GDPR에 대한 Microsoft 지원 및 전문 서비스 책임 준비 상태 검사 목록

1. 소개

이 책임 준비 검사 목록은 Microsoft 전문 서비스 및 지원 서비스를 사용하는 경우 GDPR을 지원하는 데 필요한 정보에 편리하게 액세스할 수 있는 방법을 제공합니다. 검사 목록은 다음에서 가져온 개인 데이터 프로세서의 개인 정보 및 보안 컨트롤 세트의 제목 및 참조 번호(각 검사 목록 항목에 대해 괄호 사용)를 사용하여 구성됩니다.

이러한 컨트롤 구조는 GDPR을 지원하기 위해 Microsoft 전문 서비스에서 구현하는 내부 컨트롤의 프레젠테이션을 구성하는 데에도 사용됩니다(다운로드 위치: 서비스 보안 포털).

2. 수집 및 처리 조건

종류 고객 고려 사항 지원되는 Microsoft 설명서 GDPR 조항 설명
목적 식별 및 문서화(7.2.1) 고객은 개인 데이터가 처리되는 목적을 문서화해야 합니다. 책임 설명서에 포함될 수 있는 Microsoft가 수행하는 처리에 대한 설명과 해당 처리의 목적
- Microsoft 전문 서비스 데이터 보호 부록[1]
(5)(1)(b), (32)(4)
적법 기준 식별(7.2.2) 고객은 사전 동의 수락 여부와 같은 처리의 적법 기준과 관련된 모든 요구 사항을 이해해야 합니다. 사용자의 책임 설명서에 포함할 Microsoft 서비스의 개인 데이터 처리에 대한 설명
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4)
동의 획득 시기 결정(7.2.3) 고객은 동의가 수집되는 방법을 포함하여 개인 데이터를 처리하기 전에(필요한 경우, 처리 유형이 요구 사항에서 제외된 경우 등) 개인의 동의를 획득하기 위한 법적 또는 규제적 요구 사항을 이해해야 합니다. Microsoft 전문 서비스는 사용자 동의를 얻기 위한 직접적인 지원을 제공하지 않습니다. (6)(1)(a), (8)(1), (8)(2)
동의 획득 및 기록(7.2.4) 필요한 것으로 결정되면 고객은 적절하게 동의를 획득해야 합니다. 또한 고객은 동의 요청을 제시하고 수집하는 방법에 대한 요구 사항을 인식하고 있어야 합니다. Microsoft 전문 서비스는 사용자 동의를 얻기 위한 직접적인 지원을 제공하지 않습니다. (7)(1), (7)(2), (9)(2)(a)
개인 정보 보호 영향 평가(7.2.5) 고객은 개인 정보 보호 영향 평가 완료(수행해야 할 시점, 필요할 수도 있는 데이터 범주, 평가 완료 시기)를 위한 요구 사항을 인식하고 있어야 합니다. Microsoft 전문 서비스는 DPIA를 수행할 시기를 결정하는 방법과 결정 시기와 관련된 지침을 제공하고, 서비스 보안 포털 DPIA(데이터 보호 영향 평가) 페이지에 제공되는 Microsoft의 DPIA 프로그램(DPO 포함)에 대해 대략적으로 설명합니다.

DPIA 지원에 대해서는 다음을 참조하세요.
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]

조항(35)
PII 프로세서와 계약(7.2.6) 고객은 프로세서와의 계약에 개인 데이터 처리 및 보호와 관련된 모든 법적 또는 규제적 의무를 보조할 수 있는 요구 사항이 포함되어 있는지 확인해야 합니다. 데이터 주체의 권한에 대한 지원을 포함하여 GDPR에 따른 고객의 의무를 지원하도록 요구하는 Microsoft 계약
- Microsoft 전문 서비스 데이터 보호 부록[1]
(5)(2), (28)(3)(e), (28)(9)
PII 처리 관련 기록(7.2.7) 고객은 개인 정보 처리와 관련된 모든 필수 기록(예: 목적, 보안 조치 등)을 유지 관리해야 합니다. 이러한 기록 중 일부가 하위 프로세서에서 제공해야 하는 경우 고객은 이러한 기록을 얻을 수 있는지 확인해야 합니다. Microsoft 전문 서비스는 GDPR에 따라 필요한 책임 준수 및 지원을 입증하는 데 필요한 기록을 유지 관리합니다. Microsoft 전문 서비스 보안 설명서 [2] 참조 (5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5)

3. 데이터 주체의 권한

종류 고객 고려 사항 지원되는 Microsoft 설명서 GDPR 조항 설명
PII 보안 주체의 권한 결정 및 행사 활성화(7.3.1) 고객은 개인 데이터 처리와 관련하여 개인의 권리와 관련된 요구 사항을 이해해야 합니다. 이러한 권한에는 액세스, 수정, 삭제 등의 권한이 포함될 수 있습니다. 고객이 타사 시스템을 사용하는 경우 시스템의 어느 부분(있는 경우)에서 개인이 권한(예: 데이터 액세스 권한)을 행사할 수 있는 도구를 제공할지 결정해야 합니다. 시스템이 이러한 기능을 제공하는 경우 고객은 필요에 따라 이를 활용해야 합니다. 데이터 주체 권한을 지원하는 데 도움이 되는 Microsoft가 지원하는 기능
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
(12)(2)
PII 보안 주체(데이터 주체)의 정보 결정(7.3.2) 고객은 개인에게 제공할 수 있는 개인 데이터 처리의 정보 유형에 대한 요구 사항을 이해해야 합니다. 여기에 포함될 수 있는 사항은 다음과 같습니다.
• 컨트롤러 또는 그 담당자에 대한 연락처 세부 정보
• 처리 관련 정보(목적, 국제 전송 및 관련 세이프가드, 보존 기간 등)
• 보안 주체의 개인 데이터 액세스 및/또는 수정 방법, 삭제 및 처리 제한 요청, 개인 데이터의 복사본 수신 및 개인 데이터의 휴대성에 대한 정보
• 개인 데이터 획득 방법 및 위치(주체에게 직접 획득하지 않는 경우)
• 불만을 제기할 권리 및 대상에 대한 정보
• 개인 데이터 수정 관련 정보
• 처리가 더 이상 데이터 주체의 식별을 필요로 하지 않는 경우 조직이 데이터 주체(PII 보안 주체)를 식별할 수 있는 위치에 더 이상 없음에 대한 알림
• 개인 데이터의 전송 및/또는 공개
• 개인 데이터의 자동화된 처리에만 기반한 자동화된 의사 결정의 존재
• 데이터 주체에 대한 정보가 업데이트되고 제공되는 빈도에 대한 정보(예: '적시에' 통보, 조직에서 정의된 빈도 등)
타사 시스템이나 프로세서를 사용하는 경우 고객은 타사에서 제공해야 할 수도 있는 정보(있는 경우)를 결정하고 타사로부터 필요한 정보를 얻었는지 확인해야 합니다.
데이터 주체에 제공하는 데이터에 포함할 수 있는 Microsoft 서비스에 대한 정보
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4)
PII 보안 주체에 대한 정보 제공(7.3.3) 고객은 개인 데이터 처리와 관련하여 개인에게 필요한 정보가 제공되는 방법/시기/형식에 관한 요구 사항을 준수해야 합니다. 타사가 필요한 정보를 제공할 수 있는 경우 고객은 GDPR에서 요구하는 매개 변수 내에 있는지 확인해야 합니다. 데이터 주체에 제공하는 데이터에 포함할 수 있는 Microsoft 전문 서비스에 대한 템플릿 기반 정보
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4)
동의를 수정하거나 철회하는 메커니즘 제공(7.3.4) 고객은 개인 정보에 액세스, 수정 및/또는 삭제하는 권한에 대해 사용자에게 알리고 해당 방법을 제공하기 위한 요구 사항을 이해해야 합니다. 타사 시스템을 사용하고 기능의 일부로 이 메커니즘을 제공하는 경우 고객은 필요에 따라 해당 기능을 활용해야 합니다. 동의 요청 시 데이터 주체에 제공한 정보를 정의할 때 사용할 수 있는 Microsoft 서비스의 기능에 대한 정보
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d)
처리에 이의를 제기할 메커니즘 제공(7.3.5) 고객은 데이터 주체의 권한과 관련된 요구 사항을 이해해야 합니다. 개인이 처리에 이의를 제기할 권한이 있는 경우 고객은 이를 알리고 개인이 이의를 등록할 수 있는 방법을 마련해야 합니다. 데이터 주체에 제공하는 데이터에 포함할 수 있는 처리에 대한 이의 제기와 관련된 Microsoft 서비스 정보
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6)
PII 보안 주체의 권한 행사 공유(7.3.6) 고객은 개인 권한 행사(예: 삭제 또는 수정을 요청한 개인)에 따라 개인 정보가 공유된 타사에게 데이터 수정의 인스턴스를 알리기 위한 요구 사항을 이해해야 합니다. 타사와 공유한 개인 데이터를 검색할 수 있도록 허용하는 Microsoft 서비스의 기능 관련 정보
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
(19)
수정 또는 삭제(7.3.7) 고객은 개인 정보에 액세스, 수정 및/또는 삭제하는 권한에 대해 사용자에게 알리고 해당 방법을 제공하기 위한 요구 사항을 이해해야 합니다. 타사 시스템을 사용하고 기능의 일부로 이 메커니즘을 제공하는 경우 고객은 필요에 따라 해당 기능을 활용해야 합니다. 데이터 주체에 제공하는 데이터에 포함할 수 있는 개인 데이터를 액세스, 수정 또는 삭제할 수 있는 기능과 관련된 Microsoft 서비스 정보
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
처리된 PII의 복사본 제공(7.3.8) 고객은 개인에게 처리되는 개인 데이터의 복사본 제공에 관한 요구 사항을 이해해야 합니다. 여기에는 복사본의 형식(즉, 기계 판독 가능), 복사본 전송 등의 요구 사항이 포함될 수 있습니다. 고객이 복사본을 제공하는 기능을 제공하는 타사 시스템을 사용하는 경우 필요에 따라 이 기능을 활용해야 합니다. 데이터 주체에 제공하는 데이터에 포함할 수 있는 개인 데이터의 복사본 획득을 허용하는 Microsoft 서비스의 기능 관련 정보.- GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7] (15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4)
요청 관리(7.3.9) 고객은 개인 데이터 처리와 관련하여 개인으로부터 합법적인 요청을 수락하고 응답하기 위한 요구 사항을 이해해야 합니다. 고객이 타사 시스템을 사용하는 경우 해당 시스템이 이러한 요청 처리 기능을 제공하는지 아닌지를 이해해야 합니다. 제공한다면 고객은 이러한 메커니즘을 활용하여 필요에 따라 요청을 처리해야 합니다. 데이터 주체 요청을 관리할 때 데이터 주체에 제공한 정보를 정의할 때 사용할 수 있는 Microsoft 서비스의 기능에 대한 정보. - GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7] (12)(3), (12)(4), (12)(5), (12)(6), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h)
자동화된 의사 결정(7.3.10) 고객은 자동화된 개인 데이터 처리와 이러한 자동화를 통해 의사 결정이 이루어지는 위치에 대한 요구 사항을 이해해야 합니다. 여기에는 개인에 대한 처리, 이러한 처리 또는 사람 개입에 대한 이의 제기 관련 정보가 포함될 수 있습니다. 이러한 기능이 타사 시스템에 의해 제공되는 경우 고객은 타사가 필요한 정보 또는 지원을 제공하는지 확인해야 합니다. 책임 설명서에 사용할 수 있는 자동화된 의사 결정을 지원할 수 있는 Microsoft 서비스의 모든 기능 관련 정보 및 이러한 기능에 대한 데이터 주체 관련 템플릿 기반 정보
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3)

4. 기본적으로 계획적인 개인 정보 보호

종류 고객 고려 사항 지원되는 Microsoft 설명서 GDPR 조항 설명
수집 제한(7.4.1) 고객은 개인 정보 컬렉션 제한(예: 특정 목적에 필요한 것으로 제한해야 하는 컬렉션)에 대한 요구 사항을 이해해야 합니다. Microsoft 서비스에서 수집하는 데이터에 대한 설명
- Microsoft 전문 서비스 데이터 보호 부록[1]
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]]
(5)(1)(b), (5)(1)(c)
처리 제한(7.4.2) 고객은 개인 데이터의 처리를 제한하여 식별된 목적에 적합한 범위로 제한할 책임이 있습니다. Microsoft 서비스에서 수집하는 데이터에 대한 설명
- Microsoft 전문 서비스 데이터 보호 부록[1]
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(25)(2)
PII 최소화 및 식별 취소 목표 정의 및 문서화(7.4.3) 고객은 식별 취소가 사용되어야 하는 시점, 식별 취소해야 하는 범위, 식별 취소를 사용할 수 없는 인스턴스 등을 포함하여 개인 데이터의 식별 취소에 대한 요구 사항을 이해해야 합니다. 고객은 Microsoft로 데이터를 전송하기 전에 식별 취소를 수행해야 합니다. Microsoft는 적절한 경우 식별 취소 및 필명화를 내부적으로 적용하여 개인 데이터의 추가 개인 정보 세이프가드를 제공합니다. (5)(1)(c)
식별 수준 준수(7.4.4) 고객은 조직이 설정한 식별 취소 목표 및 방법을 사용하고 준수해야 합니다. 고객은 Microsoft로 데이터를 전송하기 전에 식별 취소를 수행해야 합니다. Microsoft는 적절한 경우 식별 취소 및 필명화를 내부적으로 적용하여 개인 데이터의 추가 개인 정보 세이프가드를 제공합니다. (5)(1)(c)
PII 식별 취소 및 삭제(7.4.5) 고객은 식별된 목적을 위해 사용한 후 개인 데이터 보존에 관한 요구 사항을 이해해야 합니다. 시스템에서 도구를 제공하는 경우 고객은 필요에 따라 해당 도구를 활용하여 삭제해야 합니다. 데이터 보존 정책을 지원하기 위해 Microsoft 서비스에서 제공하는 기능
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
(5)(1)(c),(5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a)
임시 파일(7.4.6) 고객은 Microsoft로 전송될 수 있으나 개인 데이터 처리 정책을 위반할 수 있는 임시 파일에 대해 잘 알고 있어야 합니다(예: 개인 데이터가 필요하거나 허용되는 것보다 더 오랫동안 임시 파일에 유지될 수 있음). 임시 파일 정책을 지원하기 위해 개인 데이터를 식별할 수 있는 서비스가 제공하는 기능에 대한 설명
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
(5)(1)(c)
보존(7.4.7) 고객은 식별된 목적을 고려하여 개인 데이터가 보존되는 기간을 결정해야 합니다. 데이터 주체에 제공한 설명서에 포함할 수 있는 Microsoft 서비스의 개인 데이터 보존 관련 정보
- Microsoft 전문 서비스 데이터 보호 부록[1]
(13)(2)(a), (14)(2)(a)
폐기(7.4.8) 고객은 개인 데이터를 삭제하기 위해 시스템에서 제공한 삭제 또는 폐기 메커니즘을 활용해야 합니다. 데이터 삭제 정책을 지원하기 위해 Microsoft 서비스에서 제공하는 기능
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
(5)(1)(f)
수집 절차(7.4.9) 고객은 개인 데이터의 정확성(예: 수집 시 정확도, 데이터 최신 상태 유지 등)에 관한 요구 사항을 인식하고 이를 위해 시스템에서 제공하는 메커니즘을 활용해야 합니다. Microsoft 서비스가 개인 데이터의 정확성과 데이터 정확성 정책을 지원하기 위해 제공하는 모든 기능을 지원하는 방법
- GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
(5)(1)(d)
컨트롤 전송(7.4.10) 고객은 전송 메커니즘, 전송 레코드 등에 액세스할 수 있는 사람을 포함하여 개인 데이터의 전송을 보호해야 한다는 요구 사항을 이해해야 합니다. Microsoft 서비스에서 전송하는 개인 데이터 유형, 전송되는 위치, 전송할 법적 세이프가드의 정보
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(15)(2), (30)(1)(e), (5)(1)(f)
PII 전송을 위한 기준 식별(7.5.1) 고개은 개인 데이터(PII)를 다른 지리적 위치로 전송하고 그러한 요구 사항을 충족하기 위해 필요한 조치를 문서화하기 위한 요구 사항을 인식하고 있어야 합니다. Microsoft 서비스에서 전송하는 개인 데이터 유형, 전송되는 위치, 전송할 법적 세이프가드의 정보
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(44)조, (45)조, (46)조, (47)조, (48)조, (49)조
PII가 전송될 수 있는 국가 및 조직(7.5.2) 고객은 개인 데이터가 있거나 전송될 수 있는 국가를 이해하고 개인에게 제공할 수 있어야 합니다. 타사/프로세서가 이 전송을 수행할 수 있는 경우 고객은 프로세서 이 정보를 얻어야 합니다. Microsoft 서비스에서 전송하는 개인 데이터 유형, 전송되는 위치, 전송할 법적 세이프가드의 정보
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(30)(1)(e)
PII(개인 데이터)의 전송 기록(7.5.3) 고객은 개인 데이터의 전송과 관련하여 필요한 모든 기록을 유지해야 합니다. 타사/프로세서가 전송을 수행하는 경우 고객은 해당 기록을 유지하고 필요한 경우 이를 확보해야 합니다. Microsoft 서비스에서 전송하는 개인 데이터 유형, 전송되는 위치, 전송할 법적 세이프가드의 정보
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(30)(1)(e)
타사에 대한 PII 공개 기록(7.5.4) 고객은 개인 데이터가 공개된 기록 관련 요구 사항을 이해해야 합니다. 사법 기관에 공개하는 것을 포함할 수 있습니다. 타사/프로세서가 데이터를 공개하는 경우 고객은 해당 기록을 유지하고 필요에 따라 이를 확보해야 합니다. 사용 가능한 공개 기록을 포함하여 개인 데이터 공개의 받는 사람 범주에 대해 제공되는 설명서
- 사용자 데이터에 액세스할 수 있는 사람 및 관련 약관[6]
(30)(1)(d)
조인트 컨트롤러(7.5.5) 고객은 다른 조직과 같이 사용되는 조인트 컨트롤러인지 여부를 결정하고 적절하게 문서화하고 책임을 할당해야 합니다. Microsoft는 지원 및 컨설팅 데이터의 일부로 제공되는 개인 정보의 연합 통제자가 아닙니다. (26)(1), (26)(2), (26)(3)

5. 데이터 보호 및 보안

종류 고객 고려 사항 지원되는 Microsoft 설명서 GDPR 조항 설명
조직 및 컨텍스트 이해(5.2.1) 고객은 개인 데이터 처리를 위한 적절한 요구 사항(규정 등)을 식별하기 위해 개인 데이터(예: 컨트롤러, 프로세서, 보조 컨트롤러)를 처리할 때의 역할을 결정해야 합니다. Microsoft가 개인 데이터를 처리할 때 각 서비스를 프로세서 또는 컨트롤러로 간주하는 방법
- Microsoft 전문 서비스 데이터 보호 부록[1]
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8)
이해 관계자의 요구 사항과 기대치 이해(5.2.2) 고객은 개인 데이터 처리에 역할 또는 관심이 있을 수 있는 당사자(예: 규제 기관, 감사자, 데이터 주체, 계약된 개인 데이터 프로세서)를 식별하고 필요에 따라 해당 당사자를 참여시키기 위한 요구 사항을 인식하고 있어야 합니다. Microsoft 서비스가 개인 데이터 처리와 관련된 위험을 고려하여 모든 이해 관계자의 견해를 반영하는 방법
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5)
정보 보안 관리 시스템의 범위 결정(5.2.3, 5.2.4) 고객이 가질 수 있는 전반적인 보안 또는 개인 정보 보호 프로그램의 일부로 개인 데이터 처리 및 관련 요구 사항을 포함해야 합니다. Microsoft 서비스가 정보 보안 관리 및 개인 정보 보호 프로그램에서 개인 정보 처리를 포함하는 방법
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- ISO 27001 감사 보고서 [10]
(32)(2)
계획(5.3) 고객은 완료한 위험 평가의 일부로 개인 데이터 처리를 고려해야 하며 제어하는 개인 데이터와 관련된 위험을 완화하는 데 필요하다고 판단되는 컨트롤을 적용해야 합니다. Microsoft 서비스가 전체 보안 및 개인 정보 보호 프로그램의 일부로 개인 정보 처리에 관련된 위험을 고려하는 방법
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
(32)(1)(b), (32)(2)
정보 보안 정책(6.2) 고객은 적용 가능한 법률을 준수하는 데 필요한 정책을 퐇마하여 개인 데이터 보호를 포함하는 기존 정보 보호 정책을 보완해야 합니다. 정보 보안 및 개인 정보 보호를 위한 특정 조치 관련 Microsoft 정책
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- ISO 27001 감사 보고서 [10]
24(2)
정보 보안 조직 고객 고려 사항(6.3) 고객은 조직 내에서 보안 및 개인 데이터 보호에 대한 책임을 정의해야 합니다. 여기에는 DPO와 같은 개인 데이터 관련 문제를 감독할 수 있는 특정 역할 수립이 포함될 수 있습니다. 이러한 역할을 지원하려면 적절한 교육과 관리 지원이 제공되어야 합니다. Microsoft는 Microsoft 데이터 보호 관리자, 의무의 특성, 보고 구조 및 연락처 정보에 대한 정보를 발표했습니다.
- Microsoft DPO 정보[13]
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2)
인적 자원 보안(6.4) 고객은 개인 정보 보호 관련 교육을 제공할 책임을 결정하고 할당해야 합니다. Microsoft 데이터 보호 관리자의 역할, 의무의 특성, 보고 구조 및 연락처 정보 개요.
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- 교육 및 인식 프로그램 설명[3]
(39)(1)(b)
정보 분류(6.5.1) 고객은 데이터 분류 체계의 일부로 개인 데이터를 명시적으로 고려해야 합니다. Microsoft가 데이터 분류, 태그 지정 및 추적 정보에서 개인 데이터를 고려하는 방법
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(39)(1)(b)
이동식 미디어 관리(6.5.2) 고객은 개인 데이터 보호와 관련된 이동식 미디어 사용에 관한 내부 정책(예: 장치 암호화)을 결정해야 합니다. Microsoft 서비스가 이동식 미디어에서 개인 정보 보안을 보호하는 방법
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- Microsoft 전문 서비스 컨트롤 집합[4]
(32)(1)(a), (5)(1)(f)
실제 미디어 전송(6.5.3) 고객은 실제 미디어를 전송할 때 개인 데이터 보호에 관한 내부 정책(예: 암호화)을 결정해야 합니다. Microsoft 서비스가 실제 미디어를 전송하는 동안 개인 데이터를 보호하는 방법
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- Microsoft 전문 서비스 컨트롤 집합[4]
(32)(1)(a), (5)(1)(f)
사용자 액세스 관리(6.6.1) 고객은 사용 중인 서비스 내에서 액세스 컨트롤에 대한 책임을 인식하고 사용 가능한 도구를 사용하여 해당 책임을 적절하게 관리해야 합니다. 액세스 제어를 강화하도록 지원하기 위해 Microsoft 서비스에서 제공하는 도구
- Microsoft 전문 서비스 보안 설명서[2]
(5)(1)(f)
사용자 등록 및 등록 취소(6.6.2) 고객은 사용 가능한 도구를 통해 사용 중인 서비스에서 사용자 등록 및 등록 취소를 관리해야 합니다. 액세스 제어를 강화하도록 지원하기 위해 Microsoft 서비스에서 제공하는 도구
- Microsoft 전문 서비스 보안 설명서[2]
(5)(1)(f)
사용자 액세스 프로비저닝(6.6.3) 고객은 사용 가능한 도구를 사용하여 활용하는 서비스 내에서 특히 개인 데이터에 대한 인증된 액세스에 대해 사용자 프로필을 관리해야 합니다. Microsoft 서비스가 사용자 ID, 역할, 사용자 등록 및 등록 취소를 포함하여 개인 데이터에 대한 정식 액세스 제어를 지원하는 방법
- Microsoft 전문 서비스 보안 설명서[2]
(5)(1)(f)
권한 있는 액세스 관리(6.6.4) 고객은 사용 가능한 도구를 사용하여 활용하는 서비스 내에서 특히 개인 데이터를 쉽게 추적할 수 있도록 사용자 ID를 관리해야 합니다. Microsoft 서비스가 사용자 ID, 역할, 사용자 등록 및 등록 취소를 포함하여 개인 데이터에 대한 정식 액세스 제어를 지원하는 방법
- Microsoft 전문 서비스 보안 설명서[2]
(5)(1)(f)
보안 로그온 절차(6.6.5) 고객은 서비스의 제공된 메커니즘을 활용하여 필요에 따라 사용자의 보안 로그온 기능을 확인해야 합니다. Microsoft 서비스가 개인 데이터와 관련된 내부 액세스 제어 정책을 지원하는 방법
- 사용자 데이터에 액세스할 수 있는 사람 및 관련 약관[6]
(5)(1)(f)
암호화(6.7) 고객은 암호화해야 할 데이터가 있는지 여부와 사용 중인 서비스가 이 기능을 제공하는지 여부를 결정해야 합니다. 고객은 사용 가능한 도구를 사용하여 필요에 따라 암호화를 사용해야 합니다. Microsoft 서비스가 개인 데이터 처리 위험을 줄이기 위해 암호화 및 익명화를 지원하는 방법
- Microsoft 전문 서비스 보안 설명서[2]
(32)(1)(a)
장비의 안전한 폐기 또는 재사용(6.8.1) 고객이 클라우드 컴퓨팅 서비스(PaaS, SaaS, IaaS)를 사용하는 경우 클라우드 공급자가 해당 공간을 다른 고객에게 할당하기 전에 저장 공간에서 개인 데이터를 지웠는지 확인하는 방법을 이해해야 합니다. Microsoft 전문 서비스가 실행되는 동안 Microsoft Azure 클라우드 컴퓨팅 서비스를 활용할 경우, 장비가 전송되거나 재사용되기 전에 저장소 장비에서 개인 데이터가 지워지도록 하는 방법
- Microsoft 전문 서비스 보안 설명서[2]
(5)(1)(f)
책상 정리 및 화면 정리 정책(6.8.2) 고객은 개인 데이터를 표시하는 하드카피 자료 관련 위험을 고려해야 하며 잠재적으로 이러한 자료 작성을 제한해야 합니다. 사용 중인 시스템이 자료 작성을 제한하는 기능을 제공하는 경우 고객은 이러한 기능(중요한 데이터의 인쇄 또는 복사/붙여넣기를 금지하는 설정)을 활용할 필요성을 고려해야 합니다. Microsoft가 하드카피를 관리하기 위해 구현하는 사항
- Microsoft는 이러한 컨트롤을 내부적으로 유지 관리합니다. Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 참조[11]
- Microsoft 전문 서비스 GDPR 컨트롤 집합[4]
(5)(1)(f)
개발, 테스트, 운영 환경 분리(6.9.1) 고객은 조직 내의 개발 및 테스트 환경에서 개인 데이터를 사용하여 발생하는 영향을 고려해야 합니다. Microsoft가 개발 및 테스트 환경에서 개인 정보를 보호하는 방법
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- Microsoft 전문 서비스 컨트롤 집합[4]
(5)(1)(f)
정보 백업(6.9.2) 고객은 시스템 제공 기능을 사용하여 데이터에 중복을 만들고 필요에 따라 테스트해야 합니다. Microsoft가 개인 데이터를 포함할 수 있는 데이터의 가용성을 확인하는 방법, 복원된 데이터가 얼마나 정확한지 확인하는 방법, Microsoft 서비스가 데이터 백업 및 복원을 위해 제공하는 도구 및 절차
- Microsoft 엔터프라이즈 비즈니스 연속성 관리 설명서[5]
(32)(1)(c), (5)(1)(f)
이벤트 로깅(6.9.3) 고객은 시스템에서 제공하는 로깅 기능을 이해하고 이러한 기능을 활용하여 필요하다고 판단되는 개인 데이터와 관련된 작업을 기록할 수 있도록 해야 합니다. 사용자 활동, 예외, 오류, 정보 보안 이벤트, 기록 유지의 일부로 사용하기 위해 로그에 액세스하는 방법을 포함하는 Microsoft 서비스에서 기록한 데이터
- Microsoft 전문 서비스 보안 설명서[2]
- Microsoft 전문 서비스 컨트롤 집합[4]
(5)(1)(f)
로그 정보 보호(6.9.4) 고객은 개인 데이터를 포함하거나 개인 데이터 처리와 관련된 기록을 포함할 수 있는 로그 정보를 보호하기 위한 요구 사항을 고려해야 합니다. 사용 중인 시스템이 로그를 보호할 수 있는 기능을 제공하는 경우 고객은 필요에 따라 이 기능을 활용해야 합니다. Microsoft가 개인 데이터를 포함할 수도 있는 로그를 보호하는 방법
- Microsoft 전문 서비스 보안 설명서[2]
- Microsoft 전문 서비스 컨트롤 집합[4]
(5)(1)(f)
정보 전송 정책 및 절차(6.10) 고객은 물리적 미디어(예: 서버 또는 시설 간 이동되는 하드 드라이브)에서 개인 데이터를 전송할 수 있는 경우에 대한 절차가 있어야 합니다. 여기에는 로그, 인증, 추적이 포함될 수 있습니다. 타사 또는 다른 프로세서가 물리적 미디어를 전송할 수 있는 경우 고객은 해당 조직에 개인 데이터의 보안을 보장하는 절차가 마련되어 있는지 확인해야 합니다. Microsoft 서비스가 전송이 발생할 수 있는 상황, 데이터를 보호하기 위해 취해진 보호 조치를 비롯하여 개인 데이터를 포함할 수 있는 실제 미디어를 전송하는 방법
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- Microsoft 전문 서비스 컨트롤 집합[4]
(5)(1)(f)
기밀 또는 비공개 계약(6.10.2) 고객은 기밀 계약 또는 개인 데이터와 관련된 책임 또는 액세스가 있는 개인에 대한 동등한 사항의 필요성을 결정해야 합니다. Microsoft 서비스가 개인 데이터에 대한 인증된 액세스를 가진 개인이 기밀 유지를 위해 노력하고 있음을 보장하는 방법
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- Microsoft 전문 서비스 컨트롤 집합[4]
(5)(1)(f), (28)(3)(b), (38)(5)
공용 네트워크에서 응용 프로그램 서비스 보안(6.11.1) 고객은 특히 공용 네트워크를 통해 전송할 때 개인 데이터의 암호화에 대한 요구 사항을 이해해야 합니다. 시스템이 데이터 암호화 메커니즘을 제공하는 경우 고객은 필요한 경우 해당 메커니즘을 활용해야 합니다. 데이터 암호화를 포함하여 전송 중인 데이터를 보호하기 위해 Microsoft 서비스에서 취하는 조치 및 Microsoft 서비스가 암호화 수단을 포함하여 공용 데이터 네트워크를 통해 전달된 개인 데이터를 포함할 수도 있는 데이터를 보호하는 방법에 대한 설명
- Microsoft 전문 서비스 보안 설명서[2]
(5)(1)(f), (32)(1)(a)
안전한 시스템 엔지니어링 원칙(6.11.2) 고객은 개인 데이터 보호를 고려하여 시스템이 어떻게 설계되는지 이해해야 합니다. 고객이 타사에 의해 설계된 시스템을 사용하는 경우 고객은 이러한 보호가 고려되었는지 확인해야 합니다. Microsoft 서비스가 개인 데이터 보호 원칙을 보안 설계/엔지니어링 원칙의 필수 부분으로 포함하는 방법
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- 보안 개발 수명 주기란?
(25)(1)
공급자 관계(6.12) 고객은 계약 정보 또는 기타 계약서에서 언급된 정보 보안 및 개인 정보 보호 요구 사항과 타사 책임 사항을 확인해야 합니다. 계약에는 처리 지침도 언급되어야 합니다. Microsoft 서비스가 공급자와의 계약에서 보안 및 데이터 보호를 처리하는 방법과 해당 계약이 효과적으로 구현되었는지 확인하는 방법.
- 사용자 데이터에 액세스할 수 있는 사람 및 관련 약관[6]
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b)
정보 보안 인시던트 및 개선 사항 관리(6.13.1) 고객은 개인 데이터 위반이 언제 발생했는지 판단할 수 있는 프로세스가 있어야 합니다. Microsoft 서비스가 보안 인시던트가 개인 데이터의 위반인지 결정하는 방법 및 위반 사실을 알리는 방법
- Microsoft 전문 서비스와 GDPR에 따른 위반 알림[8]
(33)(2)
책임 및 절차(정보 보안 인시던트 동안)(6.13.2) 고객은 개인 데이터가 포함된 데이터 위반 또는 보안 인시던트 발생 시 책임을 이해하고 문서화해야 합니다. 책임은 필수 당사자, 프로세서 또는 기타 타사와의 커뮤니케이션 및 고객 조직 내의 책임에 대한 알림을 포함할 수 있습니다. Microsoft 서비스가 보안 인시던트 또는 개인 데이터 위반을 감지한 경우 알리는 방법
- Microsoft 전문 서비스와 GDPR에 따른 위반 알림[8]
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4)
정보 보안 인시던트에 대한 응답(6.13.3) 고객은 개인 데이터 위반이 언제 발생했는지 판단할 수 있는 프로세스가 있어야 합니다. Microsoft 서비스가 개인 데이터 위반이 발생했는지 결정하는 데 도움이 되도록 제공한 정보의 설명
- Microsoft 전문 서비스와 GDPR에 따른 위반 알림[8]
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2)
레코드 보호(6.15.1) 고객은 유지 관리되어야 하는 개인 데이터 처리와 관련된 기록의 요구 사항을 이해해야 합니다. Microsoft 서비스가 개인 데이터 처리와 관련된 기록을 저장하는 방법
- Microsoft 전문 서비스 보안 설명서[2]
(5)(2), (24)(2)
독립적인 정보 보안 검토(6.15.2) 고객은 개인 데이터 처리의 보안 평가에 대한 요구 사항을 인식하고 있어야 합니다. 여기에는 내부나 외부 감사 또는 처리 보안 평가를 위한 기타 조치가 포함될 수 있습니다. 고객이 모든 처리 과정 또는 일부 과정을 타사의 다른 조직에 의존하는 경우 고객은 해당 평가에 대한 정보를 수집해야 합니다. Microsoft 서비스가 타사 감사를 포함하여 처리의 보안을 보장하기 위해 기술적 및 조직적 조치의 효과를 테스트하고 평가하는 방법
- Microsoft 전문 서비스 데이터 보호 부록[1]
(32)(1)(d), (32)(2)
기술 준수 검토(6.15.3) 고객은 개인 데이터 처리의 보안 테스트 및 평가의 요구 사항을 이해해야 합니다. 여기에는 침투 테스트와 같은 기술 테스트가 포함될 수 있습니다. 고객이 타사 시스템이나 프로세서를 사용하는 경우 보안 확인 및 테스트(예: 데이터 보호를 위한 구성 관리 및 해당 구성 설정 테스트)와 관련된 책임을 이해해야 합니다. 타사가 처리 보안의 모든 부분 또는 일부분에 책임이 있는 경우 고객은 처리의 보안을 보장하기 위해 타사가 수행하는 테스트나 평가를 이해해야 합니다. Microsoft 서비스가 타사의 테스트 및 기술 테스트 유형을 포함하여 식별된 위험을 기반으로 보안을 테스트하는 방법.
- 외부 인증 목록은 Microsoft 보안 센터 규정 준수 제품 참조 [12]
- 응용 프로그램의 취약점 테스트에 대한 자세한 내용은 Microsoft 전문 서비스 보안 설명서 참조[2]
(32)(1)(d), (32)(2)
ID 설명/링크 참고
1 Microsoft 전문 서비스 데이터 보호 부록
2 Microsoft 전문 서비스 보안 설명서
3 교육 및 인식 프로그램 설명 고객 계정 관리 팀을 통해 요청할 수 있습니다.
4 Microsoft 전문 서비스 GDPR 컨트롤 집합
5 Microsoft 엔터프라이즈 비즈니스 연속성 관리 설명서 고객 계정 관리 팀을 통해 요청할 수 있습니다.
6 사용자 데이터에 액세스할 수 있는 사람 및 관련 약관
7 GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청
8 Microsoft 전문 서비스와 GDPR에 따른 위반 알림
9 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보
10 ISO 27001 감사 보고서
11 Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 고객 계정 관리 팀을 통한 요청의 SOA.
12 Microsoft 보안 센터 준수 제공 사항
13 Microsoft DPO 정보

자세한 정보