728x90
반응형
ISMS-P 세부점검 항목이 새로 개정되어서 공지됐다. 어느 항목이 바뀌었는지 볼까?
아래의 빨간 박스 부분이 수정되고 삭제되었다.
전체적으로 내용을 살펴본 결과, 모호한 부분은 명확하게 확인사항을 표기한 것으로 파악된다.
그리고, 가명정보의 개념을 ISMS-P 에도 도입하였다. 점점 구체화 되어 가는 것 같다. 수정된 시사점을 지극히 개인의견으로 Comment를 달아보았다.
[일부 문맥 및 오타 수정사항]
1) 1.1.5 정책수립 : 주요 확인사항 수정이 없는 듯 하다.
2) 1.1.6 자원할당
| 기존 주요 확인사항 기준 | 변경 주요 확인사항 기준 | 수정 시사점 (개인 의견) |
| 정보보호 및 개인정보보호 관리체계를 효과적으로 구축 ∙ 운영하는데 필요한 ~ (중략) | 정보보호 및 개인정보보호 관리체계의 효과적 구현과 지속적 운영을 위하여 필요한 ~ (중략) | 확인사항을 명확하게 표기(?) |
| - | 연도별 정보보호 및 개인정보보호 업무 세부추진 계획을 수립 ∙ 시행하고 그 추진결과에 대한 심사분석 ∙ 평가를 실시하고 있는가? | 주요 확인사항 신규 추가 |
3) 1.4.3 관리체계 개선
| 기존 주요 확인사항 기준 | 변경 주요 확인사항 기준 | 수정 시사점 (개인 의견) |
| 재발방지 및 개선조치의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하였는가? | 재발방지 및 개선결과의 정확성 및 효과성 여부를 확인하기 위한 기준과 절차를 마련하고 있는가? |
조치와 결과의 용어의 차이로 보여진다. 조치는 문제점을 고침의 표기? 결과는 문제점의 고쳐서 결과사항을 내놓은 행위가 아닐까? |
[일부 항목 삭제]
1) 3.3.2 업무 위탁에 따른 정보주체 고지
| 기존 주요 확인사항 기준 | 변경 주요 확인사항 기준 | 수정 시사점 (개인 의견) |
| 개인정보 처리 위탁에 대한 동의가 필요한 경우 처리 위탁을 받은 자와 위탁하는 업무의 내용을 알리고 동의를 받고 있는가? | 정보주체의 위/수탁자의 내용을 아예 없애고, 별도 항목으로 옮긴것일까? 의도가 무엇일까? | |
| 수탁자 또는 위탁하는 업무의 내용이 변경된 경우 해당 내용을 알리거나 필요한 경우 동의를 받고 있는가? | ||
| 수탁자가 위탁받은 업무를 제3자에게 재위탁하려는 경우 위탁자의 사전 동의를 받도록 하고 있는가? |
[일부 항목 수정]
1) 3.2.3 개인정보 표시제한 및 이용시 보호조치
| 기존 주요 확인사항 기준 | 변경 주요 확인사항 기준 | 수정 시사점 (개인 의견) |
| 개인정보를 비식별화하여 이용 ∙ 제공 시 재식별화의 위험을 최소화할 수 있도록 적절한 방법으로 비식별 조치를 수행하고 이에 대한 적정성을 평가하고 있는가? | 개인정보를 가명처리하여 이용 ∙ 제공시 추가 정보의 사용결합 없이 개인을 알아볼 수 없도록 적절한 방법으로 가명처리를 수행하고 있으며, 이에 대한 적정성을 평가하고 있는가? 또한, 다른 개인정보처리자 간의 가명정보 결합은 국가에서 지정한 전문기관을 통하고 있는가? |
가명정보의 개념을 확인사항에 추가함. |
| 개인정보를 비식별화하여 이용 제공 시 안전조치를 적용하고 재식별 가능성을 모니터링 하고 있는가? | 가명정보를 처리하는 경우 추가 정보를 삭제 또는 별도로 분리하여 보관관리하는 등 안전성 확보에 필요한 기술적 ∙ 관리적 및 물리적 조치를 하고 있는가? 또한, 가명정보의 처리내용을 관리하여 위하여 관련 기록을 작성 ∙ 보관하고 있는가? | 가명정보의 별도 분리 보관방법, 기록의 작성 및 보관방법 제시 |
2) 3.3.4 개인정보의 국외이전
| 기존 주요 확인사항 기준 | 변경 주요 확인사항 기준 | 수정 시사점 (개인 의견) |
| 정보통신서비스의 제공에 관한 계약을 이행하고 이용자 편의 증진 등을 위하여 필요한 경우로서 이용자의 개인정보를 국외에 처리위탁 또는 보관하는 경우에는 동의에 갈음하여 관련 사항을 이용자에게 알리고 있는가? | 정보통신서비스 제공자 등이 국외에 개인정보를 처리위탁 또는 보관시 이전되는 개인정보의 항목, 이전되는 국가 등 필요한 사항을 모두 이용자에게 알리고 있는가? | 모호한 항목을 명확한 항목으로 제시함 |
인증기준 안내서와 세부점검항목을 첨부한다. ISMS-P 인증항목 섭렵이 필요할 때다. ^^;;
파일 출처 : KISA > ISMS-P > 자료실 > 14번~15번 자료.
KISA 정보보호 및 개인정보보호관리체계 인증
isms-p.kisa.or.kr
ISMS-P 인증기준 안내서(2022.4.22).pdf
10.41MB
ISMS-P 인증기준 세부점검항목(2022.4.22).xlsx
0.05MB
반응형
BIG
'눈빛::ISMS-P > 해설서&가이드' 카테고리의 다른 글
| [개보법] 개인정보 보호법 해설서 온라인 설명회 발표자료 (10/14) (0) | 2020.10.18 |
|---|---|
| [개보위] 가명정보 처리 가이드라인 발간 (20.09.24) (0) | 2020.10.13 |
| [안행부] 주요정보통신기반시설 기술적 취약점 분석평가 방법 상세가이드 발간 (0) | 2014.03.18 |
| [KISA] [자료]2013.01.30 기업 정보보호 관련 제개정 고시 설명회 (0) | 2013.02.26 |
| [KISA] 정보보호 관리체계(ISMS) 인증 제도 해설서 (Ver. 0.1) (1) | 2013.02.26 |
