[정보보안기사]개인정보의 안전성 확보 조치 기준
by John Choi
개인정보의 안전성 확보 조치 기준
- 개인정보 보호법 제 23조 제 2항, 제 24조 제3항, 제 29조에 근거한 기준
- 안정성을 확보하기 위한 세부적 기준 제시
- 개인정보 처리자에게 적용
제 4조 - 내부관리계획의 수립, 시행
- 개인정보 보호책임자의 지정에 관한 사항
- 개인정보 보호책임자 및 개인정보 취급자의 역할 및 책임에 관한 사항
- 개인정보취급자에 대한 교육에 관한 사항
- 접근 권한의 관리에 관한 사항
- 접근 통제에 관한 사항
- 개인정보의 암호화 조치에 관한 사항
- 접속기록 보관 및 점검에 관한 사항
- 악성 프로그램 등 방지에 관한 사항
- 물리적 안전조치에 관한 사항
- 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
- 개인정보 유출사고 대응 계획 수립,시행에 관한 사항
- 위험도 분석 및 대응방안 마련에 관한사항
- 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한사항
- 개인정보 처리업무를 위탁하는 경우 수탁자에 관한 관리 및 감독에 관한 사항
- 핵심 단어 : 개인정보 보호책임자
제 5조 - 접근권한의 관리
- 개인정보 처리자는 개인정보처리시스템에 대한 접근 권한을 업무 담당자에 따라 차등 부여 하여야 한다.
- 개인정보 처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보 취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소 하여야 한다.
- 개인저보 처리자는 권한부여, 변경, 또는 말소에 대한 내역을 기록하고 그 기록을 최소 3년간 보관하여야 한다.
- 개인정보 처리자는 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 다른 개인정보취급자와 공유되지 않도록 해야 한다.
- 개인정보 처리자는 개인정보취급자 또는 정보 주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립
- 개인정보처리자는 권한있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 기술적 조치를 하여야 한다.
요약 : 차등부여, 지체없이 말소, 기록 3년 보관, 공유x, 비밀번호작성규칙, 비밀번호 틀릴 시 보안대책
제 6조 - 접근통제
- IP 제한, VPN 적용, 단말기별 접근 통제, 연 ‘1회’ 이상 취약점 점검 등
제 7조 - 개인정보의 암호화
정보통신망, 보조 저장매체를 통한 송,수신 시
- 비밀번호, 바이오정보, 고유식별정보 : 암호화 송수신
개인정보처리시스템에 저장 시
- 비밀번호 : 일방향 암호화 저장
- 바이오 정보 : 암호화 저장
- 고유식별정보(DMZ망) : 암호화 저장
- 내부망 : 암호화 저장 또는 개인정보 영향평가 대상이 되는 공공기관의 경우, 그 개인정보 영향평가의 결과, 위험도 분석에 따른 결과
업무용 컴퓨터, 모바일 기기에 저장 시
- 비밀번호, 바이오정보, 고유식별정보 : 암호화 저장(비밀번호는 일방향 암호화 저장)
제 8조 - 접속 기록의 보관 및 점검
- 개인정보 처리자는 개인정보 취급자가 개인정보처리시스템에 접속한 기록을
1년 이상 보관, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보, 민감정보를 처리하는 개인정보처리시스템의 경우에는2년 이상 보관, 관리하여야 한다. (2019.6.7 이후)
제 9조 - 악성프로그램 등 방지
- 일 1회 이상 업데이트를 실행하여 보안프로그램의 최신 상태 유지
제 13조 - 개인정보의 파기
- 완전 파괴
- 전용 소자장비를 이용하여 삭제
- 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
개인정보의 일부만을 파기하는 경우 기록 매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제 전자 매체인 경우 : 개인정보를 삭제 한 후 복구 및 재생되지 않도록 관리 및 감독
Subscribe via RSS
