⑥ IT 자격증/ISMS-P 인증심사원

ISMS-P 개인정보보호 결함보고서 예시 (3.1.1 ~ 3.5.3)

->^_^<- 2025. 9. 30. 23:58
반응형

 

3.1.1 개인정보 수집 동의

  • 결함유형: 동의서 양식 미비
  • 관련조항: ISMS-P 3.1.1 (개인정보 수집 동의)
  • 관련근거: 「개인정보보호법」 제15조, 제17조
  • 운영현황 및 결함내역:
    • 운영현황: 온라인 회원가입 시 개인정보 수집 동의서에 선택적 수집항목 구분이 없음
    • 결함내역: 필수·선택 항목 구분 미흡으로 위법 소지 존재
    • 조치사항: 동의서 개정(필수/선택 항목 명확화), 시스템 반영
  • 근거목록: 개인정보 동의서 양식, 회원가입 화면 캡처

3.1.2 개인정보 최소수집

  • 결함유형: 불필요한 개인정보 수집
  • 관련조항: ISMS-P 3.1.2 (개인정보 최소수집)
  • 관련근거: 「개인정보보호법」 제16조(최소수집 원칙)
  • 운영현황 및 결함내역:
    • 운영현황: 이벤트 응모 시 주민등록번호 수집
    • 결함내역: 목적 대비 과도한 개인정보 수집
    • 조치사항: 불필요 항목 삭제, 대체 식별수단 도입
  • 근거목록: 이벤트 참여양식, 수집항목 현황표

3.1.3 민감정보 및 고유식별정보 처리

  • 결함유형: 고유식별정보 암호화 미흡
  • 관련조항: ISMS-P 3.1.3 (민감정보 및 고유식별정보 처리)
  • 관련근거: 「개인정보보호법」 제24조, 제24조의2
  • 운영현황 및 결함내역:
    • 운영현황: 고객주민번호가 일부 DB에서 평문 저장
    • 결함내역: 암호화 의무 위반 가능성
    • 조치사항: 암호화 적용, 암호화 키 관리체계 구축
  • 근거목록: DB 스키마, 암호화 정책 문서

3.2.1 개인정보 보유 및 이용

  • 결함유형: 보유기간 초과
  • 관련조항: ISMS-P 3.2.1 (개인정보 보유 및 이용)
  • 관련근거: 「개인정보보호법」 제21조(보유기간 준수)
  • 운영현황 및 결함내역:
    • 운영현황: 탈퇴 회원 개인정보를 5년 이상 보유
    • 결함내역: 내부규정(3년) 및 법적 근거 초과 보유
    • 조치사항: 보유기간 초과 데이터 즉시 파기, 자동파기 프로세스 강화
  • 근거목록: 회원DB, 개인정보 보유현황표

3.2.2 개인정보 파기

  • 결함유형: 파기 절차 미준수
  • 관련조항: ISMS-P 3.2.2 (개인정보 파기)
  • 관련근거: 「개인정보보호법」 제21조(파기방법)
  • 운영현황 및 결함내역:
    • 운영현황: 개인정보 파기 시 단순 삭제만 수행
    • 결함내역: 복구 가능성이 있어 완전 파기 미흡
    • 조치사항: 복구 불가능한 파기방식 적용(영구삭제, 물리적 파쇄 등)
  • 근거목록: 파기대장, 로그파일, 파기방법 절차서

3.3.1 개인정보 제공

  • 결함유형: 제3자 제공 동의 미획득
  • 관련조항: ISMS-P 3.3.1 (개인정보 제공)
  • 관련근거: 「개인정보보호법」 제17조
  • 운영현황 및 결함내역:
    • 운영현황: 제휴사 마케팅 활용 시 동의서 미획득
    • 결함내역: 제3자 제공 동의 위반 소지
    • 조치사항: 제3자 제공 동의 항목 추가 및 별도 동의 받기
  • 근거목록: 제휴계약서, 개인정보 동의서

3.3.2 국외 이전

  • 결함유형: 국외 이전 고지 미흡
  • 관련조항: ISMS-P 3.3.2 (국외 이전)
  • 관련근거: 「개인정보보호법」 제28조의8
  • 운영현황 및 결함내역:
    • 운영현황: 해외 클라우드 서비스 이용(미국)
    • 결함내역: 국외 이전 사실을 이용자에게 미공지
    • 조치사항: 국외 이전 고지 및 동의 절차 추가
  • 근거목록: 클라우드 계약서, 개인정보 처리방침

3.4.1 개인정보 처리업무 위탁

  • 결함유형: 위탁업체 관리 미흡
  • 관련조항: ISMS-P 3.4.1 (개인정보 처리업무 위탁)
  • 관련근거: 「개인정보보호법」 제26조
  • 운영현황 및 결함내역:
    • 운영현황: 일부 위탁업체와 개인정보 처리위탁 계약서 미체결
    • 결함내역: 관리·감독 의무 미이행
    • 조치사항: 모든 위탁계약서 재검토, 개인정보보호 조항 삽입
  • 근거목록: 위탁계약서, 위탁업체 목록

3.4.2 위탁업체 관리·감독

  • 결함유형: 위탁업체 점검 미수행
  • 관련조항: ISMS-P 3.4.2 (위탁업체 관리·감독)
  • 관련근거: 「개인정보보호법」 제26조
  • 운영현황 및 결함내역:
    • 운영현황: 위탁업체 보안점검 미수행
    • 결함내역: 개인정보 처리 위탁업체 관리체계 미흡
    • 조치사항: 연 1회 이상 위탁업체 현장/서면점검 수행
  • 근거목록: 위탁업체 점검 보고서, 계약서

3.5.1 정보주체 권리보장 절차

  • 결함유형: 권리행사 절차 안내 미흡
  • 관련조항: ISMS-P 3.5.1 (정보주체 권리보장 절차)
  • 관련근거: 「개인정보보호법」 제35조~제37조
  • 운영현황 및 결함내역:
    • 운영현황: 개인정보 열람·정정·삭제·처리정지 절차 공지 미흡
    • 결함내역: 홈페이지에 권리행사 절차 안내 누락
    • 조치사항: 홈페이지 및 처리방침에 권리행사 방법 안내 추가
  • 근거목록: 개인정보 처리방침, 홈페이지 화면

3.5.2 정보주체 요구 처리

  • 결함유형: 권리행사 처리 지연
  • 관련조항: ISMS-P 3.5.2 (정보주체 요구 처리)
  • 관련근거: 「개인정보보호법」 제35조~제37조
  • 운영현황 및 결함내역:
    • 운영현황: 정보주체 열람 요구 처리에 30일 이상 소요
    • 결함내역: 법적 처리기한(10일) 초과
    • 조치사항: 권리행사 요청 처리 SLA 수립 및 담당자 교육
  • 근거목록: 권리행사 요청서, 처리기록대장

3.5.3 정보주체 불복 처리

  • 결함유형: 불복 절차 미비
  • 관련조항: ISMS-P 3.5.3 (정보주체 불복 처리)
  • 관련근거: 「개인정보보호법」 제35조~제37조, 제39조
  • 운영현황 및 결함내역:
    • 운영현황: 정보주체의 불복 신청(열람 거부)에 대한 내부 절차 없음
    • 결함내역: 불복 처리 프로세스 부재로 민원 발생 위험
    • 조치사항: 불복 처리 절차 수립, 내부 규정 반영
  • 근거목록: 불복 처리 매뉴얼, 민원 대응 이력

 

반응형