2. 보호대책 요구사항 (64개)
[두음] 정인외물재 인접 암개 운보사
| 2.11 사고 예방 및 대응 | 2.11.1 사고 예방 및 대응체계 구축 |
| 2.11.2 취약점 점검 및 조치 | |
| 2.11.3 이상행위 분석 및 모니터링 | |
| 2.11.4 사고 대응 훈련 및 개선 | |
| 2.11.5 사고 대응 및 복구 |
항시(경) 본대(구)담, 개천오일 정무일, 유통개칠정삼
절차에 따른 신속 대응 · 보고, 재발방지 대책 수립,
개인정보 유출 통지, 개인정보처리자 7일, 정보통신서비스 제공자 30일 게시 (홈페이지)
핵심 키워드
사고 대응 절차에 따라 대응 및 보고
개인정보 침해사고 발생 시 신고 절차 이행
사고 종결 후 결과 보고
침해사고 대응체계 변경
연관 두음
▶ 개인정보 유출 시 정보주체(이용자)에게 알려야 할 사항
[두음] 항시(경) 본대(구)담
항목, 시점, 경위, 본인(정보주체/이용자)이 취할 수 있는 방법 또는 조치
대응조치, 피해 구제절차, 담당부서 및 연락처
▶ 개인정보 유출 신고 기준
[두음] 개천오일 정무일
개인정보처리자, 1천 명 이상 유출, 5일 이내
정보통신서비스 제공자, 유출 건수와 무관, 24시간(1일) 이내
▶ 개인정보 유출 통지 방법
[두음] 유통개칠정삼
개인정보 유출 통지
개인정보처리자 7일 이상
정보통신서비스 제공자 30일 이상 게시 (홈페이지)
인증기준
침해사고 및 개인정보 유출 징후나 발생을 인지한 때에는
법적 통지 및 신고 의무를 준수하여야 하며,
절차에 따라 신속하게 대응 및 복구하고
사고분석 후 재발방지 대책을 수립하여 대응체계에 반영하여야 한다.
주요 확인사항
* 침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우
정의된 침해사고 대응 절차에 따라 신속하게 대응 및 보고가 이루어지고 있는가?
* 개인정보 침해사고 발생 시
관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하고 있는가?
* 침해사고가 종결된 후 사고의 원인을 분석하여
그 결과를 보고하고 관련 조직 및 인력과 공유하고 있는가?
* 침해사고 분석을 통하여 얻은 정보를 활용하여
유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하고 있는가?
관련 법규
□ 개인정보 보호법 제34조(개인정보의 유출통지 등),
제39조의4(개인정보 유출 등의 통지·신고에 대한 특례)
□ 정보통신망법 제48조의3(침해사고의 신고 등), 제48조의4(침해사고의 원인분석 등)
세부 설명
□ 침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우
정의된 침해사고 대응절차에 따라 신속하게 대응 및 보고가 이루어져야 한다.
□ 개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하여야 한다.
▶ 개인정보 유출 시 정보주체(이용자)에게 알려야 할 사항
[두음] 항시(경) 본대(구)담
항목, 시점, 경위, 본인(정보주체/이용자)이 취할 수 있는 방법 또는 조치
대응조치, 피해 구제절차, 담당부서 및 연락처
▶ 개인정보 유출 신고 기준
[두음] 개천오일 정무일
개인정보처리자, 1천 명 이상 유출, 5일 이내
정보통신서비스 제공자, 유출 건수와 무관, 24시간(1일) 이내
□ 침해사고가 종결된 후 사고 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하여야 한다.
□ 침해사고 분석을 통하여 얻은 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고
필요한 경우 침해사고 대응절차 등을 변경하여야 한다.
결함사례
사례 1 :
내부 침해사고 대응지침에는 침해사고 발생 시
개인정보보호위원회 및 이해관계 부서에게 보고하도록 정하고 있으나,
침해사고 발생 시 담당 부서에서 자체적으로 대응 조치 후
정보보호위원회 및 이해관계 부서에 보고하지 않은 경우
사례 2 :
최근 DDoS 공격으로 의심되는 침해사고로 인하여 서비스 일부가 중단된 사례가 있으나,
이에 대한 원인분석 및 재발방지 대책이 수립되지 않은 경우
참고 자료
ISMS-P 인증기준 안내서(2022.4.22)
- 개인정보 보호법 시행 -
제40조(개인정보 유출 통지의 방법 및 절차)
① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 서면등의 방법으로 지체 없이 법 제34조제1항 각 호의 사항을 정보주체에게 알려야 한다. 다만, 유출된 개인정보의 확산 및 추가 유출을 방지하기 위하여 접속경로의 차단, 취약점 점검ㆍ보완, 유출된 개인정보의 삭제 등 긴급한 조치가 필요한 경우에는 그 조치를 한 후 지체 없이 정보주체에게 알릴 수 있다.
② 제1항에도 불구하고 개인정보처리자는 같은 항 본문에 따라 개인정보가 유출되었음을 알게 되었을 때나 같은 항 단서에 따라 유출 사실을 알고 긴급한 조치를 한 후에도 법 제34조제1항제1호 및 제2호의 구체적인 유출 내용을 확인하지 못한 경우에는 먼저 개인정보가 유출된 사실과 유출이 확인된 사항만을 서면등의 방법으로 먼저 알리고 나중에 확인되는 사항을 추가로 알릴 수 있다.
③ 제1항과 제2항에도 불구하고 법 제34조제3항 및 이 영 제39조제1항에 따라 1천명 이상의 정보주체에 관한 개인정보가 유출된 경우에는 서면등의 방법과 함께 인터넷 홈페이지에 정보주체가 알아보기 쉽도록 법 제34조제1항 각 호의 사항을 7일 이상 게재하여야 한다. 다만, 인터넷 홈페이지를 운영하지 아니하는 개인정보처리자의 경우에는 서면등의 방법과 함께 사업장등의 보기 쉬운 장소에 법 제34조제1항 각 호의 사항을 7일 이상 게시하여야 한다.
- 개인정보 보호법 시행령 -
제48조의4(개인정보 유출 등의 통지ㆍ신고에 관한 특례)
① 법 제39조의4제1항 각 호 외의 부분 본문 및 제2항에서 “대통령령으로 정하는 전문기관”이란 한국인터넷진흥원을 말한다.
② 정보통신서비스 제공자등은 개인정보의 분실ㆍ도난ㆍ유출의 사실을 안 때에는 지체 없이 법 제39조의4제1항 각 호의 모든 사항을 서면등의 방법으로 이용자에게 알리고 보호위원회 또는 한국인터넷진흥원에 신고해야 한다.
③ 정보통신서비스 제공자등은 제2항에 따른 통지ㆍ신고를 하려는 경우에는 법 제39조의4제1항제1호 또는 제2호의 사항에 관한 구체적인 내용이 확인되지 않았으면 그때까지 확인된 내용과 같은 항 제3호부터 제5호까지의 사항을 우선 통지ㆍ신고한 후 추가로 확인되는 내용에 대해서는 확인되는 즉시 통지ㆍ신고해야 한다.
④ 정보통신서비스 제공자등은 법 제39조의4제1항 각 호 외의 부분 단서에 따른 정당한 사유가 있는 경우에는 법 제39조의4제1항 각 호의 사항을 자신의 인터넷 홈페이지에 30일 이상 게시하는 것으로 제2항의 통지를 갈음할 수 있다.
⑤ 천재지변이나 그 밖의 부득이한 사유로 제4항에 따른 홈페이지 게시가 곤란한 경우에는 「신문 등의 진흥에 관한 법률」에 따른 전국을 보급지역으로 하는 둘 이상의 일반일간신문에 1회 이상 공고하는 것으로 제4항에 따른 홈페이지 게시를 갈음할 수 있다.
⑥ 정보통신서비스 제공자등은 법 제39조의4제1항 각 호 외의 부분 본문 및 단서에 따른 정당한 사유를 지체 없이 서면으로 보호위원회에 소명해야 한다.
'도전! ISMS-P 인증 심사원 > 2. 보호대책 요구사항' 카테고리의 다른 글
| 2.12.2 재해 복구 시험 및 개선 (0) | 2023.01.17 |
|---|---|
| 2.12.1 재해·재난 대비 안전조치 (0) | 2023.01.17 |
| 2.11.4 사고 대응 훈련 및 개선 (0) | 2023.01.16 |
| 2.11.3 이상행위 분석 및 모니터링 (0) | 2023.01.16 |
| 2.11.2 취약점 점검 및 조치 (0) | 2023.01.16 |
댓글