ISMS-P 인증 기준 2.11.5.사고 대응 및 복구

• 영역: 2.보호대책 요구사항
• 분류: 2.11.사고 예방 및 대응

개요[편집 | 원본 편집]

항목	2.11.5.사고 대응 및 복구
인증기준	침해사고 및 개인정보 유출 징후나 발생을 인지한 때에는 법적 통지 및 신고 의무를 준수하여야 하며, 절차에 따라 신속하게 대응 및 복구하고 사고분석 후 재발방지 대책을 수립하여 대응체계에 반영하여야 한다.
주요 확인사항	침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우 정의된 침해사고 대응절차에 따라 신속하게 대응 및 보고가 이루어지고 있는가? 개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하고 있는가? 침해사고가 종결된 후 사고의 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하고 있는가? 침해사고 분석을 통해 얻어진 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하고 있는가?

세부 설명[편집 | 원본 편집]

사고 발생 인지 후 신속한 대응·보고[편집 | 원본 편집]

침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우 정의된 침해사고 대응절차에 따라 신속하게 대응 및 보고가 이루어져야 한다.

• 침해사고 초기 대응 및 증거 보존 조치
  • 침해가 의심되는 정보시스템의 접속권한 삭제·변경 또는 접속차단 조치
  • 네트워크, 방화벽 등 대내외 시스템 보안점검 및 취약점 보완 조치
  • 사고 조사에 필요한 외부의 접속기록 등 증거 보존 조치
  • 로그 분석 등을 통한 개인정보 및 중요정보 유출 여부 확인 등
• 다음 사항을 포함한 침해사고보고서 작성 및 내부 보고
  • 침해사고 발생일시
  • 보고자와 보고일시
  • 사고내용(발견사항, 피해내용 등)
  • 사고대응 경과 내용
  • 사고대응까지의 소요시간 등
• 침해사고가 조직에 미치는 영향이 심각할 경우 보고절차에 따라 최고경영진까지 신속히 보고

개인정보 침해사고 발생 시 통지 및 신고[편집 | 원본 편집]

개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하여야 한다.

• 개인정보 유출 시 정보주체(이용자)에게 알려야 할 사항

개인정보처리자	정보통신서비스 제공자
* 1. 유출된 개인정보의 항목 * 2. 유출된 시점과 그 경위 * 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보 * 4. 개인정보처리자의 대응조치 및 피해 구제절차 * 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처	* 1. 유출 등이 된 개인정보 항목 * 2. 유출 등이 발생한 시점 * 3. 이용자가 취할 수 있는 조치 * 4. 정보통신서비스 제공자 등의 대응 조치 * 5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처

• 개인정보 유출 신고 기준

구분	개인정보처리자	정보통신서비스 제공자
신고 대상 건수	1천 명 이상 정보주체에 관한 개인정보 유출 시	유출 건수와 무관
신고 시점	지체 없이(5일 이내)	정당한 사유가 없는 한 그 사실을 안 때부터 24시간 이내
신고 기관	개인정보보호위원회 또는 KISA

사고 처리 종결 후 분석 및 공유[편집 | 원본 편집]

침해사고가 종결된 후 사고 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하여야 한다.

• 침해사고가 처리되고 종결된 후 이에 대한 사고 원인에 대한 분석을 수행하고 결과보고서를 작성하여 책임자에게 보고
• 침해사고 정보와 발견된 취약점 및 원인, 조치방안 등을 관련 조직 및 인력에게 공유

재발 방지 대책 수립[편집 | 원본 편집]

침해사고 분석을 통하여 얻은 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하여야 한다.

• 침해사고 분석을 통하여 얻은 정보를 활용하여 유사 사고가 반복되지 않도록 하는 재발방지 대책 수립
• 분석된 결과에 따라 필요한 경우 침해사고 대응절차, 정보보호 정책 및 절차 등 침해사고 대응체계에 대한 변경 수행

증거 자료[편집 | 원본 편집]

• 침해사고 대응 절차
• 침해사고 대응보고서
• 침해사고 관리대장
• 개인정보 유출신고서
• 비상연락망

결함 사례[편집 | 원본 편집]

• 내부 침해사고 대응지침에는 침해사고 발생 시 개인정보보호위원회 및 이해관계 부서에게 보고하도록 정하고 있으나, 침해사고 발생 시 담당 부서에서 자체적으로 대응 조치 후 정보보호위원회 및 이해관계 부서에 보고하지 않은 경우
• 최근 DDoS 공격으로 의심되는 침해사고로 인하여 서비스 일부가 중단된 사례가 있으나, 이에 대한 원인분석 및 재발방지 대책이 수립되지 않은 경우

같이 보기[편집 | 원본 편집]

• 정보보호 및 개인정보보호관리체계 인증
• ISMS-P 인증 기준
• ISMS-P 인증 기준 세부 점검 항목

참고 문헌[편집 | 원본 편집]

• 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)