ISMS-P 인증 기준 2.11.5.사고 대응 및 복구: Difference between revisions

From CS Wiki
(Imported from text file)
 
(2 intermediate revisions by 2 users not shown)
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 2.11.사고 예방 및 대응|2.11.사고 예방 및 대응]]
*'''영역''': [[ISMS-P 인증 기준 2.보호대책 요구사항|2.보호대책 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 2.11.사고 예방 및 대응|2.11.사고 예방 및 대응]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!2.11.5.사고 대응 및 복구
!2.11.5.사고 대응 및 복구
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|침해사고 및 개인정보 유출 징후나 발생을 인지한 때에는 법적 통지 및 신고 의무를 준수하여야 하며, 절차에 따라 신속하게 대응 및 복구하고 사고분석 후 재발방지 대책을 수립하여 대응체계에 반영하여야 한다.
|침해사고 및 개인정보 유출 징후나 발생을 인지한 때에는 법적 통지 및 신고 의무를 준수하여야 하며, 절차에 따라 신속하게 대응 및 복구하고 사고분석 후 재발방지 대책을 수립하여 대응체계에 반영하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우 정의된 침해사고 대응절차에 따라 신속하게 대응 및 보고가 이루어지고 있는가?
*침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우 정의된 침해사고 대응절차에 따라 신속하게 대응 및 보고가 이루어지고 있는가?
* 개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하고 있는가?
*개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하고 있는가?
* 침해사고가 종결된 후 사고의 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하고 있는가?
*침해사고가 종결된 후 사고의 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하고 있는가?
* 침해사고 분석을 통해 얻어진 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하고 있는가?  
*침해사고 분석을 통해 얻어진 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하고 있는가?
|}
==세부 설명==
 
==== 사고 발생 인지 후 신속한 대응·보고 ====
침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우 정의된 침해사고 대응절차에 따라 신속하게 대응 및 보고가 이루어져야 한다.
 
*침해사고 초기 대응 및 증거 보존 조치
**침해가 의심되는 정보시스템의 접속권한 삭제·변경 또는 접속차단 조치
**네트워크, 방화벽 등 대내외 시스템 보안점검 및 취약점 보완 조치
**사고 조사에 필요한 외부의 접속기록 등 증거 보존 조치
**로그 분석 등을 통한 개인정보 및 중요정보 유출 여부 확인 등
*다음 사항을 포함한 침해사고보고서 작성 및 내부 보고
**침해사고 발생일시
**보고자와 보고일시
**사고내용(발견사항, 피해내용 등)
**사고대응 경과 내용
**사고대응까지의 소요시간 등
*침해사고가 조직에 미치는 영향이 심각할 경우 보고절차에 따라 최고경영진까지 신속히 보고
 
==== 개인정보 침해사고 발생 시 통지 및 신고 ====
개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하여야 한다.
 
*'''개인정보 유출 시 정보주체(이용자)에게 알려야 할 사항'''
 
{| class="wikitable"
!개인정보처리자
!정보통신서비스 제공자
|-
|* 1. 유출된 개인정보의 항목<br>* 2. 유출된 시점과 그 경위<br>* 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보<br>* 4. 개인정보처리자의 대응조치 및 피해 구제절차<br>* 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
|* 1. 유출 등이 된 개인정보 항목<br>* 2. 유출 등이 발생한 시점<br>* 3. 이용자가 취할 수 있는 조치<br>* 4. 정보통신서비스 제공자 등의 대응 조치<br>* 5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
|}
 
*'''개인정보 유출 신고 기준'''
 
{| class="wikitable"
!구분
!개인정보처리자
!정보통신서비스 제공자
|-
|신고 대상 건수
|1천 명 이상 정보주체에 관한 개인정보 유출 시
|유출 건수와 무관
|-
|신고 시점
|지체 없이(5일 이내)
|정당한 사유가 없는 한 그 사실을 안 때부터 24시간 이내
|-
|신고 기관
| colspan="2" |개인정보보호위원회 또는 KISA
|}
|}
== 세부 설명 ==


* 침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우 정의된 침해사고 대응절차에 따라 신속하게 대응 및 보고가 이루어져야 한다.
==== 사고 처리 종결 후 분석 및 공유 ====
** 침해사고 초기 대응 및 증거 보존 조치
침해사고가 종결된 후 사고 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하여야 한다.
*** 침해가 의심되는 정보시스템의 접속권한 삭제·변경 또는 접속차단 조치
 
** 네트워크, 방화벽 등 대내외 시스템 보안점검 및 취약점 보완 조치
*침해사고가 처리되고 종결된 후 이에 대한 사고 원인에 대한 분석을 수행하고 결과보고서를 작성하여 책임자에게 보고
*** 사고 조사에 필요한 외부의 접속기록 등 증거 보존 조치
*침해사고 정보와 발견된 취약점 및 원인, 조치방안 등을 관련 조직 및 인력에게 공유
** 로그 분석 등을 통한 개인정보 중요정보 유출 여부 확인 등
 
** 다음 사항을 포함한 침해사고보고서 작성 및 내부 보고
==== 재발 방지 대책 수립 ====
*** 침해사고 발생일시
침해사고 분석을 통하여 얻은 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하여야 한다.
** 보고자와 보고일시
 
*** 사고내용(발견사항, 피해내용 등)
*침해사고 분석을 통하여 얻은 정보를 활용하여 유사 사고가 반복되지 않도록 하는 재발방지 대책 수립
** 사고대응 경과 내용
*분석된 결과에 따라 필요한 경우 침해사고 대응절차, 정보보호 정책 및 절차 등 침해사고 대응체계에 대한 변경 수행
*** 사고대응까지의 소요시간 등
 
** 침해사고가 조직에 미치는 영향이 심각할 경우 보고절차에 따라 최고경영진까지 신속히 보고
==증거 자료==
* 개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하여야 한다.
 
** 개인정보 유출 시 정보주체(이용자)에게 알려야 할 사항<table><thead><tr><th>개인정보처리자</th><th>정보통신서비스 제공자</th></tr></thead><tbody><tr><td>* 1. 유출된 개인정보의 항목<br>* 2. 유출된 시점과 그 경위<br>* 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보<br>* 4. 개인정보처리자의 대응조치 및 피해 구제절차<br>* 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처</td><td>* 1. 유출 등이 된 개인정보 항목<br>* 2. 유출 등이 발생한 시점<br>* 3. 이용자가 취할 수 있는 조치<br>* 4. 정보통신서비스 제공자 등의 대응 조치<br>* 5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처</td></tr></tbody></table>
*침해사고 대응 절차
** 개인정보 유출 신고 기준<table><thead><tr><th>구분</th><th>개인정보처리자</th><th>정보통신서비스 제공자</th></tr></thead><tbody><tr><td>신고 대상 건수</td><td>1천 명 이상 정보주체에 관한 개인정보 유출 시</td><td>유출 건수와 무관</td></tr><tr><td>신고 시점</td><td>지체 없이(5일 이내)</td><td>정당한 사유가 없는 한 그 사실을 안 때부터 24시간 이내</td></tr><tr><td>신고 기관</td><td colspan="2">개인정보보호위원회 또는 KISA</td></tr></tbody></table>
*침해사고 대응보고서
* 침해사고가 종결된 후 사고 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하여야 한다.
*침해사고 관리대장
** 침해사고가 처리되고 종결된 후 이에 대한 사고 원인에 대한 분석을 수행하고 결과보고서를 작성하여 책임자에게 보고
*개인정보 유출신고서
** 침해사고 정보와 발견된 취약점 및 원인, 조치방안 등을 관련 조직 및 인력에게 공유
*비상연락망
* 침해사고 분석을 통하여 얻은 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하여야 한다.
 
** 침해사고 분석을 통하여 얻은 정보를 활용하여 유사 사고가 반복되지 않도록 하는 재발방지 대책 수립
==결함 사례==
** 분석된 결과에 따라 필요한 경우 침해사고 대응절차, 정보보호 정책 및 절차 등 침해사고 대응체계에 대한 변경 수행
 
== 증거 자료 ==
*내부 침해사고 대응지침에는 침해사고 발생 시 개인정보보호위원회 및 이해관계 부서에게 보고하도록 정하고 있으나, 침해사고 발생 시 담당 부서에서 자체적으로 대응 조치 후 정보보호위원회 및 이해관계 부서에 보고하지 않은 경우
* 침해사고 대응 절차
*최근 DDoS 공격으로 의심되는 침해사고로 인하여 서비스 일부가 중단된 사례가 있으나, 이에 대한 원인분석 및 재발방지 대책이 수립되지 않은 경우
* 침해사고 대응보고서
 
* 침해사고 관리대장
==같이 보기==
* 개인정보 유출신고서
 
* 비상연락망
*[[정보보호 및 개인정보보호관리체계 인증]]
== 결함 사례 ==
*[[ISMS-P 인증 기준]]
* 내부 침해사고 대응지침에는 침해사고 발생 시 개인정보보호위원회 및 이해관계 부서에게 보고하도록 정하고 있으나, 침해사고 발생 시 담당 부서에서 자체적으로 대응 조치 후 정보보호위원회 및 이해관계 부서에 보고하지 않은 경우
*[[ISMS-P 인증 기준 세부 점검 항목]]
* 최근 DDoS 공격으로 의심되는 침해사고로 인하여 서비스 일부가 중단된 사례가 있으나, 이에 대한 원인분석 및 재발방지 대책이 수립되지 않은 경우
 
== 같이 보기 ==
==참고 문헌==
* [[정보보호 및 개인정보보호관리체계 인증]]
 
* [[ISMS-P 인증 기준]]
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Latest revision as of 08:13, 6 March 2023


개요[edit | edit source]

항목 2.11.5.사고 대응 및 복구
인증기준 침해사고 및 개인정보 유출 징후나 발생을 인지한 때에는 법적 통지 및 신고 의무를 준수하여야 하며, 절차에 따라 신속하게 대응 및 복구하고 사고분석 후 재발방지 대책을 수립하여 대응체계에 반영하여야 한다.
주요 확인사항
  • 침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우 정의된 침해사고 대응절차에 따라 신속하게 대응 및 보고가 이루어지고 있는가?
  • 개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하고 있는가?
  • 침해사고가 종결된 후 사고의 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하고 있는가?
  • 침해사고 분석을 통해 얻어진 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하고 있는가?

세부 설명[edit | edit source]

사고 발생 인지 후 신속한 대응·보고[edit | edit source]

침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우 정의된 침해사고 대응절차에 따라 신속하게 대응 및 보고가 이루어져야 한다.

  • 침해사고 초기 대응 및 증거 보존 조치
    • 침해가 의심되는 정보시스템의 접속권한 삭제·변경 또는 접속차단 조치
    • 네트워크, 방화벽 등 대내외 시스템 보안점검 및 취약점 보완 조치
    • 사고 조사에 필요한 외부의 접속기록 등 증거 보존 조치
    • 로그 분석 등을 통한 개인정보 및 중요정보 유출 여부 확인 등
  • 다음 사항을 포함한 침해사고보고서 작성 및 내부 보고
    • 침해사고 발생일시
    • 보고자와 보고일시
    • 사고내용(발견사항, 피해내용 등)
    • 사고대응 경과 내용
    • 사고대응까지의 소요시간 등
  • 침해사고가 조직에 미치는 영향이 심각할 경우 보고절차에 따라 최고경영진까지 신속히 보고

개인정보 침해사고 발생 시 통지 및 신고[edit | edit source]

개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하여야 한다.

  • 개인정보 유출 시 정보주체(이용자)에게 알려야 할 사항
개인정보처리자 정보통신서비스 제공자
* 1. 유출된 개인정보의 항목
* 2. 유출된 시점과 그 경위
* 3. 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
* 4. 개인정보처리자의 대응조치 및 피해 구제절차
* 5. 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처
* 1. 유출 등이 된 개인정보 항목
* 2. 유출 등이 발생한 시점
* 3. 이용자가 취할 수 있는 조치
* 4. 정보통신서비스 제공자 등의 대응 조치
* 5. 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
  • 개인정보 유출 신고 기준
구분 개인정보처리자 정보통신서비스 제공자
신고 대상 건수 1천 명 이상 정보주체에 관한 개인정보 유출 시 유출 건수와 무관
신고 시점 지체 없이(5일 이내) 정당한 사유가 없는 한 그 사실을 안 때부터 24시간 이내
신고 기관 개인정보보호위원회 또는 KISA

사고 처리 종결 후 분석 및 공유[edit | edit source]

침해사고가 종결된 후 사고 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하여야 한다.

  • 침해사고가 처리되고 종결된 후 이에 대한 사고 원인에 대한 분석을 수행하고 결과보고서를 작성하여 책임자에게 보고
  • 침해사고 정보와 발견된 취약점 및 원인, 조치방안 등을 관련 조직 및 인력에게 공유

재발 방지 대책 수립[edit | edit source]

침해사고 분석을 통하여 얻은 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하여야 한다.

  • 침해사고 분석을 통하여 얻은 정보를 활용하여 유사 사고가 반복되지 않도록 하는 재발방지 대책 수립
  • 분석된 결과에 따라 필요한 경우 침해사고 대응절차, 정보보호 정책 및 절차 등 침해사고 대응체계에 대한 변경 수행

증거 자료[edit | edit source]

  • 침해사고 대응 절차
  • 침해사고 대응보고서
  • 침해사고 관리대장
  • 개인정보 유출신고서
  • 비상연락망

결함 사례[edit | edit source]

  • 내부 침해사고 대응지침에는 침해사고 발생 시 개인정보보호위원회 및 이해관계 부서에게 보고하도록 정하고 있으나, 침해사고 발생 시 담당 부서에서 자체적으로 대응 조치 후 정보보호위원회 및 이해관계 부서에 보고하지 않은 경우
  • 최근 DDoS 공격으로 의심되는 침해사고로 인하여 서비스 일부가 중단된 사례가 있으나, 이에 대한 원인분석 및 재발방지 대책이 수립되지 않은 경우

같이 보기[edit | edit source]

참고 문헌[edit | edit source]

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)