ISMS(정보보호관리체계) 인증 기준 2.9.7 정보자산의 재사용 및 폐기

2. 보호대책 요구사항 > 2.9 시스템 및 서비스 운영관리 > 2.9.7 정보자산의 재사용 및 폐기

항목		상세내용
2.9.7	정보자산의 재사용 및 폐기	정보자산의 재사용과 폐기 과정에서 개인정보 및 중요정보가 복구•재생되지 않도록 안전한 재사용 및 폐기 절차를 수립•이행하여야 한다.
주요 확인사항		ㆍ정보자산의 안전한 재사용 및 폐기에 대한 절차를 수립•이행하고 있는가? ㆍ정보자산 및 저장매체를 재사용 및 폐기하는 경우 개인정보 및 중요정보를 복구되지 않는 방법으로 처리하고 있는가? ㆍ자체적으로 정보자산 및 저장매체를 폐기할 경우 관리대장을 통해 폐기이력을 남기고 폐기확인 증적을 함께 보관하고 있는가? ㆍ외부업체를 통해 정보자산 및 저장매체를 폐기할 경우 폐기 절차를 계약서에 명시하고 완전히 폐기했는지 여부를 확인하고 있는가? ㆍ정보시스템, PC 등 유지보수, 수리 과정에서 저장매체 교체, 복구 등 발생 시 저장매체 내 정보를 보호하기 위한 대책을 마련하고 있는가?
관련 법규		ㆍ개인정보보호법(개인정보의 파기) ㆍ개인정보의 안전성 확보조치 기준 제13조(개인정보의 파기)

 

● 중요사안

- PC 또는 서버의 HDD의 교체•수리•복구•재사용•폐기 절차의 수립 및 담당자의 숙지, 현장에의 적용상태 등을 관리해야 한다.
  > 저장매체 폐기 절차(방법, 프로세스, 확인절차, 관리대장 기록 등) 및 재사용 절차(데이터 초기화, 프로세스 등)
- 저장매체 별 데이터 삭제•소거를 지원하는 디가우저, 천공기 등의 도구를 운영해야 한다.
- 저장매체(HDD)의 기록은 일정 횟수의 반복삭제/덮어쓰기/로우레벨 포멧을 하더라도 기술적으로 복구 가능한 것으로 알려져 있다.
  > 다만, 그 방법은 대단히 어렵고 매우 많은 시간이 소모되기도 하지만, 단순 오류의 경우와 특수한 상황에는 일부 또는 전부를 복구하는 사례가 있다.
- 협력사를 통한 수리•교체•복구 시 현장실사 사진 등 증적확보 및 폐기 절차, 보호대책, 책임 소재 등이 반영된 계약서 작성, 비밀유지서약서를 징구해야 한다.
  > 자체적으로 폐기 진행시에는 폐기 일자, 폐기 담당자, 확인자, 폐기 방법, 증적(사진 등)을 폐기 관리 대장에 기록하여야 한다.

 

● 운영현황

- 자산을 파기하는 경우, 재사용이 불가능하도록 저장된 데이터를 완전히 삭제하거나 물리적 파기처리를 수행하고, 외부업체로부터 파기 내역 확인서를 수령하고 있음
- 자산의 파기 이력을 파기 관리대장을 유지하여 기록하고 있음

 

● 기록(증적자료)

- 정보자산 폐기 및 재사용 절차
- 자산 관리대장
- 정보자산 폐기 증적
- 폐기 확인서
- 외주업체 보안서약서

 

● 주요 결함사례

- 개인정보취급자 PC를 재사용할 경우 데이터 삭제프로그램을 이용하여 완전삭제하도록 정책 및 절차가 수립되어 있으나, 실제로는 완전삭제 조치 없이 재사용하거나 기본 포맷만 하고 재사용하고 있는 경우
- 외부업체를 통해 저장매체를 폐기하고 있으나, 계약 내용 상 안전한 폐기 절차 및 보호대책에 대한 내용이 누락되어 있고 폐기 이행 증적확인 및 실사 등의 관리•감독이 이루어지지 않은 경우
- 저장매체 폐기 및 재사용에 대한 구체적 절차 및 방법이 수립되어있지 않은 경우
- 폐기된 정보자산의 일련번호나 주요 확인사항을 기록하지 않아 폐기 이력을 추적할 수 없는 등 확인할 수 없는 경우
- 회수한 폐기 대상 정보자산이 완전파기되지 않고 방치되고 있는 경우