개인정보 보호법제: Difference between revisions

From IT Wiki
(새 문서: {| class="wikitable" !구분 !개보법 안전성 확보조치 기준 !개보법 기술적 관리적 보호조치 기준 !신용정보업 감독규정 [별표3] 기술적·물리...)
 
No edit summary
 
(One intermediate revision by the same user not shown)
Line 1: Line 1:
{| class="wikitable"
{| class="wikitable"
!구분  
!
!구분
!개보법
!개보법


Line 11: Line 12:
[별표3] 기술적·물리적·관리적 보호조치 기준
[별표3] 기술적·물리적·관리적 보호조치 기준
|-
|-
!
!내부관리계획
!내부관리계획
|
|
Line 16: Line 18:
|
|
|-
|-
!접근통제
!
!권한 관리
|
|
* 접근 권한을 최소 인원에게만 차등 부여<ref>'''제5조(접근 권한의 관리)''' ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.</ref>
* 인사 변동 발생 시 지체없이 권한 변경<ref>'''제5조(접근 권한의 관리)''' ② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.</ref>
* 권한 관리 기록 3년 이상 보관<ref>'''제5조(접근 권한의 관리)''' ③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.</ref>
|
|
|
|
*접근 권한을 최소 인원에게만 부여<ref>'''1. 접근통제''' ① 신용정보회사등은 개인신용정보를 처리할 수 있도록 체계적으로 구성한 전산시스템(이하 “개인신용정보처리시스템”이라 한다)에 대한 접근권한을 서비스제공을 위하여 필요한 최소한의 인원에게만 부여한다.</ref>
*인사 변동 발생 시 지체없이 권한 변경<ref>'''1. 접근통제''' ② 신용정보회사등은 전보 또는 퇴직 등 인사이동이 발생하여 신용정보회사등의 지휘ㆍ감독을 받아 개인신용정보를 처리하는 업무를 담당하는 자(이하 “개인신용정보취급자”라 한다)가 변경되었을 경우 지체 없이 개인신용정보처리시스템의 접근권한을 변경 또는 말소한다.</ref>
*권한 관리 기록 3년 이상 보관<ref>'''1. 접근통제''' ③ 신용정보회사등은 제1항 및 제2항에 따른 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관한다.</ref>
|-
|-
!
!접근 통제
|
|
|
*[[방화벽]], [[침입탐지시스템]] 설치<ref>'''1. 접근통제''' ④ 신용정보회사등은 개인신용정보처리시스템에 침입차단시스템과 침입탐지시스템을 설치하여 보호한다.</ref>
|-
!
!
|
|
|
*취급자 비밀번호 작성규칙 수립<ref>'''1. 접근통제''' ⑤ 신용정보회사등은 개인신용정보주체 및 개인신용정보취급자가 생일, 주민등록번호, 전화번호 등 추측하기 쉬운 숫자를 비밀번호로 이용하지 않도록  비밀번호 작성규칙을 수립하고 이행한다.</ref>
*취급자 PC 설정<ref>'''1. 접근통제''' ⑥ 신용정보회사등은 취급 중인 개인신용정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람 권한이 없는 자에게 공개되지 않도록 개인신용정보처리시스템 및 개인신용정보취급자의 PC를 설정한다.</ref>
*업무 설비와 외부 위탁 설비 구분<ref>'''1. 접근통제''' ⑦ 신용정보회사등은 제휴, 위탁 또는 외부주문에 의한 개인신용정보처리시스템, 신용평가모형 또는 위험관리모형 개발업무에 사용되는 업무장소 및 전산설비는 내부 업무용과 분리하여 설치ㆍ운영한다.  </ref>
*외부 사용자 시스템 접근권한 최소화 등<ref name=":2">'''1. 접근통제''' ⑧ 신용정보회사등은 업무목적을 위하여 불가피한 경우에만 외부사용자에게 개인신용정보처리시스템에 대한 최소한의 접근권한을 부여하고, 권한 부여에 관한 기록을 3년 이상 보관하는 등 적절한 통제시스템을 갖추어야 한다.</ref>
*외부 사용자 접근권한 기록 3년 이상 보관<ref name=":2" />
|-
!
!접속기록 위변조방지
!접속기록 위변조방지
|
|
|
|
|
|
* 접속기록 월 1회 이상 확인·감독<ref>'''2. 접속기록의 위ㆍ변조방지'''  ① 신용정보회사등은 개인신용정보취급자가 개인신용정보처리시스템에 접속하여 개인신용정보를 처리한 경우에는 처리일시, 처리내역 등 접속기록을 저장하고 이를 월 1회 이상 정기적으로 확인ㆍ감독한다. </ref>
*접속기록 월 1회 이상 확인·감독<ref>'''2. 접속기록의 위ㆍ변조방지'''  ① 신용정보회사등은 개인신용정보취급자가 개인신용정보처리시스템에 접속하여 개인신용정보를 처리한 경우에는 처리일시, 처리내역 등 접속기록을 저장하고 이를 월 1회 이상 정기적으로 확인ㆍ감독한다. </ref>
* 접속기록 1년 이상 저장<ref name=":0">'''2. 접속기록의 위ㆍ변조방지''' ② 신용정보회사등은 개인신용정보처리시스템의 접속기록을 1년 이상 저장하고, 위ㆍ변조되지 않도록 별도 저장장치에 백업 보관한다.</ref>
*접속기록 1년 이상 저장<ref name=":0">'''2. 접속기록의 위ㆍ변조방지''' ② 신용정보회사등은 개인신용정보처리시스템의 접속기록을 1년 이상 저장하고, 위ㆍ변조되지 않도록 별도 저장장치에 백업 보관한다.</ref>
* 위변조 방지, 별도 장치 백업 보관<ref name=":0" />
*위변조 방지, 별도 장치 백업 보관<ref name=":0" />
|-
|-
!
!개인정보 암호화
!개인정보 암호화
|
|
|
|
|
|
* 인증정보 암호화, 조회 금지<ref name=":1">'''3. 개인신용정보의 암호화''' ① 신용정보회사등은 비밀번호, 생체인식정보 등 본인임을 인증하는 정보는 암호화하여 저장하며, 이는 조회할 수 없도록 하여야 한다. 다만, 조회가 불가피하다고 인정되는 경우에는 그 조회사유ㆍ내용 등을 기록ㆍ관리하여야 한다.</ref>
*인증정보 암호화, 조회 금지<ref name=":1">'''3. 개인신용정보의 암호화''' ① 신용정보회사등은 비밀번호, 생체인식정보 등 본인임을 인증하는 정보는 암호화하여 저장하며, 이는 조회할 수 없도록 하여야 한다. 다만, 조회가 불가피하다고 인정되는 경우에는 그 조회사유ㆍ내용 등을 기록ㆍ관리하여야 한다.</ref>
* 조회가 불가피한 경우 조회 기록 등<ref name=":1" />
*조회가 불가피한 경우 조회 기록 등<ref name=":1" />
* 전송 시 보안서버 구축 등 암호화<ref>'''3. 개인신용정보의 암호화''' ② 신용정보회사등은 정보통신망을 통해 개인신용정보 및 인증정보를 송ㆍ수신할 때에는 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호의 어느 하나의 기능을 갖추어야 한다.
*전송 시 보안서버 구축 등 암호화<ref>'''3. 개인신용정보의 암호화''' ② 신용정보회사등은 정보통신망을 통해 개인신용정보 및 인증정보를 송ㆍ수신할 때에는 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호의 어느 하나의 기능을 갖추어야 한다.


1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 개인신용정보를 암호화하여 송ㆍ수신하는 기능
1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 개인신용정보를 암호화하여 송ㆍ수신하는 기능


2. 웹서버에 암호화 응용프로그램을 설치하여 개인신용정보를 암호화하여 송ㆍ수신하는 기능</ref>
2. 웹서버에 암호화 응용프로그램을 설치하여 개인신용정보를 암호화하여 송ㆍ수신하는 기능</ref>
* PC 저장 시 암호화<ref>'''3. 개인신용정보의 암호화''' ③ 신용정보회사등은 개인신용정보를 PC에 저장할 때에는 이를 암호화해야 한다.</ref>
*PC 저장 시 암호화<ref>'''3. 개인신용정보의 암호화''' ③ 신용정보회사등은 개인신용정보를 PC에 저장할 때에는 이를 암호화해야 한다.</ref>
* 개인식별정보 암호화 등<ref>'''3. 개인신용정보의 암호화'''  ④ 신용정보회사등은 다음 각 호의 기준에 따라 개인식별정보의 암호화 등의 조치를 취하여야 한다.
*개인식별정보 암호화 등<ref>'''3. 개인신용정보의 암호화'''  ④ 신용정보회사등은 다음 각 호의 기준에 따라 개인식별정보의 암호화 등의 조치를 취하여야 한다.


1. 정보통신망을 통하여 송수신하거나 보조저장매체를 통하여 전달하는 경우에는 암호화하여야 한다.
1. 정보통신망을 통하여 송수신하거나 보조저장매체를 통하여 전달하는 경우에는 암호화하여야 한다.
Line 53: Line 82:
나. 그 밖의 신용정보회사등의 경우에는 개인신용정보처리시스템에 적용되고 있는 개인신용정보 보호를 위한 수단과 개인신용정보 유출시 신용정보주체의 권익을 해할 가능성 및 그 위험의 정도를 분석한 결과
나. 그 밖의 신용정보회사등의 경우에는 개인신용정보처리시스템에 적용되고 있는 개인신용정보 보호를 위한 수단과 개인신용정보 유출시 신용정보주체의 권익을 해할 가능성 및 그 위험의 정도를 분석한 결과


4. 업무용 컴퓨터 또는 모바일 기기에 저장하여 관리하는 경우에는 상용 암호화 소프트웨어 또는 안전한 알고리즘을 사용하여 암호화하여야 한다.</ref>
4. 업무용 컴퓨터 또는 모바일 기기에 저장하여 관리하는 경우에는 상용 암호화 소프트웨어 또는 안전한 알고리즘을 사용하여 암호화하여야 한다.</ref><ref>'''3. 개인신용정보의 암호화''' ⑤ 신용정보집중기관과 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사(기업정보조회업무만 하는 기업신용조회회사는 제외한다)가 서로 개인식별번호를 제공하는 경우에는 상용 암호화 소프트웨어 또는 안전한 알고리즘을 사용하여 암호화하여야 한다.</ref><ref>'''3. 개인신용정보의 암호화''' ⑥ 신용정보회사등이 개인신용정보의 처리를 위탁하는 경우 개인식별번호를 암호화하여 수탁자에게 제공하여야 한다.</ref>
|-
|-
!
!악성 프로그램 방지
!악성 프로그램 방지
|
|
|
|
|
|
*처리시스템 백신 설치<ref name=":3">'''4. 컴퓨터바이러스 방지''' ① 신용정보회사등은 개인신용정보처리시스템 및 개인신용정보취급자가 개인신용정보 처리에 이용하는 정보처리기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 백신소프트웨어를 설치한다.</ref>
*취급자 단말 백신 설치<ref name=":3" />
*백신 소프트웨어 월 1회 갱신·점검<ref name=":4">'''4. 컴퓨터바이러스 방지''' ② 제1항에 따른 백신 소프트웨어는 월 1회 이상 주기적으로 갱신ㆍ점검하고, 바이러스 경보가 발령된 경우 및 백신 소프트웨어 제작 업체에서 업데이트 공지를 한 경우에는 즉시 최신 소프트웨어로 갱신ㆍ점검한다.</ref>
*업데이트 즉시 반영<ref name=":4" />
|-
|-
!
!물리적 접근 방지
!물리적 접근 방지
|
|
Line 65: Line 100:
|
|
|-
|-
!
!출력·복사 보호조치
!출력·복사 보호조치
|
|
Line 70: Line 106:
|
|
|-
|-
!
!표시 제한 보호조치
!표시 제한 보호조치
|
|
|
|-
!
!제재기준 마련
|
|
|
|
Line 76: Line 119:
|}
|}


== 각주 ==
==각주==
<references />

Latest revision as of 14:44, 24 August 2021

구분 개보법

안전성 확보조치 기준

개보법

기술적 관리적 보호조치 기준

신용정보업 감독규정

[별표3] 기술적·물리적·관리적 보호조치 기준

내부관리계획
권한 관리
  • 접근 권한을 최소 인원에게만 차등 부여[1]
  • 인사 변동 발생 시 지체없이 권한 변경[2]
  • 권한 관리 기록 3년 이상 보관[3]
  • 접근 권한을 최소 인원에게만 부여[4]
  • 인사 변동 발생 시 지체없이 권한 변경[5]
  • 권한 관리 기록 3년 이상 보관[6]
접근 통제
  • 취급자 비밀번호 작성규칙 수립[8]
  • 취급자 PC 설정[9]
  • 업무 설비와 외부 위탁 설비 구분[10]
  • 외부 사용자 시스템 접근권한 최소화 등[11]
  • 외부 사용자 접근권한 기록 3년 이상 보관[11]
접속기록 위변조방지
  • 접속기록 월 1회 이상 확인·감독[12]
  • 접속기록 1년 이상 저장[13]
  • 위변조 방지, 별도 장치 백업 보관[13]
개인정보 암호화
  • 인증정보 암호화, 조회 금지[14]
  • 조회가 불가피한 경우 조회 기록 등[14]
  • 전송 시 보안서버 구축 등 암호화[15]
  • PC 저장 시 암호화[16]
  • 개인식별정보 암호화 등[17][18][19]
악성 프로그램 방지
  • 처리시스템 백신 설치[20]
  • 취급자 단말 백신 설치[20]
  • 백신 소프트웨어 월 1회 갱신·점검[21]
  • 업데이트 즉시 반영[21]
물리적 접근 방지
출력·복사 보호조치
표시 제한 보호조치
제재기준 마련

각주[edit | edit source]

  1. 제5조(접근 권한의 관리) ① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다.
  2. 제5조(접근 권한의 관리) ② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.
  3. 제5조(접근 권한의 관리) ③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
  4. 1. 접근통제 ① 신용정보회사등은 개인신용정보를 처리할 수 있도록 체계적으로 구성한 전산시스템(이하 “개인신용정보처리시스템”이라 한다)에 대한 접근권한을 서비스제공을 위하여 필요한 최소한의 인원에게만 부여한다.
  5. 1. 접근통제 ② 신용정보회사등은 전보 또는 퇴직 등 인사이동이 발생하여 신용정보회사등의 지휘ㆍ감독을 받아 개인신용정보를 처리하는 업무를 담당하는 자(이하 “개인신용정보취급자”라 한다)가 변경되었을 경우 지체 없이 개인신용정보처리시스템의 접근권한을 변경 또는 말소한다.
  6. 1. 접근통제 ③ 신용정보회사등은 제1항 및 제2항에 따른 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관한다.
  7. 1. 접근통제 ④ 신용정보회사등은 개인신용정보처리시스템에 침입차단시스템과 침입탐지시스템을 설치하여 보호한다.
  8. 1. 접근통제 ⑤ 신용정보회사등은 개인신용정보주체 및 개인신용정보취급자가 생일, 주민등록번호, 전화번호 등 추측하기 쉬운 숫자를 비밀번호로 이용하지 않도록 비밀번호 작성규칙을 수립하고 이행한다.
  9. 1. 접근통제 ⑥ 신용정보회사등은 취급 중인 개인신용정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람 권한이 없는 자에게 공개되지 않도록 개인신용정보처리시스템 및 개인신용정보취급자의 PC를 설정한다.
  10. 1. 접근통제 ⑦ 신용정보회사등은 제휴, 위탁 또는 외부주문에 의한 개인신용정보처리시스템, 신용평가모형 또는 위험관리모형 개발업무에 사용되는 업무장소 및 전산설비는 내부 업무용과 분리하여 설치ㆍ운영한다.
  11. 11.0 11.1 1. 접근통제 ⑧ 신용정보회사등은 업무목적을 위하여 불가피한 경우에만 외부사용자에게 개인신용정보처리시스템에 대한 최소한의 접근권한을 부여하고, 권한 부여에 관한 기록을 3년 이상 보관하는 등 적절한 통제시스템을 갖추어야 한다.
  12. 2. 접속기록의 위ㆍ변조방지 ① 신용정보회사등은 개인신용정보취급자가 개인신용정보처리시스템에 접속하여 개인신용정보를 처리한 경우에는 처리일시, 처리내역 등 접속기록을 저장하고 이를 월 1회 이상 정기적으로 확인ㆍ감독한다.
  13. 13.0 13.1 2. 접속기록의 위ㆍ변조방지 ② 신용정보회사등은 개인신용정보처리시스템의 접속기록을 1년 이상 저장하고, 위ㆍ변조되지 않도록 별도 저장장치에 백업 보관한다.
  14. 14.0 14.1 3. 개인신용정보의 암호화 ① 신용정보회사등은 비밀번호, 생체인식정보 등 본인임을 인증하는 정보는 암호화하여 저장하며, 이는 조회할 수 없도록 하여야 한다. 다만, 조회가 불가피하다고 인정되는 경우에는 그 조회사유ㆍ내용 등을 기록ㆍ관리하여야 한다.
  15. 3. 개인신용정보의 암호화 ② 신용정보회사등은 정보통신망을 통해 개인신용정보 및 인증정보를 송ㆍ수신할 때에는 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호의 어느 하나의 기능을 갖추어야 한다. 1. 웹서버에 SSL(Secure Socket Layer) 인증서를 설치하여 개인신용정보를 암호화하여 송ㆍ수신하는 기능 2. 웹서버에 암호화 응용프로그램을 설치하여 개인신용정보를 암호화하여 송ㆍ수신하는 기능
  16. 3. 개인신용정보의 암호화 ③ 신용정보회사등은 개인신용정보를 PC에 저장할 때에는 이를 암호화해야 한다.
  17. 3. 개인신용정보의 암호화 ④ 신용정보회사등은 다음 각 호의 기준에 따라 개인식별정보의 암호화 등의 조치를 취하여야 한다. 1. 정보통신망을 통하여 송수신하거나 보조저장매체를 통하여 전달하는 경우에는 암호화하여야 한다. 2. 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone) 에 저장할 때에는 암호화하여야 한다. 3. 신용정보회사등이 내부망에 개인식별정보를 저장하는 경우에는 암호화하여야 한다. 다만, 영 제2조 제2항 각 호의 정보 중 주민등록번호 외의 정보를 저장하는 경우에는 다음 각 목의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다. 가. 「개인정보 보호법」 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과 나. 그 밖의 신용정보회사등의 경우에는 개인신용정보처리시스템에 적용되고 있는 개인신용정보 보호를 위한 수단과 개인신용정보 유출시 신용정보주체의 권익을 해할 가능성 및 그 위험의 정도를 분석한 결과 4. 업무용 컴퓨터 또는 모바일 기기에 저장하여 관리하는 경우에는 상용 암호화 소프트웨어 또는 안전한 알고리즘을 사용하여 암호화하여야 한다.
  18. 3. 개인신용정보의 암호화 ⑤ 신용정보집중기관과 개인신용평가회사, 개인사업자신용평가회사, 기업신용조회회사(기업정보조회업무만 하는 기업신용조회회사는 제외한다)가 서로 개인식별번호를 제공하는 경우에는 상용 암호화 소프트웨어 또는 안전한 알고리즘을 사용하여 암호화하여야 한다.
  19. 3. 개인신용정보의 암호화 ⑥ 신용정보회사등이 개인신용정보의 처리를 위탁하는 경우 개인식별번호를 암호화하여 수탁자에게 제공하여야 한다.
  20. 20.0 20.1 4. 컴퓨터바이러스 방지 ① 신용정보회사등은 개인신용정보처리시스템 및 개인신용정보취급자가 개인신용정보 처리에 이용하는 정보처리기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 백신소프트웨어를 설치한다.
  21. 21.0 21.1 4. 컴퓨터바이러스 방지 ② 제1항에 따른 백신 소프트웨어는 월 1회 이상 주기적으로 갱신ㆍ점검하고, 바이러스 경보가 발령된 경우 및 백신 소프트웨어 제작 업체에서 업데이트 공지를 한 경우에는 즉시 최신 소프트웨어로 갱신ㆍ점검한다.