ISMS-P 인증 기준 2.9.7.정보자산의 재사용 및 폐기 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
12번째 줄: 12번째 줄:
|정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구·재생되지 않도록 안전한 재사용 및 폐기 절차를 수립·이행하여야 한다.
|정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구·재생되지 않도록 안전한 재사용 및 폐기 절차를 수립·이행하여야 한다.
|-
|-
| style="text-align:center" |'''주요 확인사항'''
|'''주요 확인사항'''
|
|
*정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립‧이행하고 있는가?
*정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립‧이행하고 있는가?
*정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보를 복구되지 않는 방법으로 처리하고 있는가?
*정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보를 복구되지 않는 방법으로 처리하고 있는가?
* 자체적으로 정보자산 및 저장매체를 폐기할 경우 관리대장을 통해 폐기이력을 남기고 폐기확인 증적을 함께 보관하고 있는가?
*자체적으로 정보자산 및 저장매체를 폐기할 경우 관리대장을 통해 폐기이력을 남기고 폐기확인 증적을 함께 보관하고 있는가?
*외부업체를 통해 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고 완전히 폐기했는지 여부를 확인하고 있는가?
*외부업체를 통해 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고 완전히 폐기했는지 여부를 확인하고 있는가?
*정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하고 있는가?
*정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하고 있는가?
|-
| style="text-align:center" |'''관련법규'''
|
*개인정보 보호법 제21조(개인정보의 파기)
*개인정보의 안전성 확보조치 기준 제13조(개인정보의 파기)
|}
|}
==세부 설명==
==세부 설명==


====정보자산의 재사용 및 폐기 절차 수립·이행====
==== 정보자산의 재사용 및 폐기 절차 수립·이행 ====
정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립·이행하여야 한다.
정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립·이행하여야 한다.


*정보자산 재사용 절차: 데이터 초기화 방법, 재사용 프로세스 등
*정보자산 재사용 절차: 데이터 초기화 방법, 재사용 프로세스 등
* 정보자산 폐기 절차: 폐기 방법, 폐기 프로세스(승인 등), 폐기 확인, 폐기관리대장 기록 등
*정보자산 폐기 절차: 폐기 방법, 폐기 프로세스(승인 등), 폐기 확인, 폐기관리대장 기록 등


====안전한 정보자산 재사용 및 폐기====
==== 안전한 정보자산 재사용 및 폐기 ====
정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보가 '''복구되지 않는 방법'''으로 처리하여야 한다.
정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보가 '''복구되지 않는 방법'''으로 처리하여야 한다.


47번째 줄: 42번째 줄:
*ʻ복원이 불가능한 방법ʼ이란 현재의 기술 수준에서 사회통념상 적정한 비용으로 파기한 개인정보의 복원이 불가능하도록 조치하는 방법을 말함(표준 개인정보 보호지침 제10조).
*ʻ복원이 불가능한 방법ʼ이란 현재의 기술 수준에서 사회통념상 적정한 비용으로 파기한 개인정보의 복원이 불가능하도록 조치하는 방법을 말함(표준 개인정보 보호지침 제10조).


==== 정보자산 폐기 기록 및 증적 보관====
==== 정보자산 폐기 기록 및 증적 보관 ====
자체적으로 정보자산 및 저장매체를 폐기할 경우 다음 내용이 포함된 관리대장을 통하여 폐기이력을 남기고 폐기확인 증적을 함께 보관하여야 한다.
자체적으로 정보자산 및 저장매체를 폐기할 경우 다음 내용이 포함된 관리대장을 통하여 폐기이력을 남기고 폐기확인 증적을 함께 보관하여야 한다.


55번째 줄: 50번째 줄:
*폐기확인 증적(사진 등) 등
*폐기확인 증적(사진 등) 등


====외주를 통한 정보자산 폐기 절차 ====
==== 외주를 통한 정보자산 폐기 절차 ====
외부업체를 통하여 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고, 해당 절차에 따라 완전히 폐기되었는지 확인하여야 한다.
외부업체를 통하여 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고, 해당 절차에 따라 완전히 폐기되었는지 확인하여야 한다.


61번째 줄: 56번째 줄:
*계약서에 반영된 폐기 절차에 따라 이행되고 있는지 사진촬영, 실사 등의 이행 증적 확인
*계약서에 반영된 폐기 절차에 따라 이행되고 있는지 사진촬영, 실사 등의 이행 증적 확인


====저장매체 교체·복구 시 보호대책 마련====
==== 저장매체 교체·복구 시 보호대책 마련 ====
정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하여야 한다.  
정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하여야 한다.


*유지보수 신청 전 데이터 이관 및 파기
*유지보수 신청 전 데이터 이관 및 파기
*데이터 암호화
*데이터 암호화
* 계약 시 비밀유지 서약
*계약 시 비밀유지 서약
*데이터 완전삭제 또는 저장매체 완전파기 조치 등
*데이터 완전삭제 또는 저장매체 완전파기 조치 등


78번째 줄: 73번째 줄:
==결함 사례==
==결함 사례==


* 개인정보취급자 PC를 재사용할 경우 데이터 삭제프로그램을 이용하여 완전삭제하도록 정책 및 절차가 수립되어 있으나, 실제로는 완전삭제 조치 없이 재사용하거나 기본 포맷만 하고 재사용하고 있는 등 관련 절차가 이행되고 있지 않은 경우
*개인정보취급자 PC를 재사용할 경우 데이터 삭제프로그램을 이용하여 완전삭제하도록 정책 및 절차가 수립되어 있으나, 실제로는 완전삭제 조치 없이 재사용하거나 기본 포맷만 하고 재사용하고 있는 등 관련 절차가 이행되고 있지 않은 경우
*외부업체를 통하여 저장매체를 폐기하고 있으나, 계약 내용상 안전한 폐기 절차 및 보호대책에 대한 내용이 누락되어 있고 폐기 이행 증적 확인 및 실사 등의 관리·감독이 이루어지지 않은 경우
*외부업체를 통하여 저장매체를 폐기하고 있으나, 계약 내용상 안전한 폐기 절차 및 보호대책에 대한 내용이 누락되어 있고 폐기 이행 증적 확인 및 실사 등의 관리·감독이 이루어지지 않은 경우
*폐기된 HDD의 일련번호가 아닌 시스템명을 기록하거나 폐기 대장을 작성하지 않아 폐기 이력 및 추적할 수 있는 증적을 확인할 수 없는 경우
*폐기된 HDD의 일련번호가 아닌 시스템명을 기록하거나 폐기 대장을 작성하지 않아 폐기 이력 및 추적할 수 있는 증적을 확인할 수 없는 경우
91번째 줄: 86번째 줄:
==참고 문헌==
==참고 문헌==


*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2023.11.)
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/ISMS-P_인증_기준_2.9.7.정보자산의_재사용_및_폐기"