ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토: Difference between revisions

From IT Wiki
(Imported from text file)
No edit summary
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
 
* '''분류''': [[ISMS-P 인증 기준 1.4.관리체계 점검 및 개선|1.4.관리체계 점검 및 개선]]
*'''영역''': [[ISMS-P 인증 기준 1.관리체계 수립 및 운영|1.관리체계 수립 및 운영]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 1.4.관리체계 점검 및 개선|1.4.관리체계 점검 및 개선]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!1.4.1.법적 요구사항 준수 검토
!1.4.1.법적 요구사항 준수 검토
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다.
|조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하고 있는가?
*조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하고 있는가?
* 법적 요구사항의 준수여부를 연 1회 이상 정기적으로 검토하고 있는가?
**'''(가상자산 사업자)''' 경영진은 가상자산 거래 서비스 안전성 확보 및 이용자 보호를 위한 법적 요구사항에 대해 임직원의 준수여부를 연 1회 이상 정기적으로 검토하고 최고경영자에게 보고하고 있는가?
*법적 요구사항의 준수여부를 연 1회 이상 정기적으로 검토하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
*조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하여야 한다.
**조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법규 파악
<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">
*※ 정보보호 및 개인정보보호 관련 법률(예시)
*정보통신망 이용촉진 및 정보보호 등에 관한 법률
*개인정보 보호법
*신용정보의 이용 및 보호에 관한 법률
*위치정보의 보호 및 이용 등에 관한 법률
*전자금융거래법
*전자상거래 등에서의 소비자보호에 관한 법률
*저작권법
*정보통신기반 보호법
*전자서명법
*산업기술의 유출방지 및 보호에 관한 법률
*부정경쟁방지 및 영업비밀보호에 관한 법률
*정보보호산업의 진흥에 관한 법률
*클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률
*전자정부법
*소프트웨어 진흥법
*통신비밀보호법
*전기통신사업법 등</div>관련 법규의 제·개정 현황을 지속적으로 모니터링하여 제·개정이 이루어질 경우 조직에 미치는 영향을 분석하고 필요시 내부 정책·지침 및 체크리스트 등에 반영하여 최신성 유지
 
**[참고] 개인정보 손해배상 책임보장 제도
**[참고] 정보보호 공시 제도
*법적 요구사항의 준수 여부를 연 1회 이상 정기적으로 검토하여야 한다.
**법적 요구사항의 준수 여부를 정기적으로 검토할 수 있는 절차 수립(검토 주기, 대상, 담당자, 방법 등)및 이행
**법적 요구사항 준수 검토 결과 발견된 문제점에 대하여 신속하게 개선조치
 
==증거 자료==
 
*법적 준거성 검토 내역
*정보보호 및 개인정보보호 정책/지침 검토 및 개정이력
*정책/지침 신구대조표
*법 개정사항 내부공유 자료
*개인정보 손해배상 책임보장 입증 자료(사이버보험 약정서 등)
*정보보호 공시 내역
 
==결함 사례==
 
*정보통신망법 및 개인정보 보호법이 최근 개정되었으나 개정사항이 조직에 미치는 영향을 검토하지 않았으며, 정책서 및 시행문서에도 해당 내용을 반영하지 않아 정책서 및 시행문서 내용이 법령 내용과 일치하지 않은 경우
*조직에서 준수하여야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 1년 이상 수행하지 않은 경우
*법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 개인정보 보호법 등 법규 위반 사항이 다수 발견된 경우
*개인정보 보호법에 따라 개인정보 손해배상책임 보장제도 적용 대상이 되었으나, 이를 인지하지 못하여 보험 가입이나 준비금 적립을 하지 않은 경우 또는 보험 가입을 하였으나, 이용자 수 및 매출액에 따른 최저가입금액 기준을 준수하지 못한 경우
*정보보호 공시 의무대상 사업자이지만 법에 정한 시점 내에 정보보호 공시가 시행되지 않은 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법규 파악
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 정보보호 및 개인정보보호 관련 법률(예시)
* 정보통신망 이용촉진 및 정보보호 등에 관한 법률
* 개인정보 보호법
* 신용정보의 이용 및 보호에 관한 법률
* 위치정보의 보호 및 이용 등에 관한 법률
* 전자금융거래법
* 전자상거래 등에서의 소비자보호에 관한 법률
* 저작권법
* 정보통신기반 보호법
* 전자서명법
* 산업기술의 유출방지 및 보호에 관한 법률
* 부정경쟁방지 및 영업비밀보호에 관한 법률
* 정보보호산업의 진흥에 관한 법률
* 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률
* 전자정부법
* 소프트웨어 진흥법
* 통신비밀보호법
* 전기통신사업법 등</div>관련 법규의 제·개정 현황을 지속적으로 모니터링하여 제·개정이 이루어질 경우 조직에 미치는 영향을 분석하고 필요시 내부 정책·지침 및 체크리스트 등에 반영하여 최신성 유지
** [참고] 개인정보 손해배상 책임보장 제도
** [참고] 정보보호 공시 제도
* 법적 요구사항의 준수 여부를 연 1회 이상 정기적으로 검토하여야 한다.
** 법적 요구사항의 준수 여부를 정기적으로 검토할 수 있는 절차 수립(검토 주기, 대상, 담당자, 방법 등)및 이행
** 법적 요구사항 준수 검토 결과 발견된 문제점에 대하여 신속하게 개선조치
== 증거 자료 ==
* 법적 준거성 검토 내역
* 정보보호 및 개인정보보호 정책/지침 검토 및 개정이력
* 정책/지침 신구대조표
* 법 개정사항 내부공유 자료
* 개인정보 손해배상 책임보장 입증 자료(사이버보험 약정서 등)
* 정보보호 공시 내역
== 결함 사례 ==
* 정보통신망법 및 개인정보 보호법이 최근 개정되었으나 개정사항이 조직에 미치는 영향을 검토하지 않았으며, 정책서 및 시행문서에도 해당 내용을 반영하지 않아 정책서 및 시행문서 내용이 법령 내용과 일치하지 않은 경우
* 조직에서 준수하여야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 1년 이상 수행하지 않은 경우
* 법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 개인정보 보호법 등 법규 위반 사항이 다수 발견된 경우
* 개인정보 보호법에 따라 개인정보 손해배상책임 보장제도 적용 대상이 되었으나, 이를 인지하지 못하여 보험 가입이나 준비금 적립을 하지 않은 경우 또는 보험 가입을 하였으나, 이용자 수 및 매출액에 따른 최저가입금액 기준을 준수하지 못한 경우
* 정보보호 공시 의무대상 사업자이지만 법에 정한 시점 내에 정보보호 공시가 시행되지 않은 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Revision as of 23:10, 17 June 2022


개요

항목 1.4.1.법적 요구사항 준수 검토
인증기준 조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다.
주요 확인사항
  • 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하고 있는가?
    • (가상자산 사업자) 경영진은 가상자산 거래 서비스 안전성 확보 및 이용자 보호를 위한 법적 요구사항에 대해 임직원의 준수여부를 연 1회 이상 정기적으로 검토하고 최고경영자에게 보고하고 있는가?
  • 법적 요구사항의 준수여부를 연 1회 이상 정기적으로 검토하고 있는가?

세부 설명

  • 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하여야 한다.
    • 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법규 파악
  • ※ 정보보호 및 개인정보보호 관련 법률(예시)
  • 정보통신망 이용촉진 및 정보보호 등에 관한 법률
  • 개인정보 보호법
  • 신용정보의 이용 및 보호에 관한 법률
  • 위치정보의 보호 및 이용 등에 관한 법률
  • 전자금융거래법
  • 전자상거래 등에서의 소비자보호에 관한 법률
  • 저작권법
  • 정보통신기반 보호법
  • 전자서명법
  • 산업기술의 유출방지 및 보호에 관한 법률
  • 부정경쟁방지 및 영업비밀보호에 관한 법률
  • 정보보호산업의 진흥에 관한 법률
  • 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률
  • 전자정부법
  • 소프트웨어 진흥법
  • 통신비밀보호법
  • 전기통신사업법 등

관련 법규의 제·개정 현황을 지속적으로 모니터링하여 제·개정이 이루어질 경우 조직에 미치는 영향을 분석하고 필요시 내부 정책·지침 및 체크리스트 등에 반영하여 최신성 유지

    • [참고] 개인정보 손해배상 책임보장 제도
    • [참고] 정보보호 공시 제도
  • 법적 요구사항의 준수 여부를 연 1회 이상 정기적으로 검토하여야 한다.
    • 법적 요구사항의 준수 여부를 정기적으로 검토할 수 있는 절차 수립(검토 주기, 대상, 담당자, 방법 등)및 이행
    • 법적 요구사항 준수 검토 결과 발견된 문제점에 대하여 신속하게 개선조치

증거 자료

  • 법적 준거성 검토 내역
  • 정보보호 및 개인정보보호 정책/지침 검토 및 개정이력
  • 정책/지침 신구대조표
  • 법 개정사항 내부공유 자료
  • 개인정보 손해배상 책임보장 입증 자료(사이버보험 약정서 등)
  • 정보보호 공시 내역

결함 사례

  • 정보통신망법 및 개인정보 보호법이 최근 개정되었으나 개정사항이 조직에 미치는 영향을 검토하지 않았으며, 정책서 및 시행문서에도 해당 내용을 반영하지 않아 정책서 및 시행문서 내용이 법령 내용과 일치하지 않은 경우
  • 조직에서 준수하여야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 1년 이상 수행하지 않은 경우
  • 법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 개인정보 보호법 등 법규 위반 사항이 다수 발견된 경우
  • 개인정보 보호법에 따라 개인정보 손해배상책임 보장제도 적용 대상이 되었으나, 이를 인지하지 못하여 보험 가입이나 준비금 적립을 하지 않은 경우 또는 보험 가입을 하였으나, 이용자 수 및 매출액에 따른 최저가입금액 기준을 준수하지 못한 경우
  • 정보보호 공시 의무대상 사업자이지만 법에 정한 시점 내에 정보보호 공시가 시행되지 않은 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)