1.4.1. 법적 요구사항 준수 검토

조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다.

 

1. 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하고 있는가? (개정 23.11.23.)

상세 기준

  - 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법규 파악

    ※ 정보보호 및 개인정보보호 관련 법률(예시)

      - 정보통신망 이용촉진 및 정보보호 등에 관한 법률

      - 개인정보 보호법

      - 신용정보의 이용 및 보호에 관한 법률

      - 위치정보의 보호 및 이용 등에 관한 법률 

      - 전자금융거래법

      - 전자상거래 등에서의 소비자보호에 관한 법률

      - 저작권법

      - 정보통신기반 보호법

      - 전자서명법

      - 산업기술의 유출방지 및 보호에 관한 법률

      - 부정경쟁방지 및 영업비밀보호에 관한 법률

      - 정보보호산업의 진흥에 관한 법률

      - 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률

      - 전자정부법

      - 소프트웨어 진흥법

      - 통신비밀보호법

      - 전기통신사업법 등

      - 특정 금융거래정보의 보고 및 이용 등에 관한 법률 (개정 23.11.23.)

      - 가상자산 이용자 보호 등에 관한 법률 등 (개정 23.11.23.)    

  - 관련 법규의 제·개정 현황을 지속적으로 모니터링하여 제·개정이 이루어질 경우 조직에 미치는 영향을 분석하고 필요시 내부 정책· 지침 및 체크리스트 등에 반영하여 최신성을 유지

 

(가상자산사업자) 경영진은 가상자산 거래 서비스 안전성 확보 및 이용자 보호를 위한 법적 요구사항에 대해 임직원의 준수여부를 연 1회 이상 정기적으로 검토하고 최고경영자에게 보고하고 있는가?

상세 기준

  - 가상자산 거래 서비스 안전성 확보 및 이용자 보호를 위한 관련 법률

    : 특정 금융거래정보의 보고 및 이용 등에 관한 법률

    : 전자금융거래법

    : 정보통신망 이용촉진 및 정보보호 등에 관한 법률

    : 개인정보 보호법 등

 

2. 법적 요구사항의 준수여부를 연 1회 이상 정기적으로 검토하고 있는가?

상세 기준

  - 법적 요구사항의 준수 여부를 정기적으로 검토할 수 있는 절차 수립(검토 주기, 대상, 담당자, 방법 등) 및 이행

  - 법적 요구사항 준수 검토 결과 발견된 문제점에 대하여 신속하게 개선조치

 

    운영 내역(증적) 예시

 

  • 법적 준거성 검토 내역
  • 정보보호 및 개인정보보호 정책/지침 검토 및 개정이력
  • 정책/지침 신구대조표
  • 법 개정사항 내부공유 자료
  • 개인정보 손해배상 책임보장 입증 자료(사이버보험 약정서 등)
  • 정보보호 공시 내역

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.)

 

  1. 정보통신망법 및 개인정보 보호법이 최근 개정되었으나, 개정사항이 조직에 미치는 영향을 검토하지 않았으며 정책서 및 시행문서에도 해당 내용을 반영하지 않아 정책서 및 시행문서의 내용이 법령의 내용과 일치하지 않은 경우
  2. 개인정보 보호법에 따라 개인정보 손해배상책임 보장제도 적용 대상이 되었으나, 이를 인지하지 못하여 보험 가입이나 준비금 적립을 하지 않은 경우 또는 보험 가입을 하였으나, 

    이용자 수 및 매출액에 따른 최저가입금액 기준을 준수하지 못한 경우

  3. 정보보호 공시 의무대상 사업자이지만 법에 정한 시점 내에 정보보호 공시가 시행되지 않은 경우

  4. 모바일앱을 통해 위치정보사업자로부터 이용자의 개인위치정보를 전송받아 서비스에 이용하고 있으나, 위치기반서비스사업 신고를 하지 않은 경우 (개정 23.11.23.)

  5. 국내에 주소 또는 영업소가 없는 개인정보처리자로서 전년도 말 기준 직전 3개월 간 그 개인정보가 저장·관리되고 있는 국내 정보주체의 수가 일일평균 100만명 이상인 자에 해당되어 국내대리인 지정의무에 해당됨에도 불구하고, 국내대리인을 문서로 지정하지 않은 경우 (개정 23.11.23.)

  6. 조직에서 준수해야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 1년 이상 수행하지 않은 경우

  7. 법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 개인정보 보호법 등 법규 위반 사항이 다수 발견된 경우


  8. (CELA)(AWS)클라우드 시스템을 해외 리전으로 이용하면서 개인정보처리방침 내 개인정보의 국외이전을 명시하지 않은 경우

  9. (CELA)(AWS)클라우드 시스템을 국내 리전으로 이용하면서 개인정보처리방침 내 개인정보의 국외이전을 명시한 경우
  10. (CELA)위치기반 서비스를 운영하고 있으나, 위치기반 서비스 이용약관 동의를 누락한 경우


1.4.2. 관리체계 점검

관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다.

 

1. 법적 요구사항 및 수립된 정책에 따라 정보보호 및 개인정보보호 관리체계가 효과적으로 운영되는지를 점검하기 위한 관리체계 점검기준, 범위, 주기, 점검인력 자격요건 등을 포함한 관리체계 점검 계획을 수립하고 경영진에게 보고하고 있는가? (개정 23.11.23.)

상세 기준

  - 점검기준 : 정보보호 및 개인정보보호 관리체계 인증기준 포함

  - 점검범위 : 전사 또는 인증범위 포함

  - 점검주기 : 최소 연 1회 이상 수행 필요

  - 점검인력 자격요건 : 점검의 객관성, 독립성 및 전문성을 확보할 수 있도록 자격 요건 정의

 

2. 관리체계 점검 계획에 따라 독립성, 객관성 및 전문성이 확보된 인력을 구성하여 연 1회 이상 점검을 수행하고 발견된 문제점을 정보보호 최고책임자, 개인정보 보호책임자 등 경영진에게 보고하고 있는가? (개정 23.11.23.)

상세 기준   - 점검의 객관성, 독립성 및 전문성을 확보할 수 있도록 점검조직 구성

  - 점검 계획에 따라 연 1회 이상 점검 수행

  - 점검 결과 발견된 문제점에 대해서는 조치계획을 수립·이행하고 조치 완료여부에 대하여 추가 확인  (개정 23.11.23.)

  - 점검 결과보고서를 작성하여 정보보호 최고책임자 및 개인정보 보호책임자 등 경영진에게 보고

 

(가상자산사업자) 정보보호최고책임자는 정보보안점검의 날을 지정하고, 정보보안 점검항목을 수립하여 매분기 준수여부 점검 및 그 결과를 최고경영자에게 보고하고 있는가?

상세 기준

  - 임직원 정보보안 인식 강화 및 보안사고 예방을 위한 매분기 전사적 정보보안점검의 날을 지정하여 점검 실시※ 재발방지 및 개선조치 관련 보안성과지표(예시)

 

    운영 내역(증적) 예시 (개정 23.11.23.)

 

  • 관리체계 점검 계획서(내부점검 계획서, 내부감사 계획서)
  • 관리체계 점검 결과보고서
  • 관리체계 점검 조치계획서/이행조치결과서 (개정 23.11.23.)
  • 정보보호 및 개인정보보호 위원회 회의록

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.)

 

  1. 금년도 관리체계 점검을 실시하였으나, 점검범위가 일부 영역에 국한되어 있어 정보보호 및 개인정보보호 관리체계 범위를 충족하지 못한 경우
  2. 관리체계 점검 인력에 점검 대상으로 식별된 전산팀 직원이 포함되어 있어 점검의 독립성이 훼손된 경우
  3. 관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료여부를 확인하지 않은 경우 (개정 23.11.23.)
  4. 관리체계 점검팀이 위험평가 또는 취약점 점검 등 관리체계 구축 과정에 참여한 내부 직원 및 외부 컨설턴트로만 구성되어, 점검의 독립성이 확보되었다고 볼 수 없는 경우 (개정 23.11.23.)

1.4.3. 관리체계 개선

법적 요구사항 준수검토 및 관리체계 점검을 통하여 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립·이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다.

 

1. 법적 요구사항 준수검토 및 관리체계 점검을 통하여 식별된 관리체계 상의 문제점에 대한 근본 원인을 분석하여 재발방지 및 개선 대책을 수립·이행하고 있는가? (개정 23.11.23.)

상세 기준

  - 점검 결과 발견된 문제점에 대해서는 조치계획을 수립·이행하고, 조치 완료 여부에 대하여 추가 확인 (개정 23.11.23.)

  - 식별된 관리체계상의 문제점 및 결함사항에 대한 근본 원인 분석

  - 근본원인 분석결과를 바탕으로 발견된 문제점의 재발방지 및 개선을 위한 대책을 수립· 이행하여야 한다.

    ※ 재발방지 대책(예시)

      - 정보보호 및 개인정보보호 정책·지침·절차 개정

      - 임직원 및 외부자에 대한 교육 강화 또는 개선

      - 이상행위 등에 대한 모니터링 강화

      - 정보보호 및 개인정보보호 운영 자동화(계정관리 등)

      - 정보보호 및 개인정보보호 관련 검토·승인 절차 개선

      - 내부점검 체크리스트 또는 방식 개선 등

  - 수립된 재발방지 대책에 대하여 관련자들에게 공유 및 교육 실시

 

2. 재발방지 및 개선 결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하였는가?

상세 기준

  - 재발방지 및 개선조치의 정확성 및 효과성을 측정하기 위하여 관리체계 측면에서의 핵심성과지표(보안성과지표) 도출

    ※ 재발방지 및 개선조치 관련 보안성과지표(예시)

      - 보안 정책· 지침 위반을(외부 전송규정 위반율, 보안우회 시도율 등)

      - 보안 예외 승인 건수

      - 보안 프로그램 설치율

      - 악성프로그램 감염률

      - 자가점검 수행율 등

  - 핵심성과지표(보안성과지표)에 대한 측정 및 모니터링 절차 수립· 이행

  - 재발방지 및 개선조치의 정확성· 효과성에 대한 확인 및 측정 결과는 경영진에게 보고

 

    운영 내역(증적) 예시 (개정 23.11.23.)

 

  • 내부점검 결과보고서
  • 재발방지 대책
  • 효과성 측정 지표 및 측정 결과(경영진 보고 포함)

  • 관리체계 점검 조치계획서·이행조치결과서 (개정 23.11.23.)

 

    ** 인증심사 결함사항 예시 ** (개정 23.11.23.)

 

  1. 내부점검을 통하여 발견된 정보보호 및 개인정보보호 관리체계 운영상의 문제점이 매번 동일하게 반복되어 발생되는 경우
  2. 내부 규정에는 내부점검 시 발견된 문제점에 대해서는 근본원인에 대한 분석 및 재발방지 대책을 수립하도록 되어 있으나, 최근에 수행된 내부점검에서는 발견된 문제점에 대하여 근본원인 분석 및 재발방지 대책이 수립되지 않은 경우
  3. 관리체계 상 문제점에 대한 재발방지 대책을 수립하고 핵심성과지표를 마련하여 주기적으로 측정하고 있으나, 그 결과에 대하여 경영진 보고가 장기간 이루어지지 않은 경우
  4. 관리체계 점검 시 발견된 문제점에 대하여 조치계획을 수립하지 않았거나 조치 완료 여부를 확인하지 않은 경우 (개정 23.11.23.)