GDPR에 대한 Microsoft 지원 및 전문 서비스 책임 준비 상태 검사 목록

1. 소개

이 책임 준비 검사 목록은 Microsoft 전문 서비스 및 지원 서비스를 사용할 때 GDPR을 지원하는 데 필요한 정보에 편리하게 액세스할 수 있는 방법을 제공합니다. 검사 목록은 다음에서 가져온 개인 데이터 프로세서에 대한 개인 정보 및 보안 제어 집합의 제목 및 참조 번호 (각 검사 목록의 각 항목에 대 한 괄호)를 사용하여 구성됩니다.

이러한 컨트롤 구조는 GDPR을 지원하기 위해 Microsoft 전문 서비스에서 구현하는 내부 컨트롤의 프레젠테이션을 구성하는 데에도 사용됩니다(다운로드 위치: 서비스 보안 포털).

2. 수집 및 처리 조건

종류 고객 고려 사항 지원되는 Microsoft 설명서 GDPR 조항 설명
목적 식별 및 문서화(7.2.1) 고객은 개인 데이터가 처리되는 목적을 문서화해야 합니다. 책임 설명서에 포함될 수 있는 Microsoft가 수행하는 처리에 대한 설명과 해당 처리의 목적
- Microsoft 전문 서비스 데이터 보호 부록[1]
(5)(1)(b), (32)(4)
적법 기준 식별(7.2.2) 고객은 사전 동의 수락 여부와 같은 처리의 적법 기준과 관련된 모든 요구 사항을 이해해야 합니다. 사용자의 책임 설명서에 포함할 Microsoft 서비스의 개인 데이터 처리에 대한 설명
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(5)(1)(a), (6)(1)(a), (6)(1)(b), (6)(1)(c), (6)(1)(d), (6)(1)(e), (6)(1)(f), (6)(3), (6)4)(a), (6)(4)(b), (6)(4)(c), (6)(4)(d), (6)(4)(e), (8)(3), (9)(1), (9)(2)(b), (9)(2)(c), (9)(2)(d), (9)(2)(e), (9)(2)(f), (9)(2)(g), (9)(2)(h), (9)(2)(i), (9)(2)(j), (9)(3), (9)(4), (10), (17)(3)(a), (17)(3)(b), (17)(3)(c), (17)(3)(d), (17)(3)(e), (18)(2), (22)(2)(a), (22)(2)(b), (22)(2)(c), (22)(4)
동의 획득 시기 결정(7.2.3) 고객은 동의가 수집되는 방법을 포함하여 개인 데이터를 처리하기 전에(필요한 경우, 처리 유형이 요구 사항에서 제외된 경우 등) 개인의 동의를 획득하기 위한 법적 또는 규제적 요구 사항을 이해해야 합니다. Microsoft 전문 서비스는 사용자 동의를 얻기 위한 직접적인 지원을 제공하지 않습니다. (6)(1)(a), (8)(1), (8)(2)
동의 획득 및 기록(7.2.4) 필요한 것으로 확인되면 고객은 적절하게 동의를 얻어야 합니다. 또한 고객은 동의 요청이 제시되고 수집되는 방법에 대한 요구 사항을 알고 있어야 합니다. Microsoft 전문 서비스는 사용자 동의를 얻기 위한 직접적인 지원을 제공하지 않습니다. (7)(1), (7)(2), (9)(2)(a)
개인 정보 보호 영향 평가(7.2.5) 고객은 개인 정보 보호 영향 평가 완료(수행해야 할 시점, 필요할 수도 있는 데이터 범주, 평가 완료 시기)를 위한 요구 사항을 인식하고 있어야 합니다. Microsoft 전문 서비스는 DPIA를 수행할 시기를 결정하는 방법과 결정 시기와 관련된 지침을 제공하고, 서비스 보안 포털 DPIA(데이터 보호 영향 평가) 페이지에 제공되는 Microsoft의 DPIA 프로그램(DPO 포함)에 대해 대략적으로 설명합니다.

DPIA 지원에 대해서는 다음을 참조하세요.
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]

조항(35)
PII 프로세서와 계약(7.2.6) 고객은 프로세서와의 계약에 개인 데이터 처리 및 보호와 관련된 모든 법적 또는 규제적 의무를 보조할 수 있는 요구 사항이 포함되어 있는지 확인해야 합니다. 데이터 주체의 권한에 대한 지원을 포함하여 GDPR에 따른 고객의 의무를 지원하도록 요구하는 Microsoft 계약
- Microsoft 전문 서비스 데이터 보호 부록[1]
(5)(2), (28)(3)(e), (28)(9)
PII 처리 관련 기록(7.2.7) 고객은 개인 데이터 처리와 관련된 필수 레코드(예: 목적, 보안 조치 등)를 모두 유지 관리해야 합니다. 이 레코드 중 일부를 하위 프로세서에서 제공해야 하는 경우, 고객은 이 프로세서에서 이 레코드를 획득할 수 있도록 해야 합니다. Microsoft 전문 서비스는 GDPR에 따른 책임에 대한 규정 준수 및 지원을 보여 주는 데 필요한 레코드를 유지 관리합니다. Microsoft 전문 서비스 보안 설명서[2] 참조 (5)(2), (24)(1), (30)(1)(a), (30)(1)(b), (30)(1)(c), (30)(1)(d), (30)(1)(g), (30)(1)(f), (30)(3), (30)(4), (30)(5)

3. 데이터 주체의 권한

종류 고객 고려 사항 지원되는 Microsoft 설명서 GDPR 조항 설명
PII 보안 주체의 권한 결정 및 행사 활성화(7.3.1) 고객은 개인 데이터 처리와 관련하여 개인의 권리와 관련된 요구 사항을 이해해야 합니다. 이 권리에는 액세스, 수정 및 삭제와 같은 항목이 포함될 수 있습니다. 고객이 타사 시스템을 사용하는 경우, 개인이 권리를 행사할 수 있도록 해주는 도구를 제공하는 시스템 부분을 결정해야 합니다. 시스템에서 이러한 기능을 제공하는 경우 고객은 필요에 따라 이를 활용해야 합니다. 데이터 주체 권한을 지원하는 데 도움이 되는 Microsoft가 지원하는 기능
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
(12)(2)
PII 보안 주체(데이터 주체)의 정보 결정(7.3.2) 고객은 개인에게 제공할 수 있는 개인 데이터 처리에 대한 정보 유형에 대한 요구 사항을 이해해야 합니다. 여기에는 다음과 같은 항목이 포함될 수 있습니다.
• 컨트롤러 또는 그 담당자에 대한 연락처 세부 정보
• 처리 관련 정보(목적, 국제 전송 및 관련 세이프가드, 보존 기간 등)
• 보안 주체의 개인 데이터 액세스 및/또는 수정 방법, 삭제 및 처리 제한 요청, 개인 데이터의 복사본 수신 및 개인 데이터의 휴대성에 대한 정보
• 개인 데이터 획득 방법 및 위치(주체에게 직접 획득하지 않는 경우)
• 불만을 제기할 권리 및 대상에 대한 정보
• 개인 데이터 수정 관련 정보
• 처리가 더 이상 데이터 주체의 식별을 필요로 하지 않는 경우 조직이 데이터 주체(PII 보안 주체)를 식별할 수 있는 위치에 더 이상 없음에 대한 알림
• 개인 데이터의 전송 및/또는 공개
• 개인 데이터의 자동화된 처리에만 기반한 자동화된 의사 결정의 존재
• 데이터 주체에 대한 정보가 업데이트되고 제공되는 빈도에 대한 정보(예: '적시에' 통보, 조직에서 정의된 빈도 등)
타사 시스템이나 프로세서를 사용하는 경우 고객은 타사에서 제공해야 할 수도 있는 정보(있는 경우)를 결정하고 타사로부터 필요한 정보를 얻었는지 확인해야 합니다.
데이터 주체에 제공하는 데이터에 포함할 수 있는 Microsoft 서비스에 대한 정보
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(11)(2), (13)(1)(a), (13)(1)(b), (13)(1)(c), (13)(1)(d), (13)(1)(e), (13)(1)(f), (13)(2)(c), (13)(2)(d), (13)(2)(e), (13)(3), (13)(4), (14)(1)(a), (14)(1)(b), (14)(1)(c), (14)(1)(d), (14)(1)(e), (14)(1)(f), (14)(2)(b), (14)(2)(e), (14)(2)(f), (14)(3)(a), (14)(3)(b), (14)(3)(c), (14)(4), (14)(5)(a), (14)(5)(b), (14)(5)(c), (14)(5)(d), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h), (15)(2), (18)(3), (21)(4)
PII 보안 주체에 대한 정보 제공(7.3.3) 고객은 필수 정보가 개인 데이터 처리와 관련된 개인에게 제공되는 형식, 방법, 시기에 대한 요구 사항을 준수해야 합니다. 타사에서 필수 정보를 제공하는 경우 고객은이를 GDPR에 필요한 매개 변수에 포함되도록 해야 합니다. 데이터 주체에 제공하는 데이터에 포함할 수 있는 Microsoft 전문 서비스에 대한 템플릿 기반 정보
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(11)(2), (12)(1), (12)(7), (13)(3), (21)(4)
동의를 수정하거나 철회하는 메커니즘 제공(7.3.4) 고객은 사용자에게 개인 데이터에 액세스, 수정 및/또는 삭제할 수 있는 권리를 알리고 이를 위한 메커니즘을 제공하기 위한 요구 사항을 이해해야 합니다. 타사 시스템을 사용하고 해당 기능의 일부로 이 메커니즘을 제공하는 경우 고객은 필요에 따라 해당 기능을 활용해야 합니다. 동의 요청 시 데이터 주체에 제공한 정보를 정의할 때 사용할 수 있는 Microsoft 서비스의 기능에 대한 정보
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
(7)(3), (13)(2)(c), (14)(2)(d), (18)(1)(a), (18)(1)(b), (18)(1)(c), (18)(1)(d)
처리에 이의를 제기할 메커니즘 제공(7.3.5) 고객은 데이터 주체의 권한에 대한 요구 사항을 이해해야 합니다. 개인이 처리에 반대할 권리가 있는 경우 고객은 이를 알리고 개인이 이의를 등록할 수 있는 방법을 가져야 합니다. 데이터 주체에 제공하는 데이터에 포함할 수 있는 처리에 대한 이의 제기와 관련된 Microsoft 서비스 정보
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
(13)(2)(b), (14)(2)(c), (21)(1), (21)(2), (21)(3), (21)(5), (21)(6)
PII 보안 주체의 권한 행사 공유(7.3.6) 고객은 개인 권한 행사(예: 삭제 또는 수정을 요청한 개인)에 따라 개인 정보가 공유된 타사에게 데이터 수정의 인스턴스를 알리기 위한 요구 사항을 이해해야 합니다. 타사와 공유한 개인 데이터를 검색할 수 있도록 허용하는 Microsoft 서비스의 기능 관련 정보
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
(19)
수정 또는 삭제(7.3.7) 고객은 사용자에게 개인 데이터에 액세스, 수정 및/또는 삭제할 수 있는 권리를 알리고 이를 위한 메커니즘을 제공하기 위한 요구 사항을 이해해야 합니다. 타사 시스템을 사용하고 해당 기능의 일부로 이 메커니즘을 제공하는 경우 고객은 필요에 따라 해당 기능을 활용해야 합니다. 데이터 주체에 제공하는 데이터에 포함할 수 있는 개인 데이터를 액세스, 수정 또는 삭제할 수 있는 기능과 관련된 Microsoft 서비스 정보
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
처리된 PII의 복사본 제공(7.3.8) 고객은 처리할 개인 데이터의 복사본을 개인에게 제공하는 데 필요한 요구 사항을 이해해야 합니다. 여기에는 복사본 형식(즉, 머신 판독 가능), 복사본 전송 등에 관한 요구 사항이 포함될 수 있습니다. 고객이 복사본을 제공하는 기능을 제공하는 타사 시스템을 사용하는 경우 필요에 따라 이 기능을 활용해야 합니다. 데이터 주체에 제공하는 데이터에 포함할 수 있는 개인 데이터의 복사본 획득을 허용하는 Microsoft 서비스의 기능 관련 정보.- GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7] (15)(3), (15)(4), (20)(1), (20)(2), (20)(3), (20)(4)
요청 관리(7.3.9) 고객은 개인 데이터 처리와 관련된 개인의 합법적인 요청을 수락하고 응답하기 위한 요구 사항을 이해해야 합니다. 고객이 타사 시스템을 사용하는 경우 해당 시스템이 이러한 요청 처리 기능을 제공하는지 여부를 이해해야 합니다. 이 경우 고객은 필요에 따라 이러한 메커니즘을 활용하여 요청을 처리해야 합니다. 데이터 주체 요청을 관리할 때 데이터 주체에 제공한 정보를 정의할 때 사용할 수 있는 Microsoft 서비스의 기능에 대한 정보. - GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7] (12)(3), (12)(4), (12)(5), (12)(6), (15)(1)(a), (15)(1)(b), (15)(1)(c), (15)(1)(d), (15)(1)(e), (15)(1)(f), (15)(1)(g), (15)(1)(h)
자동화된 의사 결정(7.3.10) 고객은 자동화된 개인 데이터 처리에 대한 요구 사항과 이러한 자동화를 통해 의사 결정을 내리는 위치를 이해해야 합니다. 여기에는 개인에 대한 처리, 이러한 처리 또는 사람 개입에 대한 이의 제기 관련 정보가 포함될 수 있습니다. 이러한 기능이 타사 시스템에 의해 제공되는 경우 고객은 타사가 필요한 정보 또는 지원을 제공하는지 확인해야 합니다. 책임 설명서에 사용할 수 있는 자동화된 의사 결정을 지원할 수 있는 Microsoft 서비스의 모든 기능 관련 정보 및 이러한 기능에 대한 데이터 주체 관련 템플릿 기반 정보
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(13)(2)(f), (14)(2)(g), (22)(1), (22)(3)

4. 기본적으로 계획적인 개인 정보 보호

종류 고객 고려 사항 지원되는 Microsoft 설명서 GDPR 조항 설명
수집 제한(7.4.1) 고객은 개인 정보 컬렉션 제한(예: 특정 목적에 필요한 것으로 제한해야 하는 컬렉션)에 대한 요구 사항을 이해해야 합니다. Microsoft 서비스에서 수집하는 데이터에 대한 설명
- Microsoft 전문 서비스 데이터 보호 부록[1]
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]]
(5)(1)(b), (5)(1)(c)
처리 제한(7.4.2) 고객은 개인 데이터의 처리를 제한하여 식별된 목적에 적합한 범위로 제한할 책임이 있습니다. Microsoft 서비스에서 수집하는 데이터에 대한 설명
- Microsoft 전문 서비스 데이터 보호 부록[1]
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(25)(2)
PII 최소화 및 식별 취소 목표 정의 및 문서화(7.4.3) 고객은 식별 취소가 사용되어야 하는 시점, 식별 취소해야 하는 범위, 식별 취소를 사용할 수 없는 인스턴스 등을 포함하여 개인 데이터의 식별 취소에 대한 요구 사항을 이해해야 합니다. 고객은 Microsoft로 데이터를 전송하기 전에 ID를 해제할 책임이 있습니다. Microsoft는 적절한 경우 식별 취소 및 필명화를 내부적으로 적용하여 개인 데이터의 추가 개인 정보 세이프가드를 제공합니다. (5)(1)(c)
식별 수준 준수(7.4.4) 고객은 조직이 설정한 식별 취소 목표 및 방법을 사용하고 준수해야 합니다. 고객은 Microsoft로 데이터를 전송하기 전에 ID를 해제할 책임이 있습니다. Microsoft는 적절한 경우 식별 취소 및 필명화를 내부적으로 적용하여 개인 데이터의 추가 개인 정보 세이프가드를 제공합니다. (5)(1)(c)
PII 식별 취소 및 삭제(7.4.5) 고객은 식별된 목적을 위해 사용한 개인 데이터의 보존과 관련된 요구 사항을 이해해야 합니다. 시스템에서 제공하는 도구인 경우 고객은 이러한 도구를 활용하여 필요에 따라 지우거나 삭제해야 합니다. 데이터 보존 정책을 지원하기 위해 Microsoft 서비스에서 제공하는 기능
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
(5)(1)(c),(5)(1)(e), (6)(4)(e), (11)(1), (32)(1)(a)
임시 파일(7.4.6) 고객은 Microsoft로 전송될 수 있으나 개인 데이터 처리 정책을 위반할 수 있는 임시 파일에 대해 잘 알고 있어야 합니다(예: 개인 데이터가 필요하거나 허용되는 것보다 더 오랫동안 임시 파일에 유지될 수 있음). 임시 파일 정책을 지원하기 위해 개인 데이터를 식별할 수 있는 서비스가 제공하는 기능에 대한 설명
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
(5)(1)(c)
보존(7.4.7) 고객은 식별된 목적을 고려하여 개인 데이터가 보존되는 기간을 결정해야 합니다. 데이터 주체에 제공한 설명서에 포함할 수 있는 Microsoft 서비스의 개인 데이터 보존 관련 정보
- Microsoft 전문 서비스 데이터 보호 부록[1]
(13)(2)(a), (14)(2)(a)
폐기(7.4.8) 고객은 개인 데이터를 삭제하기 위해 시스템에서 제공한 삭제 또는 폐기 메커니즘을 활용해야 합니다. 데이터 삭제 정책을 지원하기 위해 Microsoft 서비스에서 제공하는 기능
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
(5)(1)(f)
수집 절차(7.4.9) 고객은 개인 데이터의 정확성(예: 수집 시 정확도, 데이터 최신 상태 유지 등)에 관한 요구 사항을 인식하고 이를 위해 시스템에서 제공하는 메커니즘을 활용해야 합니다. Microsoft 서비스가 개인 데이터의 정확성과 데이터 정확성 정책을 지원하기 위해 제공하는 모든 기능을 지원하는 방법
GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청[7]
(5)(1)(d)
컨트롤 전송(7.4.10) 고객은 전송 메커니즘, 전송 레코드 등에 액세스할 수 있는 사람을 포함하여 개인 데이터의 전송을 보호해야 한다는 요구 사항을 이해해야 합니다. Microsoft 서비스에서 전송하는 개인 데이터 유형, 전송되는 위치, 전송할 법적 세이프가드의 정보
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(15)(2), (30)(1)(e), (5)(1)(f)
PII 전송을 위한 기준 식별(7.5.1) 고개은 개인 데이터(PII)를 다른 지리적 위치로 전송하고 그러한 요구 사항을 충족하기 위해 필요한 조치를 문서화하기 위한 요구 사항을 인식하고 있어야 합니다. Microsoft 서비스에서 전송하는 개인 데이터 유형, 전송되는 위치, 전송할 법적 세이프가드의 정보
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(44)조, (45)조, (46)조, (47)조, (48)조, (49)조
PII가 전송될 수 있는 국가 및 조직(7.5.2) 고객은 개인 데이터가 전송되거나 전송될 수 있는 국가를 이해하고 개인에게 제공할 수 있어야 합니다. 타사/프로세서가 이 전송을 수행할 수 있는 경우 고객은 프로세서에서 이 정보를 가져와야 합니다. Microsoft 서비스에서 전송하는 개인 데이터 유형, 전송되는 위치, 전송할 법적 세이프가드의 정보
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(30)(1)(e)
PII(개인 데이터)의 전송 기록(7.5.3) 고객은 개인 데이터 전송과 관련된 모든 필수 레코드를 유지해야 합니다. 타사/프로세서가 전송을 수행하는 경우 고객은 적절한 레코드를 유지하고 필요에 따라 해당 레코드를 가져와야 합니다. Microsoft 서비스에서 전송하는 개인 데이터 유형, 전송되는 위치, 전송할 법적 세이프가드의 정보
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(30)(1)(e)
타사에 대한 PII 공개 기록(7.5.4) 고객은 개인 데이터가 공개된 기록과 관련된 요구 사항을 이해해야 합니다. 여기에는 법 집행 기관에 대한 공개 등이 포함될 수 있습니다. 타사/프로세서가 데이터를 공개하는 경우 고객은 적절한 레코드를 유지하고 필요에 따라 데이터를 가져와야 합니다. 사용 가능한 공개 기록을 포함하여 개인 데이터 공개의 받는 사람 범주에 대해 제공되는 설명서
- 사용자 데이터에 액세스할 수 있는 사람 및 관련 약관[6]
(30)(1)(d)
조인트 컨트롤러(7.5.5) 고객은 다른 조직과 같이 사용되는 조인트 컨트롤러인지 여부를 결정하고 적절하게 문서화하고 책임을 할당해야 합니다. Microsoft는 지원 및 컨설팅 데이터의 일부로 제공되는 개인 정보의 연합 통제자가 아닙니다. (26)(1), (26)(2), (26)(3)

5. 데이터 보호 & 보안

종류 고객 고려 사항 지원되는 Microsoft 설명서 GDPR 조항 설명
조직 및 컨텍스트 이해(5.2.1) 고객은 개인 데이터 처리를 위한 적절한 요구 사항(규정 등)을 식별하기 위해 개인 데이터(예: 컨트롤러, 프로세서, 보조 컨트롤러)를 처리할 때의 역할을 결정해야 합니다. Microsoft가 개인 데이터를 처리할 때 각 서비스를 프로세서 또는 컨트롤러로 간주하는 방법
- Microsoft 전문 서비스 데이터 보호 부록[1]
(24)(3), (28)(10), (28)(5), (28)(6), (32)(3), (40)(1), (40)(2)(a), (40)(2)(b), (40)(2)(c), (40)(2)(d), (40)(2)(e), (40)(2)(f), (40)(2)(g), (40)(2)(h), (40)(2)(i), (40)(2)(j), (40)(2)(k), (40)(3), (40)(4), (40)(5), (40)(6), (40)(7), (40)(8), (40)(9), (40)(10), (40)(11), (41)(1), (41)(2)(a), (41)(2)(b), (41)(2)(c), (41)(2)(d), (41)(3), (41)(4), (41)(5), (41)(6), (42)(1), (42)(2), (42)(3), (42)(4), (42)(5), (42)(6), (42)(7), (42)(8)
이해 관계자의 요구 사항과 기대치 이해(5.2.2) 고객은 개인 데이터 처리에 역할 또는 관심이 있을 수 있는 당사자(예: 규제 기관, 감사자, 데이터 주체, 계약된 개인 데이터 프로세서)를 식별하고 필요에 따라 해당 당사자를 참여시키기 위한 요구 사항을 인식하고 있어야 합니다. Microsoft 서비스가 개인 데이터 처리와 관련된 위험을 고려하여 모든 이해 관계자의 견해를 반영하는 방법
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(35)(9), (36)(1), (36)(3)(a), (36)(3)(b), (36)(3)(c), (36)(3)(d), (36)(3)(e), (36)(3)(f), (36)(5)
정보 보안 관리 시스템의 범위 결정(5.2.3, 5.2.4) 고객이 가질 수 있는 전반적인 보안 또는 개인 정보 보호 프로그램의 일부로 개인 데이터 처리 및 관련 요구 사항을 포함해야 합니다. Microsoft 서비스가 정보 보안 관리 및 개인 정보 보호 프로그램에서 개인 정보 처리를 포함하는 방법
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- ISO 27001 감사 보고서 [10]
(32)(2)
계획(5.3) 고객은 완료한 위험 평가의 일부로 개인 데이터 처리를 고려해야 하며 제어하는 개인 데이터와 관련된 위험을 완화하는 데 필요하다고 판단되는 컨트롤을 적용해야 합니다. Microsoft 서비스가 전체 보안 및 개인 정보 보호 프로그램의 일부로 개인 정보 처리에 관련된 위험을 고려하는 방법
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
(32)(1)(b), (32)(2)
정보 보안 정책(6.2) 고객은 적용 가능한 법률을 준수하는 데 필요한 정책을 퐇마하여 개인 데이터 보호를 포함하는 기존 정보 보호 정책을 보완해야 합니다. 정보 보안 및 개인 정보 보호를 위한 특정 조치 관련 Microsoft 정책
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- ISO 27001 감사 보고서 [10]
24(2)
정보 보안 조직 고객 고려 사항(6.3) 고객은 조직 내에서 개인 데이터의 보안과 보호에 대한 책임을 정의해야 합니다. 여기에는 DPO를 포함하여 개인 정보 관련 문제를 감독하는 특정 역할 설정이 포함될 수 있습니다. 해당 역할을 지원하기 위해 적절한 교육 및 관리 지원을 제공해야 합니다. Microsoft는 Microsoft 데이터 보호 관리자, 의무의 특성, 보고 구조 및 연락처 정보에 대한 정보를 발표했습니다.
- Microsoft DPO 정보[13]
(37)(1)(a), (37)(1)(b), (37)(1)(c), (37)(2), (37)(3), (37)(4), (37)(5), (37)(6), (37)(7), (38)(1), (38)(2), (38)(3), (38)(4), (38)(5), (38)(6), (39)(1)(a), (39)(1)(b), (39)(1)(c), (39)(1)(d), (39)(1)(e), (39)(2)
인적 자원 보안(6.4) 고객은 개인 정보 보호 관련 교육을 제공할 책임을 결정하고 할당해야 합니다. Microsoft 데이터 보호 관리자의 역할, 의무의 특성, 보고 구조 및 연락처 정보 개요.
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- 교육 및 인식 프로그램 설명[3]
(39)(1)(b)
정보 분류(6.5.1) 고객은 데이터 분류 체계의 일부로 개인 데이터를 명시적으로 고려해야 합니다. Microsoft가 데이터 분류, 태그 지정 및 추적 정보에서 개인 데이터를 고려하는 방법
- 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보[9]
(39)(1)(b)
이동식 미디어 관리(6.5.2) 고객은 개인 데이터 보호와 관련된 이동식 미디어 사용에 관한 내부 정책(예: 장치 암호화)을 결정해야 합니다. Microsoft 서비스가 이동식 미디어에서 개인 정보 보안을 보호하는 방법
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- Microsoft 전문 서비스 컨트롤 집합[4]
(32)(1)(a), (5)(1)(f)
실제 미디어 전송(6.5.3) 고객은 실제 미디어를 전송할 때 개인 데이터 보호에 관한 내부 정책(예: 암호화)을 결정해야 합니다. Microsoft 서비스가 실제 미디어를 전송하는 동안 개인 데이터를 보호하는 방법
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- Microsoft 전문 서비스 컨트롤 집합[4]
(32)(1)(a), (5)(1)(f)
사용자 액세스 관리(6.6.1) 고객은 사용 중인 서비스 내에서 액세스 컨트롤에 대한 책임을 인식하고 사용 가능한 도구를 사용하여 해당 책임을 적절하게 관리해야 합니다. 액세스 제어를 강화하도록 지원하기 위해 Microsoft 서비스에서 제공하는 도구
- Microsoft 전문 서비스 보안 설명서[2]
(5)(1)(f)
사용자 등록 및 등록 취소(6.6.2) 고객은 사용 가능한 도구를 통해 사용 중인 서비스에서 사용자 등록 및 등록 취소를 관리해야 합니다. 액세스 제어를 강화하도록 지원하기 위해 Microsoft 서비스에서 제공하는 도구
- Microsoft 전문 서비스 보안 설명서[2]
(5)(1)(f)
사용자 액세스 프로비저닝(6.6.3) 고객은 사용 가능한 도구를 사용하여 활용하는 서비스 내에서 특히 개인 데이터에 대한 인증된 액세스에 대해 사용자 프로필을 관리해야 합니다. Microsoft 서비스가 사용자 ID, 역할, 사용자 등록 및 등록 취소를 포함하여 개인 데이터에 대한 정식 액세스 제어를 지원하는 방법
- Microsoft 전문 서비스 보안 설명서[2]
(5)(1)(f)
권한 있는 액세스 관리(6.6.4) 고객은 사용 가능한 도구를 사용하여 활용하는 서비스 내에서 특히 개인 데이터를 쉽게 추적할 수 있도록 사용자 ID를 관리해야 합니다. Microsoft 서비스가 사용자 ID, 역할, 사용자 등록 및 등록 취소를 포함하여 개인 데이터에 대한 정식 액세스 제어를 지원하는 방법
- Microsoft 전문 서비스 보안 설명서[2]
(5)(1)(f)
보안 로그온 절차(6.6.5) 고객은 서비스의 제공된 메커니즘을 활용하여 필요에 따라 사용자의 보안 로그온 기능을 확인해야 합니다. Microsoft 서비스가 개인 데이터와 관련된 내부 액세스 제어 정책을 지원하는 방법
- 사용자 데이터에 액세스할 수 있는 사람 및 관련 약관[6]
(5)(1)(f)
암호화(6.7) 고객은 암호화해야 할 수 있는 데이터와 사용하는 서비스가 이 기능을 제공하는지 여부를 결정해야 합니다. 고객은 사용 가능한 도구를 사용하여 필요에 따라 암호화를 활용해야 합니다. Microsoft 서비스가 개인 데이터 처리 위험을 줄이기 위해 암호화 및 익명화를 지원하는 방법
- Microsoft 전문 서비스 보안 설명서[2]
(32)(1)(a)
장비의 안전한 폐기 또는 재사용(6.8.1) 고객이 클라우드 컴퓨팅 서비스(PaaS, SaaS, IaaS)를 사용하는 경우 클라우드 공급자가 해당 공간을 다른 고객에게 할당하기 전에 저장 공간에서 개인 데이터를 지웠는지 확인하는 방법을 이해해야 합니다. Microsoft 전문 서비스가 실행되는 동안 Microsoft Azure 클라우드 컴퓨팅 서비스를 활용할 경우, 장비가 전송되거나 재사용되기 전에 저장소 장비에서 개인 데이터가 지워지도록 하는 방법
- Microsoft 전문 서비스 보안 설명서[2]
(5)(1)(f)
책상 정리 및 화면 정리 정책(6.8.2) 고객은 개인 데이터를 표시하는 하드카피 자료에 대한 위험을 고려하여 그와 같은 자료의 생성을 잠재적으로 제한해야 합니다. 사용 중인 시스템에서 이를 제한하는 기능(예: 중요한 데이터의 인쇄 또는 복사/붙여넣기를 방지하기 위한 설정)을 제공하는 경우, 고객은 해당 기능의 활용 필요성을 고려해야 합니다. Microsoft가 하드카피를 관리하기 위해 구현하는 사항
- Microsoft는 이러한 컨트롤을 내부적으로 유지 관리합니다. Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 참조[11]
- Microsoft 전문 서비스 GDPR 컨트롤 집합[4]
(5)(1)(f)
개발, 테스트, 운영 환경 분리(6.9.1) 고객은 조직 내의 개발 및 테스트 환경에서 개인 데이터를 사용하여 발생하는 영향을 고려해야 합니다. Microsoft가 개발 및 테스트 환경에서 개인 정보를 보호하는 방법
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- Microsoft 전문 서비스 컨트롤 집합[4]
(5)(1)(f)
정보 백업(6.9.2) 고객은 시스템 제공 기능을 사용하여 데이터에 중복을 만들고 필요에 따라 테스트해야 합니다. Microsoft가 개인 데이터를 포함할 수 있는 데이터의 가용성을 확인하는 방법, 복원된 데이터가 얼마나 정확한지 확인하는 방법, Microsoft 서비스가 데이터 백업 및 복원을 위해 제공하는 도구 및 절차
- Microsoft 엔터프라이즈 비즈니스 연속성 관리 설명서[5]
(32)(1)(c), (5)(1)(f)
이벤트 로깅(6.9.3) 고객은 시스템에서 제공하는 로깅 기능을 이해하고 이러한 기능을 활용하여 필요하다고 판단되는 개인 데이터와 관련된 작업을 기록할 수 있도록 해야 합니다. 사용자 활동, 예외, 오류, 정보 보안 이벤트, 기록 유지의 일부로 사용하기 위해 로그에 액세스하는 방법을 포함하는 Microsoft 서비스에서 기록한 데이터
- Microsoft 전문 서비스 보안 설명서[2]
- Microsoft 전문 서비스 컨트롤 집합[4]
(5)(1)(f)
로그 정보 보호(6.9.4) 고객은 개인 데이터를 포함하거나 개인 데이터 처리와 관련된 레코드를 포함할 수 있는 로그 정보를 보호하기 위한 요구 사항을 고려해야 합니다. 사용 중인 시스템에서 로그를 보호하는 기능을 제공하는 경우 고객은 필요한 경우 이러한 기능을 활용해야 합니다. Microsoft가 개인 데이터를 포함할 수도 있는 로그를 보호하는 방법
- Microsoft 전문 서비스 보안 설명서[2]
- Microsoft 전문 서비스 컨트롤 집합[4]
(5)(1)(f)
정보 전송 정책 및 절차(6.10) 고객은 물리적 미디어(예: 서버 또는 시설 간에 이동하는 하드 드라이브)에서 개인 데이터를 전송할 수 있는 경우를 위한 절차를 갖추어야 합니다. 여기에는 로그, 권한 부여 및 추적이 포함될 수 있습니다. 타사 또는 다른 프로세서가 물리적 미디어를 전송할 수 있는 경우 고객은 조직에 개인 데이터의 보안을 보장하기 위한 절차가 있는지 확인해야 합니다. Microsoft 서비스가 전송이 발생할 수 있는 상황, 데이터를 보호하기 위해 취해진 보호 조치를 비롯하여 개인 데이터를 포함할 수 있는 실제 미디어를 전송하는 방법
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- Microsoft 전문 서비스 컨트롤 집합[4]
(5)(1)(f)
기밀 또는 비공개 계약(6.10.2) 고객은 기밀 계약 또는 개인 데이터와 관련된 책임 또는 액세스가 있는 개인에 대한 동등한 사항의 필요성을 결정해야 합니다. Microsoft 서비스가 개인 데이터에 대한 인증된 액세스를 가진 개인이 기밀 유지를 위해 노력하고 있음을 보장하는 방법
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- Microsoft 전문 서비스 컨트롤 집합[4]
(5)(1)(f), (28)(3)(b), (38)(5)
공용 네트워크에서 응용 프로그램 서비스 보안(6.11.1) 고객은 특히 공용 네트워크를 통해 전송되는 경우 개인 데이터 암호화에 대한 요구 사항을 이해해야 합니다. 시스템에서 데이터를 암호화하는 메커니즘을 제공하는 경우 고객은 필요한 경우 이러한 메커니즘을 활용해야 합니다. 데이터 암호화를 포함하여 전송 중인 데이터를 보호하기 위해 Microsoft 서비스에서 취하는 조치 및 Microsoft 서비스가 암호화 수단을 포함하여 공용 데이터 네트워크를 통해 전달된 개인 데이터를 포함할 수도 있는 데이터를 보호하는 방법에 대한 설명
- Microsoft 전문 서비스 보안 설명서[2]
(5)(1)(f), (32)(1)(a)
안전한 시스템 엔지니어링 원칙(6.11.2) 고객은 시스템이 개인 데이터를 보호하도록 디자인되고 설계되는 방법을 이해해야 합니다. 고객이 타사에서 설계한 시스템을 사용하는 경우, 그와 같은 보호를 고려했는지에 대한 확인은 고객의 책임입니다. Microsoft 서비스가 개인 데이터 보호 원칙을 보안 설계/엔지니어링 원칙의 필수 부분으로 포함하는 방법
- Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 [11]
- 보안 개발 수명 주기란?
(25)(1)
공급자 관계(6.12) 고객은 계약 정보 또는 기타 계약서에서 언급된 정보 보안 및 개인 정보 보호 요구 사항과 타사 책임 사항을 확인해야 합니다. 계약에는 처리 지침도 언급되어야 합니다. Microsoft 서비스가 공급자와의 계약에서 보안 및 데이터 보호를 처리하는 방법과 해당 계약이 효과적으로 구현되었는지 확인하는 방법.
- 사용자 데이터에 액세스할 수 있는 사람 및 관련 약관[6]
(5)(1)(f), (28)(1), (28)(3)(a), (28)(3)(b), (28)(3)(c), (28)(3)(d), (28)(3)(e), (28)(3)(f), (28)(3)(g), (28)(3)(h),(30)(2)(d), (32)(1)(b)
정보 보안 인시던트 및 개선 사항 관리(6.13.1) 고객은 개인 데이터 위반이 언제 발생했는지 판단할 수 있는 프로세스가 있어야 합니다. Microsoft 서비스가 보안 인시던트가 개인 데이터의 위반인지 결정하는 방법 및 위반 사실을 알리는 방법
- Microsoft 전문 서비스와 GDPR에 따른 위반 알림[8]
(33)(2)
책임 및 절차(정보 보안 인시던트 동안)(6.13.2) 고객은 개인 데이터와 관련된 데이터 위반 또는 보안 인시던트 중에 자신의 책임을 이해하고 문서화해야 합니다. 책임에는 필요한 당사자에게 알리기, 프로세서 또는 기타 타사와의 통신, 고객 조직 내의 책임 등이 포함될 수 있습니다. Microsoft 서비스가 보안 인시던트 또는 개인 데이터 위반을 감지한 경우 알리는 방법
- Microsoft 전문 서비스와 GDPR에 따른 위반 알림[8]
(5)(1)(f), (33)(1), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2), (34)(3)(a), (34)(3)(b), (34)(3)(c), (34)(4)
정보 보안 인시던트에 대한 응답(6.13.3) 고객은 개인 데이터 위반이 언제 발생했는지 판단할 수 있는 프로세스가 있어야 합니다. Microsoft 서비스가 개인 데이터 위반이 발생했는지 결정하는 데 도움이 되도록 제공한 정보의 설명
- Microsoft 전문 서비스와 GDPR에 따른 위반 알림[8]
(33)(1), (33)(2), (33)(3)(a), (33)(3)(b), (33)(3)(c), (33)(3)(d), (33)(4), (33)(5), (34)(1), (34)(2)
레코드 보호(6.15.1) 고객은 유지 관리되어야 하는 개인 데이터 처리와 관련된 기록의 요구 사항을 이해해야 합니다. Microsoft 서비스가 개인 데이터 처리와 관련된 기록을 저장하는 방법
- Microsoft 전문 서비스 보안 설명서[2]
(5)(2), (24)(2)
독립적인 정보 보안 검토(6.15.2) 고객은 개인 데이터 처리의 보안을 평가하는 데 필요한 요구 사항을 알고 있어야 합니다. 여기에는 내부 또는 외부 감사를 비롯하여 처리 보안을 평가하는 기타 조치가 포함될 수 있습니다. 고객이 처리의 전체 또는 일부에 대해 타사의 다른 조직에 의존하는 경우, 고객이 수행하는 해당 평가에 대한 정보를 수집해야 합니다. Microsoft 서비스가 타사 감사를 포함하여 처리의 보안을 보장하기 위해 기술적 및 조직적 조치의 효과를 테스트하고 평가하는 방법
- Microsoft 전문 서비스 데이터 보호 부록[1]
(32)(1)(d), (32)(2)
기술 준수 검토(6.15.3) 고객은 개인 데이터 처리의 보안을 테스트하고 평가하는 데 필요한 요구 사항을 알고 있어야 합니다. 여기에는 침투 테스트와 같은 기술적 테스트가 포함될 수 있습니다. 고객이 타사 시스템 또는 프로세서를 사용하는 경우, 고객은 보안을 보호하고 테스트하는 데 어떤 책임이 있는지를 이해해야 합니다(예: 구성을 관리하여 데이터를 보호하고 구성 설정을 테스팅) 타사가 처리의 보안에 전체적 또는 부분적으로 책임이 있는 경우, 고객은 타사가 처리의 보안을 보장하기 위해 수행하는 테스팅 또는 평가 유형을 이해해야 합니다. Microsoft 서비스가 타사의 테스트 및 기술 테스트 유형을 포함하여 식별된 위험을 기반으로 보안을 테스트하는 방법.
- 외부 인증 목록은 Microsoft 보안 센터 규정 준수 제품 [12]을 참조하세요.
- 응용 프로그램의 취약점 테스트에 대한 자세한 내용은 Microsoft 전문 서비스 보안 설명서 참조[2]
(32)(1)(d), (32)(2)
ID 설명/링크 참고
1 Microsoft 전문 서비스 데이터 보호 부록
2 Microsoft 전문 서비스 보안 설명서
3 교육 및 인식 프로그램 설명 고객 계정 관리 팀을 통해 요청할 수 있습니다.
4 Microsoft 전문 서비스 GDPR 컨트롤 집합
5 Microsoft 엔터프라이즈 비즈니스 연속성 관리 설명서 고객 계정 관리 팀을 통해 요청할 수 있습니다.
6 사용자 데이터에 액세스할 수 있는 사람 및 관련 약관
7 GDPR 및 CCPA에 대한 Microsoft 전문 서비스 데이터 주체 요청
8 Microsoft 전문 서비스와 GDPR에 따른 위반 알림
9 고객 데이터 보호 영향 평가를 위한 Microsoft 전문 서비스의 주요 정보
10 ISO 27001 감사 보고서
11 Microsoft 전문 서비스 ISO/IEC 27001:2013 ISMS 적용성 보고서 고객 계정 관리 팀을 통한 요청의 SOA.
12 Microsoft 보안 센터 준수 제공 사항
13 Microsoft DPO 정보

자세한 정보