항목 : 2.11.5 사고 대응 및 복구
■ 인증기준 : 침해사고 및 개인정보 유출 징후나 발생을 인지한 때에는 법적 통지 및 신고 의무를 준수하여야 하며, 절차에 따라 신속하게 대응 및 복구하고 사고분석 후 재발방지 대책을 수립하여 대응체계에 반영하여야 한다.
■ 주요 확인사항
- 침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우 정의된 침해사고 대응 절차에 따라 신속하게 대응 및 보고가 이루어지고 있는가?
- 개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하고 있는가?
- 침해사고가 종결된 후 사고의 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하고 있는가?
- 침해사고 분석을 통하여 얻은 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하고 있는가?
■ 관련 법규
- 개인정보 보호법 제34조(개인정보의 유출통지 등), 제39조의4(개인정보 유출 등의 통지·신고에 대한 특례)
- 정보통신망법 제48조의3(침해사고의 신고 등), 제48조의4(침해사고의 원인분석 등)
금융분야 추가확인사항
- 전자금융거래법 제9조(금융회사 또는 전자금융업자의 책임) 제1항
- 전자금융감독규정 제73조(정보기술부문 및 전자금융 사고보고) 제1항
- 신용정보법 제39조의4(신용정보의 누설통지 등)
■ 세부 설명
① 침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우 정의된 침해사고 대응절차에 따라 신속하게 대응 및 보고가 이루어져야 한다.
- 침해사고 초기 대응 및 증거 보존 조치
- 침해가 의심되는 정보시스템의 접속권한 삭제·변경 또는 접속차단 조치
- 네트워크, 방화벽 등 대내외 시스템 보안점검 및 취약점 보완 조치
- 사고 조사에 필요한 외부의 접속기록 등 증거 보존 조치
- 로그 분석 등을 통한 개인정보 및 중요정보 유출 여부 확인 등
- 다음 사항을 포함한 침해사고보고서 작성 및 내부 보고
- 침해사고 발생일시
- 보고자와 보고일시
- 사고내용(발견사항, 피해내용 등)
- 사고대응 경과 내용
- 사고대응까지의 소요시간 등
- 침해사고가 조직에 미치는 영향이 심각할 경우 보고절차에 따라 최고경영진까지 신속히 보고
금융분야 추가확인사항
- 침해사고 등 보안사고 보고를 고의로 지연하거나 숨긴 자에 대해 회사내 인사규정에 따라 징계 회부 등 필요한 조치를 취하여야 하며, 이 경우 당사자에게 충분한 소명 기회 부여 (인증기준 2.2.6 참조)
- 정보보호 사고를 사전 방지하기 위하여 임직원(외주직원 포함)이 관련 취약점을 경영진 또는 정보보호담당부서에 쉽고 신속하게 보고할 수 있는 절차 마련
② 개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하여야 한다.
- 개인정보 유출 시 정보주체(이용자)에게 알려야 할 사항
- 개인정보 유출 신고 기준
금융분야 추가확인사항
- 금융회사 및 전자금융업자는 다음과 관련된 중대한 사고가 발생한 경우 지체 없이 금융감독원장 에게 보고 해야 함
- 정보시스템 또는 통신회선 등의 장애로 10분 이상 전산업무가 중단 또는 지연된 경우
- 전산자료 또는 프로그램의 조작과 관련된 금융사고가 발생한 경우
- 전자적 침해행위로 인해 정보시스템에 사고가 발생하거나 이로 인해 이용자가 금전적 피해를 입었다고 금융회사 및 전자금융업자에게 통지한 경우
- 접근매체의 위조나 변조로 발생한 사고 ∙ 계약체결 또는 거래지시의 전자적 전송이나 처리 과정에서 발생한 사고
- 전자금융거래를 위한 전자적 장치 또는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제1호에 따른 정보통신망에 침입하여 거짓이나 그 밖의 부정한 방법으로 획득한 접근매체의 이용으로 발생한 사고
- 신용정보회사등은 개인신용정보가 업무 목적 외로 누설되었음을 알게 된 때에는 지체 없이 해당 신용주체에게 통지하여야 하며 통지사항은 ‘개인정보 보호법’을 준용
- 1만명 이상 신용정보주체에 관한 개인신용정보가 누설된 경우 신용정보주체에게 통지 및 조치 결과를 지체 없이 금융위원회 또는 금융감독원에 신고
- ‘신용정보법’에 따른 상거래기업 및 법인은 보호위원회 또는 한국인터넷진흥원에 신고
③ 침해사고가 종결된 후 사고 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하여야 한다.
- 침해사고가 처리되고 종결된 후 이에 대한 사고 원인에 대한 분석을 수행하고 결과보고서를 작성하여 책임자에게 보고
- 침해사고 정보와 발견된 취약점 및 원인, 조치방안 등을 관련 조직 및 인력에게 공유
④ 침해사고 분석을 통하여 얻은 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하여야 한다.
- 침해사고 분석을 통하여 얻은 정보를 활용하여 유사 사고가 반복되지 않도록 하는 재발방지 대책 수립
- 분석된 결과에 따라 필요한 경우 침해사고 대응절차, 정보보호 정책 및 절차 등 침해사고 대응체계에 대한 변경 수행
■ 증적예시
- 침해사고 대응 절차
- 침해사고 대응보고서
- 침해사고 관리대장
- 개인정보 유출신고서
- 비상연락망
■ 결함사례
- 내부 침해사고 대응지침에는 침해사고 발생 시 개인정보보호위원회 및 이해관계 부서에게 보고하도록 정하고 있으나, 침해사고 발생 시 담당 부서에서 자체적으로 대응 조치 후 정보보호위원회 및 이해관계 부서에 보고하지 않은 경우
- 최근 DDoS 공격으로 의심되는 침해사고로 인하여 서비스 일부가 중단된 사례가 있으나, 이에 대한 원인분석 및 재발방지 대책이 수립되지 않은 경우
출처 : ISMS-P 인증기준 안내서 (2022.04)
금융권에 적합한 ISMS-P 인증 점검항목(2022.09)
_그사람
'그사람의 도전(ISMS-P 인증심사원) > ISMS-P 인증심사기준(가이드북)' 카테고리의 다른 글
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.12 재해복구(2.12.2 재해 복구 시험 및 개선) (0) | 2023.03.22 |
|---|---|
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.12 재해복구(2.12.1 재해·재난 대비 안전조치) (0) | 2023.03.22 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.11 사고 예방 및 대응(2.11.4 사고 대응 훈련 및 개선) (0) | 2023.03.21 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.11 사고 예방 및 대응(2.11.3 이상행위 분석 및 모니터링) (0) | 2023.03.21 |
| ISMS-P 인증기준 [2. 보호대책 요구사항] 2.11 사고 예방 및 대응(2.11.2 취약점 점검 및 조치) (0) | 2023.03.21 |