관리체계 수립 및 운영:1
관리체계 기반 마련:1.1
-
-
- 임원급 CISO/CPO 발령, 자격·신고 확인(ISMS필수인증:IDC,전국ISP,1500억상급병원,1만학교,3개월100만,100억)
-
- 전문성 갖춘 실무조직, 임원급 위원회, 전사적 실무협의체 조직·운영
-
- 인증범위 내 인력,시스템,정보,시설 등 핵심자산 누락없이 식별·문서화, 예외사항의 근거 관리
-
- 정책·시행문서 경영진 승인, 최신본 공유, 내부관리계획(책역교권·통암기·악물조사·위재위)
-
- 예산·인력·전문성 확보, 연도별 세부추진계획 수립·시행·평가
위험 관리:1.2
-
- 분류기준 수립, 정보자산 식별, 현황·중요도·보안등급 최신으로 관리
-
- 정보서비스 및 개인정보 처리 흐름표·흐름도 작성, 최신성 유지
-
- 연 1회 이상 위험관리계획 수립 및 위험평가 시행, DoA 설정 및 경영진 승인
-
- 위험 처리전략(회전감수) 선정, 이행계획 수립,경영진 승인
관리체계 운영:1.3
-
- 보호대책 이행결과 경영진 보고, 정확성·효과성 확인, 구체적 운영명세서 관리(구현 및 운영현황)
-
-
- 관리체계 운영 활동 기록·관리, 경영진의 주기적 효과성 확인·관리
관리체계 점검 및 개선:1.4
-
법적 요구사항 준수 검토:1.4.1
- 연 1회이상 준거성 검토, 정책의 최신성 유지, 개인정보 손해배상 책임보장, 정보보호공시
-
- 독립적·전문적 관리체계 점검(감사)계획 연 1회 이상 수립·실시, 경영진 보고
-
- 원인분석 및 재발방지 대책 수립·이행, 경영진 보고
보호대책 요구사항:2
정책, 조직, 자산 관리:2.1
-
- 중대한 환경 변화시 제·개정, 정기적 타당성검토, 정책-시행문서 일관성 확보, 이력관리, 이해 관계자 검토
-
- 담당자·R&R 정의, 평가·소통 체계 수립·운영(MBO,KPI) , 계조불통교감처자파
-
- 보안등급에 따른 취급절차 및 보호대책 이행, 정보자산 책임자·관리자 지정
인적 보안:2.2
-
주요 직무자 지정 및 관리:2.2.1
- 개인정보·중요정보 취급 등 주요 직무기준·관리방안 수립, 외부자를 포함하여 최소한의 직무자를 지정·현행화
-
- 직무분리 수립·적용, 불가능한 경우 상호검토, 승인, 로그, 모니터링 등 보완통제
-
- 입/퇴사 및 외부자 권한 부여 시 서약서 징구, 확인 가능한 안전한 장소에 보관
-
인식제고 및 교육훈련:2.2.4
- 구체적 연간교육계획 수립·경영진 승인, 연 1회이상 수행·기록보관, 적정성 평가, 직무별 전문 교육 별도 운영
-
퇴직 및 직무변경 관리:2.2.5
- 운영부서 간 공유, 즉시 처리 절차(자산반납, 권한 회수, 퇴직 확인서 등) 수립·이행
-
보안 위반 시 조치:2.2.6
외부자 보안:2.3
-
- 위탁·시설·서비스 이용 현황 식별·현행화, 준법 및 위험 파악·보호대책 마련
-
외부자 계약 시 보안:2.3.2
- RFP/평가에 보안역량 반영, 보안요구사항 계약서 명시, 외보·목범재안감책
-
외부자 보안 이행 관리:2.3.3
- 주기적인 보안 점검 등 관리·감독 수행, 개선계획 수립·이행, 재위탁 승인절차
-
외부자 계약 변경 및 만료 시 보안:2.3.4
- 위탁정보,자산,계정,권한 회수·파기, NDA 징구 등 보안대책 수립·이행
물리 보안:2.4
-
- 통제·제한·접견 등 지정 기준 수립, 구역 별 보호대책 수립·이행
-
-
- (서버실) 중요도·특성에 따라 배치장소 분리, 자산목록/배치도 현행화, 케이블 보호 등
-
- 항온항습·화재·누수·UPS·발전기 등 설비 운영철자 수립·운영, IDC 이용 시 계약서 명시·점검
-
- 작업신청 및 수행절차 수립·이행, 작업기록 주기적 검토
-
- 반출입 통제절차 수립·이행, 주기적 이력 검토
-
- 개인·공용 시설/사무기기 보호대책 수립·이행, 준수 여부 주기적 검토
인증 및 권한관리:2.5
-
- 계정 및 접근권한 부여 절차 수립·이행, 최소한의 접근권한 부여, 사용자의 책임 규정 및 인식
-
- 1인1계정, 기본ID처리, 관리자ID제한(root, admin, administrator 등), ID공유 승인·보완통제, 책임추적성 확보
-
- 인증절차(회시동경) 수립, 개처시 외부 접속 시 안전한 인증&접속수단 적용
-
- 비번 규칙/관리절차 수립·이행 (망-개취:2종10·3종8,반기1회,추측불가)
-
특수 계정 및 권한 관리:2.5.5
- 별도 목록 관리, 신청/승인 절차 수립·이행, 정기적 검토&최소화
-
- 이력 보관(3·5년), 분기1회 권한의 적정성 검토·조치절차 수립·이행
접근통제 :2.6
-
- 접근경로 식별, 네트워크 영역 분리·접근통제, 전송구간 보호대책 적용
-
- Host OS 접근통제, 불필요 서비스·포트 제거, 타임아웃, 서버 간 접속 통제
-
- App S/W 접근통제, 권한 차등부여, 정보노출 최소화(like 금지), 타임아웃·동시접속 기준수립, 관리기능 접근제한
-
- DBMS 접근통제 정책 수립·이행, DB 내 정보 목록 현행화
-
무선 네트워크 접근:2.6.5
- wifi 인증&암호화, 신청·해지 절차, rouge AP 통제(WIPS)
-
- 외부 N/W 원격운영 금지, 내부 N/W 단말 특정, 보호대책 수립·이행, 개처시 관리용 단말기 지정·관리·보호조치, 월렛 관련 시스템 외부 원격 금지
-
- 주요 직무자·개처 업무단말 및 서버 인터넷 접속 통제·망분리(100만명, 100억원, 개처시 다·파·접)
암호화 적용:2.7
-
- 암호 사용 정책 수립, 고·비·바/카·계 저장·전송·전달 시 + 정제등 개인정보 저장시 안전한 암호화
-
정보시스템 도입 및 개발 보안:2.8
-
보안 요구사항 정의:2.8.1
- 시스템 도입·개발·변경 시 타당성 검토, 인수절차 수립·이행
-
보안 요구사항 검토 및 시험:2.8.2
- 보안 효과성 검토 기준·절차 수립·이행, 취약점 점검&개선조치 수행, PIA(5고민/50연/100개/변)
-
시험과 운영 환경 분리 :2.8.3
-
- 운영데이터 사용 제한 및 통제 절차 수립·이행
-
소스 프로그램 관리:2.8.5
- 접근통제, 운영환경이 아닌 곳에 안전하게 보관, 이력관리
-
- 운영 이관 통제절차 수립·이행, 필수 파일 만 설치
시스템 및 서비스 운영관리:2.9
-
- 정보시스템 관련 모든 자산의 변경내역 관리절차 수립·이행, 영향분석
-
- 요구사항(임계치) 설정, 성능·장애·용량 모니터링 및 대응절차 수립·이행, 장애 기록 관리, 원인분석&재발방지
-
- 백업/복구 정책(대상,주기,방법,절차) 수립·이행, 정기적 복구 테스트, 소산 보관
-
로그 및 접속기록 관리:2.9.4
- 로그 관리 절차 수립·이행, 별도 백업, 개처시: ID·일시·위치·수행업무·(처리대상) 1년/2년(고민/5만/기통사) 보관
-
로그 및 접속기록 점검:2.9.5
- 로그 검토 기준 수립, 주기적 로그 검토, 개처시 월1회 이상
-
- 표준시간 동기화 및 주기적 점검·관리, NTP
-
정보자산의 재사용 및 폐기:2.9.7
- 안전한 절차를 수립·이행, 관리대장&증적 보관, 개인정보 주의
시스템 및 서비스 보안관리:2.10
-
- 보안시스템 정책관리/운영 절차 수립·이행, 타당성 주기적 검토, 엄격한 접근통제, 개처시 보안 확인
-
- SLA, 접근 및 보안 통제 정책 수립·이행, 관리권한 보호대책, 정기적 검토
-
- 공개서버 보호대책 수립·이행, DMZ&IPS, 중요정보 게시/저장 시 승인 및 노출 확인·차단
-
전자거래 및 핀테크 보안:2.10.4
- 송·수신정보 보호대책을 수립·이행, 안전성 점검
-
- 개인·중요정보 외부전송 시 전송정책 수립, 협약체결 등 보호대책 수립·이행
-
- 보안통제 정책 수립·이행 및 주기적 점검, 개인·중요정보 유·노출 방지대책 적용
-
- 취급 정책 및 절차 수립·이행, 현황·실태 주기적 점검, 보호대책·안전한 보관
-
- 패치정책 수립·이행, 패치 현황 관리, 인터넷을 통한 패치 제한, PMS
-
- 악코 보호대책 수립·이행, 보안SW 최신상태 유지 및 예방·탐지 활동 지속적 수행, 대응절차 수립·이행
사고 예방 및 대응:2.11
-
사고 예방 및 대응체계 구축:2.11.1
- 침해 탐지·대응·분석 및 공유 체계/절차 수립, 외부 협조체계 구축
-
- 취약점 점검 절차 수립, 정기적 점검·보고, 영향분석·조치·재발방지
-
이상행위 분석 및 모니터링:2.11.3
- 이상(침해,유출,부정)행위 모니터링, 임계치 정의 및 판단, 후속 조치
-
사고 대응 훈련 및 개선:2.11.4
- 훈련계획 수립, 연1회이상 모의훈련 실시, 대응체계 개선
-
- 절차에 따른 신속 대응·보고, 재발방지 대책 수립, 통지·신고(개천5일/망1일), 항시(경)본대(구)담
재해복구:2.12
-
재해·재난 대비 안전조치:2.12.1
- 핵심업무식별, BIA, BCP/DRP, RTO·RPO
-
재해 복구 시험 및 개선:2.12.2
- 재해복구 시험계획 수립·이행·정기적 검토·보완
개인정보 처리 단계 별 요구사항:3
개인정보 수집 시 보호조치:3.1
-
개인정보 수집 제한:3.1.1
- 최소정보 수집, 필수·선택 구분(포괄동의금지), 필수동의 시 서비스 제공거부 금지
-
개인정보의 수집 동의:3.1.2
- 목항기·거불, 중요내용 명확고지(홍민고기제목,9·20색볼밑구),적시 수집, 만14대리인 확인·미동의시 5일내 파기, 기록보관
-
주민등록번호 처리 제한:3.1.3
- 구체적인 법조항 식별, 대체수단 제공, 동의수집 불가
-
민감정보 및 고유식별정보의 처리 제한:3.1.4
- 사신노정 정건성 유범특인, 법적 근거 혹은 별도 동의
-
- 요구 시 3일 내 출목정 고지, 통지의무(고·민5만/개100만3개월 출목정·사시방), 기록·보관
-
영상정보처리기기 설치·운영 :3.1.6
- 법적 허용장소·목적, 공청회, 안내판(목장범시책위), 운영·관리·보관방침 수립·이행
-
홍보 및 마케팅 목적 활용 시 조치:3.1.7
- 명확한 별도동의, 2년마다 확인, 전송자·수신거부 명시, 21-8시 별도동의, 명확표시, 6개월내 동종 재화 예외
개인정보 보유 및 이용 시 보호조치:3.2
-
- 현황의 정기적 관리, 공공기관 개인정보파일 60일내 보호위 등록, 개인정보 처리방침에 현황 공개
-
-
개인정보 표시제한 및 이용 시 보호조치:3.2.3
- 마스킹 표준 수립·적용, 출력물 보호조치 및 검색 제한, 가명/익명처리, 가명처리 개처방 공개&기록관리(목항이3고)
-
이용자 단말기 접근 보호:3.2.4
- 접근권한 고지&동의획득, 철회방법 마련, 필수가 아닌경우 서비스 거부 금지
-
개인정보 목적 외 이용 및 제공:3.2.5
- 법적근거 혹은 별도 동의, 공공기관 관보게재, 목적외 대장 관리, 3자제공시 안전성 확보 조치
개인정보 제공 시 보호조치:3.3
-
개인정보 제3자 제공:3.3.1
- 법률 or 별도 동의, 제공 거부 가능, 명목항기거불, 제공 최소화, 내역 기록·보관
-
업무 위탁에 따른 정보주체 고지:3.3.2
- 내용·수탁자 공개, 홍보·판매 위탁시 업무내용/수탁자 통지
-
영업의 양수 등에 따른 개인정보의 이전:3.3.3
- 사실,양수자,원하지 않을 경우 통지, 본래 목적 한정
-
개인정보의 국외이전:3.3.4
- 별도 동의, 정제등 항국일방명목기 고지 시 동의 생략 가능
개인정보 파기 시 보호조치:3.4
-
- 파기 정책 수립, 목적달성·기간경과 시 5일이내·안전하게 파기하고 기록관리
-
처리목적 달성 후 보유 시 조치:3.4.2
- 최소정보 최소기간 분리저장&관리, 접근권한 최소화
-
- 통지 후 파기 or 분리보관, 1년30일사만항, 접근권한 최소화
정보주체 권리보호:3.5
-
개인정보처리방침 공개:3.5.1
- 목기3파·위권책자·항안변, 최신공개·변경공지·이력관리
-
- 수집보다 쉬운 철회, 이용자 요구 10일내 처리·기록, 이의제기 절차안내, 동의철회시 지체없이 파기, 타인권리침해 시 처리절차
-
- 3개월100만·100억 연1회 수목항·제목항 통지
스와이프(Swipe)로 이전/다음 항목으로 이동