ISMS-P 인증 기준 2.11.5.사고 대응 및 복구

From IT Wiki
(diff) ← Older revision | Latest revision (diff) | Newer revision → (diff)


개요

항목 2.11.5.사고 대응 및 복구
인증기준 침해사고 및 개인정보 유출 징후나 발생을 인지한 때에는 법적 통지 및 신고 의무를 준수하여야 하며, 절차에 따라 신속하게 대응 및 복구하고 사고분석 후 재발방지 대책을 수립하여 대응체계에 반영하여야 한다.
주요 확인사항
  • 침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우 정의된 침해사고 대응절차에 따라 신속하게 대응 및 보고가 이루어지고 있는가?
  • 개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하고 있는가?
  • 침해사고가 종결된 후 사고의 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하고 있는가?
  • 침해사고 분석을 통해 얻어진 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하고 있는가?

세부 설명

사고 발생 인지 후 신속한 대응·보고

침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우 정의된 침해사고 대응절차에 따라 신속하게 대응 및 보고가 이루어져야 한다.

  • 침해사고 초기 대응 및 증거 보존 조치
    • 침해가 의심되는 정보시스템의 접속권한 삭제·변경 또는 접속차단 조치
    • 네트워크, 방화벽 등 대내외 시스템 보안점검 및 취약점 보완 조치
    • 사고 조사에 필요한 외부의 접속기록 등 증거 보존 조치
    • 로그 분석 등을 통한 개인정보 및 중요정보 유출 여부 확인 등
  • 다음 사항을 포함한 침해사고보고서 작성 및 내부 보고
    • 침해사고 발생일시
    • 보고자와 보고일시
    • 사고내용(발견사항, 피해내용 등)
    • 사고대응 경과 내용
    • 사고대응까지의 소요시간 등
  • 침해사고가 조직에 미치는 영향이 심각할 경우 보고절차에 따라 최고경영진까지 신속히 보고

개인정보 침해사고 발생 시 통지 및 신고

개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하여야 한다.

  • 개인정보 유출 시 정보주체(이용자)에게 알려야 할 사항
개인정보처리자 정보통신서비스 제공자
* 1. 유출된 개인정보의 항목
* 2. 유출된 시점과 그 경위
* 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
* 4. 개인정보처리자의 대응조치 및 피해 구제절차
* 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
* 1. 유출 등이 된 개인정보 항목
* 2. 유출 등이 발생한 시점
* 3. 이용자가 취할 수 있는 조치
* 4. 정보통신서비스 제공자 등의 대응 조치
* 5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
  • 개인정보 유출 신고 기준
구분 개인정보처리자 정보통신서비스 제공자
신고 대상 건수 1천 명 이상 정보주체에 관한 개인정보 유출 시 유출 건수와 무관
신고 시점 지체 없이(5일 이내) 정당한 사유가 없는 한 그 사실을 안 때부터 24시간 이내
신고 기관 개인정보보호위원회 또는 KISA

사고 처리 종결 후 분석 및 공유

침해사고가 종결된 후 사고 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하여야 한다.

  • 침해사고가 처리되고 종결된 후 이에 대한 사고 원인에 대한 분석을 수행하고 결과보고서를 작성하여 책임자에게 보고
  • 침해사고 정보와 발견된 취약점 및 원인, 조치방안 등을 관련 조직 및 인력에게 공유

재발 방지 대책 수립

침해사고 분석을 통하여 얻은 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하여야 한다.

  • 침해사고 분석을 통하여 얻은 정보를 활용하여 유사 사고가 반복되지 않도록 하는 재발방지 대책 수립
  • 분석된 결과에 따라 필요한 경우 침해사고 대응절차, 정보보호 정책 및 절차 등 침해사고 대응체계에 대한 변경 수행

증거 자료

  • 침해사고 대응 절차
  • 침해사고 대응보고서
  • 침해사고 관리대장
  • 개인정보 유출신고서
  • 비상연락망

결함 사례

  • 내부 침해사고 대응지침에는 침해사고 발생 시 개인정보보호위원회 및 이해관계 부서에게 보고하도록 정하고 있으나, 침해사고 발생 시 담당 부서에서 자체적으로 대응 조치 후 정보보호위원회 및 이해관계 부서에 보고하지 않은 경우
  • 최근 DDoS 공격으로 의심되는 침해사고로 인하여 서비스 일부가 중단된 사례가 있으나, 이에 대한 원인분석 및 재발방지 대책이 수립되지 않은 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)