ISMS-P 인증 기준 1.4.1.법적 요구사항 준수 검토: Difference between revisions
From IT Wiki
No edit summary |
No edit summary |
||
| Line 20: | Line 20: | ||
==세부 설명== | ==세부 설명== | ||
==== 법정 요구사항 파악 및 최신성 유지 ==== | |||
조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하여야 한다. | |||
< | *조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법규 파악 | ||
<blockquote>'''※ 정보보호 및 개인정보보호 관련 법률(예시)''' | |||
*정보통신망 이용촉진 및 정보보호 등에 관한 법률 | *정보통신망 이용촉진 및 정보보호 등에 관한 법률 | ||
*개인정보 보호법 | *개인정보 보호법 | ||
| Line 40: | Line 40: | ||
*소프트웨어 진흥법 | *소프트웨어 진흥법 | ||
*통신비밀보호법 | *통신비밀보호법 | ||
*전기통신사업법 등</ | *전기통신사업법 등 | ||
</blockquote> | |||
==== 관련 법류 제·개정 모니터링 ==== | |||
관련 법규의 제·개정 현황을 지속적으로 모니터링하여 제·개정이 이루어질 경우 조직에 미치는 영향을 분석하고 필요시 내부 정책·지침 및 체크리스트 등에 반영하여 최신성 유지 | |||
*[참고] [[개인정보 손해배상 책임보험|개인정보 손해배상 책임보장 제도]] | |||
*[참고] [[정보보호 공시 제도]] | |||
*법적 요구사항의 준수 여부를 연 1회 이상 정기적으로 검토하여야 한다. | *법적 요구사항의 준수 여부를 연 1회 이상 정기적으로 검토하여야 한다. | ||
**법적 요구사항의 준수 여부를 정기적으로 검토할 수 있는 절차 수립(검토 주기, 대상, 담당자, 방법 등)및 이행 | **법적 요구사항의 준수 여부를 정기적으로 검토할 수 있는 절차 수립(검토 주기, 대상, 담당자, 방법 등)및 이행 | ||
| Line 64: | Line 68: | ||
*개인정보 보호법에 따라 개인정보 손해배상책임 보장제도 적용 대상이 되었으나, 이를 인지하지 못하여 보험 가입이나 준비금 적립을 하지 않은 경우 또는 보험 가입을 하였으나, 이용자 수 및 매출액에 따른 최저가입금액 기준을 준수하지 못한 경우 | *개인정보 보호법에 따라 개인정보 손해배상책임 보장제도 적용 대상이 되었으나, 이를 인지하지 못하여 보험 가입이나 준비금 적립을 하지 않은 경우 또는 보험 가입을 하였으나, 이용자 수 및 매출액에 따른 최저가입금액 기준을 준수하지 못한 경우 | ||
*정보보호 공시 의무대상 사업자이지만 법에 정한 시점 내에 정보보호 공시가 시행되지 않은 경우 | *정보보호 공시 의무대상 사업자이지만 법에 정한 시점 내에 정보보호 공시가 시행되지 않은 경우 | ||
== 관련 기준 == | |||
'''[[ISMS-P 인증 기준 1.4.2.관리체계 점검|1.4.2.관리체계 점검]]''' | |||
* 관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다. | |||
'''[[ISMS-P 인증 기준 1.4.3.관리체계 개선|1.4.3.관리체계 개선]]''' | |||
* 법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립·이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다. | |||
==같이 보기== | ==같이 보기== | ||
Revision as of 10:24, 15 July 2022
- 영역: 1.관리체계 수립 및 운영
- 분류: 1.4.관리체계 점검 및 개선
개요
| 항목 | 1.4.1.법적 요구사항 준수 검토 |
|---|---|
| 인증기준 | 조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다. |
| 주요 확인사항 |
|
세부 설명
법정 요구사항 파악 및 최신성 유지
조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하여야 한다.
- 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법규 파악
※ 정보보호 및 개인정보보호 관련 법률(예시)
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률
- 개인정보 보호법
- 신용정보의 이용 및 보호에 관한 법률
- 위치정보의 보호 및 이용 등에 관한 법률
- 전자금융거래법
- 전자상거래 등에서의 소비자보호에 관한 법률
- 저작권법
- 정보통신기반 보호법
- 전자서명법
- 산업기술의 유출방지 및 보호에 관한 법률
- 부정경쟁방지 및 영업비밀보호에 관한 법률
- 정보보호산업의 진흥에 관한 법률
- 클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률
- 전자정부법
- 소프트웨어 진흥법
- 통신비밀보호법
- 전기통신사업법 등
관련 법류 제·개정 모니터링
관련 법규의 제·개정 현황을 지속적으로 모니터링하여 제·개정이 이루어질 경우 조직에 미치는 영향을 분석하고 필요시 내부 정책·지침 및 체크리스트 등에 반영하여 최신성 유지
- [참고] 개인정보 손해배상 책임보장 제도
- [참고] 정보보호 공시 제도
- 법적 요구사항의 준수 여부를 연 1회 이상 정기적으로 검토하여야 한다.
- 법적 요구사항의 준수 여부를 정기적으로 검토할 수 있는 절차 수립(검토 주기, 대상, 담당자, 방법 등)및 이행
- 법적 요구사항 준수 검토 결과 발견된 문제점에 대하여 신속하게 개선조치
증거 자료
- 법적 준거성 검토 내역
- 정보보호 및 개인정보보호 정책/지침 검토 및 개정이력
- 정책/지침 신구대조표
- 법 개정사항 내부공유 자료
- 개인정보 손해배상 책임보장 입증 자료(사이버보험 약정서 등)
- 정보보호 공시 내역
결함 사례
- 정보통신망법 및 개인정보 보호법이 최근 개정되었으나 개정사항이 조직에 미치는 영향을 검토하지 않았으며, 정책서 및 시행문서에도 해당 내용을 반영하지 않아 정책서 및 시행문서 내용이 법령 내용과 일치하지 않은 경우
- 조직에서 준수하여야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 1년 이상 수행하지 않은 경우
- 법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 개인정보 보호법 등 법규 위반 사항이 다수 발견된 경우
- 개인정보 보호법에 따라 개인정보 손해배상책임 보장제도 적용 대상이 되었으나, 이를 인지하지 못하여 보험 가입이나 준비금 적립을 하지 않은 경우 또는 보험 가입을 하였으나, 이용자 수 및 매출액에 따른 최저가입금액 기준을 준수하지 못한 경우
- 정보보호 공시 의무대상 사업자이지만 법에 정한 시점 내에 정보보호 공시가 시행되지 않은 경우
관련 기준
- 관리체계가 내부 정책 및 법적 요구사항에 따라 효과적으로 운영되고 있는지 독립성과 전문성이 확보된 인력을 구성하여 연 1회 이상 점검하고, 발견된 문제점을 경영진에게 보고하여야 한다.
- 법적 요구사항 준수검토 및 관리체계 점검을 통해 식별된 관리체계상의 문제점에 대한 원인을 분석하고 재발방지 대책을 수립·이행하여야 하며, 경영진은 개선 결과의 정확성과 효과성 여부를 확인하여야 한다.
같이 보기
참고 문헌
- 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
