개인정보의 안전성 확보조치 기준 편집하기

IT위키

경고: 로그인하지 않았습니다. 편집을 하면 IP 주소가 공개되게 됩니다. 로그인하거나 계정을 생성하면 편집자가 사용자 이름으로 기록되고, 다른 장점도 있습니다.

편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.

최신판 당신의 편집
1번째 줄: 1번째 줄:
;본 문서는 법을 요약합니다. 정확한 정보가 필요하시면 필히 [http://www.law.go.kr/행정규칙/개인정보의안전성확보조치기준 전체 조문]을 참조하시기 바립니다.
; 본 문서는 법을 요약합니다. 정확한 정보가 필요하시면 필히 [http://www.law.go.kr/행정규칙/개인정보의안전성확보조치기준 전체 조문]을 참조하시기 바립니다.


== 개요 ==
== 목적 ==
{| class="wikitable"
!구분
!내용
|-
|법적 근거
|
* 개인정보보호법 제23조(민감정보의 처리 제한), 제24조(고유식별정보의 처리 제한), 제29조(안전조치의무)
* 같은 법 시행령 제21조(고유식별정보의 안전성 확보 조치), 제30조(개인정보의 안전성 확보 조치)
|-
|과징금 부과 및 벌칙
|
* 2년 이하의 징역 또는 2천만원 이하의 벌금(법 제73조제1호)
* 3천만원 이하의 과태료(법 제75조제2항제6호)
|-
|적용 대상
|
* 개인정보처리자
* 개인정보처리자로부터 개인정보를 제공받은 자
* 개인정보처리자로부터 개인정보 처리를 위탁받은 자(이하 ‘수탁자’, 준용)
|-
|성격
|반드시 준수해야 하는 최소한의 기준
|-
|주요 내용
|
* 내부 관리계획의 수립 시행
* 접근 권한의 관리
* 접근통제
* 개인정보의 암호화
* 접속기록의 보관 및 점검
* 악성프로그램 등 방지
* 관리용 단말기의 안전조치
* 물리적 안전조치
* 재해 재난 대비 안전조치
* 개인정보의 파기
|}
 
==목적==
이 기준은 「개인정보 보호법」 에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 '''최소한의 기준'''을 정하는 것을 목적으로 한다.
이 기준은 「개인정보 보호법」 에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적·관리적 및 물리적 안전조치에 관한 '''최소한의 기준'''을 정하는 것을 목적으로 한다.


==관리적 조치==
== 관리적 조치 ==
===제4조(내부관리계획의 수립 및 시행)===
=== 제4조(내부관리계획의 수립 및 시행) ===
 
* 내부 관리계획의 수립, 시행, 변경관리
*내부 관리계획의 수립, 시행, 변경관리
* 내부 관리계획의 이행실태 점검
*내부 관리계획의 이행실태 점검
 
===제5조(접근 권한의 관리)===
 
*필요 최소한의 권한 차등 부여, 변경 사항 즉시 반경
*권한 변경 이력 보관
*1인 1계정 발급 및 공용 방지 대책
*비밀번호 작성 규칙, 비밀번호 연속 오류 시 잠금


==기술적 조치==
=== 제5조(접근 권한의 관리) ===
===제6조(접근 통제)===
* 필요 최소한의 권한 차등 부여, 변경 사항 즉시 반경
* 권한 변경 이력 보관
* 1인 1계정 발급 및 공용 방지 대책
* 비밀번호 작성 규칙, 비밀번호 연속 오류 시 잠금


*IP별 접근통제 및 침입 탐지(방화벽, 관제 운영)
== 기술적 조치 ==
*시스템에 외부 접속 시 VPN, 전용선, 2차 인증 적용
=== 제6조(접근 통제) ===
*개인정보 유출 방지(DLP 솔루션 운영)
* IP별 접근통제 및 침입 탐지(방화벽, 관제 운영)
*인터넷 홈페이지에서 고유식별정보 취급 시 취약점 점검
* 시스템에 외부 접속 시 VPN, 전용선, 2차 인증 적용
*유휴 접속 차단
* 개인정보 유출 방지(DLP 솔루션 운영)
*모바일 기기 보안 대책
* 인터넷 홈페이지에서 고유식별정보 취급 시 취약점 점검
* 유휴 접속 차단
* 모바일 기기 보안 대책


===제7조(개인정보의 암호화)===
=== 제7조(개인정보의 암호화) ===
* 고유식별정보, 비밀번호, 바이오정보. 전송 시, DMZ 구간 저장, 단말기 저장 시 암호화 필수
* 비밀번호는 일방향 암호화
* 안전한 알고리즘 사용 의무
* 암호화 키 관리


*고유식별정보, 비밀번호, 바이오정보. 전송 시, DMZ 구간 저장, 단말기 저장 시 암호화 필수
=== 제8조(접속기록의 보관 및 점검) ===
*비밀번호는 일방향 암호화
* 접속 기록 6개월 이상 저장, 반기별 1회 점검
*안전한 알고리즘 사용 의무
* 접속 기록에 대한 안전성 보장
*암호화 키 관리


===제8조(접속기록의 보관 및 점검)===
=== 제9조(악성프로그램 등 방지) ===
* 백신 등 운영. 자동 업데이트 또는 일 1회 이상 업데이트 실시
* OS 업데이트
* 악성코드 대응 조치


*접속 기록 1년 이상 저장, 월 1회 점검
=== 제10조(관리용 단말기의 안전조치) ===
**다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관
* 관리용 단말기 지정 (일반적으로 서버 접근용 단말기)
*접속 기록에 대한 안전성 보장
* 사용자 지정, 사용 목적 제한, 보안조치 등 강화된 보안 적용


===제9조(악성프로그램 등 방지)===
== 물리적 조치 ==
 
=== 제11조(물리적 안전조치) ===
*백신 등 운영. 자동 업데이트 또는 일 1회 이상 업데이트 실시
*OS 업데이트
*악성코드 대응 조치
 
===제10조(관리용 단말기의 안전조치)===
 
*관리용 단말기 지정 (일반적으로 서버 접근용 단말기)
*사용자 지정, 사용 목적 제한, 보안조치 등 강화된 보안 적용
 
==물리적 조치==
===제11조(물리적 안전조치)===
전산실, 문서보관실 등 개인정보가 저장되어 있는 물리적 공간 보안
전산실, 문서보관실 등 개인정보가 저장되어 있는 물리적 공간 보안
보조 저장매체 통제
보조 저장매체 통제


===제12조(재해·재난 대비 안전조치)===
=== 제12조(재해·재난 대비 안전조치)===
 
* 재해 재난 대비 안전조치 및 복구계획 수립
*재해 재난 대비 안전조치 및 복구계획 수립
 
===제13조(개인정보의 파기)===
 
*복구할 수 없는 방법으로 완전 파괴(소각, 파쇄 등)
*일부만 파기 시
**문서 : 마스킹, 천공 등
**전자적 데이터 : 파기 후 별도의 관리감독 수행


[[분류:보안]]
=== 제13조(개인정보의 파기)===
[[분류:개인정보보호]]
* 복구할 수 없는 방법으로 완전 파괴(소각, 파쇄 등)
[[분류:정보보안기사]]
* 일부만 파기 시
[[분류:컴플라이언스]]
** 문서 : 마스킹, 천공 등
** 전자적 데이터 : 파기 후 별도의 관리감독 수행
IT위키에서의 모든 기여는 크리에이티브 커먼즈 저작자표시-비영리-동일조건변경허락 라이선스로 배포된다는 점을 유의해 주세요(자세한 내용에 대해서는 IT위키:저작권 문서를 읽어주세요). 만약 여기에 동의하지 않는다면 문서를 저장하지 말아 주세요.
또한, 직접 작성했거나 퍼블릭 도메인과 같은 자유 문서에서 가져왔다는 것을 보증해야 합니다. 저작권이 있는 내용을 허가 없이 저장하지 마세요!
취소 편집 도움말 (새 창에서 열림)
원본 주소 "https://itwiki.kr/w/개인정보의_안전성_확보조치_기준"