제10조(침해사고 분석)

① 정보보호 담당자는 보안사고로 인한 피해를 최소화하기 위해 보안사고 유형 및 등급에 따라 정보보호 최고책임자의 승인을 받는다.

② 정보보호 담당자는 다음 각 호에 따라 보안사고 분석 및 로그 수집을 수행한다.

- 서버 및 네트워크관리자와 정보보호 담당자는 보안사고 내용을 분석하여 침입사실, 사고 원인 등을 파악 한다.

- 서버 및 네트워크관리자는 증거확보를 위해 현재 보유하고 있는 로그 중 침입흔적을 담은 모든 로그를 백업 받는다.

- 파일시스템은 상세한 수준으로 덤프를 받은 후, 서명 일시 등을 기록하고, 덤프파일은 안전한 곳에 보관한다.

- 정보보호 담당자는 정보보호시스템 로그를 점검하여 관련기록을 모두 백업 받고 안전한 곳에 보관한다.

- 재 침입의 위험이 있다고 판단될 때에는 네트워크 접속을 끊거나 단일사용자(Single-User)모드에서 작업해야 한다.

③ 침입자가 현재 시스템에 침투해 해킹을 하고 있는 것으로 판단된 경우에는 다음과 같은 조치를 즉시 취한다.

- 정보보호 담당자는 즉시 해당 시스템을 네트워크와 분리한 후 정보보호 최고책임자의 결정 따라 추적여부를 결정한다.

- 침입 후 활동하는 내용이 치명적이지 않다고 판단되는 경우 정보보호 최고책임자의 승인하에 로그분석을 통하여 침입위치 및 침입대상을 추적한다.

- 침입자를 추적할 수 없거나, 해킹으로부터 시스템의 보호가 우선이라고 판단되는 경우 접속을 차단하여야 한다.

④ 정보보호 담당자는 보안사고 분석 및 대응 업무 수행 중 필요에 따라 외부 기관의 협조를 받을 수 있다. 이때 협조 의뢰의 최종결정은 정보보호 최고책임자가 한다.

제11조(증거수집 및 보존)

① 서버 및 네트워크관리자는 분석 및 수집한 증거를 정보보호 담당자에게 전달한다.

② 정보보호 담당자는 침입자 처벌 및 법률적 대응을 위해, 수집된 증거를 사고발생 후 공소시효까지 안전하게 보존하여야 한다.

제12조(결과보고)

① 정보보호 담당자는 조치결과를 취합하여 보안사고 1, 2등급에 대하여 보안사고 조치 보고서를 다음 각 호와 같이 작성하여 정보보호 최고책임자에게 사고 경과와 조치사항을 보고한다.

- 보안사고 분석결과

- 보안사고 대응내역

- 조치계획 및 조치내역

- 재발방지 방안 및 계획

② 개인정보사고의 경우 정보보호 담당자는 사고 종료 시까지 다음 각 호의 사항에 대해 상시 모니터링 및 대응을 수행한다.

- 고객이나 언론의 동향 분석

- 법률 Risk 파악

- 피해고객 구제방안 모색 등 사고대응 활동

③ 개인정정보 유출사고의 경우 정보보호 담당자는 해당 정보주체에게 다음 각 호의 사항을 포함하여 유출사실을 통보하여야 한다.

- 유출 등이 된 개인정보 항목

- 유출 등이 발생한 시점과 그 경위

- 정보주체가 취할 수 있는 조치

- 회사의 대응조치 및 피해 구제절차