ISMS-P 인증 기준 3.2.1.개인정보 현황관리: Difference between revisions
From IT Wiki
(Imported from text file) |
|||
| (4 intermediate revisions by one other user not shown) | |||
| Line 1: | Line 1: | ||
[[분류: ISMS-P 인증 기준]] | [[분류: ISMS-P 인증 기준]] | ||
* '''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]] | |||
* '''분류''': [[ISMS-P 인증 기준 3.2.개인정보 보유 및 이용 시 보호조치|3.2.개인정보 보유 및 이용 시 보호조치]] | *'''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]] | ||
== 개요 == | *'''분류''': [[ISMS-P 인증 기준 3.2.개인정보 보유 및 이용 시 보호조치|3.2.개인정보 보유 및 이용 시 보호조치]] | ||
==개요== | |||
{| class="wikitable" | {| class="wikitable" | ||
!항목 | !항목 | ||
!3.2.1.개인정보 현황관리 | !3.2.1.개인정보 현황관리 | ||
|- | |- | ||
| style="text-align:center"|'''인증기준''' | | style="text-align:center" |'''인증기준''' | ||
|수집·보유하는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관계기관의 장에게 등록하여야 한다. | |수집·보유하는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관계기관의 장에게 등록하여야 한다. | ||
|- | |- | ||
|'''주요 확인사항''' | |'''주요 확인사항''' | ||
| | | | ||
* 수집·보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하고 있는가? | *수집·보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하고 있는가? | ||
* 공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하고 있는가? | *공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하고 있는가? | ||
* 공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하고 있는가? | *공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하고 있는가? | ||
|} | |} | ||
== 세부 설명 == | ==세부 설명== | ||
====수집·보유 개인정보 현황의 정기적 관리==== | |||
수집·보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 한다. | |||
*개인정보처리자(정보통신서비스 제공자)는 수집·보유하고 있는 개인정보의 항목, 보유량, 처리 근거 (동의, 법령 등), 처리목적 및 방법, 보유기간 등을 파악하여 '''개인정보 현황표, 개인정보 흐름표, 개인정보 흐름도''' 등을 통하여 기록·관리하여야 함. | |||
*또한 정기적으로 개인정보 현황을 점검하고 '''관련 문서를 최신화'''하여야 함. | |||
====공공기관의 개인정보 파일 등록==== | |||
공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하여야 하며, 등록된 사항에 변경이 있는 경우에도 그 내용을 등록하여야 한다. | |||
*개인정보파일 등록 또는 변경 신청을 받은 개인정보 보호책임자는 등록·변경 사항을 검토하고 그 적정성을 판단한 후 개인정보보호위원회에 '''60일 이내에 등록''' | |||
*중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관에 해당 사항(개인정보파일 등록·변경)의 검토 및 적정성 판단을 요청한 후 상위 관리기관의 확인을 받아 개인정보보호위원회에 60일 이내에 등록 | |||
*[[헌법기관|국회, 법원, 헌법재판소, 중앙선거관리위원회]](그 소속 기관 포함)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙을 따름. | |||
*다만 「개인정보 보호법」 제32조제2항에 해당하는 개인정보파일은 개인정보보호위원회에 등록하지 않아도 됨. | |||
<div style="padding:5px 10px; border:1px solid #ddd; background:#f5f5f5; margin:5px"> | |||
'''개인정보보호위원회 등록이 면제되는 개인정보파일(공공기관)''' | |||
<div style= | |||
* 1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일 | * 1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일 | ||
* 2. 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일 | * 2. 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일 | ||
* 3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일 | * 3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일 | ||
* 4. | * 4. 일회성으로 운영되는 파일 등 지속적으로 관리할 필요가 낮다고 인정되어 대통령령으로 정하는 개인정보파일 · 회의 참석 수당 지급, 자료·물품의 송부, 금전의 정산 등 단순 업무 수행을 위해 운영되는 개인정보파일로서 지속적 관리 필요성이 낮은 개인정보파일 · 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는개인정보파일 · 그 밖에 일회적 업무 처리만을 위해 수집된 개인정보파일로서 저장되거나 기록되지 않는 개인정보파일 | ||
* 5. 다른 법령에 따라 비밀로 분류된 개인정보파일 | * 5. 다른 법령에 따라 비밀로 분류된 개인정보파일 | ||
* 6 | * 6. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일 | ||
* 7. 영상정보처리기기를 통하여 처리되는 개인영상정보파일 | |||
* | * 8. 「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융기관이 금융업무 취급을 위하여 보유하는 개인정보파일 | ||
</div> | |||
* | |||
공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하여야 한다. | |||
*공공기관의 개인정보 보호책임자는 개인정보파일의 보유·파기현황을 주기적으로 조사하여 그 결과를 해당 공공기관의 개인정보 처리방침에 공개(표준 개인정보 보호지침 제61조) | |||
== 증거 자료 == | *개인정보보호위원회는 개인정보파일 등록 현황을 누구든지 쉽게 열람할 수 있도록 인터넷에 공개(개인정보 보호포털, www.privacy.go.kr) | ||
* 개인정보 현황표, 개인정보 흐름표/흐름도 | |||
* 개인정보파일 등록 현황 | ==증거 자료== | ||
* 개인정보파일 관리대장 | |||
* 개인정보 처리방침 | *개인정보 현황표, 개인정보 흐름표/흐름도 | ||
== 결함 사례 == | *개인정보파일 등록 현황 | ||
* 개인정보파일을 홈페이지의 개인정보파일 등록 메뉴를 통하여 목록을 관리하고 있으나, 그 중 일부 홈페이지 서비스와 관련된 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우 | *개인정보파일 관리대장 | ||
* 신규 개인정보파일을 구축한 지 2개월이 경과하였으나, 해당 개인정보파일을 개인정보보호 위원회에 등록하지 않은 경우 | *개인정보 처리방침 | ||
* 개인정보보호위원회에 등록되어 공개된 개인정보파일의 내용(수집하는 개인정보의 항목 등)이 실제 처리하고 있는 개인정보파일 현황과 상이한 경우 | |||
== 같이 보기 == | ==결함 사례== | ||
* [[정보보호 및 개인정보보호관리체계 인증]] | |||
* [[ISMS-P 인증 기준]] | *개인정보파일을 홈페이지의 개인정보파일 등록 메뉴를 통하여 목록을 관리하고 있으나, 그 중 일부 홈페이지 서비스와 관련된 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우 | ||
* [[ISMS-P 인증 기준 세부 점검 항목]] | *신규 개인정보파일을 구축한 지 2개월이 경과하였으나, 해당 개인정보파일을 개인정보보호 위원회에 등록하지 않은 경우 | ||
== 참고 문헌 == | *개인정보보호위원회에 등록되어 공개된 개인정보파일의 내용(수집하는 개인정보의 항목 등)이 실제 처리하고 있는 개인정보파일 현황과 상이한 경우 | ||
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | *공공기관이 임직원의 개인정보파일, 통계법에 따라 수집되는 개인정보파일에 대해 개인정보파일 등록 예외사항에 해당되지 않음에도 불구하고 해당 개인정보파일을 개인정보 보호위원회에 등록하지 않은 경우 | ||
==같이 보기== | |||
*[[정보보호 및 개인정보보호관리체계 인증]] | |||
*[[ISMS-P 인증 기준]] | |||
*[[ISMS-P 인증 기준 세부 점검 항목]] | |||
==참고 문헌== | |||
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.) | |||
Latest revision as of 13:45, 7 February 2024
개요[edit | edit source]
| 항목 | 3.2.1.개인정보 현황관리 |
|---|---|
| 인증기준 | 수집·보유하는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관계기관의 장에게 등록하여야 한다. |
| 주요 확인사항 |
|
세부 설명[edit | edit source]
수집·보유 개인정보 현황의 정기적 관리[edit | edit source]
수집·보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 한다.
- 개인정보처리자(정보통신서비스 제공자)는 수집·보유하고 있는 개인정보의 항목, 보유량, 처리 근거 (동의, 법령 등), 처리목적 및 방법, 보유기간 등을 파악하여 개인정보 현황표, 개인정보 흐름표, 개인정보 흐름도 등을 통하여 기록·관리하여야 함.
- 또한 정기적으로 개인정보 현황을 점검하고 관련 문서를 최신화하여야 함.
공공기관의 개인정보 파일 등록[edit | edit source]
공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하여야 하며, 등록된 사항에 변경이 있는 경우에도 그 내용을 등록하여야 한다.
- 개인정보파일 등록 또는 변경 신청을 받은 개인정보 보호책임자는 등록·변경 사항을 검토하고 그 적정성을 판단한 후 개인정보보호위원회에 60일 이내에 등록
- 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관에 해당 사항(개인정보파일 등록·변경)의 검토 및 적정성 판단을 요청한 후 상위 관리기관의 확인을 받아 개인정보보호위원회에 60일 이내에 등록
- 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관 포함)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙을 따름.
- 다만 「개인정보 보호법」 제32조제2항에 해당하는 개인정보파일은 개인정보보호위원회에 등록하지 않아도 됨.
개인정보보호위원회 등록이 면제되는 개인정보파일(공공기관)
- 1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
- 2. 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일
- 3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
- 4. 일회성으로 운영되는 파일 등 지속적으로 관리할 필요가 낮다고 인정되어 대통령령으로 정하는 개인정보파일 · 회의 참석 수당 지급, 자료·물품의 송부, 금전의 정산 등 단순 업무 수행을 위해 운영되는 개인정보파일로서 지속적 관리 필요성이 낮은 개인정보파일 · 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는개인정보파일 · 그 밖에 일회적 업무 처리만을 위해 수집된 개인정보파일로서 저장되거나 기록되지 않는 개인정보파일
- 5. 다른 법령에 따라 비밀로 분류된 개인정보파일
- 6. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일
- 7. 영상정보처리기기를 통하여 처리되는 개인영상정보파일
- 8. 「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융기관이 금융업무 취급을 위하여 보유하는 개인정보파일
공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하여야 한다.
- 공공기관의 개인정보 보호책임자는 개인정보파일의 보유·파기현황을 주기적으로 조사하여 그 결과를 해당 공공기관의 개인정보 처리방침에 공개(표준 개인정보 보호지침 제61조)
- 개인정보보호위원회는 개인정보파일 등록 현황을 누구든지 쉽게 열람할 수 있도록 인터넷에 공개(개인정보 보호포털, www.privacy.go.kr)
증거 자료[edit | edit source]
- 개인정보 현황표, 개인정보 흐름표/흐름도
- 개인정보파일 등록 현황
- 개인정보파일 관리대장
- 개인정보 처리방침
결함 사례[edit | edit source]
- 개인정보파일을 홈페이지의 개인정보파일 등록 메뉴를 통하여 목록을 관리하고 있으나, 그 중 일부 홈페이지 서비스와 관련된 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우
- 신규 개인정보파일을 구축한 지 2개월이 경과하였으나, 해당 개인정보파일을 개인정보보호 위원회에 등록하지 않은 경우
- 개인정보보호위원회에 등록되어 공개된 개인정보파일의 내용(수집하는 개인정보의 항목 등)이 실제 처리하고 있는 개인정보파일 현황과 상이한 경우
- 공공기관이 임직원의 개인정보파일, 통계법에 따라 수집되는 개인정보파일에 대해 개인정보파일 등록 예외사항에 해당되지 않음에도 불구하고 해당 개인정보파일을 개인정보 보호위원회에 등록하지 않은 경우
같이 보기[edit | edit source]
참고 문헌[edit | edit source]
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
