You cannot see this page without javascript.

진주성 블로그 방문하기

보안 개인정보

2017.11.01 07:34

구피천사 조회 수:74

개인정보 안전성 확보조치

 

개인정보 : 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아 볼 수 있는 정보를 말한다.

정보주체 : 처리되는 정보에 의하여 알아 볼수 있는 사람, 정보의 주체가 되는 사람

개인정보파일 : 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물

개인정보처리자 : 개인정보 파일을 운영하기 위하여 스스로 또는 다른 사름을 통하여 개인정보처리 공공기관, 법인, 단체, 개인

 

개인정보 보호책임자

국회, 헌법, 재판소 -> 고위 공무원
정무직 공무원 장으로 하는 기관 -> 3급이상 공무원
공우원장 기관 -> 4급이상 공무원
국가기관 소속기관 -> 개인정보처리 부서장
시도 및 교육청 -> 3급이상 공무원
각급학교 -> 행정 사무장
시군및 지자체 -> 4급이상 공무원
개인정보 보호 업무담당 -> 부서장
민간, 사업주, 대표 -> 개인정보 부서장

개인정보 취급자

개인정보 처리장의 지휘, 감독을 받아 개인정보를 처리하는 임직원, 파견근로자, 시간제근로자등 전부

제 1조 목적

제 2조 정의

제 3조 내부관리계획의 수립,시행

1. 개인정보 보호책임자의 지정에 관한 사항
2. 개인정보 보보책임자및 개인정보 취급자의 역활, 책임
3. 개인정보의 안정성 확보에 필요한 조치
4. 개인정보 취급자에 대한 교육
5. 수탁자에 대한 관리, 감동
6. 개인정보 보호를 위하여 필요한 사항

제 4조 접근 권한의 관리

접근권한 차등부여
전보, 퇴직등 인사이동시 지체없이 권한 변경, 말소
권한부여, 변경, 말소에 대한 내역을 기록 3년 보관

제 5조 접근통제

IP에 대한 ACL 설정, IP기반 NAC
개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템접속 -> VPN, 전용선
연1회이상 취약점 점검

제 6조 개인정보의 암호화

비밀번호 -> 복호화 되지 않게 일방향 암호화 ( One Way Function)
바이오정보 -> 양방향 암호화
DMZ에는 고유 식별 번호 암호화 해야 된다.
비밀번호 반기별 1회 이상 변경

제 7조 접속기록의 보관 및 점검

접속기록 6개월 이상 보관, 관리
접속기록 반기별 1회이상 점검

제 8조 악성프로그램 등 방지

제 9조 물리적 접근 방지

제10조 개인정보의 파기

 

  • 개인정보 기술적 관리적 보호조치와 차이점
  • 정보보호관리시스템
관리적보안: 보안정책, 보안지침, 보안절차, 보안조직
물리적보안: 출입통제, 작업통제, 전원대책, 장비보안
기술적보안: 네트워크 보안, 서버보안, 피시보안, 통합관리

개인정보처리자가 수행해야될 개인정보 안전성 확보조치

관리적 : 내부관리계획의 수립, 시행

기술적 : 접근권한의 관리, 접근통제, 개인정보 암호화, 접속기록의 보관및 점검, 악성 프로그램 등 방지

물리적 : 물리적 접근방지, 개인정보 파기

 

  • 개인정보보호에 관한 벌률에서 개인정보 수집, 이용의 제2항 동의를 받을때 정보주체에 알려야 할 내용
개인정보를 제공 받는자
개인정보의 수집, 이용 목적
수집하려는 개인정보의 항목
개인정보의 보유 및 이용 기간
동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용

 

대통령이 정하는 개인정보 영향도 평가 대상

1. 구축, 운용 또는 변경 하려는 개인정보파일로서 5만명 이상의 정보 주체에 관한 법 제 23조에 따른 민감정보 또는

   고유식별정보의 처리가 수반되는 개인정보 파일

2. 구축, 운용 하고 있는 개인정보 파일을 해당 공공기관 내부 또는 외부에서 구축, 운용하고 있는 다른 개인정보파일과

  연계하려는 경우로서 연계 결과 50만명 이상의 정보 주체에 관한 개인정보가 포홤되는 개인정보 파일

3. 구축, 운용 또는 변경하려는 개인정보파일로서 100만명 이상의 정보주체에 관한 개인정보파일

4. 법 제33조항1항에 따른 개인정보 영향평가를 받은 후에 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우

   그 개인정보파일, 이경우 영향평가 대상은 변경된 부분으로 한정

 

사업자는 자신이 취급하는 개인정보가 분실, 도난, 누출, 변조 또는 훼손되지 아니하도록 안전성을 확보하기 위하여

조직 내부의 개인정보관리계획을 수립하고 모든 임직원에게 주지시켜 이를 준수할수 있도록 하여야 한다.

그리고 이를 기초로 세부 지침이나 안내서를 마련하여 임직원이 동일한 행동을 취할수 있도록 할 필요가 있다.

 

 

내부관리 계획서 포함내용

1. 내부관리 계획의 수립 및 시행에 관한 내용

2. 개인정보관리책임자의 의무와 책임에 관한 내용

3. 개인정보의 처리 단계별 기술적, 관리적 보호조치에 관한 사항

4. 정기적 자체 감사에 관한 사항

5. 개인정보취급자에 대한 교육 등 그 밖에 개인정보보호를 위해 필요한 사항

 

진주성 블로그 방문하기
CLOSE