정보관리기술/정보보안

개인정보 안전성 확보 조치 기준

아이티신비 2024. 2. 2. 09:00

문제 5) 개인정보 안전성 확보조치 기준에 명시된 내부관리계획의 정의 및 필요성, 주요 내용에 대해 설명하시오.

 

답)

 

 

1. 개인정보 관리 안전성 확보를 위한 가이드, 내부관리계획의 정의 및 필요성

가. 내부관리계획의 정의

  • 개인정보처리자가 개인정보의 분실, 도난, 유출, 위조, 변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적, 관리적, 물리적 안전조치에 관한 사항 등을 규정한 계획, 규정, 지침

 

나. 내부관리계획의 필요성

민감 정보 처리
  • 정보 주체의 사생활 침해 우려에 대한 보안 방안 마련
고유 식별 정보 처리
  • 개인정보처리자가 고유식별정보 처리 시 준수 항목 가이드
안전 조치 의무
  • 개인정보처리자의 개인정보에 대한 안전 조치 방안 확보 의무 준수
개인정보 안전성 확보
  • 개인정보의 안전성 확보에 필요한 관리적, 물리적, 기술적 조치 방안 마련
  • 개인정보보호법 제23조, 제24조, 제29조 및 같은 법 시행령 제21조, 30조에 근거

 

2. 내부관리계획의 관리적 관점의 주요내용

가. 내부관리계획의 수립, 시행 및 개인정보보호 관련

구분
설명
내부 관리 계획의
수립 및 승인
  • 개인정보 보호책임자는 개인정보 보호와 관련한 법령 및 규정 등을 준수할 수 있도록 내부 의사결정 절차를 통하여 내부 관리계획 수립
  • 개인정보 보호책임자는 내부 관리계획의 각 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획 수정
  • 개인정보 보호책임자는 제1항, 제2항에 따라 내부 관리계획을 수립하거나 수정하는 경우에는 내부결재 등의 승인을 받아야 하며, 그 이력을 보관, 관리
  • 개인정보처리자는 내부 관리계획의 세부 이행 위한 각종 지침 마련, 시행
  • 개인정보보호책임자는 연 1회 이상 내부 관리 계획 이행 실태 점검, 관리, 조치
개인정보 보호
책임자의 지정
  • 「개인정보 보호법」제31조와 같은 법 시행령 제32조에 따라 개인정보의 처리에 관한
  • 업무를 총괄해서 책임질 개인정보 보호책임자 지정
개인정보
보호책임자의
역할 및 책임
  • 개인정보 보호 계획의 수립 및 시행
  • 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
  • 개인정보 처리와 관련한 불만의 처리 및 피해 구제
  • 개인정보 유출 및 오용․남용 방지를 위한 내부통제시스템의 구축
  • 개인정보 보호 교육 계획의 수립 및 시행
  • 개인정보파일의 보호 및 관리 감독
  • 「개인정보 보호법」 제30조에 따른 개인정보 처리방침의 수립․변경 및 시행
  • 개인정보 보호 관련 자료의 관리
  • 처리 목적이 달성되거나 보유기간이 지난 개인정보의 파기
개인정보
취급자의
역할 및 책임
  • 개인정보취급자란 개인정보처리자의 지휘, 감독을 받아 개인정보 처리 업무 담당
  • 개인정보취급자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 계획은 물론, 개인정보 보호와 관련한 법령 및 규정 등을 준수
개인정보 보호
책임자의 교육
  • 개인정보 보호책임자를 대상으로 정기적 개인정보 보호 관련 교육실시
개인정보
취급자의 교육
  • 개인정보 보호책임자는 개인정보의 적정한 취급을 보장하기 위하여 다음 각 호의 사항을 정하여 개인정보취급자에게 필요한 개인정보 보호 교육 계획을 수립, 실시
  • 교육 목적 및 대상, 교육 내용, 교육 일정 및 방법 등 수립
  • 개인정보 보호책임자는 개인정보 보호 교육 실시 결과 및 관련 자료 기록, 보관
  • 내부관리계획 수립, 승인, 담당자에 대한 교육 등 전반적인 부분 진행

 

나. 개인정보 보호 조직 구성, 운영 및 위험 관리 관련

구분
설명
개인정보
보호조직
구성/운영
  • 개인정보의 안전한 처리를 위하여 개인정보 보호조직을 구성, 운영
  • 개인정보 보호책임자 및 지원 담당자 지정
  • 개인정보를 처리 개인정보취급부서 지정개인정보의 안전성 확보를 위하여 개인정보처리자가 필요하다고 판단되는 사항을 수행
개인정보
유출 사고
대응
  • 개인정보의 유출 사고 발생 시 신속한 대응을 통해 피해 발생 최소화
  • 개인정보 유출 사고 대응 계획을 수립, 시행
  • 개인정보 유출 사고 대응 계획에는 긴급조치, 유출 통지․조회 및 신고 절차, 고객 민원 대응조치, 현장 혼잡 최소화 조치, 고객불안 해소조치, 피해자 구제조치 등 포함
  • 개인정보 유출에 따른 피해복구 조치 수행 시 정보주체의 불편, 경제적 부담 최소화
위험도 분석
및 대응
  • 개인정보가 분실․도난․유출․위조․변조 또는 훼손되지 아니하도록 위험도 분석을 수행하고필요한 보안조치 적용 등 대응방안을 마련
  • 위험도 분석은 개인정보 위험도 분석 기준을 활용 또는 위험요소 식별, 평가 등 수행
수탁자
관리/감독
  • 개인정보처리자명는 개인정보의 처리 업무를 위탁하는 경우 수탁자를 교육, 감독
  • 수탁자를 교육하고 감독한 결과 기록 및 문제점이 발견된 경우 필요한 보안조치 수립
  • 개인정보 보호를 위해 조직 구성 및 업무 담당자를 지정하며, 수탁 발생 시 수탁자에 대한 교육 진행

 

3. 내부관리계획의 물리적, 기술적 관점의 주요내용

가. 내부관리계획의 물리적 관점 상세

구분
설명
물리적
안전조치
  • 전산실, 자료보관실 등 개인정보 물리적 보관 장소 있는 경우 출입통제 절차 수립,운영
  • 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관
  • 개인정보가 포함된 보조저장매체의 반출입 통제 위한 보안대책 마련필요시 개인정보관리 시스템 구축 및 운영 진행
재해 및 재난
대비 안전조치
  • 화재, 홍수, 단전 등의 재해, 재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응 절차를 마련하고 정기적으로 점검
  • 재해,재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련
개인정보의
파기
  • 개인정보를 파기할 경우 완전파괴(소각,파쇄 등), 전용 소자장비 이용, 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행 필요
  • 위의 방법으로 파기가 불가하거나 개인정보의 일부만을 파기하는 경우 아래를 따른다
  • 전자적 파일 형태 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독
  • 기록물, 인쇄물, 서면 등 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제

 

나. 내부관리계획의 기술적 관점 상세

구분
설명
접근 권한의
관리
  • 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여
  • 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.
  • 접근통제시스템, 인터넷 홈페이지 등에 개인정보취급자 또는 정보주체가 안전한 비밀번호 를 설정하여 이행할 수 있도록 복잡한 규칙 설정 필요
  • 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을
접근통제
  • 정보통신망을 통한 비인가 내,외부자의 불법적인 접근 및 침해사고 방지 기술 적용
  • 개인정보처리시스템에 대한 접속 권한을 IP 주소 등으로 제한
  • 접속 이력 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응
  • 외부에서 개인정보처리시스템에 접속하려는 경우 VPN, 전용선, 이중 인증 적용
  • 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 접근 통제 등에 관한 조치
개인정보의
암호화
  • 고유식별정보, 비밀번호, 바이오정보를 정보통신망을 통하여 송신하거나 보조저장매체 등 을 통하여 전달하는 경우 암호화 진행
  • 비밀번호 및 바이오정보는 암호화하여 저장. 다만, 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화(해쉬함수)하여 저장
  • 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별 정보를 저장하는 경우에는 이를 암호화
접속기록의
보관 및
점검
  • 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관, 관리
  • 개인정보의 분실․도난․유출․위조․변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검
  • 개인정보를 다운로드한 것이 발견되었을 경우 그 사유를 반드시 확인
악성프로그
램 등 방지
  • 악성프로그램 등을 방지, 치료할 수 있는 백신 소프트웨어 등 보안 프로그램 설치,운영
  • 보안 프로그램의 자동 업데이트 기능을 사용, 업데이트 통한 최신 상태
  • 악성프로그램 관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트를 실시
  • 발견된 악성프로그램 등에 대해 삭제 등 대응 조치
관리용 단말
기의 안전조
  • 개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 안전 조치
  • 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
  • 본래 목적 외로 사용되지 않도록 조치
  • 악성프로그램 감염 방지 등을 위한 보안조치 적용
  • 관리적 보호조치로 부족한 부분에 대해 물리적, 기술적 관리 방안을 추가하여 개인정보 보호 확보

 

공감과 댓글은 아이티신비에게 큰 힘이 됩니다.

블로그 글이 유용하다면 블로그를 구독해주세요.♥

 

 

 

'정보관리기술 > 정보보안' 카테고리의 다른 글

정보보안  (1) 2024.02.02
디지털 포렌식  (2) 2024.02.02
개인정보보호법  (2) 2024.02.01
개인정보의 안전성 확보조치 기준 / ①  (2) 2024.02.01
VPN(Virtual Private Network)  (1) 2024.02.01

'정보관리기술/정보보안'의 다른글

  • 현재글개인정보 안전성 확보 조치 기준

관련글

티스토리툴바