콘텐츠로 이동

2.11.5 사고 대응 및 복구

인증 기준

침해사고 및 개인정보 유출 징후나 발생을 인지한 때에는 법적 통지 및 신고 의무를 준수하여야 하며, 절차에 따라 신속하게 대응 및 복구하고 사고분석 후 재발방지 대책을 수립하여 대응체계에 반영하여야 한다.

주요 확인사항

  • 침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우 정의된 침해사고 대응절차에 따라 신속하게 대응 및 보고가 이루어지고 있는가?

  • 개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하고 있는가?

  • 침해사고가 종결된 후 사고의 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하고 있는가?

  • 침해사고 분석을 통하여 얻은 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하고 있는가?

관련 법규

세부 설명

  • 침해사고 및 개인정보 유출의 징후 또는 발생을 인지한 경우 정의된 침해사고 대응절차에 따라 신속하게 대응 및 보고가 이루어져야 한다.

    • 침해사고 초기 대응 및 증거 보존 조치

      • 침해가 의심되는 정보시스템의 접속권한 삭제·변경 또는 접속차단 조치

      • 네트워크, 방화벽 등 대내외 시스템 보안점검 및 취약점 보완 조치

      • 사고 조사에 필요한 외부의 접속기록 등 증거 보존 조치

      • 로그 분석 등을 통한 개인정보 및 중요정보 유출 여부 확인 등

    • 다음 사항을 포함한 침해사고보고서 작성 및 내부 보고

      • 침해사고 발생일시

      • 보고자와 보고일시

      • 사고내용(발견사항, 피해내용 등)

      • 사고대응 경과 내용

      • 사고대응까지의 소요시간 등

    • 침해사고가 조직에 미치는 영향이 심각할 경우 보고절차에 따라 최고경영진까지 신속히 보고

  • 개인정보 침해사고 발생 시 관련 법령에 따라 정보주체(이용자) 통지 및 관계기관 신고 절차를 이행하여야 한다.

    • 개인정보 유출 시 정보주체(이용자)에게 알려야 할 사항

      • 개인정보처리자

        • 유출된 개인정보의 항목
        • 유출된 시점과 그 경위
        • 유출로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보
        • 개인정보처리자의 대응조치 및 피해 구제절차
        • 정보주체에게 피해가 발생한 경우 신고 등을 접수할 수 있는 담당부서 및 연락처

      • 정보통신서비스 제공자

        • 유출 등이 된 개인정보 항목
        • 유출 등이 발생한 시점
        • 이용자가 취할 수 있는 조치
        • 정보통신서비스 제공자 등의 대응 조치
        • 이용자가 상담 등을 접수할 수 있는 부서 및 연락처

    • 개인정보 유출 신고 기준

      • 개인정보처리자

        • 신고 대상 건수: 1천 명 이상 정보주체에 관한 개인정보 유출 시
        • 신고 시점: 지체 없이(5일 이내)
        • 신고 기관: 개인정보보호위원회 또는 KISA

      • 정보통신서비스 제공자

        • 신고 대상 건수: 유출 건수와 무관
        • 신고 시점: 정당한 사유가 없는 한 그 사실을 안 때부터 24시간 이내
        • 신고 기관: 개인정보보호위원회 또는 KISA

  • 침해사고가 종결된 후 사고 원인을 분석하여 그 결과를 보고하고 관련 조직 및 인력과 공유하여야 한다.

    • 침해사고가 처리되고 종결된 후 이에 대한 사고 원인에 대한 분석을 수행하고 결과보고서를 작성하여 책임자에게 보고

    • 침해사고 정보와 발견된 취약점 및 원인, 조치방안 등을 관련 조직 및 인력에게 공유

  • 침해사고 분석을 통하여 얻은 정보를 활용하여 유사 사고가 재발하지 않도록 대책을 수립하고 필요한 경우 침해사고 대응절차 등을 변경하여야 한다.

    • 침해사고 분석을 통하여 얻은 정보를 활용하여 유사 사고가 반복되지 않도록 하는 재발방지 대책 수립

    • 분석된 결과에 따라 필요한 경우 침해사고 대응절차, 정보보호 정책 및 절차 등 침해사고 대응체계에 대한 변경 수행

증거자료

예시

  • 침해사고 대응 절차

  • 침해사고 대응보고서

  • 침해사고 관리대장

  • 개인정보 유출신고서

  • 비상연락망

결함사례

  • 사례 1 : 내부 침해사고 대응지침에는 침해사고 발생 시 개인정보보호위원회 및 이해관계 부서에게 보고하도록 정하고 있으나, 침해사고 발생 시 담당 부서에서 자체적으로 대응 조치 후 정보보호위원회 및 이해관계 부서에 보고하지 않은 경우

  • 사례 2 : 최근 DDoS 공격으로 의심되는 침해사고로 인하여 서비스 일부가 중단된 사례가 있으나, 이에 대한 원인분석 및 재발방지 대책이 수립되지 않은 경우