내부 관리계획

From IT Wiki
개인정보처리자 및 정보통신서비스 제공자는 개인정보의 관리를 위해 내부 규정을 마련하여야 한다.

근거 법령

필수적으로 포함하여야 하는 내용

  • 내부 관리계획은 법적으로 아래 내용들을 모두 포함하여야 한다.
  • 정보통신망법 적용 대상은 모두 개인정보보호법 적용 대상이므로 두 법에 있는 항목을 모두 포함하여야 한다.

개인정보 보호법

  1. 개인정보 보호책임자의 지정에 관한 사항
  2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
  3. 개인정보취급자에 대한 교육에 관한 사항
  4. 접근 권한의 관리에 관한 사항
  5. 접근 통제에 관한 사항
  6. 개인정보의 암호화 조치에 관한 사항
  7. 접속기록 보관 및 점검에 관한 사항
  8. 악성프로그램 등 방지에 관한 사항
  9. 물리적 안전조치에 관한 사항
  10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
  11. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항
  12. 위험도 분석 및 대응방안 마련에 관한 사항
  13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
  14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
  15. 그 밖에 개인정보 보호를 위하여 필요한 사항

정보통신망법

  1. 개인정보관리책임자의 자격요건 및 지정에 관한 사항
  2. 개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항
  3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항
  4. 개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항
  5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
  6. 개인정보의 분실·도난·누출·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항
  7. 그 밖에 개인정보보호를 위해 필요한 사항

기타 의무

  • 개인정보처리자 유형1에 해당하는 경우 내부 관리계획을 수립하지 않을 수도 있다.
  • 개인정보처리자는 각 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
  • 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검·관리하여야 한다.
    • 여기서 이행 실태 점검이란 PC 보안점검과 같은 단순한 보안 감사가 아니다.
    • 내부 관리계획이 실질적으로 잘 적용되고 있는지에 대한 부분
    • 내부 관리규정에 맞게 전사 보안이 이루어지고 있는지와 동시에 내부 관리계획이 실무적인 보안 현황과 일치하는지를 확인
    • 개인정보 보호책임자는 이 점검에서 불일치가 확인되는 경우 내부 관리계획을 수정하거나 보안 조치를 조정 하여 일치시켜야 한다.
  • 내부 관리계획은 경영진의 승인을 받고 전사적으로 시행 되어야 한다.
  • 내부 관리계획은 전 직원이 쉽게 열람할 수 있도록 공시하여야 한다.
    • 그룹웨어, 업무포털 게시판 등을 통해 공시한다.
    • 개정이 이루어질 경우 개정 즉시 업데이트 한다.