콘텐츠로 이동
좋은생각 ISP

AI 검색

AI가 매뉴얼 전체에서 답변을 찾아드립니다.

[부록 3] 보안 위반 처리 기준

개요

섹션 제목: “개요”

본 기준은 보안 위반 발생 시 처리 절차, 조치 종류, 보고 의무, 처리 기한을 정의함.

보안 위반 처리 절차

섹션 제목: “보안 위반 처리 절차”

1단계: 위반 조사

섹션 제목: “1단계: 위반 조사”
  • 조사 주체: 발주처 보안 담당자 또는 외부 보안 전문가
  • 조사 내용:
    • 위반 사실 확인 (일시, 장소, 행위자, 위반 내용)
    • 위반 원인 분석 (고의, 과실, 시스템 오류 등)
    • 피해 범위 확인 (유출된 정보, 영향받은 시스템 등)
  • 조사 기한:
    • 중대 위반: 24시간 이내 1차 조사 완료
    • 일반 위반: 7일 이내 조사 완료
  • 수탁자 협조 의무: 수탁자는 조사에 적극 협조하여야 하며, 관련 자료 및 증거를 제출하여야 함.

2단계: 위반 심의

섹션 제목: “2단계: 위반 심의”
  • 심의 주체: 발주처 보안 위원회 또는 계약 담당 부서
  • 심의 내용:
    • 위반 등급 결정 (1급/2급/3급)
    • 조치 종류 결정 (시정 요구, 위약금 부과, 계약 해지 등)
    • 손해배상 청구 여부 결정
  • 심의 기한: 조사 완료 후 14일 이내
  • 수탁자 의견 청취: 심의 전 수탁자에게 소명 기회를 부여함.

3단계: 조치 시행

섹션 제목: “3단계: 조치 시행”
  • 조치 통보: 심의 결과를 수탁자에게 서면으로 통보함.
  • 조치 이행: 수탁자는 통보받은 조치를 즉시 이행하여야 함.
  • 이행 확인: 발주처는 조치 이행 여부를 확인하고 기록함.

조치 종류

섹션 제목: “조치 종류”

1. 시정 요구

섹션 제목: “1. 시정 요구”
  • 적용 대상: 3급 위반 또는 경미한 2급 위반
  • 조치 내용:
    • 위반 사항에 대한 즉시 시정
    • 재발 방지 대책 수립 및 제출
    • 시정 완료 보고서 제출
  • 이행 기한: 통보일로부터 7일 이내

2. 위약금 부과

섹션 제목: “2. 위약금 부과”
  • 적용 대상: 1급/2급/3급 위반 (부록 2 참조)
  • 조치 내용:
    • 위반 등급에 따른 위약금 부과
    • 계약금액에서 공제 또는 별도 청구
  • 이행 기한: 확정일로부터 14일 이내 납부

3. 계약 해지

섹션 제목: “3. 계약 해지”
  • 적용 대상:
    • 1급 위반 발생 시
    • 동일 위반 3회 이상 반복 시
    • 시정 요구 불이행 시
  • 조치 내용:
    • 계약 즉시 해지
    • 잔여 계약금액 지급 중단
    • 손해배상 청구
  • 이행 기한: 통보 즉시

4. 형사 고발

섹션 제목: “4. 형사 고발”
  • 적용 대상:
    • 개인정보 유출 (「개인정보보호법」 위반)
    • 시스템 해킹 또는 파괴 (「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 위반)
    • 영업비밀 침해 (「부정경쟁방지 및 영업비밀보호에 관한 법률」 위반)
  • 조치 내용:
    • 관할 수사기관에 고발
    • 증거 자료 제출
    • 수사 협조

5. 손해배상 청구

섹션 제목: “5. 손해배상 청구”
  • 적용 대상: 위반으로 인해 발주처 또는 제3자에게 손해가 발생한 경우
  • 조치 내용:
    • 직접 손해, 간접 손해, 징벌적 손해배상 청구
    • 행정처분 및 과태료 비용 청구
    • 소송비용 및 변호사 비용 청구
  • 청구 기한: 손해 발생 확인 후 30일 이내

※ 변호사 검토 후 확정

위반자 격리 및 증거 보전

섹션 제목: “위반자 격리 및 증거 보전”

위반자 격리

섹션 제목: “위반자 격리”
  • 위반 사실이 확인된 경우, 발주처는 즉시 위반자의 시스템 접근 권한을 차단함.
  • 위반자는 조사가 완료될 때까지 프로젝트에서 배제됨.
  • 수탁자는 위반자를 대체할 인력을 즉시 투입하여야 함.

증거 보전

섹션 제목: “증거 보전”
  • 발주처는 위반 관련 증거(로그, 파일, 이메일 등)를 즉시 보전함.
  • 수탁자는 증거 인멸 행위를 해서는 안 되며, 위반 시 형사 고발 대상이 됨.
  • 증거는 최소 5년간 보관함.

보고 의무

섹션 제목: “보고 의무”

수탁자의 보고 의무

섹션 제목: “수탁자의 보고 의무”
  • 수탁자는 보안 위반 사실을 인지한 즉시(24시간 이내) 발주처에 보고하여야 함.
  • 보고 내용:
    • 위반 일시 및 장소
    • 위반 행위자 및 위반 내용
    • 피해 범위 및 영향
    • 즉시 조치 사항
    • 재발 방지 대책
  • 보고 방법: 서면(이메일 또는 공문) 및 유선 병행

발주처의 보고 의무

섹션 제목: “발주처의 보고 의무”
  • 개인정보 유출 사고 발생 시, 발주처는 「개인정보보호법」 제34조에 따라 정보주체 및 개인정보보호위원회에 통지하여야 함.
  • 통지 기한: 사고 발생 사실을 안 날로부터 24시간 이내

처리 기한

섹션 제목: “처리 기한”
위반 등급조사 기한심의 기한조치 통보시정 기한
1급 (중대)24시간 이내7일 이내즉시즉시
2급 (주의)7일 이내14일 이내3일 이내7일 이내
3급 (경미)7일 이내14일 이내3일 이내14일 이내

재발 방지 대책

섹션 제목: “재발 방지 대책”

수탁자는 위반 발생 시 다음 각 호의 재발 방지 대책을 수립하여 발주처에 제출하여야 함.

  1. 위반 원인 분석 및 개선 방안
  2. 보안 교육 강화 계획
  3. 보안 절차 개선 계획
  4. 기술적 보안 조치 강화 계획
  5. 내부 감사 및 점검 계획

기타 사항

섹션 제목: “기타 사항”
  • 본 기준에 명시되지 않은 사항은 발주처와 수탁자가 협의하여 결정함.
  • 본 기준은 계약 체결 시 계약서의 일부로 편입됨.
  • 본 기준은 「개인정보보호법」, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등 관련 법령에 따라 해석됨.