ISMS 인증심사를 위한 필요 증적 목록

목차



1. 관리체계 수립 및 운영

1.1 관리체계 기반 마련

항목 증적 관련 법규
1.1.1 경영진의 참여 - 정보보호 및 개정보보호 보고 체계(의사소통 계획 등)
- 정보보호 및 개인정보보호 위원회 회의록
- 정보보호 및 개인정보보호 정책・지침(경영진 승인내역 포함)
- 정보보호 및 개인정보보호 조직도
 
1.1.2 최고책임자의 지정 - 정보보호 최고책임자 및 개인정보보호 보호책임자 임명관련 자료(인사명령, 인사카드 등)
- 정보보호 및 개인정보보호 조직도
- 정보보호 및 개인정보보호 정책・지침
- 직무기술서 (정보보호 최고책임자 및 개인정보보호 보호책임자의 역할 및 책임에 관한 사항)
- 정보보호 최고책임자 지정 내역
- 내부관리계획(개인정보 보호책임자 지정에 관한 사항)
- 개인정보 보호법 제29조, 제31조
- 정보통신망법 제27조, 제28조, 제45조의 3
- 개인정보의 안전성 확보조치 기준 제4조
- 개인정보의 기술적・관리적 보호조치 기준 제3조
1.1.3 조직 구성 - 정보보호 및 개인정보보호 위원회 규정/회의록
- 정보보호 및 개인정보보호 위원회 실무협의체 규정/회의록
- 정보보호 및 개인정보보호 조직도
- 내부관리계획
- 직무기술서
- 개인정보보호법 제9조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제4조
- 개인정보의 기술적・관리적 보호조치 기준 제3조
1.1.4 범위 설정 - 정보보호 및 개인정보보호 관리체계 범위 정의서
- 정보자산 및 개인정보 목록
- 문서 목록
- 서비스 흐름도
- 개인정보 흐름도
- 전사 조직도
- 시스템 및 네트워크 구성도
 
1.1.5 정책 수립 - 정보보호 및 개인정보보호 정책/지침/절차서(제・개정 내역 포함)
- 정보보호 및 개인정보보호 정책/지침절차서 제・개정 시 이해관계자 검토 회의록
- 내부관리계획
- 정보보호 및 개인정보보호 정책/지침 제・개정 공지내역(그룹웨어 등)
- 정보보호 및 개인정보보호 위원회 회의록
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제4조
- 개인정보의 기술적・관리적 보호조치 기준 제3조
1.1.6 자원 할당 - 정보보호 및 개인정보보호 활동 연간 추진계획서(예산 및 인력운영계획)
- 정보보호 및 개인정보보호 활동 결과 보고서
- 정보보호 및 개인정보보호 투자 내역
- 정보보호 및 개인정보보호 조직도
 


1.2 위험 관리

항목 증적 관련 법규
1.2.1 정보자산 식별 - 정보자산 및 개인정보 자산분류 기준
- 정보자산 및 개인정보 자산목록(자산관리시스템 화면)
- 정보자산 및 개인정보 보안등급
- 자산실사 내역
- 위험분석 보고서(자산식별 내역)
 
1.2.2 현황 및 흐름분석 - 정보서비스 현황표
- 정보서비스 업무흐름표/업무흐름도
- 개인정보 처리 현황표(ISMS-P 인증인 경우)
- 개인정보 흐름표(ISMS-P 인증인 경우)
- 개인정보 흐름도(ISMS-P 인증인 경우)
 
1.2.3 위험 평가 - 위험관리 지침
- 위험관리 매뉴얼/가이드
- 위험관리 계획서
- 위험평가 결과보고서
- 정보보호 및 개인정보보호 위원회 회의록
- 정보보호 및 개인정보보호 실무협의회 회의록
- 정보자산 및 개인정보자산 목록
- 정보서비스 및 개인정보 흐름도
- 개인정보 보호법 제29조
- 개인정보의 안전성 확보조치 기준 제4조
1.2.4 보호대책 선정 - 정보보호 및 개인정보보호 이행계획서/위험관리계획서
- 정보보호 및 개인정보보호 대책서
- 정보보호 및 개인정보보호 마스터플랜
- 정보보호 및 개인정보보호 이행계획 경영진 보고 및 승인 내역
 


1.3 관리체계 운영

항목 증적 관련 법규
1.3.1 보호대책 구현 - 정보보호 및 개인정보보호 이행계획서/위험관리계획서
- 정보보호 및 개인정보보호 대책서
- 정보보호 및 개인정보보호 이행계획 경과보고서(경영진 보고 포함)
- 정보보호 및 개인정보보호 이행 완료 보고서(경영진 보고 포함)
- 정보보호 및 개인정보보호 운영명세서
 
1.3.2 보호대책 공유 - 정보보호 및 개인정보보호 대책별 운영 또는 시행부서 현황
- 정보보호 및 개인정보 관리계획 내부공유 증적(공지 내역, 교육/공유 자료 등)
 
1.3.3 운영현황 관리 - 정보보호 및 개인정보보호 연간계획서
- 정보보호 및 개인정보보호 운영현황표
- 정보보호 및 개인정보보호활동 수행여부 점검 결과
- 개인정보 보호법 제31조
- 정보통신망법 제27조


1.4 관리체계 점검 및 개선

항목 증적 관련 법규
1.4.1 법적 요구사항 준수 검토 - 법적 준거성 검토 내역
- 정보보호 및 개인정보보호 정책/지침 검토 및 개정이력
- 정책/지침 신구대조표
- 법 개정사항 내부공유 자료
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제4조
- 개인정보의 기술적・관리적 보호조치 기준 제3조
1.4.2 관리체계 점검 - 관리체계 점검 계획서(내부점검 계획서, 내부감사 계획서)
- 관리체계 점검 결과보고서
- 관리체계 점검 조치계획서/이행조치결과서
- 정보보호 및 개인정보보호 위원회 회의록
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제4조
- 개인정보의 기술적・관리적 보호조치 기준 제3조
1.4.3 관리체계 개선 - 내부점검 결과보고서
- 재발방지 대책
- 효과성 측정 지표 및 측정 결과(경영진 보고 포함)
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제4조
- 개인정보의 기술적・관리적 보호조치 기준 제3조


2. 보호대책 요구사항

2.1 정책, 조직, 자산 관리

항목 증적 관련 법규
2.1.1 정책의 유지관리 - 정보보호 및 개인정보보호 정책 및 시행문서(지침, 절차, 가이드, 매뉴얼 등)
- 정책・지침, 정기・비정기 타당성 검토 결과
- 정책・지침 관련 부서와의 검토 회의록, 회람내용
- 정책・지침 제・개정 이력
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제4조
- 개인정보의 기술적・관리적 보호조치 기준 제3조
2.1.2 조직의 유지관리 - 정보보호 및 개인정보보호 조직도
- 정보보호 및 개인정보보호 조직 직무기술서
- 정보보호 및 개인정보보호 업무 분장표
- 정보보호 및 개인정보보호 정책・지침, 내부 관리계획
- 정보보호 및 개인정보보호 의사소통 관리계획
- 의사소통 수행 이력(월간보고, 주간보고, 내부공지 등)
- 의사소통 채널(정보보호 포털, 게시판 등)
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제4조
- 개인정보의 기술적・관리적 보호조치 기준 제3조
2.1.3 정보자산 관리 - 정보자산 목록(책임자, 담당자 지정)
- 정보자산 취급 절차(문서, 정보시스템 등)
- 정보자산 관리 시스템 화면
- 정보자산 보안등급 표시 내역
 


2.2 인적 보안

항목 증적 관련 법규
2.2.1 주요 직무자 지정 및 관리 - 주요 직무 기준
- 주요 직무자 목록
- 개인정보취급자 목록
- 중요 정보시스템 및 개인정보처리시스템 계정 및 권한 관리 대장
- 주요 직무자에 대한 관리 현황(교육 결과, 보안서약서 등)
- 개인정보 보호법 제28조
2.2.2 직무 분리 - 직무분리 관련 지침(인적 보안 지침 등)
- 직무기술서(시스템 운영・관리, 개발・운영 등)
- 직무 미분리 시 보완통제 현황
 
2.2.3 보안 서약 - 정보보호 및 개인정보보호 서약서(임직원, 외부인력)
- 비밀유지서약서(퇴직자)
 
2.2.4 인식제고 및 교육훈련 - 정보보호 및 개인정보보호 교육계획서
- 교육 결과보고서
- 공통, 직무별 교육자료
- 교육참석자 목록
- 개인정보 보호법 제26조, 제28조, 제29조
- 정보통신망법 제25조, 제28조
- 개인정보의 안전성 확보조치 기준 제4조
- 개인정보의 기술적・관리적 보호조치 기준 제3조
2.2.5 퇴직 및 직무변경 관리 - 퇴직 및 직무변경 절차서
- 퇴직 시 자산(계정) 반납관리대장
- 퇴직자 보안점검 체크리스트 및 점검 내역
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제5조 - 개인정보의 기술적・관리적 보호조치 기준 제4조
2.2.6 보안 위반 시 조치 - 인사 규정(정보보호 및 개인정보보호 관련 규정 위반에 따른 처벌규정)
- 정보보호 및 개인정보보호 지침 위반자 징계 내역
- 사고 사례(전사 공지, 교육 내용)
 


2.3 외부자 보안

항목 증적 관련 법규
2.3.1 외부자 현황 관리 - 외부 위탁 및 외부 시설・서비스 현황
- 외부 위탁 계약서
- 위험분석 보고서 및 보호대책
- 위탁 보안관리 지침, 체크리스트 등
- 개인정보 보호법 제26조
- 정보통신망법 제25조, 제50조의 3
2.3.2 외부자 계약 시 보안 - 위탁계약서
- 정보보호 및 개인정보보호 협약서(약정서, 부속합의서)
- 위탁 관련 내부 지침
- 위탁업체 선정 관련 RFP(제안요청서), 평가표
- 개인정보 보호법 제26조
- 정보통신망법 제25조
2.3.3 외부자 보안 이행 관리 - 외부자 및 수탁자 보안점검 결과
- 외부자 및 수탁자 교육 내역(교육 결과, 참석자 명단, 교육교재 등)
- 재위탁 동의 절차 및 내역
- 개인정보 위탁 계약서
- 개인정보보호법 제26조
- 정보통신망법 제25조, 제50조의 3
2.3.4 외부자 계약 변경 및 만료 시 보안 - 정보보호 및 개인정보보호 서약서
- 비밀유지 확약서
- 정보 및 개인정보 파기 확약서
- 외부자 계약 종료와 관련된 내부 정책, 지침
- 개인정보 보호법 제26조
- 정보통신망법 제25조, 제50조의 3


2.4 물리 보안

항목 증적 관련 법규
2.4.1 보호구역 지정 - 물리적 보안 지침(보호구역 지정 기준)
- 보호구역 지정 현황
- 보호구역 표시
- 보호구역 별 보호대책 현황
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제11조
- 개인정보의 기술적・관리적 보호조치 기준 제8조
2.4.2 출입통제 - 출입 관리대장 및 출입로그
- 출입 등록 신청서 및 승인 내역
- 출입기록 검토서
- 출입통제시스템 관리화면(출입자 등록 현황 등)
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제11조
- 개인정보의 기술적・관리적 보호조치 기준 제8조
2.4.3 정보시스템 보호 - 정보처리시설 도면
- 정보시스템 배치도
- 자산목록
 
2.4.4 보호설비 운영 - 물리적 보안 지침(보호설비 관련)
- 전산실 설비 현황 및 점검표
- IDC 위탁운영 계약서, SLA 등
- 정보통신망법 제46조
- 화재예방, 소방시설 설치유지 및 안전관리에 관한 법률 제9조, 제10조
2.4.5 보호구역 내 작업 - 작업 신청서, 작업 일지
- 통제구역 출입 대장
- 통제구역에 대한 출입기록 및 작업기록 검토 내역
 
2.4.6 반출입 기기 통제 - 보호구역 내 반출입 신청서
- 반출입 관리대장
- 반출입 이력 검토 결과
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제11조
- 개인정보의 기술적・관리적 보호조치 기준 제8조
2.4.7 업무환경 보안 - 사무실 및 공용공간 보안점검 보고서
- 사무실 공용공간 보안점검표
- 미준수자에 대한 조치 사항(교육, 상벌 등)
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제10조
- 개인정보의 기술적・관리적 보호조치 기준 제8조, 제9조


2.5 인증 및 권한관리

항목 증적 관련 법규
2.5.1 사용자 계정 관리 - 사용자 계정 및 권한 신청서
- 사용자 계정 및 권한 관리대장 및 화면
- 정보시스템 및 개인정보처리시스템별 접근권한 분류표
- 정보시스템 및 개인정보처리시스템별 사용자, 관리자, 개인정보취급자 목록
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제5조
- 개인정보의 기술적・관리적 보호조치 기준 제4조
2.5.2 사용자 식별 - 정보시스템 및 개인정보처리시스템 로그인 화면
- 정보시스템 및 개인정보처리시스템 관리자, 사용자, 개인정보취급자 계정 목록
- 예외 처리에 대한 승인 내역
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제5조
- 개인정보의 기술적・관리적 보호조치 기준 제4조
2.5.3 사용자 인증 - 정보시스템 및 개인정보처리시스템 로그인 화면
- 로그인 횟수 제한 설정 화면
- 로그인 실패 메시지 화면
- 외부 접속 시 절차(외부접속 신청서, 외부접속자 현황 등)
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제5조, 제6조
- 개인정보의 기술적・관리적 보호조치 기준 제4조
2.5.4 비밀번호 관리 - 웹페이지, 정보시스템 및 개인정보처리시스템 비밀번호 설정 화면
- 비밀번호 관리 정책 및 절차
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제5조
- 개인정보의 기술적・관리적 보호조치 기준 제4조
2.5.5 특수 계정 및 권한 관리 - 특수권한 관련 지침
- 특수권한 신청・승인 내역
- 특수권한자 목록
- 특수권한 검토 내용
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제5조
- 개인정보의 기술적・관리적 보호조치 기준 제4조
2.5.6 접근권한 검토 - 접근권한 검토 기준 및 절차
- 접근권한 검토 이력
- 접근권한 검토 결과보고서 및 후속조치 내역
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제5조
- 개인정보의 기술적・관리적 보호조치 기준 제4조


2.6 접근통제

항목 증적 관련 법규
2.6.1 네트워크 접근 - 네트워크 구성도
- IP 관리대장
- 정보자산 목록
- 방화벽룰
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제6조
- 개인정보의 기술적・관리적 보호조치 기준 제4조
2.6.2 정보시스템 접근 - 정보시스템 운영체제 계정 목록
- 서버 보안 설정
- 서버접근제어 정책(Secure OS 관리화면 등)
- 서버 및 네트워크 구성도
- 정보자산 목록
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제6조
- 개인정보의 기술적・관리적 보호조치 기준 제4조
2.6.3 응용프로그램 접근 - 응용프로그램 접근권한 분류 체계
- 응용프로그램 계정/권한 관리 화면
- 응용프로그램 사용자/관리자 화면(개인정보 조회 등)
- 응용프로그램 세션 타임 및 동시접속 허용 여부 내역
- 응용프로그램 관리자 접속로그 모니터링 내역
- 정보자산 목록
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제5조, 제6조
- 개인정보의 기술적・관리적 보호조치 기준 제4조
2.6.4 데이터베이스 접근 - 데이터베이스 현황(테이블, 컬럼 등)
- 데이터베이스 접속자 계정/권한 목록
- DB접근제어 정책(DB 접근제어시스템 관리화면 등)
- 네트워크 구성도(DB존 등)
- 정보자산 목록
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제5조, 제6조
- 개인정보의 기술적・관리적 보호조치 기준 제4조
2.6.5 무선 네트워크 접속 - 네트워크 구성도
- AP 보안 설정 내역
- 비인가 무선 네트워크 점검 이력
- 무선네트워크 사용 신청・승인 이력
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제6조
- 개인정보의 기술적・관리적 보호조치 기준 제4조
2.6.6 원격접근 통제 - VPN 등 사외접속 신청서
- VPN 계정 목록
- VPN 접근제어 정책 설정 현황
- IP 관리대장
- 원격 접근제어 설정(서버 설정, 보안시스템 설정 등)
- 관리용 단말기 지정 및 관리 현황
- 네트워크 구성도
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제6조, 제10조
- 개인정보의 기술적・관리적 보호조치 기준 제4조
2.6.7 인터넷 접속 통제 - 비업부사이트(P2P 등) 차단정책(비업무사이트 차단시스템 관리화면 등)
- 인터넷 접속내역 모니터링 이력
- 망분리 대상자 목록
- 망간 자료 전송 절차 및 처리내역(신청・승인내역 등)
- 네트워크 구성도
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제6조
- 개인정보의 기술적・관리적 보호조치 기준 제4조


2.7 암호화 적용

항목 증적 관련 법규
2.7.1 암호정책 적용 - 암호통제 정책(대상, 방식, 알고리즘 등)
- 암호화 적용현황(저장 및 전송 시)
- 위험도 분석 결과(내부망 고유식별정보 암호화 미적용 시)
- 암호화 솔루션 관리 화면
- 개인정보 보호법 제24조의 2, 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제7조
- 개인정보의 기술적・관리적 보호조치 기준 제6조
2.7.2 암호키 관리 - 암호키 관리정책
- 암호키 관리대장 및 관리시스템 화면
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제7조
- 개인정보의 기술적・관리적 보호조치 기준 제6조


2.8 정보시스템 도입 및 개발 보안

항목 증적 관련 법규
2.8.1 보안 요구사항 정의 - 정보시스템 인수 기준 및 절차
- 정보시스템 도입 RFP(제안요청서) 및 구매계약서
- 개발 산출물(사업수행계획서, 요구사항정의서, 화면설계서, 보안아키텍처 설계서, 시험계획서 등)
- 시큐어 코딩 표준
 
2.8.2 보안 요구사항 검토 및 시험 - 정보시스템 인수 시험 결과
- 요구사항 추적 매트릭스
- 시험 계획서, 시험 결과서
- 취약점 점검 결과서
- 개인정보 영향평가서
- 개인정보 영향평가 개선계획 이행점검 확인서
- 개인정보 보호법 제33조
- 개인정보 영향평가에 관한 고시
2.8.3 시험과 운영 환경 분리 - 네트워크 구성도(시험환경 구성 포함)
- 운영 환경과 개발・시험 환경 간 접근통제 적용 현황
 
2.8.4 시험 데이터 보안 - 시험데이터 현황
- 시험데이터 생성 규칙
- 운영데이터를 시험환경에 사용한 경우, 관련 승인 이력
 
2.8.5 소스 프로그램 관리 - SVN 등 형상관리시스템 운영 현황(접근권한자 목록 등)
- 소스 프로그램 변경 이력
 
2.8.6 운영환경 이관 - 이관 절차
- 이관 내역(신청・승인, 시험, 이관 등)
 


2.9 시스템 및 서비스 운영관리

항목 증적 관련 법규
2.9.1 변경관리 - 변경관리 절차
- 변경관리 수행 내역(신청・승인, 변경 내역 등)
- 변경에 따른 영향분석 결과
 
2.9.2 성능 및 장애관리 - 성능 및 용량 모니터링 절차
- 성능 및 용량 모니터링 증적(내부보고 결과 등)
- 장애대응 절차
- 장애조치보고서
 
2.9.3 백업 및 복구관리 - 백업 및 복구 절차
- 복구테스트 결과
- 소산백업 현황
- 개인정보 보호법 제29조
- 개인정보의 안전성 확보조치 기준 제12조
2.9.4 로그 및 접속기록 관리 - 로그관리 절차
- 로그기록 내역
- 로그 저장장치에 대한 접근통제 내역
- 개인정보 접속기록 내역
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제8조
- 개인정보의 기술적・관리적 보호조치 기준 제5조
2.9.5 로그 및 접속기록 점검 - 로그 검토 및 모니터링 절차
- 로그 검토 및 모니터링 결과(검토 내역, 보고서 등)
- 개인정보 접속기록 점검 내역
- 이상징후 발견 시 대응 증적
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제8조
- 개인정보의 기술적・관리적 보호조치 기준 제5조
2.9.6 시간 동기화 - 시간 동기화 설정
- 주요 시스템 시간 동기화 증적
 
2.9.7 정보자산의 재사용 및 폐기 - 정보자산 폐기 및 재사용 절차
- 저장매체 관리대장
- 정보자산 및 저장매체 폐기증적
- 정보자산 및 저장매체 파기 관련 위탁계약서
- 개인정보 보호법 제21조
- 정보통신망법 제29조
- 개인정보의 안전성 확보조치 기준 제13조


2.10 시스템 및 서비스 보안관리

항목 증적 관련 법규
2.10.1 보안시스템 운영 - 보안시스템 구성
- 보안시스템 운영절차
- 방화벽 정책
- 방화벽 정책 설정/변경 요청서
- 보안시스템 예외자 목록
- 보안시스템별 관리 화면(방화벽, IPS, 서버접근제어, DLP, DRM 등)
- 보안시스템 정책 검토 이력
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제6조
- 개인정보의 기술적・관리적 보호조치 기준 제4조
2.10.2 클라우드 보안 - 클라우드 서비스 관련 계약서 및 SLA
- 클라우드 서비스 위험분석 결과
- 클라우드 서비스 보안통제 정책
- 클라우드 서비스 관리자 권한 부여 현황
- 클라우드 서비스 구성도
- 클라우드 서비스 보안설정 현황
- 클라우드 서비스 보안설정 적정성 검토 이력
 
2.10.3 공개서버 보안 - 네트워크 구성도
- 웹사이트 정보공개 절차 및 내역(신청・승인・게시 이력 등)
- 개인정보 및 중요정보 노출여부 점검 이력
 
2.10.4 전자거래 및 핀테크 보안 - 전자거래 및 핀테크 서비스 보호대책
- 결제시스템 연계 시 보안성 검토 결과
 
2.10.5 정보전송 보안 - 정보전송 협약서 또는 계약서
- 정보전송 기술표준
- 정보전송 관련 구성도, 인터페이스 정의서
 
2.10.6 업무용 단말기기 보안 - 업무용 단말기 보안통제 지침 및 절차
- 업무용 단말기 등록현황
- 업무용 단말기 보안설정
- 업무용 단말기 기기인증 및 승인 이력
- 업무용 단말기 보안점검 현황
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제6조
- 개인정보의 기술적・관리적 보호조치 기준 제4조
2.10.7 보조저장매체 관리 - 보조저장매체(USB, CD 등) 차단 정책
- 보조저장매체 관리대장
- 보조저장매체 실태점검 이력
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제11조
- 개인정보의 기술적・관리적 보호조치 기준 제8조
2.10.8 패치관리 - 패치적용 관리 정책・절차
- 시스템별 패치적용 현황
- 패치 적용 관련 영향도 분석 결과
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제9조
- 개인정보의 기술적・관리적 보호조치 기준 제7조
2.10.9 악성코드 통제 - 악성프로그램 대응 지침・절차・매뉴얼
- 백신프로그램 설치 현황
- 백신프로그램 설정 화면
- 악성프로그램 대응 이력(대응 보고서 등)
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제9조
- 개인정보의 기술적・관리적 보호조치 기준 제7조


2.11 사고 예방 및 대응

항목 증적 관련 법규
2.11.1 사고 예방 및 대응체계 구축 - 침해사고 대응 지침・절차・매뉴얼
- 침해사고 대응 조직도 및 비상연락망
- 보안관제서비스 계약서(SLA 등)
- 개인정보 보호법 제34조
- 정보통신망법 제27조의 3, 제48조의 3, 제48조의 4
2.11.2 취약점 점검 및 조치 - 취약점 점검 계획서
- 취약점 점검 결과보고서(웹, 모바일 앱, 서버, 네트워크 시스템, 보안시스템, DBMS 등)
- 취약점 점검 이력
- 취약점 조치계획서
- 취약점 조치완료보고서
- 모의해킹 계획서/결과보고서
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제6조
- 개인정보의 기술적・관리적 보호조치 기준 제4조
2.11.3 이상행위 분석 및 모니터링 - 이상행위 분석 및 모니터링 현황
- 이상행위 발견 시 대응 증적
- 개인정보 보호법 제29조
- 정보통신망법 제28조
- 개인정보의 안전성 확보조치 기준 제6조
- 개인정보의 기술적・관리적 보호조치 기준 제4조
2.11.4 사고 대응 훈련 및 개선 - 침해사고 및 개인정보 유출사고 대응 모의훈련 계획서
- 침해사고 및 개인정보 유출사고 대응 모의훈련 결과서
- 침해사고 대응 절차
 
2.11.5 사고 대응 및 복구 - 침해사고 대응 절차
- 침해사고 대응보고서
- 침해사고 관리대장
- 개인정보 유출신고서
- 비상연락망
- 개인정보 보호법 제34조
- 정보통신망법 제27조의 3, 제48조의 3, 제48조의 4


2.12 재해복구

항목 증적 관련 법규
2.12.1 재해・재난 대비 안전조치 - IT 재해 복구 지침・절차
- IT 재해 복구 계획(RTO, RPO 정의 포함)
- 비상연락망
- 개인정보처리시스템 위기대응 매뉴얼
 
2.12.2 재해 복구 시험 및 개선 - IT 재해 복구 절차서
- IT 재해 복구 시험 계획서
- IT 재해 복구 시험 결과서
 


3. 개인정보 처리 단계별 요규사항

3.1 개인정보 수집 시 보호조치

항목 증적 관련 법규
3.1.1 개인정보 수집 제한 - 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 화면 등)
- 오프라인 개인정보 수집 양식(멤버십 가입신청서 등)
- 개인정보 처리방침
- 개인정보 보호법 제16조
- 정보통신망법 제23조
3.1.2 개인정보의 수집 동의 - 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 모바일앱 회원가입 화면, 이벤트 참여 등)
- 오프라인 개인정보 수집 양식(회원가입신청서 등)
- 개인정보 수집 동의 기록(회원 DB 등)
- 법정대리인 동의 기록
- 개인정보 처리방침
- 개인정보 보호법 제15조, 제22조
- 정보통신망법 제22조, 제26조의 2, 제31조
3.1.3 주민등록번호 처리 제한 - 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 등)
- 온라인 개인정보 수집 양식(본인확인 등 대체수단 제공 화면)
- 오프라인 개인정보 수집 양식(회원가입신청서 등)
- 개인정보 처리방침
- 개인정보 보호법 제24조의 2
- 정보통신망법 제23조의 2
3.1.4 민감정보 및 고유식별정보의 처리 제한 - 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 등)
- 오프라인 개인정보 수집 양식
- 개인정보 처리방침
- 개인정보 보호법 제23조, 제24조
- 정보통신망법 제23조
3.1.5 간접수집 보호조치 - 개인정보 제공 관련 계약서(제공하는 자와의 계약 사항)
- 개인정보 수집출처에 대한 정보주체(이용자) 통지 내역
- 개인정보 처리방침
- 개인정보 보호법 제16조, 제19조, 제20조
- 정보통신망법 제23조
3.1.6 영상정보처리기기 설치・운영 - 영상정보처리기기 운영 현황
- 영상정보처리기기 안내판
- 영상정보처리기기 운영・관리방침
- 영상정보처리기기 관리화면(계정/권한 내역, 영상정보 보존기간 등)
- 영상정보처리기기 운영 수탁자와의 계약서 및 점검 이력
- 개인정보보호법 제25조
3.1.7 홍보 및 마케팅 목적 활용 시 조치 - 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 모바일앱 회원가입 화면, 이벤트 참여 등)
- 오프라인 개인정보 수집 양식(회원가입신청서 등)
- 마케팅 동의 기록
- 광고성 정보전송 수신동의 기록 및 수신동의 의사확인 기록
- 광고성 정보 발송 시스템 관리자 화면(메일, SMS, 앱푸시 등)
- 광고성 정보 발송 문구
- 개인정보 처리방침
- 개인정보 보호법 제22조
- 정보통신망법 제50조


3.2 개인정보 보유 및 이용 시 보호조치

항목 증적 관련 법규
3.2.1 개인정보 현황관리 - 개인정보 현황표, 개인정보 흐름표, 개인정보 흐름도
- 개인정보파일 등록 현황
- 개인정보파일 관리대장
- 개인정보 처리방침
- 개인정보 보호법 제32조
3.2.2 개인정보 품질보장 - 정보주체(이용자) 개인정보 변경 양식(온라인, 오프라인) - 개인정보 보호법 제3조
3.2.3 개인정보 표시제한 및 이용 시 보호조치 - 개인정보처리시스템의 개인정보 조회, 검색 화면
- 개인정보 마스킹 표준
- 개인정보 마스킹 적용 화면
- 비식별 조치 적정성 평가 결과
- 정보통신망법 제28조
- 개인정보의 기술적・관리적 보호조치 기준 제9조, 제10조
3.2.4 이용자 단말기 접근 보호 - 앱 접근권한 동의 화면
- 앱 접근권한 설정 현황
- 정보통신망법 제22조의 2
3.2.5 개인정보 목적 외 이용 및 제공 - 개인정보 목적 외 이용 및 제3자 제공 내역(요청서 등 관련 증적 포함)
- 개인정보 목적 외 이용 및 제3자 제공 대장(공공기관인 경우)
- 홈페이지 또는 관보 게재 내역(공공기관인 경우)
- 개인정보 보호법 제18조
- 정보통신망법 제24조, 제24조의 2


3.3 개인정보 제공 시 보호조치

항목 증적 관련 법규
3.3.1 개인정보 제3자 제공 - 온라인 개인정보 수집 양식(홈페이지 회원가입 화면, 이벤트 참여 등)
- 오프라인 개인정보 수집 양식(회원가입신청서 등)
- 제3자 제공 내역
- 개인정보 처리방침
- 개인정보 보호법 제17조, 제22조
- 정보통신망법 제24조의 2, 제26조의 2, 제31조
3.3.2 업무 위탁에 따른 정보주체 고지 - 개인정보 처리방침
- 개인정보 수집 양식(개인정보 처리위탁 동의 관련)
- 개인정보 처리위탁 계약서
- 개인정보 처리 재위탁 승인 관련 문서(해당하는 경우)
- 개인정보 보호법 제26조
- 정보통신망법 제25조
3.3.3 영업의 양수 등에 따른 개인정보의 이전 - 개인정보 이전 관련 정보주체(이용자) 고지 내역(영업 양수도 시)
- 개인정보 처리방침
- 개인정보 보호법 제27조
- 정보통신망법 제26조
3.3.4 개인정보의 국외이전 - 개인정보 국외 이전 관련 동의 양식
- 개인정보 국외 이전 관련 계약서
- 개인정보 처리방침
- 개인정보 보호법 제17조
- 정보통신망법 제63조


3.4 개인정보 파기 시 보호조치

항목 증적 관련 법규
3.4.1 개인정보의 파기 - 개인정보 보유기간 및 파기 관련 규정
- 개인정보 파기 결과(회원 DB 등)
- 개인정보 파기관리대장
- 개인정보 보호법 제21조
- 정보통신망법 제29조
- 개인정보의 안전성 확보조치 기준 제13조
3.4.2 처리목적 달성 후 보유 시 조치 - 개인정보 보유기간 및 파기 관련 규정
- 분리 DB 현황(테이블 구조 등)
- 분리 DB 접근권한 현황
- 개인정보 보호법 제21조
- 정보통신망법 제29조
3.4.3 휴면 이용자 관리 - 휴면 이용자 선정 기준
- 휴면DB(분리DB) 현황
- 휴면 이용자 대상 사전 통지 내역
- 정보통신망법 제29조


3.5 정보주체 권리보호

항목 증적 관련 법규
3.5.1 개인정보처리방침 공개 - 개인정보 처리방침
- 개인정보 처리방침 개정 관련 공지 내역(게시판 등)
- 개인정보 보호법 제30조
- 정보통신망법 제27조의 2
3.5.2 정보주체 권리보장 - 개인정보 처리방침
- 열람, 정정・삭제, 처리정지 요구 처리 절차, 관련 양식
- 개인정보 열람 신청서
- 개인정보 열람 요구 시 조치 내역
- 개인정보 정정・삭제, 처리정지 신청양식(개인정보 정정・삭제 요구서 등)
- 개인정보 정정・삭제, 처리정지 요구 시 조치 내역(개인정보 정정・삭제 통지서 등)
- 회원 탈퇴 절차
- 개인정보 보호법 제35조, 제36조, 제37조, 제38조
- 정보통신망법 제30조, 제31조, 제44조, 제44조의 2, 제44조의 3
3.5.3 이용내역 통지 - 개인정보 이용내역 통지 기록
- 개인정보 이용내역 통지 양식 및 문구
- 정보통신망법 제30조의 2


관련법령


증적 리스트 (오름차순 정렬)


참고자료