내부 관리계획: Difference between revisions
From IT Wiki
No edit summary |
(→근거 법령) |
||
Line 3: | Line 3: | ||
== 근거 법령 == | == 근거 법령 == | ||
* 개인정보 보호법 고시 | * 개인정보 보호법 고시 | ||
** [http://www.law.go.kr/행정규칙/개인정보의안전성확보조치기준/제4조 개인정보의 안전성 확보 조치 | ** [http://www.law.go.kr/행정규칙/개인정보의안전성확보조치기준/제4조 개인정보의 안전성 확보 조치 제4조(내부관리계획의 수립·시행)] | ||
* 정보통신망 이용촉진 및 정보보호 등에 관한 법률 고시 | * 정보통신망 이용촉진 및 정보보호 등에 관한 법률 고시 | ||
** [http://www.law.go.kr/행정규칙/개인정보의기술적·관리적보호조치기준/제3조 개인정보의 기술적 관리적 보호조치 기준 | ** [http://www.law.go.kr/행정규칙/개인정보의기술적·관리적보호조치기준/제3조 개인정보의 기술적 관리적 보호조치 기준 제3조(내부 관리계획의 수립·시행)] | ||
== 필수적으로 포함하여야 하는 내용 == | == 필수적으로 포함하여야 하는 내용 == |
Revision as of 14:21, 8 December 2020
- 개인정보처리자 및 정보통신서비스 제공자는 개인정보의 관리를 위해 내부 규정을 마련하여야 한다.
근거 법령
- 개인정보 보호법 고시
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률 고시
필수적으로 포함하여야 하는 내용
- 내부 관리계획은 법적으로 아래 내용들을 모두 포함하여야 한다.
- 정보통신망법 적용 대상은 모두 개인정보보호법 적용 대상이므로 두 법에 있는 항목을 모두 포함하여야 한다.
개인정보 보호법
- 개인정보 보호책임자의 지정에 관한 사항
- 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
- 개인정보취급자에 대한 교육에 관한 사항
- 접근 권한의 관리에 관한 사항
- 접근 통제에 관한 사항
- 개인정보의 암호화 조치에 관한 사항
- 접속기록 보관 및 점검에 관한 사항
- 악성프로그램 등 방지에 관한 사항
- 물리적 안전조치에 관한 사항
- 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
- 개인정보 유출사고 대응 계획 수립·시행에 관한 사항
- 위험도 분석 및 대응방안 마련에 관한 사항
- 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
- 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
- 그 밖에 개인정보 보호를 위하여 필요한 사항
정보통신망법
- 개인정보관리책임자의 자격요건 및 지정에 관한 사항
- 개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항
- 개인정보 내부관리계획의 수립 및 승인에 관한 사항
- 개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항
- 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
- 개인정보의 분실·도난·누출·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항
- 그 밖에 개인정보보호를 위해 필요한 사항
기타 의무
- 개인정보처리자 유형1에 해당하는 경우 내부 관리계획을 수립하지 않을 수도 있다.
- 개인정보처리자는 각 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
- 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검·관리하여야 한다.
- 여기서 이행 실태 점검이란 PC 보안점검과 같은 단순한 보안 감사가 아니다.
- 내부 관리계획이 실질적으로 잘 적용되고 있는지에 대한 부분
- 내부 관리규정에 맞게 전사 보안이 이루어지고 있는지와 동시에 내부 관리계획이 실무적인 보안 현황과 일치하는지를 확인
- 개인정보 보호책임자는 이 점검에서 불일치가 확인되는 경우 내부 관리계획을 수정하거나 보안 조치를 조정 하여 일치시켜야 한다.
- 내부 관리계획은 경영진의 승인을 받고 전사적으로 시행 되어야 한다.
- 내부 관리계획은 전 직원이 쉽게 열람할 수 있도록 공시하여야 한다.
- 그룹웨어, 업무포털 게시판 등을 통해 공시한다.
- 개정이 이루어질 경우 개정 즉시 업데이트 한다.