Microsoft 365에 대한 책임 준비 상태 검사 목록
1. 소개
이 책임 준비 상태 검사 목록은 Microsoft Office 365 사용 시 GDPR을 지원하는 데 필요한 정보에 편리하게 액세스할 수 있습니다.
GDPR 타일의 고객 관리 컨트롤에서 컨트롤 ID 및 컨트롤 제목을 참조하여 준수 관리자를 통해 이 검사 목록의 항목을 관리할 수 있습니다.
또한 이 검사 목록의 항목은 5 미만입니다 .데이터 보호 & 보안 은 준수 관리자의 GDPR 타일에 있는 Microsoft 관리형 컨트롤 아래에 나열된 컨트롤에 대한 참조를 제공합니다. 이러한 컨트롤에 대한 Microsoft 구현 세부 정보를 검토하면 검사 목록 항목에서 고객 고려 사항을 충족하는 Microsoft의 접근 방식에 대한 추가 설명이 있습니다.
검사 목록 및 준수 관리자는 아래에서 가져온 개인 데이터 프로세서에 대한 개인 정보 및 보안 컨트롤 세트의 제목 및 참조 번호 (각 검사 목록 항목에 대해 괄호 사용)를 사용하여 구성됩니다.
- 개인 정보 관리 요구 사항에 대한 ISO/IEC 27701
- 보안 기술 요구 사항에 대한 ISO/IEC CD 27001
이 컨트롤 구조는 GDPR을 지원하기 위해 Microsoft Office 365에서 구현하는 내부 컨트롤의 프레젠테이션을 구성하는 데에도 사용됩니다(다운로드 위치).
2. 수집 및 처리 조건
종류 | 고객 고려 사항 | 지원되는 Microsoft 설명서 | GDPR 조항 설명 |
---|---|---|---|
동의 획득 시기 결정(7.2.3) | 고객은 동의가 수집되는 방법을 포함하여 개인 데이터를 처리하기 전에(필요한 경우, 처리 유형이 요구 사항에서 제외된 경우 등) 개인의 동의를 획득하기 위한 법적 또는 규제적 요구 사항을 이해해야 합니다. | Office 365는 사용자 동의를 얻기 위해 직접적인 지원을 제공하지 않습니다. | (6)(1)(a), (8)(1), (8)(2) |
목적 식별 및 문서화(7.2.1) | 고객은 개인 데이터가 처리되는 목적을 문서화해야 합니다. | 책임 설명서에 포함될 수 있는 Microsoft가 수행하는 처리에 대한 설명과 해당 처리의 목적 - 온라인 서비스 약관, 데이터 보호 약관, 개인 데이터 처리, GDPR 참조[1] |
(5)(1)(b), (32)(4) |
적법 기준 식별(7.2.2) | 고객은 사전 동의 수락 여부와 같은 처리의 적법 기준과 관련된 모든 요구 사항을 이해해야 합니다. | 사용자의 책임 설명서에 포함할 Microsoft 서비스의 개인 데이터 처리에 대한 설명 - 고객 데이터 보호 영향 평가를 위한 Office 365의 주요 정보[10] |
(5) (1) (a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)(4)(a), (6)(4)(b), (6)(4)(b) c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9) (2) (h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c) ) (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4) |
동의 획득 시기 결정(7.2.3) | 고객은 동의가 수집되는 방법을 포함하여 개인 데이터를 처리하기 전에(필요한 경우, 처리 유형이 요구 사항에서 제외된 경우 등) 개인의 동의를 획득하기 위한 법적 또는 규제적 요구 사항을 이해해야 합니다. | Office 365는 사용자 동의를 얻기 위해 직접적인 지원을 제공하지 않습니다. | (6)(1)(a), (8)(1), (8)(2) |
동의 획득 및 기록(7.2.4) | 필요한 것으로 확인되면 고객은 적절하게 동의를 얻어야 합니다. 또한 고객은 동의 요청이 제시되고 수집되는 방법에 대한 요구 사항을 알고 있어야 합니다. | Office 365는 사용자 동의를 얻기 위해 직접적인 지원을 제공하지 않습니다. | (7)(1), (7)(2), (9)(2)(a) |
개인 정보 보호 영향 평가(7.2.5) | 고객은 개인 정보 보호 영향 평가 완료(수행해야 할 시점, 필요할 수도 있는 데이터 범주, 평가 완료 시기)를 위한 요구 사항을 인식하고 있어야 합니다. | Microsoft 서비스에서 DPIA를 수행할 시기를 결정하는 방법과 DPO의 참여를 포함하여 Microsoft의 DPIA 프로그램에 대한 개요는 서비스 신뢰 포털 DPIA(데이터 보호 영향 평가) 페이지에 제공됩니다. DPIA 지원에 대해서는 다음을 참조하세요. - 고객 데이터 보호 영향 평가를 위한 Office 365의 주요 정보[10] |
(35) |
PII 프로세서와 계약(7.2.6) | 고객은 프로세서와의 계약에 개인 데이터 처리 및 보호와 관련된 모든 법적 또는 규제적 의무를 보조할 수 있는 요구 사항이 포함되어 있는지 확인해야 합니다. | 데이터 주체의 권한에 대한 지원을 포함하여 GDPR에 따른 고객의 의무를 지원하도록 요구하는 Microsoft 계약 - 온라인 서비스 약관, 데이터 보호 약관, 개인 데이터 처리, GDPR 참조[1] |
(5)(2), (28)(3)(e), (28)(9) |
PII 처리 관련 기록(7.2.7) | 고객은 개인 데이터 처리(즉, 목적, 보안 조치 등)와 관련된 모든 필수 및 필수 레코드를 유지해야 합니다. 이 레코드 중 일부를 하위 프로세서에서 제공해야 하는 경우, 고객은 이 프로세서에서 이 레코드를 획득할 수 있도록 해야 합니다. | 필요한 기록을 유지 관리하는 데 도움이 되는 Microsoft 서비스가 제공하는 도구는 GDPR에 따라 준수 및 책임 지원을 입증합니다. - Office 365 보안 및 준수 센터에서 감사 로그 검색[16] |
(5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5) |
3. 데이터 주체의 권한
종류 | 고객 고려 사항 | 지원되는 Microsoft 설명서 | GDPR 조항 설명 |
---|---|---|---|
PII 보안 주체의 권한 결정 및 행사 활성화(7.3.1) | 고객은 개인 데이터 처리와 관련하여 개인의 권리와 관련된 요구 사항을 이해해야 합니다. 이 권리에는 액세스, 수정 및 삭제와 같은 항목이 포함될 수 있습니다. 고객이 타사 시스템을 사용하는 경우, 개인이 권리를 행사할 수 있도록 해주는 도구를 제공하는 시스템 부분을 결정해야 합니다. 시스템에서 이러한 기능을 제공하는 경우 고객은 필요에 따라 이를 활용해야 합니다. | 데이터 주체 권한을 지원하는 데 도움이 되는 Microsoft가 지원하는 기능 - GDPR에 대한 Office 365 데이터 주체 요청 [8] - Microsoft Office 365 ISO/IEC 27001:2013 ISMS 적용 가능성 설명 [12] ISO, IEC 27018, 2014 컨트롤 A.1.1 참조 |
(12)(2) |
PII 보안 주체(데이터 주체)의 정보 결정(7.3.2) | 고객은 개인에게 제공할 수 있는 개인 데이터 처리에 대한 정보 유형에 대한 요구 사항을 이해해야 합니다. 여기에는 다음과 같은 항목이 포함될 수 있습니다. - 컨트롤러 또는 그 담당자에 대한 연락처 세부 정보 - 처리 관련 정보(목적, 국제 전송 및 관련 세이프가드, 보존 기간 등) - 보안 주체의 개인 데이터 액세스 및/또는 수정 방법, 처리의 삭제 및 제한 요청, 개인 데이터의 복사본 수신, 개인 데이터의 휴대성에 대한 정보 - 개인 데이터 획득 방법 및 위치(보안 주체에게 직접 획득하지 않는 경우) - 위반 신고 제출 권한 및 제출 대상에 대한 정보 - 개인 데이터 수정 관련 정보 - 처리가 더 이상 데이터 주체의 식별을 필요로 하지 않는 경우 조직이 데이터 주체(PII 보안 주체)를 식별할 수 있는 위치에 더 이상 없음에 대한 알림 - 개인 데이터의 전송 및/또는 공개 - 개인 데이터의 자동화된 처리에만 기반한 자동화된 의사 결정의 존재 - 데이터 주체에 대한 정보가 업데이트되고 제공되는 빈도에 관한 정보(예: "적시" 알림, 조직 정의된 빈도 등) 타사 시스템이나 프로세서를 사용하는 경우 고객은 타사에서 제공해야 할 수도 있는 정보(있는 경우)를 결정하고 타사로부터 필요한 정보를 얻었는지 확인해야 합니다. |
데이터 주체에 제공하는 데이터에 포함할 수 있는 Microsoft 서비스에 대한 정보 - GDPR에 대한 Office 365 데이터 주체 요청[8] - 고객 데이터 보호 영향 평가를 위한 Office 365의 주요 정보[10] |
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4) |
PII 보안 주체에 대한 정보 제공(7.3.3) | 고객은 필수 정보가 개인 데이터 처리와 관련된 개인에게 제공되는 형식, 방법, 시기에 대한 요구 사항을 준수해야 합니다. 타사에서 필수 정보를 제공하는 경우 고객은이를 GDPR에 필요한 매개 변수에 포함되도록 해야 합니다. | 데이터 주체에 제공하는 데이터에 포함할 수 있는 Microsoft 서비스에 대한 템플릿 기반 정보 - GDPR에 대한 Office 365 데이터 주체 요청[8] - 고객 데이터 보호 영향 평가를 위한 Office 365의 주요 정보[10] |
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4) |
동의를 수정하거나 철회하는 메커니즘 제공(7.3.4) | 고객은 사용자에게 개인 데이터에 액세스, 수정 및/또는 삭제할 수 있는 권리를 알리고 이를 수행할 수 있는 메커니즘을 제공하기 위한 요구 사항을 이해해야 합니다. 타사 시스템을 사용하고 해당 기능의 일부로 이 메커니즘을 제공하는 경우 고객은 필요에 따라 해당 기능을 활용해야 합니다. | 동의 요청 시 데이터 주체에 제공한 정보를 정의할 때 사용할 수 있는 Microsoft 서비스의 기능에 대한 정보 - GDPR에 대한 Office 365 데이터 주체 요청[8] |
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d) |
처리에 이의를 제기할 메커니즘 제공(7.3.5) | 고객은 데이터 주체의 권한에 대한 요구 사항을 이해해야 합니다. 개인이 처리에 반대할 권리가 있는 경우 고객은 이를 알리고 개인이 이의를 등록할 수 있는 방법을 제공해야 합니다. | 데이터 주체에 제공하는 데이터에 포함할 수 있는 처리에 대한 이의 제기와 관련된 Microsoft 서비스 정보 - GDPR에 대한 Office 365 데이터 주체 요청[8] 4단계: 제한 참조 |
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6) |
PII 보안 주체의 권한 행사 공유(7.3.6) | 고객은 개인 권한 행사(예: 삭제 또는 수정을 요청한 개인)에 따라 개인 정보가 공유된 타사에게 데이터 수정의 인스턴스를 알리기 위한 요구 사항을 이해해야 합니다. | 타사와 공유한 개인 데이터를 검색할 수 있도록 허용하는 Microsoft 서비스의 기능 관련 정보 - GDPR에 대한 Office 365 데이터 주체 요청[8] |
(19) |
수정 또는 삭제(7.3.7) | 고객은 사용자에게 개인 데이터에 액세스, 수정 및/또는 삭제할 수 있는 권리를 알리고 이를 수행할 수 있는 메커니즘을 제공하기 위한 요구 사항을 이해해야 합니다. 타사 시스템을 사용하고 해당 기능의 일부로 이 메커니즘을 제공하는 경우 고객은 필요에 따라 해당 기능을 활용해야 합니다. | 데이터 주체에 제공하는 데이터에 포함할 수 있는 개인 데이터를 액세스, 수정 또는 삭제할 수 있는 기능과 관련된 Microsoft 서비스에 대한 서식 파일 기반 정보. - GDPR에 대한 Office 365 데이터 주체 요청[8] 5단계: 삭제 참조 |
(5)(1)(d), (13)(2)(b), (14)(2)(c), (16), (17)(1)(a), (17)(1)(b), (17)(1)(c), (17)(1)(d), (17)(1)(e), (17)(1)(f), (17)(2) |
처리된 PII의 복사본 제공(7.3.8) | 고객은 처리할 개인 데이터의 복사본을 개인에게 제공하는 데 필요한 요구 사항을 이해해야 합니다. 여기에는 복사본 형식(즉, 머신 판독 가능), 복사본 전송 등에 관한 요구 사항이 포함될 수 있습니다. 고객이 복사본을 제공하는 기능을 제공하는 타사 시스템을 사용하는 경우 필요에 따라 이 기능을 활용해야 합니다. | 데이터 주체에 제공하는 데이터에 포함할 수 있는 개인 데이터의 복사본 획득을 허용하는 Microsoft 서비스의 기능 관련 정보 - GDPR에 대한 Office 365 데이터 주체 요청[8] 6단계: 내보내기 참조 |
(15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4) |
요청 관리(7.3.9) | 고객은 개인 데이터 처리와 관련된 개인의 합법적인 요청을 수락하고 응답하기 위한 요구 사항을 이해해야 합니다. 고객이 타사 시스템을 사용하는 경우 해당 시스템이 이러한 요청 처리 기능을 제공하는지 여부를 이해해야 합니다. 그렇다면 고객은 이러한 메커니즘을 활용하여 필요에 따라 요청을 처리해야 합니다. | 데이터 주체 요청을 관리할 때 데이터 주체에 제공한 정보를 정의할 때 사용할 수 있는 Microsoft 서비스의 기능에 대한 정보 - GDPR을 위한 Office 365 데이터 주체 요청 [8] 고객은 자동화된 개인 데이터 처리와 이러한 자동화를 통해 의사 결정이 이루어지는 위치에 대한 요구 사항을 이해해야 합니다. 여기에는 개인에 대한 처리, 이러한 처리 또는 사람 개입에 대한 이의 제기 관련 정보가 포함될 수 있습니다. 이러한 기능이 타사 시스템에 의해 제공되는 경우 고객은 타사가 필요한 정보 또는 지원을 제공하는지 확인해야 합니다. 책임 설명서에 사용할 수 있는 자동화된 의사 결정을 지원할 수 있는 Microsoft 서비스의 모든 기능 관련 정보 및 이러한 기능에 대한 데이터 주체 관련 템플릿 기반 정보 |
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3) |
4. 기본적으로 계획적인 개인 정보 보호
종류 | 고객 고려 사항 | 지원되는 Microsoft 설명서 | GDPR 조항 설명 |
---|---|---|---|
수집 제한(7.4.1) | 고객은 개인 정보 컬렉션 제한(예: 특정 목적에 필요한 것으로 제한해야 하는 컬렉션)에 대한 요구 사항을 이해해야 합니다. | Microsoft 서비스에서 수집하는 데이터에 대한 설명 - 온라인 서비스 약관, 데이터 보호 약관, 개인 데이터 처리, GDPR 참조[1] - 고객 데이터 보호 영향 평가를 위한 Office 365의 주요 정보[10] |
(5)(1)(b), (5)(1)(c) |
처리 제한(7.4.2) | 고객은 개인 데이터의 처리를 제한하여 식별된 목적에 적합한 범위로 제한할 책임이 있습니다. | Microsoft 서비스에서 수집하는 데이터에 대한 설명 - 온라인 서비스 약관, 데이터 보호 약관, 개인 데이터 처리, GDPR 참조[1] - 고객 데이터 보호 영향 평가를 위한 Office 365의 주요 정보[10] |
(25)(2) |
PII 최소화 및 식별 취소 목표 정의 및 문서화(7.4.3) | 고객은 개인 데이터의 식별 해제와 관련된 요구 사항, 사용해야 하는 시기, 식별 해제 범위 및 사용할 수 없는 경우를 이해해야 합니다. | Microsoft는 적절한 경우 식별 취소 및 필명화를 내부적으로 적용하여 개인 데이터의 추가 개인 정보 세이프가드를 제공합니다. | (5)(1)(c) |
식별 수준 준수(7.4.4) | 고객은 조직이 설정한 식별 취소 목표 및 방법을 사용하고 준수해야 합니다. | Microsoft는 적절한 경우 식별 취소 및 필명화를 내부적으로 적용하여 개인 데이터의 추가 개인 정보 세이프가드를 제공합니다. | (5)(1)(c) |
PII 식별 취소 및 삭제(7.4.5) | 고객은 식별된 목적을 위해 사용한 개인 데이터의 보존과 관련된 요구 사항을 이해해야 합니다. 시스템에서 제공하는 도구인 경우 고객은 이러한 도구를 활용하여 필요에 따라 지우거나 삭제해야 합니다. | 데이터 보존 정책을 지원하기 위해 Microsoft 클라우드 서비스에서 제공하는 기능 - GDPR에 대한 Office 365 데이터 주체 요청 [8] 5단계: 삭제 참조 |
(5)(1)(c), (5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a) |
임시 파일(7.4.6) | 고객은 시스템에서 작성될 수 있으나 개인 데이터 처리 정책을 위반할 수 있는 임시 파일에 대해 잘 알고 있어야 합니다(예: 개인 데이터가 필요하거나 허용되는 것보다 더 오랫동안 임시 파일에 유지될 수 있음). 시스템에서 임시 파일 삭제 또는 확인을 위해 이러한 도구를 제공한 경우 고객은 이러한 도구를 활용하여 요구 사항을 준수해야 합니다. | 임시 파일 정책을 지원하기 위해 개인 데이터를 식별할 수 있는 서비스가 제공하는 기능에 대한 설명 - GDPR에 대한 Office 365 데이터 주체 요청[8] 1단계: 검색 참조 |
(5)(1)(c) |
보존(7.4.7) | 고객은 식별된 목적을 고려하여 개인 데이터가 보존되는 기간을 결정해야 합니다. | 데이터 주체에 제공한 설명서에 포함할 수 있는 Microsoft 서비스의 개인 데이터 보존 관련 정보 - Microsoft Online Services 약관, 데이터 보호 약관, 데이터 보안, 보존 참조[1] |
(13)(2)(a), (14)(2)(a) |
폐기(7.4.8) | 고객은 개인 데이터를 삭제하기 위해 시스템에서 제공한 삭제 또는 폐기 메커니즘을 활용해야 합니다. | 데이터 삭제 정책을 지원하기 위해 Microsoft 클라우드 서비스에서 제공하는 기능 -* GDPR에 대한 Office 365 데이터 주체 요청*[8] 5단계: 삭제 참조 |
(5)(1)(f) |
수집 절차(7.4.9) | 고객은 개인 데이터의 정확성(예: 수집 시 정확도, 데이터 최신 상태 유지 등)에 관한 요구 사항을 인식하고 이를 위해 시스템에서 제공하는 메커니즘을 활용해야 합니다. | Microsoft 서비스가 개인 데이터의 정확성과 데이터 정확성 정책을 지원하기 위해 제공하는 모든 기능을 지원하는 방법 - GDPR에 대한 Office 365 데이터 주체 요청[8] 3단계: 수정 참조 |
(5)(1)(d) |
컨트롤 전송(7.4.10) | 고객은 전송 메커니즘, 전송 레코드 등에 액세스할 수 있는 사람을 포함하여 개인 데이터의 전송을 보호해야 한다는 요구 사항을 이해해야 합니다. | Microsoft 서비스에서 전송하는 개인 데이터 유형, 전송되는 위치, 전송할 법적 세이프가드의 정보 - 고객 데이터 보호 영향 평가를 위한 Office 365의 주요 정보[10] |
(15)(2), (30)(1)(e), (5)(1)(f) |
PII 전송 기준 식별(7.5.1) | 고개은 개인 데이터(PII)를 다른 지리적 위치로 전송하고 그러한 요구 사항을 충족하기 위해 필요한 조치를 문서화하기 위한 요구 사항을 인식하고 있어야 합니다. | Microsoft 서비스에서 전송하는 개인 데이터 유형, 전송되는 위치, 전송할 법적 세이프가드의 정보 - 고객 데이터 보호 영향 평가를 위한 Office 365의 주요 정보[10] |
(44)조, (45)조, (46)조, (47)조, (48)조, (49)조 |
PII가 전송될 수 있는 국가 및 조직(7.5.2) | 고객은 개인 데이터가 전송되거나 전송될 수 있는 국가를 이해하고 개인에게 제공할 수 있어야 합니다. 타사/프로세서가 이 전송을 수행할 수 있는 경우 고객은 프로세서에서 이 정보를 가져와야 합니다. | Microsoft 서비스에서 전송하는 개인 데이터 유형, 전송되는 위치, 전송할 법적 세이프가드의 정보 - 고객 데이터 보호 영향 평가를 위한 Office 365의 주요 정보[10] |
(30)(1)(e) |
PII(개인 데이터)의 전송 기록(7.5.3) | 고객은 개인 데이터 전송과 관련된 모든 필수 및 필수 레코드를 유지해야 합니다. 타사/프로세서가 전송을 수행하는 경우 고객은 적절한 레코드를 유지하고 필요에 따라 해당 레코드를 가져와야 합니다. | Microsoft 서비스에서 전송하는 개인 데이터 유형, 전송되는 위치, 전송할 법적 세이프가드의 정보 - 고객 데이터 보호 영향 평가를 위한 Office 365의 주요 정보[10] |
(30)(1)(e) |
타사에 대한 PII 공개 기록(7.5.4) | 고객은 개인 데이터가 공개된 사용자에 대한 기록과 관련된 요구 사항을 이해해야 합니다. 여기에는 법 집행 기관에 대한 공개 등이 포함될 수 있습니다. 타사/프로세서가 데이터를 공개하는 경우 고객은 적절한 레코드를 유지하고 필요에 따라 데이터를 가져와야 합니다. | 사용 가능한 공개 기록을 포함하여 개인 데이터 공개의 받는 사람 범주에 대해 제공되는 설명서 - 사용자 데이터에 액세스할 수 있는 사람 및 관련 약관[6] |
(30)(1)(d) |
조인트 컨트롤러(7.5.5) | 고객은 다른 조직과 같이 사용되는 조인트 컨트롤러인지 여부를 결정하고 적절하게 문서화하고 책임을 할당해야 합니다. | 데이터 주체에 대한 문서에 포함될 수 있는 서식 파일 기반 정보를 포함하는 개인 정보의 통제자인 Microsoft 서비스에 대한 문서 - 온라인 서비스 약관, 데이터 보호 약관, 개인 데이터 처리, GDPR 참조[1] |
5. 데이터 보호 및 보안
종류 | 고객 고려 사항 | 지원되는 Microsoft 설명서 | GDPR 조항 설명 |
---|---|---|---|
조직 및 컨텍스트 이해(5.2.1) | 고객은 개인 데이터 처리를 위한 적절한 요구 사항(규정 등)을 식별하기 위해 개인 데이터(예: 컨트롤러, 프로세서, 보조 컨트롤러)를 처리할 때의 역할을 결정해야 합니다. | Microsoft가 개인 데이터를 처리할 때 각 서비스를 프로세서 또는 컨트롤러로 간주하는 방법 - 온라인 서비스 약관, 데이터 보호 약관, 개인 데이터 처리, GDPR, 프로세서 및 컨트롤러 역할 및 책임 참조 [1] |
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8) |
이해 관계자의 요구 사항과 기대치 이해(5.2.2) | 고객은 개인 데이터 처리에 역할 또는 관심이 있을 수 있는 당사자(예: 규제 기관, 감사자, 데이터 주체, 계약된 개인 데이터 프로세서)를 식별하고 필요에 따라 해당 당사자를 참여시키기 위한 요구 사항을 인식하고 있어야 합니다. | Microsoft 서비스가 개인 데이터 처리와 관련된 위험을 고려하여 모든 이해 관계자의 견해를 반영하는 방법 - 고객 데이터 보호 영향 평가를 위한 Office 365의 주요 정보[10] - Office 365 ISMS 설명서 [14] 4.2 이해 관계자의 요구 사항과 기대치 이해 참조 - 준수 관리자에서 이해 관계자의 요구 사항과 기대치 이해 5.2.2 |
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5) |
정보 보안 관리 시스템의 범위 결정(5.2.3, 5.2.4) | 고객이 가질 수 있는 전반적인 보안 또는 개인 정보 보호 프로그램의 일부로 개인 데이터 처리 및 관련 요구 사항을 포함해야 합니다. | Microsoft 서비스가 정보 보안 관리 및 개인 정보 보호 프로그램에서 개인 정보 처리를 포함하는 방법 - Microsoft Office 365 ISO/IEC 27001:2013 ISMS 적용성 보고서[12] A.19 참조 - SOC 2 유형 2 감사 보고서[11] - Office 365 ISMS 설명서 [14]는 4를 참조 하세요. 조직의 컨텍스트 - 5.2.3 5.2.3 준수 관리자에서 정보 보안 관리 시스템의 범위 결정 - 5.2.4 준수 관리자의 정보 보안 관리 시스템 |
(32)(2) |
계획(5.3) | 고객은 완료한 위험 평가의 일부로 개인 데이터 처리를 고려해야 하며 제어하는 개인 데이터와 관련된 위험을 완화하는 데 필요하다고 판단되는 컨트롤을 적용해야 합니다. | Microsoft 서비스가 전체 보안 및 개인 정보 보호 프로그램의 일부로 개인 정보 처리에 관련된 위험을 고려하는 방법 - Office 365 ISMS 설명서[14] 5.2 정책 참조 - 5.3 준수 관리자에서 계획 |
(32)(1)(b), (32)(2) |
정보 보안 정책(6.2) | 고객은 적용 가능한 법률을 준수하는 데 필요한 정책을 퐇마하여 개인 데이터 보호를 포함하는 기존 정보 보호 정책을 보완해야 합니다. | 정보 보안 및 개인 정보 보호를 위한 특정 조치 관련 Microsoft 정책 - Microsoft Office 365(All-Up) ISO/IEC 27001:2013 ISMS 적용성 보고서[12] A.19 참조 - SOC 2 유형 2 감사 보고서[11] - 6.2 준수 관리자의 정보 보안 정책 |
24(2) |
정보 보안 조직 고객 고려 사항(6.3) | 고객은 조직 내에서 개인 데이터의 보안과 보호에 대한 책임을 정의해야 합니다. 여기에는 DPO를 포함하여 개인 정보 관련 문제를 감독하는 특정 역할 설정이 포함될 수 있습니다. 해당 역할을 지원하기 위해 적절한 교육 및 관리 지원을 제공해야 합니다. | Microsoft 데이터 보호 관리자의 역할, 의무의 특성, 보고 구조 및 연락처 정보 개요. - Microsoft의 데이터 보호 관리자[18] - Office 365 ISMS 설명서[14] 5.3 조직 수준의 역할, 책임 및 관련 근거 참조 - 6.3 준수 관리자의 정보 보안 구성 |
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2) |
인적 자원 보안(6.4) | 고객은 개인 정보 보호 관련 교육을 제공할 책임을 결정하고 할당해야 합니다. | Microsoft 데이터 보호 관리자의 역할, 의무의 특성, 보고 구조 및 연락처 정보 개요. - Microsoft의 데이터 보호 관리자[18] - Office 365 ISMS 설명서[14] 5.3 조직 수준의 역할, 책임 및 관련 근거 참조 - 6.4 준수 관리자의 인적 자원 보안 |
(39)(1)(b) |
정보 분류(6.5.1) | 고객은 데이터 분류 체계의 일부로 개인 데이터를 명시적으로 고려해야 합니다. | 개인 데이터 분류를 지원하기 위한 Office 365의 기능 - GDPR에 대한 Office 365 정보 보호[5] 개인 데이터에 대한 분류 스키마 설계 참조 - 6.5.1 준수 관리자의 정보 분류 |
(39)(1)(b) |
이동식 미디어 관리(6.5.2) | 고객은 개인 데이터 보호와 관련된 이동식 미디어 사용에 관한 내부 정책(예: 장치 암호화)을 결정해야 합니다. | Microsoft 서비스가 이동식 미디어에서 개인 정보 보안을 보호하는 방법 - FedRAMP Moderate FedRAMP 시스템 보안 계획[3] 13.10 미디어 보호(MP) 참조 - 준수 관리자의 이동식 미디어 관리 |
(32)(1)(a), (5)(1)(f) |
실제 미디어 전송(6.5.3) | 고객은 실제 미디어를 전송할 때 개인 데이터 보호에 관한 내부 정책(예: 암호화)을 결정해야 합니다. | Microsoft 서비스가 실제 미디어를 전송하는 동안 개인 데이터를 보호하는 방법 - FedRAMP Moderate FedRAMP 시스템 보안 계획[3] 13.10 미디어 보호(MP) 참조 - 6.5.3 준수 관리자의 실제 미디어 전송 |
(32)(1)(a), (5)(1)(f) |
사용자 액세스 관리(6.6.1) | 고객은 사용 중인 서비스 내에서 액세스 컨트롤에 대한 책임을 인식하고 사용 가능한 도구를 사용하여 해당 책임을 적절하게 관리해야 합니다. | 액세스 제어를 강화하도록 지원하기 위해 Microsoft 서비스에서 제공하는 도구 - Office 365 보안 설명서[2] Office 365에서 데이터 및 서비스에 대한 액세스 보호 참조 - 6.6.1 준수 관리자 |
(5)(1)(f) |
사용자 등록 및 등록 취소(6.6.2) | 고객은 사용 가능한 도구를 통해 사용 중인 서비스에서 사용자 등록 및 등록 취소를 관리해야 합니다. | 액세스 제어를 강화하도록 지원하기 위해 Microsoft 서비스에서 제공하는 도구 - Office 365 보안 설명서[2] Office 365에서 데이터 및 서비스에 대한 액세스 보호 참조 - 6.6.2 준수 관리자의 사용자 등록 및 등록 취소 |
(5)(1)(f) |
사용자 액세스 프로비저닝(6.6.3) | 고객은 사용 가능한 도구를 사용하여 활용하는 서비스 내에서 특히 개인 데이터에 대한 인증된 액세스에 대해 사용자 프로필을 관리해야 합니다. | Microsoft 서비스가 사용자 ID, 역할, 응용 프로그램 액세스, 사용자 등록 및 등록 취소를 포함하여 개인 데이터에 대한 정식 액세스 제어를 지원하는 방법 - Office 365 보안 설명서[2] Office 365에서 데이터 및 서비스에 대한 액세스 보호 참조 테넌트 제한을 사용하여 SaaS 클라우드 응용 프로그램에 대한 액세스 관리[15] 6.6.3 준수 관리자의 사용자 액세스 프로비저닝 |
(5)(1)(f) |
권한 있는 액세스 관리(6.6.4) | 고객은 사용 가능한 도구를 사용하여 활용하는 서비스 내에서 특히 개인 데이터를 쉽게 추적할 수 있도록 사용자 ID를 관리해야 합니다. | Microsoft 서비스가 사용자 ID, 역할, 사용자 등록 및 등록 취소를 포함하여 개인 데이터에 대한 정식 액세스 제어를 지원하는 방법 - Office 365 보안 설명서2 Office 365에서 데이터 및 서비스에 대한 액세스 보호 참조 - 테넌트 제한을 사용하여 SaaS 클라우드 응용 프로그램에 대한 액세스 관리[15] - 6.6.4 준수 관리자에서 권한 있는 액세스 관리 |
(5)(1)(f) |
보안 로그온 절차(6.6.5) | 고객은 서비스의 제공된 메커니즘을 활용하여 필요에 따라 사용자의 보안 로그온 기능을 확인해야 합니다. | Microsoft 서비스가 개인 데이터와 관련된 내부 액세스 제어 정책을 지원하는 방법 - 사용자 데이터에 액세스할 수 있는 사람 및 관련 약관[6] - 6.6.5 준수 관리자의 보안 로그온 절차 |
(5)(1)(f) |
암호화(6.7) | 고객은 암호화해야 할 수 있는 데이터와 사용 중인 서비스가 이 기능을 제공하는지 여부를 결정해야 합니다. 고객은 사용 가능한 도구를 사용하여 필요에 따라 암호화를 활용해야 합니다. | Microsoft 서비스가 개인 데이터 처리 위험을 줄이기 위해 암호화 및 익명화를 지원하는 방법 - FedRAMP Moderate FedRAMP SSP(시스템 보안 계획) Cosmos pp29 참조 6.7 준수 관리자의 암호화 [15] |
(32)(1)(a) |
장비의 안전한 폐기 또는 재사용(6.8.1) | 고객이 클라우드 컴퓨팅 서비스(PaaS, SaaS, IaaS)를 사용하는 경우 클라우드 공급자가 해당 공간을 다른 고객에게 할당하기 전에 저장 공간에서 개인 데이터를 지웠는지 확인하는 방법을 이해해야 합니다. | Microsoft 서비스가 장비가 전송되거나 재사용되기 전에 저장 장비에서 개인 데이터를 지웠는지 확인하는 방법 - FedRAMP Moderate FedRAMP 시스템 보안 계획[3] 13.10 미디어 보호(MP) 참조 - 6.8.1 준수 관리자의 안전한 장비 폐기 또는 재사용 |
(5)(1)(f) |
책상 정리 및 화면 정리 정책(6.8.2) | 고객은 개인 데이터를 표시하는 하드카피 자료에 대한 위험을 고려하여 그와 같은 자료의 생성을 잠재적으로 제한해야 합니다. 사용 중인 시스템에서 이를 제한하는 기능(예: 중요한 데이터의 인쇄 또는 복사/붙여넣기를 방지하기 위한 설정)을 제공하는 경우, 고객은 해당 기능의 활용 필요성을 고려해야 합니다. | Microsoft가 하드카피를 관리하기 위해 구현하는 사항 - Microsoft는 이러한 컨트롤을 내부적으로 유지 관리함, Microsoft Office 365 ISO/IEC 27001:2013 ISMS 적용성 보고서[12] A.10.2, A.10.7 및 A.4.1 참조 - 6.8.2 준수 관리자의 책상 정리 및 화면 정리 정책 |
(5)(1)(f) |
개발, 테스트, 운영 환경 분리(6.9.1) | 고객은 조직 내의 개발 및 테스트 환경에서 개인 데이터를 사용하여 발생하는 영향을 고려해야 합니다. | Microsoft가 개발 및 테스트 환경에서 개인 정보를 보호하는 방법 - Microsoft Office 365 ISO/IEC 27001:2013 ISMS 적용성 보고서[12] A.12.1.4 참조 - 6.9.1 준수 관리자의 개발, 테스트, 운영 환경 분리 |
5(1)(f) |
정보 백업(6.9.2) | 고객은 시스템 제공 기능을 사용하여 데이터에 중복을 만들고 필요에 따라 테스트해야 합니다. | Microsoft가 개인 데이터를 포함할 수 있는 데이터의 가용성을 확인하는 방법, 복원된 데이터가 얼마나 정확한지 확인하는 방법, Microsoft 서비스가 데이터 백업 및 복원을 위해 제공하는 도구 및 절차 - FedRAMP Moderate FedRAMP 시스템 보안 계획[3] 10.9 가용성 참조 - 6.9.2 준수 관리자의 정보 백업 |
(32)(1)(c), (5)(1)(f) |
이벤트 로깅(6.9.3) | 고객은 시스템에서 제공하는 로깅 기능을 이해하고 이러한 기능을 활용하여 필요하다고 판단되는 개인 데이터와 관련된 작업을 기록할 수 있도록 해야 합니다. | 사용자 활동, 예외, 오류, 정보 보안 이벤트, 기록 유지의 일부로 사용하기 위해 로그에 액세스하는 방법을 포함하는 Microsoft 서비스에서 기록한 데이터 - Office 365 보안 및 준수 센터에서 감사 로그 검색[16] - 6.9.3 준수 관리자의 이벤트 로깅 |
(5)(1)(f) |
로그 정보 보호(6.9.4) | 고객은 개인 데이터를 포함하거나 개인 데이터 처리와 관련된 레코드를 포함할 수 있는 로그 정보를 보호하기 위한 요구 사항을 고려해야 합니다. 사용 중인 시스템이 로그를 보호하는 기능을 제공하는 경우 고객은 필요한 경우 이러한 기능을 활용해야 합니다. | Microsoft가 개인 데이터를 포함할 수도 있는 로그를 보호하는 방법 - Office 365 보안 및 준수 센터에서 감사 로그 검색[16] - 6.9.4 준수 관리자의 로그 정보 보호 |
(5)(1)(f) |
정보 전송 정책 및 절차(6.10.1) | 고객은 물리적 미디어(예: 서버 또는 시설 간에 이동하는 하드 드라이브)에서 개인 데이터를 전송할 수 있는 경우에 대한 절차를 갖추어야 합니다. 여기에는 로그, 권한 부여 및 추적이 포함될 수 있습니다. 타사 또는 다른 프로세서가 물리적 미디어를 전송할 수 있는 경우 고객은 조직에서 개인 데이터의 보안을 보장하기 위한 절차를 마련해야 합니다. | Microsoft 서비스가 전송이 발생할 수 있는 상황, 데이터를 보호하기 위해 취해진 보호 조치를 비롯하여 개인 데이터를 포함할 수 있는 실제 미디어를 전송하는 방법 - FedRAMP Moderate FedRAMP 시스템 보안 계획[3] 13.10 미디어 보호(MP) 참조 - 6.10.1 준수 관리자의 정보 전송 정책 및 절차 |
(5)(1)(f) |
기밀 또는 비공개 계약(6.10.2) | 고객은 기밀 계약 또는 개인 데이터와 관련된 책임 또는 액세스가 있는 개인에 대한 동등한 사항의 필요성을 결정해야 합니다. | Microsoft 서비스가 개인 데이터에 대한 인증된 액세스를 가진 개인이 기밀 유지를 위해 노력하고 있음을 보장하는 방법 - SOC 2 유형 2 감사 보고서[11] CC1.4 pp33 참조 - 준수 관리자의 기밀 또는 비공개 계약 6.10.2 |
(5)(1)(f), (28)(3)(b), (38)(5) |
공용 네트워크에서 응용 프로그램 서비스 보안(6.11.1) | 고객은 특히 공용 네트워크를 통해 전송되는 경우 개인 데이터 암호화에 대한 요구 사항을 이해해야 합니다. 시스템에서 데이터를 암호화하는 메커니즘을 제공하는 경우 고객은 필요한 경우 이러한 메커니즘을 활용해야 합니다. | 데이터 암호화를 포함하여 전송 중인 데이터를 보호하기 위해 Microsoft 서비스에서 취하는 조치 및 Microsoft 서비스가 암호화 수단을 포함하여 공용 데이터 네트워크를 통해 전달된 개인 데이터를 포함할 수도 있는 데이터를 보호하는 방법에 대한 설명 - Microsoft 클라우드의 암호화[17] 전송 중인 고객 데이터 암호화 참조 - 6.11.1 준수 관리자의 공용 네트워크에서 응용 프로그램 서비스 보안 |
(5)(1)(f), (32)(1)(a) |
안전한 시스템 엔지니어링 원칙(6.11.2) | 고객은 시스템이 개인 데이터를 보호하도록 디자인되고 설계되는 방법을 이해해야 합니다. 고객이 타사에서 설계한 시스템을 사용하는 경우, 그와 같은 보호를 고려했는지에 대한 확인은 고객의 책임입니다. | Microsoft 서비스가 개인 데이터 보호 원칙을 보안 설계/엔지니어링 원칙의 필수 부분으로 포함하는 방법 - SOC 2 유형 2 감사 보고서[11] 보안 개발 수명 주기 pp23, CC7.1 pp45 참조 - 준수 관리자의 안전한 시스템 엔지니어링 원칙 |
(25)(1) |
공급자 관계(6.12) | 고객은 계약 정보 또는 기타 계약서에서 언급된 정보 보안 및 개인 정보 보호 요구 사항과 타사 책임 사항을 확인해야 합니다. 계약에는 처리 지침도 언급되어야 합니다. | Microsoft 서비스가 공급자와의 계약에서 보안 및 데이터 보호를 처리하는 방법과 해당 계약이 효과적으로 구현되었는지 확인하는 방법 - 사용자 데이터에 액세스할 수 있는 사람 및 관련 약관[6] - 하위 프로세서에 대한 계약: Microsoft와 계약[7] - 6.12 준수 관리자의 공급자 관계 |
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b) |
정보 보안 인시던트 및 개선 사항 관리(6.13.1) | 고객은 개인 데이터 위반이 언제 발생했는지 판단할 수 있는 프로세스가 있어야 합니다. | Microsoft 서비스가 보안 인시던트가 개인 데이터의 위반인지 결정하는 방법 및 위반 사실을 알리는 방법 - Office 365 및 GDPR의 위반 알림[9] - 준수 관리자의 정보 보안 인시던트 및 개선 사항 관리 6.13.1 |
(33)(2) |
책임 및 절차(정보 보안 인시던트 동안)(6.13.2) | 고객은 개인 데이터와 관련된 데이터 위반 또는 보안 인시던트 중에 자신의 책임을 이해하고 문서화해야 합니다. 책임에는 필요한 당사자에게 알리기, 프로세서 또는 기타 타사와의 통신 및 고객 조직 내의 책임이 포함될 수 있습니다. | Microsoft 서비스가 보안 인시던트 또는 개인 데이터 위반을 감지한 경우 알리는 방법 - Office 365 및 GDPR의 위반 알림[9] - 6.13.2 준수 관리자의 책임 및 절차 |
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4) |
정보 보안 인시던트에 대한 응답(6.13.3) | 고객은 개인 데이터 위반이 언제 발생했는지 판단할 수 있는 프로세스가 있어야 합니다. | Microsoft 서비스가 개인 데이터 위반이 발생했는지 결정하는 데 도움이 되도록 제공한 정보의 설명 - Office 365 및 GDPR의 위반 알림[9] - 6.13.3 준수 관리자의 정보 보안 인시던트에 대한 응답 |
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2) |
레코드 보호(6.15.1) | 고객은 유지 관리되어야 하는 개인 데이터 처리와 관련된 기록의 요구 사항을 이해해야 합니다. | Microsoft 서비스가 개인 데이터 처리와 관련된 기록을 저장하는 방법 - Office 365 보안 및 준수 센터에서 감사 로그 검색[16] - Microsoft Office 365 ISO/IEC 27001:2013 ISMS 적용성 보고서[12] A.18.1.3 참조 - Office 365 ISMS 설명서 [14], 9 성능 평가 참조 |
(5)(2), (24)(2) |
독립적인 정보 보안 검토(6.15.2) | 고객은 개인 데이터 처리의 보안을 평가하는 데 필요한 요구 사항을 알고 있어야 합니다. 여기에는 내부 또는 외부 감사를 비롯하여 처리 보안을 평가하는 기타 조치가 포함될 수 있습니다. 고객이 처리의 전체 또는 일부에 대해 타사의 다른 조직에 의존하는 경우, 고객이 수행하는 해당 평가에 대한 정보를 수집해야 합니다. | Microsoft 서비스가 타사 감사를 포함하여 처리의 보안을 보장하기 위해 기술적 및 조직적 조치의 효과를 테스트하고 평가하는 방법 - Microsoft Online Services 약관, 데이터 보호 약관, 데이터 보안 참조, 감사 준수[1] - Office 365 ISMS 설명서 [14] 9 성능 평가 참조 - 6.15.2 준수 관리자의 독립적인 정보 보안 검토 |
(32)(1)(d), (32)(2) |
기술 준수 검토(6.15.3) | 고객은 개인 데이터 처리의 보안을 테스트하고 평가하는 데 필요한 요구 사항을 알고 있어야 합니다. 여기에는 침투 테스트와 같은 기술적 테스트가 포함될 수 있습니다. 고객이 타사 시스템 또는 프로세서를 사용하는 경우, 고객은 보안을 보호하고 테스트하는 데 어떤 책임이 있는지를 이해해야 합니다(예: 구성을 관리하여 데이터를 보호하고 구성 설정을 테스팅) 타사가 처리의 보안에 전체적 또는 부분적으로 책임이 있는 경우, 고객은 타사가 처리의 보안을 보장하기 위해 수행하는 테스팅 또는 평가 유형을 이해해야 합니다. | Microsoft 서비스가 타사의 테스트, 기술 테스트 유형, 테스트의 사용 가능한 보고서를 포함하여 식별된 위험을 기반으로 보안을 테스트하는 방법 - Microsoft Online Services 약관, 데이터 보호 약관, 데이터 보안 참조, 감사 준수[1] - 외부 인증 목록은 Microsoft 보안 센터 규정 준수 제품[13] 참조 - 응용 프로그램 침투 테스트에 대한 자세한 내용은 FedRAMP Moderate FedRAMP SSP(시스템 보안 계획)[3], CA-8 침투 테스트(M) (H) pp204를 참조하세요. - 6.15.3 Manager의 기술 규정 준수 검토 |
(32)(1)(d), (32)(2) |