ISMS-P 인증 기준 3.2.1.개인정보 현황관리: 두 판 사이의 차이

IT위키
편집 요약 없음
편집 요약 없음
20번째 줄: 20번째 줄:
==세부 설명==
==세부 설명==


==== 수집·보유 개인정보 현황의 정기적 관리 ====
====수집·보유 개인정보 현황의 정기적 관리====
수집·보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 한다.
수집·보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 한다.


26번째 줄: 26번째 줄:
*또한 정기적으로 개인정보 현황을 점검하고 '''관련 문서를 최신화'''하여야 함.
*또한 정기적으로 개인정보 현황을 점검하고 '''관련 문서를 최신화'''하여야 함.


==== 공공기관의 개인정보 파일 등록 ====
====공공기관의 개인정보 파일 등록====
공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하여야 하며, 등록된 사항에 변경이 있는 경우에도 그 내용을 등록하여야 한다.
공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하여야 하며, 등록된 사항에 변경이 있는 경우에도 그 내용을 등록하여야 한다.


33번째 줄: 33번째 줄:
*[[헌법기관|국회, 법원, 헌법재판소, 중앙선거관리위원회]](그 소속 기관 포함)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙을 따름.
*[[헌법기관|국회, 법원, 헌법재판소, 중앙선거관리위원회]](그 소속 기관 포함)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙을 따름.
*다만 「개인정보 보호법」 제32조제2항에 해당하는 개인정보파일은 개인정보보호위원회에 등록하지 않아도 됨.<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">'''개인정보보호위원회 등록이 면제되는 개인정보파일(공공기관)'''
*다만 「개인정보 보호법」 제32조제2항에 해당하는 개인정보파일은 개인정보보호위원회에 등록하지 않아도 됨.<div style="padding:5px 10px; border:1px solid  #ddd; background:#f5f5f5; margin:5px">'''개인정보보호위원회 등록이 면제되는 개인정보파일(공공기관)'''
*1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
* 1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
*2. 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일
* 2. 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일
*3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
* 3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
*4. 공공기관의 내부 업무처리만을 위하여 사용되는 개인정보파일
* 4. 공공기관의 내부 업무처리만을 위하여 사용되는 개인정보파일
*5. 다른 법령에 따라 비밀로 분류된 개인정보파일
* 5. 다른 법령에 따라 비밀로 분류된 개인정보파일
*6. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보파일
* 6. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보파일
*7. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일
* 7. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일
*8. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일
* 8. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일
*9. 영상정보처리기기를 통하여 처리되는 개인영상정보파일
* 9. 영상정보처리기기를 통하여 처리되는 개인영상정보파일
*10. 자료·물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보파일1* 1. 「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융기관이 금융업무 취급을 위하여 보유하는 개인정보파일</div>
* 10. 자료·물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보파일1* 1. 「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융기관이 금융업무 취급을 위하여 보유하는 개인정보파일
 


공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하여야 한다.
공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하여야 한다.

2022년 6월 24일 (금) 21:01 판


개요

항목 3.2.1.개인정보 현황관리
인증기준 수집·보유하는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관계기관의 장에게 등록하여야 한다.
주요 확인사항
  • 수집·보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하고 있는가?
  • 공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하고 있는가?
  • 공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하고 있는가?

세부 설명

수집·보유 개인정보 현황의 정기적 관리

수집·보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 한다.

  • 개인정보처리자(정보통신서비스 제공자)는 수집·보유하고 있는 개인정보의 항목, 보유량, 처리 근거 (동의, 법령 등), 처리목적 및 방법, 보유기간 등을 파악하여 개인정보 현황표, 개인정보 흐름표, 개인정보 흐름도 등을 통하여 기록·관리하여야 함.
  • 또한 정기적으로 개인정보 현황을 점검하고 관련 문서를 최신화하여야 함.

공공기관의 개인정보 파일 등록

공공기관이 개인정보파일을 운용하거나 변경하는 경우 관련된 사항을 법률에서 정한 관계기관의 장에게 등록하여야 하며, 등록된 사항에 변경이 있는 경우에도 그 내용을 등록하여야 한다.

  • 개인정보파일 등록 또는 변경 신청을 받은 개인정보 보호책임자는 등록·변경 사항을 검토하고 그 적정성을 판단한 후 개인정보보호위원회에 60일 이내에 등록
  • 중앙행정기관 및 지방자치단체의 소속기관, 기타 공공기관은 상위 관리기관에 해당 사항(개인정보파일 등록·변경)의 검토 및 적정성 판단을 요청한 후 상위 관리기관의 확인을 받아 개인정보보호위원회에 60일 이내에 등록
  • 국회, 법원, 헌법재판소, 중앙선거관리위원회(그 소속 기관 포함)의 개인정보파일 등록 및 공개에 관하여는 국회규칙, 대법원규칙, 헌법재판소규칙 및 중앙선거관리위원회규칙을 따름.
  • 다만 「개인정보 보호법」 제32조제2항에 해당하는 개인정보파일은 개인정보보호위원회에 등록하지 않아도 됨.
    개인정보보호위원회 등록이 면제되는 개인정보파일(공공기관)
  • 1. 국가 안전, 외교상 비밀, 그 밖에 국가의 중대한 이익에 관한 사항을 기록한 개인정보파일
  • 2. 범죄 수사, 공소 제기 및 유지, 형 및 감호 집행, 교정 처분, 보호처분, 보안관찰처분과 출입국 관리에 관한 사항을 기록한 개인정보파일
  • 3. 「조세범처벌법」에 따른 범칙행위 조사 및 「관세법」에 따른 범칙행위 조사에 관한 사항을 기록한 개인정보파일
  • 4. 공공기관의 내부 업무처리만을 위하여 사용되는 개인정보파일
  • 5. 다른 법령에 따라 비밀로 분류된 개인정보파일
  • 6. 공공기관이 처리하는 개인정보 중 「통계법」에 따라 수집되는 개인정보파일
  • 7. 국가안전보장과 관련된 정보 분석을 목적으로 수집 또는 제공 요청되는 개인정보파일
  • 8. 공중위생 등 공공의 안전과 안녕을 위하여 긴급히 필요한 경우로서 일시적으로 처리되는 개인정보파일
  • 9. 영상정보처리기기를 통하여 처리되는 개인영상정보파일
  • 10. 자료·물품 또는 금전의 송부, 1회성 행사 수행 등의 목적만을 위하여 운용하는 경우로서 저장하거나 기록하지 않고 폐기할 목적으로 수집된 개인정보파일1* 1. 「금융실명거래 및 비밀보장에 관한 법률」에 따른 금융기관이 금융업무 취급을 위하여 보유하는 개인정보파일

공공기관은 개인정보파일의 보유 현황을 개인정보 처리방침에 공개하여야 한다.

  • 공공기관의 개인정보 보호책임자는 개인정보파일의 보유·파기현황을 주기적으로 조사하여 그 결과를 해당 공공기관의 개인정보 처리방침에 공개(표준 개인정보 보호지침 제61조)
  • 개인정보보호위원회는 개인정보파일 등록 현황을 누구든지 쉽게 열람할 수 있도록 인터넷에 공개(개인정보 보호포털, www.privacy.go.kr)

증거 자료

  • 개인정보 현황표, 개인정보 흐름표/흐름도
  • 개인정보파일 등록 현황
  • 개인정보파일 관리대장
  • 개인정보 처리방침

결함 사례

  • 개인정보파일을 홈페이지의 개인정보파일 등록 메뉴를 통하여 목록을 관리하고 있으나, 그 중 일부 홈페이지 서비스와 관련된 개인정보파일의 내용이 개인정보 처리방침에 누락되어 있는 경우
  • 신규 개인정보파일을 구축한 지 2개월이 경과하였으나, 해당 개인정보파일을 개인정보보호 위원회에 등록하지 않은 경우
  • 개인정보보호위원회에 등록되어 공개된 개인정보파일의 내용(수집하는 개인정보의 항목 등)이 실제 처리하고 있는 개인정보파일 현황과 상이한 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
원본 주소 "https://itwiki.kr/index.php?title=ISMS-P_인증_기준_3.2.1.개인정보_현황관리&oldid=31559"