ISMS-P 인증 기준 2.9.7.정보자산의 재사용 및 폐기: Difference between revisions

From IT위키
(Imported from text file)
No edit summary
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.9.시스템 및 서비스 운영관리|2.9.시스템 및 서비스 운영관리]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.9.시스템 및 서비스 운영관리|2.9.시스템 및 서비스 운영관리]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.9.7.정보자산의 재사용 및 폐기
!2.9.7.정보자산의 재사용 및 폐기
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구·재생되지 않도록 안전한 재사용 및 폐기 절차를 수립·이행하여야 한다.
|정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구·재생되지 않도록 안전한 재사용 및 폐기 절차를 수립·이행하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립‧이행하고 있는가?
*정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립‧이행하고 있는가?
* 정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보를 복구되지 않는 방법으로 처리하고 있는가?
*정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보를 복구되지 않는 방법으로 처리하고 있는가?
* 자체적으로 정보자산 및 저장매체를 폐기할 경우 관리대장을 통해 폐기이력을 남기고 폐기확인 증적을 함께 보관하고 있는가?
*자체적으로 정보자산 및 저장매체를 폐기할 경우 관리대장을 통해 폐기이력을 남기고 폐기확인 증적을 함께 보관하고 있는가?
* 외부업체를 통해 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고 완전히 폐기했는지 여부를 확인하고 있는가?
*외부업체를 통해 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고 완전히 폐기했는지 여부를 확인하고 있는가?
* 정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하고 있는가?
*정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 정보자산의 재사용 및 폐기 절차 수립·이행 ====
정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립·이행하여야 한다.
 
*정보자산 재사용 절차: 데이터 초기화 방법, 재사용 프로세스 등
*정보자산 폐기 절차: 폐기 방법, 폐기 프로세스(승인 등), 폐기 확인, 폐기관리대장 기록 등
 
==== 안전한 정보자산 재사용 및 폐기 ====
정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보가 '''복구되지 않는 방법'''으로 처리하여야 한다.
 
*개인정보를 파기할 때에는 법령에 따라 복구·재생되지 않도록 안전하게 폐기 필요
 
<blockquote>※ 복원이 불가능한 파기 방법(예시)
 
*1. 완전파괴(소각·파쇄 등)
*2. 전용 소자장비(디가우저)를 이용하여 삭제
*3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
</blockquote>
 
*ʻ복원이 불가능한 방법ʼ이란 현재의 기술 수준에서 사회통념상 적정한 비용으로 파기한 개인정보의 복원이 불가능하도록 조치하는 방법을 말함(표준 개인정보 보호지침 제10조).
 
==== 정보자산 폐기 기록 및 증적 보관 ====
자체적으로 정보자산 및 저장매체를 폐기할 경우 다음 내용이 포함된 관리대장을 통하여 폐기이력을 남기고 폐기확인 증적을 함께 보관하여야 한다.
 
*폐기 일자
*폐기 담당자, 확인자명
*폐기 방법
*폐기확인 증적(사진 등) 등
 
==== 외주를 통한 정보자산 폐기 절차 ====
외부업체를 통하여 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고, 해당 절차에 따라 완전히 폐기되었는지 확인하여야 한다.
 
*폐기 절차 및 보호대책, 책임소재 등에 대하여 계약서에 반영
*계약서에 반영된 폐기 절차에 따라 이행되고 있는지 사진촬영, 실사 등의 이행 증적 확인
 
==== 저장매체 교체·복구 시 보호대책 마련 ====
정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하여야 한다.
 
*유지보수 신청 전 데이터 이관 및 파기
*데이터 암호화
*계약 시 비밀유지 서약
*데이터 완전삭제 또는 저장매체 완전파기 조치 등
 
==증거 자료==
 
*정보자산 폐기 및 재사용 절차
*저장매체 관리대장
*정보자산 및 저장매체 폐기증적
*정보자산 및 저장매체 파기 관련 위탁계약서
 
==결함 사례==
 
*개인정보취급자 PC를 재사용할 경우 데이터 삭제프로그램을 이용하여 완전삭제하도록 정책 및 절차가 수립되어 있으나, 실제로는 완전삭제 조치 없이 재사용하거나 기본 포맷만 하고 재사용하고 있는 등 관련 절차가 이행되고 있지 않은 경우
*외부업체를 통하여 저장매체를 폐기하고 있으나, 계약 내용상 안전한 폐기 절차 및 보호대책에 대한 내용이 누락되어 있고 폐기 이행 증적 확인 및 실사 등의 관리·감독이 이루어지지 않은 경우
*폐기된 HDD의 일련번호가 아닌 시스템명을 기록하거나 폐기 대장을 작성하지 않아 폐기 이력 및 추적할 수 있는 증적을 확인할 수 없는 경우
*회수한 폐기 대상 하드디스크가 완전 삭제되지 않은 상태로 잠금장치가 되지 않은 장소에 방치되고 있는 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립·이행하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 정보자산 재사용 절차 : 데이터 초기화 방법, 재사용 프로세스 등
** 정보자산 폐기 절차 : 폐기 방법, 폐기 프로세스(승인 등), 폐기 확인, 폐기관리대장 기록 등
* 정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보가 복구되지 않는 방법으로 처리하여야 한다.
** 개인정보를 파기할 때에는 법령에 따라 복구·재생되지 않도록 안전하게 폐기 필요
<div style='padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px'>
* ※ 복원이 불가능한 파기 방법(예시)
* 1. 완전파괴(소각·파쇄 등)
* 2. 전용 소자장비(디가우저)를 이용하여 삭제
* 3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행</div>
** ʻ복원이 불가능한 방법ʼ이란 현재의 기술 수준에서 사회통념상 적정한 비용으로 파기한 개인정보의 복원이 불가능하도록 조치하는 방법을 말함(표준 개인정보 보호지침 제10조).
* 자체적으로 정보자산 및 저장매체를 폐기할 경우 다음 내용이 포함된 관리대장을 통하여 폐기이력을 남기고 폐기확인 증적을 함께 보관하여야 한다.
** 폐기 일자
** 폐기 담당자, 확인자명
** 폐기 방법
** 폐기확인 증적(사진 등) 등
* 외부업체를 통하여 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고, 해당 절차에 따라 완전히 폐기되었는지 확인하여야 한다.
** 폐기 절차 및 보호대책, 책임소재 등에 대하여 계약서에 반영
** 계약서에 반영된 폐기 절차에 따라 이행되고 있는지 사진촬영, 실사 등의 이행 증적 확인
* 정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하여야 한다.
** 유지보수 신청 전 데이터 이관 및 파기
** 데이터 암호화
** 계약 시 비밀유지 서약
** 데이터 완전삭제 또는 저장매체 완전파기 조치 등
== 증거 자료 ==
* 정보자산 폐기 및 재사용 절차
* 저장매체 관리대장
* 정보자산 및 저장매체 폐기증적
* 정보자산 및 저장매체 파기 관련 위탁계약서
== 결함 사례 ==
* 개인정보취급자 PC를 재사용할 경우 데이터 삭제프로그램을 이용하여 완전삭제하도록 정책 및 절차가 수립되어 있으나, 실제로는 완전삭제 조치 없이 재사용하거나 기본 포맷만 하고 재사용하고 있는 등 관련 절차가 이행되고 있지 않은 경우
* 외부업체를 통하여 저장매체를 폐기하고 있으나, 계약 내용상 안전한 폐기 절차 및 보호대책에 대한 내용이 누락되어 있고 폐기 이행 증적 확인 및 실사 등의 관리·감독이 이루어지지 않은 경우
* 폐기된 HDD의 일련번호가 아닌 시스템명을 기록하거나 폐기 대장을 작성하지 않아 폐기 이력 및 추적할 수 있는 증적을 확인할 수 없는 경우
* 회수한 폐기 대상 하드디스크가 완전 삭제되지 않은 상태로 잠금장치가 되지 않은 장소에 방치되고 있는 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Revision as of 16:56, 29 June 2022

분류: ISMS-P 인증 기준

개요

항목 2.9.7.정보자산의 재사용 및 폐기
인증기준 정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구·재생되지 않도록 안전한 재사용 및 폐기 절차를 수립·이행하여야 한다.
주요 확인사항
  • 정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립‧이행하고 있는가?
  • 정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보를 복구되지 않는 방법으로 처리하고 있는가?
  • 자체적으로 정보자산 및 저장매체를 폐기할 경우 관리대장을 통해 폐기이력을 남기고 폐기확인 증적을 함께 보관하고 있는가?
  • 외부업체를 통해 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고 완전히 폐기했는지 여부를 확인하고 있는가?
  • 정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하고 있는가?

세부 설명

정보자산의 재사용 및 폐기 절차 수립·이행

정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립·이행하여야 한다.

  • 정보자산 재사용 절차: 데이터 초기화 방법, 재사용 프로세스 등
  • 정보자산 폐기 절차: 폐기 방법, 폐기 프로세스(승인 등), 폐기 확인, 폐기관리대장 기록 등

안전한 정보자산 재사용 및 폐기

정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보가 복구되지 않는 방법으로 처리하여야 한다.

  • 개인정보를 파기할 때에는 법령에 따라 복구·재생되지 않도록 안전하게 폐기 필요

※ 복원이 불가능한 파기 방법(예시)

  • 1. 완전파괴(소각·파쇄 등)
  • 2. 전용 소자장비(디가우저)를 이용하여 삭제
  • 3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
  • ʻ복원이 불가능한 방법ʼ이란 현재의 기술 수준에서 사회통념상 적정한 비용으로 파기한 개인정보의 복원이 불가능하도록 조치하는 방법을 말함(표준 개인정보 보호지침 제10조).

정보자산 폐기 기록 및 증적 보관

자체적으로 정보자산 및 저장매체를 폐기할 경우 다음 내용이 포함된 관리대장을 통하여 폐기이력을 남기고 폐기확인 증적을 함께 보관하여야 한다.

  • 폐기 일자
  • 폐기 담당자, 확인자명
  • 폐기 방법
  • 폐기확인 증적(사진 등) 등

외주를 통한 정보자산 폐기 절차

외부업체를 통하여 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고, 해당 절차에 따라 완전히 폐기되었는지 확인하여야 한다.

  • 폐기 절차 및 보호대책, 책임소재 등에 대하여 계약서에 반영
  • 계약서에 반영된 폐기 절차에 따라 이행되고 있는지 사진촬영, 실사 등의 이행 증적 확인

저장매체 교체·복구 시 보호대책 마련

정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하여야 한다.

  • 유지보수 신청 전 데이터 이관 및 파기
  • 데이터 암호화
  • 계약 시 비밀유지 서약
  • 데이터 완전삭제 또는 저장매체 완전파기 조치 등

증거 자료

  • 정보자산 폐기 및 재사용 절차
  • 저장매체 관리대장
  • 정보자산 및 저장매체 폐기증적
  • 정보자산 및 저장매체 파기 관련 위탁계약서

결함 사례

  • 개인정보취급자 PC를 재사용할 경우 데이터 삭제프로그램을 이용하여 완전삭제하도록 정책 및 절차가 수립되어 있으나, 실제로는 완전삭제 조치 없이 재사용하거나 기본 포맷만 하고 재사용하고 있는 등 관련 절차가 이행되고 있지 않은 경우
  • 외부업체를 통하여 저장매체를 폐기하고 있으나, 계약 내용상 안전한 폐기 절차 및 보호대책에 대한 내용이 누락되어 있고 폐기 이행 증적 확인 및 실사 등의 관리·감독이 이루어지지 않은 경우
  • 폐기된 HDD의 일련번호가 아닌 시스템명을 기록하거나 폐기 대장을 작성하지 않아 폐기 이력 및 추적할 수 있는 증적을 확인할 수 없는 경우
  • 회수한 폐기 대상 하드디스크가 완전 삭제되지 않은 상태로 잠금장치가 되지 않은 장소에 방치되고 있는 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)