ISMS-P
-
정보주체의 동의없이 추가적인 이용 또는 제공할 때 판단기준ISMS-P 2023. 2. 2. 14:47
@ 추가적 이용을 위해서 개인정보처리자가 아니라 정보주체이 이익을 부당하게 침해하는지 여부를 고려해야 한다. 추가적 이용 요건 설명 1. 당초 수집 목적과 관련성 여부 * 당초 수집 목적과 추가적 이용.제공의 목적 사이 관련성 고려 * 둘 사이 서로 그 성질이나 경향 등에 있어서 연관 있음 의미. 2. 수집 정황 또는 처리 관행 비추어 예측 가능성 존재 여부 * 합리적 예측 가능 여부 고려 * 정황은 정보주체와의 관계, 현재의 기술 수준과 그 기술의 발전 속도 등 구체적 사정을 의미 * 관행은 비교적 오랜 기간 정립된 일반적 사정을 의미 3. 정보주체의 이익을 부당하게 침해하는지 여부 * 정보주체의 이익을 실질적으로 침해하는지와 해당 이익 침해가 부당한지를 고려 * 추가적 이용의 목적이나 의도와의 관계에..
-
2.6.3 응용프로그램 접근 vs 3.2.3 개인정보 표시제한 및 이용 시 보호조치Security 2022. 7. 5. 12:01
중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가? ▶ 응용프로그램(개인정보처리시스템 등)에서 개인정보 등 중요정보 출력 시(인쇄, 화면표시, 다운로드 등) 용도를 특정하고 용도에 따라 출력항목 최소화 ▶ 개인정보 검색 시에는 과도한 정보가 조회되지 않도록 일치검색(equal검색)이나 두 가지 조건 이상의 검색조건 사용 등 일정시간 동안 입력이 없는 세션은 자동 차단하고, 동일 사용자의 동시 세션 수를 제한하고 있는가? ▶ 응용프로그램 및 업무별 특성, 위험의 크기 등을 고려하여 접속유지 시간 결정 및 적용 ▶ 개인정보처리시스템의 경우 법적 요구사항에 따라 일정시간 이상 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록..
-
정보보호 및 개인정보보호 관련 법령.고시Security 2022. 6. 18. 16:21
법 시행령 시행규칙 고시 개인정보 보호법 개인정보 보호법 시행령 개인정보 보호위원회 직제 개인정보 보호 자율규제단체 지정 등에 관한 규정 개인정보 영향평가에 관한 고시 개인정보보호 법규 위반에 대한 과징금 부과기준 개인정보의 기술적·관리적 보호조치 기준 개인정보의 안전성 확보조치 기준 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시 표준 개인정보 보호지침 가명정보의 결합 및 반출 등에 관한 고시 개인정보 보호위원회의 조사 및 처분에 관한 규정 개인정보 처리 방법에 관한 고시 공공기관의 가명정보 결합 및 반출 등에 관한 고시 개인정보 보호위원회 직제 시행규칙 선거관리위원회 개인정보 보호에 관한 규칙 개인정보 단체소송규칙 법원 개인정보 보호에 관한 규칙 헌법재판소 개인정보 보호 규칙 소프트웨어 진흥법..
-
ISMS-P 인증기준 2.10.1 보안시스템 운영Security 2022. 6. 16. 11:10
ISMS-P 인증기준 [2.10.1 보안시스템 운영] "보안시스템"이 무엇일까요? ISMS-P 인증기준 안내서에는 보안시스템의 사례를 아래와 같이 예시하고 있습니다. 살펴보면 특별한게 아니라 보안을 위한 시스템을 모두 보안시스템이라고 하겠습니다. ※ 보안시스템 유형(예시) ·네트워크 보안시스템 : 침입차단시스템(방화벽), 침입방지시스템(IPS), 침입탐지시스템(IDS), 네트워크 접근제어(NAC), DDoS대응시스템 등 ·서버 보안시스템 : 시스템 접근제어, 보안운영체제(SecureOS) ·데이터베이스 보안시스템 : 데이터베이스 접근제어 ·정보유출 방지시스템 : Network DLP(Data Loss Prevention), Endpoint DLP 등 ·개인정보보호 시스템 : 개인정보 검출솔루션, 출력물 ..
-
ISMS-P 인증관련 정보보호 및 개인정보보호 관련 법률Security 2022. 6. 13. 16:33
·정보통신망 이용촉진 및 정보보호 등에 관한 법률 ·개인정보 보호법 ·신용정보의 이용 및 보호에 관한 법률 ·위치정보의 보호 및 이용 등에 관한 법률 ·전자금융거래법 ·전자상거래 등에서의 소비자보호에 관한 법률 ·저작권법 ·정보통신기반 보호법 ·전자서명법 ·산업기술의 유출방지 및 보호에 관한 법률 ·부정경쟁방지 및 영업비밀보호에 관한 법률 ·정보보호산업의 진흥에 관한 법률 ·클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률 ·전자정부법 ·소프트웨어 진흥법 ·통신비밀보호법 ·전기통신사업법 등 참 봐야할 법이 많기도 많네요~ ^^;
-
-
ISMS-P 인증기준 세부점검항목 - 3.개인정보 처리 단계별 요구사항(개 처단요~)Security 2022. 5. 17. 15:06
3. 개인정보 처리 단계별 요구사항(22개) [수보제파권] 3.1 개인정보 수집 시 보호조치 [제동 주민 간 영홍; 제동 주민 간 영~붉다] 3.1.1 개인정보 수집 제한 3.1.2 개인정보의 수집 동의 3.1.3 주민등록번호 처리 제한 3.1.4 민감정보 및 고유식별정보의 처리 제한 3.1.5 간접수집 보호조치 3.1.6 영상정보처리기기 설치 ․ 운영 3.1.7 홍보 및 마케팅 목적 활용 시 조치 3.2. 개인정보 보유 및 이용 시 보호조치 [현품표 이목] 3.2.1 개인정보 현황관리 3.2.2 개인정보 품질보장 3.2.3 개인정보 표시제한 및 이용 시 보호조치 3.2.4 이용자 단말기 접근 보호 3.2.5 개인정보 목적 외 이용 및 제공 3.3. 개인정보 제공 시 보호조치 [3위 영국] 3.3.1 개..
-
ISMS-P 인증기준 세부점검항목 - 2.보호대책 요구사항(보호대요~)Security 2022. 5. 13. 09:51
2.1 정책, 조직, 자산 관리 [정조 자~] 2.1.1 정책의 유지관리 - 정보보호 및 개인정보보호 관련 정책과 시행문서는 법령 및 규제, 상위 조직 및 관련 기관 정책과의 연계성, 조직의 대내외 환경변화 등에 따라 주기적으로 검토하여 필요한 경우 재.개정하고 그 내역을 이력관리하여야 한다. 2.1.2 조직의 유지관리 - 조직의 각 구성원에게 정보보호와 개인정보보호 관련 역할 및 책임을 할당하고, 그 활동을 평가할 수 있는 체계와 조직 및 조직의 구성원간 상호 의사소통할 수 있는 체계를 수립하여 운영하여야 한다. 2.1.3 정보자산 관리 - 정보자산의 용도와 중요도에 따른 취급 절차 및 보호대책을 수립 이행하고, 자산별 책임소재를 명확히 정의하여 관리하여야 한다. 2.2 인적 보안 [주분서교 퇴위] 2..