ISMS-P (관리체계) 1.2.2 현황 및 흐름분석 (정보서비스흐름도, 개인정보흐름표/흐름도)
2024. 6. 4. 00:40ㆍISMS-P 인증
728x90
| 항목 | 상세내용 | 주요 확인사항 | |
| 1.2.2 | 현황 및 흐름분석 | 관리체계 전 영역에 대한 정보서비스 및 개인정보 처리 현황을 분석하고 업무 절차와 흐름을 파악하여 문서화하며, 이를 주기적으로 검토하여 최신성을 유지하여야 한다. | 관리체계 전 영역에 대한 정보서비스 현황을 식별하고 업무 절차와 흐름을 파악하여 문서화하고 있는가? |
| 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보흐름도 등으로 문서화하고 있는가? | |||
| 서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 주기적으로 검토하여 흐름도 등 관련 문서의 최신성을 유지하고 있는가? | |||
서비스 및 업무, 정보자산 등의 변화에 따른 업무절차 및 개인정보 흐름을 다음 관점을 참고하여 주기적으로(최소 연 1회 이상) 검토하고, 최신성이 유지되도록 관리하여야 합니다.
- 기존 서비스, 업무 및 개인정보 흐름의 변화 여부
: 신규 서비스 오픈 또는 개편, 업무절차 변경, 개인정보 처리 방법 변화, 조직의 변경, 외부 연계 및 제공 흐름 변경 등 - 처리되는 중요정보, 개인정보 항목의 변화 여부
- 정보시스템 및 개인정보처리시스템의 종류, 구성, 기능 등의 변경 여부
- 신규 개인정보 처리업무 및 흐름 발생 여부
- 법규 개정, 신규 취약점의 발생 등 외부 환경의 변화 여부 등
ISMS/ISMS-P 심사 주안점 차이
| ISMS 심사 주안점 | ISMS-P 심사 주안점 |
| 정보서비스의 처리에 관한 현황 및 흐름분석 | 정보서비스 및 개인정보처리에 관한 현황 및 흐름분석 |
현황분석 및 흐름분석
- 현황분석 : 인증기준과 운영현황을 비교하는 GAP 분석표를 통하여 인증기준과 운영현황과의 차이 확인.
- 흐름분석 : 정보서비스 흐름분석과 개인정보 처리단계별 흐름분석으로 구분, 흐름표 또는 흐름도로 도식화 관리.
| 정보서비스 흐름도 | 조직의 업무절차, 정보보호 요구사항, 보안통제의 상호연계를 사용자 기반으로 도식화한 접근통제 개념도를 의미 |
| 개인정보 흐름도 | 수집, 보유, 이용·제공, 파기되는 개인정보 처리단계별로 흐름을 한눈에 확인할 수 있도록 도식화한 개념도를 의미 |
※ 정보서비스 흐름도
: 관리체계 범위 내의 모든 정보서비스 현황을 식별하고, 각 서비스별 업무절차 및 흐름파악하여 문서화합니다.
개발자, 운영자, 개인정보취급자, 인프라담당자, 보안담당자 등 업무별로 상세한 흐름도 작성 및 관리가 필요합니다.
(ISMS-P 인증인 경우) 개인정보 흐름표 / 흐름도
: 관리체계 범위 내 개인정보 처리 현황을 식별하고 개인정보의 흐름을 파악하여 개인정보 흐름표, 개인정보 흐름도 등으로 문서화하여야 합니다
[ 문서화 단계 ]
① 개인정보 처리가 이루어지는 단위업무를 식별
② 각 단위 업무에 대한 개인정보 생명주기별 개인정보 흐름표 작성
③ 작성된 개인정보 흐름표를 기반으로 수집, 보유, 이용·제공, 파기되는 개인정보 처리 단계별로 흐름을 한눈에 파악할 수 있도록 전체 개인정보 흐름도 및 업무별 개인정보 흐름도 작성
※ 개인정보 흐름표 작성 예시 (출처 : 개인정보 영향평가 수행안내서)
| 업무명 | 수집 | |||||
| 수집항목 | 수집경로 | 수집대상 | 수집주기 | 수집담당자 | 수집근거 | |
| 회원관리 | [필수] 이름, 생년월일, 성별, ID, 비밀번호, 휴대전화번호, 이메일, CI [선택] 주소, 관심분야 |
온라인 홈페이지 | 정보주체 | 수시 (회원 가입 시) |
홈페이지 담당자 |
정보주체 동의 |
| 업무명 | 보유·이용 | |||||
| 보유형태 | 암호화항목 | 이용항목 | 이용목적 | 개인정보 취급자 |
이용방법 | |
| 회원관리 | DB | 비밀번호 (SHA-256) |
[필수] 이름, 생년월일, 성별, ID, 비밀번호, 휴대전화번호, 이메일, CI [선택] 주소, 관심분야 |
담당자가 회원 정보를 관리 | 홈페이지 담당자 |
개인 PC를 이용하여 홈페이지에 접속한 후 해당메뉴 선택하여 회원정보를 조회 |
| 업무명 | 파기 | |||
| 보관기간 | 파기담당자 | 파기절차 | 분리보관 | |
| 회원관리 | 회원탈퇴 후 지체없이 삭제 또는 3년 보관 |
홈페이지 담당자 |
목적 달성 시 테이블에서 해당 레코드 삭제, 그러나 기간경과 후 파기하지 않음 |
- |
※ 개인정보 흐름표 작성 예시 (출처 : 개인정보 영향평가 수행안내서)
| 총괄(통합) 개인정보 흐름도 예시 | 업무별 개인정보 흐름도(상세) 예시 |
 |
 |
※ 증거자료 예시
- 정보서비스 현황표
- 정보서비스 업무흐름표·업무흐름도
- (ISMS-P 인증인 경우) 개인정보 처리 현황표
- (ISMS-P 인증인 경우) 개인정보 흐름표·흐름도
※ 결함사례 예시
- 사례 1
: 관리체계 범위 내 주요 서비스의 업무 절차·흐름 및 현황에 문서화가 이루어지지 않은 경우 - 사례 2
: 개인정보 흐름도를 작성하였으나, 실제 개인정보의 흐름과 상이한 부분이 다수 존재하거나 중요한 개인정보 흐름이 누락되어 있는 경우 - 사례 3
: 최초 개인정보 흐름도 작성 이후에 현행화가 이루어지지 않아 변화된 개인정보 흐름이 흐름도에 반영되지 않고 있는 경우
728x90
'ISMS-P 인증' 카테고리의 다른 글
| (관리체계) 1.2.4 보호대책 선정 (위험 감소/회피/전가/수용) (0) | 2024.06.05 |
|---|---|
| ISMS-P (관리체계) 1.2.3 위험평가(Risk assessment) (0) | 2024.06.04 |
| ISMS-P (관리체계) 1.2.1 정보자산 식별 (1) | 2024.06.03 |
| ISMS-P (관리체계) 1.1.6 자원 할당 (0) | 2024.06.03 |
| ISMS-P 인증심사 - (관리체계) 1.1.5 정책 수립 (0) | 2024.06.02 |