ciso-daily

제3조(내부관리계획의 수립·시행)①정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보보호 조직을 구성·운영하여야 한다. 1.개인정보 보호책임자의 자격요건 및 지정에 관한 사항 2.개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항 3.개인정보 내부관리계획의 수립 및 승인에 관한 사항 4.개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항 5.개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 6.개인정보의 분실·도난·유출·위조·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항제3조(내부관리계획의 수립·시행)①정보통신서비스 제공자등은 다음 각 호의 사항을 정하여 개인정보보호 조직을 구성·운영하여야 한다. 1.개인정보 보호책임자의 자..

제2조(정의) 이 기준에서 사용하는 용어의 뜻은 다음과 같다. 1."개인정보 보호책임자"란 이용자의 개인정보보호 업무를 총괄하거나 업무 처리를 최종 결정하는 임직원을 말한다. 2."개인정보취급자"란 이용자의 개인정보를 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등의 업무를 하는 자를 말한다. 3."내부관리계획"이라 함은 정보통신서비스 제공자등이 개인정보의 안전한 처리를 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보보호조치 등을 규정한 계획을 말한다. 4."개인정보처리시스템"이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말한다. 5."망분리"라 함은 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하..

제1조(목적) ① 이 기준은 '개인정보보호법' (이하 "법"이라 한다) 제 29조 및 같은 법 시행령 제48조의2제3항에 따라 정보통신서비스 제공자등(법 제39조의14에 따라 준용되는 자를 포함한다. 이하 같다)이 이용자의 개인정보를 처리함에 있어서 개인정보의 분실·도난·유출·위조·변조 또는 훼손을 방지하고 개인정보의 안전성을 확보를 위하여 필요한 기술적·관리적 보호조치의 최소한의 기준을 정하는 것을 목적으로 한다. ②정보통신서비스 제공자등은 사업 규모, 개인정보 보유 수 등을 고려하여 스스로의 환경에 맞는 개인정보 보호조치 기준을 수립하여 시행하여야 한다. 개인정보 보호법 제29조(안전조치의무) 개인정보처리자는 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 관리계획 수립, 접속기록..

1.통제 목적 개인정보의 이용 내역 등 정보주체(이용자)에게 통지하여야 할 사항을 파악하여 그 내용을 주기적으로 통지하여야 한다. 2.주요 확인 사항 법적 의무 대상자에 해당하는 경우 개인정보 이용내역을 주기적으로 정보주체(이용자)에게 통지하고 그 기록을 남기고 있는가? 개인정보 이용내역 통지 항목은 법적 요구항목을 모두 포함하고 있는가? 3.결함 사례 1)전년도 정보통신서비스 부문 매출액이 100억원 이상이었으나, 금년도에 개인정보 이용내역을 통지하지 않은 경우 2)개인정보 이용내역을 개별 이용자에게 직접적으로 통지하는 대신 홈페이지에서 팝업창이나 별도 공지사항으로 안내만 하는 경우

1.통제 목적 정보주체(이용자)가 개인정보의 열람, 정정, 삭제, 처리정지, 이의제기, 동의철회 요구를 수집 방법·절차보다 쉽게 할 수 있도록 권리행사 방법 및 절차를 수립·이행하고, 정보주체(이용자)의 요구를 받은 경우 지체 없이 처리하고 관련 기록을 남겨야 한다. 또한 정보주체(이용자)의 사생활 침해, 명예훼손 등 타인의 권리를 침해하는 정보가 유통되지 않도록 삭제 요청, 임시조치 등의 기준을 수립·이행하여야 한다. 2.주요 확인사항 정보주체(이용자)또는 그 대리인이 개인정보에 대한 열람·정정·삭제, 처리정지, 이의제기, 동의 철회(이하 '열람 등'이라함) 요구를 개인정보 수집 방법·절차보다 쉽게 할 수 있도록 권리 행사 방법 및 절차를 마련하고 있는가? 정보주체(이용자) 또는 그 대리인이 개인정보 ..

1.통제 목적 개인정보의 처리 목적 등 필요한 사항을 모두 포함하여 개인정보처리방침을 수립하고, 이를 정보주체(이용자)가 언제든지 쉽게 확인할 수 있도록 적절한 방법에 따라 공개하고 지속적으로 현행화하여야 한다. 2.주요 확인사항 개인정보 처리방침을 정보주체(이용자)가 쉽게 확인할 수 있도록 인터넷 홈페이지등에 지속적으로 현행화하여 공개하고 있는가? 개인정보 처리방침에는 법령에서 요구하는 내용을 모두 포함하고 있는가? 개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체없이 공지하고 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하고 있는가? 3.결함 사례 1)개인정보 처리방침에 공개되어 있는 개인정보 수집, 제3자 제공 내역이 실제 수집 및 제공하는 내역과 다른 경우 2..

1.통제 목적 서비스를 일정기간 동안 이용하지 않는 휴면 이용자의 개인정보를 보호하기 위하여 관련 사항의 통지, 개인정보의 파기 또는 분리보관 등 적절한 보호조치를 이행하여야 한다. 2.주요 확인 사항 정보통신서비스 제공자등은 법령에서 정한 기간 동안 이용하지 않는 휴먼 이용자의 개인정보를 파기 또는 분리 보관하고 있는가? 휴면 이용자의 개인정보를 파기하거나 분리하여 저장·관리하려는 경우 이용자에게 알리고 있는가? 분리되어 저장·관리하는 휴면 이용자의 개인정보는 법령에 따른 보관 목적 또는 이용자의 요청에 대해서만 이용 및 제공하고 있는가? 분리되어 저장·관리하는 휴면 이용자의 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가? 3.결함 사례 1)개인정보 유효기간제를 적용받는 정보통신서비스 ..

1.통제 목적 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우에는 해당 목적에 필요한 최소한의 항목으로 제한하고 다른 개인정보와 분리하여 저장·관리하여야 한다. 2.주요 확인 사항 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우, 관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하고 있는가? 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우 해당 개인정보 또는 개인정보파일을 다른 개인정보와 분리하여 저장·관리하고 있는가? 분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 ..

1.통제 목적 개인정보의 보유기간 및 파기 관련 내부 정책을 수립하고 개인정보의 보유기간 경과, 처리목적 달성 등 파기 시점이 도달한 때에는 파기의 안전성 및 완전성이 보장될 수 있는 방법으로 지체 없이 파기하여야 한다. 2.주요 확인사항 개인정보의 보유기간 및 파기와 관련된 내부 정책을 수립하고 있는가? 개인정보의 처리목적이 달성되거나 보유기간이 경과한 경우 지체없이 해당 개인정보를 파기하고 있는가? 개인정보를 파기할 때에는 복구·재생되지 않도록 안전한 방법으로 파기하고 있는가? 개인정보 파기에 대한 기록을 남기고 관리하고 있는가? 3.결함 사례 1)회원탈퇴 등 목적이 달성되거나 보유기간이 경과된 경우 회원DB에서는 해당 개인정보를 파기하였으나 CRM ,DW 등 연계된 개인정보처리시스템에 복제되어 저장..

1.통제 목적 개인정보를 국외로 이전하는 경우 국외 이전에 대한 동의, 관련 사항에 대한 공개 등 적절한 보호조치를 수립·이행하여야 한다. 2.주요 확인 사항 개인정보를 국외의 제3자에게 제공하는 경우 정보주체(이용자)에게 필요한 사항을 모두 알리고 동의를 받고 있는가? 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 이용자의 개인정보를 국외에 처리위탁 또는 보관하는 경우에는 동의에 갈음하여 관련 사항을 이용자에게 알리고 있는가? 개인정보 보호 관련 법령 준수 및 개인정보 보호 등에 관한 사항을 포함하여 국외 이전에 관한 계약을 체결하고 있는가? 개인정보를 국외로 이전하는 경우 개인정보보호를 위해 필요한 조치를 취하고 있는가? 3.결함 사례 1)개인정보를 처리하..