정보보호컨설팅 제안서

Size: px

Start display at page:

Download "정보보호컨설팅 제안서"

희웅 신
5 years ago
Views:

1 개인정보보호를위한대응젂략 /11

2 Ⅰ 배경및필요성 Ⅱ 개인정보보호법에따른대응방안 1 /11

40,000 30,000 20,000 10,000 23,333 25,965

10 만명불법유출 특급호텔투숙객정보구글서무방비노출 0 2006 2007 2008

11 개인정보침해싞고상담건수 ( 출처 ) 방송통싞위원회 구분 06 07 08 09

네이트, 싸이월드 ) 3,500 만명회원정보유출 합계 23,333 25,965

개인정보무단이용제공 917 1,001 1,037 1,171 주민번호등의정보도용

3 1. 배경및필요성 > 1.1 배경 : 개인정보유출사례증가 개인정보유출사고가끊임없이발생하고있으며, 사법처리및비용발생, 대외신뢰도하락에영향을미치고있습니다. 개인정보침해민원건수 언론에보도된개인정보유출관련 NEWS 60,000 50,000 40,000 30,000 20,000 10,000 23,333 25,965 39,811 35,167 49,680 젂국초중고생 636 만명불법유출 국민연금공단 10 만명불법유출 특급호텔투숙객정보구글서무방비노출 개인정보침해싞고상담건수 ( 출처 ) 방송통싞위원회 구분 금융감독원 4300 명정보노출 GS 칼텍스 1,100 만명정보유출 SK 컴즈 ( 네이트, 싸이월드 ) 3,500 만명회원정보유출 합계 23,333 25,965 39,811 35,167 개인정보무단수집 2,565 1,166 1,129 1,075 개인정보무단이용제공 917 1,001 1,037 1,171 주민번호등의정보도용 10,835 9,086 10,148 6,303 회원탈퇴 / 정정요구불응 법적용불가침해사례 6,335 12,497 24,144 23,893 기타 1,738 1,350 2,404 2,045 옥션 1,084 만건유출 삼성카드고객정보유출 국민은행고객 3 만명정보유출 2 /11

4 1. 배경및필요성 > 1.2 배경 : 개인정보보호동향 개인정보침해사고및피해규모는지속증가하고있으며, 국내관련법규는분야별로다수존재하나, 법사각지대가발생하여개인정보보호일반법이제정되었습니다. 개인정보침해사고증가 중대형개인정보유출사고사례 07 년 ~10 년까지총 9000 만명개인정보유출 옥션 1800 만명, GS 칼텍스 1100 만명정보유출 기타콜센터, 헌책방등다수유출사고발생 개인정보유출시소송증가 구분소송참가자수소송금액 개인정보보호개별법률 개인정보보호관련법규 정통망법, 의료법, 싞용정보법등 38 개법률존재 공공분야주요법률 : 공공기관의개인정보보호에관한법률 민갂분야주요법률 : 정보통싞망이용촉진및정보보호등에관한법률 법적용사각지대발생 GS 칼텍스 41,832 명 25,965 옥션 141,496 명 1595 억 하나로텔레콤 11,831 명 127 억 < 09 년개인정보침해사고접수 > - 총접수건수 : 35,167 건 - 법적용제외건수 : 23,948 건 법적용 31.9% 법미적용 68.1% 개인정보유출배상판결예 국민은행 : 유출건당 10~20 만원 ( 서울고법 ) LG 젂자 : 유출건당 30 만원 ( 서울고법, 08.11) 개인정보보호일반법필요성대두 개인정보보호법 일반법제정 3 /11

개인정보의안전한관리와보호 개인정보현황파악및대책수립 서버및 PC 內개인정보관리 개인정보보호법준수 기관및기업의임직원들이관리하고있는개인정보의보관과취급현황파악 임직원에의한개인정보의

5 1. 배경및필요성 > 1.3 필요성 : 개인정보보호대책의필요성 개인정보의안전한관리와보호를통한 기업의신뢰도향상과경쟁력강화 개인정보암호화 개인정보유통관리 개인정보보호정책수립 기업의신뢰성확보 법률준수 개인정보의안전한관리와보호 개인정보현황파악및대책수립 서버및 PC 內개인정보관리 개인정보보호법준수 기관및기업의임직원들이관리하고있는개인정보의보관과취급현황파악 임직원에의한개인정보의 무단유출을방지하여, 불필요한개인정보의보유와오남용을예방해야함 서버및임직원의 PC 에저장되어있는파일을주기적으로조사하여, 주민번호, 학번, 카드번호, 계좌번호등민감한개인정보를포함하고있는파일의보유현황을파악 무분별한개인정보의취급과유통을예방해야함 강화되고있는개인정보보호관련법률과지침을준수 관련법률의위반으로인한기관 / 기업 / 개인의불이익을미연에 방지해야함 4 /11

6 Ⅱ 개인정보보호법에따른대응방안 5 /11

7 2. 개인정보보호법에따른대응방안 > 2.1 개인정보보호법주요내용및영향 개인정보보호법은민간과공공, 온 오프라인을포괄하는일반법으로시행하며, 행정안전부는사업자가지켜야할개인정보보호수칙을마련하고관련세부기준을고시함.(2010, 12.29) 개인정보보호법주요내용 사업자의개인정보보호의무세부기준 대상사업자 정보통싞서비스제공자및준용사업자중에서이용자의개인정보를취급하는자 ( 공공기관, 법인, 단체, 사업자및개인포함 ) 정보통싞업체및온라인게임사등 주요내용 공공 민간통합규율로법적용대상확대 종이문서개인정보도보호대상에포함 개인정보처리안젂조치의무강화 민간영상정보처리기기 (CCTV) 규제확대 주요의무및벌칙 개인정보유출시정보주체에게통지의무 권리침해중지단체소송, 집단분쟁조정제도도입 법규위반시과태료및과징금등부과 기술적보호조치 접근권한식별및인증 불법접근을차단방화벽설치 개인정보의젂송암호화 개인정보의저장암호화 접속기록의위조ㆍ변조방지 악성프로그램방지 출력 복사 조회시보호조치 관리적보호조치 내부관리계획수립 내부지침의마련 물리적접근방지조치 정기적인자체감사실시 출력 복사시기록유지및승인 6 /11

개인정보보호관리계획수립 개인정보관리책임자의의무와책임을규정한내부지침의마련 개인정보의안젂한보관을위한잠금장치등물리적접근방지조치 지침 절차

8 2. 개인정보보호법에따른우리회사의대응방안 > 2.2 개인정보보호대응방안 관리적보호조치 사업자의개인정보보호를위한관리적보호조치대응 보호조치항목 대응방안 개인정보보호내부관리계획수립 개인정보보호관리계획수립 개인정보관리책임자의의무와책임을규정한내부지침의마련 개인정보의안젂한보관을위한잠금장치등물리적접근방지조치 지침 절차 조직내개인정보보호규정 개인정보보호책임자지정및의무와책임사항 개인정보보호조치규정 개인정보수집 처리규정 자체감사절차 개인정보취급계정절차 개인정보이용 제공절차등 출력 복사시기록유지및승인 양식 보안서약서 ( 개인정보취급자 ) 개인정보출력 복사기록서 개인정보폐기대장등 7 /11

9 2. 개인정보보호법에따른우리회사의대응방안 > 2.3 개인정보보호대응방안 기술적보호조치 사업자의개인정보보호를위한기술적보호조치대응방안 보호조치항목 식별및인증 보호조치세부내용 개인정보처리시스템에대한접근권한을차등부여및관리 개인정보취급자별계정부여및비밀번호관리 ( 생성규칙 / 변경 ) 대응방안 DB 접근제어 방화벽설치 전송암호화 저장암호화 위조ㆍ변조방지 악성프로그램방지 출력 복사 조회시보호조치 IP 주소등으로인가받지않은접근을제한 정보통신망을통해외부접속시가상사설망 (VPN 등 ) 보호대책 정보통신망을통한개인정보송수신시암호화 중요개인정보및비밀번호 ( 바이오정보 ) 의암호화저장 업무용컴퓨터에개인정보저장시암호화 개인정보처리시스템접속기록보관및백업 업무용서버및 PC 에백신 S/W 설치및운영 출력복사시개인정보항목최소화및출력복사대장운영 ( 하드카피 ) 개인정보조회, 출력시개인정보마스킹 ( 소프트카피 ) 8 /11 보안서버 (SSL) DB암호화 PC보안백업시스템백싞S/W 출력물워터마크

10 2. 개인정보보호법에따른우리회사의대응방안 > 2.4 개인정보보호및관리솔루션 개인정보의기술적 관리적보호조치기준에따라필요한보안및관리솔루션을활용한보호대책을강화한다. 단계제품개요필요성법적근거주요기능 1 항목 DB 접근제어 DB서버에대한접근및보호조치기준권한제어를통해 DB정중요정보및개인정보등제4조 ( 접근통제 ), 보유출을방지해주는의저장데이터보호방안제9조 ( 개인정보표시제한솔루션보호조치 ) 사용자, DBMS 계정, Application 별 DB 접근제어및권한제어 접속이력모니터링 DB 접근행위분석및감사기능 2 항목 DB 암호화 DB 서버에중요정보를저장할때안젂한암호화알고리즘을사용하는저장하는솔루션 중요정보및개인정보등의데이터유출시에도내 용을볼수없도록하는제6조 ( 개인정보의암호화 ) 원천적인데이터보호방안 DataBase 의 Table 암호화 Column 별로암호화적용가능 복호화권한이있는사용자에게만복호화 자료유출시암호화된상태로유출 DB 암호화에의한데이터유출원천차단 3 항목 PC 보안 PC 의개인정보탐색, 암호화, 권한제어, 로그관리솔루션 PC 에저장되어있는개인정보의현황을파악하고, 무분별한취급과유통을예방 제 6 조 ( 개인정보의암호화 ) PC 의문서파일에저장된개인정보를검색하여개인정보보유현황을파악 저장된문서를암호화하여문서보안기능제공 4 항목 출력물워터마크 출력되는출력물에대한이력관리를위한워출력물의사후보안관리터마크솔루션 제 8 조 ( 출력 복사시보호조치 ), 제 9 조 ( 개인정보표시제한보호조치 ) 개인정보파일이력추적 개인정보복제방지 출력접근사용자통제관리 ( 출력자 ID, 출력자위치 (IP), 출력시갂등워터마킹 ) 9 /11

11 2. 개인정보보호법에따른우리회사의대응방안 > 2.5 현시스템구성의법규준수현황 Ⅱ. 개인정보보호법에따른조직의대응방안 현재우리회사시스템의개인정보보호법및관련법률과시행령준수현황은아래와같습니다. 법적근거내용대응방안 - 해당솔루션준수여부비고 제 4 조 ( 접근통제 ) DB 접근제어 미준수 제 5 조 ( 접속기록의위 변조방지 ) DB 접근제어 미준수 제 6 조 ( 개인정보의암호화 ) DB 암호화, PC 보안 미준수 적용작업짂행중 제 7 조 ( 악성프로그램방지 ) 백싞소프트웨어 준수 제 8 조 ( 출력 복사시보호조치 ) 출력물하드카피 -> 출력물워터마크 미준수 제 9 조 ( 개인정보표시제한보호조치 ) 출력물소프트카피 -> DB 접근제어 미준수 결 론 - 현재시스템에서는개인정보보호법시행령을준수하지않고있음. - 보안이슈에대해대응방안을준비하여시행이필요합니다. 10 /11

12 감사합니다. 11 /11

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하 우송정보대학개인정보보호내부관리계획 제 장총칙 제정 제 조 목적 개인정보보호내부관리계획은개인정보보호법제 조 안전조치의무 내부관리계획의수립및시행의무에따라제정된것으로우송정보대학이취급하는개인정보를체계적으로관리하여개인정보가분실 도난 누출 변조 훼손 오 남용등이되지아니하도록함을목적으로한다 제 조 적용범위 본계획은홈페이지등의온라인을통하여수집 이용 제공또는관리되는개인정보뿐만아니라오프라인