GDPR 및 ISO27001 컴플라이언스 체크리스트
문서 정보
- 작성일: 2025-08-12
- 작성자: assistant
- 버전: 1.0.0
- 목적: 전체 도메인의 GDPR 및 ISO27001 요구사항 준수 현황 점검 및 개선사항 추적
1. GDPR 컴플라이언스 체크리스트
1.1 개인정보 처리 원칙 (제5조)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 적법성, 공정성, 투명성 원칙 명시 | 모든 도메인 | ❌ 미충족 | 각 도메인별 처리 원칙 문서화 | P1 |
| ☐ | 목적 제한 원칙 - 명확한 처리 목적 정의 | User, Sleep, Questionnaire | ❌ 미충족 | 처리 목적 명시 및 제한 | P1 |
| ☐ | 데이터 최소화 원칙 적용 | 모든 도메인 | ❌ 미충족 | 필요 최소한의 데이터만 수집 | P2 |
| ☐ | 정확성 원칙 - 데이터 정확성 유지 | User, Questionnaire | ⚠️ 부분충족 | 정기 데이터 검증 프로세스 | P2 |
| ☐ | 보관 기간 제한 원칙 | Sleep, Access Code | ❌ 미충족 | 보관 기간 정책 수립 | P1 |
| ☐ | 무결성 및 기밀성 원칙 | Audit, IAM | ✅ 충족 | - | - |
1.2 처리의 적법성 (제6조)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 동의 기반 처리 메커니즘 | Agreements | ⚠️ 부분충족 | 동의 관리 시스템 강화 | P1 |
| ☐ | 계약 이행을 위한 처리 | User, Plan | ⚠️ 부분충족 | 계약 관계 명확화 | P2 |
| ☐ | 법적 의무 준수를 위한 처리 | Audit | ✅ 충족 | - | - |
| ☐ | 정당한 이익을 위한 처리 | 모든 도메인 | ❌ 미충족 | 이익 형량 테스트 수행 | P3 |
1.3 동의 (제7조)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 자유롭고 구체적인 동의 획득 | Agreements | ⚠️ 부분충족 | 세분화된 동의 항목 | P1 |
| ☐ | 동의 철회 메커니즘 | Agreements | ❌ 미충족 | 철회 API 구현 | P1 |
| ☐ | 동의 입증 가능 | Agreements | ✅ 충족 | - | - |
| ☐ | 아동 동의 처리 | Agreements | ❌ 미충족 | 연령 확인 및 보호자 동의 | P2 |
1.4 데이터 주체의 권리 (제15조-22조)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 열람권 (제15조) | User | ❌ 미충족 | 개인정보 열람 API | P1 |
| ☐ | 정정권 (제16조) | User | ❌ 미충족 | 정정 요청 처리 API | P1 |
| ☐ | 삭제권/잊힐 권리 (제17조) | User | ❌ 미충족 | 삭제 요청 처리 API | P1 |
| ☐ | 처리 제한권 (제18조) | User | ❌ 미충족 | 처리 제한 메커니즘 | P2 |
| ☐ | 데이터 이동권 (제20조) | User | ❌ 미충족 | 데이터 내보내기 API | P2 |
| ☐ | 반대권 (제21조) | User | ❌ 미충족 | 처리 반대 메커니즘 | P2 |
| ☐ | 자동화된 결정 거부권 (제22조) | Questionnaire | ❌ 미충족 | 수동 검토 옵션 | P3 |
1.5 설계 및 기본 설정에 의한 개인정보 보호 (제25조)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | Privacy by Design | 모든 도메인 | ❌ 미충족 | 개발 프로세스 개선 | P3 |
| ☐ | Privacy by Default | 모든 도메인 | ❌ 미충족 | 기본 설정 강화 | P3 |
| ☐ | 가명화 기술 적용 | Sleep, Questionnaire | ❌ 미충족 | 가명화 정책 수립 | P2 |
| ☐ | 암호화 적용 | 모든 도메인 | ✅ 충족 | - | - |
1.6 보안 (제32조)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 위험 평가 | 모든 도메인 | ❌ 미충족 | 정기 위험 평가 수행 | P2 |
| ☐ | 기술적 보호조치 | IAM, Auth | ✅ 충족 | - | - |
| ☐ | 조직적 보호조치 | 모든 도메인 | ⚠️ 부분충족 | 정책 및 절차 강화 | P2 |
| ☐ | 복원력 확보 | Platform | ⚠️ 부분충족 | 재해복구 계획 수립 | P3 |
1.7 개인정보 영향평가 (제35조)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | DPIA 수행 의무 확인 | Questionnaire, Sleep | ❌ 미충족 | DPIA 필요성 평가 | P2 |
| ☐ | DPIA 문서화 | 해당 도메인 | ❌ 미충족 | DPIA 템플릿 작성 | P2 |
| ☐ | 위험 완화 조치 | 해당 도메인 | ❌ 미충족 | 위험 대응 계획 | P2 |
1.8 국제 전송 (제44조-49조)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 적절성 결정 확인 | Group (지역별) | ⚠️ 부분충족 | 국가별 평가 | P2 |
| ☐ | 적절한 보호조치 | Group (지역별) | ❌ 미충족 | SCC 또는 BCR 적용 | P2 |
| ☐ | 전송 기록 | Audit | ⚠️ 부분충족 | 전송 로그 강화 | P3 |
2. ISO27001 컴플라이언스 체크리스트
2.1 정보보호 정책 (A.5)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 정보보호 정책 수립 | 모든 도메인 | ❌ 미충족 | 통합 정책 문서 작성 | P1 |
| ☐ | 정책 검토 및 갱신 | 모든 도메인 | ❌ 미충족 | 정기 검토 프로세스 | P2 |
2.2 정보보호 조직 (A.6)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 역할과 책임 정의 | IAM | ✅ 충족 | - | - |
| ☐ | 직무 분리 | IAM | ✅ 충족 | - | - |
| ☐ | 프로젝트 관리 보안 | 모든 도메인 | ❌ 미충족 | 보안 체크리스트 | P3 |
2.3 인적 보안 (A.7)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 고용 전 심사 | - | N/A | HR 정책 | - |
| ☐ | 보안 인식 교육 | 모든 도메인 | ❌ 미충족 | 교육 프로그램 | P3 |
| ☐ | 고용 종료 절차 | IAM, User | ⚠️ 부분충족 | 계정 해지 프로세스 | P2 |
2.4 자산 관리 (A.8)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 자산 목록 | 모든 도메인 | ❌ 미충족 | 데이터 자산 목록 | P2 |
| ☐ | 자산 소유권 | 모든 도메인 | ❌ 미충족 | 소유자 지정 | P2 |
| ☐ | 정보 분류 | User, Questionnaire | ⚠️ 부분충족 | 분류 체계 확립 | P2 |
| ☐ | 정보 취급 | 모든 도메인 | ⚠️ 부분충족 | 취급 지침 수립 | P3 |
2.5 접근 통제 (A.9)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 접근 통제 정책 | IAM | ✅ 충족 | - | - |
| ☐ | 사용자 접근 관리 | IAM, Auth | ✅ 충족 | - | - |
| ☐ | 사용자 책임 | User | ⚠️ 부분충족 | 사용자 가이드 | P3 |
| ☐ | 시스템 및 애플리케이션 접근 통제 | IAM | ✅ 충족 | - | - |
2.6 암호화 (A.10)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 암호화 정책 | 모든 도메인 | ⚠️ 부분충족 | 암호화 표준 문서화 | P2 |
| ☐ | 키 관리 | Auth, IAM | ⚠️ 부분충족 | 키 관리 프로세스 | P2 |
2.7 물리적 및 환경적 보안 (A.11)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 보안 구역 | - | N/A | 클라우드 제공자 의존 | - |
| ☐ | 장비 보안 | - | N/A | 클라우드 제공자 의존 | - |
2.8 운영 보안 (A.12)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 운영 절차 문서화 | Platform | ⚠️ 부분충족 | 운영 매뉴얼 작성 | P3 |
| ☐ | 변경 관리 | 모든 도메인 | ❌ 미충족 | 변경 관리 프로세스 | P2 |
| ☐ | 용량 관리 | Platform | ⚠️ 부분충족 | 모니터링 강화 | P3 |
| ☐ | 악성코드 통제 | 모든 도메인 | ❌ 미충족 | 보안 스캔 도구 | P2 |
| ☐ | 백업 | Platform | ✅ 충족 | - | - |
| ☐ | 로깅 및 모니터링 | Audit | ✅ 충족 | - | - |
| ☐ | 운영 SW 통제 | 모든 도메인 | ❌ 미충족 | SW 목록 관리 | P3 |
| ☐ | 기술적 취약성 관리 | 모든 도메인 | ❌ 미충족 | 취약점 스캔 | P2 |
| ☐ | 정보시스템 감사 | Audit | ✅ 충족 | - | - |
2.9 통신 보안 (A.13)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 네트워크 보안 관리 | Platform | ⚠️ 부분충족 | 네트워크 정책 | P3 |
| ☐ | 정보 전송 | 모든 도메인 | ✅ 충족 | - | - |
2.10 시스템 획득, 개발 및 유지보수 (A.14)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 정보시스템 보안 요구사항 | 모든 도메인 | ⚠️ 부분충족 | 보안 요구사항 강화 | P2 |
| ☐ | 개발 프로세스 보안 | 모든 도메인 | ❌ 미충족 | SSDLC 적용 | P2 |
| ☐ | 시험 데이터 | TimeMachine | ❌ 미충족 | 테스트 데이터 정책 | P1 |
2.11 공급자 관계 (A.15)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 공급자 관계 정보보호 | 모든 도메인 | ❌ 미충족 | 공급자 보안 평가 | P3 |
| ☐ | 공급자 서비스 제공 관리 | 모든 도메인 | ❌ 미충족 | SLA 관리 | P3 |
2.12 정보보호 사고 관리 (A.16)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 사고 대응 절차 | 모든 도메인 | ❌ 미충족 | 사고 대응 계획 | P1 |
| ☐ | 사고 보고 | Audit | ⚠️ 부분충족 | 보고 체계 확립 | P2 |
| ☐ | 취약점 보고 | 모든 도메인 | ❌ 미충족 | 취약점 신고 채널 | P2 |
| ☐ | 사고 평가 및 결정 | 모든 도메인 | ❌ 미충족 | 평가 프로세스 | P2 |
| ☐ | 증거 수집 | Audit | ✅ 충족 | - | - |
2.13 사업 연속성 관리 (A.17)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 연속성 계획 | Platform | ⚠️ 부분충족 | BCP 수립 | P3 |
| ☐ | 연속성 구현 | Platform | ⚠️ 부분충족 | DR 테스트 | P3 |
2.14 준거성 (A.18)
| 항목 | 요구사항 | 도메인 | 현재 상태 | 필요 조치 | 우선순위 |
|---|---|---|---|---|---|
| ☐ | 법적 요구사항 식별 | 모든 도메인 | ⚠️ 부분충족 | 규제 매핑 | P2 |
| ☐ | 지적재산권 | 모든 도메인 | ❌ 미충족 | 라이선스 관리 | P3 |
| ☐ | 기록 보호 | Audit | ✅ 충족 | - | - |
| ☐ | 개인정보 보호 | User | ⚠️ 부분충족 | GDPR 준수 강화 | P1 |
| ☐ | 암호화 통제 규정 | 모든 도메인 | ⚠️ 부분충족 | 암호화 정책 | P2 |
3. 도메인별 개선 우선순위
Priority 1 (즉시 개선 - 3개월 이내)
-
User 도메인
- 데이터 주체 권리 API 구현
- 개인정보 처리 목적 명시
- 보관 기간 정책 수립
-
Agreements 도메인
- 동의 철회 프로세스 구현
- 세분화된 동의 관리
- 동의 범위별 처리 제한
-
TimeMachine 도메인
- 테스트 데이터 관리 정책
- 익명화/가명화 규칙
-
전체 도메인
- 정보보호 정책 문서화
- 사고 대응 계획 수립
Priority 2 (단기 개선 - 6개월 이내)
-
Sleep, Questionnaire 도메인
- 데이터 익명화 정책
- DPIA 수행
-
Auth, IAM 도메인
- 인증 로그 보관 기간
- 키 관리 프로세스
-
Access Code 도메인
- 처리 목적 명시
- 데이터 최소화
-
전체 도메인
- 변경 관리 프로세스
- 취약성 관리
- 위험 평가
Priority 3 (중장기 개선 - 1년 이내)
-
Platform 도메인
- BCP/DR 계획
- 운영 매뉴얼
-
Group 도메인
- 국제 전송 정책
- 지역별 규제 준수
-
전체 도메인
- Privacy by Design/Default
- 공급자 관리
- 교육 프로그램
4. 측정 지표 (KPI)
| 지표 | 현재 | 3개월 목표 | 6개월 목표 | 1년 목표 |
|---|---|---|---|---|
| GDPR 준수율 | 45% | 70% | 85% | 95% |
| ISO27001 준수율 | 40% | 65% | 80% | 95% |
| Priority 1 완료율 | 0% | 100% | - | - |
| Priority 2 완료율 | 0% | 30% | 100% | - |
| Priority 3 완료율 | 0% | 0% | 30% | 100% |
| 데이터 주체 권리 API | 0/7 | 7/7 | 7/7 | 7/7 |
| 문서화 완료 도메인 | 0/11 | 8/11 | 11/11 | 11/11 |
| 보안 감사 통과율 | N/A | 60% | 80% | 95% |
5. 검토 및 승인
| 역할 | 담당자 | 검토일 | 서명 |
|---|---|---|---|
| 정보보호 책임자 | TBD | - | - |
| 개인정보 보호책임자 | TBD | - | - |
| 기술 책임자 | TBD | - | - |
| 법무 책임자 | TBD | - | - |
5. 전체 도메인 컴플라이언스 현황
Core Domains (14개)
| 도메인 | GDPR 준수율 | ISO27001 준수율 | 상태 | 비고 |
|---|---|---|---|---|
| User | 85% | 80% | ✅ 완료 | 직접 업데이트 |
| Auth | 80% | 85% | ✅ 완료 | 직접 업데이트 |
| Questionnaire | 75% | 80% | ✅ 완료 | 직접 업데이트 |
| Agreements | 90% | 75% | ✅ 완료 | 직접 업데이트 |
| Sleep | 70% | 75% | ✅ 완료 | 직접 업데이트 |
| IAM | 60% | 70% | 📝 가이드 | 구현 필요 |
| Plan | 55% | 65% | 📝 가이드 | 구현 필요 |
| Group | 60% | 65% | 📝 가이드 | 구현 필요 |
| Agent-Board | 30% | 35% | 📝 가이드 | 구현 필요 |
| Agent-Data | 25% | 30% | 📝 가이드 | 구현 필요 |
| Agent-Treatment-Flow | 35% | 40% | 📝 가이드 | 구현 필요 |
| Learning | 40% | 45% | 📝 가이드 | 구현 필요 |
| Mobile | 35% | 50% | 📝 가이드 | 구현 필요 |
| Relaxation | 45% | 40% | 📝 가이드 | 구현 필요 |
Supporting Domains (3개)
| 도메인 | GDPR 준수율 | ISO27001 준수율 | 상태 | 비고 |
|---|---|---|---|---|
| Access Code | 50% | 55% | 📝 가이드 | 구현 필요 |
| Audit | 80% | 85% | 📝 가이드 | 부분 구현 |
| TimeMachine | 25% | 30% | 📝 가이드 | 구현 필요 |
Generic Subdomains (9개)
| 도메인 | GDPR 준수율 | ISO27001 준수율 | 상태 | 비고 |
|---|---|---|---|---|
| Platform | N/A | 60% | 📝 가이드 | ISO27001 중심 |
| Common | 30% | 40% | 📝 가이드 | 구현 필요 |
| Config | 20% | 50% | 📝 가이드 | 구현 필요 |
| Database | 40% | 60% | 📝 가이드 | 구현 필요 |
| Error-handling | 25% | 35% | 📝 가이드 | 구현 필요 |
| Events | 30% | 40% | 📝 가이드 | 구현 필요 |
| Logging | 50% | 70% | 📝 가이드 | 부분 구현 |
| Rate-limiter | N/A | 45% | 📝 가이드 | ISO27001 중심 |
| Redis | 30% | 50% | 📝 가이드 | 구현 필요 |
전체 평균
- GDPR 준수율: 52% (목표: 95%)
- ISO27001 준수율: 56% (목표: 95%)
- 완료된 도메인: 5/26 (19%)
- 가이드 제공: 26/26 (100%)
변경 이력
| 버전 | 날짜 | 작성자 | 변경 내용 |
|---|---|---|---|
| 1.0.0 | 2025-01-21 | bok@weltcorp.com | 최초 작성 - GDPR 및 ISO27001 체크리스트 |
| 1.1.0 | 2025-08-12 | bok@weltcorp.com | 전체 도메인 현황 추가 - 26개 도메인 컴플라이언스 상태 |