내부 관리계획: Difference between revisions

개인정보처리자 및 정보통신서비스 제공자는 개인정보의 관리를 위해 내부 규정을 마련하여야 한다.

근거 법령

• 개인정보 보호법 고시
  • 개인정보의 안전성 확보 조치 제4조(내부관리계획의 수립·시행)
• 정보통신망 이용촉진 및 정보보호 등에 관한 법률 고시
  • 개인정보의 기술적 관리적 보호조치 기준 제3조(내부 관리계획의 수립·시행)

필수적으로 포함하여야 하는 내용

• 내부 관리계획은 법적으로 아래 내용들을 모두 포함하여야 한다.
• 정보통신망법 적용 대상은 모두 개인정보보호법 적용 대상이므로 두 법에 있는 항목을 모두 포함하여야 한다.

개인정보 보호법

1. 개인정보 보호책임자의 지정에 관한 사항
2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보취급자에 대한 교육에 관한 사항
4. 접근 권한의 관리에 관한 사항
5. 접근 통제에 관한 사항
6. 개인정보의 암호화 조치에 관한 사항
7. 접속기록 보관 및 점검에 관한 사항
8. 악성프로그램 등 방지에 관한 사항
9. 물리적 안전조치에 관한 사항
10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
11. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항
12. 위험도 분석 및 대응방안 마련에 관한 사항
13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
15. 그 밖에 개인정보 보호를 위하여 필요한 사항

정보통신망법

1. 개인정보관리책임자의 자격요건 및 지정에 관한 사항
2. 개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항
3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항
4. 개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항
5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
6. 개인정보의 분실·도난·누출·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항
7. 그 밖에 개인정보보호를 위해 필요한 사항

기타 의무

• 개인정보처리자 유형1에 해당하는 경우 내부 관리계획을 수립하지 않을 수도 있다.
• 개인정보처리자는 각 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
• 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검·관리하여야 한다.
  • 여기서 이행 실태 점검이란 PC 보안점검과 같은 단순한 보안 감사가 아니다.
  • 내부 관리계획이 실질적으로 잘 적용되고 있는지에 대한 부분
  • 내부 관리규정에 맞게 전사 보안이 이루어지고 있는지와 동시에 내부 관리계획이 실무적인 보안 현황과 일치하는지를 확인
  • 개인정보 보호책임자는 이 점검에서 불일치가 확인되는 경우 내부 관리계획을 수정하거나 보안 조치를 조정 하여 일치시켜야 한다.
• 내부 관리계획은 경영진의 승인을 받고 전사적으로 시행 되어야 한다.
• 내부 관리계획은 전 직원이 쉽게 열람할 수 있도록 공시하여야 한다.
  • 그룹웨어, 업무포털 게시판 등을 통해 공시한다.
  • 개정이 이루어질 경우 개정 즉시 업데이트 한다.

분류:개인정보보호 분류:컴플라이언스