개인정보의 안전성 확보조치 기준: Difference between revisions

From IT Wiki
No edit summary
 
(5 intermediate revisions by 2 users not shown)
Line 1: Line 1:
; 본 문서는 법을 요약합니다. 정확한 정보가 필요하시면 필히 [http://www.law.go.kr/행정규칙/개인정보의안전성확보조치기준 전체 조문]을 참조하시기 바립니다.
;본 문서는 법을 요약합니다. 정확한 정보가 필요하시면 필히 [http://www.law.go.kr/행정규칙/개인정보의안전성확보조치기준 전체 조문]을 참조하시기 바립니다.


== 목적 ==
== 개요 ==
{| class="wikitable"
!구분
!내용
|-
|법적 근거
|
* 개인정보보호법 제23조(민감정보의 처리 제한), 제24조(고유식별정보의 처리 제한), 제29조(안전조치의무)
* 같은 법 시행령 제21조(고유식별정보의 안전성 확보 조치), 제30조(개인정보의 안전성 확보 조치)
|-
|과징금 부과 및 벌칙
|
* 2년 이하의 징역 또는 2천만원 이하의 벌금(법 제73조제1호)
* 3천만원 이하의 과태료(법 제75조제2항제6호)
|-
|적용 대상
|
* 개인정보처리자
* 개인정보처리자로부터 개인정보를 제공받은 자
* 개인정보처리자로부터 개인정보 처리를 위탁받은 자(이하 ‘수탁자’, 준용)
|-
|성격
|반드시 준수해야 하는 최소한의 기준
|-
|주요 내용
|
* 내부 관리계획의 수립 시행
* 접근 권한의 관리
* 접근통제
* 개인정보의 암호화
* 접속기록의 보관 및 점검
* 악성프로그램 등 방지
* 관리용 단말기의 안전조치
* 물리적 안전조치
* 재해 재난 대비 안전조치
* 개인정보의 파기
|}
 
==목적==
이 기준은 「개인정보 보호법」 에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 '''최소한의 기준'''을 정하는 것을 목적으로 한다.
이 기준은 「개인정보 보호법」 에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 '''최소한의 기준'''을 정하는 것을 목적으로 한다.


== 관리적 조치 ==
==관리적 조치==
=== 제4조(내부관리계획의 수립 및 시행) ===
===제4조(내부관리계획의 수립 및 시행)===
* 내부 관리계획의 수립, 시행, 변경관리
 
* 내부 관리계획의 이행실태 점검
*내부 관리계획의 수립, 시행, 변경관리
*내부 관리계획의 이행실태 점검
 
===제5조(접근 권한의 관리)===
 
*필요 최소한의 권한 차등 부여, 변경 사항 즉시 반경
*권한 변경 이력 보관
*1인 1계정 발급 및 공용 방지 대책
*비밀번호 작성 규칙, 비밀번호 연속 오류 시 잠금
 
==기술적 조치==
===제6조(접근 통제)===
 
*IP별 접근통제 및 침입 탐지(방화벽, 관제 운영)
*시스템에 외부 접속 시 VPN, 전용선, 2차 인증 적용
*개인정보 유출 방지(DLP 솔루션 운영)
*인터넷 홈페이지에서 고유식별정보 취급 시 취약점 점검
*유휴 접속 차단
*모바일 기기 보안 대책


=== 제5조(접근 권한의 관리) ===
===제7조(개인정보의 암호화)===
* 필요 최소한의 권한 차등 부여, 변경 사항 즉시 반경
* 권한 변경 이력 보관
* 1인 1계정 발급 및 공용 방지 대책
* 비밀번호 작성 규칙, 비밀번호 연속 오류 시 잠금


== 기술적 조치 ==
*고유식별정보, 비밀번호, 바이오정보. 전송 시, DMZ 구간 저장, 단말기 저장 시 암호화 필수
=== 제6조(접근 통제) ===
*비밀번호는 일방향 암호화
* IP별 접근통제 및 침입 탐지(방화벽, 관제 운영)
*안전한 알고리즘 사용 의무
* 시스템에 외부 접속 VPN, 전용선, 2차 인증 적용
*암호화 키 관리
* 개인정보 유출 방지(DLP 솔루션 운영)
* 인터넷 홈페이지에서 고유식별정보 취급 시 취약점 점검
* 유휴 접속 차단
* 모바일 기기 보안 대책


=== 제7조(개인정보의 암호화) ===
===제8조(접속기록의 보관 및 점검)===
* 고유식별정보, 비밀번호, 바이오정보. 전송 시, DMZ 구간 저장, 단말기 저장 시 암호화 필수
* 비밀번호는 일방향 암호화
* 안전한 알고리즘 사용 의무
* 암호화 키 관리


=== 제8조(접속기록의 보관 및 점검) ===
*접속 기록 1년 이상 저장, 월 1회 점검
* 접속 기록 1년 이상 저장, 월 1회 점검
**다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관
* 접속 기록에 대한 안전성 보장
*접속 기록에 대한 안전성 보장


=== 제9조(악성프로그램 등 방지) ===
===제9조(악성프로그램 등 방지)===
* 백신 등 운영. 자동 업데이트 또는 일 1회 이상 업데이트 실시
* OS 업데이트
* 악성코드 대응 조치


=== 제10조(관리용 단말기의 안전조치) ===
*백신 등 운영. 자동 업데이트 또는 일 1회 이상 업데이트 실시
* 관리용 단말기 지정 (일반적으로 서버 접근용 단말기)
*OS 업데이트
* 사용자 지정, 사용 목적 제한, 보안조치 등 강화된 보안 적용
*악성코드 대응 조치


== 물리적 조치 ==
===제10조(관리용 단말기의 안전조치)===
=== 제11조(물리적 안전조치) ===
 
*관리용 단말기 지정 (일반적으로 서버 접근용 단말기)
*사용자 지정, 사용 목적 제한, 보안조치 등 강화된 보안 적용
 
==물리적 조치==
===제11조(물리적 안전조치)===
전산실, 문서보관실 등 개인정보가 저장되어 있는 물리적 공간 보안
전산실, 문서보관실 등 개인정보가 저장되어 있는 물리적 공간 보안
보조 저장매체 통제
보조 저장매체 통제


=== 제12조(재해·재난 대비 안전조치)===
===제12조(재해·재난 대비 안전조치)===
* 재해 재난 대비 안전조치 및 복구계획 수립
 
*재해 재난 대비 안전조치 및 복구계획 수립
 
===제13조(개인정보의 파기)===


=== 제13조(개인정보의 파기)===
*복구할 수 없는 방법으로 완전 파괴(소각, 파쇄 등)
* 복구할 수 없는 방법으로 완전 파괴(소각, 파쇄 등)
*일부만 파기 시  
* 일부만 파기 시  
**문서 : 마스킹, 천공 등
** 문서 : 마스킹, 천공 등
**전자적 데이터 : 파기 후 별도의 관리감독 수행
** 전자적 데이터 : 파기 후 별도의 관리감독 수행


[[분류:보안]]
[[분류:보안]]

Latest revision as of 11:17, 26 May 2022

본 문서는 법을 요약합니다. 정확한 정보가 필요하시면 필히 전체 조문을 참조하시기 바립니다.

개요[edit | edit source]

구분 내용
법적 근거
  • 개인정보보호법 제23조(민감정보의 처리 제한), 제24조(고유식별정보의 처리 제한), 제29조(안전조치의무)
  • 같은 법 시행령 제21조(고유식별정보의 안전성 확보 조치), 제30조(개인정보의 안전성 확보 조치)
과징금 부과 및 벌칙
  • 2년 이하의 징역 또는 2천만원 이하의 벌금(법 제73조제1호)
  • 3천만원 이하의 과태료(법 제75조제2항제6호)
적용 대상
  • 개인정보처리자
  • 개인정보처리자로부터 개인정보를 제공받은 자
  • 개인정보처리자로부터 개인정보 처리를 위탁받은 자(이하 ‘수탁자’, 준용)
성격 반드시 준수해야 하는 최소한의 기준
주요 내용
  • 내부 관리계획의 수립 시행
  • 접근 권한의 관리
  • 접근통제
  • 개인정보의 암호화
  • 접속기록의 보관 및 점검
  • 악성프로그램 등 방지
  • 관리용 단말기의 안전조치
  • 물리적 안전조치
  • 재해 재난 대비 안전조치
  • 개인정보의 파기

목적[edit | edit source]

이 기준은 「개인정보 보호법」 에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.

관리적 조치[edit | edit source]

제4조(내부관리계획의 수립 및 시행)[edit | edit source]

  • 내부 관리계획의 수립, 시행, 변경관리
  • 내부 관리계획의 이행실태 점검

제5조(접근 권한의 관리)[edit | edit source]

  • 필요 최소한의 권한 차등 부여, 변경 사항 즉시 반경
  • 권한 변경 이력 보관
  • 1인 1계정 발급 및 공용 방지 대책
  • 비밀번호 작성 규칙, 비밀번호 연속 오류 시 잠금

기술적 조치[edit | edit source]

제6조(접근 통제)[edit | edit source]

  • IP별 접근통제 및 침입 탐지(방화벽, 관제 운영)
  • 시스템에 외부 접속 시 VPN, 전용선, 2차 인증 적용
  • 개인정보 유출 방지(DLP 솔루션 운영)
  • 인터넷 홈페이지에서 고유식별정보 취급 시 취약점 점검
  • 유휴 접속 차단
  • 모바일 기기 보안 대책

제7조(개인정보의 암호화)[edit | edit source]

  • 고유식별정보, 비밀번호, 바이오정보. 전송 시, DMZ 구간 저장, 단말기 저장 시 암호화 필수
  • 비밀번호는 일방향 암호화
  • 안전한 알고리즘 사용 의무
  • 암호화 키 관리

제8조(접속기록의 보관 및 점검)[edit | edit source]

  • 접속 기록 1년 이상 저장, 월 1회 점검
    • 다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관
  • 접속 기록에 대한 안전성 보장

제9조(악성프로그램 등 방지)[edit | edit source]

  • 백신 등 운영. 자동 업데이트 또는 일 1회 이상 업데이트 실시
  • OS 업데이트
  • 악성코드 대응 조치

제10조(관리용 단말기의 안전조치)[edit | edit source]

  • 관리용 단말기 지정 (일반적으로 서버 접근용 단말기)
  • 사용자 지정, 사용 목적 제한, 보안조치 등 강화된 보안 적용

물리적 조치[edit | edit source]

제11조(물리적 안전조치)[edit | edit source]

전산실, 문서보관실 등 개인정보가 저장되어 있는 물리적 공간 보안 보조 저장매체 통제

제12조(재해·재난 대비 안전조치)[edit | edit source]

  • 재해 재난 대비 안전조치 및 복구계획 수립

제13조(개인정보의 파기)[edit | edit source]

  • 복구할 수 없는 방법으로 완전 파괴(소각, 파쇄 등)
  • 일부만 파기 시
    • 문서 : 마스킹, 천공 등
    • 전자적 데이터 : 파기 후 별도의 관리감독 수행