“개인정보의 기술적·관리적 보호조치 기준”과 “개인정보의 안전성 확보조치 기준“에는 정보통신서비스 제공자등이 개인정보의 안전한 취급을 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 내부관리 계획을 수립ㆍ시행 및 점검토록 되어 있습니다. “개인정보의 기술적·관리적 보호조치 기준”은 2023년 9월 22일 폐지되었습니다.
| 개인정보의 기술적·관리적 보호조치 기준 |
개인정보의 안전성 확보조치 기준 제4조(2023. 9. 22., 일부개정) |
- 개인정보관리책임자의 자격요건 및 지정에 관한 사항
- 개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항
- 개인정보 내부관리계획의 수립 및 승인에 관한 사항
- 개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항
- 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
- 개인정보의 분실·도난·누출·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항
- 그 밖에 개인정보보호를 위해 필요한 사항
|
- 개인정보 보호 조직의 구성 및 운영에 관한 사항
- 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
- 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항
- 개인정보취급자에 대한 관리ㆍ감독 및 교육에 관한 사항
- 접근 권한의 관리에 관한 사항
- 접근 통제에 관한 사항
- 개인정보의 암호화 조치에 관한 사항
- 접속기록 보관 및 점검에 관한 사항
- 악성프로그램 등 방지에 관한 사항
- 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항
- 물리적 안전조치에 관한 사항
- 개인정보 유출사고 대응 계획 수립ㆍ시행에 관한 사항
- 위험 분석 및 관리에 관한 사항
- 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
- 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항
- 그 밖에 개인정보 보호를 위하여 필요한 사항
공공시스템 운영기관의 내부 관리계획 포함 사항
- 제15조 1. 관리책임자의 지정에 관한 사항
- 제15조 2. 관리책임자의 역할 및 책임에 관한 사항
- 제4조제1항제3호에 관한 사항 중 개인정보취급자의 역할 및 책임에 관한 사항
- 제4조제1항제4호 개인정보취급자에 대한 관리ㆍ감독 및 교육에 관한 사항
- 제4조제1항제5호 접근 권한의 관리에 관한 사항
- 제4조제1항제6호 접근 통제에 관한 사항
- 제4조제1항제8호 접속기록 보관 및 점검에 관한 사항
- 제16조 공공시스템운영기관의 접근 권한의 관리
- 제17조 공공시스템운영기관의 접속기록의 보관 및 점검
|
※ “접속기록“이란 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 개인정보취급자 등의 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다.
※ “위험도 분석“이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별ㆍ평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위를 말하는 것으로, 개인정보의 안전성 확보조치 기준 제7조(개인정보의 암호화)제3항에 따라 이용자가 아닌 정보주체의 고유식별정보(주민등록번호 제외)를 내부망에 저장하는 경우 암호화 미적용시 위험도 분석에 따른 결과에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다.
※ 개인정보의 안전성 확보조치 기준 제8조(접속기록의 보관 및 점검)
② 개인정보처리자는 (개인정보처리시스템으로부터) 개인정보의 다운로드가 확인된 경우에는 내부 관리계획 등으로 정하는 바에 따라 그 사유를 반드시 확인하여야 한다.
