ISMS-P 인증 기준 3.1.6.영상정보처리기기 설치·운영: Difference between revisions

From IT위키
(Imported from text file)
No edit summary
Line 1: Line 1:
[[분류: ISMS-P 인증 기준]]
[[분류: ISMS-P 인증 기준]]
* '''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]]
 
* '''분류''': [[ISMS-P 인증 기준 3.1개인정보 수집 시 보호조치|3.1개인정보 수집 시 보호조치]]
*'''영역''': [[ISMS-P 인증 기준 3.개인정보 처리단계별 요구사항|3.개인정보 처리단계별 요구사항]]
== 개요 ==
*'''분류''': [[ISMS-P 인증 기준 3.1.개인정보 수집 시 보호조치|3.1.개인정보 수집 시 보호조치]]
 
==개요==
{| class="wikitable"
{| class="wikitable"
!항목
!항목
!3.1.6.영상정보처리기기 설치·운영  
!3.1.6.영상정보처리기기 설치·운영
|-
|-
| style="text-align:center"|'''인증기준'''
| style="text-align:center" |'''인증기준'''
|영상정보처리기기를 공개된 장소에 설치·운영하는 경우 설치 목적 및 위치에 따라 법적 요구사항(안내판 설치 등)을 준수하고, 적절한 보호대책을 수립·이행하여야 한다.
|영상정보처리기기를 공개된 장소에 설치·운영하는 경우 설치 목적 및 위치에 따라 법적 요구사항(안내판 설치 등)을 준수하고, 적절한 보호대책을 수립·이행하여야 한다.
|-
|-
|'''주요 확인사항'''
|'''주요 확인사항'''
|
|
* 공개된 장소에 영상정보처리기기를 설치∙운영할 경우 법적으로 허용한 장소 및 목적인지 검토하고 있는가?
*공개된 장소에 영상정보처리기기를 설치∙운영할 경우 법적으로 허용한 장소 및 목적인지 검토하고 있는가?
* 공공기관이 공개된 장소에 영상정보처리기기를 설치‧운영하려는 경우 공청회∙설명회 개최 등의 법령에 따른 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하고 있는가?
*공공기관이 공개된 장소에 영상정보처리기기를 설치‧운영하려는 경우 공청회∙설명회 개최 등의 법령에 따른 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하고 있는가?
* 영상정보처리기기 설치‧운영 시 정보주체가 쉽게 인식할 수 있도록 안내판 설치 등 필요한 조치를 하고 있는가?
*영상정보처리기기 설치‧운영 시 정보주체가 쉽게 인식할 수 있도록 안내판 설치 등 필요한 조치를 하고 있는가?
* 영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영‧관리 방침을 마련하여 시행하고 있는가?
*영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영‧관리 방침을 마련하여 시행하고 있는가?
* 영상정보의 보관 기간을 정하고 있으며, 보관 기간 만료 시 지체 없이 삭제하고 있는가?
*영상정보의 보관 기간을 정하고 있으며, 보관 기간 만료 시 지체 없이 삭제하고 있는가?
* 영상정보처리기기 설치‧운영에 관한 사무를 위탁하는 경우 관련 절차 및 요건에 따라 계약서에 반영하고 있는가?
*영상정보처리기기 설치‧운영에 관한 사무를 위탁하는 경우 관련 절차 및 요건에 따라 계약서에 반영하고 있는가?
|}
|}
== 세부 설명 ==
==세부 설명==
 
==== 공개된 장소의 영상정보처리기기 설치·운영 ====
공개된 장소에 영상정보처리기기를 설치·운영할 경우 법적으로 허용한 장소 및 목적인지 검토하여야 한다.
 
*공개된 장소에 영상정보처리기기를 설치·운영할 수 있는 경우
**1. 법령에서 구체적으로 허용하고 있는 경우
**2. 범죄의 예방 및 수사를 위하여 필요한 경우
**3. 시설안전 및 화재 예방을 위하여 필요한 경우
**4. 교통단속을 위하여 필요한 경우
**5. 교통정보의 수집·분석 및 제공을 위하여 필요한 경우
***불특정 다수가 이용하는 목욕실, 화장실, 발한실(發汗室), 탈의실 등 개인의 '''사생활을 현저히 침해할 우려가 있는 장소의 내부'''를 볼 수 있도록 영상정보처리기기를 설치·운영하는 것은 '''금지'''됨.
***다만 교도소, 정신보건 시설 등 법령에 근거하여 사람을 '''구금하거나 보호하는 시설로서 대통령령으로 정하는 시설'''(교정시설, 정신의료기관, 정신질환자사회복귀시설 및 정신요양시설)에 대하여는 '''예외적으로 허용'''됨.
 
==== 이해관계자 의견 수렴 ====
공공기관이 공개된 장소에 영상정보처리기기를 설치·운영하려는 경우 공청회·설명회 등의 법적 절차를 거쳐 관계 전문가 및 이해관계자의 의견을 수렴하여야 한다.
 
*의견 수렴 절차
**1. 「행정절차법」에 따른 행정예고의 실시 또는 의견청취
**2. 해당 영상정보처리기기의 설치로 직접 영향을 받는 지역 주민 등을 대상으로 하는 설명회·설문조사 또는 여론조사
 
의견 수렴 대상자
 
*1. 관계 전문가
*2. 해당 시설에 종사하는 사람, 해당 시설에 구금되어 있거나 보호받고 있는 사람 또는 그 사람의보호자 등 이해관계자
 
==== 안내판 설치 ====
영상정보처리기기 설치·운영 시 정보주체가 쉽게 인식할 수 있도록 안내판을 설치하여야 한다.
 
*안내판에 포함되어야 할 사항
**1. 설치 목적 및 장소
**2. 촬영 범위 및 시간
**3. 관리책임자 이름 및 연락처
**4. 위탁받은 자의 명칭 및 연락처(영상정보처리기기 설치·운영 사무 위탁 시)
*안내판 설치 예외 사항
**1. 군사시설
**2. 국가 중요시설
**3. 국가보안 시설
 
==== 운영·관리 방침 마련 ====
영상정보처리기기운영자는 영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영·관리 방침을 마련하여 시행하여야 한다.
 
*영상정보처리기기 운영·관리 방침에 포함하여야 할 사항
**1. 영상정보처리기기의 설치 근거 및 설치 목적
**2. 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위
**3. 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람
**4. 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법
**5. 영상정보처리기기운영자의 영상정보 확인 방법 및 장소
**6. 정보주체의 영상정보 열람 등 요구에 대한 조치
**7. 영상정보 보호를 위한 기술적·관리적 및 물리적 조치
**8. 그 밖에 영상정보처리기기의 설치·운영 및 관리에 필요한 사항
***영상정보처리기기가 설치된 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비추지 않도록 규정에 포함할 필요가 있음.
***영상정보처리기기의 녹음 기능을 사용할 수 없도록 조치 필요
 
==== 영상 정보의 파기 ====
 
*영상정보의 보관 기간을 정하여 보관 기간 만료 시 지체 없이 삭제하여야 한다.
**영상정보의 보유 목적 달성을 위한 최소한의 기간으로 보관 기간 결정
**영상정보처리기기운영자가 그 사정에 따라 보유 목적 달성을 위한 최소한의 기간을 산정하기 곤란한때에는 보관 기간을 개인영상정보 수집 후 30일 이내로 함(표준 개인정보 보호지침 제41조제2항).
 
==== 영상정보처리기기 사무 위탁 ====
영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우 다음 각 호의 내용이 포함된 문서에 의하여야 한다.
 
*영상정보처리기기 설치·운영사무 위탁 계약서에 포함되어야 할 내용
**1. 위탁하는 사무의 '''목적 및 범위'''
**2. '''재위탁 제한'''에 관한 사항
**3. 영상정보에 대한 접근 제한 등 '''안전성 확보 조치'''에 관한 사항
**4. 영상정보의 '''관리 현황 점검'''에 관한 사항
**5. 위탁받는 자가 준수하여야 할 '''의무를 위반한 경우의 손해배상 등 책임'''에 관한 사항
 
==증거 자료==
 
*영상정보처리기기 운영 현황
*영상정보처리기기 안내판
*영상정보처리기기 운영·관리방침
*영상정보처리기기 관리화면(계정/권한 내역, 영상정보 보존기간 등)
*영상정보처리기기 운영 수탁자와의 계약서 및 점검 이력
 
==결함 사례==
 
*영상정보처리기기 안내판의 고지 문구가 일부 누락되어 운영되고 있거나, 영상정보처리기기 운영·관리 방침을 수립·운영하고 있지 않은 경우
*영상정보처리기기 운영·관리 방침을 수립 운영하고 있으나, 방침 내용과 달리 보관기간을 준수하지 않고 운영되거나, 영상정보 보호를 위한 접근통제 및 로깅 등 방침에 기술한 사항이 준수되지 않는 등 관리가 미흡한 경우
*영상정보처리기기의 설치·운영 사무를 외부업체에 위탁을 주고 있으나, 영상정보의 관리 현황 점검에 관한 사항, 손해배상 책임에 관한 사항 등 법령에서 요구하는 내용을 영상정보 처리기기 업무 위탁 계약서에 명시하지 않은 경우
*영상정보처리기기의 설치·운영 사무를 외부업체에 위탁을 주고 있으나, 영상정보처리기기 안내판에 수탁자의 명칭과 연락처를 누락하여 고지한 경우
 
==같이 보기==
 
*[[정보보호 및 개인정보보호관리체계 인증]]
*[[ISMS-P 인증 기준]]
*[[ISMS-P 인증 기준 세부 점검 항목]]
 
==참고 문헌==


* 공개된 장소에 영상정보처리기기를 설치·운영할 경우 법적으로 허용한 장소 및 목적인지 검토하여야 한다.
*정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)
** 공개된 장소에 영상정보처리기기를 설치·운영할 수 있는 경우
* 1. 법령에서 구체적으로 허용하고 있는 경우
* 2. 범죄의 예방 및 수사를 위하여 필요한 경우
* 3. 시설안전 및 화재 예방을 위하여 필요한 경우
* 4. 교통단속을 위하여 필요한 경우
* 5. 교통정보의 수집·분석 및 제공을 위하여 필요한 경우
** 불특정 다수가 이용하는 목욕실, 화장실, 발한실(發汗室), 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치·운영하는 것은 금지됨. 다만 교도소, 정신보건 시설 등 법령에 근거하여 사람을 구금하거나 보호하는 시설로서 대통령령으로 정하는 시설(교정시설, 정신의료기관, 정신질환자사회복귀시설 및 정신요양시설)에 대하여는 예외적으로 허용됨.
* 공공기관이 공개된 장소에 영상정보처리기기를 설치·운영하려는 경우 공청회·설명회 등의 법적 절차를 거쳐 관계 전문가 및 이해관계자의 의견을 수렴하여야 한* 다.
** 의견 수렴 절차
* 1. 「행정절차법」에 따른 행정예고의 실시 또는 의견청취
* 2. 해당 영상정보처리기기의 설치로 직접 영향을 받는 지역 주민 등을 대상으로 하는 설명회·설문조사 또는 여론조사
** 의견 수렴 대상자
* 1. 관계 전문가
* 2. 해당 시설에 종사하는 사람, 해당 시설에 구금되어 있거나 보호받고 있는 사람 또는 그 사람의보호자 등 이해관계자
* 영상정보처리기기 설치·운영 시 정보주체가 쉽게 인식할 수 있도록 안내판을 설치하여야 한다.
** 안내판에 포함되어야 할 사항
* 1. 설치 목적 및 장소
* 2. 촬영 범위 및 시간
* 3. 관리책임자 이름 및 연락처
* 4. 위탁받은 자의 명칭 및 연락처(영상정보처리기기 설치·운영 사무 위탁 시)
** 안내판 설치 예외 사항
* 1. 군사시설
* 2. 국가 중요시설
* 3. 국가보안 시설
* 영상정보처리기기운영자는 영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영·관리 방침을 마련하여 시행하여야 한다.
** 영상정보처리기기 운영·관리 방침에 포함하여야 할 사항
* 1. 영상정보처리기기의 설치 근거 및 설치 목적
* 2. 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위
* 3. 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람
* 4. 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법
* 5. 영상정보처리기기운영자의 영상정보 확인 방법 및 장소
* 6. 정보주체의 영상정보 열람 등 요구에 대한 조치
* 7. 영상정보 보호를 위한 기술적·관리적 및 물리적 조치
* 8. 그 밖에 영상정보처리기기의 설치·운영 및 관리에 필요한 사항
** 영상정보처리기기가 설치된 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비추지 않도록 규정에 포함할 필요가 있음.
** 영상정보처리기기의 녹음 기능을 사용할 수 없도록 조치 필요
* 영상정보의 보관 기간을 정하여 보관 기간 만료 시 지체 없이 삭제하여야 한다.
** 영상정보의 보유 목적 달성을 위한 최소한의 기간으로 보관 기간 결정
** 영상정보처리기기운영자가 그 사정에 따라 보유 목적 달성을 위한 최소한의 기간을 산정하기 곤란한때에는 보관 기간을 개인영상정보 수집 후 30일 이내로 함(표준 개인정보 보호지침 제41조제2항).
* 영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우 다음 각 호의 내용이 포함된 문서에 의하여야 한다.
** 영상정보처리기기 설치·운영사무 위탁 계약서에 포함되어야 할 내용
* 1. 위탁하는 사무의 목적 및 범위
* 2. 재위탁 제한에 관한 사항
* 3. 영상정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
* 4. 영상정보의 관리 현황 점검에 관한 사항
* 5. 위탁받는 자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항
== 증거 자료 ==
* 영상정보처리기기 운영 현황
* 영상정보처리기기 안내판
* 영상정보처리기기 운영·관리방침
* 영상정보처리기기 관리화면(계정/권한 내역, 영상정보 보존기간 등)
* 영상정보처리기기 운영 수탁자와의 계약서 및 점검 이력
== 결함 사례 ==
* 영상정보처리기기 안내판의 고지 문구가 일부 누락되어 운영되고 있거나, 영상정보처리기기 운영·관리 방침을 수립·운영하고 있지 않은 경우
* 영상정보처리기기 운영·관리 방침을 수립 운영하고 있으나, 방침 내용과 달리 보관기간을 준수하지 않고 운영되거나, 영상정보 보호를 위한 접근통제 및 로깅 등 방침에 기술한 사항이 준수되지 않는 등 관리가 미흡한 경우
* 영상정보처리기기의 설치·운영 사무를 외부업체에 위탁을 주고 있으나, 영상정보의 관리 현황 점검에 관한 사항, 손해배상 책임에 관한 사항 등 법령에서 요구하는 내용을 영상정보 처리기기 업무 위탁 계약서에 명시하지 않은 경우
* 영상정보처리기기의 설치·운영 사무를 외부업체에 위탁을 주고 있으나, 영상정보처리기기 안내판에 수탁자의 명칭과 연락처를 누락하여 고지한 경우
== 같이 보기 ==
* [[정보보호 및 개인정보보호관리체계 인증]]
* [[ISMS-P 인증 기준]]
* [[ISMS-P 인증 기준 세부 점검 항목]]
== 참고 문헌 ==
* 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)

Revision as of 15:55, 20 June 2022

분류: ISMS-P 인증 기준

개요

항목 3.1.6.영상정보처리기기 설치·운영
인증기준 영상정보처리기기를 공개된 장소에 설치·운영하는 경우 설치 목적 및 위치에 따라 법적 요구사항(안내판 설치 등)을 준수하고, 적절한 보호대책을 수립·이행하여야 한다.
주요 확인사항
  • 공개된 장소에 영상정보처리기기를 설치∙운영할 경우 법적으로 허용한 장소 및 목적인지 검토하고 있는가?
  • 공공기관이 공개된 장소에 영상정보처리기기를 설치‧운영하려는 경우 공청회∙설명회 개최 등의 법령에 따른 절차를 거쳐 관계 전문가 및 이해관계인의 의견을 수렴하고 있는가?
  • 영상정보처리기기 설치‧운영 시 정보주체가 쉽게 인식할 수 있도록 안내판 설치 등 필요한 조치를 하고 있는가?
  • 영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영‧관리 방침을 마련하여 시행하고 있는가?
  • 영상정보의 보관 기간을 정하고 있으며, 보관 기간 만료 시 지체 없이 삭제하고 있는가?
  • 영상정보처리기기 설치‧운영에 관한 사무를 위탁하는 경우 관련 절차 및 요건에 따라 계약서에 반영하고 있는가?

세부 설명

공개된 장소의 영상정보처리기기 설치·운영

공개된 장소에 영상정보처리기기를 설치·운영할 경우 법적으로 허용한 장소 및 목적인지 검토하여야 한다.

  • 공개된 장소에 영상정보처리기기를 설치·운영할 수 있는 경우
    • 1. 법령에서 구체적으로 허용하고 있는 경우
    • 2. 범죄의 예방 및 수사를 위하여 필요한 경우
    • 3. 시설안전 및 화재 예방을 위하여 필요한 경우
    • 4. 교통단속을 위하여 필요한 경우
    • 5. 교통정보의 수집·분석 및 제공을 위하여 필요한 경우
      • 불특정 다수가 이용하는 목욕실, 화장실, 발한실(發汗室), 탈의실 등 개인의 사생활을 현저히 침해할 우려가 있는 장소의 내부를 볼 수 있도록 영상정보처리기기를 설치·운영하는 것은 금지됨.
      • 다만 교도소, 정신보건 시설 등 법령에 근거하여 사람을 구금하거나 보호하는 시설로서 대통령령으로 정하는 시설(교정시설, 정신의료기관, 정신질환자사회복귀시설 및 정신요양시설)에 대하여는 예외적으로 허용됨.

이해관계자 의견 수렴

공공기관이 공개된 장소에 영상정보처리기기를 설치·운영하려는 경우 공청회·설명회 등의 법적 절차를 거쳐 관계 전문가 및 이해관계자의 의견을 수렴하여야 한다.

  • 의견 수렴 절차
    • 1. 「행정절차법」에 따른 행정예고의 실시 또는 의견청취
    • 2. 해당 영상정보처리기기의 설치로 직접 영향을 받는 지역 주민 등을 대상으로 하는 설명회·설문조사 또는 여론조사

의견 수렴 대상자

  • 1. 관계 전문가
  • 2. 해당 시설에 종사하는 사람, 해당 시설에 구금되어 있거나 보호받고 있는 사람 또는 그 사람의보호자 등 이해관계자

안내판 설치

영상정보처리기기 설치·운영 시 정보주체가 쉽게 인식할 수 있도록 안내판을 설치하여야 한다.

  • 안내판에 포함되어야 할 사항
    • 1. 설치 목적 및 장소
    • 2. 촬영 범위 및 시간
    • 3. 관리책임자 이름 및 연락처
    • 4. 위탁받은 자의 명칭 및 연락처(영상정보처리기기 설치·운영 사무 위탁 시)
  • 안내판 설치 예외 사항
    • 1. 군사시설
    • 2. 국가 중요시설
    • 3. 국가보안 시설

운영·관리 방침 마련

영상정보처리기기운영자는 영상정보처리기기 및 영상정보의 안전한 관리를 위한 영상정보처리기기 운영·관리 방침을 마련하여 시행하여야 한다.

  • 영상정보처리기기 운영·관리 방침에 포함하여야 할 사항
    • 1. 영상정보처리기기의 설치 근거 및 설치 목적
    • 2. 영상정보처리기기의 설치 대수, 설치 위치 및 촬영 범위
    • 3. 관리책임자, 담당 부서 및 영상정보에 대한 접근 권한이 있는 사람
    • 4. 영상정보의 촬영시간, 보관기간, 보관장소 및 처리방법
    • 5. 영상정보처리기기운영자의 영상정보 확인 방법 및 장소
    • 6. 정보주체의 영상정보 열람 등 요구에 대한 조치
    • 7. 영상정보 보호를 위한 기술적·관리적 및 물리적 조치
    • 8. 그 밖에 영상정보처리기기의 설치·운영 및 관리에 필요한 사항
      • 영상정보처리기기가 설치된 목적과 다른 목적으로 영상정보처리기기를 임의로 조작하거나 다른 곳을 비추지 않도록 규정에 포함할 필요가 있음.
      • 영상정보처리기기의 녹음 기능을 사용할 수 없도록 조치 필요

영상 정보의 파기

  • 영상정보의 보관 기간을 정하여 보관 기간 만료 시 지체 없이 삭제하여야 한다.
    • 영상정보의 보유 목적 달성을 위한 최소한의 기간으로 보관 기간 결정
    • 영상정보처리기기운영자가 그 사정에 따라 보유 목적 달성을 위한 최소한의 기간을 산정하기 곤란한때에는 보관 기간을 개인영상정보 수집 후 30일 이내로 함(표준 개인정보 보호지침 제41조제2항).

영상정보처리기기 사무 위탁

영상정보처리기기 설치·운영에 관한 사무를 위탁하는 경우 다음 각 호의 내용이 포함된 문서에 의하여야 한다.

  • 영상정보처리기기 설치·운영사무 위탁 계약서에 포함되어야 할 내용
    • 1. 위탁하는 사무의 목적 및 범위
    • 2. 재위탁 제한에 관한 사항
    • 3. 영상정보에 대한 접근 제한 등 안전성 확보 조치에 관한 사항
    • 4. 영상정보의 관리 현황 점검에 관한 사항
    • 5. 위탁받는 자가 준수하여야 할 의무를 위반한 경우의 손해배상 등 책임에 관한 사항

증거 자료

  • 영상정보처리기기 운영 현황
  • 영상정보처리기기 안내판
  • 영상정보처리기기 운영·관리방침
  • 영상정보처리기기 관리화면(계정/권한 내역, 영상정보 보존기간 등)
  • 영상정보처리기기 운영 수탁자와의 계약서 및 점검 이력

결함 사례

  • 영상정보처리기기 안내판의 고지 문구가 일부 누락되어 운영되고 있거나, 영상정보처리기기 운영·관리 방침을 수립·운영하고 있지 않은 경우
  • 영상정보처리기기 운영·관리 방침을 수립 운영하고 있으나, 방침 내용과 달리 보관기간을 준수하지 않고 운영되거나, 영상정보 보호를 위한 접근통제 및 로깅 등 방침에 기술한 사항이 준수되지 않는 등 관리가 미흡한 경우
  • 영상정보처리기기의 설치·운영 사무를 외부업체에 위탁을 주고 있으나, 영상정보의 관리 현황 점검에 관한 사항, 손해배상 책임에 관한 사항 등 법령에서 요구하는 내용을 영상정보 처리기기 업무 위탁 계약서에 명시하지 않은 경우
  • 영상정보처리기기의 설치·운영 사무를 외부업체에 위탁을 주고 있으나, 영상정보처리기기 안내판에 수탁자의 명칭과 연락처를 누락하여 고지한 경우

같이 보기

참고 문헌

  • 정보보호 및 개인정보보호 관리체계 인증기준 안내서(KISA, 2022.4.)