[5.3.1 침해사고 분석 및 공유] 📖 1) 침해사고가 종결된 후 사고의 원인을 분석하고 그 결과를 이용자에게 고지하고 있는가?

5. 침해사고관리 > 5.3. 사후관리
🔍 점검 취지 및 해설
■ 침해사고가 처리되고 종결된 후 사고의 원인을 분석하고 분석결과를 이용자에게 고지하여야 한다.

- 전화, 휴대전화, 우편, 문자메시지, 전자 우편 또는 홈페이지 등을 통해 이용자에게 고지
✍️ 운영 현황 및 증적 기록
작성 완료됨

■ 침해사고가 처리되고 종결된 후 사고의 원인을 분석하고 분석결과를 이용자에게 고지하여야 한다.

-->침해사고 분석 및 분석결과에 따른 보고를 지침에 명시해야 합니다.

7(침해사고 보고)

클라우드 컴퓨팅 서비스 상의 침해사고 징후 또는 침해사고 발생을 인지한 경우 침해사고 보고 절차에 따라 신속하게 보고하여야 한다..

- 침해사고가 조직에 미치는 영향이 심각할 경우 최고경영진에게 신속히 보고

- 침해사고 초기 대응 및 증거 보존 조치

침해사고 발생시 침해사고 대응 보고서가 작성되야 하고 보고서에는 다음과 같은 사항이 포함되어 있어야 한다.

1. 발생일시

2. 보고자와 보고일시

3. 사고내용 (발견사항, 피해내용 등)

4. 침해사고 경과 내용

5. 사고대응까지의 소요시간 등

사고 및 장애 발생 시 국가기관등의 고객사의 클라우드 보안사고 및 장애 대응 절차에 따라 진행되도록 사업자의 침해사고 대응 절차를 점검하고, 아래의 내용을 포함한 사고 발생 보고서를 해당 국가기관등에 제공할 수 있어야 한다.

- 사고 발생일시

- 보고자와 보고일시

- 사고내용 (원인, 발견사항, 피해내용 등)

- 사고대응 경과 내용

- 사고대응까지의 소요시간

- 사고자 및 관계자의 인적 사항

- 조치 내용 등

또한 침해사고 보고는 법으로 명시되어 있는 기준이 있기때문에 이 또한 지침서에 명시해야 합니다.

침해사고 발생시 침해사고 유형에 따른 법적 통지 및 신고 의무를 아래 기준에 따라 준수한다.
※ 침해사고 발생시 법적 통지 및 신고 의무

구분

클라우드컴퓨팅법

정보통신망법

근거

클라우드컴퓨팅법 25(침해사고 등의 통지 )

정보통신망법 제48조의3(침해사고의 신고 등)

주체

클라우드컴퓨팅서비스 제공자

정보통신서비스 제공자 집적정보통신시설 사업자

신고

대상

이용자(SaaS 사업자, 기업·개인, 공공기관 )

-

신고

기준

이용자 정보 유출

침해사고 발생

통지

기준

1. 침해사고 발생

2. 이용자 정보 유출

3. 사전예고 없이 대통령령으로 정하는 기간(당사자 계약으로 기간을 정하였을 경우에는 기간을 말한다) 이상 서비스 중단

신고

내용

1. 유출된 이용자 정보의 개요(파악된 경우) 2. 유출된 시점과 경위

3. 클라우드컴퓨팅서비스 제공자의 피해 확산 방지 조치 현황

신고자, 신고기관, 전자우편, 연락처, 발생시간, 피해내역 등

통지

내용

1. 발생내용

2. 발생 원인

3. 피해 확산 방지 조치 현황

4. 이용자의 피해 예방 또는 확산 방지 방법

5. 담당부서 연락처

-

통지

방법

- 전화, 휴대전화, 우편, 전자우편, 문자메시지, 클라우드컴퓨팅서비스 접속화면 게시 또는 이와 유사한 방법

- (또는) 컴퓨팅서비스 접속화면을 통해 알리는 경우 15 이상 게시

시기

즉시 또는 지체 없이

24시간내

이용자 정보 유출 발생시 법적 통지 및 신고 의무

구분

클라우드컴퓨팅법

개인정보보호법

근거

클라우드컴퓨팅법 25(침해사고 등의 통지 )

개인정보 보호법 제34(개인정보 유출 등의 통지· 신고)

주체

클라우드컴퓨팅서비스 제공자

개인정보처리자

신고

대상

과학기술정보통신부,한국인터넷진흥원

(TEL:118,클라우드인증 cloud@kisa.or.kr)

개인정보보호위원회, 한국인터넷진흥원 (☎ 118, privacyclean@kisa.or.kr, www.privacy.go.kr))

통지

대상

이용자(SaaS사업자,기업,개인,공공기관등)

정보주체

신고

기준

이용자 정보 유출 발생

① 1천명 이상 개인정보 유출

민감정보 또는 고유식별정보 유출

외부로부터 불법적인 접근으로 개인정보 유출

통지

기준

이용자 정보 유출 발생

개인정보 유출등 발생

신고

내용

1. 유출된 이용자 정보의 개요(파악된 경우)

2. 유출된 시점과 경위

3. 클라우드컴퓨팅서비스 제공자의 피해 확산 방지 조치 현황

1. 유출 등이 된 개인정보 항목

2. 유출 등이 된 시점과 그 경위

3. 유출 등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

4. 개인정보처리자의 대응조치 및 피해 구제절차

통지

내용

1. 발생내용

2. 발생 원인

3. 피해 확산 방지 조치 현황

4. 이용자의 피해 예방 또는 확산 방지 방법

5. 담당부서 연락처

1. 유출 등이 된 개인정보 항목

2. 유출 등이 된 시점과 그 경위

3. 유출 등으로 인하여 발생할 수 있는 피해를 최소화하기 위하여 정보주체가 할 수 있는 방법 등에 관한 정보

4. 개인정보처리자의 대응조치 및 피해 구제절차

통지

방법

- 전화, 휴대전화, 우편, 전자우편, 문자메시지, 클라우드컴퓨팅서비스 접속화면 게시 또는 이와 유사한

- (또는) 컴퓨팅서비스 접속화면을 통해 알리는 경우 15 이상 게시

- 서면 등의 방법

- , 정보주체의 연락처를 알 수 없는 경우 등 정당한 사유가 있는 경우에는 홈페이지에 30일 이상 게시하는 것으로 통지에 갈음하는 조치 가능

시기

즉시 또는 지체 없이

72시간 내

서비스 중단 시 법적 통지 및 신고 의무

구분

클라우드컴퓨팅법

근거

클라우드컴퓨팅법 제25(침해사고 등의 통지 등), 클라우드법 시행령 제16, 17

주체

클라우드컴퓨팅서비스 제공자

신고

대상

과학기술정보통신부, 한국인터넷진흥원 (☎ 118, 클라우드인증 cloud@kisa.or.kr)

통지

대상

이용자(SaaS 사업자, 기업·개인, 공공기관 등)

신고

기준

통지

기준

서비스 중단시간 10분 이상 ② 24시간 이내 2회 이상 중단기간 15분 이상

, 당사자 간 계약으로 기간을 정하였을 경우에는 그 기간 이상 중단 시

신고

내용

-

통지

내용

1. 발생내용

2. 발생 원인

3. 피해 확산 방지 조치 현황

4. 이용자의 피해 예방 또는 확산 방지 방법

5. 담당부서 및 연락처

통지

방법

휴대전화, 우편, 전자우편, 문자메시지 또는 클라우드컴퓨팅서비스 접속화면에 15일 이상 게시

시기

즉시 또는 지체 없이

내용을 수정하거나 파일을 업로드하려면 로그인이 필요합니다.
검토 및 피드백 0

등록된 검토 의견이 없습니다.