[ISMS-P인증기준] 2.9.7 정보자산의 재사용 및 폐기

항목

---

2. 보호대책 요구사항

  - 2.9. 시스템 및 서비스 운영관리

  - 2.9.7 정보자산의 재사용 및 폐기

 

인증기준

---

정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구·재생되지 않도록 안전한 재사용 및 폐기 절차를 수립·이행하여야 한다.

2.9.7 정보자산의 재사용 및 폐기

 

세부설명

---

■ 정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립·이행하여야 한다.

- 정보자산 재사용 절차 : 데이터 초기화 방법, 재사용 프로세스 등

- 정보자산 폐기 절차 : 폐기 방법, 폐기 프로세스(승인 등), 폐기 확인, 폐기관리대장 기록 등

 

■ 정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보가 복구되지 않는 방법으로 처리하여야 한다.

- 개인정보를 파기할 때에는 법령에 따라 복구·재생되지 않도록 안전하게 파기 필요

- ʻ복원이 불가능한 방법ʼ이란 현재의 기술 수준에서 사회통념상 적정한 비용으로 파기한 개인정보의 복원이 불가능하도록 조치하는 방법을 말함(표준 개인정보 보호지침 제10조)

 

■ 자체적으로 정보자산 및 저장매체를 폐기할 경우 다음 내용이 포함된 관리대장을 통하여 폐기이력을 남기고 폐기확인 증거자료를 함께 보관하여야 한다.

- 폐기 일자

- 폐기 담당자, 확인자명

- 폐기 방법

- 폐기확인 증거자료(사진 등) 등

 

 

■ 외부업체를 통하여 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고, 해당 절차에 따라 완전히 폐기되었는지 확인하여야 한다.

- 폐기 절차 및 보호대책, 책임소재 등에 대하여 계약서에 반영

- 계약서에 반영된 폐기 절차에 따라 이행되고 있는지 사진촬영, 실사 등의 이행 증거자료 확인

 

■ 정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하여야 한다.

- 유지보수 신청 전 데이터 이관 및 파기

- 데이터 암호화

- 계약 시 비밀유지 서약

- 데이터 완전삭제 또는 저장매체 완전파기 조치 등

 

결함사례

---

‧ 사례 1 : 개인정보취급자 PC를 재사용할 경우 데이터 삭제프로그램을 이용하여 완전삭제 하도록 정책 및 절차가 수립되어 있으나, 실제로는 완전삭제 조치 없이 재사용하거나 기본 포맷만 하고 재사용하고 있는 등 관련 절차가 이행되고 있지 않은 경우

 

‧ 사례 2 : 외부업체를 통하여 저장매체를 폐기하고 있으나, 계약 내용상 안전한 폐기 절차 및 보호대책에 대한 내용이 누락되어 있고 폐기 이행 증거자료 확인 및 실사 등의 관리·감독이 이루어지지 않은 경우

 

‧ 사례 3 : 폐기된 HDD의 일련번호가 아닌 시스템명을 기록하거나 폐기 대장을 작성하지 않아 폐기 이력 및 추적할 수 있는 증거자료를 확인할 수 없는 경우

 

‧ 사례 4 : 회수한 폐기 대상 하드디스크가 완전삭제 되지 않은 상태로 잠금장치가 되지 않은 장소에 방치되고 있는 경우

 

"본 저작물은 '한국인터넷진흥원'에서 '2023년' 작성하여 공공누리 제4유형으로 개방한 '정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증기준 안내서'를 이용하였으며, 해당 저작물은 '한국인터넷진흥원(https://isms.kisa.or.kr/)'에서 무료로 다운받으실 수 있습니다."