Compliance18 [Day 328] KISA ISMS 인증심사기간 내 일정(최초,사후) *본 일정은 인증기관/심사팀장/인증대상기업 특성에 따라 다를 수 있음 최초/갱신 심사일 경우 월 화 수 목 금 (오전) 10:30 착수회의 및 상견례 신청기관의 현황 및 인증범위 상세소개 신청기관 담당자 및 심사원 인사 (오후) 네트워크 및 주요시스템 현황 소개 네트워크 구성도,시스템구성도 등 인증범위내 관리자 페이지(시스템) 시연 개인정보처리시스템 관리, 기술, 물리 영역에 대한 현장 인터뷰 및 실사 진행 1. 조직/정책/자산 관리/법적 요구사항 준수 현황 등 2. 인프라 접근통제 적용현황 등 3. 개발보안 및 암호관리 현황 등 4. 보안솔루션 운영현황 등 5. 침해사고 및 재해복구관리 현황 등 6. 물리적 보안관리 현황 등 -IDC 방문 (오전) 추가 인터뷰 및 실사 진행 (오후) 인증심사팀 회의 및.. 2022. 1. 10. [Day 327] 외부자 계약 시 보안 요구사항 정보처리 업무 위탁 또는 외부 서비스 이용 시, 계약에 포함되어야 하는 보안 요구사항 정보보호 및 개인정보보호 관련 법률 준수, 정보보호 및 개인정보보호 서약서 제출 위탁 업무 수행 직원 대상 주기적인 정보보호 교육 수행 및 주기적 보안점검 수행 업무수행 관련 취득한 중요정보 유출 방지 대책 외부자 인터넷 접속 제한, 물리적 보호조치(장비 및 매체 반출입 등), PC 등 단말 보안(백신 설치, 안전한 패스워드 설정 및 주기적 변경, 화면보호기 설정 등), 무선 네트워크 사용 제한 정보시스템 접근 허용 시 과도한 권한이 부여되지 않도록 접근권한 부여 및 해지 절차 재위탁 제한 및 재위탁이 필요한 경우의 절차와 보안 요구사항 정의 보안 요구사항 위반 시 처벌, 손해배상 책임, 보안사고 발생에 따른 보고 의무.. 2021. 7. 2. [Day 313] PG사에 대한 수탁사 관리 감독은 어떻게 해야 할까? 개인정보 취급 관련 Q&A Q) [수탁자 관리·감독] 온라인 쇼핑몰을 운영하면서 PG사에 결제 과정에서 개인정보 취급을 위탁하고 있습니다. 영세사업자인 위탁자가 수탁자인 대 규모 PG사를 대상으로 관리・감독하는 것은 현실적으로 매우 어렵습니다. 이러한 경우 위탁자가 어디까지 관리・감독 의무를 이행해야 하나요? A) 개인정보 취급을 위탁하고자 할 때에는 수탁자의 개인정보 보호조치 능력 등을 고려하여 정하고, 계약서에 위탁된 개인정보의 안전한 관리 와 파기 및 확인 사항을 명시한 후 이행 여부를 주기적으로 확인하여 야 합니다. 다만, 해당 수탁자가 정보통신망법 또는 다른 법률에 따라 개인정보 보호조치 등에 대한 별도의 관리・감독을 받고 있는 경우에는 위탁자가 주기적 확인을 하지 않을 수 있습니다. 예 : 정.. 2021. 6. 18. [Day 295] 개인정보 간접 수집 시 통지 의무 요건 정보주체(이용자) 이외로부터 수집한 개인정보를 처리하는 경우, 개인정보의 종류, 규모 등 법적 요건에 해당하는 경우 필요한 사항을 정보주체에게 통지해야 함 단, 통지 의무는 개인정보보호법에 따라 정보주체의 동의를 받아 개인정보를 제공한 개인정보처리자로부터 수집한 개인정보에만 해당됨 정보통신망법, 신용정보법에 따라 동의를 받아 개인정보를 제공한 자로부터 수집한 개인정보 or 법령에 따라 제공한 개인정보에 대해서는 적용되지 않음 구분 내용 통지의무가 부과되는 개인정보처리자 요건 5만명 이상 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 자 100만명 이상의 정보주체에 관한 개인정보를 처리하는 자 통지해야 할 사항 개인정보의 수집 출처 개인정보의 처리 목적 개인정보 처리의 정치를 요구할 권리가 있다는 .. 2021. 5. 31. 이전 1 2 3 4 5 다음