교육운영순서

Size: px

Start display at page:

Download "교육운영순서"

희령 구
5 years ago
Views:

2 교육운영순서

3 Warming Up 개인정보처리자개인정보보호자가진단 ( 법률준수 ) 구분질문항목예아니오해당없음 개인정보의 수집및이용 개인정보의 제공 위탁 개인정보수집시정보주체들에게동의를받고계십니까? 개인정보수집시기본정보 ( 필수정보 ) 와추가정보 ( 선택정보 ) 를구분하 고계십니까? 개인과관련된민감한정보 (ex: 유전, 범죄사실 ) 를수집하고계십니까? 정보주체의고유식별정보 ( 주민번호, 여권번호, 운전면허번호, 외국인 등록번호등 ) 를수집하고계십니까? 정보주체의주민번호이외의대체수단 ( 공인인증서, i-pin 등 ) 을이용 하여본인확인을하고계십니까? 수집된개인정보를동의받은수집 / 이용목적이외로이용하고계십 니까? 수집된개인정보를제 3 자 ( 다른사업자 ) 에게제공하고있습니까? 제 3 자에게제공할경우이에대해정보주체에게고지및동의를받고 있습니까? 개인정보관리및처리시스템을위탁하고계십니까? 개인정보관리및처리시스템위탁시이에대해해당사실에대하여 정보주체가확인하기쉽도록공개하고있습니까? 개인정보관리및처리시스템위탁시위탁업체와의계약사항에안전 조치의무사항을계약서에포함하여계약하고있습니까?

4 Warming Up 개인정보처리자개인정보보호자가진단 ( 법률준수 ) 구분질문항목예아니오해당없음 개인정보의 관리및파기 개인정보주체의 권리보장 개인정보보호를위해개인정보보호책임자를지정하고있습니까? 개인정보수집, 이용 제공, 파기등의내용이담긴개인정보처리방침 을작성해정보주체가쉽게확인할수있도록공개하고있습니까? 개인정보취급시에개인정보의분실 누출 변조 훼손을방지하기 위한기술적 관리적. 물리적보호조치를취하고있습니까? 개인정보보호를위해별도의개인정보보호내부관리계획을수립해 이행하고있습니까? 내부관리계획에준하는개인정보보호관리기준을보유하고있습니까? 수집된개인정보를파기하는시점이별도의절차를통해이뤄지고있 습니까? 사내에 CCTV 를설치운영하고계십니까? CCTV 설치시정보주체가쉽게인식할수있도록안내판을설치하고 계십니까? CCTV 설치및운영시개인정보가분실. 도난. 유출. 변조또는훼손되지 않도록안전성확보조치를하고계십니까? 정보주체의권리를보장하기위해열람요청, 정정요청, 삭제요청, 처리중지요청등의절차를갖추고계십니까? 만 14 세미만아동의개인정보수집시이에대한법정대리인의 동의를받고계십니까? 개인정보유출시정보주체에게알리는절차가마련돼있습니까?

5 Warming Up 개인정보처리자개인정보보호자가진단 ( 보호조치 ) 구분안전조치자가진단항목 ( 관리적 / 기술적 / 물리적안전조치 ) 예아니오 개인정보보호내부관리계획의수립 / 시행개인정보보호책임자의무와책임의명시개인정보보호교육정기적자체감사실시 개인정보보호를위한내부관리계획을수립하여시행하고있습니까? 내부관리계획외의개인정보보호를위한정보보호규정 ( 정책, 지침등의보안규정 ) 을수립하여시행하고있습니까 ( 그밖에개인정보보호관련기타별도의계획자료 ( 문서등 ) 가있습니까? 개인정보관리책임자의의무와책임이명시된규정 / 관리계획등의문서가있습니까? 개인정보보호교육관련사항이내부관리계획또는관련지침이나정책으로수립되어있습니까? 개인정보보호관련교육계획을수립하여이행하고있습니까? 개인정보보호관련교육시행시개인정보취급업무를담당하는내부임직원및계약직지원, 그리고제3자등을포함하고있습니까? 교육시행후시행결과를평가하여그결과를반영하는절차를수립하고이행하고있습니까? 개인정보보호조치이행여부에대한자체정기점검을년 1회이상실시하고있습니까? 정기적인자체감사를실시하는경우관련법률및회사의개인정보보호관련규정 ( 정책, 지침, 내부관리계획등 ) 의준수감사이외에기술적 / 관리적 / 물리적안전조치에대한감사를실시하고있습니까?

6 Warming Up 개인정보처리자개인정보보호자가진단 ( 보호조치 ) 구분 안전조치자가진단항목 ( 관리적 / 기술적 / 물리적안전조치 ) 예 아니오 개인정보처리시스템에접근하는권한은 ( 관리자 / 사용자권한 ) 담당자에따라다르게부여하고있습니까? 개인정보처리시스템의접근권한부여내역 ( 권한부여 / 변경 / 말소 ) 은별도로기록하여보관하고있습니까?( 최소 5년이상보관의무 ) 접근권한, 인증 / 식별 및계정관리 퇴직, 전보등으로접근권한이변경되는경우즉시변경사항을적용하고, 접근권한에대한주기적인점검을시행하고있습니까? 개인정보시스템 ( 홈페이지, DB 등 ) 의사용자계정은사용자별로유일한 ID를사용하고있습니까? 개인정보를이용 / 처리하는시스템에공통계정 (ID 공유 ) 을사용하지않도록하고있습니까? 개인정보처리시스템과관련하여비밀번호작성규칙을수립하여적용 / 운용하고있습니까? 비밀번호는반기별 1 회이상 (6 개월 ) 변경하여사용하고있습니까? 접속기록의 위 변조방지 개인정보업무담당자들이개인정보처리시스템을사용한접속기록은별도로기록되고있습니까?( 로그인시간, ID, 개인정보생성 / 조회 / 삭제 / 수정등의사용기록포함 ) 개인정보접속기록은별도의저장매체 (Tape, CD, 백업용USB 등 ) 에별도백업을수행하고있습니까? 개인정보접속기록은최소 6개월이상보존 / 관리하고있습니까?

7 Warming Up 개인정보처리자개인정보보호자가진단 ( 보호조치 ) 구분안전조치자가진단항목 ( 관리적 / 기술적 / 물리적안전조치 ) 예아니오 침입차단시스템 (Firewall) 을적용하고있습니까? 접근통제 개인정보의 암호화 침입탐지시스템 (IDS, IPS) 을적용하고있습니까? 가상사설망시스템 (VPN) 을적용하고있습니까? 상용보안운영체제 (SecureOS) 또는공개용방화벽 (IP Filter 등 ) 을사용하고있습니까? 기타문서보안 (DRM), 웹방화벽, PC방화벽, 정보유출방지등의보안솔루션을사용하고있습니까? 업무용컴퓨터에 PC 방화벽등의보안도구를적용하고있습니까? 업무용 / 개인용컴퓨터에백신프로그램을설치하고있습니까? 수집하여이용하는개인정보중주민등록번호, 신용카드번호, 계좌번호는암호화하여저장하고있습니까? 직원이사용하는비밀번호는일방향암호화 ( 해쉬함수 ) 하여저장하고있습니까? 인터넷으로개인정보가전송되는경우 (EX, 회원가입화면 / 로그인화면 / 금융거래화면 ) 보안서버등의송수신암호화를적용하고있습니까? 중요개인정보를개인용 / 업무용컴퓨터에저장할때암호화방법을적용하고있습니까?(DRM 등의암호화솔루션또는 Word, Excel, HWP 등에서제공하는옵션을사용해암호화저장 )

8 Warming Up 개인정보처리자개인정보보호자가진단 ( 보호조치 ) 구분안전조치자가진단항목 ( 관리적 / 기술적 / 물리적안전조치 ) 예아니오 보안프로그램의설치및운영출력 / 복사시보호조치물리적접근제한 업무용 / 개인용컴퓨터에자동업데이트기능을적용하고있습니까?( 일 1회이상업데이트확인 ) KISA 또는백신제작업체에서긴급공지가있는경우백신소프트웨어 / 패치등을적용하고있습니까? 개인정보를종이에출력또는복사하는경우담당책임자 ( 개인정보관리책임자등 ) 의승인을받고있습니까? 개인정보를종이에출력또는복사시관련내용을대장으로기록하여관리하고있습니까? 개인정보처리시스템 ( 홈페이지, DB) 을위한별도의전산실 ( 서버실 / 통신실등 ) 이있습니까? 전산실에지문인식 / 카드방식등의출입통제장치가적용되어있습니까? 비인가자의물리적접근을제한하기위한출입통제지침 / 절차가수립되어있습니까? 전산실 ( 개인정보처리시스템 ) 의출입내역 ( 전산실출입기록등 ) 을기록하여보관하고있습니까? 개인정보가기록된저장매체 (CD, USB 등 ) 는잠금장치가있는안전한장소에보관하고있습니까?

11 1. 내부관리계획의개요 개인정보보호담당자의고민 무엇을개인정보라고하지? 누가개인정보보호를책임져야할까? 우리회사는어떤개인정보를어떻게수집하고있지? 개인정보취급자에게어떤지침을내려야하지? 개인정보를제공 ( 위탁 ) 할때는어떻게해야하지? 사내직원들에게어떻게개인정보보호교육을시키지? 정보주체의권익을최대한보호하고싶은데 우리회사는법을잘지키고있는것일까? DB 서버는내외부해킹에안전한걸까? 유출사고가발생하면어떻게해야하지?

12 1. 내부관리계획의개요 내부관리계획이란 개인정보처리자 ( 기업, 기관, 단체등 ) 가수집한정보주체 ( 고객등 ) 의개인정보를안전하게보호하기위한내부규정 - 개인정보의정의및보호범위 - 개인정보보호담당자, 개인정보보호책임자의역할 - 개인정보취급자의업무규정 - 개인정보보호를위한관리적, 기술적, 물리적조치등을포함 내부관리계획 à 개인정보처리및보호를위한업무기준

13 1. 내부관리계획의개요 내부관리계획의법적근거 < 개인정보보호법 > 제 29 조 ( 안전조치의무 ) 개인정보처리자는개인정보가분실 도난 유출 변조또는훼손되지아니하도록내부관리계획수립, 접속기록보관등대통령령으로정하는바에따라안전성확보에필요한기술적 관리적및물리적조치를하여야한다. < 정보통신망법 > 제 28 조 ( 개인정보의보호조치 ) 1 정보통신서비스제공자등이개인정보를취급할때에는개인정보의분실 도난 누출 변조또는훼손을방지하기위하여대통령령으로정하는기준에따라다음각호의기술적 관리적조치를하여야한다. 1. 개인정보를안전하게취급하기위한내부관리계획의수립 시행

14 1. 내부관리계획의개요 내부관리계획의필요성 개인정보보호기준수립및활동방향제시 정보주체 ( 소비자 ) 의권익보호 개인정보취급자의개인정보관련업무처리기준 개인정보보호관련컴플라이언스 (Compliance) 충족 미이행시 3 천만원이하과태료 개인정보보호법 : 안전성확보에필요한조치의무불이행 ( 제 24 조, 제 25 조, 제 29 조 ) 정보통신망법 : 기술적, 관리적보호조치미이행 ( 제 28 조제 1 항제 1 호, 제 6 호 )

15 1. 내부관리계획의개요 내부관리계획의포지셔닝 개인정보안전관리 안전조치의무개인정보처리방침개인정보유출통지 개인정보보호조직구성 내부관리계획수립 개인정보처리기준및보호방침등에관한내부방침공개 개인정보유출사고발생시정보주체통지 담당자및책임자지정 관리적 기술적 물리적안전조치방안 개인정보처리투명성및관행개선 유출사고원인분석, 기술지원의뢰및복구, 직원징계, 사법조치의뢰, 방지대책수립 내부관리계획수립 시행, 실태점검 감독, 민원처리, 인식제고교육

17 2. 내부관리계획수립전고려사항 내부관리계획의작성기준 기업업무환경 < 개인정보보호관련법률 > 개인정보보호법정보통신망법 < 관련법률 > 시행령, 시행규칙 가이드 ( 해설서 ) 표준지침 개인정보보호정책 개인정보처리방침 내부관리계획

18 2. 내부관리계획수립전고려사항 내부관리계획의주요구성요소 개인정보수집ㆍ이용ㆍ제공ㆍ파기등의개인정보처리기준 고유식별정보및민감정보등의개인정보처리제한기준 내부관리계획구성 기술적, 관리적, 물리적조치등개인정보관리기준 개인정보열람권, 유출통지, 침해신고등의정보주체권리보장

19 2. 내부관리계획수립전고려사항 내부관리계획의구성예시 제 1 장총칙 제 1 조목적제 2 조적용범위제 3 조용어정의 제 2 장내부관리계획의수립및시행 제 4 조내부관리계획의수립및승인제 5 조내부관리계획의공표 제 3 장개인정보보호책임자의의무와책임 제 6 조보호책임자의지정제 7 조보호책임자의의무와책임제 8 조취급자의범위및의무와책임 제 4 장개인정보의기술적 관리적 물리적조치 제 9 조취급자접근권한관리및접근제어제 10 조접근통제제 11 조개인정보의암호화제 12 조접근기록의위변조방지제 13 조보안프로그램의설치및운영제 14 조물리적접근제한제 15 조출력복사시보호조치제 16 조영상정보처리기기의설치및운영관리 제 5 장개인정보보호교육 제 17 조개인정보보호교육계획의수립제 18 조개인정보보호교육의실시 제 6 장정기적인자체감사 제 19 조자체감사주기및절차제 20 조자체감사결과반영

20 2. 내부관리계획수립전고려사항 내부관리계획수립및운영 사전조사 기획 개인정보흐름파악, 개인정보처리방침현황, 정보자산현황, 개인정보취급자업무현황, 관련법률및의무조항검토 내부관리계획구성안 ( 항목 ) 수립및보호조치기준마련 내부관리계획작성 조직내부구성원을위한내부관리계획수립 내부관리계획승인및선언 CPO 또는경영진을통한내부관리계획승인및선포 사내적용및가이드 ( 교육 ) 사내개인정보보호규정준수를위한가이드제시 내외부정기감사 사내적용된내부관리계획의선언후이에대한정기적인감사 개정및재승인 개인정보보호강화를위한내부관리계획의정기적인개정및경영진의재승인

21 < 본교육에서사용되는모든양식및내용은내부관리계획의일부를샘플화한것으로각기업에서이를활용할경우반드시재가공해사용하시기바랍니다.>

22 3. 개인정보흐름분석 개인정보보호조직분석 개인정보보호책임자지정 개인정보취급자관리

23 3. 개인정보흐름분석 개인정보보호책임자지정및직무규정분석 개인정보보호책임자와직급 ( 임원 ) 지정필요성 개인정보보호책임자의의무와권한규정 1. 직무개요 직무명개인정보보호책임자직무코드 MC-AD 직종민원상담 / 법무수행직급임원 2. 직무수행요건 구분내용비고 일반 경력 3. 세부직무내용 - 개인정보보호계획, 방침및관련지침의수립 시행 - 정보주체의열람청구등민원및개인정보침해신고접수 처리 - 개인정보처리실태의점검및감독 - 각종개인정보보호관련통계및자료의취합 - 개인정보보호관련요건준수여부의점검등 민원처리또는개인정보보호유관경력 5 년이상 직무내용처리절차및방법수행주기 보호대책검토개인정보보호대책수립및검토년 1 회 관리체계검토개인정보보호조직체계검토년 1 회 보호대책주관관리기관개인정보보호대책수립의적정성및이행여부확인반기 1 회

24 3. 개인정보흐름분석 정보시스템자산현황분석 개인정보가저장된처리시스템 ( 파일서버, 웹서버등 ) 현황파악 정보자산관리부서및관리자현황파악 자산기초정보 관리및이용주체 자산 관리번호 자산명 유형별 분류 자산위치 ( 공간 ) 자산위치 ( 저장소 ) 자산 소유부서 관리자담당자사용자 웹회원 정보 DB IDC 4 층 maindb 인터넷 사업팀 김 OO 최 OO 서 OO 서비스 로그 파일 IDC 1 층 Backup1 서비스 운영팀 이 OO 강 OO 안 OO 인사 데이터 파일본사 7 층 kim09 인사 총무팀 박 OO 백 OO 권 OO

25 3. 개인정보흐름분석 개인정보흐름현황분석 개인정보수집또는획득경로파악 개인정보수집방법에대한관리및소유부서와담당자지정현황 자산기초정보관리및이용주체관리기준정보획득경로 자산관리번호 자산명유형별분류 자산위치 ( 공간 ) 자산위치 ( 저장소 ) 자산소유부서 관리자담당자사용자목적등록폐기 1 차 획득수단 웹회원정보 DB IDC 4층 main DB 인터넷팀김 OO 최 OO 서 OO 사용자식별 동의철회시 정보주체 회원가입 서비스로그 파일 IDC 1 층 Back Up1 운영팀이 OO 강 OO 안 OO 이용증적 법률이정하는기간이후 자동생성 서비스이용시자동생성 인사데이터 파일본사 7 층 kim 09 임직원인사총무팀박OO 백OO 권OO 인사관리 임직원퇴사후 1 년 정보주체 ( 임직원 ) 수기작성

26 3. 개인정보흐름분석 개인정보취급자분류 개인정보취급자분류및관련업무현황분석 개인정보접근권한범위및접근데이터현황분석 번호소속 ( 부서 ) 사용자명사용자 IP 개인정보관련업무현황개인정보접근권한내용변경사항변경사유 1 민원서비스나담당 서비스이용자를식별할서비스이용시발생하는수있는사용자일반정보민원에대한처리페이지및결제정보페이지 없음 없음 2 IT 서비스팀서장애 카페와 SNS서비스등의게시판의개인정보침해와카페와 SNS서비스및게관련된정보삭제시판운영 운영장애해결을위한시스템접근 없음 없음 3 제휴마케팅팀마대행 이벤트등을통해제3자회원대상의마케팅대행동의를획득한고객에한하서비스를수행여대외마케팅에활용 없음 없음

27 3. 개인정보흐름분석 정보시스템접근기록대장 시스템접근권한및사용목적분류 ( 처리중지 ) 사용목적별 DB 접근현황및접근제어현황 시스템 : [ Malibu ] 의접근기록 번호 자료종류 주요항목사용목적접근발생일시 접근중지일시 처리담당자처리부서장 필수 : 성명, 아이디, 닉네임, 주소, 휴대전화번호 1 결제 정보 선택 : (1) 신용카드결제시 : 카드사명, 카드번호등 (2) 휴대전화결제시 : 이동전화번호, 가입통신사, 결제승인번호등 (4) 상품권이용시 : 상품권번호 사용자결제정보확인요청및정산 : :37.32 나담당 김보안 2 3 로그인 정보 다운로드 정보 성명, 아이디, 닉네임, 주소, 휴대전화번호, IP Address, 쿠키, 서비스이용기록, 접속로그 성명, 아이디, 닉네임, 주소, 휴대전화번호, IP Address, 쿠키, 서비스이용기록, 접속로그 이용자명의도용확인 서비스장애발생으로인한사용자이용확인 : : : :32.21 나담당 나담당 김보안 김보안

28 3. 개인정보흐름분석 개인정보이용 제공관리대장 내부 ( 타부서 ) 또는외부 ( 위탁, 제3자제공 ) 의개인정보제공현황및유형분석 개인정보제공부서및담당자현황파악 정보명 이용ㆍ제공받는기관 ( 업체 ) 사용자퍼미션콜파일 ( 주 )OO 회사 이용ㆍ제공일자 이용ㆍ제공주기분기 1 회 이용ㆍ제공형태암호화된엑셀파일이용ㆍ제공기간 ~ 이용ㆍ제공목적 이용ㆍ제공근거 이용ㆍ제공항목 서비스제공, 고객편의제공등원활한업무수행외부전문업체에위탁하여운영이용자동의이름, 휴대전화번호 비고

29 3. 개인정보흐름분석 입출력관리대장 개인정보파기절차대장 시스템상의데이터접근이외의오프라인인쇄현황 개인정보추출및의뢰 개인정보폐기 추출 ( 의뢰 ) 일자 이용시스템 ( 의뢰부서 ) 개인정보수목적일련번호추출방법 발송 ( 수령 ) 일자 추출 ( 수령 / 발송 ) 확인 개인정보관리책임자확인 폐기일자 개인정보보호책임자또는입회자확인 제휴마케팅팀 8 만건 회원중수도권거주여성대상이벤트 DB 관리자직접쿼리 O O O 제휴마케팅팀 164 건 12 월신규회원타겟마케팅 처리시스템을통한다운로드 O O O

30 3. 개인정보흐름분석 침해사고처리대장 침해사고발생시신고및후속조치현황 처리유형별내부규정 ( 벌칙규정 ) 현황 ( 내외부감사기준 ) 접수 일시 신고자유형 :33 직원 :36 고객 :15 직원 신고개요등급처리유형종결일자처리내용비고 개인정보취급자 PC 내에암호화되지않은고객개인정보가보관되고있음 개인정보정정요청이들어왔으나시일이지나도록개인정보정정이이뤄지지않음 개인정보취급자 PC 의사용자부주의로인한악성코드감염으로인하여취급자계정및암호가유출됨 2 징계위원회회부 견책 1 사실확인중 징계위원회회부 감봉 접수일시는신고접수일시를기록 신고자유형은직원 / 고객으로구분 신고개요는신고내용을기록 등급은 1/ 2/ 3 등급으로구분 처리유형은사실확인중 / 상담및자료제공 / 타기관이송 / 위법성통보 / 수사의뢰 / 법위반확인불가 / 기타로구분 종결일자는개인정보침해사고처리보고서접수일을기준으로기록 처리내용은처분유형을사법처리 ( 징역, 벌금, 추징, 재판계류중, 수사중 )/ 징계처분로구분

31 3. 개인정보흐름분석 내부감사결과보고서 ( 점검항목 ) 침해사고발생시신고및후속조치현황 처리유형별내부규정 ( 벌칙규정 ) 현황 ( 내외부감사기준 ) 기준감사분야감사기준방법대상자 / 장소 내부기준 전사개인정보보호정책 전사개인정보보호아키텍처 개인정보취급서비스전사조직운영지침및절차 전사문서보안지침 - 점검항목의명기화 - 점검의주기적 / 수시실시 - 점검된자료의작성및보관 N 점검항목불이행 Y 점검항목만족 - 점검항목의명기화 - 점검의주기적 / 수시실시 - 점검된자료의작성및보관 N 점검항목불이행 Y 점검항목만족 - 점검항목의명기화 - 점검의주기적 / 수시실시 - 점검된자료의작성및보관 N 점검항목불이행 Y 점검항목만족 - 점검항목의명기화 - 점검의주기적 / 수시실시 - 점검된자료의작성및보관 N 점검항목불이행 Y 점검항목만족 산출물점검담당자인터뷰 산출물점검 대상자인터뷰 산출물점검실사 나담당 개인정보처리시스템실 (PIlab) 나담당 개인정보처리시스템실 (PIlab)

32 3. 개인정보흐름분석 내부감사결과보고서 ( 점검결과 ) 내부감사결과보고서 (% 는전체감사항목기준 ) 이행항목수와불이행항목수를구분해감사후개인정보보호수준향상분야도출 개인정보처리시스템실운영 분야 이행항목수 불이행항목수 이행율 보안관리지침 % 출입통제지침 % 네트워크보안지침 % 서버보안지침 % 개인정보처리시스템보안지침 % 합계 %

33 < 본교육에서사용되는모든양식및내용은내부관리계획의일부를샘플화한것으로각기업에서이를활용할경우반드시재가공해사용하시기바랍니다.>

34 4. 내부관리계획의실제 결제 부서장책임자대표이사 개인정보보호내부관리계획 제 개정이력 순번제 개정일변경내용발간팀연락처 ( 주 ) **** 작성자 : 개인정보보호팀 신규제정개인정보보호팀

35 4. 내부관리계획의실제 내부관리계획의승인및검토 < 내부관리계획의타당성검토및승인 > 1 개인정보보호담당자는개인정보보호관련법령의제 개정사항등을반영하기위하여매년 11 월말까지내부관리계획의타당성을검토하여야한다. 2 개인정보보호담당자는전항의타당성검토에따라내부관리계획을개정할필요가있다고판단되는경우 12 월말까지내부관리계획의개정안을작성하여개인정보보호책임자에게보고하고개인정보보호책임자의승인을받아야한다. < 내부관리계획의공표 > 1 개인정보보호책임자는전조에따라승인한내부관리계획을매년 1 월말까지회사전임직원에게공표한다. < 열람및공지 > 1 본계획은사내에비치하여임직원이언제든지열람할수있도록하여야하며, 변경사항이있는경우에는이를공지하여야한다.

36 4. 내부관리계획의실제 개인정보관리책임자지정 1 개인정보처리자는정보주체의개인정보를보호하고개인정보와관련한정보주체의불만을처리하기위하여다음각호의업무를수행하는개인정보보호책임자를지정하여야한다. 1. 정보주체개인정보의수집 이용 제공및관리에관한업무의총괄 2. 개인정보처리자의소속직원에의한위법 부당한개인정보침해행위에대한점검 3. 정보주체로부터제기되는개인정보에관한불만이나의견의처리및감독 4. 임직원, 개인정보취급자에대한교육등인식제고 5. 기타정보주체의개인정보보호에필요한사항 2 개인정보보호책임자는개인정보처리자의임원또는개인정보와관련하여정보주체의고충처리를담당하는부서의장의지위에있는자또는개인정보취급부서의장이어야한다. 3 개인정보보호책임자는개인정보관리에대하여개인정보관리자를지정하여관리할수있다. Check Point Customizing ü 책임자를임원으로지정하는이유 ü 책임자의역할및의무규정 개인정보보호법제 28 조 ( 개인정보보호책임자의지정 ) 등참고

37 4. 내부관리계획의실제 Customizing

38 4. 내부관리계획의실제 개인정보의수집 1 개인정보처리자가정보주체로부터개인정보를수집하는경우에는정보주체의동의를얻어야한다. 정보주체의개인정보를수집하는경우는다음과같다. 1. 온라인홈페이지의회원양식을통한정보수집 2. 멥버십회원가입양식 ( 종이 ) 을통한정보수집 3. 교육또는세미나참석자에대한방명록을통한정보수집 2 제 1 항의규정에의한동의는서면또는홈페이지상의동의란에대한표시등의방법에의한다. Check Point Customizing ü 개인정보수집경로를모두알고있는가? 개인정보보호법제 15 조 ( 개인정보의수집및이용 ) 등참고

39 4. 내부관리계획의실제 Customizing

40 4. 내부관리계획의실제 개인정보의수집 ( 수집제한 ) 1 2 기본적인인권에관한민감한개인정보를수집하는것을금지한다. 다만, 정보주체의자발적 명시적동의또는수집대상개인정보가명시되어있는법률에근거한경우에는수집을허용한다. 개인정보처리자는정보주체의개인정보를수집하는경우, 적법하고공정한수단에의하여서비스제공에직접적으로관련되어필요한성명, 연락처, 주소등최소한의정보를수집하여야한다. Check Point Customizing ü 정보주체의사생활등권익을침해할정보를수집하고있는가? 개인정보보호법제 16 조 ( 개인정보수집제한 ) 등참고

41 4. 내부관리계획의실제 Customizing

42 4. 내부관리계획의실제 개인정보의수집에대한고지 1 개인정보처리자는정보주체로부터제 5 조제 1 항의규정에의한동의를받고자하는경우에는미리다음각호의사항을서면또는인터넷홈페이지등을통하여내용을쉽게확인할수있도록정보주체에게고지하거나서비스이용약관에명시하여야한다. 1. 개인정보보호책임자의성명 소속부서 지위 전화번호 전자우편주소, 기타연락처 2. 개인정보의구체적인수집목적및이용목적 3. 동의철회, 열람또는정정요구등정보주체및법정대리인의권리와그행사방법 4. 개인정보처리자가수집하고자하는개인정보항목 5. 수집하는개인정보의보유 이용기간및법적근거등보유근거 6. 기타개인정보에대한가공또는관리방식 Check Point Customizing ü 개인정보수집의모든경로에서정보주체에게고지하고있는가? ü 개인정보수집목적등이적법하게정보주체에게고지되고있는가? 개인정보보호법제 22 조 ( 동의받는방법 ), 제 30 조 ( 개인정보처리방침의수립및공개 ) 등참고

43 4. 내부관리계획의실제 Customizing

44 4. 내부관리계획의실제 개인정보의이용및제공의제한 1 개인정보처리자는개인정보를제 6 조의규정에의한고지의범위또는서비스이용약관에명시한범위를넘어이용하거나제 3 자에게제공하여서는아니된다. 다만, 정보주체의동의가있거나다음각호의 1 에해당하는경우에는예외로한다. 1. 서비스제공에따른요금정산을위하여필요한경우 2. 통계작성 학술연구또는시장조사를위하여필요한경우 3. 금융실명거래및비밀보장에관한법률, 신용정보의이용및보호에관한법률, 전기통신기본법, 전기통신사업법, 지방세법, 소비자보호법, 형사소송법등법률에특별한규정이있는경우 2 3 개인정보처리자로부터정보주체의개인정보를제공받은자는정보주체의동의가있거나법률에특별한규정이있는경우를제외하고는개인정보를제공받은목적외의용도로이용하거나제 3 자에게제공하여서는아니된다. 개인정보처리자 ( 개인정보처리자와그로부터정보주체의개인정보를제공받은자를말함 ) 는제 1 항및제 2 항의규정에의한정보주체의동의를얻고자하는때에는미리정보주체에게개별적으로서면, 전자우편, 전화등으로다음각호의사항을고지하여야한다. Check Point ü 개인정보수집의모든경로에서정보주체에게고지하고있는가? Customizing ü 개인정보수집목적등이적법하게정보주체에게고지되고있는가? 개인정보보호법제 18 조 ( 개인정보의이용, 제공제한 ) 등참고

45 4. 내부관리계획의실제 Customizing

46 4. 내부관리계획의실제 개인정보취급자의제한 1 개인정보처리자는정보주체의개인정보를취급할수있는자를다음각호의 1 에해당하는자로정하여최소한으로제한하여야한다. 1. 정보주체를직접상대로하여마케팅업무를수행하는자 2. 개인정보보호책임자등개인정보관리업무를수행하는자 3. 데이터베이스를포함한전산관련업무를수행하는자 4. 기타업무상개인정보의취급이불가피한자 Check Point Customizing ü 개인정보취급자를엄격히구분하고있는가? ü 개인정보취급자의감독및감사규정은마련되어있는가? 개인정보보호법제 28 조 ( 개인정보취급자에대한감독 ) 등참고

47 4. 내부관리계획의실제 Customizing

48 4. 내부관리계획의실제 개인정보취급자서약서 ( 주 ) ( 이하 회사 ) 의개인정보취급자는본서약서가근무기간뿐아니라퇴직후에도적용될수있음을인식하고숙독하신후서명하여주시기바랍니다. 1. 나는회사로부터취득한모든개인정보를업무에한해이용할것이며, 타기업의보호대상정보를회사내보관치않겠다. 2. 나는상대가누구이건간에 ( 회사직원, 고객혹은계약직사원등 ) 알필요가없는자에게직무상알게된회사혹은제 3 자의개인정보를누설하지않을것이다. 3. 나는명백히허가받지않은정보나시설에접근하지않으며, 회사관련업무를수행할때에는사내에서지정된데이터처리시설및설비만을이용할것이다. 4. 나는업무와관련한개인정보의수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기및그밖에이와유사한일체의행위에대하여회사의규정과통제절차를준수할것이다.. 5. 나는나에게할당된사용자 ID, 패스워드, 출입증, 개인정보처리시스템을타인과공동사용하거나관련정보를누설하지않겠다. 6. 나는회사로부터제공받은개인정보자산 ( 서류, 사진, 영상, 전자파일, 저장매체등 ) 을무단변조, 복사, 훼손, 분실등으로부터안전하게관리하겠으며승인받지않은프로그램, 정보저장매체 ( 외장 Drive, CD ROM, 외장 HDD 등 ) 을회사내에서사용하지않겠다. 7. 나는퇴직시회사에서제공받은회사소유모든정보자산을반드시반납할것이며, 퇴직후에도퇴직전의모든고객정보는물론이고영업비밀등기타누설됨으로인하여회사에손해가될수있는각종정보에대하여는일체누설하지않겠다. 상기사항을숙지하고이를성실히준수할것을동의하며서약서의보안사항을위반하였을경우에는 개인정보보호법률, 정보통신망이용촉진및정보보호등에관한법률, 부정경쟁방지및영업비밀보호에관한법률 등관련법령에의한민 / 형사상의책임이외에도, 회사의사규나관련규정에따른징계조치등어떠한불이익도감수할것이며회사에끼친손해에대해지체없이변상 / 복구할것을서약합니다 년 00 월 00 일 소속 : 민원서비스팀사번 : 직위 : 과장성명 : 나담당 ( 인 )

49 4. 내부관리계획의실제 개인정보처리의위탁 1 개인정보처리자는타인에게개인정보의수집 취급 관리등을위탁하는경우에는서면, 전자우편, 전화또는홈페이지를통하여미리그사실을정보주체에게고지하여야한다 개인정보처리자는제 1 항의규정에의한위탁계약을체결하는때에는수탁자와다음각호의사항을합의하여서면또는전자적기록으로보존하여야한다. 1. 기술적 관리적보호의무 2. 개인정보에관한비밀유지의무 3. 처리하는개인정보의제 3 자제공금지 4. 내부규정에의한손해배상책임 5. 기타개인정보를안전하게처리하기위하여필요한사항 개인정보처리자는위탁처리되는개인정보가안전하게관리될수있도록수탁자가제 2 항각호의내용을성실하게이행하는지여부에대하여위탁한업무의범위내에서적절한감독을행하여야한다. 제 1 항의규정에의하여개인정보의수집을위탁받은자가개인정보를수집하는때에는미리위탁받은사실을정보주체에게고지하여야한다. 제 1 항의규정에의하여개인정보수집 취급 관리등을위탁받은자는개인정보를위탁받은목적외의용도로이를이용하거나제 3 자에게제공하여서는아니된다.

50 4. 내부관리계획의실제 개인정보처리의위탁 Check Point Customizing ü 제 3 자제공과위탁이올바르게구분되어있는가? ü 위탁자에대한감독이적절하게이뤄지고있는가? 개인정보보호법제 26 조 ( 업무위탁에따른개인정보의처리제한 ) 등참고

51 4. 내부관리계획의실제 Customizing

52 4. 내부관리계획의실제 개인정보위탁사업자서약서 본인은 ( 주 ) ( 이하 회사 ) 의협력사 ( 외주용역, 프리랜서, 파트타이머등 ) 직원으로개인정보취급자로써, 금번 사업 ( 용역, 프로젝트등 ) 을수행함에있어, 본서약서가근무기간뿐아니라퇴직후에도적용될수있음을인식하고있으며회사규정을준수하고업무와관련하여지득한모든사항에대하여일체누설하지않을것이며, 이로인한문제발생시법적책임을다할것임을서약합니다. 1. 나는회사로부터취득한모든개인정보를위탁업무에한해이용할것이며, 타기업의보호대상정보를회사내보관치않겠다. 2. 나는상대가누구이건간에알필요가없는자에게직무상알게된회사혹은제 3 자의개인정보를누설하지않을것이다. 3. 나는명백히허가받지않은정보나시설에접근하지않으며, 회사관련업무를수행할때에는사내에서지정되고허가된데이터처리시설및설비만을이용할것이다. 4. 나는업무와관련한개인정보의수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기및그밖에이와유사한일체의행위에대하여회사의규정과통제절차를준수할것이다.. 5. 나는나에게할당된사용자 ID, 패스워드, 출입증, 개인정보처리시스템을타인과공동사용하거나관련정보를누설하지않겠다. 6. 나는회사로부터제공받은개인정보자산 ( 서류, 사진, 영상, 전자파일, 저장매체등 ) 을무단변조, 복사, 훼손, 분실등으로부터안전하게관리하겠으며승인받지않은프로그램, 정보저장매체를회사내에서사용하지않겠다. 7. 나는퇴직시회사에서제공받은회사소유모든정보자산을반드시반납할것이며, 퇴직후에도퇴직전의모든고객정보는물론이고영업비밀등기타누설됨으로인하여회사에손해가될수있는각종정보에대하여는일체누설하지않겠다. 상기사항을숙지하고이를성실히준수할것을동의하며서약서의보안사항을위반하였을경우에는 개인정보보호법률, 정보통신망이용촉진및정보보호등에관한법률, 부정경쟁방지및영업비밀보호에관한법률 등관련법령에의한민 / 형사상의책임이외에도, 회사의사규나관련규정에따른징계조치등어떠한불이익도감수할것이며회사에끼친손해에대해지체없이변상 / 복구할것을서약합니다 년 1 월 4 일 소속 : ( 회사명 / 팀명 ) 사번 : 직위 : 과장성명 : 나담당 ( 인 )

53 4. 내부관리계획의실제 기술적보호조치 1 개인정보처리자는컴퓨터를이용하여정보주체의개인정보를취급하는경우개인정보가분실, 도난, 누출, 변조또는훼손되지아니하도록안전성확보에필요한다음각호의기술적보호조치를강구하여야한다. 1. 백신프로그램의설치 운영등컴퓨터바이러스방지조치 2. 침입차단시스템등접근통제장치의설치 운영 3. 기타안전성확보를위하여필요한기술적조치 Check Point Customizing ü 직장내 PC 점검이적절하게이뤄지고있는가? ü 접근통제가적절한규정에의해이뤄지고있는가? ü 주요개인정보는암호화되어있는가? 개인정보보호법제 29 조 ( 안전조치의무 ) 등참고

54 4. 내부관리계획의실제 Customizing

55 4. 내부관리계획의실제 관리적보호조치 개인정보처리자는정보주체의개인정보에대한접근및관리에필요한절차등을마련하여소속직원으로하여금이를숙지하고준수하도록하여야한다. 개인정보처리자는컴퓨터를이용하여정보주체의개인정보를처리하는경우에는개인정보에대한접근권한을가진담당자를지정하여식별부호 (ID) 및비밀번호를부여하여야한다. 개인정보처리자는인터넷홈페이지를통하여회원가입등서비스이용계약체결또는서비스제공을위하여정보주체의신용카드번호, 은행결제계좌및사용내역등대금결제에관한정보를수집하거나정보주체에게제공하는경우식별부호 (ID) 및비밀번호확인등정보주체가본인을확인하기위하여필요한조치를하여야한다. Check Point Customizing ü 직장내 PC 점검이적절하게이뤄지고있는가? ü 접근통제가적절한규정에의해이뤄지고있는가? 개인정보보호법제 29 조 ( 안전조치의무 ) 등참고

56 4. 내부관리계획의실제 Customizing

57 4. 내부관리계획의실제 개인정보의파기 1 개인정보처리자는개인정보의수집목적또는제공받은목적을달성한때에는개인정보를지체없이파기하여야한다. 다만, 다음경우에는예외로한다. 1. 상법등법령의규정에의하여보존할필요성이있는경우 2. 제 6 조의규정에의하여보유기간을미리정보주체에게고지하거나명시한경우 3. 개별적으로정보주체의동의를받은경우 4. 개인정보보호책임자및대표이사의보존기간연장승인을득한경우 2 제 1 항의규정에의하여개인정보를파기하는때에는다음각호의방법에의한다. 1. 종이에출력된개인정보 : 분쇄기로분쇄하거나소각 2. 전자적파일형태로저장된개인정보 : 기록을재생할수없는기술적방법을사용하여삭제 Check Point Customizing ü 별도의파기대장을관리하고있는가? ü 파기에대한검증이이뤄지고있는가? 개인정보보호법제 21 조 ( 개인정보의파기 ) 등참고

58 4. 내부관리계획의실제 Customizing

59 4. 내부관리계획의실제 동의의철회 개인정보처리자는정보주체가방문하거나서면, 전화, 전자우편, 전자서명또는이용자 ID 등을이용하여개인정보의수집, 이용또는제공에대한동의를철회하는경우에는본인여부를확인하고법령에다르게규정하고있는경우를제외하고는본사개인정보를파기하는등지체없이필요한조치를취하여야한다. 인터넷홈페이지를통하여주된서비스를제공하는개인정보처리자는정보주체가인터넷홈페이지에서자신의개인정보에대한수집, 이용또는제공에대한동의를철회할수있도록필요한조치를취하여야한다. 개인정보처리자는제 1 항의규정에의하여정보주체의동의철회에따라본사정보주체의개인정보를파기하는등의조치를취한경우에는그사실을정보주체에게지체없이통지하여야한다. Check Point Customizing ü 정보주체를위한동의철회절차가마련되어있는가? ü 동의철회조치가간단하게이뤄질수있게되어있는가? 개인정보보호법제 38 조 ( 권리행사의방법및절차 ) 등참고

60 4. 내부관리계획의실제 열람및정정요구에대한조치 서비스제공자는정보주체가방문하거나서면, 전화, 전자우편, 전자서명또는이용자 ID 등을이용하여자신의개인정보에대한열람또는정정을요구하는경우에는본인여부를확인하고지체없이필요한조치를취하여야한다. 인터넷홈페이지를통하여주된서비스를제공하는개인정보처리자는정보주체가인터넷홈페이지에서자신의개인정보에대한열람또는정정을수행할수있도록필요한조치를취하여야한다. 개인정보처리자는제 1 항의규정에의하여정정조치를한경우에는그사실을지체없이당해정보주체에게통지하여야한다. 개인정보처리자는당해개인정보의전부또는일부에대하여열람또는정정을거절할정당한이유가있는경우에는정보주체에게지체없이통지하고그이유를설명하여야한다. Check Point Customizing ü 처리중지요구시별도저장되는가? ü 열람및정정처리요청이편리하게이뤄질수있는가? 개인정보보호법제 35 조 ( 개인정보의열람 ), 제 36 조 ( 개인정보의정정 삭제 ), 제 37 조 ( 개인정보의처리정지등 ) 등참고

61 4. 내부관리계획의실제 Customizing

개인정보처리방침_성동청소년수련관.hwp

개인정보처리방침_성동청소년수련관.hwp 서울시립성동청소년수련관 개인정보 처리방침 서울시립성동청소년수련관은 개인정보 보호법 제30조에 따라 정보주체의 개인정 보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리지침을 수립 공개합니다. 제1조(개인정보의 처리목적) 1 서울시립성동청소년수련관은 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고