ISMS-P 인증심사원 주요 암기사항 편집하기 (부분)

== 주요 법률상 암기사항 ==
법률적인 암기사항들은 상당 비율이 개인정보 보호와 관련되어 나온다. CPPG 공부를 했다면 큰 도움이 될 수도 있다. 개인정보 보호 분야가 일반적인 보안 분야보다 법에서 정해진 대로 수행하는 정형화된 부분이 많고 법령 및 고시에서 몇가지를 정하여 나열하고 있는 경우가 많기 때문에 문제를 출제하기가 수월하다.

=== 개인정보 보호 일반 ===
'''개인정보 수집·이용 동의 항목'''

#개인정보의 수집·이용 '''목'''적
#수집하려는 개인정보의 '''항'''목
#개인정보의 보유 및 이용'''기'''간
#동의를 '''거'''부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
'''개인정보 제3자 제공 시 동의 항목'''

# 개인정보를 제공받는 '''자'''
# 개인정보를 제공받는 자의 개인정보 이용 '''목'''적
# 제공하는 개인정보의 '''항'''목
# 개인정보를 제공받는 자의 개인정보 보유 및 이용 '''기'''간
# 동의를 '''거'''부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

'''서면 동의 시 중요하게 표시하여야 하는 내용'''

#개인정보의 수집·이용 목적 중 재화나 서비스의 홍보 또는 판매 권유 등을 위하여 해당 개인정보를 이용하여 정보주체에게 연락할 수 있다는 사실
#처리하는 개인정보 항목 중 민감정보, 여권번호, 운전면허번호, 외국인등록번호
#개인정보의 보유 및 이용 기간(제공 시에는 제공받는 자의 보유 및 이용 기간)
#개인정보를 제공받는 자 및 개인정보를 제공받는 자의 개인정보 이용 목적

'''서면 동의 시 중요한 내용의 표시 방법'''

#글씨의 크기, 색깔, 굵기 또는 밑줄 등을 통하여 그 내용이 명확히 표시되도록 할 것
#동의 사항이 많아 중요한 내용이 명확히 구분되기 어려운 경우에는 중요한 내용이 쉽게 확인될 수 있도록 그 밖의 내용과 별도로 구분하여 표시할 것

'''정보주체 이외로부터의 수집 시 통지 대상'''

#5만 명 이상 정보주체에 관한 민감정보 또는 고유식별정보를 처리하는 자
#100만 명 이상의 정보주체에 관한 개인정보를 처리하는 자

'''정보주체 이외로부터의 수집 시 통지 항목'''

#개인정보의 수집 출처
#개인정보의 처리 목적
#개인정보 처리의 정지를 요구하거나 동의를 철회할 권리가 있다는 사실

'''정보주체 이외로부터의 수집 시 통지 시기''' 

#'''(기본)''' 개인정보를 제공받는 날로부터 3개월 이내
#'''(예외)''' 동의를 받은 범위에서 연 2회 이상 주기적으로 개인정보를 제공받아 처리하는 경우에는
#*제공받은 날부터 3개월 이내에 통지하거나
#*그 동의를 받은 날부터 '''기산하여 연 1회 이상''' 통지
'''개인정보 위수탁 시 계약서에 포함될 사항'''

# 위탁업무 수행 목적 외 개인정보의 처리 금지에 관한 사항
# 개인정보의 기술적ㆍ관리적 보호조치에 관한 사항
# 위탁업무의 목적 및 범위
# 재위탁 제한에 관한 사항<ref>재위탁 제한이지 '금지'가 아님을 주의. 일반적으로 재위탁을 위해선 위탁자에게 사전에 알리거나 협의를 해야한다는 내용이 들어간다.</ref>
# 개인정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
# 위탁업무와 관련하여 보유하고 있는 개인정보의 관리 현황 점검 등 감독에 관한 사항
# 수탁자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

'''법률에 따라 주민등록번호를 수집 가능한 경우'''<ref>[[ISMS-P 인증 기준 3.1.3.주민등록번호 처리 제한|안내서에서 명시한]] 개인정보 보호법, 정보통신망법의 사항만 기술하였다. 금융실명제법, 소득세법 등 개별 법률에서 규정한 경우들이 많으며, 이들 모두 아래의 1번 사항에 해당한다.</ref>

#법률·대통령령·국회규칙·대법원규칙·헌법재판소 규칙·중앙선거관리위원회규칙 및 감사원규칙에서 구체적으로 주민등록번호의 처리를 요구하거나 허용한 경우
#정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 명백히 필요하다고 인정되는 경우
#주민등록번호 처리가 불가피한 경우로서 개인 정보보호위원회가 고시로 정하는 경우
#본인확인기관으로 지정받은 경우
#｢전기통신사업법｣ 제38조제1항에 따라 기간 통신사업자로부터 이동통신서비스 등을 제공받아 재판매하는 전기통신사업자가 제23조의3에 따라 본인확인기관으로 지정받은 이동통신사업자의 본인확인업무 수행과 관련하여 이용자의 주민 등록번호를 수집·이용하는 경우

'''타 법령에 따른 보유기간(예시)'''

#전자상거래 등에서 소비자 보호에 관한 법률
#*① 표시·광고에 관한 기록: '''6개월'''
#*② 계약 또는 청약철회 등에 관한 기록: '''5년'''
#*③ 대금결제 및 재화 등의 공급에 관한 기록: '''5년'''
#*④ 소비자의 불만 또는 분쟁처리에 관한 기록: '''3년'''
#통신비밀보호법컴퓨터 통신 또는 인터넷의 로그기록 자료, 정보통신기기의 위치를 확인할 수 있는 접속지 추적 자료: '''3개월'''
'''정보주체의 권리'''
*열람, 정정, 삭제, 처리정지 요구
*개인정보 처리자는 요구를 받은 날로부터 '''10일 내''' 회신

'''개인정보 파기'''

*특별한 사정이 없는 한 개인정보가 불필요하게 된 때로부터 '''5일 내''' 파기<ref>5일이 법정 기한은 아니며, 특별한 사정이 있으면 5일을 초과할 수도 있음.</ref>
'''개인정보 보호책임자 지정 기준'''

*'''공공기관'''
*#'''헌법기관 및 중앙행정기관''': 고위공무원<ref>그에 상당하는 공무원. 이하 공무원 직급에 관한 모든 케이스에서 동일하다.</ref>
*#'''정무직공무원이 장인 기관''': 3급 이상 공무원
*#'''고위공무원이 장인 기관''': 4급 이상 공무원
*#'''시도·교육청''': 3급 이상 공무원
*#'''시군·자치구''': 4급 이상 공무원
*#'''각급 학교''': 해당 학교의 행정사무를 총괄하는 사람
*#'''그 외 공공기관등''': 개인정보 처리 관련 업무를 담당하는 부서의 장
*'''그 외'''
*#사업주 또는 대표자
*#임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)

'''개인정보 처리방침 포함 항목'''

#개인정보의 처리 '''목적'''
#처리하는 개인정보의 '''항목'''
#개인정보의 처리 및 보유 '''기간'''
#개인정보의 '''제3자 제공'''에 관한 사항(해당하는 경우에만 정한다)
#영 제14조의2제2항에 따라 개인정보의 추가적인 이용 또는 제공이 지속적으로 발생하는 경우 같은 조 제1항 각호의 고려사항에 대한 판단 기준(해당하는 경우에만 정한다)
#인터넷 접속정보파일 등 개인정보를 '''자동으로 수집'''하는 장치의 설치ㆍ운영 및 그 거부에 관한 사항(해당하는 경우에만 정한다)
#개인정보의 '''파'''기절차 및 파기방법(보존하여야 하는 경우 보존근거와 보존하는 개인정보 항목 포함)
#'''민'''감정보의 공개 가능성 및 비공개를 선택하는 방법 (해당하는 경우에만 정한다)
#개인정보 처리 '''위탁'''에 관한 사항(해당하는 경우에만 정한다)
#'''가'''명정보의 처리 등에 관한 사항(해당하는 경우에만 정한다)
#영 제30조에 따른 개인정보의 '''안전성''' 확보조치에 관한 사항
#개인정보 처리방침의 변경에 관한 사항
#개인정보 보호책임자의 성명 또는 개인정보 보호업무 및 관련 고충 처리 부서의 명칭과 전화번호 등 '''연락처'''
#법 제31조의2제1항에 따라 국내대리인을 지정하는 경우 국내대리인의 성명, 주소, 전화번호 및 전자우편 주소(해당되는 경우에만 정한다)
#개인정보의 열람, 정정ㆍ삭제, 처리정지 요구권 등 정보주체와 법정대리인의 '''권리'''ㆍ의무 및 그 행사방법에 관한 사항
#개인정보의 열람청구를 접수ㆍ처리하는 부서
#정보주체의 권익침해에 대한 구제방법


'''개인정보 이용 내역 통지 대상'''

#5만명 이상의 정보주체에 관하여 민감정보 또는 고유식별정보를 처리하는 자
#100만명 이상의 정보주체에 관하여 개인정보를 처리하는자 (전년도 말 기준 직전 '''3개월'''간 일일평균을 기준으로 산정)

'''개인정보 이용 내역 통지 방법 및 예외'''

#'''통지 주기''': 연 1회 이상
#'''통지 방법''': 서면·전자우편·문자전송 등 정보주체가 통지 내용을 쉽게 확인할 수 있는 방법
#'''통지 예외''': 연락처 등 이용자에게 통지할 수 있는 개인정보를 수집하지 않은 경우

'''개인정보 이용내역 통지 항목'''

#개인정보의 수집·이용 '''목적''' 및 수집한 개인정보의 '''항목'''
#개인정보를 제공받은 '''자와''' 그 제공 '''목적''' 및 제공한 개인정보의 '''항목'''<ref>다만 ｢통신비밀보호법｣ 제13조, 제13조의2, 제13조의4 및 ｢전기통신사업법｣ 제83조제3항에 따라 제공한 정보는 제외</ref>

'''개인정보 유출 시 통지 및 신고 의무 및 기한'''

#'''(정보주체 통지)''' 유출 건수와 상관 없이 72시간 이내 통지
#'''(정부당국 신고)''' 유출된 정보주체의 수가 1천명 이상인 경우<ref>개인정보보호위원회 또는 한국인터넷진흥원에 신고</ref>
#'''(홈페이지 게시)''' 정보주체 연락처를 알수 없는 경우 홈페이지 or 사업장 30일 이상 게시
#(산용정보법) 유출된 신용정보주체의 수가 1만명 이상인 경우

'''개인정보 유출 시 통지 항목'''

#유출등이 된 '''개인정보 항목'''
#유출등이 발생한 '''시점'''과 '''경위'''
#'''이용자'''가 피해를 최소화하기 위해 취할 수 있는 '''조치'''
#'''정보통신서비스''' 제공자등의 대응 '''조치'''
#이용자가 상담 등을 접수할 수 있는 '''부서 및 연락처'''
'''개인정보 국외 이전 동의 시 고지사항'''

* 개인정보처리자: 제3자 제공과 동일
* 정보통신서비스제공자: 아래와 같음(제3자 제공과 상이)
** 1. 이전되는 개인정보 항목
** 2. 개인정보가 이전되는 국가, 이전일시 및 이전 방법
** 3. 개인정보를 이전받는 자의 이름(법인인 경우 그 명칭 및 정보관리책임자의 연락처)
** 4. 개인정보를 이전받는 자의 개인정보 이용목적 및 보유·이용 기간
'''개인정보 국외 이전 시 계약에 반영할 사항'''

* 1. 개인정보 보호를 위한 안전성 확보 조치
* 2. 개인정보 침해에 대한 고충처리 및 분쟁해결에 관한 조치
* 3. 그 밖에 이용자의 개인정보 보호를 위하여 필요한 조치
'''[[개인정보 손해배상 책임보험]] 가입금액'''

* 최소 기준: 1만명, 매출액 10억 이상
* 5천 -> 1억 -> 2억 -> 5억 -> 10억

{| class="wikitable"
!정보주체 수
!매출액등<ref>정보통신분야 서비스의 매출액이 아닌 전체 매출액 기준임에 주의</ref>
!최저가입(적립)금액
|-
| rowspan="3" |100만명 이상
|800억원 초과
|10억원
|-
|50억원 초과～800억원 이하
|5억원
|-
|10억원 이상～50억원 이하
|2억원
|-
| rowspan="3" |10만~100만명
|800억원 초과
|5억원
|-
|50억원 초과～800억원 이하
|2억원
|-
|10억원 이상～50억원 이하
|1억원
|-
| rowspan="3" |'''1만~10만명'''
|800억원 초과
|2억원
|-
|50억원 초과～800억원 이하
|1억원
|-
|10억원 이상～50억원 이하
|5천만원
|}

=== 안전성 확보조치 기준 ===
'''내부 관리계획 포함 사항 (책책교접접 암호접속 악성물리 조사위 재난수탁)'''

# 개인정보 보호 조직의 구성 및 운영에 관한 사항
# 개인정보 보호책임자의 자격요건 및 지정에 관한 사항 
# 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항 
# 개인정보취급자에 대한 관리ㆍ감독 및 교육에 관한 사항 
# 접근 권한의 관리에 관한 사항 
# 접근 통제에 관한 사항 
# 개인정보의 암호화 조치에 관한 사항 
# 접속기록 보관 및 점검에 관한 사항 
# 악성프로그램 등 방지에 관한 사항 
# 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항 
# 물리적 안전조치에 관한 사항 
# 개인정보 유출사고 대응 계획 수립ㆍ시행에 관한 사항 
# 위험 분석 및 관리에 관한 사항 
# 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 
# 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항 
# 그 밖에 개인정보 보호를 위하여 필요한 사항 

'''기록 보관 및 점검'''
*'''접속 기록'''
**최소 '''1년''' 이상 '''보관'''<ref name=":0">개인정보처리자, 정보통신서비스제공자, 신용정보회사등 공통</ref>
**다음의 경우엔 최소 '''2년''' 이상
***5만 명 이상의 정보주체에 관하여 개인정보를 처리
***고유식별정보 또는 민감정보를 처리
***｢전기통신사업법｣ 제5조에 따른 기간통신사업자
**'''월 1회''' 이상 '''점검'''<ref name=":0" />

*'''권한 변경 기록'''
**개인정보처리자, 신용정보회사등: 최소 '''3년''' '''보관'''
'''개인정보 암호화 대상'''<ref>개인정보 보호법에 따른 암호화 대상 개인정보 한정</ref>
{| class="wikitable"
!구분
!개인정보처리자
!정보통신서비스 제공자
|-
|'''정보통신망을 통한 전송 시'''
|고유식별정보, 비밀번호, 생체인식정보
|개인정보, 인증정보
|-
|'''보조저장매체로 저장·전달 시'''
|고유식별정보, 비밀번호, 생체인식정보
|개인정보
|-
| rowspan="3" |'''개인정보 처리시스템 저장 시'''
| colspan="2" |주민등록번호, 비밀번호, 생체인식정보 (다만 비밀번호는 일방향 암호화)
|-
| -
|신용카드번호, 계좌번호
|-
|여권번호, 외국인등록번호, 운전면허번호
인터넷구간, DMZ 저장 시 암호화 저장
내부망 저장 시 암호화 저장 또는 위험도 분석 (또는 영향평가)
|여권번호, 외국인등록번호, 운전면허번호
|-
|'''업무용 컴퓨터/ 모바일 기기 저장 시'''
|고유식별정보, 비밀번호, 생체인식정보
|개인정보
|}
'''<s>개인정보 처리자 유형('23.9 조항 삭제)</s>'''
{| class="wikitable"
!적용 대상
!안전조치 제외 기준
|-
|'''유형1 - 완화'''
*정보주체 1만명 미만 소상공인, 단체, 개인
|'''내차 외연세차 암재백'''
*제4조: '''내'''부 관리계획 수립
*제5조 ①: 개인정보처리권한 '''차'''등 부여, ⑥: 비밀번호 연속 오입력 '''차'''단
*제6조 ②: '''외'''부에서 개인정보처리시스템 접속 시 전용선·VPN 등 사용
*제6조 ④: '''연'''1회 취약점 점검, ⑤: '''세'''션 타임아웃
*제7조 ⑥: '''암'''호키 관리
*제12조 ①: '''재'''해재난 대비, ②: '''백'''업 및 복구 계획
|-
|'''유형2 - 표준'''
*정보주체 1만명 이상 소상공인, 단체, 개인
*정보주체 100만명 미만 중소기업
*정보주체 10만명 미만 대기업, 중견기업, 공공기관
|'''내위수난 암재백'''
*제4조 ①: '''내'''부 관리계획 수립 시 '''아래 사항 제외'''
**'''위'''험도 분석 및 대응방안 마련
**재해·재'''난''' 대비 물리적 안전조치
**'''수'''탁자에 관리·감독
*제7조 ⑥: '''암'''호키 관리
*제12조 ①: '''재'''해재난 대비, ②: '''백'''업 및 복구 계획
|-
|'''유형3 - 강화''' (그 외)
|없음 (전체 다 해당)
|}

=== 고정형 영상정보처리기기 관련 ===
'''공개된 장소에 영상정보처리기기를 설치·운영할 수 있는 경우'''<ref>아래에도 불구하고 목용탕, 탈의실 등 사생활을 현저히 침해할 수 있는 경우엔 설치 불가. 그럼에도 불구하고 교도소 등 특수 시설엔 예외적으로 허용됨</ref>

#법령에서 구체적으로 허용하고 있는 경우
#범죄의 예방 및 수사를 위하여 필요한 경우
#시설안전 및 화재 예방을 위하여 정당한 권한을 가진 자가 설치·운영하는 경우
#교통단속을 위하여 정당한 권한을 가진 자가 설치·운영하는 경우
#교통정보의 수집·분석 및 제공을 위하여 정당한 권한을 가진 자가 설치·운영하는 경우
#영상정보 저장하지 않는 요건(출입자수, 성별, 연령대 등 통계값 또는 통계적 특성값 산출을 위해 촬영된 영상정보를 일시적으로 처리하는 경우)

'''고정형 영상정보처리기기 설치 시 안내판에 포함시킬 사항'''<ref>군사시설, 국가 중요시설, 국가보안 시설은 안내판을 설치하지 않을 수 있음</ref> '''(목장시범관위)'''

#설치 목적 및 장소
#촬영 범위 및 시간
#관리책임자  연락처    ※ 법 개정으로 관리자의 성명 표기 의무는 삭제됨
#위탁받은 자의 명칭 및 연락처(영상정보처리기기 설치·운영 사무 위탁 시)

'''고정형 영상정보처리기기 운영·관리 방침에 포함될 사항 (목범근대위 책권시장 운영방 열기)'''

#고정형 영상정보처리기기의 설치 '''근거''' 및 설치 '''목적'''
#고정형 영상정보처리기기의 설치 '''대수''', 설치 '''위치''' 및 촬영 '''범위'''
#관리'''책임자''', 담당 '''부서''' 및 영상정보에 대한 접근 '''권한'''이 있는 사람
#영상정보의 촬영'''시간''', 보관'''기간''', 보관'''장소''' 및 처리방법
#고정형영상정보처리기기'''운영자'''의 영상정보 '''확인 방법''' 및 '''장소'''
#정보주체의 영상정보 '''열람 등 요구'''에 대한 조치
#영상정보 '''보호'''를 위한 기술적ㆍ관리적 및 물리적 조치
#그 밖에 영상정보처리기기의 설치ㆍ운영 및 관리에 필요한 사항

=== 가명정보·가명처리 및 결합 ===
'''가명처리하여 정보주체 동의 없이 사용 가능한 분야'''

#통계 작성 (시장조사 등 상업적 목적의 통계작성을 포함)
#과학적 연구 (산업적 연구를 포함)
#공익적 기록보존
'''개인정보 보호법 가명정보 특례 조항(적용되지 않는 조항)'''
* 제20조(정보주체 이외로부터 수집한 개인정보의 수집 출처 등 고지)
* 제27조(영업양도 등에 따른 개인정보의 이전 제한)
* 제34조(개인정보 유출 통지 등)
** ① 개인정보처리자는 개인정보가 유출되었음을 알게 되었을 때에는 지체 없이 해당 정보주체에게 다음 각 호의 사실을 알려야 한다.
* 제35조(개인정보의 열람)
* 제36조(개인정보의 정정ㆍ삭제)
* 제37조(개인정보의 처리정지 등)
* 제39조의3(개인정보의 수집ㆍ이용 동의 등에 대한 특례)
* 제39조의4(개인정보 유출등의 통지ㆍ신고에 대한 특례)
* 제39조의7(이용자의 권리 등에 대한 특례)
* 제39조의8(개인정보 이용내역의 통지)
'''신용정보법 가명정보 특례 조항(적용되지 않는 조항)'''

* 제32조(개인신용정보의 제공·활용에 대한 동의)
** ⑦ 제6항 각 호에 따라 개인신용정보를 타인에게 제공하려는 자 또는 제공받은 자는 대통령령으로 정하는 바에 따라 개인신용정보의 제공 사실 및 이유 등을 사전에 해당 신용정보주체에게 알려야 한다. 다만, 대통령령으로 정하는 불가피한 사유가 있는 경우에는 인터넷 홈페이지 게재 또는 그 밖에 유사한 방법을 통하여 사후에 알리거나 공시할 수 있다.
* 제33조의2(개인신용정보의 전송요구)
* 제35조(신용정보 이용 및 제공사실의 조회)
* 제35조의2(개인신용평점 하락 가능성 등에 대한 설명의무)
* 제35조의3(신용정보제공·이용자의 사전통지)
* 제36조(상거래 거절 근거 신용정보의 고지 등)
* 제36조의2(자동화평가 결과에 대한 설명 및 이의제기 등)
* 제37조(개인신용정보 제공 동의 철회권 등)
* 제38조(신용정보의 열람 및 정정청구 등)
* 제38조의2(신용조회사실의 통지 요청)
* 제38조의3(개인신용정보의 삭제 요구)
* 제39조(무료 열람권)
* 제39조의2(채권자변동정보의 열람 등)
* 제39조의3(신용정보주체의 권리행사 방법 및 절차)
* 제39조의4(개인신용정보 누설통지 등)

=== 위치정보 보호 ===
'''정보주체의 동의 없이 위치정보 수집이 가능한 경우'''

* 1. 제29조제1항에 따른 긴급구조기관의 긴급구조요청 또는 같은 조 제7항에 따른 경보발송요청이 있는 경우
* 2. 제29조제2항에 따른 경찰관서의 요청이 있는 경우
* 3. 다른 법률에 특별한 규정이 있는 경우

'''위치정보 수집 동의를 받을 때 고지 정보'''

# 위치정보사업자의 상호, 주소, 전화번호 그 밖의 연락처
# 개인위치정보주체 및 법정대리인(제25조제1항에 따라 법정대리인의 동의를 얻어야 하는 경우로 한정한다)의 권리와 그 행사방법
# 위치정보사업자가 위치기반서비스사업자에게 제공하고자 하는 서비스의 내용
# 위치정보 수집사실 확인자료의 보유근거 및 보유기간
# 개인위치정보의 보유목적 및 보유기간
# 개인위치정보의 수집방법

=== 정보보호 일반 ===
'''정보보호최고책임자 지정 후 신고하지 않아도 되는 경우'''

#자본금 1억원 이하
#소기업
#중기업 (아래 제외)
#*ISMS 의무 대상
#*전기통신사업자
#*통신판매업자
#*개인정보 처리방침을 공개해야 하는 개인정보처리자

'''정보보호최고책임자를 임원(이사)으로 지정해야 하는 경우 (※ +겸직금지)'''

#직전 사업연도 말 기준 자산총액이 '''5조원 이상'''인 자
#ISMS 인증을 받아야 하는 자 중 직전 사업연도 말 기준 자산총액이 '''5천억원 이상'''인 자

'''정보보호최고책임자의 전문성 요건'''

*'''정보보호책임자를 지정 후 신고해야 하는 경우'''
*#정보보호 또는 정보기술 분야의 국내 또는 외국의 '''석사학위''' 이상 학위를 취득한 사람
*#정보보호 또는 정보기술 분야의 국내 또는 외국의 '''학사학위'''를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 '''3년 이상 수행'''한 경력이 있는 사람
*#정보보호 또는 정보기술 분야의 국내 또는 외국의 '''전문학사학위'''를 취득한 사람으로서 정보보호 또는 정보기술 분야의 업무를 '''5년 이상 수행'''한 경력이 있는 사람
*#정보보호 또는 정보기술 분야의 업무를 '''10년 이상 수행'''한 경력이 있는 사람
*#법 제47조제6항제5호에 따른 '''정보보호 관리체계 인증심사원'''의 자격을 취득한 사람
*#해당 정보통신서비스 제공자의 소속인 정보보호 관련 업무를 담당하는 '''부서의 장으로 1년 이상 근무'''한 경력이 있는 사람
*'''정보보호책임자를 임원으로 지정해야 하고 겸직이 금지된 경우'''
*#상근
*#정보보호 분야 업무 4년 이상 수행 경력
*#정보보호 분야 업무를 수행한 경력과 정보기술 분야의 업무를 수행한 경력을 합산한 기간이 5년(그 중 2년 이상은 정보보호 분야의 업무를 수행)

'''망분리 의무 대상'''<ref>여러 수험서에서 공공기관을 대상으로 한 결함 사례를 찾는 문제가 나오면 망분리를 지적하는 지문은 잘못된 지문으로 취급된다. 이는 대부분의 공공기관들이 아래 요건에 충족이 안 되기 떄문인데, 실제론 공공기관 중에서도 정보통신서비스 제공자나 금융회사 등의 대상이 될 있을 수 있으므로 주의해야 한다.</ref>

#개인정보처리자
#*전년도 말 직전 3개월간 개인정보가 저장·관리하고 있는 이용자 수가 일일평균 100만 명 이상
#**개인정보처리시스템에서 개인정보를 다운로드, 파기, 접근권한을 설정할 수 있는 경우엔 망 분리
#(클라우드 서비스) 개인정보처리서비스 이용시 해당 서비스외 인터넷 차단
#금융회사
#본인신용정보관리업자(마이데이터 사업자)
'''광고 수신 여부 확인 시 수신자에게 알려야 할 사항'''
*1. 전송자의 '''명칭'''
*2. 수신동의 '''날짜''' 및 수신에 동의한 사실
*3. 수신동의에 대한 '''유지 또는 철회 의사를 표시하는 방법''' 
'''정보통신서비스 제공자 영리목적 광고 관련 통지사항'''

* '''14일''' 이내에 다음 각 호의 사항을 해당 수신자에게 통지<ref>온라인 서비스는 대부분 동의/철회 직후 문자로 날아온다. "저희가 당신이 선택한 사항들을 잘 기록해 두었습니다." 라고 정보주체에게 인지시켜 주는 과정이라는 취지를 이해해야 한다. 분쟁이 생겼을 때 이 기록을 통해 해결할 수 있다.</ref>
*# 전송자의 명칭
*# 수신자의 수신동의, 수신거부 또는 수신동의 철회 사실
*# 해당 의사를 표시한 날짜
*# 처리 결과

'''전자금융시스템의 원장 수정'''

* 중요원장에 직접 접근하여 조회·수정·삭제·삽입하는 경우 아래 기록을 5년 이상 보관
** 1. 작업자
** 2. 작업내용
'''정보보호공시 의무자'''

* 아래 조건 중 하나에 해당하는 경우 의무 대상<ref>ISMS 인증 의무 기준과 유사하나, 조금씩 다른 점을 잘 체크하여야 한다. 대학교가 빠졌고 CSP가 들어갔다. 매출액 기준도 ISMS는 정보통신서비스제공자는 100억, 상금종합병원은 1500억이었는데 여기선 3000억으로 통일되었다.</ref>
** '''사업분야:''' ISP, IDC, 상급종합병원, CSP(IaaS 제공 기준)
** '''매출액:''' CISO 지정·신고 대상, 매출액 3000억 이상
** '''이용자 수:''' 정보통신서비스 일일평균 이용자 수 100만명 이상
* 제외 대상
** 공공기관, 소기업, 금융회사 및 전자금융업자<ref>정보통신업 또는 도‧소매업을 주된 업종으로 하지 않는 전자금융회사</ref>
* 공시기한 : 매년 '''6월 30일까지'''
* 벌금
** 1천만원 이하 벌금
'''정보보호공시 내용'''

* ① 정보기술부문 투자 현황 대비 정보보호부문 투자현황
* ② 정보기술부문 인력 대비 정보보호부문 전담인력 현황
* ③ 정보보호 관련 인증ㆍ평가ㆍ점검 등에 관한 사항
* ④ 그 밖에 이용자의 정보보호를 위한 활동 현황

=== 각종 벌금 ===