본문 바로가기
CPPG

개인정보의 안전성 확보조치 기준 스터디

by pharmerci 2021. 11. 26.
728x90

오늘은 금요일이다 (야ㅡ호)

 

 

 

제1조 목적

이 기준은 개인정보보호법에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실, 도난, 유출되지 않도록 안전성 확보에 필요한 최소한의 기준을 정하는 것을 목적으로 한다.

 

제2조 정의

  1. 정보주체 : 처리되는 정보에 의해 알아볼 수 있는 사람
  2. 개인정보파일 : 개인정보를 쉽게 검색할 수 있도록 규칙에 따라 배열한 개인정보의 집합물
  3. 개인정보처리자 : 업무를 목적으로 개인정보를 처리하는 공공기관, 법인, 단체, 개인
  4. 개인정보보호책임자 : 개인정보처리자의 개인정보 처리에 관한 업무를 총괄해서 책임지는 자
  5. 개인정보취급자 : 개인정보처리자의 지휘 감독을 맡아 개인정보를 처리하는 업무를 담당하는자
  6. 개인정보처리시스템 : 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템
  7. 위험도 분석 : 개인정보 유출에 영향을 미칠 수 있는 위험요소를 식별, 평가하고 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 분석하는 행위
  8. 비밀번호 : 개인정보처리시스템, 업무컴퓨터, 정보통신망 등에 접속할 때 정당한 접속권한을 가진 자라는 것을 식별할 수 있도록 시스템에 전달하는 문자열, 타인에게 공개되지 않는 정보
  9. 정보통신망 : 전기통신설비, 컴퓨터, 컴퓨터 이용기술을 활용하여 정보를 수집, 가공, 저장 등 하는 정보통신체계

 

제3조 안전조치 기준 적용

개인정보처리자가 개인정보의 안전성 확보에 필요한 조치를 하는 경우엔 개인정보처리자 유형, 개인정보 보유량에 따른 안전조치 기준을 적용해야 한다. 이 때 개인정보처리자가 어디에 해당하는지에 대한 입증책임은 개인정보처리자가 부담한다.

유형1 소상공인, 단체, 개인
보유 개인정보 : 1만명 미만
유형2 중소기업
보유 개인정보 : 100만명 미만

대기업, 중견기업, 공공기관
보유 개인정보 : 10만명 미만

소상공인, 단체, 개인
보유 개인정보 : 1만명 이상
유형3 대기업, 중견기업, 공공기관
보유 개인정보 : 10만명 이상

중소기업, 단체
보유 개인정보 : 100만명 이상

 

제4조 내부 관리계획의 수립, 시행

1. 개인정보처리자는 개인정보 분실, 도난, 유출되지 않도록 내부 의사결정 절차를 통해 각 호를 포함하는 내부관리계획을 수립, 시행해야 한다.

  • 개인정보 보호책임자 지정
  • 개인정보 보호책임자, 개인정보 취급자 역할, 책임
  • 개인정보취급자 교육
  • 접근권한 관리
  • 접근통제
  • 개인정보 암호화조치
  • 접속기록 보관, 점검
  • 악성 프로그램 방지
  • 물리적 안전조치
  • 개인정보 보호조직 구성, 운영
  • 개인정보 유출사고 대응 계획 수립, 시행
  • 위험도 분석, 대응방안 마련
  • 재해, 재난 대비 개인정보처리시스템의 물리적 안전조치
  • 개인정보 처리업무 위탁 시 수탁자에 대한 관리, 감독
  • 이 외

2. 유형1인 개인정보처리자는 1항은 수립 안해도 된다. 유형2인 개인정보처리자는 1항 12~14호(밑줄친곳)를 내부관리계획에 포함하지 않아도 된다.

3. 개인정보처리자는 1항에 중요한 변경이 있으면 즉시 반영하여 시행하고 수정 이력을 관리해야 한다.

4. 개인정보보호책임자는 내부 관리계획 이행 실태를 연1회 이상 점검, 관리해야 한다.

 

제5조 접근권한의 관리

1. 개인정보처리자는 최소한의 범위로 접근권한을 차등 부여해야 한다.

2. 개인정보처리자는 인사이동으로 인해 개인정보취급자가 변경되면 지체없이 접근권한을 변경, 말소해야 한다.

3. 개인정보처리자는 변경, 말소 내역을 기록하고 최소 3년간 보관해야 한다.

4. 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자별로 사용자계정을 발급해야 하며 다른 개인정보취급자와 공유되지 않도록 해야한다.

5. 개인정보처리자는 개인정보취급자, 정보주체가 안전한 비밀번호를 설정할 수 있도록 비밀번호 작성규칙을 적용해야 한다.

6. 개인정보처리자는 계정정보, 비밀번호를 일정 횟수 이상 잘못 입력하면 필요한 기술적 조치를 해야 한다.

7. 유형1인 개인정보처리자는 이걸 안해도 된다.

 

제6조 접근통제

1. 개인정보처리자는 각 호의 가능을 포함한 조치를 해야한다.

  • 개인정보처리시스템에 대한 접속권한을 IP주소 등으로 제한하여 인가받지 않은 접근을 제한
  • 개인정보처리시스템에 접속한 IP주소 등을 분석하여 불법 개인정보 유출 시도 탐지, 대응

2. 개인정보처리자는 개인정보취급자가 외부에서 처리시스템에 접속하려는 경우 VPN이나 전용선 등 안전한 접속수단을 적용하거나 안전 인증수단을 적용해야 한다.

3. 개인정보처리자는 취급 개인정보가 열람권한이 없는 자에게 공개되지 않도록 처리시스템, 업무컴퓨터, 모바일기기 등에 접근통제에 관한 조치를 해야한다.

4. 고유식별정보를 처리하는 개인정보처리자는 고유식별정보가 유출, 훼손되지 않도록 연1회 이상 취약점을 점검하고 필요한 보완주치를 해야 한다.

5. 개인정보처리자는 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 해야한다.

6. 개인정보처리자가 업무용컴퓨터, 모바일기기로 개인정보를 처리하면 1항을 적용하지 않아도되며, 이 경우 업무용컴퓨터 또는 모바일 기기 운영체제나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다.

7. 개인정보처리자는 업무용 모바일기기의 분실, 도난으로 정보가 유출되지 않도록 모바일기기에 비밀번호 설정 등 조치를 취해야 한다.

8. 유형1인 개인정보처리자는 2,3,4,5항 조치를 안해도 된다.

 

제7조 개인정보의 암호화

1. 개인정보처리자는 고유식별정보, 비밀번호, 바이오정보를 전달하는 경우 암호화해야 한다.

2. 개인정보처리자는 비밀번호, 바이오정보는 암호화하여 저장해야 한다. 비밀번호는 일방향 암호화한다.

3. 개인정보처리자는 인터넷구간, DMZ에 고유식별정보를 저장하는 경우 암호화해야 한다.

4. 개인정보처리자가 내부망에 고유식별정보를 저장할 때 다음 기준에 따라 암호화 적용여부, 범위를 정할 수 있다.

  • 공공기관의 경우 해당 개인정보 영향평가의 결과
  • 암호화 미적용 시 위험도 분석에 따른 결과

5. 개인정보처리자는 개인정보를 암호화할 때 안전한 암호알고리즘으로 암호화, 저장해야 한다.

6. 개인정보처리자는 안전한 암호키 생성, 이용, 보관, 배포 등에 관한 절차를 수립, 시행해야 한다.

7. 개인정보처리자는 업무용 컴퓨터, 모바일기기에 고유식별정보를 저장, 관리하는 경우 상용 암호화 소프트웨어, 안전한 암호 알고리즘을 사용하여 암호화 후 저장해야 한다.

8. 1,2유형인 개인정보처리자는 6항을 안해도 된다.

 

제8조 접속기록의 보관 및 점검

1. 개인정보처리자는 개인정보취급자가 처리시스템에 접속한 기록을 1년이상 보관, 관리해야 한다. 단 5만명 이상의 정보주체 정보를 처리하거나, 고유식별정보 민감정보를 처리하는 처리시스템의 경우 2년이상 보관, 관리해야 한다.

2. 개인정보처리자는 개인정보 오남용 분실 훼손에 대응하기 위해 처리시스템 접속기록을 월1회 이상 점검해야 한다.

3. 개인정보처리자는 개인정보취급자의 접속기록을 안전하게 보관해야 한다.

 

제9조 악성프로그램 등 방지

개인정보처리자는 보안프로그램을 설치, 운영해야 하며 각 호를 준수해야 한다.

  1. 보안 프로그램의 자동 업데이트 기능 사용, 일1회 이상 업데이트
  2. 보안 프로그램 업체에서 업데이트 공지가 있는 경우 즉시 업데이트
  3. 발견 악성프로그램 삭제 등 대응조치

 

제10조 관리용 단말기의 안전조치

개인정보처리자는 침해사고 방지 위해 관리용 단말기에 각 호의 안전조치를 해야한다.

  1. 인가받지 않은 사람이  임의로 조작하지 못하도록 조치
  2. 본래 목적 외로 사용되지 않도록
  3. 악성프로그램 감염 방지 위한 보안조치

 

제11조 물리적 안전조치

1. 개인정보처리자는 개인정보 보관 장소를 별도로 둔 경우 출입통제 절차를 수립, 운영해야 한다.

2. 개인정보처리자는 개인정보 포함 서류, 보조저장매체 등을 잠금장치가 있는 장소에 보관해야 한다.

3. 개인정보처리자는 보조저장매체의 반출입 통제를 위한 보안대책을 마련해야 한다.

 

제12조 재해, 재난 대비 안전조치

1. 개인정보처리자는 재해 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 점검해야 한다.

2. 개인정보처리자는 재해, 재난 발생 시 처리시스템 백업, 복구를 위한 계획을 마련해야 한다.

3. 유형1, 2는 이걸 안해도 된다.

 

제13조 개인정보의 파기

1. 개인정보처리자는 개인정보 파기 시 각 호 중 하나의 조치를 해야한다.

  • 완전파괴(소각, 파쇄)
  • 전용 소자장비 이용
  • 초기화 또는 덮어쓰기

2. 개인정보처리자가 개인정보 일부를 파기할 땐 다음의 조치를 취해야 한다.

  • 전자 파일 : 개인정보 삭제 후 복구되지 않도록 관리
  • 기록물, 인쇄물 등 기록매체인 경우 : 해당부분을 마스킹, 천공으로 삭제

 

제14조 재검토기한

3년마다 타당성을 검토하여 개선 등의 조치를 하여야 한다.

 

 

 

 

 

 

개인정보의 기술적, 관리적 보호조치 기준 해설서 스터디 (tistory.com)

 

개인정보의 기술적, 관리적 보호조치 기준 해설서 스터디

개보법 시행령을 공부하려다가,, 엄두가 안나서(?) 개인정보의 기술적, 관리적 보호조치 기준 공부를 해보려고 합니다. 제1조 목적 1. 이 기준은 정보통신서비스 제공자등이 이용자의 개인정보

nicedammy.tistory.com

 

저번에 공부했던 개인정보의 기술적, 관리적 보호조치 기준 해설서랑 비슷하고, 요즘 인턴 근무할 때 작업하는 내용이랑 유사해서, 쉽게 쉽게 읽힌다.!

 

유형 1,2,3만 구분을 잘 하면 될 듯!

 

728x90
저작자표시 (새창열림)

'CPPG' 카테고리의 다른 글

표준 개인정보 보호지침 스터디 (1) : 개인정보보호법, 개보법 시행령과 같이보면 좋은!  (0) 2022.01.04
2021. 10 개정된 가명정보 처리 가이드라인 스터디 :  (0) 2021.12.13
개인정보의 기술적, 관리적 보호조치 기준 해설서 스터디  (0) 2021.11.24
개인정보보호법 스터디(6) : 개인정보 분쟁조정위원회, 집단분쟁조정신청, 단체소송  (0) 2021.11.22
개인정보보호법 스터디(5) : 개인정보 보호조치, 파기, 국내대리인, 국외이전, 상호주의  (0) 2021.11.22

관련글

티스토리툴바