1. 관리체계 수립 및 운영
4
2. 보호대책 요구사항
3. 개인정보 처리단계별 요구 사항
1. 관리체계 수립 및 운영
1.1 관리 체계 기반 마련
1) 경영진의 참여 - 경영진 역할 및 책임 문서화, 보고체계
2) 최고책임자의 지정 - CISO, CPO 공식 지정, 자격 요건
3) 조직 구성 - 실무조직, 정보보호위원회, 정보보호 실무협의체
4) 범위 설정 - 핵심자산, 예외사항 근거 관리, 문서화
5) 정책 수립 - 정책, 시행문서 승인, 임직원 전달
6) 자원할당 - 인력 확보, 예산, 인력 지원, 계획, 결과 분석 평가
1.2 위험 관리
1) 정보자산 식별 - 정보자산 분류 기준, 식별, 보안 등급, 정기적 최신화
2) 현황 및 흐름 분석 - 정보서비스흐름도, 개인정보흐름도, 최신화
3) 위험 평가 - 위험평가 방법론, 계획, 연1회, DOA, 경영진 승인
4) 보호대책 선정 - 위험처리(회피, 전가, 감소, 수용), 이행계획
1.3 관리체계 운영
1) 보호대책 구현 - 보호대책 구현 정확성, 효과성, 구체성 진척 보고
2) 보호대책 공유 - 보호대책 담당자, 보호대책 공유&교육
3) 운영현황 관리 - 정보보호 활동 문서화, 경영진 확인
1.4 관리체계 점검 및 개선
1) 법적 요구사항 준수 검토 - 법규 최신성, 연1회 검토
2) 관리체계 점검 - 인력, 연 1회 경영진 보고
3) 관리체계 개선 - 근본원인, 재발방지 기준 절차
2. 보호대책 요구사항
2.1 정책, 조직, 자산관리
1) 정책의 유지관리 - 타당성 검토, 환경 변화 재개정, 이해관계자 검토, 이력관리
2) 조직의 유지관리 - 담당자 R&R, 평가, 의사소통체계
3) 정보자산 관리 - 보안등급 취급절차, 책임자&관리자
2.2 인적 보안
1) 주요 직무자 지정 및 관리 - 기준 정의, 지정, 최신화, 개인정보취급자 목록, 최소화
2) 직무 분리 - 직무 분리 기준, 보안 통제(상호검토, 상위관리자 승인 ,개인 계정, 로글 감사)
3) 보안 서약 - 채용, 퇴직, 외부자, 서약서 보관
4) 인식제고 및 교육 훈련 - 교육계획, 승인, 연1회 수행, 직무자 별도 교육, 적정성 평가
5) 퇴직 및 직무변경관리 - 인사변경 공유, 자산 반납&권한회수&결과확인
6) 보안 위반 시 조치 - 처벌규정 수립, 적발 시 조치
2.3 외부자 보안
1) 외부자 현황 관리 - 위탁업무, 시설 서비스 식별, 위험파악, 보호대책 마련
2) 외부자 계약 시 보안 - 위탁업체 역량 평가, 계약서
3) 외부자 보안 이행 관리 - 외부자 점검 & 감사, 개선계획, 재위탁 시 승인
4) 외부자 계약 변경 및 만료 시 보안 - 외부자 자산, 계정 권한 회수, 재위탁 시 승인
2.4 물리 보안
1) 보호구역 지정 - 보호구역 지정 기준, 보호대책
2) 출입 통제 - 출입 통제 절차, 출입 기록 점검
3) 정보시스템 보호 - 특성 고려 배치, 배치도, 케이블
4) 보호설비 운영 - 보호설비(화재감지, 소화, 누수, UPS, 발전기..), IDC 계약서&검토
5) 보호구역 내 작업 - 보호구역 내 작업 신청, 작업 기록 검토
6) 반출입 기기 통제 - 반출입기기 통제 절차, 반출입 이력 점검
7) 시설, 기기, 개인업무환경 보호대책 , 검토
2.5 인증 및 권한 관리
1) 사용자 계정 관리 - 사용자 계정 발급 절차(등록, 변경, 삭제), 최소권한, 계정 책임(본인)
2) 사용자 식별 - 유일 식별자, 추측 식별자 제한, 동일식별자 타당성, 보완대책, 책임자 승인
3) 사용자 인증 - 인증 절차(로그인 횟수제한, 불법 로그인 시도 경고), 외부 개처시 안전 인증 & 접속수단
4) 비밀번호 관리 - 비밀번호 관리 절차, 작성규칙
5) 특수 게정 및 권한 관리 - 특수권한 최소인원, 공식 승인
6) 접근 권한 검토 - 계정 및 저븐권한 변경 이력 남김, 검토 기준 수립 및 이행
2.6 접근 통제
1) 네트워크 접근 - 내부망 인가 사용자 접근, 영역 분리 및 접근 통제, IP주소 기준, 원거리 구간 보호대책
2) 정보시스템 접근 - 서버, NW, 보안시스템 OS 접근 통제, 세션타임아웃, 불필요서비스, 제거, 주요서비스 독립서버
3) 응용프로그램 접근 - 응용 접근권한 차등 부여, 정보 노출 최소화, 세션 타임아웃, 동시세션 제한, 관리자 페이지 통제
4) 데이터베이스 접근 - DB, 테이블 목록 식별, 접근통제
5) 무선 네트워크 접근 - 무선 네트워크 보호대책(인증, 암호화), 사용신청 및 해지절차, 비인가 무선 네트워크 보호대책
6) 원격 접근 통제 - 원격 금지, 보완대책, 임의조작 금지
7) 인터넷 접속 통제 - 주요 직무자, 취급 단말기, 망분리 대상 식별 적용
2.7 암호화 적용
1) 암호정책 적용 - 암호정책(대상, 강도, 사용), 저장, 전송, 전달 시 암호화
2) 암호키 관리(생성, 이용, 변경, 파기), 복구방안
2.8
1)
2)
3)
4)
5)
6)
2.9
1)
2)
3)
4)
5)
6)
2.10
1)
2)
3)
4)
5)
6)
2.11
1)
2)
3)
4)
5)
6)
2.12
1)
2)
3)
4)
5)
6)
3. 개인정보 처리단계별 요구 사항
3.1 개인정보 수집 시 보호조치
1) 개인정보 수집 제한 - 개인정보 최소화 정보 필수항목 수집, 최소 이외 선택항목, 거부권
2) 개인정보의 수집 동의 - 명확 고지 후 동의, 방법 미 ㅊ시점, 명확 표시, 만 14세 동의 기록 보관
3) 주민등록번호 처리 제한 - 주민번호 수집 법적 근거, 법조항 구체적 식별, 대체수단 제공
4) 민감정보 및 고유식별 정보의 처리 제한 - 민감정보&고유식별정보 별도 동의, 법령 구체적 근거
5) 간접수집 보호조치 - 간접수집 동의 획득 책임, 사회통념 동의 의사 이용, 자동 수집장치, 통지, 보관
6) 영상정보처리기기 설치/운영 - 허용장소 및 모적, 공공기관 공청회, 안내판, 운영관리방침, 보관기관 만료시 삭제, 위탁 시 계약서
7) 홍보 및 마케팅 목적 활용 시 조치 - 홍보 별동 동의, 광고 사전 동의, 2년 확인, 영리목적 광고 고지, 야간 금지
3.2 개인정보 보유 및 이용 시 보호조치
1) 개인정보 현황 관리 - 개인정보 현황 정기적 관리, 공공기관 개인정보파일 등록, 개인정보파일을 처리방침에 공개
2) 개인정보 품질 보장 - 수집 개인정보 최신화, 정보주체 개인정보 품질정확성 유지
3) 개인정보 표시 제한 및 이용 시 보호조치
4) 이용자 단말기 접근 보호
5) 개인정보 목적 외 이용 및 제공
3.3 개인정보 제공 시 보호조치
1) 개인정보 제3자 제공
2) 업무위탁에 따른 정보주체고지
3) 영업의 양수 등에 따른 개인정보의 이전
4) 개인정보의 국외이전
3.4 개인정보 파기 시 보호조치
1) 개인정보 파기
2) 처리목적 달성 후 보유 시 조치
3) 휴면 이용자 관리
3.5 정보주체 권리보호
1) 개인정보처리방침 공개 - 개인정보처리방침 공개, 법령 요구내용 포함, 변경 시 공지, 변경 사항 이력관리
2) 정보주체 권리 보장 - 권리(열람,정정, 삭제, 처리정지)행사 방법 및 절차, 이의제기, 동의쵤회, 처리 기록, 타인 권리 침해
3) 이용내역 통지 - 개인정보 이용내역 주기적 통지
'교육 및 자격증 > CPPG' 카테고리의 다른 글
| cppg 모의고사 (0) | 2023.08.17 |
|---|---|
| ISMS-P (0) | 2023.08.03 |
| 2022 [개인정보 보호법] 표준 사례집 개인정보보호위원회 pdf (0) | 2023.03.22 |
| 2022 개인정보 주요 이슈 법령 해석 사례30선[개인정보보호위원회pdf] (0) | 2023.03.22 |
| Part2. 개인정보보호제도 (0) | 2023.03.14 |
