| 기분 | 개인정보의 안전성 확보조치 기준 | 개인정보의 기술적 관리적 보호조치 기준 |
| 대상 기관 | 개인정보처리자 | 정보통신서비스제공자 |
| 접속 기록 보관 기간 | -개인정보처리시스템에 접속한 기록은 1년 이상 보관 (단 5만명 이상의 정보주체에 관하여 개인정보 처리하거나 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우 2년 이상) |
-접속기록은 최소 1년 이상 보관 |
| 권한 관리 기록 보관 기간 | -권한부여, 변경, 말소에 대한 내역을 기록하는 경우관 최소 3년간 보관 | -권한부여, 변경, 말소에 대한 내역을 기록하는 경우 최소 5년간 보관 |
| 접속기록 점검주기 | 월 1회 이상 | 월 1회 이상 |
| 접속기록 관리 | -접속기록이 위변조 및 도난, 분실되지 않도록 안전하게 보관 | -접속기록이 위변조되지 않도록 별도 물리적 저장 장치에 보관, 정기적 백업 수행 |
1) 대상 기관에 따라 접속기록 및 권한 관리 기록의 보관 기간이 서로 상이함
1-1) 접속기록은 1년 이상 보관
- 개인정보처리자의 경우 5만 명 이상 정보주체의 정보를 처리하거나 고유식별정보 또는 민감정보를 처리하는 경우 2년 이상 보관
1-2) 권한관리 기록은 3~5년 보관
- 개인정보처리자의 경우 3년, 정보통신망서비스제공자의 경우 5년 보관
2) 접속기록에 대한 안전한 관리
2-1) 최소 인원만 접속 허용
- 개인정보처리시스템 내의 접속기록 또는 별도 개인정보 접속기록관리시스템을 이용하는 경우 해당 로그에 대한 임의 접근 및 변경, 삭제 등이 발생하지 않도록 최소 인원만 접속 가능하도록 관리 필요
2-2) 개인 계정 사용
- 접속기록 관리를 위해 시스템에 접속할 경우, 추후 책임 추적성 등의 확보를 위해 개인 계정 발급 및 사용
(운영팀의 인원 전체가 계정을 공유하고 모두 접속가능한 상태로 운영하는 경우가 있음)
2-3) 주기적인 백업 수행
- 시스템에 보관되고 있는 로그의 변경, 삭제 등으로부터 보호하기 위해 별도 시스템에 백업
(주기적으로 백업을 수행하지 않거나 백업본을 안전한 곳에 보관하지 않는 경우가 있음)
- 백업 매체에 대한 접근 최소화
2-4) 주기적인 접속기록 검토 결과 확인
- 접속기록의 안전한 보관 여부에 대한 주기적인 점검 수행
'(부제) 나는 CISO 이다 > ISMS-P 인증심사' 카테고리의 다른 글
| (ISMS-P) 개인정보 수집 이용 제공 동의 시 미흡사항 (0) | 2021.06.16 |
|---|---|
| (ISMS-P) 화상회의 서비스 인증 시 추가 점검 기준 (0) | 2021.06.14 |
| (ISMS-P) 본인인증기관을 활용할 경우 개인정보 수집 이용 내용 공개 여부 (0) | 2021.06.08 |
| (ISMS-P) 친목단체에서 개인정보를 수집하는 경우 수집 이용 동의 여부 (0) | 2021.06.04 |
| (ISMS-P) 근로자의 개인정보를 수집할 때 동의 필요 여부 (0) | 2021.06.04 |
댓글