경에는 서비스 실행에 필요한 파일만 설치하고 불필요한 파일이 존재하지 않도록 관리(소스코드/배포모듈/백업본/개발 관련 문서/매뉴얼 등), 이관 시 검토·승인하는 절차가 마련되어 있지 않은 경우, 이관을 위한 변경작업 요청서/배포 요청서/결과서가 확인되지 않는 경우 |
| 2.9.1 | 변경관리 | 정보시스템 관련 자산의 모든 변경내역 관리, 변경 수행 전 보안/성능/업무에 미치는 영향 분석(방화벽 등 보안시스템 정책 변경 필요성/정책 변경 시 문제점 및 영향도 등), 변경실패에 따른 복구방안, 이중화에 따른 변경작업을 수행하였으나 이에 대한 변경 영향 분석을 실시한 증거자료가 확인되지 않는 경우, 변경 영향 분석 시 관련 부서의 참여가 미흡한 경우, 네트워크 변경 작업 시 공지 및 검토가 충분하지 않아 네트워크 구성도 및 접근통제시스템의 ACL에 적절히 반영되지 않은 경우, 변경관리시스템은 운영하고 있으나 해당 시스템을 통하지 않고도 시스템 변경이 가능한 경우 |
| 2.9.2 | 성능 및 장애관리 | 성능 및 용량 요구사항을 정의하고 현황을 지속적으로 모니터링(가용성 보장), CPU/메모리/저장장치의 임계치 설정 및 초과 시 대응절차 수립·이행, 장애 발생 시 탐지·기록·대응·분석·복구·보고 등 대응 절차 수립·이행, NMS 등 장애유형별 탐지 방법 수립, 대고객 서비스인 경우 고객 안내 절차 수립·이행, 장애조치보고서 기록·관리 및 재발방지대책 마련, 장애대응절차에 네트워크 구성 및 외주업체 등의 내·외부 환경변화가 반영되지 않은 경우, 장애처리절차와 장애유형별 조치방법 간 일관성이 없는 경우 |
| 2.9.3 | 백업 및 복구관리 | 백업관리대장, 가용성과 무결성 유지, 백업 및 복구절차를 수립·이행(개인정보/중요정보/DB/로그/config파일), 정기적으로 복구 테스트 실시/보고(복구테스트 시나리오 수립), 중요정보가 저장된 백업매체를 물리적으로 떨어진 장소에 소산(관리대장 기록/점검), 백업정책을 수립하고 있으나 법적 요구사항에 따라 장기간 보관이 필요한 정보가 백업되지 않는 경우, 복구 테스트를 장기간 실시하지 않은 경우, 지침 상의 백업 주기와 실제 백업 주기가 다른 경우, 지침에 따라 백업되도록 지정된 일부 시스템의 백업이 이행되지 않은 경우 |
| 2.9.4 | 로그 및 접속기록 관리 | 로그기록은 안전하게 보관/백업하고 접근권한은 최소화 부여, 개인정보처리시스템에 대한 접속기록은 법적 요구사항 준수(항목/보관기간), 개인정보 접속기록이 위·변조/도난/분실되지 않도록 안전하게 보관, 접속기록을 수정 가능한 매체에 백업하는 경우에는 무결성 보장(MAC값 보관), 내부 기준 또는 법률에서 정한 기간동안 기록·보관하지 않은 경우, 백업 등 안전한 보존·관리없이 Linux/UNIX계열 서버의 명령 실행 기록 및 접속 이력 등을 임의로 삭제할 수 있는 경우, 접속일시에 대해서 초단위까지 기록하지 않는 경우 < 개인정보의 안전성 확보조치 기준 제8조(접속기록의 보관 및 점검)제1항 > 개인정보처리자는 개인정보취급자의 개인정보처리시스템에 대한 접속기록을 1년 이상 보관ㆍ관리하여야 한다. 다만, 다음 각 호의 어느 하나에 해당하는 경우에는 2년 이상 보관ㆍ관리하여야 한다. (“접속기록”이란 개인정보처리시스템에 접속하는 자가 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다.)
< 개인정보의 안전성 확보조치 기준 안내서(2024.10) >
※참고자료 : 기업 보안담당자를 위한 ‘한눈에 보는 로그설정 노트’ |
| 2.9.5 | 로그 및 접속기록 점검 | 정보시스템 정상 사용 보장 및 사용자 오·남용 방지, 이상증후/이상접속/이상행위 검토 절차 및 발견 시 대응 절차 수립·이행(비인가접속/과다 조회/휴일 새벽 접속/우회경로 접속/대량 데이터 조회/소량 데이터의 지속적·연속적 조회 등), 개인정보처리시스템은 월 1회 이상 접속기록 점검 및 개인정보 다운로드 사유 확인, 이상접속 또는 이상행위에 대한 모니터링 정책이나 검토 내역이 확인되지 않는 경우, 내부 관리계획에 따른 개인정보 다운로드 사유를 확인하지 않고 있는 경우, 마이데이터사업자가 비정상API 탐지 활동을 수행하지 않거나 API동작에 대한 별도 모니터링 체계를 갖추지 않은 경우 < 개인정보의 안전성 확보조치 기준 제8조(접속기록의 보관 및 점검) > ② 개인정보처리자는 개인정보의 오ㆍ남용, 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검하여야 한다. 특히 개인정보의 다운로드가 확인된 경우에는 내부 관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다. |
| 2.9.6 | 시간 동기화 | 로그 및 접속기록의 정확성 및 분석 신뢰성의 보장, NTP 등의 방법을 활용하여 모든 정보시스템의 시간을 표준시간으로 동기화, 동기화 여부에 대한 주기적 점검이 이행되고 있지 않은 경우, 보안장비의 관리자용 PC가 표준시각과 동기화되지 않은 경우 |
| 2.9.7 | 정보자산의 재사용 및 폐기 | 정보자산 및 저장매체 폐기 관리대장(폐기 대상/일자/담당자/확인자/방법 및 폐기확인 증거자료), 개인정보 및 중요정보가 복구·재생되지 않도록 안전한 재사용 및 폐기 절차를 수립·이행, 저장매체 교체/복구 시 저장매체 내 정보의 보호대책 마련, 개인정보취급자 PC를 재사용하면서 정보자산 재사용 절차를 준수하지 않는 경우, 외부업체를 통하여 저장매체 폐기 시 폐기 이행 증거자료 확인 및 실사 등의 관리·감독이 이루어지지 않은 경우, 폐기 관리대장에 정보자산의 일련번호가 없어 폐기 이력 및 추적할 수 있는 증거자료를 확인할 수 없는 경우 |
| 2.10.1 | 보안시스템 운영 | 관리자 지정/최신 정책 업데이트/룰셋 변경/이벤트 모니터링/접근통제 등의 운영절차를 수립·이행, 보안시스템의 접근 허용 인원 최소화, 보안시스템의 예외정책 등록절차 관리 및 등록된 정책의 주기적인 타당성 검토(정책관리대장), IDS·IPS 등에 최신 패턴(시그니처) 및 엔진의 지속적 업데이트, 주기적인 보안시스템 접속 로그 분석을 통하여 비인가자에 의한 접근시도 여부 점검, 장기 미사용 정책/중복 정책/사용기간 만료 정책/과도하게 허용된 정책 등이 다수 존재하는 경우, 정책관리대장의 보안정책과 실제 운영정책이 상이한 경우, 보안시스템의 관리자 지정 및 권한 부여 현황에 대한 관리감독이 적절히 이행되고 있지 않은 경우, 웹APP 취약점 점검 후 WAF정책 설정을 복구하지 않은 경우, 개인정보처리시스템에 대한 접근을 IP주소 등으로 제한하지 않은 경우, 공식적인 절차없이 AWS의 NACL/SG 정책을 등록·변경·연장하는 경우는 “2.10.2 클라우드 보안” 결함임 < 개인정보의 안전성 확보조치 기준 제6조(접근통제) > ① 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 안전조치를 하여야 한다. 1. 개인정보처리시스템에 대한 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한 2. 개인정보처리시스템에 접속한 IP주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응 |
| 2.10.2 | 클라우드 보안 | 클라우드서비스 유형에 따라 클라우드서비스 제공자와 책임과 역할을 명확히 정의(IaaS/PaaS/SaaS), 클라우드서비스 제공자로부터 계정 및 권한을 할당받아 사용하는 영역은 인증범위에 포함, 관리자 접근 및 보안설정 등에 대한 보호대책 수립·이행, 클라우드 서비스 이용 시 보안통제 정책을 수립·이행(보안 구성·설정 기준/보안설정 변경·승인 절차/안전한 접속방법/권한체계/Access Key 관리), 클라우드 서비스 관리자 권한의 보호대책 적용(최소화 부여/세분화), 보안설정 변경/운영현황 등에 대한 정기적인 적절성 검토(접근통제의 적절성/인증 및 권한관리/암호화/시스템 및 서비스 보안관리 등 기타 필요한 보호조치가 모두 적용되어야 함), 클라우드 서비스 계약서 내에 보안에 대한 책임 및 역할 등에 대한 사항이 포함되어 있지 않은 경우, 클라우드 서비스 보안설정의 변경 권한이 과도하게 부여되어 있는 경우, 내부 지침과 달리 클라우드 내 사설 네트워크의 접근통제 룰(Rule) 등록·변경 시 보안책임자 승인절차를 거치지 않은 경우, 보안설정 오류로 중요정보/개인정보 및 내부 로그 파일 등이 인터넷에 공개되어 있는 경우, AWS 루트 Access Key가 소스코드에 저장된 경우(탈취 가능) < 전자금융감독규정 제14조의2(클라우드컴퓨팅서비스 이용절차 등) > ※참고자료: 금융분야 클라우드컴퓨팅서비스 이용 가이드(2025년도 개정)
|
| 2.10.3 | 공개서버 보안 | 내부 네트워크와 분리된 DMZ 영역에 설치하고 방화벽을 통하여 보호, 개인정보 및 중요정보의 게시 시 책임자의 승인, 주기적으로 중요정보의 노출 여부 파악, 중요정보 노출 시 차단 및 검색엔진 사업자에게 노출되지 않도록 조치 요청, 외부 검색엔진을 통해 권한없는 자에게 개인정보나 중요정보가 노출된 경우, 게시글을 임의로 수정·삭제하거나 비밀번호로 보호된 글을 열람할 수 있는 경우, Apache의 httpd.conf 설정사항이 공개서버 보안치침과 다른 경우, 개발자 모드 소스보기를 통해 서버정보가 과도하게 노출된 경우 < 공개서버 보호대책 >
< 전자금융감독규정 제17조(홈페이지 등 공개용 웹서버 관리대책) >
|
| 2.10.4 | 전자거래 및 핀테크 보안 | 침해사고 예방을 위한 보호대책 수립·이행(인증/암호화/접근통제), 보호대책 수립 시 관련 법률 고려(전자금융거래법/전자상거래법 등), 전자결재서비스/마이데이터 등 외부 시스템과 연계할 경우 안전성 점검, 금융권 오픈API 이용기관 주요 보안 요구사항 준수, 특정 URL을 통하여 결재 관련 정보가 모두 평문으로 전송되는 경우, 전자결재대행업체와 연결된 외부 연계 시스템에서 내부 업무 시스템으로의 접근이 방화벽 등을 통해 적절히 통제되지 않는 경우, 내부 지침과 달리 신규 핀테크 서비스를 연계하면서 일정상 이유로 보안성 검토를 수행하지 않은 경우, 마이데이터사업자가 인증방식으로 다중인증/다중요소 공개키인증서/비대면 실명확인 이외의 방식을 적용하는 경우(SMS인증 등) |
| 2.10.5 | 정보전송 보안 | 외부 조직에 정보 전송 및 조직 간 정보 상호교환 시 안전한 전송 정책을 수립·이행, 약정서·계약서·SLA 체결, 정보 상호교환 시 업무상 필요한 최소한의 정보만 송수신(DM발송/채권추심 정보/개인정보 제3자 제공/신용카드결제 정보), VPN 설정 등 정보 전달 기술 표준 정의, 연계된 대외기관과의 정보전송 현황 관리 미흡(연계 시기 및 방식/담당자 및 책임자/연계 정보/법적 근거 등), VPN 사용 시 중계과정에서의 암호해제 구간 및 취약한 암호화 알고리즘(DES/3DES/SHA1)에 대한 보안성 검토 미흡, 정보전송 협의서 상에 존재하는 않는 정보도 함께 전송한 경우 |
| 2.10.6 | 업무용 단말기기 보안 | 업무용 단말기기를 네트워크 연결 시 사용 승인/기기 인증(MAC,IP)/보안프로그램 설치 등 보안 설정 정책, 중요정보 및 개인정보의 유출 방지 대책(공유프로그램 사용 금지/공유설정 제한/무선망 이용 통제), 업무용 모바일 기기의 도난/분실 등으로 인한 정보 유출·노출 방지대책(화면잠금/저장소 암호화/원격잠금/원격삭제/MDM), 업무용 단말기기에 대한 접근통제 대책의 주기적인 적절성 점검, 허가된 업무용 모바일 기기가 식별·관리되지 않고 승인되지 않은 모바일 기기에서도 내부 정보시스템 접속이 가능한 경우, 업무용 모바일 기기의 도난·분실에 대한 보호대책이 적용되지 않은 경우, 다수의 업무용 단말기에서 과도하게 공유폴더를 설정하여 사용하고 있는 경우 |
| 2.10.7 | 보조저장매체 관리 | 보조저장매체 관리대장의 주기적 점검 및 현행화, 보조저장매체 취급(사용)/보관/폐기/재사용에 대한 정책 및 절차를 수립·이행, 통제구역 등에서 보조저장매체 사용 제한, 보조저장매체를 통한 악성코드 감염 및 중요정보 유출 방지를 위한 대책 마련(자동실행 방지), 잠금장치가 있는 안전한 장소에 보관, USB에 개인정보 저장 시 암호화 또는 보안USB 사용, 보조저장매체 통제 솔루션을 도입·운영하고 있으나 적절한 승인 절차 없이 예외처리되어 쓰기 등이 허용된 경우, 전산실에 위치한 일부 공용PC 및 전산장비에서 일반 USB메모리에 대한 쓰기가 가능한 상황이나 반출입 관리 등 적절한 통제가 적용되고 있지 않은 경우 < 개인정보의 안전성 확보조치 기준 제10조(물리적 안전조치)제3항 > ③ 개인정보처리자는 개인정보가 포함된 보조저장매체의 반출ㆍ입 통제를 위한 보안대책을 마련하여야 한다. 다만, 별도의 개인정보처리시스템을 운영하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 이를 적용하지 아니할 수 있다. |
| 2.10.8 | 패치관리 | 운영체계(OS) 및 소프트웨어에 대한 최신 패치 적용 및 패치 적용 현황을 주기적으로 관리, 최신 패치 적용이 어려운 경우 그 사유와 추가 보완대책 마련(책임자 보고 필요), 주요서버/네트워크시스템/보안시스템 등의 공개 인터넷 접속을 통한 패치 제한(불가피한 경우 책임자 승인 후 적용), 오픈소스의 보안패치 적용 및 확인 절차, 패치관리스템의 접근통제 및 배포파일 무결성 검증, EOS된 OS에 대한 보완대책이 수립되지 않은 경우, 오픈소스 프로그램의 최신 패치를 확인하고 적용하는 절차 및 담당자가 지정되어 있지 않은 경우, 클라우드서비스로 IaaS를 이용하면서 VM에 대한 패치를 진행하지 않는 경우 |
| 2.10.9 | 악성코드 통제 | 악성코드 예방·탐지·대응 등 보호대책의 수립·이행, 백신 소프트웨어의 최신 상태 유지(1회/일 이상 업데이트), 악성코드 확산 및 피해 최소화 등의 대응절차 수립·이행, 백신관리시스템에 대한 접근통제 및 백신 패턴에 대한 무결성 검증, 법령에 의거 정보통신서비스 제공자는 랜섬웨어 감염 시 KISA로 신고, 백신을 설치하지 않거나 최신 버전으로 업데이트되지 않은 경우, 백신 프로그램의 환경설정을 임의로 변경할 수 있음에도 그에 따른 추가 보호대책이 수립되지 않은 경우, 감염이력이 확인되었으나 감염현황/감염경로/원인분석/조치내역 등이 확인되지 않은 경우, 백신 중앙관리시스템에 접근통제 등 보호대책이 미비하거나 백신 패턴에 대한 무결성 검증을 하지 않아 악의적인 사용자에 의한 악성코드 전파 가능성이 있는 경우 < 개인정보의 안전성 확보조치 기준 제9조(악성프로그램 등 방지) > ① 개인정보처리자는 악성프로그램 등을 방지ㆍ치료할 수 있는 보안 프로그램을 설치ㆍ운영하여야 하며, 다음 각 호의 사항을 준수하여야 한다.
|
| 2.11.1 | 사고 예방 및 대응체계 구축 | 침해사고 및 개인정보 유출의 예방/대응 체계 마련(탐지·대응·분석·공유), 침해사고의 통지·신고의 법적 요구사항 준수, 개인정보 유출사고의 통지·신고의 법적 요구사항 준수, 외부기관 및 전문가들과 협조체계 구축(침해사고 대응 7단계), 외부 보안관제서비스 이용 시 침해사고 대응절차의 세부사항을 계약서에 반영, 침해사고 대응절차 상 신고·통지/대응·복구 절차 등을 수립하고 있지 않은 경우, 침해사고 대응 조직도 및 비상연락망 등을 현행화하지 않은 경우, 침해사고 신고·통지 및 대응 협조를 위한 대외기관의 정보가 현행화되지 않은 경우, 침해사고 대응지침 상 개인정보 유출·침해사고 신고 기준/시점 등이 법적 요구사항을 준수하지 못하는 경우 < 표준 개인정보 보호지침 제29조(개인정보 유출등 사고 대응 매뉴얼 등) > ① 다음 각 호의 어느 하나에 해당하는 개인정보처리자는 유출등 사고 발생 시 신속한 대응을 통해 피해 발생을 최소화하기 위해 「개인정보 유출등 대응 매뉴얼」을 마련하여야 한다.
② 제1항에 따른 개인정보 유출등 대응 매뉴얼에는 유출등 통지ㆍ조회 절차, 영업점ㆍ인터넷회선 확충 등 고객 민원 대응조치, 현장 혼잡 최소화 조치, 고객불안 해소조치, 피해자 구제조치 등을 포함하여야 한다. < 마이데이터 종합포탈 -> 금융분야 마이데이터 기술 가이드라인 > 가입자 수 100만명 이상의 마이데이터사업자는 가입자 100만명에 도달한 시점에서 1년 이내에 금융보안원 금융보안관제센터가 제공하는 보안관제 서비스에 가입해야 한다. |
| 2.11.2 | 취약점 점검 및 조치 | 정기적인 취약점 점검 수행(네트워크 장비/OS/보안시스템/애플리케이션/모바일APP/웹서비스/스마트기기 등), 지속적으로 최신 보안취약점 발생 여부를 파악하고 정보시스템에 미치는 영향을 분석하여 조치, 발견된 취약점에 대한 조치 결과를 책임자에게 보고(이력관리/이행점검), 정보의 중요도에 따라 모의침투테스트 수행, 내부관리계획에 개인정보의 유출/도난 방지 등을 위한 취약점 점검에 관한 사항을 포함, 취약점 점검 이력에 대한 기록 관리(재발 취약점의 근본원인 분석 및 재발방지 대책 마련), 취약점에 대한 보완조치를 이행하지 않았거나 단기간 내에 조치할 수 없는 취약점에 대한 타당성 검토 및 승인 이력이 없는 경우, 이행점검을 실시하지 않거나 미조치 취약점에 대한 보완대책을 마련하지 않은 경우 < 주요정보통신기반시설의 취약점 분석ㆍ평가 기준 >
< 전자금융기반시설의 취약점 분석ㆍ평가 >
|
| 2.11.3 | 이상행위 분석 및 모니터링 | 내·외부에 의한 이상행위 탐지·대응(침해시도/개인정보유출 시도/부정행위), 네트워크 트래픽/데이터 흐름/이벤트 로그 등의 수집·분석, 이상행위 여부 판단을 위한 기준/임계치 정의 및 최적화(주기적 검토), 이상행위가 확인된 경우 사후조치 수행, 침해시도를 인지할 수 있는 체계 및 절차를 마련하고 있지 않은 경우, 임계치를 초과한 이상 트래픽에 대한 대응조치 부재, 보안관제 업무를 위탁하고 있으나 위탁업체가 제공한 관련 보고서를 검토하지 않는 경우 < 개인정보의 안전성 확보조치 기준 제6조(접근통제)제1항제2호 > 2. 개인정보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응 |
| 2.11.4 | 사고 대응 훈련 및 개선 | 침해사고 및 개인정보 유출사고 대응 절차에 따라 연 1회 이상 모의훈련 실시(모의훈련 계획 수립), 실질적인 모의훈련 시나리오 마련 및 모의훈련 조직 구성, 침해사고 모의훈련을 실시하지 않거나 내부 지침에서 정한 절차를 따르지 않은 경우 |
| 2.11.5 | 사고 대응 및 복구 | 개인정보/개인신용정보 유출의 통지 및 신고(72시간 이내), 침해사고 신고(24시간 이내), 침해사고 종결 후 원인 분석 및 결과 보고·공유, 재발방지 대책 수립 및 침해사고 대응체계 변경, DDoS/해킹공격/크리덴셜 스터핑 공격 등 침해사고가 발생하였으나 24시간 이내 신고 등 적당한 조치를 취하지 않은 경우, DDoS 공격으로 의심되는 침해사고로 인하여 서비스 일부가 중단되었으나 이에 대한 원인분석 및 재발방지 대책이 수립되지 않은 경우, 수사기관으로부터 불법 접근에 의한 개인정보 유출 통지를 유보해 달라는 요청을 받은 경우 개인정보위원회에 유출 신고하고 협의해야 함, 신용정보회사에서 개인신용정보가 아닌 개인정보가 유출된 경우에는 개인정보 보호법을 적용함 < 신용정보법 제39조의4(개인신용정보 누설통지 등) 개인신용정보 누설 신고 방법 >
|
| 2.12.1 | 재해·재난 대비 안전조치 | 중요 업무/서비스의 연속성을 위협할 수 있는 IT 재해유형 식별(재해/통신·전력 장애/해킹/내부결함), 핵심 IT서비스(업무) 및 시스템 식별하고 RTO/RPO 정의 및 재해 복구체계 구축, 재해 시 복구조직/비상연락체계/복구순서/복구절차 정의(IT 재해 복구 절차서), 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검, IT 재해 복구 절차서 내에 중요한 내용이 누락되어 있는 경우(조직/역할/비상연락체계 등), 복구 우선순위/RTO/RPO가 정의되지 않은 경우, 운영 중인 백업센터를 활용한 재해 복구 절차가 수립되지 않은 경우, RTO을 과도 또는 과소하게 설정한 경우, RPO와 백업정책(대상/주기)이 적절히 연계되지 않아 복구 효과성을 보장할 수 없는 경우, 클라우드서비스 전환 등 중요변경 사항이 발생하였음에도 재해복구 지침을 검토·변경하지 않은 경우, 재해복구 대상 시스템이 테스트 및 모의훈련 시나리오에 누락된 경우 < 정보통신망법 제46조(집적된 정보통신시설의 보호) > ⑥ 집적정보통신시설 사업자등은 재난이나 재해 및 그 밖의 물리적ㆍ기능적 결함 등으로 인하여 대통령령으로 정하는 기간 동안 정보통신서비스 제공의 중단이 발생한 때에는 그 중단 현황, 발생원인, 응급조치 및 복구대책을 지체 없이 과학기술정보통신부장관에게 보고하여야 한다. 1. 연속해서 30분 이상 2. 24시간 이내에 2회 이상 중단된 경우에는 그 중단된 기간의 합이 45분 이상 < 개인정보의 안전성 확보조치 기준 제11조(재해ㆍ재난 대비 안전조치) > 10만명 이상의 정보주체에 관하여 개인정보를 처리하는 대기업ㆍ중견기업ㆍ공공기관 또는 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 중소기업ㆍ단체에 해당하는 개인정보처리자는 화재, 홍수, 단전 등의 재해ㆍ재난 발생 시 개인정보처리시스템 보호를 위한 다음 각 호의 조치를 하여야 한다. 1. 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검 2. 개인정보처리시스템 백업 및 복구를 위한 계획을 마련 < 전자금융감독규정 제23조(비상대책 등의 수립ㆍ운용) > ⑨ 제8항 각 호의 금융회사는 업무별로 업무지속성 확보의 중요도를 분석하여 핵심업무를 선정하여야 하며, 업무별 복구목표시간을 정하여야 한다. 이 경우 핵심업무의 복구목표시간은 3시간 이내로 하되, 「보험업법」에 의한 보험회사의 핵심업무의 경우에는 24시간 이내로 한다. |
| 2.12.2 | 재해 복구 시험 및 개선 | 재해복구 시험계획을 수립·이행·보고(시나리오 등 실효성 판단), 시험결과/정보시스템 환경변화/법률 등에 따른 변화를 반영할 수 있도록 재해복구 전략 및 대책의 적정성을 정기적으로 시험·검토·보완(변화관리), 재해복구 훈련을 계획·시행하지 않았거나 결과보고서 등 증적이 확인되지 않은 경우, 재해복구 훈련을 계획하고 실시하였으나 구체적인 내용/기록이 없는 경우(인원/시간/범위/시나리오) ※참고자료: 국가정보자원관리원 > 정보시스템 데이터백업복구 및 재해복구시스템 모의훈련 계획(2015년) < 전자금융감독규정 제23조(비상대책 등의 수립ㆍ운용) > ⑩ 재해복구센터를 운영하는 금융회사는 매년 1회 이상 재해복구센터로 실제 전환하는 재해복구전환훈련을 실시하여야 한다. < 전자금융감독규정 제24조(비상대응훈련 실시) > ① 금융회사 또는 전자금융업자는 위기대응행동매뉴얼 또는 비상대책에 따라 연 1회의 비상대응훈련을 실시하고 그 결과를 금융위원회에 보고하여야 한다. 이때, 제23조제10항에 따른 재해복구전환훈련을 포함하여 실시할 수 있다. |
| 3.1.1 | 개인정보 수집·이용 | 수집·이용 시 고지사항, 미리 포괄적으로 수집하지 말고 필요한 시점에 정보 수집, 법정대리인의 동의(14세 미만) 및 개인정보 파기 때까지 보존(동의 일시/항목/방법 및 동의자), 정보주체의 동의 없이 처리할 수 있는 개인정보 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보 항목과 구분하여 개인정보 처리방침에 공개하거나 정보주체에게 통지, 명확히 표시해야 하는 중요 내용 및 표시 방법 준수, 정보주체의 동의 없이 개인정보의 추가적인 이용 시 고려사항에 대한 구체적인 판단기준을 수립·이행·공개, 고지 사항에 ʻ동의 거부 권리 및 동의 거부에 따른 불이익 내용ʼ을 누락한 경우, 수집하는 개인정보 항목과 동의서의 개인정보 항목이 상이한 경우, 수집 항목을 “~등”과 같이 포괄적으로 안내하는 경우, 가입/최초 동의 시점에 나중에 필요한 주소 정보를 필수항목으로 미리 수집하는 경우, 비회원의 개인정보를 수집하면서 동의 절차를 거치지 않은 경우, 법정대리인의 동의 기록을 남기기 않는 경우(동의 일시/항목/방법 및 동의자 등), 법정대리인의 동의가 장기간 확인되지 않았음에도 수집된 법정대리인의 개인정보를 파기하지 않은 경우(수집일로부터 5일 이내), 개인정보 수집 및 활용 동의서의 보유·이용 기간을 명확히 표시하지 않거나 단순 “목적 달성시” 같이 추상적으로 기재한 경우, 개인정보 처리 동의서의 동의함을 기본값으로 설정한 경우, 개인정보 수집 동의서 화면에서 생년월일을 필수 입력받아 연령확인 후 만 14세 미만의 아동 개인정보가 수집되지 않도록 조치한다면 결함이 아님, 서비스 이용 등 계약과 관련하여 필요한 개인정보는 동의없이 수집할 수 있음(필수적인 개인정보라는 입증 책임은 개인정보처리자에게 있음) |
| 3.1.2 | 개인정보 수집 제한 | 필요한 최소한의 개인정보만 수집, 최소한의 개인정보에 대한 입증책임은 개인정보처리자가 부담, 필요 최소한의 정보가 아닌 정보(선택정보)에 대해서는 재화 또는 서비스의 이용에 방해를 받음이 없이 자유롭게 동의를 거부할 수 있음을 구체적으로 고지(수집·이용/제공), 회원가입 과정에서 선택정보에 대하여 동의를 하지 않거나 입력을 하지 않더라도 회원가입 등 필수적인 서비스는 이용이 가능하도록 구현, 계약의 체결 및 이행을 근거로 정보주체 동의 없이 개인정보를 수집하면서 계약의 체결 및 이행을 위해 반드시 필요하지 않은 개인정보 항목까지 과도하게 수집하는 경우, 선택사항에 대한 동의를 받으면서 해당 개인정보 수집에는 동의하지 아니할 수 있다는 사실을 구체적으로 알리지 않은 경우, 회원가입 시 선택정보에 동의하지 않으면 다음 단계로 넘어가지 않은 경우, 선택정보에 대하여 동의하지 않아도 회원가입이 가능함을 정보주체가 인지할 수 있도록 구체적으로 알리지 않은 경우(개인정보 항목별로 필수/선택 여부가 표시되어 있지 않은 경우), 회원가입 시 주소/직업/결혼유무 등 과도한 개인정보를 수집하는 경우, 선택동의서에 동의 거부 시 제한되는 서비스를 구체적으로 안내하지 않고 관련 서비스로 고지하는 경우, 동일한 목적으로 동시에 여러 개의 연락처 정보를 수집하는 경우, 마일리지 회원관리를 위해 꼭 필요하다고 입증하기 어려운 개인정보를 수집하는 경우 |
| 3.1.3 | 주민등록번호 처리 제한 | 주민등록번호 수집 법정주의(법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙·감사원규칙), 주민등록번호의 수집 근거가 되는 법조항을 구체적으로 식별, 시행규칙을 근거로 주민등록번호의 처리 불가, 정보주체의 동의에 근거하여 주민등록번호를 수집한 경우, 시행규칙이나 조례에 근거하여 주민등록번호를 수집한 경우, 채용전형 진행단계에서 법적 근거를 제시하지 않고 입사지원자의 주민등록번호를 수집한 경우, 홈페이지 회원가입 단계에서 본인확인 대체가입수단을 제공하지 않은 경우, 법적 근거없이 주민등록번호 뒤 7자리의 전부 또는 일부를 처리하는 경우 < 주민등록번호를 비가역적으로 암호화한 정보(연계정보)를 처리할 수 있는 경우 >
|
| 3.1.4 | 민감정보 및 고유식별정보의 처리 제한 | 민감정보와 고유식별정보(주민등록번호 제외) 처리는 별도 동의 또는 법령에서 구체적으로 처리를 요구하거나 허용하는 경우 가능, 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알려야 함(개인정보 처리방침에도 공개 필요), 페이스 인증을 등록하면서 개인정보(얼굴정보) 처리 동의와 구분하여 별도로 민감정보(생체인식특징정보) 처리 동의를 받지 않는 경우, 민감정보와 고유식별정보를 다른 개인정보 항목에 포함하여 일괄 동의를 받는 경우, 법령에 근거하여 수집하고 있으면서 구체적으로 법령 이름 및 조문을 기재하지 않은 경우, 생체인식정보를 모바일 디바이스에 저장 시 안전한 하드웨어 영역이나 운영체계에서 제공하는 보안영역에 저장해야 함(TEE 등) |
| 3.1.5 | 개인정보 간접수집 | 필요한 최소한의 개인정보를 수집하거나 제공받아야 함, 정보주체 이외로부터 수집한 개인정보의 수집 출처 통지 등 통지 의무자의 법적 요구사항 준수, 개인정보 제공 동의 획득 책임이 제공자에게 있음을 계약서에 명시, 공개된 개인정보를 수집하는 경우 사회 통념상 동의 의사가 있다고 인정되는 범위 내에서만 수집·이용, 서비스 계약 이행을 위해 서비스 제공 과정에서 자동수집장치에 의하여 수집·생성되는 개인정보도 필요한 최소한으로 수집(통화/접속/결제/이용 기록 등), 통지 의무자는 개인정보 파기 시까지 수집 출처 통지 기록의 보관·관리(정보주체에게 알린 사실/시기/방법), 정보주체 이외로부터 개인정보를 수집하면서 수집 출처 통지 요구에 대한 처리절차가 존재하지 않은 경우, 개인정보 수집 출처를 통지하면서 필수 통지사항을 일부 누락한 경우, 별도의 계약이나 고지없이 타사(위탁사 등)의 모바일 앱으로부터 형태정보를 수집하거나 제공받는 경우, 서비스 제공 계약의 이행과 무관한 목적으로 쿠키를 통하여 수집하는 형태정보를 개인별 맞춤형 광고에 활용하면서 별도의 사전 동의를 받지 않은 경우, 개인정보처리방침에 마케팅을 위해 쿠키에 포함된 개인정보를 수집하면서 개인정보 수집·이용 동의를 받지 않은 경우, 통지 예외 사항에 해당하지 않음에도 수집 출처 안내 메일을 발송하지 않은 경우(통지 거부는 통지 예외 사항에 해당하지 않음), 간편로그인 기능을 제공하면서 별도의 계약이나 고지없이 행태정보를 수집하는 경우, 정보주체 이외로부터 수집한 개인정보 수집 출처 통지 의무는 정보주체의 동의를 받아 개인정보를 제공한 개인정보처리자로부터 수집한 개인정보에 대해서만 적용되므로 신용정보법에 따라 동의를 받아 개인정보를 제공한 자로부터 수집한 개인정보 또는 법령에 따라 제공받은 개인정보에 대해서는 적용되지 않음, 개인정보 수집 내역이 개인정보 처리방침에 공개되지 않거나 다른 경우는 “3.5.1 개인정보 처리방침 공개” 결함임 |
| 3.1.6 | 영상정보처리기기 설치·운영 | 고정형 영상정보처리기기의 설치·운영 시 안내판 설치 조치 및 의견수렴 절차(관계전문자/이해관계인) 준수, 영상정보처리기기 운영·관리 방침의 수립·운영, 개인영상정보의 보관 기간을 산정하기 곤란한 경우에는 30일 이내로 함, 영상정보처리기기 운영·관리 방침의 영상정보 보관기간을 준수하지 않는 경우, 영상정보처리기기의 설치·운영 사무를 외부업체에 위탁하고 있으나 법령에서 요구하는 내용을 위탁 계약서에 반영하지 않은 경우 < 고정형 영상정보처리기기 설치・운영 안내서 질의/응답 > 누구든지 예외사항을 제외하고는 공개된 장소에 고정형 영상정보처리기기를 설치ㆍ운영하여서는 아니 된다.
< 이동형 영상정보처리기기를 위한 개인영상정보 보호ㆍ활용 안내서 질의/응답> 업무를 목적으로 이동형 영상정보처리기기를 운영하려는 자는 예외사항를 제외하고는 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상(개인정보에 해당하는 경우로 한정한다. 이하 같다)을 촬영하여서는 아니 된다.
|
| 3.1.7 | 마케팅 목적의 개인정보 수집·이용 | 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보를 처리하고자 하는 경우 별도 동의, 정보주체에게 연락할 수 있다는 사실을 명확하게 표시, 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 경우 수신자의 명시적인 사전 동의를 받아야 하며 2년마다(매 2년이 되는 해의 수신동의를 받은 날과 같은 날 전까지) 수신자의 수신동의 여부를 확인(재동의를 받을 필요는 없음), 홍보 및 마케팅 목적으로 개인정보를 수집하면서 수집목적으로 불분명하게 안내하는 경우(잘못된 사례:고객편의 향상을 위한 안내메일 발송/부가서비스 제공/제휴서비스 제공 등), 광고성 정보 수신동의 관리 테이블에 수신동의 일자가 없거나 정기적인 수신동의 여부를 확인할 수 없는 경우, 프로그램 오류 등의 이유로 광고성 앱 푸시가 이루어지는 경우, 광고성 정보 전송에 대한 동의가 디폴트로 체크되어 있는 경우, 광고성 정보 수신동의 여부에 대하여 2년마다 확인하지 않은 경우, 영리목적의 광고성 정보를 전자우편으로 전송하면서 제목이 시작되는 부분에 ʻ(광고)ʼ 표시를 하지 않은 경우, 개인정보 보호법 제22조제1항제7호에 따른 재화나 서비스 홍보·판매권유 목적의 동의는 전송자가 광고성 정보를 전송하기 위하여 수신자의 개인정보를 수집·이용하는 것에 대한 동의에 해당하고, 정보통신망법 제50조제1항 동의는 전송자가 보내는 광고성 정보를 수신하겠다는 것에 대한 동의에 해당하여 두 개의 동의는 구분 후 별개로 받아야 함 < 정보통신망법 시행령 제62조의3(수신동의 여부의 확인) 확인 시 고지사항 >
|
| 3.2.1 | 개인정보 현황관리 | 개인정보 항목/보유량/처리근거/처리목적 및 방법/보유기간 등 현황을 정기적으로 관리, 개인정보 현황표, 개인정보 흐름표, 개인정보 흐름도, 공공기간은 개인정보파일을 운용하기 시작한 날로부터 60일 이내 개인정보보호위원회에 등록(개인정보보호종합지원시스템), 공공기관은 개인정보파일 보유현황을 개인정보처리방침에 공개, 개인신용정보의 수집·이용/제공한·제공받은/파기 처리기록 3년간 보관(날짜/항목/사유와 근거), 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우, 공공기관이 임직원의 개인정보파일 및 통계법에 따라 수집되는 개인정보파일을 개인정보 보호위원회에 등록하지 않는 경우, 등록 및 공개 의무가 적용되지 않는 개인정보파일이 아님에도 개인정보 보호위원회에 등록하지 않는 경우, 등록된 개인정보파일의 내용과 실제 개인정보파일 현황이 다른 경우 |
| 3.2.2 | 개인정보 품질보장 | 개인정보의 정확성·완전성·최신성이 보장되도록 정보주체에게 관리절차 제공, 개인정보취급자에 의한 개인정보 변경 시 오입력 발생 방지 조치, 성명 또는 주민등록번호의 변경 절차 제공, 개인정보 변경 시 안전한 본인확인 절차 수립·시행, 정보주체가 본인의 개인정보 등록 현황을 쉽게 조회하고 변경할 수 있도록 다양한 방법 제공, 불법적인 개인정보의 위조·변조·훼손·변경·손상 등이 발생하더라도 개인정보의 정확성·완전성을 확보할 수 있도록 백업·복구 등의 체계 구축·이행, 고객센터를 통해 회원 정보 변경 시에는 본인확인 절차가 미흡하여 회원정보의 불법적인 변경이 가능한 경우, 오프라인 회원에 대해서는 개인정보를 변경할 수 있는 방법을 제공하고 있지 않은 경우 |
| 3.2.3 | 이용자 단말기 접근 보호 | 정보통신망법 제22조의2(접근권한에 대한 동의), 이동통신단말장치의 저장 정보 및 기능에 대한 접근권한 동의(항목/필요한 이유) 및 철회방법(앱별·접근권한별) 마련, 필수적·선택적 접근권한에 대해 각각 동의, 선택적 접근권한을 동의 시 ‘접근권한 허용에 동의하지 않을 수 있다는 사실’을 알려야 하며 정보주체(이용자)가 동의하지 않아도 서비스 제공을 거부하지 않아야 함, 스마트폰 앱에서 과도한 권한 설정으로 서비스에 불필요한 정보 및 기능에 접근하는 경우, 선택사항에 해당하는 권한을 필수권한으로 고지하여 동의를 받는 경우, 주소록과 같이 반드시 필요한 정보가 아님에도 반드시 접근토록 구현하여 권한을 과도하게 요구한 경우 < 이동통신단말기기의 필수적·선택적 접근권한에 대한 동의 시 고지 사항 >
|
| 3.2.4 | 개인정보 목적 외 이용 및 제공 | 동의받은 목적/제공받은 목적/법령에 근거한 범위 내에서만 이용·제공, 수집/제공받은 목적의 범위를 초과하여 이용·제공하는 경우 정보주체에게 별도 동의를 받거나 법적 근거가 있는 경우로 제한, 공공기관은 개인정보 목적외 이용·제공 절차 준수(관보 또는 인터넷홈페이지에 게재/개인정보 목적 외 이용 및 제3자 제공대장에 기록·관리), 사법기관·정부기관의 개인정보 제공 요청에 대응하기 위한 체계적인 절차 마련, 사전 동의를 받지 않고 개인정보를 통신판매 광고 등 목적 외로 이용한 경우, 공공기관이 개인정보를 목적 외로 이용·제공하면서 관련 사항을 관보 또는 인터넷 홈페이지에 게시하지 않은 경우, 공공기간이 범죄 수사의 목적으로 경찰서에 개인정보를 제공하면서 ‘개인정보 목적 외 이용 및 제3자 제공 대장ʼ에 기록하지 않은 경우 < 개인정보를 목적 외의 용도로 이용하거나 이를 제3자에게 제공할 수 있는 경우 > (정보주체 또는 제3자의 이익을 부당하게 침해할 우려가 있을 때를 제외, 제5호부터 제9호까지는 공공기관의 경우로 한정, 제7호의 경우 관보 또는 인터넷 홈페이지에는 게재하지 않으나 ‘개인정보 목적 외 이용 및 제3자 제공대장ʼ에는 기록해야 함)
|
| 3.2.5 | 가명정보 처리 | 가명처리 절차의 수립·이행, 적정성 검토위원회 구성/운영(최소 3인 이상), 가명정보의 안전성 확보 조치(원본정보/가명정보/추가정보의 접근권한 분리 등), 결합전문기관/데이터전문기관을 통한 가명정보 결합, 주민등록번호는 가명처리할 수 없음, 가명정보의 처리기간 설정 및 처리기간 경과 시 파기, 익명처리하는 경우 개인식별정보는 삭제하고 개인식별가능정보는 익명처리방법을 복합적으로 활용하여 처리, 가명처리 목적을 설정하지 않고 개인정보를 가명처리하는 경우, 가명정보 처리에 관한 기록을 가명정보를 파기한 날로부터 3년 이상 보관하지 않는 경우, 개인정보 처리방침에 가명처리와 관련된 사항을 공개하지 않는 경우, 가명정보에 특정 개인에 대한 식별가능성이 존재하는 경우, 특이정보를 삭제하지 않아 특정 개인이 식별되는 경우, 경진대회 등과 같이 통계작성/과학적 연구/공익적 기록보존 외의 목적으로 가명정보를 사용하는 경우, 가명정보 처리기간을 설정하지 않거나 가명처리 목적을 달성한 가명정보를 파기하지 않은 경우, 가명정보의 처리기간을 정한 경우에만 개인정보처리방침에 가명정보 처리기간을 기재 < 개인정보보호법 제28조의7 가명정보 적용 예외 범위 > 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 통지) 제20조의2(개인정보 이용ㆍ제공 내역의 통지) 제27조(영업양도 등에 따른 개인정보의 이전 제한) 제34조(개인정보 유출 등의 통지ㆍ신고)제1항 개인정보 유출 등의 통지 : 개인정보 유출 신고 의무는 적용 제35조(개인정보의 열람) 제35조의2(개인정보의 전송 요구) 제36조(개인정보의 정정ㆍ삭제) 제37조(개인정보의 처리정지 등) |
| 3.3.1 | 개인정보 제3자 제공 | 정보주체 별도 동의/법령상 의무 등 적법 요건 준수, 제3자 제공 동의 시 고지 사항 준수 및 명확히 표시해야 하는 중요 내용 및 표시 방법 준수, 법률 등을 근거로 개인정보 제공 시 문서화, 제3자 제공이 반드시 필요한 것이 아니라면 미동의를 사유로 서비스의 제공을 거부하지 않아야 함, 최소한의 개인정보 제공, 제3자 제공내역을 기록하여 보관, 제3자에게 개인정보의 접근을 허용하는 경우 안전한 보호절차에 따라 통제(인증/접근통제/암호화/접속기록 보관), 정보주체의 동의 없이 개인정보의 추가적인 제공 시 고려사항에 대한 구체적인 판단기준을 수립·이행·공개, 동의하지 않은 정보주체의 개인정보가 함께 제공된 경우, “~등”과 같이 포괄적이거나 지나치게 많은 개인정보를 제공하는 경우, “개인정보 제3자 제공 동의서”의 내용과 “개인정보의 목적외 이용 및 제3자 제공 대장”의 내용이 상이한 경우, 선택적 제3자 제공에 동의하지 않는다는 이유로 서비스의 제공을 거부하는 경우, 개인정보 제3자 제공 내역이 개인정보 처리방침에 공개되지 않거나 다른 경우는 “3.5.1 개인정보 처리방침 공개” 결함임, 정보주체의 동의 외의 사유로 개인정보를 제3자에게 제공하는 경우 개인정보처리방침에 제공받는 자의 보유・이용기간은 기재하지 않아도 무방(권장사항) |
| 3.3.2 | 개인정보 처리 업무 위탁 | 수탁자와 위탁 업무 내용을 현행화하여 공개(재위탁 포함), 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우 서면 등의 방법으로 정보주체에게 통지, 개인정보 처리방침에 일부 ‘수탁자’ 또는 ‘위탁하는 업무의 내용’을 누락한 경우, 계약 해지에 따라 수탁자가 변경되었으나 개인정보 처리방침에 지체 없이 반영하지 않은 경우, 재위탁에 관한 사항을 인터넷 홈페이지 등에 공개하지 않은 경우, 재화·서비스의 홍보/판매를 권유하는 업무를 위탁하면서 정보주체에게 알리지 않고 개인정보 처리방침에만 공개하는 것으로 갈음한 경우, 연계정보(CI)를 처리하면서 주민등록번호를 CI로 변환하는 업무를 위탁처리하는 본인확인기관이 공개되지 않은 경우 |
| 3.3.3 | 영업의 양도 등에 따른 개인정보 이전 | 정보주체에게 서면 등으로 알려야 할 사항 준수, 직접 알릴 수 없는 경우 조치 사항 준수, 양수자는 이전 당시의 본래 목적으로만 개인정보를 이용·제공, 양도자가 개인정보 이전 사실을 알리지 않았음에도 양수자도 개인정보 이전 사실을 정보주체에게 알리지 않은 경우, 이전을 원하지 않은 경우 조치할 수 있는 방법과 절차를 마련하지 않거나 알리지 않은 경우 < 위치정보사업자등의 사업 양도 등의 통지 방법 >
|
| 3.3.4 | 개인정보 국외이전 | 인증·인정 등 국외 이전에 대한 적법 요건을 갖춘 경우 국외 이전 별도 동의없이 국외의 제3자 제공(조회 포함)·처리위탁·보관 가능, 개인정보 처리방침에 국외 이전에 대한 근거와 고지사항 공개, 처리위탁/보관형 국외 이전 시 개인정보 처리방침에 공개하거나 정보주체에게 통지 필요, 국외 이전에 관한 계약 체결(안전성 확보/고충처리/분쟁해결), 인증·인정 등 동의 예외 요건에 해당되지 않음에도 불구하고 개인정보 국외 이전에 대한 별도 동의없이 국외의 제3자에게 개인정보를 제공한 경우, 국외 클라우드 서비스(국외 리전)을 이용하면서 개인정보 처리방침에 공개하거나 정보주체에게 알리지 않는 경우, 국외 이전에 대한 법적 요건을 충족하는 경우 국외 이전 동의를 받지 않아도 되나 별개로 제3자 제공이 발생하는 경우에는 제3자 제공 동의를 받아야 함(사례: 마케팅 활용 등의 목적으로 개인정보를 제공하는 경우) < 개인정보의 국외 이전이 가능한 경우(개인정보 보호법 제28조의8제1항) >  ※ 개인정보 국외 이전 중지를 명령받은 개인정보처리자는 명령을 받을 날로부터 7일 이내에 의미를 제기할 수 있으며, 개인정보보호위원회는 이의 제기 내용을 검토하여 30일 이내에 처리 결과를 해당 개인정보처리자에게 통보해야 함 |
| 3.4.1 | 개인정보 파기 | 안전한 방법으로 파기, 공공기간은 개인정보 파기계획 수립·시행(내부 관리계획에 포함 가능) 및 개인정보파일 파기 관리대장 작성, 개인정보가 불필요하게 되었을 때에는 정당한 사유가 없는 한 5일 이내에 파기, CRM/DW 등에 복제된 파기 대상 개인정보를 파기하지 않은 경우, 이벤트 종료 이후에도 개인정보가 파기되지 않은 경우, 내부 정책이나 지침과 달리 법령에서 정한 보존기간을 초과하여 보관하는 경우, 법정 기한 내에 지체없이 파기하지 않고 연1회 등 배치 프로그램으로 파기하는 경우, 블록체인 등 파기가 곤란하여 익명처리하였으나 재식별 등 복원이 가능한 경우, 금융거래 등 상거래관계가 종료된 고객의 중요정보에 접근통제가 적용되지 않은 경우(3개월 이내) < 상거래 관계가 종료된 개인신용정보 관리방법 >  < 위치정보법 제23조(개인위치정보의 파기 등) > ① 위치정보사업자등은 개인위치정보의 수집, 이용 또는 제공목적을 달성한 때에는 위치정보 수집ㆍ이용ㆍ제공사실 확인자료 외의 개인위치정보는 즉시 파기하여야 한다. 다만, 다른 법률에 따라 보유하여야 하거나 개인위치정보주체가 자신의 개인위치정보의 보유에 관하여 별도로 동의한 경우 개인위치정보를 동의한 때부터 최대 1년까지 보유할 수 있다. |
| 3.4.2 | 처리목적 달성 후 보유 시 조치 | 다른 개인정보와 물리적·논리적 분리하여 최소한의 기간으로 최소한의 항목만 저장·관리, 분리 보관하고 있는 개인정보의 접근권한 최소화(접속기록 보관·검토), 관련 법령에 따라 파기하지 않고 보존하는 경우 법적 보존기한 준수, 법적 요건을 잘못 적용하여 법적 보존 기한 이상을 보존하도록 정하고 있는 경우(3년→5년), 분리 보관하였으나 접속권한을 별도로 설정하지 않은 경우, 보존의무가 없는 선택정보까지 과도하게 보존하는 경우, 다른 법령에 따라 처리목적 달성 후에도 보유하고 있는 개인정보 항목 및 그 보존 근거를 개인정보 처리방침에 공개하지 않는 것은 “3.5.1 개인정보 처리방침 공개” 결함임 |
| 3.5.1 | 개인정보 처리방침 공개 | 필요한 사항을 모두 포함하여 현행화 공개, 개인정보 처리방침 개정관련 공지, 개인정보 처리방침의 내용은 동의서 등 실제 개인정보 처리현황과 일치하여야 함(수집·이용/제공 등), 변경 전·후를 비교하여 공개, 개인정보 수집/제3자 제공 내역이 실제 수집 및 제공하는 내역과 다른 경우, 개인정보 보호책임자의 변경/수탁자 변경 등 개인정보 처리방침 공개 내용 중에 변경사항이 발생하였음에도 이를 반영하여 변경하지 않은 경우, 개정 이력을 확인할 수 있도록 공개되어 있지 않은 경우, 개인정보를 제공받는 제3자가 많다는 이유로 모두 표시하지 않은 경우, 다른 법령에 따라 개인정보를 파기하지 아니하고 일정기간 보관하고 있으나 이에 따른 보존근거와 보존하는 개인정보 항목을 개인정보 처리방침에 공개하지 않은 경우 ※ 개인정보 처리방침 평가 결과, 우수한 등급을 받은 개인정보처리자에 대해서는 최대 30% 범위 내에서 과징금 추가적 감경 및 최대 10% 범위 내에서 과태료 감경 가능 < 신용정보활용체제 필수 기재사항 >
< 개인위치정보 처리방침의 공개 >
|
| 3.5.2 | 정보주체 권리보장 | 열람/전송요구/정정·삭제/처리정지/동의철회/자동화결정의 거부·설명요구(법적 처리기한 준수), 개인정보 수집 방법 및 절차보다 어렵지 아니하도록 권리 행사 방법 및 절차를 마련·공개, 열람등요구를 한 자가 정보주체 본인이거나 정당한 대리인인지 확인, 수집·이용·제공 등의 동의를 철회하는 경우 지체없이 개인정보 파기, 자동화 결정의 거부 또는 설명 요청 대응 절차 마련, 개인정보처리자의 조치 결과에 불복 시 이의 제기 절차 마련, 처리 결과에 대한 기록·보관 및 정기적인 검토, 정보통신서비스제공자는 사생활 침해 및 명예훼손 시 조치 절차를 수립·시행, 암호화 대상 정보의 공중 노출 차단 및 노출 시 필요한 조치 수행, 권리행사 방법을 정보주체가 알 수 있도록 공개하지 않은 경우, 정보주체가 권리행사를 할 때 개인정보 수집 시 요구하지 않던 증빙서류를 추가로 요구하는 경우, 정보주체 당사자 또는 법적 대리인인지 확인 절차없이 열람 통지가 이루어지는 경우, 정당한 사유없이 정보주체의 권리행사를 제한/거절/거부하거나 법정 기한을 초과하여 처리하는 경우(열람·정정·삭제·처리정지 요구를 접수받은 날로부터 10일 이내), 모바일 앱에 회원가입 메뉴는 있으나 회원탈퇴 메뉴가 없는 경우, 개인정보처리방침과 달리 상담원이 열람 요구 프로세스를 모르는 경우 |
| 3.5.3 | 정보주체에 대한 통지 | 개인정보 이용·제공 내역의 통지(연 1회 이상), 통지 의무 대상자, 통지해야 하는 법적 요구 항목, 통지 예외 대상, 개인정보 파기 시까지 통지 기록의 보관·관리(알린 사실/시기/방법), 홈페이지에서 단순 팝업창이나 별도 공지사항으로 안내만 한 경우 < 개인정보 이용ㆍ제공 내역의 통지 방법 > (연락처 등 정보주체에게 통지할 수 있는 개인정보를 수집ㆍ보유하지 아니한 경우에는 통지하지 아니할 수 있다.)
< 개인정보보호법 시행령 제42조의6(개인정보 전송의 기한 및 방법 등) > ⑩ 일반전문기관 및 특수전문기관은 제9항에 따른 전송요구대상정보 전송 내역을 시행령 제15조의3(개인정보 이용ㆍ제공 내역의 통지)제4항 각 호의 어느 하나에 해당하는 방법으로 연 1회 이상 정보주체에게 알려야 한다. 다만, 정보주체가 통지에 대한 거부의사를 표시한 경우에는 통지를 생략할 수 있다. < 신용정보법 시행령 제18조의6(본인신용정보관리회사의 행위규칙 등) > ⑩ 법 제22조의9제4항 및 제5항에 따라 개인신용정보를 전송한 신용정보제공ㆍ이용자등과 개인신용정보를 전송받은 중계기관 및 본인신용정보관리회사는 전송내역에 대한 기록을 작성하고 보관해야 하며, 본인신용정보관리회사는 전송받은 신용정보내역에 관한 기록을 신용정보주체에게 연 1회 이상 통지해야 한다. |
