정보보호및개인정보보호관리체계 인증등에관한고시 전부개정 ( 안 )

Transcription

1 정보보호및개인정보보호관리체계 인증등에관한고시 전부개정 ( 안 )

2

3

4

5

6

7

8

9

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24 별표 구분 인증심사원고용 제출서류 1. 인증심사업무를전담하는심사원의보유현황 2. 선임심사원보유에대한증빙서류 인증 심사의공정성 독립성 확보 1. 정보보호및개인정보보호관리체계구축과관련된컨설팅업무를수행하지않음을확인할수있는기업설명자료, 직제규정, 사업수행계획서등 2. 인증신청인으로부터독립성확보방안 재정능력 ( 해당시 ) 1. 자본금내역 ( 공인회계사또는회계담당자가서명날인한서류 ) 2, 신용평가서 3. 운영자금보유내역및피해보상대책 시설 사무공간 인증심사서류보관장소및보안설비 시설증빙서류 인증및심사실적 ( 재지정만해당 ) 인증및심사실적에대한증빙서류 업무수행요건 능력심사를위하여필요한서류 [ 별표2] 업무수행요건 능력심사를위한세부기준충족을증빙할수있는서류 1. 조직및전문성관련증빙서류 2. 신뢰도관련증빙서류 3. 업무수행관련증빙서류 4. 시설및보안관련증빙서류

25 별표 평가 항목 인력 세부평가 항목 인증심사원고용 세부평가기준 ( 인증기관및심사기관모두해당 ) 인증심사원 5명이상상시고용 선임심사원 1명이상확보 공정성 객관성 공정성 독립성 확보 인증업무또는심사업무의독립성, 객관성, 공정성, 신뢰성을확보할수 있어야하며정보보호및개인정보보호관리체계구축과관련된컨설팅업 무를수행하지않아야함 평가 항목 1. 조직및전문성 2. 신뢰도 세부평가 항목 평가 지표 인증 기관 배점 심사 기관 배점 세부평가기준 전담조직등급 5 5 o 인증 / 심사업무를수행하는전담조직유무 전담조직보유 : 배점의 100% 전담조직없음 : 0 점 전담인력비율 5 5 o 심사업무를수행하는전담심사원의수 10 명이상 : 배점의 100% 10 명미만 : 배점의 χ% χ = ( 전담심사원수 /10 명 ) 100 전문성비율 5 5 o 최근 3 년간전담심사원의인증심사참여일수의합 200 일이상 : 배점의 100% 200 일미만 : 배점의 χ% χ = ( 총참여일수 /200 일 ) 100 비율 5 5 o 업무전문성강화를위한최근 3 년간교육시간 전담심사원모두 100 시간이상의교육을받은경우 : 배점의 100% 전담심사원모두 100 시간이상의교육을받지않은경 우 : 배점의 χ% 재정능력등급 5 5 o 신용평가등급 χ = (100 시간이상교육을받은전담심사원의수 / 총 전담심사원의수 ) 100 AAA A- : 배점의 100% BBB+ BBB- : 배점의 70%

26 BB+ BB- : 배점의 50% B+ B- : 배점의 30% CCC+ 이하 : 배점의 10% 3. 업무수행 업무지원및피해보상대책 등급 3 3 o 자본금보유 5 억이상 : 배점의 100% 5 억미만 : 배점의 0% 비계량 2 2 o 운영자금법인통장보유및유지수준 o 지정취소, 부도 해산, 업무상과실등에따른신청기관 피해보상관련보험가입또는이에상응하는대책마련 업무규정비계량 4 4 o 인증 / 심사업무수행규정보유 o 규정의타당성및준수여부 - 인증 / 심사업무를수행하는직원의의무와책임 - 품질관리, 운영관리, 인증 / 심사업무, 문서관리, 시설 관리, 보안관리절차및방법 품질관리비계량 o 인증 / 심사의품질보증및관리를위한정보공유, 교육, 세미나등의활동 o 피심사기관으로부터공정성, 객관성, 신뢰성, 독립성 확보방안및이행 o 인증 / 심사업무참여자및업무담당자의공정성, 객관 성, 신뢰성, 독립성확보방안및이행 o 관계법령및내부절차준수, 청렴등에대한독립적인 내부감사실시및결과에대한조치 o 인증 / 심사결과에대한처리절차준수등에대한책임자 검토 o 인증 / 심사업무관련불만및이의제기에대한대응절 차마련및이행 운영관리비계량 8 12 o 업무수행방법및절차등의투명성및타당성 o 신청접수, 수수료산정방법및부과 o 심사이후자문료, 출장비등의지급의적절한이행 o 인증취득희망기업에특정기관으로의심사종용등부 적절한영업방지대책 인증관리비계량 12 - o 인증의독립성 객관성 공정성확보를위한인증위원 구성및인증위원회운영 o 인증위원회개최정족수, 상정안건의검토, 의결등의 운영절차마련및이행 o 인증서관리절차마련및이행 o ( 재심사만해당 ) 인증실적및인증내역 심사관리비계량 o 심사팀구성원칙마련및이행 o 심사원의의무와책임준수, 보안관리및감독방안및 이행 o 심사수행절차준수 o 심사결과보고, 인증위원회상정등사후절차준수 o 인증심사수행시문서및정보의유출방지를위한시 스템도입및이행 o ( 재심사만해당 ) 심사실적및인증심사원참여내역 문서관리비계량 o 업무의기록및문서에관한관리절차마련및준수 o 업무담당자간파일송수신및문서공유시안전한방식 을사용

27 4. 시설및보안 5. 감점 o 업무기록및문서에권한이없거나불필요한인원의접근방지대책및이행 시설및보안 비계량 4 4 o 독립된사무공간및회의공간 o 인증및심사기록물의안전한보관을위한장소 o 사무공간출입의신원확인및출입통제보안설비운영 o 문서분실, 도난등예방을위한보안시설마련 시스템및보안 비계량 4 4 o 인증및심사관리를위한시스템운영및사무관련시 스템보유 o 인증및심사정보의침해사고, 유출사고를대비한보안 시스템운영 자격취소사실 계량 감점 감점 o 지정공고일기준으로 10년이내에과학기술정보통신부, 방송통신위원회또는행정안전부가부여한정보보호 또는개인정보보호관련업무수행자격이취소된사실 이있는경우 취소 1회당 : 감점 10점 합계 < 비고 > 1. 평가항목에대한각평가요소별세부평가점수는소수점이하둘째자리에서반올림한다. 2. 비계량각세부평가점수부여기준은배점에평가등급 ( 계수 ) 를곱하여계산한다. 평가요소별비계량평가 평가등급 ( 계수 ) 우수 1.0 보통 0.6 미흡 0.2 미제출 점수없음 (0)

28 별표 등급 자격기준 심사원보 o 인증심사원자격신청요건을만족하는자로서인터넷진흥원이수행하는인증심사원 양성과정통과하여자격을취득한자 심사원 o 심사원보자격취득자로서인증심사에 4 회이상참여하고심사일수의합이 20 일 이상인자 선임심사원 o 심사원자격취득자로서정보보호및개인정보보호관리체계인증심사를 3회이상 참여하고심사일수의합이 15 일이상인자 인터넷진흥원은인증심사원의인증심사능력에따라매년책임심사원을지정할수있다.

29 별표 4 년제대학졸업이상또는이와동등학력을취득한자로서정보보호및개인정보보호경력을각 1 년 이상필수로보유하고정보보호, 개인정보보호또는정보기술경력을합하여 6 년이상을보유 가. " 동등학력 이란고등학교졸업자는 4 년이상, 2 년제대학졸업자는 2 년이상업무경력을말한다. 나. " 정보기술경력 이란공공기관, 기업체, 교육및연구기관등에서정보통신서비스, 정보통신기기, 소프트웨어및컴퓨터관련서비스분야에서계획 분석 설계 개발 운영 유지보수 컨설팅 감리또는연구 개발업무등을수행한경력또는관련법률자문경력을말한다. 다. " 정보보호경력 이란공공기관, 기업체, 교육및연구기관등에서정보보호를위한공통기반기술, 시스템 네트워크보호, 응용서비스보호, 계획 분석 설계 개발 운영 유지보수 컨설팅 감리또는연구 개발업무등을수행한경력또는관련법률자문경력을말한다. 라. " 개인정보보호경력 이란공공기관, 기업체, 교육및연구기관등에서개인정보보호업무수행, 개인정보보호컨설팅, 개인정보보호관련법률자문등의업무를수행한경력을말한다. 마. 변호사법에따른변호사의경우에는 6 년의정보기술유관경력또는정보보호유관경력을보유한것 으로본다. 바. 동일기간에두가지이상업무가중복되는경우에하나의경력만인정하며, 모든해당경력은신청일 기준최근 10 년이내의경력에한해인정한다. 사. 아래의학위또는자격을취득한경우정보보호또는개인정보보호경력을대체할수있으며중복 으로인정하지않는다.

30 < 경력인정요건 - 중복인정불가 > 구분경력인정요건인정기간 o 정보보호 관련박사학위취득자 2 년 정보보보호경력 o 정보보호 관련석사학위취득자 o 정보보안기사 o 국제정보시스템감사통제협회 (Information Systems Audit and Control Association) 의공인정보시스템감사사 (CISA) o 국제정보시스템보안자격협회 (International Information System Security Certification Consortium) 의공인정보시스템보호전문가 (CISSP) 1 년 개인정보보호경력 o 개인정보보호 관련박사학위취득자 2년 o 개인정보보호 관련석사학위취득자 o 개인정보영향평가에관한고시제6조제3 항에따른개인정보영향평가전문인력 1년인증서 o 개인정보보호관리사 (CPPG)

31 별표 분야 항목 정책의유지관리 2.1. 정책, 조직, 자산관리 조직의유지관리 정보자산관리 주요직무자지정및관리 직무분리 2.2. 인적보안 보안서약 인식제고및교육훈련 퇴직및직무변경관리 보안위반시조치 외부자현황관리 2.3. 외부자보안 외부자계약시보안 외부자보안이행관리 외부자계약변경및만료시보안 보호구역지정 출입통제 정보시스템보호 2.4. 물리보안 보호설비운영 보호구역내작업 반출입기기통제 업무환경보안 재해복구 재해, 재난대비안전조치 재해복구시험및개선

32 별표 1. 인증수수료산정기준 인증수수료 = 직접인건비 + 제경비 + 기술료 + 직접경비 가. 직접인건비는인증심사에투입되는인증심사원에대한인건비로산정한다. 인건비는소프트웨어 산업진흥법제 22 조제 4 항에따른소프트웨어기술자의노임단가를준용한다. 나. 제경비는최대 ( 직접인건비 120%) 로산정한다. 다. 기술료는최대 {( 직접인건비 + 제경비 ) 40%} 로산정한다. 라. 직접경비는인증심사업무의수행에따라발생하는교통비, 숙박비및식대등인증심사업무에 소요되는직접적인경비를산정한다. 단, 신청인은심사현장상황에따라직접경비를인증수수료와 별도로지급할수있다. 2. 인증심사원보수및출장비지급기준 가. 인증심사원에대한보수는소프트웨어산업진흥법제 22 조제 4 항에따른소프트웨어기술자의노임 단가의등급별평균임금에서심사원보는초급기술자, 심사원은고급기술자, 선임심사원은특급 기술자, 책임심사원은기술사의일평균임금을참고하여정할수있다. 나. 인증심사원이국내 외에서출장업무를수행하는경우심사수행기관의업무지침에따른정액여비로 별도지급할수있다.

33 별표 가. 관리체계수립및운영 분야항목상세내용 1.1. 관리체계기반마련 경영진의참여 최고경영자는정보보호및개인정보보호관리체계의수립과운영활동전반에경영진의참여가이루어질수있도록보고및의사결정체계를수립하여운영하여야한다 최고책임자의지정 조직구성 범위설정 정책수립 자원할당 1.2. 위험관리 정보자산식별 현황및흐름분석 최고경영자는정보보호업무를총괄하는정보보호최고책임자와개인정보보호업무를총괄하는개인정보보호책임자를예산 인력등자원을할당할수있는임원급으로지정하여야한다. 최고경영자는정보보호와개인정보보호의효과적구현을위한실무조직, 조직전반의정보보호와개인정보보호관련주요사항을검토및의결할수있는위원회, 전사적보호활동을위한부서별정보보호와개인정보보호담당자로구성된협의체를구성하여운영하여야한다. 조직의핵심서비스와개인정보처리현황등을고려하여관리체계범위를설정하고, 관련된서비스를비롯하여개인정보처리업무와조직, 자산, 물리적위치등을문서화하여야한다. 정보보호와개인정보보호정책및시행문서를수립 작성하며, 이때조직의정보보호와개인정보보호방침및방향을명확하게제시하여야한다. 또한정책과시행문서는경영진승인을받고, 임직원및관련자에게이해하기쉬운형태로전달하여야한다. 최고경영자는정보보호와개인정보보호분야별전문성을갖춘인력을확보하고, 관리체계의효과적구현과지속적운영을위한예산및자원을할당하여야한다. 조직의업무특성에따라정보자산분류기준을수립하여관리체계범위내모든정보자산을식별 분류하고, 중요도를산정한후그목록을최신으로관리하여야한다. 관리체계전영역에대한정보서비스및개인정보처리현황을분석하고업무절차와흐름을파악하여문서화하며, 이를주기적으로검토하여최신성을유지하여야한다 위험평가 조직의대내외환경분석을통해유형별위협정보를수집하고조직에적합한위험평가방법을선정하여관리체계전영역에대하여연 1 회이상위험을평가하며, 수용할수있는위험은경영진의승인을받아관리하여야한다 보호대책선정 위험평가결과에따라식별된위험을처리하기위하여조직에적합한보호대책을선정하고, 보호대책의우선순위와일정 담당자 예산등을포함한이행계획을수립하여경영진의승인을받아야한다 관리체계운영 보호대책구현 선정한보호대책은이행계획에따라효과적으로구현하고, 경영진은이행결과의정확성과효과성여부를확인하여야한다 보호대책공유 보호대책의실제운영또는시행할부서및담당자를파악하여관련내용을공유하고교육하여지속적으로운영되도록하여야한다.

34 운영현황관리 관리체계점검및개선 법적요구사항준수검토 관리체계점검 관리체계개선 조직이수립한관리체계에따라상시적또는주기적으로수행하여야하는운영활동및수행내역은식별및추적이가능하도록기록하여관리하고, 경영진은주기적으로운영활동의효과성을확인하여관리하여야한다. 조직이준수하여야할정보보호및개인정보보호관련법적요구사항을주기적으로파악하여규정에반영하고, 준수여부를지속적으로검토하여야한다. 관리체계가내부정책및법적요구사항에따라효과적으로운영되고있는지독립성과전문성이확보된인력을구성하여연 1 회이상점검하고, 발견된문제점을경영진에게보고하여야한다. 법적요구사항준수검토및관리체계점검을통해식별된관리체계상의문제점에대한원인을분석하고재발방지대책을수립 이행하여야하며, 경영진은개선결과의정확성과효과성여부를확인하여야한다.

35 나. 보호대책요구사항 2.1. 분야항목상세내용 정책, 조직, 자산관리 정책의유지관리 조직의유지관리 정보자산관리 정보보호및개인정보보호관련정책과시행문서는법령및규제, 상위조직및관련기관정책과의연계성, 조직의대내외환경변화등에따라주기적으로검토하여필요한경우제 개정하고그내역을이력관리하여야한다. 조직의각구성원에게정보보호와개인정보보호관련역할및책임을할당하고, 그활동을평가할수있는체계와조직및조직의구성원간상호의사소통할수있는체계를수립하여운영하여야한다. 정보자산의용도와중요도에따른취급절차및보호대책을수립 이행하고, 자산별책임소재를명확히정의하여관리하여야한다 인적보안 주요직무자지정및관리 개인정보및중요정보의취급이나주요시스템접근등주요직무의기준과관리방안을수립하고, 주요직무자를최소한으로지정하여그목록을최신으로관리하여야한다 직무분리 보안서약 권한오 남용등으로인한잠재적인피해예방을위하여직무분리기준을수립하고적용하여야한다. 다만불가피하게직무분리가어려운경우별도의보완대책을마련하여이행하여야한다. 정보자산을취급하거나접근권한이부여된임직원 임시직원 외부자등이내부정책및관련법규, 비밀유지의무등준수사항을명확히인지할수있도록업무특성에따른정보보호서약을받아야한다 인식제고및교육훈련 퇴직및직무변경관리 임직원및관련외부자가조직의관리체계와정책을이해하고직무별전문성을확보할수있도록연간인식제고활동및교육훈련계획을수립 운영하고, 그결과에따른효과성을평가하여다음계획에반영하여야한다. 퇴직및직무변경시인사 정보보호 개인정보보호 IT 등관련부서별이행하여야할자산반납, 계정및접근권한회수 조정, 결과확인등의절차를수립 관리하여야한다 보안위반시조치 2.3. 외부자보안 외부자현황관리 외부자계약시보안 외부자보안이행관리 외부자계약변경및만료시보안 임직원및관련외부자가법령, 규제및내부정책을위반한경우이에따른조치절차를수립 이행하여야한다. 업무의일부 ( 개인정보취급, 정보보호, 정보시스템운영또는개발등 ) 를외부에위탁하거나외부의시설또는서비스 ( 집적정보통신시설, 클라우드서비스, 애플리케이션서비스등 ) 를이용하는경우그현황을식별하고법적요구사항및외부조직 서비스로부터발생되는위험을파악하여적절한보호대책을마련하여야한다. 외부서비스를이용하거나외부자에게업무를위탁하는경우이에따른정보보호및개인정보보호요구사항을식별하고, 관련내용을계약서또는협정서등에명시하여야한다. 계약서, 협정서, 내부정책에명시된정보보호및개인정보보호요구사항에따라외부자의보호대책이행여부를주기적인점검또는감사등관리 감독하여야한다. 외부자계약만료, 업무종료, 담당자변경시에는제공한정보자산반납, 정보시스템접근계정삭제, 중요정보파기, 업무수행중취득정보의비밀유지확약서징구등의

36 2.4. 물리보안 보호구역지정 2.5. 인증및권한관리 출입통제 정보시스템보호 보호설비운영 보호구역내작업 반출입기기통제 업무환경보안 사용자계정관리 사용자식별 사용자인증 비밀번호관리 특수계정및권한관리 접근권한검토 2.6. 접근통제 네트워크접근 보호대책을이행하여야한다. 물리적 환경적위협으로부터개인정보및중요정보, 문서, 저장매체, 주요설비및시스템등을보호하기위하여통제구역 제한구역 접견구역등물리적보호구역을지정하고각구역별보호대책을수립 이행하여야한다. 보호구역은인가된사람만이출입하도록통제하고책임추적성을확보할수있도록출입및접근이력을주기적으로검토하여야한다. 정보시스템은환경적위협과유해요소, 비인가접근가능성을감소시킬수있도록중요도와특성을고려하여배치하고, 통신및전력케이블이손상을입지않도록보호하여야한다. 보호구역에위치한정보시스템의중요도및특성에따라온도 습도조절, 화재감지, 소화설비, 누수감지, UPS, 비상발전기, 이중전원선등의보호설비를갖추고운영절차를수립 운영하여야한다. 보호구역내에서의비인가행위및권한오 남용등을방지하기위한작업절차를수립 이행하고, 작업기록을주기적으로검토하여야한다. 보호구역내정보시스템, 모바일기기, 저장매체등에대한반출입통제절차를수립 이행하고주기적으로검토하여야한다. 공용으로사용하는사무용기기 ( 문서고, 공용 PC, 복합기, 파일서버등 ) 및개인업무환경 ( 업무용 PC, 책상등 ) 을통해개인정보및중요정보가비인가자에게노출또는유출되지않도록클린데스크, 정기점검등업무환경보호대책을수립 이행하여야한다. 정보시스템과개인정보및중요정보에대한비인가접근을통제하고업무목적에따른접근권한을최소한으로부여할수있도록사용자등록 해지및접근권한부여 변경 말소절차를수립 이행하고, 사용자등록및권한부여시사용자에게보안책임이있음을규정화하고인식시켜야한다. 사용자계정은사용자별로유일하게구분할수있도록식별자를할당하고추측가능한식별자사용을제한하여야하며, 동일한식별자를공유하여사용하는경우그사유와타당성을검토하여책임자의승인및책임추적성확보등보완대책을수립 이행하여야한다. 정보시스템과개인정보및중요정보에대한사용자의접근은안전한인증절차와필요에따라강화된인증방식을적용하여야한다. 또한로그인횟수제한, 불법로그인시도경고등비인가자접근통제방안을수립 이행하여야한다. 법적요구사항, 외부위협요인등을고려하여사용자 ( 개인정보취급자, 관리자등 ) 및정보주체 ( 이용자 ) 가사용하는비밀번호관리절차를수립 이행하여야한다. 정보시스템관리, 개인정보및중요정보관리등특수목적을위하여부여한계정및권한을최소한의업무수행자에게만부여하고별도로식별하여통제하여야한다. 정보시스템과개인정보및중요정보에대한사용자및접근권한등록 부여 이용 변경 말소이력을남기고주기적으로검토하여적정성여부를점검하여야한다. 네트워크에대한비인가접근을통제하기위하여 IP 관리, 단말인증등관리절차를수립 이행하고, 업무목적및중요도에따라네트워크분리 (DMZ, 서버팜, DB 존, 개발존

37 2.6.2 정보시스템접근 응용프로그램접근 데이터베이스접근 무선네트워크접근 원격접근통제 인터넷접속통제 2.7. 암호화적용 암호정책적용 2.8. 정보시스템도입및개발보안 암호키관리 보안요구사항정의 보안요구사항검토및시험 시험과운영환경분리 시험데이터보안 소스프로그램관리 등 ) 와접근통제를적용하여야한다. 서버, 네트워크등정보시스템별로접근이허용되는사용자, 접근제한방식, 안전한접근수단등을정의하여통제하여야한다. 사용자별업무및접근정보의중요도등에따라응용프로그램접근권한을제한하고, 불필요한정보또는중요정보노출을최소화할수있도록기준을수립하여적용하여야한다. 테이블목록등데이터베이스내에서저장 관리되고있는정보를식별하고, 정보의중요도와응용프로그램및사용자유형등에따른접근통제정책을수립 이행하여야한다. 무선네트워크를사용하는경우사용자인증, 송수신데이터암호화, AP 통제등무선네트워크보호대책을적용하여야한다. 또한 AD Hoc 접속, 비인가 AP 사용등비인가무선네트워크접속으로부터보호대책을수립 이행하여야한다. 보호구역이외장소에서의정보시스템관리및개인정보처리는원칙적으로금지하고, 재택근무 장애대응 원격협업등불가피한사유로원격접근을허용하는경우책임자승인, 접근단말지정, 접근허용범위및기간설정, 강화된인증, 구간암호화, 접속단말보안 ( 백신, 패치등 ) 등보호대책을수립 이행하여야한다. 인터넷을통한정보유출, 악성코드감염, 내부망침투등을예방하기위하여주요정보시스템, 주요직무수행및개인정보취급단말기등에대한인터넷접속또는서비스 (P2P, 웹하드, 메신저등 ) 를제한하는등인터넷접속통제정책을수립 이행하여야한다. 개인정보및주요정보보호를위하여법적요구사항을반영한암호화대상, 암호강도, 암호사용정책을수립하고개인정보및주요정보의저장 전송 전달시암호화를적용하여야한다. 암호키의안전한생성 이용 보관 배포 파기를위한관리절차를수립 이행하고, 필요시복구방안을마련하여야한다. 정보시스템의도입 개발 변경시정보보호및개인정보보호관련법적요구사항, 최신보안취약점, 안전한코딩방법등보안요구사항을정의하고적용하여야한다. 사전정의된보안요구사항에따라정보시스템이도입또는구현되었는지를검토하기위하여법적요구사항준수, 최신보안취약점점검, 안전한코딩구현, 개인정보영향평가등의검토기준과절차를수립 이행하고, 발견된문제점에대한개선조치를수행하여야한다. 개발및시험시스템은운영시스템에대한비인가접근및변경의위험을감소시키기위하여원칙적으로분리하여야한다. 시스템시험과정에서운영데이터의유출을예방하기위하여시험데이터의생성과이용및관리, 파기, 기술적보호조치에관한절차를수립 이행하여야한다. 소스프로그램은인가된사용자만이접근할수있도록관리하고, 운영환경에보관하지않는것을원칙으로하여야한다 운영환경이관신규도입 개발또는변경된시스템을운영환경으로이

38 2.9. 시스템및서비스운영관리 변경관리 관할때는통제된절차를따라야하고, 실행코드는시험및사용자인수절차에따라실행되어야한다. 정보시스템관련자산의모든변경내역을관리할수있도록절차를수립 이행하고, 변경전시스템의성능및보안에미치는영향을분석하여야한다 성능및장애관리 백업및복구관리 로그및접속기록관리 정보시스템의가용성보장을위하여성능및용량요구사항을정의하고현황을지속적으로모니터링하여야하며, 장애발생시효과적으로대응하기위한탐지 기록 분석 복구 보고등의절차를수립 관리하여야한다. 정보시스템의가용성과데이터무결성을유지하기위하여백업대상, 주기, 방법, 보관장소, 보관기간, 소산등의절차를수립 이행하여야한다. 아울러사고발생시적시에복구할수있도록관리하여야한다. 서버, 응용프로그램, 보안시스템, 네트워크시스템등정보시스템에대한사용자접속기록, 시스템로그, 권한부여내역등의로그유형, 보존기간, 보존방법등을정하고위 변조, 도난, 분실되지않도록안전하게보존 관리하여야한다 로그및접속기록점검 정보시스템의정상적인사용을보장하고사용자오 남용 ( 비인가접속, 과다조회등 ) 을방지하기위하여접근및사용에대한로그검토기준을수립하여주기적으로점검하며, 문제발생시사후조치를적시에수행하여야한다 시간동기화 로그및접속기록의정확성을보장하고법적효력을지니기위하여관련정보시스템의시각을표준시각으로동기화하여야한다 정보자산의재사용및폐기 정보자산의재사용과폐기과정에서개인정보및중요정보가복구 재생되지않도록안전한재사용및폐기절차를수립 이행하여야한다 시스템및서비스보안관리 보안시스템운영 보안시스템유형별로관리자지정, 최신정책업데이트, 룰셋변경, 이벤트모니터링등의운영절차를수립 이행하고보안시스템별정책적용현황을관리하여야한다 클라우드보안 클라우드서비스이용시서비스유형 (SaaS, PaaS, IaaS 등 ) 에따른비인가접근, 설정오류등에따라중요정보와개인정보가유 노출되지않도록관리자접근및보안설정등에대한보호대책을수립 이행하여야한다 공개서버보안 외부네트워크에공개되는서버의경우내부망과분리하고취약점점검, 접근통제, 인증, 정보수집 저장 공개절차등강화된보호대책을수립 이행하여야한다 전자거래및핀테크보안 전자거래및핀테크서비스제공시정보유출이나데이터조작 사기등의침해사고예방을위해인증 암호화등의보호대책을수립하고, 결제시스템등외부시스템과연계할경우안전성을점검하여야한다 정보전송보안 타조직에개인정보및중요정보를전송할경우안전한전송정책을수립하고조직간합의를통해관리책임, 전송방법, 개인정보및중요정보보호를위한기술적보호조치등을협약하고이행하여야한다 업무용단말기기보안 보조저장매체관리 PC, 모바일기기등단말기기를업무목적으로네트워크에연결할경우기기인증및승인, 접근범위, 기기보안설정등의접근통제대책을수립하고주기적으로점검하여야한다. 보조저장매체를통하여개인정보또는중요정보의유출이발생하거나악성코드가감염되지않도록관리절차를수

39 2.11. 사고예방및대응 패치관리 악성코드통제 사고예방및대응체계구축 취약점점검및조치 재해복구 이상행위분석및모니터링 사고대응훈련및개선 사고대응및복구 재해 재난대비안전조치 재해복구시험및개선 립 이행하고, 개인정보또는중요정보가포함된보조저장매체는안전한장소에보관하여야한다. 소프트웨어, 운영체제, 보안시스템등의취약점으로인한침해사고를예방하기위하여최신패치를적용하여야한다. 다만서비스영향을검토하여최신패치적용이어려울경우책임자승인과보완대책수립등의절차를이행하여야한다. 바이러스 웜 트로이목마 랜섬웨어등의악성코드로부터정보시스템과개인정보처리시스템및업무용단말기등을보호하기위하여악성코드예방 탐지 대응등의보호대책을수립 이행하여야한다. 침해사고및개인정보유출등을예방하고사고발생시신속하고효과적으로대응할수있도록내 외부침해시도의탐지 대응 분석및공유를위한체계와절차를수립하고, 관련외부기관및전문가들과협조체계를구축하여야한다. 정보시스템의취약점이노출되어있는지를확인하기위하여정기적으로취약점점검을수행하고발견된취약점에대해서는신속하게조치하여야한다. 또한최신보안취약점의발생여부를지속적으로파악하고정보시스템에미치는영향을분석하여조치하여야한다. 내 외부에의한침해시도, 개인정보유출시도, 부정행위등을신속하게탐지 대응할수있도록네트워크및데이터흐름등을수집하여분석하며, 모니터링및점검결과에따른사후조치는적시에이루어져야한다. 침해사고및개인정보유출사고대응절차를임직원과이해관계자가숙지하도록시나리오에따른모의훈련을연 1 회이상실시하고훈련결과를반영하여대응체계를개선하여야한다. 침해사고및개인정보유출징후나발생을인지한때에는법적통지및신고의무를준수하기위한절차를마련하여야하며, 절차에따라신속하게대응및복구하고재발방지대책을수립하여적용하여야한다. 자연재해, 통신 전력장애, 해킹등조직의핵심서비스및시스템의운영연속성을위협할수있는재해유형을식별하고유형별예상피해규모및영향을분석하여야한다. 또한복구목표시간, 복구목표시점을정의하고복구전략및대책, 비상시복구조직, 비상연락체계, 복구절차등재해복구체계를구축하여야한다. 재해복구전략및대책의적정성을정기적으로시험하여시험결과, 정보시스템환경변화, 법규등에따른변화를반영하여복구전략및대책을보완하여야한다.

40 다. 개인정보처리단계별요구사항 3.1. 분야항목상세내용 개인정보수집시보호조치 개인정보수집제한 개인정보의수집동의 주민등록번호처리제한 민감정보및고유식별정보의처리제한 간접수집보호조치 개인정보는서비스제공을위하여필요한최소한의정보를적법하고정당하게수집하여야하며, 필수정보이외의개인정보를수집하는경우에는선택항목으로구분하여해당정보를제공하지않는다는이유로서비스제공을거부하지않아야한다. 개인정보는정보주체 ( 이용자 ) 의동의를받거나관계법령에따라적법하게수집하여야하며, 만 14 세미만아동의개인정보를수집하려는경우에는법정대리인의동의를받아야한다. 주민등록번호는법적근거가있는경우를제외하고는수집 이용등처리할수없으며, 주민등록번호의처리가허용된경우라하더라도인터넷홈페이지등에서대체수단을제공하여야한다. 민감정보와고유식별정보 ( 주민등록번호제외 ) 를처리하기위해서는법령에서구체적으로처리를요구하거나허용하는경우를제외하고는정보주체 ( 이용자 ) 의별도동의를받아야한다. 정보주체 ( 이용자 ) 이외로부터개인정보를수집하거나제공받는경우에는업무에필요한최소한의개인정보만수집 이용하여야하고법령에근거하거나정보주체 ( 이용자 ) 의요구가있으면개인정보의수집출처, 처리목적, 처리정지의요구권리를알려야한다 영상정보처리기기설치 운영 영상정보처리기기를공개된장소에설치 운영하는경우설치목적및위치에따라법적요구사항 ( 안내판설치등 ) 을준수하고, 적절한보호대책을수립 이행하여야한다 개인정보보유및이용시보호조치 홍보및마케팅목적활용시조치 개인정보현황관리 개인정보품질보장 개인정보표시제한및이용시보호조치 이용자단말기접근보호 재화나서비스의홍보, 판매권유, 광고성정보전송등마케팅목적으로개인정보를수집 이용하는경우에는그목적을정보주체 ( 이용자 ) 가명확하게인지할수있도록고지하고동의를받아야한다. 수집 보유하는개인정보의항목, 보유량, 처리목적및방법, 보유기간등현황을정기적으로관리하여야하며, 공공기관의경우이를법률에서정한관계기관의장에게등록하여야한다. 수집된개인정보는처리목적에필요한범위에서개인정보의정확성 완전성 최신성이보장되도록정보주체 ( 이용자 ) 에게관리절차를제공하여야한다. 개인정보의조회및출력 ( 인쇄, 화면표시, 파일생성등 ) 시용도를특정하고용도에따라출력항목최소화, 개인정보표시제한, 출력물보호조치등을수행하여야한다. 또한빅데이터분석, 테스트등데이터처리과정에서개인정보가과도하게이용되지않도록업무상반드시필요하지않은개인정보는삭제하거나또는식별할수없도록조치하여야한다. 정보주체 ( 이용자 ) 의이동통신단말장치내에저장되어있는정보및이동통신단말장치에설치된기능에접근이필요한경우이를명확하게인지할수있도록알리고이용자의동의를받아야한다 개인정보목적외개인정보는수집시의정보주체 ( 이용자 ) 에게고지 동의

41 이용및제공 를받은목적또는법령에근거한범위내에서만이용또는제공하여야하며, 이를초과하여이용 제공하려는때에는정보주체 ( 이용자 ) 의추가동의를받거나관계법령에따른적법한경우인지확인하고적절한보호대책을수립 이행하여야한다 개인정보제공시보호조치 개인정보제 3 자제공 개인정보를제 3 자에게제공하는경우법적근거에의하거나정보주체 ( 이용자 ) 의동의를받아야하며, 제 3 자에게개인정보의접근을허용하는등제공과정에서개인정보를안전하게보호하기위한보호대책을수립 이행하여야한다 업무위탁에따른정보주체고지 개인정보처리업무를제 3 자에게위탁하는경우위탁하는업무의내용과수탁자등관련사항을정보주체 ( 이용자 ) 에게알려야하며, 필요한경우동의를받아야한다 영업의양수등에따른개인정보의이전 영업의양도 합병등으로개인정보를이전하거나이전받는경우정보주체 ( 이용자 ) 통지등적절한보호조치를수립 이행하여야한다 개인정보의국외이전 개인정보를국외로이전하는경우국외이전에대한동의, 관련사항에대한공개등적절한보호조치를수립 이행하여야한다 개인정보파기시보호조치 개인정보의파기 개인정보의보유기간및파기관련내부정책을수립하고개인정보의보유기간경과, 처리목적달성등파기시점이도달한때에는파기의안전성및완전성이보장될수있는방법으로지체없이파기하여야한다 처리목적달성후보유시조치 개인정보의보유기간경과또는처리목적달성후에도관련법령등에따라파기하지아니하고보존하는경우에는해당목적에필요한최소한의항목으로제한하고다른개인정보와분리하여저장 관리하여야한다 휴면이용자관리 서비스를일정기간동안이용하지않는휴면이용자의개인정보를보호하기위하여관련사항의통지, 개인정보의파기또는분리보관등적절한보호조치를이행하여야한다 정보주체권리보호 개인정보처리방침공개 개인정보의처리목적등필요한사항을모두포함하여개인정보처리방침을수립하고, 이를정보주체 ( 이용자 ) 가언제든지쉽게확인할수있도록적절한방법에따라공개하고지속적으로현행화하여야한다 정보주체권리보장 정보주체 ( 이용자 ) 가개인정보의열람, 정정 삭제, 처리정지, 이의제기, 동의철회요구를수집방법 절차보다쉽게할수있도록권리행사방법및절차를수립 이행하고, 정보주체 ( 이용자 ) 의요구를받은경우지체없이처리하고관련기록을남겨야한다. 또한이용자의사생활침해, 명예훼손등타인의권리를침해하는정보가유통되지않도록삭제요청, 임시조치등의기준을수립 이행하여야한다 이용내역통지 개인정보의이용내역등정보주체 ( 이용자 ) 에게통지하여야할사항을파악하여그내용을주기적으로통지하여야한다.

42 [ 별표 8] 인증의표시 제 조 제 조관련 1. 인증번호부여 가. 인증번호는유일성, 간결성, 관리의용이성등을고려하여최초심사, 갱신심사의구분없이최초발급순서별로부여한다. 나. 인증번호는아래와같은형식으로부여한다. 2. 도안모형 발행연도에서의부여순서최초인증발행연도인증기관 P( 개인정보를포함한경우 ) ISMS 정보보호및개인정보보호관리체계인증 정보보호관리체계인증 3. 인증표시에대한유의사항 가. 인증취득사실의홍보는인증서를발급받은날부터효력이유지되는동안에만사용이가능하다. 인증이취소된경우에는인증에대한홍보, 인증서사용을중지하여야한다. 나. 인증표시를사용하는경우유효기간, 인증범위를함께표시하여야한다. 다. 인증을취득한자는인증의사실을과장되거나불명확한표현을사용하여광고할수없다. 4. 인증표시의사용방법 가. 인증표시는지정된색상으로사용할수있다. 또한색상이명확하게나타날수있는바탕색위에흑백으로사용하거나표시된인쇄물의주된단일색상으로사용할수있다. 나. 인증표시의크기는표시물대상의크기나표시장소의여건에따라조정할수있으며, 같은비율로축소또는확대하여표시할수있다. 다. 일반문서, 편지의상단, 송장, 홍보책자등에인증취득사실의내용을홍보할수있다. 5. 인증명판제작시유의사항 가. 소재는가급적동판으로제작한다.

43 나. 바탕색은가급적연마하지않은황동색으로한다. 다. 도안모형은인증의표지를중앙에둔다. 라. 글씨및도형은양각으로한다. 마. 크기는사각형으로하며가로와세로비율을 3 : 2로하여일정비율로조정할수있다.

44 정보보호및개인정보보호관리체계인증등에관한고시 [ 별지제 1 호서식 ] 색상이어두운난은신청인이작성하지아니하며, [ ] 에는해당되는곳에 표를합니다. 접수번호접수일시처리기간 업체명 사업자등록번호 대표자 전화번호 신청인 주소 전자우편주소 ( ) 총직원수 인증심사를수행하는직원수 신청구분 [ ] 신규 [ ] 재지정 기관구분 [ ] 인증기관 [ ] 심사기관 정보통신망이용촉진및정보보호등에관한법률 제47조제6항, 제7항, 제47조의3제3항및같은법시행령제53조의2, 개인정보보호법 제32조2제5항및같은법시행령제34조의6, 정보보호및개인정보보호관리체계인증등에관한고시 제6조에따라정보보호및개인정보보호관리체계인증기관또는심사기관지정을위와같이신청합니다. 년월일 신청인 ( 대표자 ) ( 서명또는인 ) 과학기술정보통신부장관귀하행정안전부장관귀하방송통신위원회귀하 첨부서류 ( 각 3부 ) 담당공무원확인사항 1. 정관또는규약 2. 별지제2호서식의인증심사원의보유현황과이를증명할수있는서류 3. 별표 1에따른업무수행요건 능력심사를위하여필요한서류 1부법인등기사항증명서 수수료 없음 처리절차 신청서작성 è 접수 è 심사 è 지정여부결정 è 지정서교부 신청인처리기관처리기관처리기관처리기관 210mm 297mm[( 백상지 (80g/ m2 ) 또는중질지 (80g/ m2 )]

45 정보보호및개인정보보호관리체계인증등에관한고시 [ 별지제 2 호서식 ] 업체명 신청인 대표자 전체직원수 인증심사업무를전담하는직원의수 생년월일입사일소속부서및업무고용형태 번호 성명 인증심사원 자격번호 최초자격취득일 심사원등급 신청서제출시점 인증심사 참여일수 최근 3 년이내 비고 일 일 일 일 일 일 유의사항 1. 심사원등급 란에는심사원, 선임심사원, 책임심사원여부를기재한다. 2. 인증심사원자격보유및인증심사경력을증빙할수있는서류를함께제출하여야한다. 3. 비고에학위, 자격등에대한사항을추가로기재한경우학위및자격을취득하였음을확인할수있는서류를함께제출하여야한다. 210mm 297mm[( 백상지 (80g/ m2 )]

46 정보보호및개인정보보호관리체계인증등에관한고시 [ 별지제 3 호서식 ] ( 제 1 쪽 ) 등록번호 : 유효기간 : 업체명 : 대표자 : 업무의범위 : 정보통신망이용촉진및정보보호등에관한법률 제 47 조제 6 항, 제 47 조의 3 제 3 항및같은법시행령제 53 조의 2, 개인정보보호법 제 32 조 2 제 5 항및같은법시행령제 34 조의 6 에따라위와같이정보보호및개인정보보호관리체계 인증기관 ( 위인증업무에한함 ) 으로지정합니다. 년월일 과학기술정보통신부장관직인행정안전부장관직인방송통신위원회직인 210mm 297mm[ 백상지 (150g/ m2 )]

47 ( 제 2 쪽 ) Registry Number : Period of Validity : Name of Organization : Name of Representative : Scope of Certification work : This is to certify that the abovementioned organization is designated Certification Body of Personal information & Information Security Management System in accordance with Article 47, Paragraph 6 and Article 47-3, Paragraph 3 of Act on Promotion of Information and Communications Network Utilization and Information Protection, etc. and Article 53-2 of the Enforcement Decree of the same Act and in accordance with Article 32-2 of Personal Information Protection Act and Article 34-6 of the Enforcement Decree of the same Act. Date of Issuance: 서명또는직인서명또는직인서명또는직인 Minister, Ministry of Science and ICT Minister of the Interior and Safety Korea Communications Commission 210mm 297mm[ 백상지 (150g/ m2 )]

48 정보보호및개인정보보호관리체계인증등에관한고시 [ 별지제 4 호서식 ] ( 제 1 쪽 ) 등록번호 : 유효기간 : 업체명 : 대표자 : 업무의범위 : 정보통신망이용촉진및정보보호등에관한법률 제 47 조제 7 항, 제 47 조의 3 제 3 항및같은법시행령제 53 조의 2, 개인정보보호법 제 32 조 2 제 5 항및같은법시행령제 34 조의 6 에따라위와같이정보보호및개인정보보호관리체계 심사기관 ( 위심사업무에한함 ) 으로지정합니다. 년월일 과학기술정보통신부장관직인행정안전부장관직인방송통신위원회직인 210mm 297mm[ 백상지 (150g/ m2 )]

49 ( 제 2 쪽 ) Registry Number : Period of Validity : Name of Organization : Name of Representative : Address : Scope of Examination work : This is to certify that the abovementioned organization is designated Certification Body of Personal information & Information Security Management System in accordance with Article 47, Paragraph 7 and Article 47-3, Paragraph 3 of Act on Promotion of Information and Communications Network Utilization and Information Protection, etc. and Article 53-2 of the Enforcement Decree of the same Act and in accordance with Article 32-2 of Personal Information Protection Act and Article 34-6 of the Enforcement Decree of the same Act. Date of Issuance: 서명또는직인서명또는직인서명또는직인 Minister, Ministry of Science and ICT Minister of the Interior and Safety Korea Communications Commission 210mm 297mm[ 백상지 (150g/ m2 )]

50 정보보호및개인정보보호관리체계인증등에관한고시 [ 별지제 5 호서식 ] [ ] 에는해당되는곳에 표를합니다. 업체명 대표자 사업자등록번호 인증기관 인증기관등록번호인증기관지정일 ( 유효기간 ) 인증업무의범위 구분세부실적 신규인증건수건 정보보호및개인정보보호관리체계인증실적 인증취소건수건 인증유지건수건 신규인증건수건 정보보호관리체계인증실적 인증취소건수건 인증유지건수건 인증기관지정요건내역변동사항 [ ] 없음 [ ] 있음 정보통신망이용촉진및정보보호등에관한법률시행령 제 53 조의 4, 개인정보보호법시행령 시행령제 34 조의 6, 정보보호및개인정보보호관리체계인증등에관한고시 제 8 조에따라정보보호 및개인정보보호관리체계인증실적을제출합니다. 년월일 신청인 ( 대표자 ) ( 서명또는인 ) 과학기술정보통신부장관귀하행정안전부장관귀하방송통신위원회귀하 첨부서류 1. 인증실적내역 2. 인증기관지정요건내역변동사항 ( 해당되는경우만제출 ) 210mm 297mm[( 백상지 (80g/ m2 )]

51 정보보호및개인정보보호관리체계인증등에관한고시 [ 별지제 6 호서식 ] [ ] 에는해당되는곳에 표를합니다. 업체명 대표자 사업자등록번호 심사기관 심사기관등록번호심사기관지정일 ( 유효기간 ) 심사업무의범위 구분세부실적 최초심사건 정보보호및개인정보보호관리체계인증심사실적 갱신심사건 사후심사건 최초심사건 정보보호관리체계인증심사실적 갱신심사건 사후심사건 심사기관지정요건내역변동사항 [ ] 없음 [ ] 있음 정보통신망이용촉진및정보보호등에관한법률시행령 제 53 조의 4, 개인정보보호법시행령 시행령제 34 조의 6, 정보보호및개인정보보호관리체계인증등에관한고시 제 8 조에따라정보보호 및개인정보보호관리체계인증심사실적을제출합니다. 년월일 신청인 ( 대표자 ) ( 서명또는인 ) 과학기술정보통신부장관귀하행정안전부장관귀하방송통신위원회귀하 첨부서류 1. 인증심사실적내역 2. 심사기관지정요건내역변동사항 ( 해당되는경우만제출 ) 210mm 297mm[( 백상지 (80g/ m2 )]

52 정보보호및개인정보보호관리체계인증등에관한고시 [ 별지제 7 호서식 ] 색상이어두운난은신청인이작성하지아니하며, [ ] 에는해당되는곳에 표를합니다. 접수번호접수일시처리기간 성명생년월일 소 속 신청자 인적사항 주 소 ( 우 : ) 신청일부터 6 개월내에촬영된컬러사진 (3.5cm 4.5cm) 휴대전화 이메일 학력사항최종학력 [ ] 고졸 [ ] 전문대졸 [ ] 대졸 [ ] 석사 [ ] 박사 [ ] 정보보호경력총년개월 경력사항 ( 서류로증명가능한내용만기술 ) 경력내역 ( 중복불가 ) 경력인정자격 [ ] 개인정보보호경력 총 년 개월 [ ] 정보기술경력 총 년 개월 총합 총 년 개월 자격증또는학위명 ( 전공또는논문명 ) 취득일자 수여기관 정보보호및개인정보보호관리체계인증심사원자격을신청하기위하여이신청서를제출합니다. 본신청서의 내용이사실과다르거나, 정보보호및개인정보보호관리체계인증등에관한고시 별표 3 의인증심사원자격검정 응시요건에해당하지아니할때에는합격또는자격을취소하여도이의를제기하지않겠습니다. 년월일 신청자 ( 서명또는인 ) 한국인터넷진흥원장귀하 첨부서류 1. 인증심사원자격검정신청서 2. 응시요건에충족함을증빙하는서류 1 학력증명서 2 부서이동및수행업무내역이구체적으로기재된상세경력증명서또는재직증명서 3 기술실적증명서 ( 해당시 ) 4 자격증명서 ( 해당시 ) 3. 정보보호서약서 4. 개인정보수집 이용동의서등 210mm 297mm[( 백상지 (80g/ m2 ) 또는중질지 (80g/ m2 )]

53 정보보호및개인정보보호관리체계인증등에관한고시 [ 별지제 8 호서식 ] 1. 발급번호 : 2. 성명 : 3. 생년월일 : 4. 유효기간 : 5. 등급 : 위사람은 정보보호및개인정보보호관리체계인증등에관한고시 제 14 조에 따른정보보호및개인정보보호관리체계인증심사원임을증명합니다. 년월일 한국인터넷진흥원장 직인 210mm 297mm[ 백상지 (150g/ m2 )]

54 정보보호및개인정보보호관리체계인증등에관한고시 [ 별지제 9 호서식 ] 색상이어두운난은신청인이작성하지아니하며, [ ] 에는해당되는곳에 표를합니다. 접수번호접수일시처리기간 업체명 사업자등록번호 대표자 전화번호 신청인 주소 전자우편 ( ) 정보보호및개인정보보호관리체계인증 정보보호관리체계인증 심사구분 [ ] 최초심사 [ ] 사후심사 ( 차 ) [ ] 갱신심사 인증범위 범위내개인정보 심사구분 [ ] 최초심사 [ ] 사후심사 ( 차 ) [ ] 갱신심사 인증범위 정보통신망이용촉진및정보보호등에관한법률 제 47 조제 1 항및제 9 항, 제 47 조의 3 제 1 항, 같은법 시행령제 47 조, 개인정보보호법 제 32 조의 2 에따라위와같이인증을신청합니다. 년월일 신청인 ( 대표자 ) ( 서명또는인 ) ooooo( 심사수행기관명 ) 의장 귀하 첨부서류 정보보호및개인정보보호관리체계명세서 1 부 처리절차 신청서작성 è 접수및예비점검 è 수수료납부 è 인증심사 è 인증위원회심의 è 인증서발급 신청인심사수행기관신청인심사수행기관인증기관처리기관 210mm 297mm[( 백상지 (80g/ m2 ) 또는중질지 (80g/ m2 )]

55 정보보호및개인정보보호관리체계인증등에관한고시 [ 별지제 10 호서식 ] 접수번호접수일시처리기간 업체명 사업자등록번호 대표자 전화번호 신청인 주소 전자우편 ( ) 인증번호 : 인증기관 : 인증의범위 : ISO/IEC 인증유효기간 :.. ~.. 최근인증심사수행기간 :.. ~.. 보완조치완료일 : 기반시설지정번호 ( 공문번호 ) : 정보통신기반보호법 제 9조에따른취약점의분석ㆍ평가 취약점분석ㆍ평가수행범위 : 취약점분석ㆍ평가수행기간 :.. ~.. 수행주체 : 정보보호및개인정보보호관리체계인증등에관한고시 제 20 조에따라위와같이정보보호관리체계인증 일부심사생략을신청합니다. 년월일 신청인 ( 대표자 ) ( 서명또는인 ) ooooo( 심사수행기관명 ) 의장귀하 첨부서류 1. 정보보호관리체계인증일부심사생략명세서 1 부. 2. 인증심사일부기준생략을증명할수있는서류 210mm 297mm[( 백상지 (80g/ m2 ) 또는중질지 (80g/ m2 )]

56 정보보호및개인정보보호관리체계인증등에관한고시 [ 별지제 11 호서식 ] ( 제 1 쪽 ) 1. 인증번호 : 2. 업체명 : 3. 대표자 : 4. 인증의범위 : 5. 유효기간 : 6. 심사수행기관 : 정보통신망이용촉진및정보보호등에관한법률 제 47 조제 1 항, 제 47 조의 3 제 1 항, 같은법시행령제 47 조, 개인정보보호법 제 32 조의 2 에따라위와 같이정보보호및개인정보보호관리체계를인증합니다. 년월일 한국인터넷진흥원장또는인증기관의장 직인 210mm 297mm[ 백상지 (150g/ m2 )]

57 ( 제 2 쪽 ) 1. Certificate Number : 2. Name of Organization : 3. Name of Representative : 4. Scope of Certification : 5. Period of Validity : 6. Examination Institution : This is to certify that the abovementioned organization is compliant to the ass essment standard for Personal information & Information Security Management Sys tem certification in accordance with Article 47, Paragraph 1 of Act on Informati on Network Utilization and Data Protection, etc. and Article 47 of the Enforcemen t Decree of the same Act and in accordance with Article 32-2 of Personal Informat ion Protection Act Date of Issuance : 서명또는직인 한국인터넷진흥원장또는인증기관의장영문 210mm 297mm[ 백상지 (150g/ m2 )]

58 정보보호및개인정보보호관리체계인증등에관한고시 [ 별지제 12 호서식 ] ( 제 1 쪽 ) 1. 인증번호 : 2. 업체명 : 3. 대표자 : 4. 인증의범위 : 심사생략범위 : 5. 유효기간 : 6. 심사수행기관 : 정보통신망이용촉진및정보보호등에관한법률 제 47 조제 1 항및제 9 항, 같은법시행령제 47 조에따라위와같이정보보호관리체계를인증합니다. 년월일 한국인터넷진흥원장또는인증기관의장 직인 210mm 297mm[ 백상지 (150g/ m2 )]

59 ( 제 2 쪽 ) 1. Certificate Number : 2. Name of Organization : 3. Name of Representative : 4. Scope of Certification : Scope of omitted certification examination : 5. Period of Validity : 6. Examination Institution : This is to certify that the abovementioned organization is compliant to the assess ment standard for Information Security Management System certification in accordanc e with Article 47, Paragraph 1 of Act on Information Network Utilization and Data Protection, etc. and Article 47 of the Enforcement Decree of the same Act. Date of Issuance : 서명또는직인 한국인터넷진흥원장또는인증기관의장영문 210mm 297mm[ 백상지 (150g/ m2 )]

60 정보보호및개인정보보호관리체계인증등에관한고시 [ 별지제 13 호서식 ] 접수번호접수일시처리기간 업체명 사업자등록번호 대표자 전화번호 신청인 주소 전자우편 ( ) 인증서정보 인증번호 인증범위 재발급사유 위와같이인증서의재발급을신청합니다. 년월일 신청인 ( 대표자 ) ( 서명또는인 ) 한국인터넷진흥원또는인증기관의장귀하 210mm 297mm[( 백상지 (80g/ m2 ) 또는중질지 (80g/ m2 )]

61 정보보호및개인정보보호관리체계인증등에관한고시 [ 별지제 14 호서식 ] 접수번호접수일시처리기간 업체명 사업자등록번호 대표자 전화번호 신청인 주소 전자우편 ( ) 인증정보 인증번호 인증범위 ( 국문 ) 변경내용 변경전 변경후 ( 영문 ) ( 국문 ) ( 영문 ) 변경사유 위와같이인증서의변경을신청합니다. 년월일 신청인 ( 대표자 ) ( 서명또는인 ) 한국인터넷진흥원또는인증기관의장귀하 첨부서류인증서내용의변경이필요함을증명할수있는서류 210mm 297mm[( 백상지 (80g/ m2 ) 또는중질지 (80g/ m2 )]

62 정보보호및개인정보보호관리체계인증등에관한고시 [ 별지제 15 호서식 ] 접수번호접수일시처리기간 업체명 사업자등록번호 대표자 전화번호 신청인 주소 전자우편 ( ) 통지를받은날 통지사항 통지된사항 이의신청대상 이의신청사유 위와같이이의신청합니다. 년월일 신청인 ( 대표자 ) ( 서명또는인 ) 한국인터넷진흥원또는인증기관의장귀하 첨부서류 이의신청내용을확인할수있는증빙자료 210mm 297mm[( 백상지 (80g/ m2 ) 또는중질지 (80g/ m2 )]