[ISMS-P] KISA 점검항목 vs. FSI 점검항목의 차이점

• 경영진이 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립∙이행하고 있는가?

• 경영진이 정보보호 및 개인(신용)정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는 보고, 검토 및 승인 절차를 수립･이행하고 있는가?

• 최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?

• 최고경영자는 정보보호 및 개인(신용)정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가?

• 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며 관련 법령에 따른 자격요건을 충족하고 있는가?

• 정보보호 최고책임자 및 개인정보 보호책임자, 신용정보관리∙보호인은 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며, 관련 법령에 따른 자격요건을 충족하고 있는가?

• 금융회사 또는 전자금융업자는 정보보호위원회에서 전자금융거래의 안전성 확보 및 이용자의 보호에 관한 사항을 심의･의결하고 있는가?

• 정보보호 및 개인정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가?

• 정보보호 및 개인(신용)정보보호 정책의 시행을 위하여 필요한 세부적인 방법, 절차, 주기 등을 규정한 지침, 절차, 매뉴얼 등을 수립하고 있는가?

• 전자금융거래의 안전성 확보 및 이용자 보호를 위해 정보기술부문과 정보보호에 필요한 예산과 인력을 지원하고 있는가?

<< 전자금융감독규정 제8조(인력, 조직 및 예산) >>
– 정보기술부문 인력은 총 임직원수의 100분의 5 이상, 정보보호인력은 정보기술부문 인력의 100분의 5 이상이 되도록 할 것
– 정보보호예산을 정보기술부문 예산의 100분의 7 이상이 되도록 할 것

• 경영진은 전자금융거래 안전성 확보 및 이용자 보호와 개인신용정보의 관리 및 보호 실태에 대한 법적 요구사항에 대해 준수 여부를 정기적으로 점검하고 최고경영자에게 보고하고 있는가?

– 정보보호최고책임자는 정보보안점검의 날을 지정하고, 임직원이 정보보안 점검항목을 준수했는지 매월 점검하고 그 점검 결과 및 보완 계획을 최고경영자에 보고해야 함

• 신용정보회사등이 신용정보제공∙이용자가 다른 신용정보제공∙이용자 또는 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사와 서로 신용정보를 제공하는 경우 신용정보 보안관리 대책을 포함한 계약을 체결하고 있는가?

• 외부자에 대한 계약 내용의 적절성 검토와 자체적인 통제를 위해 관리감독 할 수 있는 조직과 인력을 갖추고 있는가?

• 외부자가 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가?

• 외부자가 법령, 계약서, 협정서, 내부정책에 명시된 정보보호 및 개인정보보호 요구사항을 준수하고 있는지 주기적으로 점검 또는 감사를 수행하고 있는가?

• 개발업무에 사용되는 업무장소 및 전산설비는 내부 업무용과 분리 설치∙운영되고 있는가?

• 금융회사 및 전자금융업자, 신용정보회사등으로부터 위탁 받은 업무를 제3자에게 재위탁하지 않고 있는가?

• 전산실이 위치한 건물 출입구는 경비원에 의해 통제하고 전산실 출입문을 한곳으로 지정하여 운영하고 있으며, 주요 설비시설에 대해 출입통제하고 있는가?

• 정보시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성규칙을 수립∙이행하고 있는가?

• 정보시스템 및 개인정보처리시스템에 대한 안전한 사용자 비밀번호 관리절차 및 작성 규칙을 수립∙이행하고 있는가?

• 비밀번호, 생체인식정보 등에 대해 조회가 불가피하게 인정되는 경우 조회사유, 내용 등을 기록 관리하고 있는가?

• 정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성 규칙을 수립∙이행하고 있는가?

• (신용)정보주체(이용자)가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성 규칙을 수립∙이행하고 있는가?

• 전자금융거래 등 대고객 서비스 제공 시 계정 및 비밀번호 관리 절차 등 이용자 유의사항을 공지하고 있는가?

• 정보시스템 관리자에 대한 적절한 접근통제를 적용하고 주요 업무 행위를 책임자가 이중확인 및 모니터링 하고 있는가?

• 개인정보 및 중요정보의 표시제한 보호조치의 일관성을 확보할 수 있도록 관련 기준을 수립하여 적용하고 있는가?

• 개인(신용)정보 및 중요정보의 표시제한 보호조치의 일관성을 확보할 수 있도록 관련 기준을 수립하여 적용하고 있는가?

• 개인정보 및 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가?

• 개인(신용)정보 및 중요정보의 불필요한 노출(조회, 화면표시, 인쇄, 다운로드 등)을 최소화할 수 있도록 응용프로그램을 구현하여 운영하고 있는가?

• 전산실 내부에 무선통신망 설치 및 운용을 금지하고 있는가?

• 내부통신망과 연결된 내부 업무용시스템과 정보처리시스템의 운영∙개발∙보안 목적으로 직접 접속하는 단말기에 대한 원격접속 시 보안대책을 적용하고 있는가?

• 관련 법령에 따라 인터넷망 차단 의무가 부과된 경우 대상자를 식별하여 안전한 방식으로 인터넷망 차단 조치를 적용하고 있는가?

• 관련 법령에 따라 망분리 및 인터넷망 차단 의무가 부과된 경우 대상을 식별하여 안전한 방식으로 망분리 및 인터넷망 차단 조치를 적용하고 있는가?

<< 전자금융감독규정 제15조(해킹 등 방지대책) >>
– 내부통신망과 연결된 내부 업무용시스템은 인터넷(무선통신망 포함) 등 외부통신망과 분리ㆍ차단 및 접속 금지
– 전산실 내에 위치한 정보처리시스템과 해당 정보처리시스템의 운영, 개발, 보안 목적으로 직접 접속하는 단말기에 대해서는 인터넷 등 외부통신망으로부터 물리적으로 분리

• 신용정보집중기관과 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사(기업정보조회업무만 하는 회사 제외)가 서로 개인식별번호를 제공하는 경우 안전한 암호알고리즘을 사용하여 암호화 하고 있는가?

• 신용정보회사등이 개인신용정보의 처리를 위탁하는 경우 특정 신용정보주체를 식별할 수 있는 정보를 암호화하여 수탁자에게 제공하고 있는가?

• 전자금융 관련 업무 수행 시 자체 보안성 심의 또는 검증을 실시하고 있는가?

• 프로그램 설명서, 입∙출력 레코드∙설명서, 프로그램 목록 및 사용자∙운영자지침서 등 소스 프로그램 유지보수에 필요한 문서를 작성∙관리하고 있는가?

• 소스 프로그램 변경이 필요한 경우 해당 프로그램 개발 또는 시험 시스템에 복사 후 변경하고 있는가?

• 운영환경 이관 시 소스 프로그램 반출, 실행프로그램의 생성, 운영시스템 등록은 해당 프로그램 담당자 이외의 자가 수행하고 있는가?

• 장애 또는 오류 등에 의한 전산원장 변경을 위하여 별도의 변경절차를 수립∙운영하고 있는가?

• 안전하고 체계적인 일괄작업(batch) 수행을 위한 사항을 준수하고 있는가?

• 주요 프로그램(DBMS, OS, 웹프로그램 등) 및 정보시스템의 지속적인 가용성, 무결성 등을 보장하기 위해 지속적인 유지보수를 수행하고 있는가?

• 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가?

• 전산자료 등 중요정보가 백업된 정보의 완전성과 정확성, 복구절차의 적절성을 확인하기 위하여 정기적으로 복구 테스트를 실시하고 있는가?

• 정보시스템 가동기록을 1년 이상 보존하고 있는가?

• 단말기를 통한 이용자 정보 조회내역을 정보시스템에 자동 기록하고 그 기록을 1년 이상 보존하고 있는가?

• 이용자 중요원장에 직접 접근하여 조회∙수정∙삭제∙삽입한 경우 작업자 및 작업내용 등을 기록하여 5년간 보존하고 있는가?

• 정보시스템 및 정보보호시스템 관련 기록을 보존하고 있는가?

<< 전자금융감독규정 제15조(해킹 등 방지대책) >>
– 정보보호시스템에 대하여 책임자를 지정ㆍ운영하여야 하며, 운영결과는 1년 이상 보존

• 개인신용정보 등 이용자 정보를 처리(조회, 출력 등)하는 경우 처리자의 신원, 처리일시, 대상정보, 목적, 용도 등을 기록∙관리하고 있는가?

• 로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하고 있는가?

• 중요정보 및 주요 정보시스템에 대한 로그 검토 및 모니터링 결과를 책임자에게 보고하고 이상징후 발견 시 절차에 따라 대응하고 있는가?

• 개인신용정보취급자의 개인신용정보 처리기록 확인할 수 있는 수단 및 이의 점검∙감사체제를 갖추고 개인신용정보 이상 과다 조회에 대해 수시 점검을 실시하고 있는가?

• 조직에서 운영하고 있는 보안시스템에 대한 운영절차를 수립∙이행하고 있는가?

• 해킹 등 전자적 침해행위로 인한 사고를 방지하기 위해 조직에서 운영하고 있는 보안시스템에 대한 운영절차를 수립∙이행하고 있는가?

• 보안시스템에 최소한의 서비스포트(port)와 기능만 적용하고 업무목적 이외 기능 및 프로그램을 제거하고 있는가?

• 보안시스템의 원격관리를 금지하고 주기적으로 작동 상태를 점검하고 있는가?

• 보안시스템 장애, 가동중지 등 긴급사태에 대비한 백업 및 복구절차를 수립∙시행하고 있는가?

• 클라우드 서비스를 이용하고자 하는 경우 법령에서 정한 절차를 수행하고 있는가?

• 클라우드 서비스를 이용･변경하는 경우 법령에서 정한 기간(3개월) 내에 금융감독원에 보고하고 관련 서류를 최신상태로 유지하고 있는가?

• 공개서버에서 제공하는 서비스 이외의 다른 서비스 제공 및 시험∙개발 도구 등 불필요한 소프트웨어∙스크립트∙실행파일 설치를 금지하고 있는가?

• 관련 법적 요구사항에 따른 전자(상)거래 기록의 보존 및 관리를 하고 있는가?

• 전자금융거래에서 이용자에게 제공하거나 거래를 처리하기 위한 전자금융거래프로그램(거래전문포함)의 위∙변조 여부 등 무결성을 검증할 수 있는 방법을 제공하고 있는가?

• 신용정보회사등은 개인신용정보를 보조저장매체에 저장하거나 이메일 등의 방법으로 외부로 전송하는 경우 관리책임자의 사전 승인을 받도록 하는 내부시스템을 구축하고 있는가?

• 단말기에 업무목적과 관계없는 비인가 또는 불법 소프트웨어 설치를 제한하는 절차를 수립∙이행하고 있는가?

• 단말기 공유를 금지하고 단말기에 이용자정보 등 중요정보를 보관하지 아니하고 있는가?

• 중요단말기를 지정하고 외부반출, 인터넷 및 그룹웨어 접속 금지 등의 보호대책을 적용하고 있는가?

• 패치관리시스템을 활용하는 경우 접근통제 등 충분한 보호대책을 마련하고 있는가?

• 패치관리시스템을 활용하는 등 내부통신망에서의 파일 배포 기능을 통합∙최소화하여 운영하고 이를 배포할 경우 무결성 검증 수행, 접근통제 등 충분한 보호대책을 마련하고 있는가?

• 서비스 거부 공격(DDoS)의 경우 공격 정도에 따른 대응방안을 수립∙이행하고 있는가?

• 전자금융기반시설에 대한 취약점 점검(분석∙평가)을 자체적으로 수행하는 경우 적절한 자격을 갖춘 전담반을 구성하고 있는가?

• 전자금융기반시설의 취약점 분석∙평가 수행을 종료한 후 30일 이내에 금융위원회에 결과보고 및 이행계획서를 제출하고 있는가?

• 중요 정보시스템에 대하여 이중화 또는 예비장치를 확보하고 있는가?

• 시스템 오류, 자연재해 등으로 인한 전산센터 마비에 대비하여 재해복구센터를 핵심업무 수행이 가능한 상태로 유지하고 있는가?

• 개인정보를 수집하는 경우 정보주체 동의, 법령상 의무준수, 계약 체결∙이행 등 적법 요건에 따라 수집하고 있는가?

• 개인(신용)정보를 수집하는 경우 (신용)정보주체 동의, 법령상 의무준수, 계약 체결∙이행 등 적법 요건에 따라 수집하고 있는가?

• 정보주체에게 개인정보 수집 동의를 받는 경우 동의방법 및 시점은 적절하게 되어 있는가?

• (신용)정보주체에게 개인(신용)정보 수집 동의를 받는 경우 동의방법 및 시점은 적절하게 되어 있는가?

• 정보주체에게 개인정보 수집 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 표시하고 있는가?

• (신용)정보주체에게 개인(신용)정보 수집 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 표시하고 있는가?

• 신용정보주체에게 고지사항 중 일부를 생략하거나 중요한 사항만 발췌하여 고지하는 경우 적법 요건에 따라 고지하고 있는가?

• 법정대리인의 동의를 받기 위하여 필요한 최소한의 개인정보만을 수집하고 있으며, 법정대리인이 자격 요건을 갖추고 있는지 확인하는 절차와 방법을 마련하고 있는가?

• 법정대리인의 동의를 받기 위하여 필요한 최소한의 개인정보만을 수집하고 있으며, 법정대리인의 자격 요건과 동의여부를 확인하는 절차와 방법을 마련하고 있는가?

• 정보주체 및 법정대리인에게 동의를 받은 기록을 보관하고 있는가?

• (신용)정보주체 및 법정대리인에게 동의를 받은 기록은 보관하고 있는가?

• 개인정보를 수집하는 경우 그 목적에 필요한 범위에서 최소한의 정보만을 수집하고 있는가?

• 개인(신용)정보를 수집하는 경우 그 목적에 필요한 범위에서 최소한의 정보만을 수집하고 있는가?

• 정보주체의 동의를 받아 개인정보를 수집하는 경우 필요한 최소한의 정보 외의 개인정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알리고 있는가?

• (신용)정보주체의 동의를 받아 개인(신용)정보를 수집하는 경우 필요한 최소한의 정보 외의 개인(신용)정보 수집에는 동의하지 않을 수 있다는 사실을 구체적으로 알리고 있는가?

• 정보주체가 수집 목적에 필요한 최소한의 정보 이외의 개인정보 수집에 동의하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하고 있는가?

• (신용)정보주체가 수집 목적에 필요한 최소한의 정보 이외의 개인(신용)정보 수집에 동의하지 않는다는 이유로 서비스 또는 재화의 제공을 거부하지 않도록 하고 있는가?

• 신용정보제공∙이용자는 선택적 동의사항에 대해 정보활용 동의등급을 부여받고 동의서 양식에 표시하고 있는가?

• 민감정보는 정보주체로부터 별도의 동의를 받거나 관련 법령에 근거가 있는 경우에만 처리하고 있는가?

• 민감정보는 (신용)정보주체로부터 별도의 동의를 받거나 관련 법령에 근거가 있는 경우에만 처리하고 있는가?

• 고유식별정보(주민등록번호 제외)는 정보주체로부터 별도의 동의를 받거나 관련 법령에 구체적인 근거가 있는 경우에만 처리하고 있는가?

• 고유(개인)식별정보(주민등록번호 제외)는 (신용)정보주체로부터 별도의 동의를 받거나 관련 법령에 구체적인 근거가 있는 경우에만 처리하고 있는가?

• 정보주체 이외의 제3자로부터 개인정보를 제공받는 경우 개인정보 수집에 대한 동의획득 책임이 개인정보를 제공하는 자에게 있음을 계약을 통해 명시하고 있는가?

• (신용)정보주체 이외의 제3자로부터 개인(신용)정보를 제공받는 경우 개인(신용)정보 수집에 대한 동의 획득 책임이 개인(신용)정보를 제공하는 자에게 있음을 계약을 통해 명시하고 있는가?

• 공개된 매체 및 장소에서 개인정보를 수집하는 경우 정보주체의 공개 목적∙범위 및 사회 통념상 동의 의사가 있다고 인정되는 범위 내에서만 수집∙이용하고 있는가?

• 공개된 매체 및 장소에서 개인(신용)정보를 수집하는 경우 공개된 정보의 성격, 의도, 목적 등에 따라 (신용)정보주체의 동의가 있었다고 객관적으로 인정되는 범위 내에서만 수집∙이용하고 있는가?

• 서비스 계약 이행을 위해 필요한 경우로서, 서비스 제공 과정에서 자동수집장치 등에 의해 수집∙생성하는 개인정보의 경우에도 최소수집 원칙을 적용하고 있는가?

• 서비스 계약 이행을 위해 필요한 경우로서, 서비스 제공 과정에서 자동수집장치 등에 의해 수집∙생성하는 개인(신용)정보의 경우에도 최소수집 원칙을 적용하고 있는가?

• 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사 또는 신용정보집중기관으로부터 개인신용정보를 제공받으려는 자는 신용정보주체로부터 개별 동의를 받고 있는가?

• 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사 또는 신용정보집중기관으로부터 개인신용정보를 제공받을 시 신용정보주체에게 필수 고지사항을 알리고 동의를 받고 있는가?

• 영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영∙관리 방침을 마련하여 시행하고 있는가?

• 영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영∙관리 방침을 마련하거나, 개인정보 처리방침에 해당 내용을 포함하여 시행하고 있는가?

• 수집∙보유하고 있는 개인정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하고 있는가?

• 수집∙보유하고 있는 개인(신용)정보의 항목, 보유량, 처리 목적 및 방법, 보유기간 등 현황을 정기적으로 관리하고 있는가?

• 신용정보회사등은 개인신용정보를 수집∙이용한 경우 관련 기록을 3년간 보존하고 있는가?

• 신용정보의 정확성과 최신성이 유지될 수 있도록 신용정보의 등록∙변경 및 관리 등을 하고 있는가?

• 개인정보는 최초 수집 시 정보주체로부터 동의받은 목적 또는 법령에 근거한 범위 내에서만 이용∙제공하고 있는가?

• 개인(신용)정보는 최초 수집 시 (신용)정보주체로부터 동의받은 목적 또는 법령에 근거한 범위 내에서만 이용∙제공하고 있는가?

• 개인정보처리자로부터 개인정보를 제공받은 경우 제공받은 목적의 범위 내에서만 이용∙제공하고 있는가?

• 개인(신용)정보처리자로부터 개인(신용)정보를 제공받은 경우 제공받은 목적의 범위 내에서만 이용∙제공하고 있는가?

• 개인정보를 수집 목적 또는 개인정보처리자로부터 제공받은 목적의 범위를 초과하여 이용하거나 제공하는 경우 정보주체에게 별도의 동의를 받거나 법적 근거가 있는 경우로 제한하고 있는가?

• 개인(신용)정보를 수집 목적 또는 개인(신용)정보처리자로부터 제공받은 목적의 범위를 초과하여 이용하거나 제공하는 경우 (신용)정보주체에게 별도의 동의를 받거나 법적 근거가 있는 경우로 제한하고 있는가?

• 개인정보를 가명처리하여 이용∙제공 시 추가 정보의 사용∙결합 없이는 개인을 알아볼 수 없도록 적정한 수준으로 가명처리를 수행하고 있는가?

• 개인(신용)정보를 가명처리하여 이용∙제공 시 추가 정보의 사용∙결합 없이는 개인을 알아볼 수 없도록 적정한 수준으로 가명처리를 수행하고 있는가?

• 가명정보를 처리하는 경우 추가 정보를 삭제 또는 별도로 분리하여 보관∙관리, 관련 기록의 작성∙보관 등 안전성 확보에 필요한 기술적∙관리적 및 물리적 조치를 하고 있는가?

• 가명정보를 처리하는 경우 추가 정보를 삭제 또는 별도로 분리하여 보관∙관리, 관련 기록의 작성∙보관, 처리 기록에 대한 주기적 점검 등 안전성 확보에 필요한 기술적∙관리적 및 물리적 조치를 하고 있는가?

• 신용정보회사등은 가명정보를 취급하는 담당자를 별도로 지정∙관리하고 가명처리 전 개인신용정보를 취급하는 담당자와 접근권한을 구분하여 운영하고 있는가?

• 신용정보회사등은 가명정보의 보존기간을 주기적으로 검토하고, 그 적정성 여부를 판단하여 필요시 조정하고 있는가?

• 개인정보를 익명처리하는 경우 시간∙비용∙기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 특정 개인을 알아볼 수 없도록 적정한 수준으로 익명처리하고 있는가?

• 개인(신용)정보를 익명처리하는 경우 시간∙비용∙기술 등을 합리적으로 고려할 때 다른 정보를 사용하여도 더 이상 특정 개인을 알아볼 수 없도록 적정한 수준으로 익명처리하고 있는가?

• 개인정보를 제3자에게 제공하는 경우 정보주체 동의, 법령상 의무준수 등 적법 요건을 명확히 식별하고 이를 준수하고 있는가?

• 개인(신용)정보를 제3자에게 제공하는 경우 (신용)정보주체 동의, 법령상 의무준수 등 적법 요건을 명확히 식별하고 이를 준수하고 있는가?

• 정보주체에게 개인정보 제3자 제공 동의를 받는 경우 관련 사항을 명확하게 고지하고 다른 동의사항과 구분하여 적법하게 동의를 받고 있는가?

• (신용)정보주체에게 개인(신용)정보 제3자 제공 동의를 받는 경우 관련 사항을 명확하게 고지하고 다른 동의사항과 구분하여 적법하게 동의를 받고 있는가?

• 신용정보회사등은 개인신용정보를 제3자에게 제공하기 위해 신용정보주체의 동의를 받는 경우 필수적 동의사항과 선택적 동의사항을 구분하여 설명하고 각각 동의를 받고 있는가?

• (신용)정보주체가 선택적 동의사항이나 서비스제공을 위해 필수적이지 않은 항목의 제3자 제공에 동의하지 않는다는 이유로 해당 서비스의 제공을 거부하지 않도록 하고 있는가?

• 정보주체에게 개인정보 제3자 제공 동의를 받는 경우 관련 내용을 명확하게 고지하고 법령에서 정한 중요한 내용에 대해 명확히 표시하여 알아보기 쉽게 하고 있는가?

• 신용정보주체의 동의 없이 개인신용정보를 타인에게 제공하거나 제공받는 경우 개인신용정보의 제공 사실 및 이유 등을 사전에 신용정보주체에게 통지하고 있는가?

• 개인정보를 제3자에게 제공하는 경우 안전한 절차와 방법을 통해 제공하고 제공 내역을 기록하여 보관하고 있는가?

• 개인(신용)정보를 제3자에게 제공하는 경우 안전한 절차와 방법을 통하여 제공하고 제공 내역을 기록하여 보관하고 있는가?

• 신용정보회사등이 개인신용정보를 제3자에게 제공하는 경우 개인신용정보를 제공받는자의 신원과 이용 목적을 확인하고 있는가?

• 제3자에게 개인정보의 접근을 허용하는 경우 개인정보를 안전하게 보호하기 위한 보호절차에 따라 통제하고 있는가?

• 제3자에게 개인(신용)정보의 접근을 허용하는 경우 개인(신용)정보를 안전하게 보호하기 위한 보호절차에 따라 통제하고 있는가?

• 개인정보 처리업무를 제3자에게 위탁(재위탁 포함)하는 경우 인터넷 홈페이지 등에 위탁하는 업무의 내용과 수탁자를 현행화하여 공개하고 있는가?

• 개인(신용)정보 처리업무를 제3자에게 위탁(재위탁 포함)하는 경우 인터넷 홈페이지 등에 위탁하는 업무의 내용과 수탁자를 현행화하여 공개하고 있는가?

• 영업의 전부 또는 일부의 양도∙합병 등으로 개인정보를 다른 사람에게 이전하는 경우 필요한 사항을 사전에 정보주체에게 알리고 있는가?

• 영업의 전부 또는 일부의 양도∙합병 등으로 개인(신용)정보를 다른 사람에게 이전하는 경우 필요한 사항을 사전에 (신용)정보주체에게 알리고 있는가?

• 영업양도∙분할∙합병 등의 이유로 권리∙의무의 전부 또는 일부를 이전하면서 그와 관련된 개인신용정보를 제공하는 경우 금융위원회의 승인을 받고 있는가?

• 영업양도∙분할∙합병 등의 이유로 금융위원회의 승인을 받아 개인신용정보를 제공받은 자는 해당 개인신용정보를 현재 거래 중인 신용정보주체의 개인신용정보와 분리하여 관리하고 있는가?

• 개인정보를 국외로 이전하는 경우 정보주체에게 국외 이전에 관한 고지 사항을 모두 알리고 별도 동의를 받거나, 인증 또는 인정 등 적법 요건을 준수하고 있는가?

• 개인정보를 국외로 이전하는 경우 정보주체에게 국외 이전에 관한 고지 사항을 모두 알리고 별도 동의를 받거나, 국외 이전 인증 또는 개인정보 보호 수준 인정 등 적법 요건을 준수하고 있는가?

• 개인정보의 보유기간 및 파기와 관련된 내부 정책을 수립하고 있는가?

• 개인(신용)정보의 보유기간 및 파기와 관련된 내부 정책을 수립하고 있는가?

• 신용정보제공∙이용자는 금융거래 등 상거래관계가 종료된 날부터 3개월 이내에 개인신용정보가 안전하게 보호될 수 있도록 조치하고 있는가?

• 신용정보제공∙이용자는 원칙적으로 금융거래 등 상거래관계가 종료된 날로부터 최장 5년 이내(해당 기간 이전에 정보 수집∙제공 등의 목적이 달성된 경우에는 그 목적이 달성된 날부터 3개월 이내)에 개인신용정보를 관리대상에서 삭제하고 있는가?

• 개인정보를 파기할 때에는 복구∙재생되지 않도록 안전한 방법으로 파기하고 있는가?

• 개인(신용)정보를 파기할 때에는 복구∙재생되지 않도록 안전한 방법으로 파기하고 있는가?

• 개인정보 파기에 대한 기록을 남기고 관리하고 있는가?

• 개인(신용)정보 파기에 대한 기록을 남기고 관리하고 있는가?

• 개인정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 아니하고 보존하는 경우, 관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하고 있는가?

• 개인(신용)정보의 보유기간 경과 또는 처리목적 달성 후에도 관련 법령 등에 따라 파기하지 않고 보존하는 경우, 관련 법령에 따른 최소한의 기간으로 한정하여 최소한의 정보만을 보존하도록 관리하고 있는가?

• 신용정보제공∙이용자는 금융거래 등 상거래관계가 종료된 날로부터 5년이 경과하였음에도 법규상 파기 예외사유에 해당하여 개인신용정보를 파기하지 않고 보관하는 경우 개인신용정보가 안전하게 보호될 수 있도록 조치하고 있는가?

• 신용정보제공∙이용자는 파기 예외사유에 해당하여 분리보관 중인 개인신용정보를 활용하는 경우 신용정보주체에게 통지하고 있는가?

• 신용정보제공∙이용자는 개인신용정보가 포함된 문서에 대하여 대책을 적용하여 관리하고 있는가?

• 분리 보관하고 있는 개인정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리하고 있는가?

• 분리 보관하고 있는 개인(신용)정보에 대하여 법령에서 정한 목적 범위 내에서만 처리 가능하도록 관리하고 있는가?

• 분리 보관하고 있는 개인정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가?

• 분리 보관하고 있는 개인(신용)정보에 대하여 접근권한을 최소한의 인원으로 제한하고 있는가?

• 개인정보 처리방침을 정보주체가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 지속적으로 현행화하여 공개하고 있는가?

• 개인정보 처리방침 및 신용정보활용체제를 (신용)정보주체가 쉽게 확인할 수 있도록 인터넷 홈페이지 등에 지속적으로 현행화하여 공개하고 있는가?

• 개인정보 처리방침에는 법령에서 요구하는 내용을 모두 포함하여 알기 쉬운 용어로 구체적이고 명확하게 작성하였는가?

• 개인정보 처리방침 및 신용정보활용체제를 관련 법령에서 요구하는 내용을 모두 포함하여 알기 쉬운 용어로 구체적이고 명확하게 작성하였는가?

• 개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체 없이 공지하고 정보주체가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하고 있는가?

• 개인정보 처리방침 및 신용정보활용체제가 변경되는 경우 사유 및 변경 내용을 지체 없이 공지하고 (신용)정보주체가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하고 있는가?

• 신용정보회사등은 신용정보주체 또는 그 대리인이 본인의 개인신용정보의 제공 또는 열람을 요청하고 사실과 다른 경우에 정정을 청구할 수 있는 시스템 또는 절차를 마련하여 준수하고 있는가?

• 신용정보회사등은 신용정보주체가 개인신용정보 제공 동의에 대해 철회할 수 있는 절차를 마련하여 준수하고 있는가?

• 신용정보회사등은 신용정보주체가 상품이나 용역을 소개하거나 권유할 목적으로 본인에게 연락하는 것을 중지하도록 청구할 수 있는 절차를 마련하여 준수하고 있는가?

• 신용정보주체에 관한 개인신용정보를 신용정보제공∙이용자에게 전송해 줄것을 요구할 수 있는 방법과 전송요구에 대한 철회 방법을 마련하고 제공하고 있는가?

• 신용정보주체에 자동화평가 결과에 대한 설명요구 및 이의제기를 보장하고, 결과 관련 설명 또는 이의제기 요구 거절 시 거절 사유 및 근거를 통지하고 있는가?

• 신용정보회사등은 개인신용정보주체가 최근 3년간(조회가 의뢰된 날 기준) 개인신용정보 이용 및 제공사실을 조회할 수 있도록 개인신용정보조회시스템을 구축하거나 사무소, 점포 등에서 열람할 수 있게 하는 등의 절차를 마련하여 준수하고 있는가?

• 신용정보회사등은 신용정보주체가 개인신용정보 이용 및 제공사실을 조회할 수 있도록 하는 경우 법적으로 요구하고 있는 조회 사항을 모두 포함하고 있는가?

< 신용정보법 제35조(신용정보 이용 및 제공사실의 조회) >
1. 개인신용정보를 이용한 경우: 이용 주체, 이용 목적, 이용 날짜, 이용한 신용정보의 내용, 신용정보의 보유기간 및 이용기간
2. 개인신용정보를 제공한 경우: 제공 주체, 제공받은 자, 제공 목적, 제공한 날짜, 제공한 신용정보의 내용, 제공받은 자의 보유기간 및 이용기간

• 신용정보회사등은 신용정보주체가 본인의 개인신용정보의 이용∙제공내역 통지 요청한 경우, 통지요구일로부터 최근 3년간의 이용∙제공한 내역을 통지하고 있는가?