GDPR 준수 체크리스트 – 감사 요구 사항 설명. 일반 데이터 보호 규정(GDPR)은 EU 시민의 개인 정보를 보호하기 위한 것입니다. 따라서, 유럽 연합 시장을 제공하는 모든 기업은 GDPR 요구 사항을 준수해야 합니다. 주로, 이는 EU 시민을 보호하고 온라인 데이터에 대한 통제권을 제공하기 위해 만들어진 법적 구조입니다.
그래서, GDPR 규정은 사용자 동의 없이 조직이 사용자 정보를 얻는 것을 방지합니다. 데이터를 수집하고 사용하기 위해서는 사용자의 허락을 얻어야 합니다. 무엇보다도, GDPR은 완전한 개인 정보 보호를 제공하고 시민들이 누가 그들의 데이터를 수집, 분석 및 사용할 수 있는지 선택할 수 있도록 합니다.
이 기사에서는 기관이 인증을 획득하기 위해 준수해야 하는 GDPR 요구 사항을 논의합니다.
GDPR 준수 체크리스트 – 감사 요구 사항 설명을 시작합시다.
추가로 읽기 SOX 준수 체크리스트 – 감사 요구 사항 설명 (최고의 실천 방법)
누가 GDPR에 적용되나요?
우선, GDPR는 유럽 연합(EU) 및 영국 국민을 보호하기 위해 설계되었습니다. 따라서 이러한 지역 내에서 운영되는 모든 기관은 요건을 준수해야 합니다. 또한 EU와 UK 외부의 회사도 GDPR 준수에 구속되어 있으며, 이러한 지역의 데이터를 처리하는 경우 준수해야 합니다. 예를 들어, EU와 UK의 데이터를 처리하는 미국 기반 회사는 GDPR에 따라 준수해야 합니다.
데이터 처리가 비즈니스의 핵심 부분이 아닌 경우 일부 GDPR 요건이 적용되지 않는다는 점에 유의하는 것이 좋습니다. 기본적으로 데이터 처리를 수행하지 않는 경우 데이터 보호 담당관(DPO)을 임명할 필요가 없습니다.
10 GDPR 준수 요건
글쎄, GDPR 준수 검사 리스트 – 감사 요건을 알고 있어야 합니다. GDPR는 조직이 준수하도록 만들어야 하는 10가지 요건이 있습니다. 다음은:
1. 공정하고, 투명하며, 합법적인 데이터 처리
우선, GDPR은 조직이 사용자 데이터를 처리할 때 합법적인 이유를 문서화하도록 요구합니다. 먼저, 개인들에게 개인 데이터 수집에 대해 알려야 합니다. 그런 다음, 귀하의 조직이 개인 데이터를 수집하고 처리하는 이유를 유효하게 제시해야 합니다. 마지막으로, 모든 데이터 처리는 합법적인 목적을 기반으로 이루어져야 합니다.
모든 것을 고려할 때, 귀하의 조직은 데이터 보관을 위한 구체적인 기간을 명시해야 합니다. 또한, 데이터 수집이나 처리 절차에 변경이 있는 경우에는 그들에게 통지해야 합니다.
2. 데이터 보호 정책 검토
GDPR을 준수하기 위해서는 데이터 보호 정책을 시행해야 합니다. 이미 데이터 보호 정책이 있는 경우, 정기적으로 검토하고 최신 상태를 유지해야 합니다. 결과적으로, 귀하의 데이터 보호 정책은 정보 프라이버시를 디자인으로 제공해야 합니다. 모든 시행된 기술적 및 조직적 조치는 데이터 준수 조치를 통합해야 합니다.
3. 데이터 보호 영향 평가 (DPIA) 수행
GDPR 준수 체크리스트의 다음 요구 사항은 극도로 민감한 데이터를 처리하는 조직에게 요구됩니다. 데이터 보호 영향 평가 (DPIA) 을 수행해야 합니다. DPIA는 귀하의 조직의 데이터 처리 활동이 사용자에게 미치는 가능한 영향을 조사합니다.
A DPIA is a cybersecurity risk assessment process, that helps your organization identify and minimize data protection risks. It is mandatory when you introduce changes in the data processing process. The DPIA also ensures you do not violate the users’ data protection rights.
4. 적절한 데이터 보안 조치 구현
동시에, GDPR은 조직이 적절한 데이터 보안 조치를 시행하도록 요구합니다. 데이터에 접근하는 불허가된 사용자들로부터 데이터를 보호하기 위해 적절한 사이버 보안 도구와 조치를 시행해야 합니다. 이상적으로는 네트워크 및 데이터 보안 도구, 접근 제어 및 내부자 위험 관리 도구를 시행해야 합니다.
데이터 보안 도구에는 데이터 백업, 백신,데이터 유출 방지 (DLP) 시스템, 데이터 암호화 및 토큰화가 포함됩니다. 또한 VPN, 방화벽 및 계층화된 네트워크 보안을 사용하여 회사 네트워크를 보호할 수 있습니다. 중요한 단계는 실시간 네트워크 모니터링을 시행하여 네트워크 내에서의 이상 활동을 감지하는 것입니다.
액세스 제어는 권한이 있는 사용자만 데이터에 액세스하도록 보장합니다. 귀하의 조직의 성격에 따라 최소한의 권한 액세스, 다중 인증, 그리고 신원 및 액세스 관리를 구현할 수 있습니다. 내부자 위협을 최소화하기 위해 직원 모니터링과 사용자 행동 분석을 시행할 수 있습니다.
5. 사용자의 개인정보 권리 구현
또한, GDPR은 사용자에게 다양한 개인정보 권리를 제공하여 그들이 자신의 데이터를 통제할 수 있도록 보장합니다. 본질적으로, 귀하의 조직이 데이터 사용자에게 부여해야 할 여덟 가지 권리가 있습니다. 이에는 다음이 포함됩니다:
정보에 대한 권리
개인에게 수집하는 데이터의 유형과 사용 방법을 알려야 합니다. 또한 데이터가 필요한 이유와 제3자와 공유되는지 여부를 알려줘야 합니다.
액세스 권리
분명히, GDPR은 조직에게 데이터 액세스를 사용자에게 부여하도록 요구합니다. 어떤 경우에도 개인은 데이터 주체 액세스 요청(DSAR)을 제출할 수 있으며, 이는 조직이 관련된 개인에게 데이터 사본을 제공할 것을 의무화합니다. 예외 사항이 적용되지 않는 한 요청 후 한 달 이내에 이 데이터를 제공해야 합니다.
정정 권리
조직은 데이터가 부정확하거나 불완전한 경우 사용자 데이터를 정정해야 합니다. 사용자는 조직에게 수정을 요청할 수 있습니다.
삭제 권리
A data subject can request the organization to erase data, if it’s no longer necessary or unlawfully processed. Being that, the organization grants this right, provided it’s based on factual grounds.
이의 제기 권리
사용자는 합법적인 목적인지 여부에 관계없이 데이터 수집 및 처리에 이의를 제기할 수 있습니다. 단, 조직이 사용자의 권리와 자유를 우회하는 유효한 이유를 제시하는 경우에는 그렇지 않습니다.
이동성 권리
개인이 동의를 통해 개인 데이터를 데이터 컨트롤러에게 제공한 경우, 그들은 자신의 데이터를 획득하고 재사용할 권리가 있습니다.
처리 제한 권리
일반적으로, 개인은 프로젝트를 더 이상 사용하지 않을 때 처리를 제한할 권리가 있습니다. 이는 조직이 데이터를 법적 청구에 사용해야 할 때 적용됩니다.
결정권
GDPR는 데이터가 인간의 개입 없이 자동으로 처리되는 경우에 엄격한 규칙을 제공합니다. 개인은 조직이 규칙을 따르지 않는다고 생각하는 경우 처리를 도전하고 처리 검토를 요청할 권리가 있습니다.
6. GDPR 준수 문서화
7. 데이터 보호 담당자 임명
A data protection officer (DPO) is a person or entity contracted to oversee compliance and stay in touch with any data breach risks. The DPO can be an in house employee or an outsourced third party who understands GDPR data protection requirements.
A data protection officer is mandatory if the organization is a public body or an authority. Also, organizations that perform large scale data processing or that handle special data should have a data protection officer.
DPO의 역할은 다음과 같습니다:
- 데이터 처리 절차 모니터링.
- 조직과 GDPR 규제 기관 간의 중재자 역할을 수행합니다.
- 조직에 대한 최선의 GDPR 준수 관행에 대해 조언합니다.
- 정확한 데이터 보호 영향 평가 제공.
작업의 성격 때문에 DPO는 GDPR 법률과 모범 사례를 제대로 이해해야 합니다.
8. 데이터 유출 신고
또한 GDPR는 사용자가 데이터 유출을 즉시 신고해야 한다는 요구 사항을 포함합니다. 프로세서와 컨트롤러 모두 감지 후 72시간 이내에 데이터 유출을 신고해야 합니다. 그러나 이벤트가 사용자의 권리와 자유에 해를 끼치지 않는 경우 이는 선거권이 아닙니다. 데이터 프로세서는 데이터 컨트롤러에 알리어야 하며, 데이터 컨트롤러는 데이터 보호 기관(DPA)를 알려야 합니다.
따라서 DPA에 데이터 유출의 성격에 대한 설명을 제공해야 합니다. 또한 데이터 주체의 수와 가능한 결과에 대한 정보를 제공해야 합니다. 문서에서 데이터 유출의 영향을 완화하기 위해 취한 모든 조치를 밝혀야 합니다.
9. 직원 교육
GDPR는 조직에게 직원들을 교육하여 데이터 침해의 위험을 최소화하기 위한 요구 사항과 데이터 보호 절차에 대해 교육해야합니다. 모든 직원에게 개인 데이터 개인 정보 보호, 잠재적인 사이버 보안 위협 및 불이행의 결과에 대해 교육하십시오. 교육 프로그램에서는 데이터 처리 인식을 강조해야합니다. 또한 교육 자료는 사이버 보안 위협의 관련 사례로 정기적으로 업데이트되어야합니다.
10. 정기적으로 제3자 위험을 평가하십시오
동등하게 중요한 것은 GDPR가 제3자가 제기하는 보안 위험을 평가하기를 기대한다는 것입니다. 조직은 제3자와의 협력으로 인한 데이터 침해를 방지하기 위한 보완 메커니즘을 시행해야합니다.
GDPR 준수 점검 목록 – 감사 요구 사항 설명을 따라서, 우리는 GDPR의 원칙을 설명하겠습니다.
Active Directory 준수 및 보안 및 Azure AD를 개선하세요
무료로 시도해보세요, 모든 기능에 액세스할 수 있습니다. – 200개 이상의 AD 보고서 템플릿이 제공됩니다. 쉽게 자신만의 AD 보고서를 사용자 정의하세요.
GDPR의 원칙
GDPR에는 다양한 원칙이 있습니다. 예를 들어, 개인 정보의 처리, 저장 및 처리 원칙을 정의합니다. GDPR의 주요 7가지 원칙은 다음과 같습니다:
합법성, 공정성 및 투명성
모든 개인 데이터 처리는 공정하고 합법적인 근거로 수행되어야 합니다. 또한 소유자가 자신의 개인 데이터가 어떻게 수집, 사용 및 처리되는지 투명하게 알 수 있어야 합니다. 이 원칙은 또한 개인 데이터에 관한 정보가 접근 가능하고 명확하고 간결한 언어로 표시되어야 함을 요구합니다. 또한 사용자가 동의를 제공하는 경우 조직은 법률 의무도 이행해야 합니다. 수집하는 데이터에 대한 정보를 무시해서는 안 됩니다.
목적 제한
두 번째 GDPR 원칙은 데이터 사용 활동에 제한을 둡니다. 즉, 개인정보처리 방법에 대한 정보를 포함하여 처리 목적에 대해 설정된 목적으로만 데이터를 처리하는 것입니다. 설정된 목적 외에 다른 목적으로 데이터를 처리하지 않으며 데이터 주체의 동의를 얻기 위해 데이터 주체와 협의해야 합니다.
데이터 최소화
용도에 필요한 최소한의 데이터만 수집하세요. 예를 들어, 이메일과 같은 사용자의 연락처 정보가 필요한 경우, 물리적 위치, 전화번호 등과 같은 불필요한 정보를 요청하지 마세요. 이는 특정 목적과 관련이 없기 때문입니다.
정확성
수집하고 저장하는 데이터의 정확성을 항상 확인하세요. 이상적으로는 데이터가 정확하고 완전한지 확인하기 위한 감사 프로세스가 있어야 합니다.
저장 제한
사용자 데이터를 보유할 의도한 양을 명시하고 그 이유를 설명하세요. 이를 통해 필요한 것보다 오래 보관하지 않게 됩니다. 기관이 필요를 충족한 후에는 즉시 데이터를 삭제해야 합니다. 기관이 필요한 것보다 오래 데이터를 보관해야 하는 경우, 보존 기간을 설정하고 그 이유를 설명해야 합니다.
무결성 및 기밀성(보안)
책임감
이 원칙은 사용자 데이터를 처리할 때 기관이 책임을 지는 것과 관련이 있습니다. 데이터 처리자로서, GDPR에 따라 개인 데이터를 처리할 때 책임감을 가져야 합니다. 기본적으로 다양한 요구 사항을 충족하기 위해 약속하고 적절하게 문서화해야 합니다.
또한 읽으십시오 Office 365 관리 도구 사용해보기
GDPR 감사를 수행하는 방법
마찬가지로, GDPR 준수 감사은 개인 데이터 감사의 성격에 따라 한 기관에서 다른 기관으로 달라집니다. 인증을 받기 전에 기관은 준수 수준을 평가하기 위해 감사를 수행해야 합니다. GDPR 감사는 사이버 보안과 데이터 거버넌스에 중점을 둡니다. 여기서 GDPR 준수 검사리스트 – 감사 요구 사항에는 GDPR 감사에 관련된 단계가 포함되어 있습니다:
1. GDPR 감사 계획 작성
GDPR 감사를 위한 첫 번째 단계는 감사 계획을 작성하는 것입니다. 기본적으로 이는 감사 중에 무엇을 다룰지 정의하는 단계별 작성된 실행 가능한 프로세스 세트입니다. 기관은 전체 수명 주기를 통해 보유하고 있는 데이터를 인식해야 합니다. 또한 어떻게 데이터를 수집하고 어디에서 오는지에 따라 개인 데이터의 분류를 보장해야 합니다.
2. GDPR 준수 격차 확인
규정 준수 검사 후, 감사인은 현재의 프로세스와 GDPR 규칙과 일치하지 않는 영역을 개괄하는 보고서를 작성해야 합니다.
3. 준수 격차 개선
감사인들이 준수 격차를 파악한 후, 기관은 위험 기반 개선 접근 방식을 취해야 합니다. GDPR 요구 사항과 원칙에 따라 보고서를 확인하고 비규격 영역을 수정하십시오. 이상적으로는 기관에 치명적인 영향을 미칠 수 있는 높은 위험 영역부터 시작해야 합니다.
4. 개선 노력 테스트
마지막 과정은 개선 프로세스가 준수 격차를 제거하는지 여부를 확인하는 것입니다. 기관의 시스템과 프로세스가 GDPR 요구 사항을 충족하는지 여부를 테스트해야 합니다. 구현된 프로세스와 제어를 테스트하여 격차가 없는지 확인하십시오. 이 과정을 완료한 후 기관이 모든 요구 사항을 충족하는지 확인하기 위해 감사를 실시하십시오.
주요 조직 프로세스 및 시스템이 변경되는 경우 특히 GDPR 준수 감사는 지속적인 과정이므로 정기적으로 이러한 감사를 실시해야 합니다.
GDPR 준수 검사리스트 – 감사 요구 사항 설명을 읽어 주셔서 감사합니다. 이 기사를 마무리하겠습니다.
GDPR 적합성 체크리스트 – 감사 요구사항 설명 결론
GDPR 요구사항을 준수하는 것은 고도의 기술 팀, 자격을 갖춘 DPO 및 정보화된 직원이 필요한 어려운 과정입니다. 귀하의 조직은 모든 필요한 데이터 보호 시스템을 구현하고 사용자 데이터를 안전하고 적법하게 수집, 저장 및 처리하도록 보장해야 합니다.
이와 같은 사이버 보안 팁을 더 알고 싶다면, 저희 블로그를 읽어보세요!
Source:
https://infrasos.com/gdpr-compliance-checklist-audit-requirements-explained/