주요사항

절차에 따른 신속 대응·보고, 통지·신고(개천5일/망1일), 재발방지 대책 수립, 항시(경)본대(구)담

인증기준

침해사고 및 개인정보 유출 징후나 발생을 인지한 때에는 법적 통지 및 신고 의무를 준수하여야 하며, 절차에 따라 신속하게 대응 및 복구하고 사고분석 후 재발방지 대책을 수립하여 대응체계에 반영하여야 한다.

확인사항

  • 침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우 정의된 침해사고 대응절차에 따라 신속하게 대응 및 보고가 이루어지고 있는가?
  • 개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하고 있는가?
  • 침해사고가 종결된 후 사고의 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하고 있는가?
  • 침해사고 분석을 통해 얻어진 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하고 있는가?

결함사례

  • 내부 침해사고 대응지침에는 침해사고 발생 시 정보보호위원회 및 이해관계 부서에게 보고 하도록 정하고 있으나, 침해사고 발생 시 담당 부서에서 자체적으로 대응 조치 후 정보보호위원회 및 이해관계 부서에 보고하지 않은 경우
  • 최근 DDoS 공격으로 의심되는 침해사고로 인해 서비스 일부가 중단된 사례가 있으나 이에 대한 원인분석 및 재발방지 대책이 수립되지 않은 경우
  • 개인정보 유출 통지 내용
    항시(경)본대(구)담
    • 개인정보처리자
      (개인정보 보호법 제34조)
      5일 이내 정보주체 통지, 1천명이상 신고 및 홈페이지 7일 이상 공지
      1. 유출된 개인정보의
      2. 유출된 점과 그
      3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 ➔
      4. 개인정보처리자의 응조치 및 피해 제절차
      5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 당부서 및 연락처
    • 정보통신서비스 제공자등
      (개인정보 보호법 제39조의4)
      인지 후 24시간 이내 이용자 통지 및 신고
      1. 유출등이 된 개인정보
      2. 유출등이 발생한
      3. 이용자가 취할 수 있는 조치 ➔
      4. 정보통신서비스 제공자등의 응 조치
      5. 이용자가 상 등을 접수할 수 있는 부서 및 연락처