1. 관리체계 수립 및 운영

관리체계 기반 마련 : 1.1

  • 경영진의 참여 : 1.1.1
  • 최고책임자의 지정 : 1.1.2
  • 조직 구성 : 1.1.3
  • 범위 설정 : 1.1.4
  • 정책 수립 : 1.1.5
  • 자원 할당 : 1.1.6

위험 관리 : 1.2

  • 정보자산 식별 : 1.2.1
  • 현황 및 흐름분석 : 1.2.2
  • 위험 평가 : 1.2.3
  • 보호대책 선정 : 1.2.4

관리체계 운영 : 1.3

  • 보호대책 구현 : 1.3.1
  • 보호대책 공유 : 1.3.2
  • 운영현황 관리 : 1.3.3

관리체계 점검 및 개선 : 1.4

  • 법적 요구사항 준수 검토 : 1.4.1
  • 관리체계 점검 : 1.4.2
  • 관리체계 개선 : 1.4.3

2. 보호대책 요구사항

정책, 조직, 자산 관리 : 2.1

  • 정책의 유지관리 : 2.1.1
  • 조직의 유지관리 : 2.1.2
  • 정보자산 관리 : 2.1.3

인적 보안 : 2.2

  • 주요 직무자 지정 및 관리 : 2.2.1
  • 직무 분리 : 2.2.2
  • 보안 서약 : 2.2.3
  • 인식제고 및 교육훈련 : 2.2.4
  • 퇴직 및 직무변경 관리 : 2.2.5
  • 보안 위반 시 조치 : 2.2.6

외부자 보안 : 2.3

  • 외부자 현황 관리 : 2.3.1
  • 외부자 계약 시 보안 : 2.3.2
  • 외부자 보안 이행 관리 : 2.3.3
  • 외부자 계약 변경 및 만료 시 보안 : 2.3.4

물리 보안 : 2.4

  • 보호구역 지정 : 2.4.1
  • 출입통제 : 2.4.2
  • 정보시스템 보호 : 2.4.3
  • 보호설비 운영 : 2.4.4
  • 보호구역 내 작업 : 2.4.5
  • 반출입 기기 통제 : 2.4.6
  • 업무환경 보안 : 2.4.7

인증 및 권한관리 : 2.5

  • 사용자 계정 관리 : 2.5.1
  • 사용자 식별 : 2.5.2
  • 사용자 인증 : 2.5.3
  • 비밀번호 관리 : 2.5.4
  • 특수 계정 및 권한 관리 : 2.5.5
  • 접근권한 검토 : 2.5.6

접근통제 : 2.6

  • 네트워크 접근 : 2.6.1
  • 정보시스템 접근 : 2.6.2
  • 응용프로그램 접근 : 2.6.3
  • 데이터베이스 접근 : 2.6.4
  • 무선 네트워크 접근 : 2.6.5
  • 원격접근 통제 : 2.6.6
  • 인터넷 접속 통제 : 2.6.7

암호화 적용 : 2.7

  • 암호정책 적용 : 2.7.1
  • 암호키 관리 : 2.7.2

정보시스템 도입 및 개발 보안 : 2.8

  • 보안 요구사항 정의 : 2.8.1
  • 보안 요구사항 검토 및 시험 : 2.8.2
  • 시험과 운영 환경 분리 : 2.8.3
  • 시험 데이터 보안 : 2.8.4
  • 소스 프로그램 관리 : 2.8.5
  • 운영환경 이관 : 2.8.6

시스템 및 서비스 운영관리 : 2.9

  • 변경관리 : 2.9.1
  • 성능 및 장애관리 : 2.9.2
  • 백업 및 복구관리 : 2.9.3
  • 로그 및 접속기록 관리 : 2.9.4
  • 로그 및 접속기록 점검 : 2.9.5
  • 시간 동기화 : 2.9.6
  • 정보자산의 재사용 및 폐기 : 2.9.7

시스템 및 서비스 보안관리 : 2.10

  • 보안시스템 운영 : 2.10.1
  • 클라우드 보안 : 2.10.2
  • 공개서버 보안 : 2.10.3
  • 전자거래 및 핀테크 보안 : 2.10.4
  • 정보전송 보안 : 2.10.5
  • 업무용 단말기기 보안 : 2.10.6
  • 보조저장매체 관리 : 2.10.7
  • 패치관리 : 2.10.8
  • 악성코드 통제 : 2.10.9

사고 예방 및 대응 : 2.11

  • 사고 예방 및 대응체계 구축 : 2.11.1
  • 취약점 점검 및 조치 : 2.11.2
  • 이상행위 분석 및 모니터링 : 2.11.3
  • 사고 대응 훈련 및 개선 : 2.11.4
  • 사고 대응 및 복구 : 2.11.5

재해복구 : 2.12

  • 재해·재난 대비 안전조치 : 2.12.1
  • 재해 복구 시험 및 개선 : 2.12.2

3.개인정보 처리 단계 별 요구사항

개인정보 수집 시 보호조치 : 3.1

  • 개인정보 수집 제한 : 3.1.1
  • 개인정보의 수집 동의 : 3.1.2
  • 주민등록번호 처리 제한 : 3.1.3
  • 민감정보 및 고유식별정보의 처리 제한 : 3.1.4
  • 간접수집 보호조치 : 3.1.5
  • 영상정보처리기기 설치·운영 : 3.1.6
  • 홍보 및 마케팅 목적 활용 시 조치 : 3.1.7

개인정보 보유 및 이용 시 보호조치 : 3.2

  • 개인정보 현황관리 : 3.2.1
  • 개인정보 품질보장 : 3.2.2
  • 개인정보 표시제한 및 이용 시 보호조치 : 3.2.3
  • 이용자 단말기 접근 보호 : 3.2.4
  • 개인정보 목적 외 이용 및 제공 : 3.2.5

개인정보 제공 시 보호조치 : 3.3

  • 개인정보 제3자 제공 : 3.3.1
  • 업무 위탁에 따른 정보주체 고지 : 3.3.2
  • 영업의 양수 등에 따른 개인정보의 이전 : 3.3.3
  • 개인정보의 국외이전 : 3.3.4

개인정보 파기 시 보호조치 : 3.4

  • 개인정보의 파기 : 3.4.1
  • 처리목적 달성 후 보유 시 조치 : 3.4.2
  • 휴면 이용자 관리 : 3.4.3

정보주체 권리보호 : 3.5

  • 개인정보처리방침 공개 : 3.5.1
  • 정보주체 권리보장 : 3.5.2
  • 이용내역 통지 : 3.5.3