[ISMS-P인증기준] 1.4.1 법적 요구사항 준수 검토

항목

---

1. 관리체계 수립 및 운영

  - 1.4. 관리체계 점검 및 개선

  - 1.4.1 법적 요구사항 준수 검토

 

인증기준

---

조직이 준수하여야 할 정보보호 및 개인정보보호 관련 법적 요구사항을 주기적으로 파악하여 규정에 반영하고, 준수 여부를 지속적으로 검토하여야 한다.

 

1.4.1 법적 요구사항 준수 검토

세부설명

---

■ 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법적 요구사항을 파악하여 최신성을 유지하여야 한다.

 

- 조직이 준수하여야 하는 정보보호 및 개인정보보호 관련 법규 파악

 

- 관련 법규의 제·개정 현황을 지속적으로 모니터링하여 제·개정이 이루어질 경우 조직에 미치는 영향을 분석하고 필요시 내부 정책·지침 및 체크리스트 등에 반영하여 최신성 유지

 

■ 법적 요구사항의 준수 여부를 연 1회 이상 정기적으로 검토하여야 한다.

 

- 법적 요구사항의 준수 여부를 정기적으로 검토할 수 있는 절차 수립(검토 주기, 대상, 담당자, 방법 등) 및 이행

- 법적 요구사항 준수 검토 결과 발견된 문제점에 대하여 신속하게 개선조치

 

 

 

결함사례

---

‧ 사례 1 : 정보통신망법 및 개인정보 보호법이 최근 개정되었으나 개정사항이 조직에 미치는 영향을 검토하지 않았으며, 정책서·시행문서 및 법적준거성 체크리스트 등에도 해당 내용을 반영하지 않아 정책서·시행문서 및 법적준거성 체크리스트 등의 내용이 법령 내용과 일치하지 않은 경우

 

‧ 사례 2 : 조직에서 준수하여야 할 법률이 개정되었으나, 해당 법률 준거성 검토를 장기간 수행하지 않은 경우

 

‧ 사례 3 : 법적 준거성 준수 여부에 대한 검토가 적절히 이루어지지 않아 개인정보 보호법 등 법규 위반 사항이 다수 발견된 경우

 

‧ 사례 4 : 개인정보 보호법에 따라 개인정보 손해배상책임 보장제도 적용 대상이 되었으나, 이를 인지하지 못하여 보험 가입이나 준비금 적립을 하지 않은 경우 또는 보험 가입을 하였으나 이용자 수 및 매출액에 따른 최저가입금액 기준을 준수하지 못한 경우

 

‧ 사례 5 : 정보보호 공시 의무대상 사업자이지만 법에 정한 시점 내에 정보보호 공시가 시행되지 않은 경우

 

‧ 사례 6 : 모바일앱을 통해 위치정보사업자로부터 이용자의 개인위치정보를 전송받아 서비스에 이용하고 있으나, 위치기반서비스사업 신고를 하지 않은 경우

 

‧ 사례 7 : 국내에 주소 또는 영업소가 없는 개인정보처리자로서 전년도 말 기준 직전 3개월 간 그 개인정보가 저장·관리되고 있는 국내 정보주체의 수가 일일평균 100만명 이상인 자에 해당되어 국내대리인 지정의무에 해당됨에도 불구하고, 국내대리인을 문서로 지정하지 않은 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."