항목3. 개인정보 처리 단계별 요구사항 - 3.2. 개인정보 보유 및 이용 시 보호조치 - 3.2.4 개인정보 목적 외 이용 및 제공 * ISMS-P에만 해당 인증기준개인정보는 수집 시의 정보주체에게 고지·동의를 받은 목적 또는 법령에 근거한 범위 내에서만 이용 또는 제공하여야 하며, 이를 초과하여 이용·제공하려는 때에는 정보주체의 추가 동의를 받거나 관계 법령에 따른 적법한 경우인지 확인하고 적절한 보호대책을 수립·이행하여야 한다. 세부설명■ 개인정보는 최초 수집 시 정보주체로부터 동의받은 목적 또는 법령에 근거한 범위 내에서만 이용 또는 제공하여야 한다.- 정보주체에게 이용·제공의 목적을 고지하고 동의를 받은 범위나 개인정보 보호법 또는 다른 법령에 의하여 이용·제공이 허용된 범위를 벗어나서..

항목3. 개인정보 처리 단계별 요구사항 - 3.2. 개인정보 보유 및 이용 시 보호조치 - 3.2.3 이용자 단말기 접근 보호 * ISMS-P에만 해당 인증기준정보주체(이용자)의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 접근이 필요한 경우 이를 명확하게 인지할 수 있도록 알리고 정보주체(이용자)의 동의를 받아야 한다. 세부설명■ 정보주체(이용자)의 이동통신단말장치 내에 저장되어 있는 정보 및 이동통신단말장치에 설치된 기능에 대하여 접근할 수 있는 권한이 필요한 경우 관련 사항을 명확하게 인지할 수 있도록 알리고 정보주체 (이용자)의 동의를 받아야 한다. - 앱이 스마트폰 내에 저장되어 있는 정보와 설치된 기능에 접근할 수 있는 권한을 서비스에 필요한 범위 내로..

항목3. 개인정보 처리 단계별 요구사항 - 3.2. 개인정보 보유 및 이용 시 보호조치 - 3.2.2 개인정보 품질보장 * ISMS-P에만 해당 인증기준수집된 개인정보는 처리 목적에 필요한 범위에서 개인정보의 정확성·완전성·최신성이 보장되도록 정보주체에게 관리절차를 제공하여야 한다. 세부설명■ 개인정보를 최신의 상태로 정확하게 유지하기 위한 절차 및 방안을 수립·이행하여야 한다. - 개인정보의 위조·변조·훼손을 방지하기 위한 안전조치 적용- 외부자 해킹, 내부자 권한 오·남용, 재해·재난 등에 의하여 불법적인 개인정보 변경, 손상 등이 발생하더라도 개인정보의 정확성·완전성을 확보할 수 있도록 백업·복구 등의 체계 구축·이행- 개인정보취급자에 의한 개인정보 변경 시 오입력 등이 발생하지 않도록 관..

항목3. 개인정보 처리 단계별 요구사항 - 3.2. 개인정보 보유 및 이용 시 보호조치 - 3.2.1 개인정보 현황관리 * ISMS-P에만 해당 인증기준수집·보유하는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 하며, 공공기관의 경우 이를 법률에서 정한 관계기관의 장에게 등록하여야 한다. 세부설명■ 수집·보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하여야 한다.- 개인정보처리자(정보통신서비스 제공자)는 수집·보유하고 있는 개인정보의 항목, 보유량, 처리 근거 (동의, 법령 등), 처리목적 및 방법, 보유기간 등을 파악하여 개인정보 현황표, 개인정보 흐름표, 개인정보 흐름도 등을 통하여 기록·관리하여야..

항목3. 개인정보 처리 단계별 요구사항 - 3.1. 개인정보 수집 시 보호조치 - 3.1.7 마케팅 목적의 개인정보 수집·이용 * ISMS-P에만 해당 인증기준재화나 서비스의 홍보, 판매 권유, 광고성 정보전송 등 마케팅 목적으로 개인정보를 수집·이용하는 경우 그 목적을 정보주체가 명확하게 인지할 수 있도록 고지하고 동의를 받아야 한다. 세부설명■ 정보주체에게 재화나 서비스를 홍보하거나 판매를 권유하기 위하여 개인정보를 처리하고자 하는 경우에는 정보주체가 명확하게 인지할 수 있도록 알리고 별도의 동의를 받아야 한다. - ʻ홍보 및 마케팅ʼ 목적으로 개인정보를 수집하면서 ʻ부가서비스 제공ʼ, ʻ제휴 서비스 제공ʼ 등으로 목적을 기재하는 행위 금지- 상품 홍보, 마케팅 목적으로 수집하는 개인정보는..

항목3. 개인정보 처리 단계별 요구사항 - 3.1. 개인정보 수집 시 보호조치 - 3.1.6 영상정보처리기기 설치·운영 * ISMS-P에만 해당 인증기준고정형 영상정보처리기기를 공개된 장소에 설치·운영하거나 이동형 영상정보처리기기를 공개된 장소에서 업무를 목적으로 운영하는 경우 설치 목적 및 위치에 따라 법적 요구사항을 준수하고, 적절한 보호대책을 수립·이행하여야 한다. 세부설명■ 공개된 장소에 고정형 영상정보처리기기를 설치·운영할 경우 법적 허용 요건에 해당하는지를 검토하여야 한다. - 고정형 영상정보처리기기의 정의 : 일정한 공간에 설치되어 지속적 또는 주기적으로 사람 또는 사물의 영상 등을 촬영하거나 이를 유·무선망을 통하여 전송하는 장치로서 폐쇄회로 텔레비전 및 네트워크 카메라를 말함(개..

항목3. 개인정보 처리 단계별 요구사항 - 3.1. 개인정보 수집 시 보호조치 - 3.1.5 개인정보 간접수집 * ISMS-P에만 해당 인증기준정보주체 이외로부터 개인정보를 수집하거나 제3자로부터 제공받는 경우에는 업무에 필요한 최소한의 개인정보를 수집하거나 제공받아야 하며, 법령에 근거하거나 정보주체의 요구가 있으면 개인정보의 수집 출처, 처리목적, 처리정지의 요구권리를 알려야 한다. 세부설명■ 정보주체 이외의 제3자로부터 개인정보를 제공받는 경우 적법한 절차에 따라 수집·제공되는 정보인지 여부를 확인하고 개인정보 수집에 대한 동의획득 책임이 개인정보를 제공하는 자에게 있음을 계약을 통하여 구체적으로 명시하여야 한다. ■ SNS, 인터넷 홈페이지 등 공개된 매체 또는 장소에서 개인정보를 수집하..

항목3. 개인정보 처리 단계별 요구사항 - 3.1. 개인정보 수집 시 보호조치 - 3.1.4 민감정보 및 고유식별정보의 처리 제한 * ISMS-P에만 해당 인증기준민감정보와 고유식별정보(주민등록번호 제외)를 처리하기 위해서는 법령에서 구체적으로 처리를 요구하거나 허용하는 경우를 제외하고는 정보주체의 별도 동의를 받아야 한다. 세부설명■ 민감정보의 처리는 원칙적으로 금지되며, 다만 정보주체로부터 별도의 동의를 받거나 관련 법령에 근거가 있는 경우에 한하여 처리할 수 있다. - 민감정보의 범위1. 사상·신념 : 각종 이데올로기 또는 사상적 경향, 종교적 신념 등2. 정치적 견해 : 정치적 사안에 대한 입장이나 특정 정당의 지지 여부에 관한 정보3. 노동조합·정당의 가입·탈퇴 : 노동조합 또는 정당에..

항목3. 개인정보 처리 단계별 요구사항 - 3.1. 개인정보 수집 시 보호조치 - 3.1.3 주민등록번호 처리 제한 * ISMS-P에만 해당 인증기준주민등록번호는 법적 근거가 있는 경우를 제외하고는 수집·이용 등 처리할 수 없으며, 주민등록번호의 처리가 허용된 경우라 하더라도 인터넷 홈페이지 등에서 대체수단을 제공하여야 한다. 세부설명■ 주민등록번호는 다음과 같이 법적 근거가 있는 경우를 제외하고는 수집 등 처리할 수 없다.- 주민등록번호 수집 등 처리가 가능한 경우(동의에 근거한 수집은 불가함) ■ 주민등록번호를 처리하는 경우에는 해당 처리의 근거가 되는 법조항을 구체적으로 식별하여 입증할 수 있도록 하여야 한다. - 법률·대통령령·국회규칙·대법원규칙·헌법재판소규칙·중앙선거관리위원회규칙 및 감..

항목3. 개인정보 처리 단계별 요구사항 - 3.1. 개인정보 수집 시 보호조치 - 3.1.2 개인정보 수집 제한 * ISMS-P에만 해당 인증기준개인정보를 수집하는 경우 처리 목적에 필요한 최소한의 개인정보만을 수집하여야 하며, 정보주체가 선택적으로 동의할 수 있는 사항 등에 동의하지 아니한다는 이유로 정보주체에게 재화 또는 서비스의 제공을 거부하지 않아야 한다. 세부설명■ 개인정보를 수집하는 경우 법률 근거, 법령상 의무준수, 계약의 체결·이행 등 그 목적에 필요한 범위에서 최소한의 정보만을 수집하여야 한다. - 정보주체의 동의를 받거나 법률 근거, 법령상 의무준수, 계약의 체결·이행 등을 근거로 정보주체 동의 없이 개인정보를 수집하는 경우에도 그 목적에 필요한 최소한의 개인정보만을 수집하여야..