내부 관리계획: Difference between revisions
From IT Wiki
No edit summary |
No edit summary |
||
(2 intermediate revisions by 2 users not shown) | |||
Line 1: | Line 1: | ||
; 개인정보처리자 및 정보통신서비스 제공자는 개인정보의 관리를 위해 내부 규정을 마련하여야 한다. | ;개인정보처리자 및 정보통신서비스 제공자는 개인정보의 관리를 위해 내부 규정을 마련하여야 한다. | ||
== 근거 법령 == | ==근거 법령== | ||
*개인정보 보호법 고시 | |||
* | **[[개인정보의 안전성 확보조치 기준]] | ||
* | **[[개인정보의 기술적·관리적 보호조치 기준]] | ||
=== | ==필수적으로 포함하여야 하는 내용== | ||
*내부 관리계획은 법적으로 아래 내용들을 모두 포함하여야 한다. | |||
*정보통신서비스제공자 또한 모두 개인정보보호법 적용 대상이므로 두 법에 있는 항목을 모두 포함하여야 한다. | |||
== | ===개인정보처리자=== | ||
[[분류: | #개인정보 보호책임자의 지정에 관한 사항 | ||
#개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항 | |||
#개인정보취급자에 대한 교육에 관한 사항 | |||
#접근 권한의 관리에 관한 사항 | |||
#접근 통제에 관한 사항 | |||
#개인정보의 암호화 조치에 관한 사항 | |||
#접속기록 보관 및 점검에 관한 사항 | |||
#악성프로그램 등 방지에 관한 사항 | |||
#물리적 안전조치에 관한 사항 | |||
#개인정보 보호조직에 관한 구성 및 운영에 관한 사항 | |||
#개인정보 유출사고 대응 계획 수립·시행에 관한 사항 | |||
#위험도 분석 및 대응방안 마련에 관한 사항 | |||
#재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항 | |||
#개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 | |||
#그 밖에 개인정보 보호를 위하여 필요한 사항 | |||
===정보통신서비스제공자=== | |||
#개인정보 보호책임자의 자격요건 및 지정에 관한 사항 | |||
#개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항 | |||
#개인정보 내부관리계획의 수립 및 승인에 관한 사항 | |||
#개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항 | |||
#개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 | |||
#개인정보의 분실·도난·유출·위조·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항 | |||
#그 밖에 개인정보보호를 위해 필요한 사항 | |||
==기타 의무== | |||
*개인정보처리자 유형1에 해당하는 경우 내부 관리계획을 수립하지 않을 수도 있다. | |||
*개인정보처리자는 각 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다. | |||
*개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검·관리하여야 한다. | |||
**여기서 이행 실태 점검이란 PC 보안점검과 같은 단순한 보안 감사가 아니다. | |||
**내부 관리계획이 실질적으로 잘 적용되고 있는지에 대한 부분 | |||
**내부 관리규정에 맞게 전사 보안이 이루어지고 있는지와 동시에 내부 관리계획이 실무적인 보안 현황과 일치하는지를 확인 | |||
**개인정보 보호책임자는 이 점검에서 불일치가 확인되는 경우 내부 관리계획을 수정하거나 보안 조치를 조정 하여 일치시켜야 한다. | |||
*내부 관리계획은 경영진의 승인을 받고 전사적으로 시행 되어야 한다. | |||
*내부 관리계획은 전 직원이 쉽게 열람할 수 있도록 공시하여야 한다. | |||
**그룹웨어, 업무포털 게시판 등을 통해 공시한다. | |||
**개정이 이루어질 경우 개정 즉시 업데이트 한다. | |||
== 각주 == | |||
[[분류:개인정보보호]] | |||
[[분류:컴플라이언스]] | [[분류:컴플라이언스]] |
Latest revision as of 23:43, 26 June 2022
- 개인정보처리자 및 정보통신서비스 제공자는 개인정보의 관리를 위해 내부 규정을 마련하여야 한다.
근거 법령[edit | edit source]
- 개인정보 보호법 고시
필수적으로 포함하여야 하는 내용[edit | edit source]
- 내부 관리계획은 법적으로 아래 내용들을 모두 포함하여야 한다.
- 정보통신서비스제공자 또한 모두 개인정보보호법 적용 대상이므로 두 법에 있는 항목을 모두 포함하여야 한다.
개인정보처리자[edit | edit source]
- 개인정보 보호책임자의 지정에 관한 사항
- 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
- 개인정보취급자에 대한 교육에 관한 사항
- 접근 권한의 관리에 관한 사항
- 접근 통제에 관한 사항
- 개인정보의 암호화 조치에 관한 사항
- 접속기록 보관 및 점검에 관한 사항
- 악성프로그램 등 방지에 관한 사항
- 물리적 안전조치에 관한 사항
- 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
- 개인정보 유출사고 대응 계획 수립·시행에 관한 사항
- 위험도 분석 및 대응방안 마련에 관한 사항
- 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
- 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
- 그 밖에 개인정보 보호를 위하여 필요한 사항
정보통신서비스제공자[edit | edit source]
- 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
- 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항
- 개인정보 내부관리계획의 수립 및 승인에 관한 사항
- 개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항
- 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
- 개인정보의 분실·도난·유출·위조·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항
- 그 밖에 개인정보보호를 위해 필요한 사항
기타 의무[edit | edit source]
- 개인정보처리자 유형1에 해당하는 경우 내부 관리계획을 수립하지 않을 수도 있다.
- 개인정보처리자는 각 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
- 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검·관리하여야 한다.
- 여기서 이행 실태 점검이란 PC 보안점검과 같은 단순한 보안 감사가 아니다.
- 내부 관리계획이 실질적으로 잘 적용되고 있는지에 대한 부분
- 내부 관리규정에 맞게 전사 보안이 이루어지고 있는지와 동시에 내부 관리계획이 실무적인 보안 현황과 일치하는지를 확인
- 개인정보 보호책임자는 이 점검에서 불일치가 확인되는 경우 내부 관리계획을 수정하거나 보안 조치를 조정 하여 일치시켜야 한다.
- 내부 관리계획은 경영진의 승인을 받고 전사적으로 시행 되어야 한다.
- 내부 관리계획은 전 직원이 쉽게 열람할 수 있도록 공시하여야 한다.
- 그룹웨어, 업무포털 게시판 등을 통해 공시한다.
- 개정이 이루어질 경우 개정 즉시 업데이트 한다.