1. 개인 정보 보호 이행 점검하기
1-1. 개인 정보 보호 이행 점검 계획 수립
1) 개인 정보 보호 주요 성과
| 사업 분야 | 개인 정보 보호 사업명 |
| 개인 정보 보호 정책 및 제도 개선 | 개인 정보 보호 규정 · 지침 제 · 개정 |
| 개인 정보 보호 정보화 예산 배정 | |
| 사이버 보안 진단의 날 시행 | |
| 개인 정보 보호 시스템 운영 | 개인 정보 노출 · 유출 모니터링 |
| 기간 업무 시스템 가상화 서비스 보안 인프라 확충 | |
| 연구원 정보 보안 시스템 고도화 1차년도 사업 | |
| 개인 정보 보호 교육 및 홍보 | 직원 정보 보안 및 개인 정보 보호 교육 실시 |
개인정보보호 정책(Privacy Policy)은 어떤 당사자가 고객의 개인 정보를 어떻게 수집, 사용, 공개, 관리하는지를 밝히는 선언 또는 법적 문서를 말한다.
- 개인정보보호 원칙
① 개인 정보를 수집하는 목적은 수집 당시에 명확히 특정되어 있어야 하고 개인 정보 처리자는 그 특정된 목적을 달성하기 위하여 직접적으로 필요한 범위 내에서만 개인 정보를 처리하여야 한다.
② 개인 정보 처리자는 개인 정보의 내용이 처리 당시의 사실에 부합하도록 정확하고 최신의 상태를 유지하여야 하며, 개인 정보의 처리 과정에서 고의 또는 과실로 개인 정보가 부당하게 변경 또는 훼손되지 않도록 하여야 한다.
③ 개인 정보 처리자는 정보 주체의 권리가 침해 받을 가능성과 위험의 정도에 상응하는 적절한 기술적・관리적 및 물리적 보안 조치를 통하여 개인 정보를 안전하게 관리하여야 한다.
④ 개인 정보 처리자는 개인 정보 처리 방침 등 개인 정보의 처리에 관한 사항을 일반적으로 공개하여야 하며, 열람 청구권 등 정보 주체의 권리가 보장될 수 있도록 합리적인 절차를 마련하여야 한다.
⑤ 인 정보 처리자는 처리 목적에 필요한 범위에서 개인 정보를 처리하는 경우에도 가능한 한 정보 주체의 사생활 침해를 최소화하는 방법을 선택하여야 한다.
⑥ 개인 정보 처리자는 이 법에 의하여 개인 정보의 처리에 관한 정보 주체의 동의를 얻은 경우라도 구체적인 업무의 특성상 가능한 경우에는 특정 개인을 알아볼 수 없는 형태로 개인 정보를 처리하여야 한다.
2) 개인 정보 보호 사업 분야별 예산
| 사업 분야 | 개인정보 보호 사업명 | 예산 (백만원) |
재원 | 사업 형태 |
| 개인 정보 보호 정책 및 제도 개선 | 스마트워크 활성화 대비 관련규정 재개정 | 신규 | ||
| 영상정보처리기기 확대 설치 및 관련 지침 보완 · 개정 | 10 | 운영비 | 신규 | |
| 정보화 예산 대비 개인정보보호 예산 10% 달성 | 신규 | |||
| 개인 정보 보호 책임자 및 담당자 역량 강화 교육 이수 | 2 | 전산지원 사업 |
계속 | |
| 정보 보안 및 개인 정보 보호 공인 자격증 취득자 채용 (고용유지) |
42 | 전산지원 사업 |
계속 | |
| 소계 | 54 | |||
| 개인 정보 보호 시스템 운영 |
개인 정보 관리 · 통제 체계 강화 지침 마련 | 신규 | ||
| 연구원 정보 보안 시스템 고도화 3차년도 사업 추진 | 150 | 일반 사업 |
계속 | |
| 사설 클라우드 서비스 제공 확대 | 5 | 전산지원 사업 |
신규 | |
| VPN 및 사설 인증 체계 기반 원격 근무 시스템 시범 운영 | 20 | 전산지원 사업 |
신규 | |
| 모바일 기기 관리 시스템 도입 | 10 | 전산지원 사업 | 신규 | |
| 홈페이지 개인 정보 노출 차단 및 모니터링 강화 | 계속 | |||
| 개인 정보 자기결정권 내실화 | 5 | 전산지원 사업 | 신규 | |
| 정보 보호 시스템 기술 지원 용역 | 28 | 일반 사업 |
계속 | |
| 소계 | 218 | |||
| 개인 정보 보호 교육 홍보 |
직원 정보 보안 및 개인 정보 보호 교육 계획 수립 · 시행 | 5 | ||
| 소계 | 5 | 전산지원 사업 |
계속 | |
| 총계 | 277 | |||
3) 개인 정보 보호 추진 결과 보고서
① 총평을 기술한다.
② 주요 성과 및 추진 사항을 기술한다.
③ ○○년도 세부 추진 계획 대비 실적을 표로 정리한다.
④ 애로 및 개선 사항을 기술한다.
2. 개인 정보 침해 사고 대응
2-1. 침해 사고 보고 및 통지
1) 침해 사고 대응 7단계
- 침해 사고 대응 방법론
침해 사고의 최근 경향으로 지능화되고 자동화된 공격 기법이 늘어나고 있다. 이러한 공격들은 복잡하고 다양한 기술을 이용하여 시도되고 있다. 따라서 우수한 보안 기술을 채택하여 침해 사고 발생을 억제할 필요가 있으며, 침해 사고가 발생한 경우 이를 철저히 조사하여 향후 동일한 사고가 발생되지 않도록 조치를 취하여야 한다.
① 사고 전 준비 과정
ⓐ 사고 대응 체제의 준비
ⓑ 침해 사고 대응팀의 준비
② 사고 탐지
③ 초기 대응
④ 대응 전략 수립
⑤ 사고 조사
ⓐ 데이터 수집
ⓑ 데이터 분석
⑥ 보고서 작성
⑦ 복구 및 해결 과정
2) 개인 정보 침해의 분류
| 등급 | 내용 |
| 1등급 | 법적 근거, 규정 또는 본인의 동의 없이 개인 정보가 외부의 제3자에게 노출 또는 제공된 상태 |
| 2등급 | 법적 근거, 규정 또는 본인의 동의 없이 개인 정보를 수집, 접근, 분석 이용, 내부자에게 제공, 저장, 파기한 상태 |
| 3등급 | 안전하지 않은 상태로 개인 정보를 저장하거나, 파기하여야 할 정보를 파기하지 않은 경우 등 세부 지침의 규정을 위반한 상태 |
- 개인 정보 침해의 분류
① 침해 사고 정의
정보통신망법 제2조 제1항 제7호에 따르면 ʻ침해 사고란 해킹, 컴퓨터 바이러스, 논리 폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법ʼ으로, 정보 통신망 또는 이와 관련된 정보 시스템을 공격하는 행위를 하여 발생한 사태를 의미한다.
② 관련 법률
ⓐ 정보통신망이용촉진 및 정보보호 등에 관한 법률 제48조의 3(침해사고의 신고 등)에 의거하여 정보 통신 서비스 제공자, 집적 정보 통신 시설 사업자는 침해 사고가 발생하면 즉시 그 사실을 한국인터넷진흥원에 신고하여야 한다.
ⓑ 침해 사고가 발생한 사실을 알고도 한국인터넷진흥원에 신고하지 않을 경우, 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제76조(과태료) 제3항에 의거하여 1천만원 이하의 과태료를 부과한다.
③ 침해사고 신고 의무 대상(민간 부분)
ⓐ 침해사고 신고 의무 대상은 영리를 목적으로 인터넷 서비스를 운영하는 모든 사업자(기업)가 해당된다.
ⓑ 예를 들어, 웹 호스팅업체, 인터넷 쇼핑몰업체, 경매・커뮤니티・미니 홈피・블로그 서비스 제공자, P2P 등 인터넷 기반 서비스 제공 사업자 대부분이 해당한다고 할 수 있다.
3) 사고유형별 점검사항
4) 웹 변조 사고 점검 내용 및 조치 사항
- 웹 변조 사고 점검 내용 및 조치 사항
① 웹 페이지를 확인한다.
②웹 로그를 분석한다.
5) 악성코드 사고 점검 내용 및 조치 사항
- 악성코드 사고 점검내용 및 조치사항
① 웹 페이지를 확인하고 관련 사항을 조치한다.
② 접속 IP를 확인하고 관련 사항을 조치한다.
6) 봇넷 C&C 점검 내용 및 조치 사항
① 네트워크 연결을 점검하고 관련 사항을 조치한다.
7) 해킹 경유지 점검 내용 및 조치 사항
- 해킹 경유지
① 네트워크를 점검하고 관련 사항을 조치한다.
② 설치 프로그램을 점검하고 관련 사항을 조치한다.
8) DDoS 점검 내용 및 조치 사항
- DDOS
① 네트워크를 점검한다.
3. 개인 정보 보호 정책 교육하기
3-1. 개인 정보 보호 정책 교육
1) 개인 정보 보호 교육 내용
| 개인 정보 보호의 중요성 설명 내부 관리 계획의 준수 및 이행 위험 · 대책이 포함된 조직 보안 정책, 보안 지침, 지시 사항, 위험 관리 전략 개인 정보 시스템 하드웨어 및 소프트웨어를 포함한 시스템의 정확한 사용법 개인 정보의 기술적 · 관리적 보호 조치 기준 이행 개인 정보 보호 위반을 보고하여야 할 필요성 개인 정보 보호 업무의 절차, 책임, 작업 설명 개인 정보 보호 관련자들의 금지 항목들 개인 정보 보호 준수 사항 이행 관련 절차 등 ※ 담당자의 역할 및 처리 업무 특성에 따라 교육 내용 차등 구성 |
- 개인정보보호법 제28조에 따라 개인 정보 처리자는 개인 정보를 처리함에 있어서 개인 정보가 안전하게 관리될 수 있도록 임직원, 파견 근로자, 시간제 근로자 등 개인 정보 취급자에게 정기적으로 필요한 교육을 실시하여야 한다.
① 개인정보보호 교육 계획의 수립
ⓐ 개인 정보 관리 책임자는 다음 각 호의 사항을 포함하는 연간 개인정보보호 교육계획을 조직 상황에 따라 정해진 기간 내에 수립한다.
(가) 교육 목적 및 대상
(나) 교육 내용
(다) 교육 일정 및 방법
ⓑ 개인 정보 관리 책임자는 수립한 개인 정보 보호 교육 계획을 실시한 이후에 교육의 성과와 개선 필요성을 검토하여 차년도 교육 계획 수립에 반영하여야 한다.
② 개인 정보 보호 교육의 실시
ⓐ 개인 정보 관리 책임자는 고객 정보 보호에 대한 직원들의 인식 제고를 위하여 노력해야 하며, 개인 정보의 오・남용 또는 유출 등을 적극 예방하기 위하여 임직원을 대상으로 매년 정기적으로 연 2회 이상의 개인 정보 보호 교육을 실시한다.
ⓑ 연 2회의 정기 교육은 상반기에 1회, 하반기에 1회 실시한다.
ⓒ 교육 방법은 집체 교육뿐만 아니라, 인터넷 교육, 그룹웨어 교육 등 다양한 방법을 활용하여 실시하고, 필요한 경우 외부 전문 기관이나 전문 요원에 위탁하여 교육을 실시할 수 있다.
ⓓ 개인 정보 보호에 대한 중요한 전파 사례가 있거나 개인정보보호 업무와 관련하여 변경된 사항이 있는 경우, 개인 정보 관리 책임자는 부서 회의 등을 통하여 수시 교육을 실시할 수 있다.
- 개인 정보 보호 사고 예방 정책
개인 정보의 안전성 확보를 위한 조치로 접근 권한 관리, 비밀 번호 관리, 접근 통제 시스템 설치 및 운영, 개인 정보의 암호화, 접속 기록의 보관 및 점검, 악성 프로그램 등 방지, 물리적 접근 제한, 개인 정보의 파기 및 절차에 대한 이해가 필요하다.
① 접근 권한 관리
ⓐ 개인 정보 처리자는 개인 정보 처리 시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 차등 부여한다.
ⓑ 개인 정보 처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인 정보 취급자가 변경되었을 경우 지체 없이 개인 정보 처리 시스템의 접근 권한을 변경 또는 말소하여야 하며, 그 기록은 최소 3년간 보관하여야 한다.
ⓒ 개인 정보 처리자는 개인 정보 처리 시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인 정보 취급자별로 한 개의 사용자 계정을 발급하여야 하며, 다른 개인 정보 취급자와 공유되지 않도록 하여야 한다.
② 비밀 번호 관리
ⓐ 개인 정보 처리자는 개인 정보 취급자 또는 정보 주체가 안전한 비밀 번호를 설정하여 이행할 수 있도록 비밀 번호 작성 규칙을 수립하여 적용한다.
ⓑ 개인 정보 처리자는 취급 중인 개인 정보가 인터넷 홈페이지, P2P, 공유 설정, 공개된 무선망 이용 등을 통하여 열람 권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인 정보 처리 시스템 및 업무용 컴퓨터에 조치를 취하여야 한다.
ⓒ 개인 정보 처리자는 공개된 무선망을 이용하여 개인 정보를 처리하는 경우 개인 정보가 신뢰되지 않은 무선 접속 장치(AP), 무선 전송 구간 및 무선 접속 장치(AP)의 취약점에 의하여 공개 또는 유출되지 않도록 안전 조치를 하여야 한다.
ⓓ 고유 식별 정보를 처리하는 개인 정보 처리자는 인터넷 홈페이지를 통하여 고유 식별 정보가 유출・변호・훼손되지 않도록 연 1회 이상 취약점을 점검하여야 한다.
ⓔ 개인 정보 처리자는 업무용 모바일 기기의 분실・도난 등으로 개인 정보가 유출되지 않도록 해당 모바일 기기에 비밀 번호 설정 등의 보호 조치를 하여야 한다.
③ 개인 정보의 암호화
ⓐ 개인 정보 처리자는 고유 식별 정보(주민 등록 번호, 운전 면허 번호, 외국인등록번호, 여권 번호), 비밀 번호, 바이오 정보 등 개인 정보는 암호화하여야 한다.
ⓑ 개인 정보 처리자는 개인 정보를 정보 통신망을 통하여 송・수신하거나 보조 저장 매체 등을 통하여 전달하는 경우에는 이를 암호화하여야 한다.
ⓒ 개인 정보 처리자가 내부 망에 고유 식별 정보를 저장하는 경우에는 다음의 기준에 따라 암호화의 적용 여부 및 적용 범위를 정하여 시행할 수 있다.
ⓓ 개인 정보 처리자, 개인 정보 취급자는 업무용 컴퓨터(PC)에 개인 정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 저장하여야 한다.
④ 접속 기록의 보관 및 점검
ⓐ 개인 정보 처리자는 개인 정보 취급자가 개인 정보 처리 시스템에 접속한 기록을 최소 6개월 이상 보관・관리하여야 한다.
ⓑ 개인 정보 처리자는 개인 정보의 유출・변조・훼손 등에 대응하기 위하여 개인 정보처리 시스템의 접속 기록 등을 반기별로 1회 이상 점검하여야 한다.
ⓒ 개인 정보 처리자는 개인 정보 취급자의 접속 기록이 위・변조 및 도난, 분실되지 않도록 해당 접속 기록을 안전하게 보관하여야 한다.
⑤ 악성 프로그램 등 방지
ⓐ 개인 정보 취급자는 악성 프로그램으로부터 정보 주체의 개인 정보가 손상・유출되지 않도록 업무용 컴퓨터에 백신 소프트웨어 등의 보안 프로그램을 설치・운영한다.
⑥ 물리적인 접근 제한
ⓐ 개인 정보 처리자는 전산실, 자료 보관실 등 개인 정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입 통제 절차를 수립・운영하여야 한다.
ⓑ 개인 정보 처리자 및 개인 정보 취급자는 개인 정보가 포함된 서류, 보조 저장 매체 등을 잠금 장치가 있는 안전한 장소에 보관하여야 한다.
⑦ 개인 정보의 파기
ⓐ 개인 정보 처리자는 개인 정보의 보유 및 이용 기간 경과 또는 목적 달성 시 지체 없이 복구 불가능한 방법(파쇄, 소각 등)으로 파기하여야 하며, 파기 전 개인정보파일명, 개인 정보 항목, 수집 및 이용 기간, 파기 일자, 파기 담당자, 파기 사유 등을 개인정보보호 책임자에게 신고하여야 한다.
2) 개인 정보 보호 종합 포탈
'민간 자격증 > 정보보호관리사' 카테고리의 다른 글
| 9. 애플리케이션 보안 운영 (2) | 2024.07.22 |
|---|---|
| 8. 네트워크 보안 운영 (1) | 2024.07.19 |
| 6. 정보 보호 계획 수립 (0) | 2024.07.12 |
| 5. 보안 위험 관리 (0) | 2024.07.10 |
| 4. 개인 정보 보호 기획 (1) | 2024.07.05 |
댓글