2.9.7 정보자산의 재사용 및 폐기

2. 보호대책 요구사항 (64개)

[두음] 정인외물재 인접 암개 운보사

2.9 시스템 및 서비스 운영관리	2.9.1 변경관리
	2.9.2 성능 및 장애관리
	2.9.3 백업 및 복구관리
	2.9.4 로그 및 접속기록 관리
	2.9.5 로그 및 접속기록 점검
	2.9.6 시간 동기화
	2.9.7 정보자산의 재사용 및 폐기

---

---

안전한 재사용 및 폐기 절차를 수립 · 이행

관리대장, 증적 보관,

개인정보 및 중요정보가 복구되지 않는 방법으로 처리

완전삭제, 디가우징, 와이핑, 로우레벨 포맷

핵심 키워드 

 

정보자산의 재사용 및 폐기 절차 수립 · 이행
재사용 및 폐기 시 중요정보가 복구되지 않는 방법으로 처리
자체적 폐기 시 관리대장을 통한 이력관리
외부업체통한 폐기 시 폐기절차를 계약서에 명시 및 절차 준수 확인
유지보수 과정에서 교체, 복구 발생 시 보호 대책 마련

 

연관 두음

 

▶ 파기방법

[두음] 완디와로
완전파괴, 디가우징, 와이핑(Wiping), 로우레벨 포맷

---

 

인증기준

 

정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구 · 재생되지 않도록
안전한 재사용 및 폐기 절차를 수립 · 이행하여야 한다.

 

주요 확인사항

 

* 정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립 · 이행하고 있는가?

* 정보자산 및 저장매체를 재사용 및 폐기하는 경우
  개인정보 및 중요정보를 복구되지 않는 방법으로 처리하고 있는가?

* 자체적으로 정보자산 및 저장매체를 폐기할 경우 관리대장을 통하여 폐기이력을 남기고
  폐기확인 증적을 함께 보관하고 있는가?

* 외부업체를 통하여 정보자산 및 저장매체를 폐기할 경우
  폐기 절차를 계약서에 명시하고 완전히 폐기하였는지 여부를 확인하고 있는가?

* 정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시
  저장 매체 내 정보를 보호하기 위한 대책을 마련하고 있는가?

 

세부 설명

 

□ 정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립 · 이행하여야 한다.

 

□ 정보자산 및 저장매체를 재사용 및 폐기하는 경우

   개인정보 및 중요정보가 복구되지 않는 방법으로 처리하여야 한다.

 

 

□ 자체적으로 정보자산 및 저장매체를 폐기할 경우

   다음 내용이 포함된 관리대장을 통하여 폐기이력을 남기고 폐기확인 증적을 함께 보관하여야 한다.

 

▶ 폐기 일자

▶ 폐기 담당자, 확인자명

▶ 폐기 방법

▶ 폐기확인 증적(사진 등) 등

 

□ 외부업체를 통하여 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고,

   해당 절차에 따라 완전히 폐기되었는지 확인하여야 한다.

 

□ 정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시

   저장매체 내 정보를 보호하기 위한 대책을 마련하여야 한다.

 

결함사례

 

사례 1 :
개인정보취급자 PC를 재사용할 경우
데이터 삭제프로그램을 이용하여 완전삭제하도록 정책 및 절차가 수립되어 있으나,
실제로는 완전삭제 조치 없이 재사용하거나 기본 포맷만 하고 재사용하고 있는 등
관련 절차가 이행되고 있지 않은 경우

사례 2 :
외부업체를 통하여 저장매체를 폐기하고 있으나,
계약 내용상 안전한 폐기 절차 및 보호대책에 대한 내용이 누락되어 있고
폐기 이행 증적 확인 및 실사 등의 관리·감독이 이루어지지 않은 경우

사례 3 :
폐기된 HDD의 일련번호가 아닌 시스템명을 기록하거나 폐기 대장을 작성하지 않아
폐기 이력 및 추적할 수 있는 증적을 확인할 수 없는 경우

사례 4 :
회수한 폐기 대상 하드디스크가
완전 삭제되지 않은 상태로 잠금장치가 되지 않은 장소에 방치되고 있는 경우

 

참고 자료

 

ISMS-P 인증기준 안내서(2022.4.22)