개인정보 보호법제 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
1번째 줄: | 1번째 줄: | ||
{| class="wikitable" | {| class="wikitable" | ||
!구분 | !구분 | ||
!개보법 | !개보법 | ||
12번째 줄: | 11번째 줄: | ||
[별표3] 기술적·물리적·관리적 보호조치 기준 | [별표3] 기술적·물리적·관리적 보호조치 기준 | ||
|- | |- | ||
!내부관리계획 | !내부관리계획 | ||
| | | | ||
18번째 줄: | 16번째 줄: | ||
| | | | ||
|- | |- | ||
! | !접근통제 | ||
| | | | ||
| | | | ||
| | | | ||
*접근 권한을 최소 인원에게만 부여<ref>'''1. 접근통제''' ① 신용정보회사등은 개인신용정보를 처리할 수 있도록 체계적으로 구성한 전산시스템(이하 “개인신용정보처리시스템”이라 한다)에 대한 접근권한을 서비스제공을 위하여 필요한 최소한의 인원에게만 부여한다.</ref> | * 접근 권한을 최소 인원에게만 부여<ref>'''1. 접근통제''' ① 신용정보회사등은 개인신용정보를 처리할 수 있도록 체계적으로 구성한 전산시스템(이하 “개인신용정보처리시스템”이라 한다)에 대한 접근권한을 서비스제공을 위하여 필요한 최소한의 인원에게만 부여한다.</ref> | ||
*인사 변동 발생 시 지체없이 권한 변경<ref>'''1. 접근통제''' ② 신용정보회사등은 전보 또는 퇴직 등 인사이동이 발생하여 신용정보회사등의 지휘ㆍ감독을 받아 개인신용정보를 처리하는 업무를 담당하는 자(이하 “개인신용정보취급자”라 한다)가 변경되었을 경우 지체 없이 개인신용정보처리시스템의 접근권한을 변경 또는 말소한다.</ref> | * 인사 변동 발생 시 지체없이 권한 변경<ref>'''1. 접근통제''' ② 신용정보회사등은 전보 또는 퇴직 등 인사이동이 발생하여 신용정보회사등의 지휘ㆍ감독을 받아 개인신용정보를 처리하는 업무를 담당하는 자(이하 “개인신용정보취급자”라 한다)가 변경되었을 경우 지체 없이 개인신용정보처리시스템의 접근권한을 변경 또는 말소한다.</ref> | ||
*권한 관리 기록 3년 이상 보관<ref>'''1. 접근통제''' ③ 신용정보회사등은 제1항 및 제2항에 따른 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관한다.</ref> | * 권한 관리 기록 3년 이상 보관<ref>'''1. 접근통제''' ③ 신용정보회사등은 제1항 및 제2항에 따른 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관한다.</ref> | ||
|- | |- | ||
! | ! | ||
| | | | ||
| | | | ||
| | | | ||
*[[방화벽]], [[침입탐지시스템]] 설치<ref>'''1. 접근통제''' ④ 신용정보회사등은 개인신용정보처리시스템에 침입차단시스템과 침입탐지시스템을 설치하여 보호한다.</ref> | * [[방화벽]], [[침입탐지시스템]] 설치<ref>'''1. 접근통제''' ④ 신용정보회사등은 개인신용정보처리시스템에 침입차단시스템과 침입탐지시스템을 설치하여 보호한다.</ref> | ||
|- | |- | ||
! | ! | ||
| | | | ||
| | | | ||
| | | | ||
*취급자 비밀번호 작성규칙 수립<ref>'''1. 접근통제''' ⑤ 신용정보회사등은 개인신용정보주체 및 개인신용정보취급자가 생일, 주민등록번호, 전화번호 등 추측하기 쉬운 숫자를 비밀번호로 이용하지 않도록 비밀번호 작성규칙을 수립하고 이행한다.</ref> | * 취급자 비밀번호 작성규칙 수립<ref>'''1. 접근통제''' ⑤ 신용정보회사등은 개인신용정보주체 및 개인신용정보취급자가 생일, 주민등록번호, 전화번호 등 추측하기 쉬운 숫자를 비밀번호로 이용하지 않도록 비밀번호 작성규칙을 수립하고 이행한다.</ref> | ||
*취급자 PC 설정<ref>'''1. 접근통제''' ⑥ 신용정보회사등은 취급 중인 개인신용정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람 권한이 없는 자에게 공개되지 않도록 개인신용정보처리시스템 및 개인신용정보취급자의 PC를 설정한다.</ref> | * 취급자 PC 설정<ref>'''1. 접근통제''' ⑥ 신용정보회사등은 취급 중인 개인신용정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람 권한이 없는 자에게 공개되지 않도록 개인신용정보처리시스템 및 개인신용정보취급자의 PC를 설정한다.</ref> | ||
*업무 설비와 외부 위탁 설비 구분<ref>'''1. 접근통제''' ⑦ 신용정보회사등은 제휴, 위탁 또는 외부주문에 의한 개인신용정보처리시스템, 신용평가모형 또는 위험관리모형 개발업무에 사용되는 업무장소 및 전산설비는 내부 업무용과 분리하여 설치ㆍ운영한다. </ref> | * 업무 설비와 외부 위탁 설비 구분<ref>'''1. 접근통제''' ⑦ 신용정보회사등은 제휴, 위탁 또는 외부주문에 의한 개인신용정보처리시스템, 신용평가모형 또는 위험관리모형 개발업무에 사용되는 업무장소 및 전산설비는 내부 업무용과 분리하여 설치ㆍ운영한다. </ref> | ||
*외부 사용자 시스템 접근권한 최소화 등<ref name=":2">'''1. 접근통제''' ⑧ 신용정보회사등은 업무목적을 위하여 불가피한 경우에만 외부사용자에게 개인신용정보처리시스템에 대한 최소한의 접근권한을 부여하고, 권한 부여에 관한 기록을 3년 이상 보관하는 등 적절한 통제시스템을 갖추어야 한다.</ref> | * 외부 사용자 시스템 접근권한 최소화 등<ref name=":2">'''1. 접근통제''' ⑧ 신용정보회사등은 업무목적을 위하여 불가피한 경우에만 외부사용자에게 개인신용정보처리시스템에 대한 최소한의 접근권한을 부여하고, 권한 부여에 관한 기록을 3년 이상 보관하는 등 적절한 통제시스템을 갖추어야 한다.</ref> | ||
*외부 사용자 접근권한 기록 3년 이상 보관<ref name=":2" /> | * 외부 사용자 접근권한 기록 3년 이상 보관<ref name=":2" /> | ||
|- | |- | ||
!접속기록 위변조방지 | !접속기록 위변조방지 | ||
| | | | ||
57번째 줄: | 48번째 줄: | ||
*위변조 방지, 별도 장치 백업 보관<ref name=":0" /> | *위변조 방지, 별도 장치 백업 보관<ref name=":0" /> | ||
|- | |- | ||
!개인정보 암호화 | !개인정보 암호화 | ||
| | | | ||
84번째 줄: | 74번째 줄: | ||
4. 업무용 컴퓨터 또는 모바일 기기에 저장하여 관리하는 경우에는 상용 암호화 소프트웨어 또는 안전한 알고리즘을 사용하여 암호화하여야 한다.</ref><ref>'''3. 개인신용정보의 암호화''' ⑤ 신용정보집중기관과 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사(기업정보조회업무만 하는 기업신용조회회사는 제외한다)가 서로 개인식별번호를 제공하는 경우에는 상용 암호화 소프트웨어 또는 안전한 알고리즘을 사용하여 암호화하여야 한다.</ref><ref>'''3. 개인신용정보의 암호화''' ⑥ 신용정보회사등이 개인신용정보의 처리를 위탁하는 경우 개인식별번호를 암호화하여 수탁자에게 제공하여야 한다.</ref> | 4. 업무용 컴퓨터 또는 모바일 기기에 저장하여 관리하는 경우에는 상용 암호화 소프트웨어 또는 안전한 알고리즘을 사용하여 암호화하여야 한다.</ref><ref>'''3. 개인신용정보의 암호화''' ⑤ 신용정보집중기관과 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사(기업정보조회업무만 하는 기업신용조회회사는 제외한다)가 서로 개인식별번호를 제공하는 경우에는 상용 암호화 소프트웨어 또는 안전한 알고리즘을 사용하여 암호화하여야 한다.</ref><ref>'''3. 개인신용정보의 암호화''' ⑥ 신용정보회사등이 개인신용정보의 처리를 위탁하는 경우 개인식별번호를 암호화하여 수탁자에게 제공하여야 한다.</ref> | ||
|- | |- | ||
!악성 프로그램 방지 | !악성 프로그램 방지 | ||
| | | | ||
| | | | ||
| | | | ||
*처리시스템 백신 설치<ref name=":3">'''4. 컴퓨터바이러스 방지''' ① 신용정보회사등은 개인신용정보처리시스템 및 개인신용정보취급자가 개인신용정보 처리에 이용하는 정보처리기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 백신소프트웨어를 설치한다.</ref> | * 처리시스템 백신 설치<ref name=":3">'''4. 컴퓨터바이러스 방지''' ① 신용정보회사등은 개인신용정보처리시스템 및 개인신용정보취급자가 개인신용정보 처리에 이용하는 정보처리기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 백신소프트웨어를 설치한다.</ref> | ||
*취급자 단말 백신 설치<ref name=":3" /> | * 취급자 단말 백신 설치<ref name=":3" /> | ||
*백신 소프트웨어 월 1회 갱신·점검<ref name=":4">'''4. 컴퓨터바이러스 방지''' ② 제1항에 따른 백신 소프트웨어는 월 1회 이상 주기적으로 갱신ㆍ점검하고, 바이러스 경보가 발령된 경우 및 백신 소프트웨어 제작 업체에서 업데이트 공지를 한 경우에는 즉시 최신 소프트웨어로 갱신ㆍ점검한다.</ref> | * 백신 소프트웨어 월 1회 갱신·점검<ref name=":4">'''4. 컴퓨터바이러스 방지''' ② 제1항에 따른 백신 소프트웨어는 월 1회 이상 주기적으로 갱신ㆍ점검하고, 바이러스 경보가 발령된 경우 및 백신 소프트웨어 제작 업체에서 업데이트 공지를 한 경우에는 즉시 최신 소프트웨어로 갱신ㆍ점검한다.</ref> | ||
*업데이트 즉시 반영<ref name=":4" /> | * 업데이트 즉시 반영<ref name=":4" /> | ||
|- | |- | ||
!물리적 접근 방지 | !물리적 접근 방지 | ||
| | | | ||
100번째 줄: | 88번째 줄: | ||
| | | | ||
|- | |- | ||
!출력·복사 보호조치 | !출력·복사 보호조치 | ||
| | | | ||
106번째 줄: | 93번째 줄: | ||
| | | | ||
|- | |- | ||
!표시 제한 보호조치 | !표시 제한 보호조치 | ||
| | | | ||
112번째 줄: | 98번째 줄: | ||
| | | | ||
|- | |- | ||
!제재기준 마련 | !제재기준 마련 | ||
| | | |