제목 ISMS-P 세부점검항목 변경(23.10.31)

  - 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 [별표 7] 인증기준이 개정됨('23.10.05)

 

 

일부 항목 신설 : 2.4.7 / 2.5.4 / 2.6.3 / 3.1.1 / 3.1.4 / 3.1.6 / 3.2.4 / 3.2.5 / 3.3.1 /
일부 항목 수정 : 2.3.3 / 2.5.4 / 2.6.3 / 2.6.7 / 2.9.4 / 3.1.1 / 3.1.2 / 3.1.3 / 3.1.6 / 3.2.2 / 3.2.4 / 3.3.1 / 3.3.2 / 3.3.4 / 3.5.1 / 3.5.2 / 3.5.3 /

 

(외부자보안) 2.3.3 외부자 보안 이행관리 - ? 바뀐거 없는데..

(물리보안) 2.4.7 업무환경 보안 - 추가
 - 개인정보가 포함된 종이 인쇄물 등 개인정보의 출력, 복사물을 안전하게 관리하기 위해 필요한 보호 조치를 하고 있는가?

(인증 및 권한관리) 2.5.4 비밀번호 관리 - 추가
 - 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하고 있는가?

 

(접근통제) 2.6.3 응용프로그램 접근 - 추가
 - 개인정보 및 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가?
 - 개인정보 및 중요정보의 표시제한 보호조치의 일관성을 확보할 수 있도록 관련 기준을 수립하여 적용하고 있는가?

(접근통제) 2.6.7 인터넷 접속 통제 - ?? 이것도 바뀐거 없는데..

(시스템 및 서비스 운영 관리) 2.9.4 로그 및 접속기록 관리 - 수정
정보시스템의 로그기록은 위/변조 및 도난, 분실되지 않도록 안전하게 보관하고 로그기록에 대한 접근권한은 최소화하여 부여하고 있는가?

(개인정보 수집 시 보호조치) 3.1.1 개인정보 수집/이용 => [기존 3.1.1(개인정보 수집제한)과 3.1.2(개인정보 수집 동의) 위치 변경]
 - (6개 -> 9개)항목 추가
 - 개인정보를 수집하는 경우 그 목적에 필요한 범위에서 최소한의 정보만을 수집하고 있는가?
 - 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알리고 있는가?
 - 정보주체가 수집 목적에 필요한 최소한의 정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하고 있는가?

(개인정보 수집 시 보호조치) 3.1.2 개인정보 수집 제한 - x

(개인정보 수집 시 보호조치) 3.1.3 주민등록번호 처리 제한 - 수정
 - 법적 근거에 따라 주민번호를 처리하는 경우에도 정보주체가 인터넷 홈페이지를 통해 회원으로 가입하는 단계에서는 주민번호를 사용하지 아니하고도 회원으로 가입할 수 있는 방법을 제공하고 있는가?

 

(개인정보 수집 시 보호조치) 3.1.4 민감정보 처리 및 고유식별정보의 처리 제한 - 추가
 - 재화 또는 서비스를 제공하는 과정에서 공개되는 정보에 정보주체의 민감정보가 포함됨으로써 사생활 침해의 위험성이 있다고 판단하는 때에는 재화 또는 서비스의 제공 전에 민감정보의 공개 가능성 및 비공개를 선택하는 방법을 정보주체가 알아보기 쉽게 알리고 있는가?

(개인정보 수집 시 보호조치) 3.1.6 영상정보처리기기 설치 및 운영 - 추가
 - 고정형 영상정보처리기기 설치 및 운영 시 정보주체가 쉽게 인식할 수 있도록 안내판 설치 등 필요한 조치를 하였는가?
 - 업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기를 운영하는 경우 법적 허용 요건에 해당하는지를 검토하고 있는가?
 - 업무를 목적으로 공개된 장소에서 이동형 영상정보처리기기로 사람 또는 그 사람과 관련된 사물의 영상을 촬영하는 경우 불빛, 소리, 안내판 등의 방법으로 촬영 사실을 표시하고 알리고 있는가?

(개인정보 보유 및 이용 시 보호조치) 3.2.2 개인정보 품질보장 - 수정
(기존 : 수집된 개인정보는 내부 절차에 따라 안전하게 처리하도록 관리하며 최신의 상태로 정확하게 유지하고 있는가?) - 개인정보를 최신의 상태로 정확하게 유지하기 위한 절차 및 방안을 수립/이행하고 있는가?

3.2.3 (기존 : 개인정보 표시제한 및 이용 시 보호조치 -> 3.2.4가 내려옴)

기존 3.2.3 (개인정보 표시제한 및 이용 시 보호조치) => 3.2.5 가명정보 처리로 신설

현재 3.2.3 이용자 단말기 접근 보호

현재 3.2.4 개인정보 목적 외 이용 및 제공

(개인정보 보유 및 이용 시 보호조치) 3.2.4 이용자 단말기 접근 보호 - 추가(5개->6개) 및 수정
 - 개인정보처리자로부터 개인정보를 제공받은 경우 제공받은 목적의 범위 내에서만 이용∙제공하고 있는가?

(개인정보 보유 및 이용 시 보호조치) 3.2.5 가명정보 처리 - (구 3.2.3 개인정보 표시제한 및 이용 시 보호조치) 전체적으로 바뀜
인증기준 - 가명정보를 처리하는 경우 목적제한, 결합제한, 안전조치, 금지의무 등 법정 요건을 준수하고 적정 수준의 가명처리를 보장할 수 있도록 가명처리 절차를 수립/이행하여야 한다.
 - 가명정보를 처리하는 경우 목적 제한, 가명처리 방법 및 기준, 적정성 검토, 재식별 금지 및 재식별 발생 시 조치사항 등 가명정보를 적정하게 처리하기 위한 절차를 수립하고 있는가?
 - 개인정보를 가명처리하여 이용∙제공 시 추가 정보의 사용∙결합 없이는 개인을 알아볼 수 없도록 적정한 수준으로 가명처리를 수행하고 있는가?
 - 다른 개인정보처리자와 가명정보를 결합하는 경우 결합전문기관 또는 데이터전문기관을 통해 결합하고 있는가?
 - 가명정보를 처리하는 경우 추가 정보를 삭제 또는 별도로 분리하여 보관∙관리, 관련 기록의 작성∙보관 등 안전성 확보에 필요한 기술적∙관리적 및 물리적 조치를 하고 있는가?
 - 가명정보 처리목적 등을 고려하여 가명정보의 처리 기간을 적정한 기간으로 정하고 있으며, 해당 기간이 경과한 경우 지체 없이 파기하고 있는가?
 - 개인정보를 익명처리하는 경우 시간∙비용∙기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 특정 개인을 알아볼 수 없도록 적정한 수준으로 익명처리하고 있는가?

 

(개인정보 제공 시 보호조치) 3.3.1 개인정보 제3자 제공 - 추가(5개 -> 7개)
 - 개인정보를 제3자에게 제공하는 경우 정보주체 동의, 법령상 의무준수 등 적법 요건을 명확히 식별하고 이를 준수하고 있는가?
 - 정보주체에게 개인정보 제3자 제공 동의를 받는 경우 관련 사항을 명확하게 고지하고 다른 동의사항과 구분하여 적법하게 동의를 받고 있는가?
 - 정보주체에게 개인정보 제3자 제공 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 하고 있는가?
 - 정보주체의 동의 없이 개인정보의 추가적인 제공 시 당초 수집 목적과의 관련성, 예측 가능성, 이익 침해 여부, 안전성 확보조치 등의 고려사항에 대한 판단기준을 수립·이행하고, 추가적인 제공이 지속적으로 발생하는 경우 고려사항에 대한 판단기준을 개인정보 처리방침에 공개하고 이를 점검하고 있는가?

 

(개인정보 제공 시 보호조치) 3.3.2 개인정보 처리 업무 위탁 - 기존(업무 위탁에 따른 정보주체 고지), 추가됨
인증기준 - 개인정보 처리업무를 제3자에게 위탁하는 경우 위탁하는 업무의 내용과 수탁자 등 관련사항을 공개하여야 한다. 또한 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁하는 경우 위탁하는 업무의 내용과 수탁자를 정보주체에게 알려야 한다.

(개인정보 제공 시 보호조치) 3.3.4 개인정보 국외이전 - 수정
(기존 : 개인정보를 국외의 제3자에게 제공하는 경우 정보주체에게 필요한 사항을 모두 알리고 동의를 받고 있는가?) - 개인정보를 국외로 이전하는 경우 정보주체에게 국외 이전에 관한 고지 사항을 모두 알리고 별도 동의를 받거나, 인증 또는 인정 등 적법 요건을 준수하고 있는가?
(기존 : 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 이용자의 개인정보를 국외에 처리위탁 또는 보관하는 경우에는 동의에 갈음하여 관련 사항을 이용자에게 알리고 있는가?) - 정보주체와의 계약의 체결 및 이행을 위한 개인정보의 국외 처리위탁∙보관에 대해 정보주체에게 알리는 경우 필요한 사항을 모두 포함하여 적절한 방법으로 알리고 있는가? 

(정보주체 권리보호) 3.5.1 개인정보처리방침 공개 - 수정
(기존 : 개인정보 처리방침에는 법령에서 요구하는 내용을 모두 포함하고 있는가?)개인정보 처리방침에는 법령에서 요구하는 내용을 모두 포함하여 알기 쉬운 용어로 구체적이고 명확하게 작성하였는가?

 

(정보주체 권리보호) 3.5.2 정보주체 권리보장 - 항목 삭제(8개 -> 6개)
 - 정보주체 또는 그 대리인이 정정/삭제 요구를 하는 경우 규정된 기간 내에 정정/삭제 요구에 따른 필요한 조치를 하고 있는가? = 삭제
 - 정보주체 또는 그 대리인이 처리정지를 요구 하는 경우 규정된 기간 내에 처리정지를 요구에 따른 필요한 조치를 하고 있는가? = 삭제

기존 3.5.3 이용내역 통지 -> 현재 정보주체에 대한 통지 = 명칭 변경

(정보주체 권리보호) 3.5.3 정보주체에 대한 통지 - 수정
 -(기존 : 법적 의무 대상자에 해당하는 경우 개인정보 이용내역을 주기적으로 정보주체에게 통지하고 그 기록을 남기고 있는가?) ->현재 : 법적 의무 대상자에 해당하는 경우 개인정보 이용∙제공 내역 또는 그 내역을 확인할 수 있는 정보시스템에 접속하는 방법을 정보주체에게 주기적으로 통지하고 있는가?

 

 

참고

https://isms.kisa.or.kr/main/ispims/notice/?boardId=bbs_0000000000000014&mode=view&cntId=19