개요
2023년 9월 개인정보보호법이 개정되면서 ISMS 인증기준이 개정되었고 최근 안내서가 발표되어 관련 내용을 공유하고자 한다.
ISMS-P 인증기준 주요 개정사항
| ■ [참고] ISMS 주요 개정사항(2023.10.31) | ||||||
| 항목 | 상세내용 | 주요 확인사항 | 주요 확인사항 (개정 전 ver) |
변경사항 | 비고 | |
| 2.3.3 | 외부자 보안 이행 관리 | 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항에 따라 외부자의 보호대책 이행 여부를 주기적인 점검 또는 감사 등 관리∙감독하여야 한다. | 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가? | 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가? | 동일 | |
| 외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립∙이행하고 있는가? | 외부자에 대한 점검 또는 감사 시 발견된 문제점에 대하여 개선계획을 수립‧이행하고 있는가? | 동일 | ||||
| 개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 동의를 받도록 하고 있는가? | 개인정보 처리업무를 위탁받은 수탁자가 관련 업무를 제3자에게 재위탁하는 경우 위탁자의 승인을 받도록 하고 있는가? | 수정 | ||||
| 2.4.7 | 업무환경 보안 | 공용으로 사용하는 사무용 기기(문서고, 공용 PC, 복합기, 파일서버 등) 및 개인 업무환경(업무용 PC, 책상 등)을 통해 개인정보 및 중요정보가 비인가자에게 노출 또는 유출되지 않도록 클린데스크, 정기점검 등 업무환경 보호대책을 수립∙이행하여야 한다. | 문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용 기기에 대한 보호대책을 수립∙이행하고 있는가? | 문서고, 공용 PC, 복합기, 파일서버 등 공용으로 사용하는 시설 및 사무용 기기에 대한 보호대책을 수립·이행하고 있는가? | 동일 | |
| 업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유∙노출을 방지하기 위한 보호대책을 수립∙이행하고 있는가? | 업무용 PC, 책상, 서랍 등 개인업무 환경을 통한 개인정보 및 중요정보의 유‧노출을 방지하기 위한 보호대책을 수립‧이행하고 있는가? | 동일 | ||||
| 개인정보가 포함된 종이 인쇄물 등 개인정보의 출력∙복사물을 안전하게 관리하기 위해 필요한 보호조치를 하고 있는가? | - | 신규추가 | ||||
| 개인 및 공용업무 환경에서의 정보보호 준수여부를 주기적으로 검토하고 있는가? | 개인 및 공용업무 환경에서의 정보보호 준수여부를 주기적으로 검토하고 있는가? | 동일 | ||||
| 2.5.4 | 비밀번호 관리 | 법적 요구사항, 외부 위협요인 등을 고려하여 정보시스템 사용자 및 고객, 회원 등 정보주체(이용자)가 사용하는 비밀번호 관리절차를 수립∙이행하여야 한다. | 정보시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립∙이행하고 있는가? | 정보시스템 및 개인정보처리시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립‧이행하고 있는가? | 수정 | |
| 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성 규칙을 수립∙이행하고 있는가? | 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성 규칙을 수립‧이행하고 있는가? | 동일 | ||||
| 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하고 있는가? | - | 신규추가 | 지문/안면인식 등 생체인식정보와 같은 인증수단에 대한 안전성 확보 | |||
| 2.6.3 | 응용프로그램 접근 | 사용자별 업무 및 접근 정보의 중요도 등에 따라 응용프로그램 접근권한을 제한하고, 불필요한 정보 또는 중요정보 노출을 최소화할 수 있도록 기준을 수립하여 적용하여야 한다. | 중요정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가? | 중요정보 접근을 통제하기 위하여 사용자의 업무에 따라 응용프로그램 접근권한을 차등 부여하고 있는가? | 동일 | |
| 일정 시간동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가? | 일정 시간동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가? | 동일 | ||||
| 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제하고 있는가? | 관리자 전용 응용프로그램(관리자 웹페이지, 관리콘솔 등)은 비인가자가 접근할 수 없도록 접근을 통제하고 있는가? | 동일 | ||||
| 개인정보 및 중요정보의 표시제한 보호조치의 일관성을 확보할 수 있도록 관련 기준을 수립하여 적용하고 있는가? | - | 신규추가 | (개정전) 3.2.3 개인정보 표시제한 및 이용 시 보호조치 내용 이관 | |||
| 개인정보 및 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가? | 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가? | 수정 | ||||
| 2.6.7 | 인터넷 접속 통제 | 인터넷을 통한 정보 유출, 악성코드 감염, 내부망 침투 등을 예방하기 위하여 주요 정보시스템, 주요 직무 수행 및 개인정보 취급 단말기 등에 대한 인터넷 접속 또는 서비스(P2P, 웹하드, 메신저 등)를 제한하는 등 인터넷 접속 통제 정책을 수립∙이행하여야 한다. | 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립∙이행하고 있는가? | 주요 직무 수행 및 개인정보 취급 단말기 등 업무용 PC의 인터넷 접속에 대한 통제정책을 수립‧이행하고 있는가? |
동일 | |
| 주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가? | 주요 정보시스템(DB서버 등)에서 불필요한 외부 인터넷 접속을 통제하고 있는가? | 동일 | ||||
| 관련 법령에 따라 인터넷망 차단 의무가 부과된 경우 대상자를 식별하여 안전한 방식으로 인터넷망 차단 조치를 적용하고 있는가? | 관련 법령에 따라 인터넷 망분리 의무가 부과된 경우 망분리 대상자를 식별하여 안전한 방식으로 망 분리를 적용하고 있는가? | 수정 | (망분리대상자) 개인정보처리시스템에 접속해서 개인정보 다운로드, 파기, 접근권한을 설정할 수 있는 개인정보취급자 PC 인터넷 차단하고 클라우드 운영을 위해 접속할때는 해당 서비스 접속을 허용한다 | |||
| 2.9.4 | 로그 및 접속기록 관리 | 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 사용자 접속기록, 시스템로그, 권한부여 내역 등의 로그유형, 보존기간, 보존방법 등을 정하고 위∙변조, 도난, 분실 되지 않도록 안전하게 보존∙관리하여야 한다. | 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 로그관리 절차를 수립하고 이에 따라 필요한 로그를 생성하여 보관하고 있는가? | 서버, 응용프로그램, 보안시스템, 네트워크시스템 등 정보시스템에 대한 로그관리 절차를 수립하고 이에 따라 필요한 로그를 생성하여 보관하고 있는가? | 동일 | |
| 정보시스템의 로그기록은 위∙변조 및 도난, 분실되지 않도록 안전하게 보관하고 로그기록에 대한 접근권한은 최소화하여 부여하고 있는가? | 정보시스템의 로그기록은 별도 저장장치를 통해 백업하고 로그기록에 대한 접근권한은 최소화하여 부여하고 있는가? | 수정 | ||||
| 개인정보처리시스템에 대한 접속기록은 법적 요구사항을 준수할 수 있도록 필요한 항목을 모두 포함하여 일정기간 안전하게 보관하고 있는가? | 개인정보처리시스템에 대한 접속기록은 법적 요구사항을 준수할 수 있도록 필요한 항목을 모두 포함하여 일정기간 안전하게 보관하고 있는가? | 동일 | ||||
| 3.1.1 | 개인정보 수집∙이용 | 개인정보는 적법하고 정당하게 수집∙이용하여야 하며, 정보주체의 동의를 근거로 수집하는 경우에는 적법한 방법으로 정보주체의 동의를 받아야 한다. 또한 만 14세 미만 아동의 개인정보를 수집하는 경우에는 그 법정대리인의 동의를 받아야 하며 법정대리인이 동의하였는지를 확인하여야 한다. | 개인정보를 수집하는 경우 정보주체 동의, 법령상 의무준수, 계약 체결∙이행 등 적법 요건에 따라 수집하고 있는가? | 개인정보 수집 시 법령에 특별한 규정이 있는 경우를 제외하고는 정보주체(이용자)에게 관련 내용을 명확하게 고지하고 동의를 받고 있는가? | 수정 | |
| 정보주체에게 개인정보 수집 동의를 받는 경우 동의방법 및 시점은 적절하게 되어 있는가? | 정보주체(이용자)에게 동의를 받는 방법 및 시점은 적절하게 되어 있는가? | 수정 | ||||
| 정보주체에게 개인정보 수집 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 표시하고 있는가? | 정보주체(이용자)에게 동의를 서면(전자문서 포함)으로 받는 경우 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 하고 있는가? | 수정 | ||||
| 만 14세 미만 아동의 개인정보에 대해 수집∙이용∙제공 등의 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받고 있는가? | 만 14세 미만 아동의 개인정보에 대해 수집∙이용∙제공 등의 동의를 받는 경우 법정대리인에게 필요한 사항에 대하여 고지하고 동의를 받고 있는가? | 동일 | ||||
| 법정대리인의 동의를 받기 위하여 필요한 최소한의 개인정보만을 수집하고 있으며, 법정대리인이 자격 요건을 갖추고 있는지 확인하는 절차와 방법을 마련하고 있는가? | 법정대리인의 동의를 받기 위하여 필요한 최소한의 개인정보만을 수집하고 있으며, 법정대리인이 자격 요건을 갖추고 있는지 확인하는 절차와 방법을 마련하고 있는가? | 동일 | ||||
| 만 14세 미만의 아동에게 개인정보 처리와 관련한 사항 등의 고지 시 이해하기 쉬운 양식과 명확하고 알기 쉬운 언어로 표현하고 있는가? | - | 신규추가 | ||||
| 정보주체 및 법정대리인에게 동의를 받은 기록을 보관하고 있는가? | 정보주체(이용자) 및 법정대리인에게 동의를 받은 기록을 보관하고 있는가? | 수정 | ||||
| 정보주체의 동의 없이 처리할 수 있는 개인정보에 대해서는 그 항목과 처리의 법적 근거를 정보주체의 동의를 받아 처리하는 개인정보와 구분하여 개인정보 처리방침에 공개하거나 정보주체에게 알리고 있는가? | - | 신규추가 | ||||
| 정보주체의 동의 없이 개인정보의 추가적인 이용 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립∙이행하고, 추가적인 이용이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가? | - | 신규추가 | ||||
| 3.1.2 | 개인정보 수집 제한 | 개인정보를 수집하는 경우 처리 목적에 필요한 최소한의 개인정보만을 수집하여야 하며, 정보주체가 선택적으로 동의할 수 있는 사항 등에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하지 않아야 한다. | 개인정보를 수집하는 경우 그 목적에 필요한 범위에서 최소한의 정보만을 수집하고 있는가? | 개인정보를 수집하는 경우 서비스 제공 또는 법령에 근거한 처리 등을 위해 필요한 범위 내에서 최소한의 정보만을 수집하고 있는가? | 수정 | |
| 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알리고 있는가? | 수집 목적에 필요한 최소한의 정보 외의 개인정보를 수집하는 경우 정보주체(이용자)가 해당 개인정보의 제공 여부를 선택할 수 있도록 하고 있는가? | 수정 | ||||
| 정보주체가 수집 목적에 필요한 최소한의 정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하고 있는가? | 정보주체(이용자)가 수집 목적에 필요한 최소한의 정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하고 있는가? | 수정 | ||||
| 3.1.3 | 주민등록번호 처리 제한 | 주민등록번호는 법적 근거가 있는 경우를 제외하고는 수집∙이용 등 처리할 수 없으며, 주민등록번호의 처리가 허용된 경우라 하더라도 인터넷 홈페이지 등에서 대체수단을 제공하여야 한다. | 주민등록번호는 명확한 법적 근거가 있는 경우에만 처리하고 있는가? | 주민등록번호는 명확한 법적 근거가 있는 경우에만 처리하고 있는가? | 동일 | |
| 주민등록번호의 수집 근거가 되는 법조항을 구체적으로 식별하고 있는가? | 주민등록번호의 수집 근거가 되는 법조항을 구체적으로 식별하고 있는가? | 동일 | ||||
| 법적 근거에 따라 주민등록번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통하여 회원으로 가입하는 단계에서는 주민등록번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하고 있는가? | 법적 근거에 따라 정보주체(이용자)의 주민등록번호 수집이 가능한 경우에도 아이핀, 휴대폰 인증 등 주민등록번호를 대체하는 수단을 제공하고 있는가? | 수정 | ||||
| 3.1.4 | 민감정보 및 고유식별정보의 처리 제한 | 민감정보와 고유식별정보(주민등록번호 제외)를 처리하기 위해서는 법령에서 구체적으로 처리를 요구하거나 허용하는 경우를 제외하고는 정보주체의 별도 동의를 받아야 한다. | 민감정보는 정보주체로부터 별도의 동의를 받거나 관련 법령에 근거가 있는 경우에만 처리하고 있는가? | 민감정보는 정보주체(이용자)로부터 별도의 동의를 받거나 관련 법령에 근거가 있는 경우에만 처리하고 있는가? | 수정 | |
| 고유식별정보(주민등록번호 제외)는 정보주체로부터 별도의 동의를 받거나 관련 법령에 구체적인 근거가 있는 경우에만 처리하고 있는가? | 고유식별정보(주민등록번호 제외)는 정보주체(이용자)로부터 별도의 동의를 받거나 관련 법령에 구체적인 근거가 있는 경우에만 처리하고 있는가? | 수정 | ||||
| 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알리고 있는가? | - | 신규추가 | ||||
| 3.1.5 | 개인정보 간접수집 | 정보주체 이외로부터 개인정보를 수집하거나 제3자로부터 제공받는 경우에는 업무에 필요한 최소한의 개인정보를 수집하거나 제공받아야 하며, 법령에 근거하거나 정보주체의 요구가 있으면 개인정보의 수집 출처, 처리목적, 처리정지의 요구권리를 알려야 한다. | 정보주체 이외의 제3자로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의획득 책임이 개인정보를 제공하는 자에게 있음을 계약을 통해 명시하고 있는가? | 정보주체(이용자) 이외로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의획득 책임이 개인정보를 제공하는 자에게 있음을 계약을 통해 명시하고 있는가? | 수정 | |
| 공개된 매체 및 장소에서 개인정보를 수집하는 경우 정보주체의 공개 목적∙범위 및 사회 통념상 동의 의사가 있다고 인정되는 범위 내에서만 수집∙이용하고 있는가? | 공개된 매체 및 장소에서 개인정보를 수집하는 경우 정보주체(이용자)의 공개 목적∙범위 및 사회 통념상 동의 의사가 있다고 인정되는 범위 내에서만 수집∙이용하는가? | 수정 | ||||
| 서비스 계약 이행을 위해 필요한 경우로서, 서비스 제공 과정에서 자동수집장치 등에 의해 수집∙생성하는 개인정보의 경우에도 최소수집 원칙을 적용하고 있는가? | 서비스 계약 이행을 위해 필요한 경우로서, 사업자가 서비스 제공 과정에서 자동수집장치 등에 의해 수집・생성하는 개인정보(이용내역 등)의 경우에도 최소수집 원칙을 적용하고 있는가? | 수정 | ||||
| 정보주체 이외로부터 수집하는 개인정보에 대해 정보주체의 요구가 있는 경우 즉시 필요한 사항을 정보주체에게 알리고 있는가? | 정보주체(이용자) 이외로부터 수집하는 개인정보에 대해 정보주체(이용자)의 요구가 있는 경우 즉시 필요한 사항을 정보주체(이용자)에게 알리고 있는가? | 수정 | ||||
| 정보주체 이외로부터 수집한 개인정보를 처리하는 경우 개인정보의 종류∙규모 등이 법적 요건에 해당하는 경우 필요한 사항을 정보주체에게 알리고 있는가? | 정보주체(이용자) 이외로부터 수집한 개인정보를 처리하는 경우 개인정보의 종류∙규모 등이 법적 요건에 해당하는 경우 필요한 사항을 정보주체(이용자)에게 알리고 있는가? | 수정 | ||||
| 정보주체에게 수집 출처에 대해 알린 기록을 해당 개인정보의 파기 시까지 보관∙관리하고 있는가? | 정보주체(이용자)에게 수집출처에 대해 알린 기록을 해당 개인정보의 파기 시까지 보관∙관리하고 있는가? | 수정 | ||||
| 3.1.6 | 영상정보처리기기 설치∙운영 | 고정형 영상정보처리기기를 공개된 장소에 설치∙운영하거나 이동형 영상정보처리기기를 공개된 장소에서 업무를 목적으로 운영하는 경우 설치 목적 및 위치에 따라 법적 요구사항을 준수하고, 적절한 보호대책을 수립∙이행하여야 한다. | 공개된 장소에 고정형 영상정보처리기기를 설치∙운영할 경우 법적 허용 요건에 해당하는지를 검토하고 있는가? | 공개된 장소에 영상정보처리기기를 설치∙운영할 경우 법적으로 허용한 장소 및 목적인지 검토하고 있는가? | 수정 | |
| 공공기관 등이 공개된 장소에 고정형 영상정보처리기기를 설치∙운영하려는 경우 공청회∙설명회 개최 등의 법령에 따른 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하고 있는가? | 공공기관이 공개된 장소에 영상정보처리기기를 설치∙운영하려는 경우 공청회∙설명회 개최 등의 법령에 따른 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하고 있는가? | 수정 | ||||
| 고정형 영상정보처리기기 설치∙운영 시 정보주체가 쉽게 인식할 수 있도록 안내판 설치 등 필요한 조치를 하고 있는가? | 영상정보처리기기 설치∙운영 시 정보주체가 쉽게 인식할 수 있도록 안내판 설치 등 필요한 조치를 하고 있는가? | 수정 | ||||
| 업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기를 운영하는 경우 법적 허용 요건에 해당하는지를 검토하고 있는가? | - | 신규추가 | ||||
| 업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하는 경우 불빛, 소리, 안내판 등의 방법으로 촬영 사실을 표시하고 알리고 있는가? | - | 신규추가 | ||||
| 영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영∙관리 방침을 마련하여 시행하고 있는가? | 영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영∙관리 방침을 마련하여 시행하고 있는가? | 동일 | ||||
| 영상정보의 보관 기간을 정하고 있으며, 보관 기간 만료 시 지체 없이 파기하고 있는가? | 영상정보의 보관 기간을 정하고 있으며, 보관 기간 만료 시 지체 없이 삭제하고 있는가? | 수정 | ||||
| 영상정보처리기기 설치∙운영에 관한 사무를 위탁하는 경우 관련 절차 및 요건에 따라 계약서에 반영하고 있는가? | 영상정보처리기기 설치∙운영에 관한 사무를 위탁하는 경우 관련 절차 및 요건에 따라 계약서에 반영하고 있는가? | 동일 | ||||
| 3.1.7 | 마케팅 목적의 개인정보 수집∙이용 | 재화나 서비스의 홍보, 판매 권유, 광고성 정보전송 등 마케팅 목적으로 개인정보를 수집∙이용하는 경우 그 목적을 정보주체가 명확하게 인지할 수 있도록 고지하고 동의를 받아야 한다. | 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보 처리에 대한 동의를 받는 경우 정보주체가 이를 명확하게 인지할 수 있도록 알리고 별도 동의를 받고 있는가? | 정보주체(이용자)에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보 처리에 대한 동의를 받는 경우 정보주체(이용자)가 이를 명확하게 인지할 수 있도록 알리고 별도 동의를 받고 있는가? | 수정 | |
| 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 경우 수신자의 명시적인 사전 동의를 받고 있으며, 2년 마다 정기적으로 수신자의 수신동의 여부를 확인하고 있는가? | 전자적 전송매체를 이용하여 영리목적의 광고성 정보를 전송하는 경우 수신자의 명시적인 사전 동의를 받고 있으며, 2년 마다 정기적으로 수신자의 수신동의 여부를 확인하고 있는가? | 동일 | ||||
| 전자적 전송매체를 이용한 영리목적의 광고성 정보 전송에 대해 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우 영리목적의 광고성 정보 전송을 중단하도록 하고 있는가? | 전자적 전송매체를 이용한 영리목적의 광고성 정보 전송에 대해 수신자가 수신거부의사를 표시하거나 사전 동의를 철회한 경우 영리목적의 광고성 정보 전송을 중단하도록 하고 있는가? | 동일 | ||||
| 영리목적의 광고성 정보를 전송하는 경우 전송자의 명칭, 수신거부 방법 등을 구체적으로 밝히고 있으며, 야간시간에는 전송하지 않도록 하고 있는가? | 영리목적의 광고성 정보를 전송하는 경우 전송자의 명칭, 수신거부 방법 등을 구체적으로 밝히고 있으며, 야간시간에는 전송하지 않도록 하고 있는가? | 동일 | ||||
| 3.2.2 | 개인정보 품질보장 | 수집된 개인정보는 처리 목적에 필요한 범위에서 개인정보의 정확성∙완전성∙최신성이 보장되도록 정보주체에게 관리절차를 제공하여야 한다. | 개인정보를 최신의 상태로 정확하게 유지하기 위한 절차 및 방안을 수립∙이행하고 있는가? | 수집된 개인정보는 내부 절차에 따라 안전하게 처리하도록 관리하며 최신의 상태로 정확하게 유지하고 있는가? | 수정 | |
| 정보주체가 본인의 개인정보에 대하여 정확성, 완전성 및 최신성을 유지할 수 있는 방법을 제공하고 있는가? | 정보주체(이용자)가 개인정보의 정확성, 완전성 및 최신성을 유지할 수 있는 방법을 제공하고 있는가? | 수정 | ||||
| 3.2.4 | 개인정보 목적 외 이용 및 제공 | 개인정보는 수집 시의 정보주체에게 고지∙동의를 받은 목적 또는 법령에 근거한 범위 내에서만 이용 또는 제공하여야 하며, 이를 초과하여 이용∙제공하려는 때에는 정보주체의 추가 동의를 받거나 관계 법령에 따른 적법한 경우인지 확인하고 적절한 보호대책을 수립∙이행하여야 한다. | 개인정보는 최초 수집 시 정보주체로부터 동의받은 목적 또는 법령에 근거한 범위 내에서만 이용∙제공하고 있는가? | 개인정보는 최초 수집 시 정보주체(이용자)로부터 동의 받은 목적 또는 법령에 근거한 범위 내에서만 이용∙제공하고 있는가? | 수정 | |
| 개인정보처리자로부터 개인정보를 제공받은 경우 제공받은 목적의 범위 내에서만 이용∙제공하고 있는가? | - | 신규추가 | ||||
| 개인정보를 수집 목적 또는 개인정보처리자로부터 제공받은 목적의 범위를 초과하여 이용하거나 제공하는 경우 정보주체에게 별도의 동의를 받거나 법적 근거가 있는 경우로 제한하고 있는가? | 개인정보를 수집 목적 또는 범위를 초과하여 이용하거나 제공하는 경우 정보주체(이용자)로부터 별도의 동의를 받거나 법적 근거가 있는 경우로 제한하고 있는가? | 수정 | ||||
| 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우 제공받는 자에게 이용목적∙방법 등을 제한하거나 안전성 확보를 위해 필요한 조치를 마련하도록 요청하고 있는가? | 개인정보를 목적 외의 용도로 제3자에게 제공하는 경우 제공받는 자에게 이용목적∙방법 등을 제한하거나 안전성 확보를 위해 필요한 조치를 마련하도록 요청하고 있는가? | 동일 | ||||
| 공공기관이 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하는 경우 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 관보 또는 인터넷 홈페이지 등에 게재하고 있는가? | 공공기관이 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하는 경우 그 이용 또는 제공의 법적 근거, 목적 및 범위 등에 관하여 필요한 사항을 관보 또는 인터넷 홈페이지 등에 게재하고 있는가? | 동일 | ||||
| 공공기관 등이 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하는 경우 목적 외 이용 및 제3자 제공대장에 기록∙관리하는 등 절차를 마련하고 있는가? | 공공기관이 개인정보를 목적 외의 용도로 이용하거나 제3자에게 제공하는 경우 목적 외 이용 및 제3자 제공대장에 기록∙관리하고 있는가? | 수정 | ||||
| 3.2.5 | 가명정보 처리 | 가명정보를 처리하는 경우 목적제한, 결합제한, 안전조치, 금지의무 등 법적 요건을 준수하고 적정 수준의 가명처리를 보장할 수 있도록 가명처리 절차를 수립∙이행하여야 한다. | 가명정보를 처리하는 경우 목적 제한, 가명처리 방법 및 기준, 적정성 검토, 재식별 금지 및 재식별 발생 시 조치사항 등 가명정보를 적정하게 처리하기 위한 절차를 수립하고 있는가? | - | 신규추가 | |
| 개인정보를 가명처리하여 이용∙제공 시 추가 정보의 사용∙결합 없이는 개인을 알아볼 수 없도록 적정한 수준으로 가명처리를 수행하고 있는가? | - | 신규추가 | ||||
| 다른 개인정보처리자와 가명정보를 결합하는 경우 결합전문기관 또는 데이터전문기관을 통해 결합하고 있는가? | - | 신규추가 | ||||
| 가명정보를 처리하는 경우 추가 정보를 삭제 또는 별도로 분리하여 보관∙관리, 관련 기록의 작성∙보관 등 안전성 확보에 필요한 기술적∙관리적 및 물리적 조치를 하고 있는가? | - | 신규추가 | ||||
| 가명정보 처리목적 등을 고려하여 가명정보의 처리 기간을 적정한 기간으로 정하고 있으며, 해당 기간이 경과한 경우 지체 없이 파기하고 있는가? | - | 신규추가 | ||||
| 개인정보를 익명처리하는 경우 시간∙비용∙기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 특정 개인을 알아볼 수 없도록 적정한 수준으로 익명처리하고 있는가? | - | 신규추가 | ||||
'관리보안 > ISMS-P' 카테고리의 다른 글
| ISMS-P 항목 정리 1 (0) | 2023.04.27 |
|---|---|
| 정보보호 정책서 및 지침서 공유 (0) | 2023.02.28 |
| [ISMS 교육] 인증심사원 정리 (0) | 2022.10.31 |