개인정보의 안전성 확보조치 기준 해설서

Size: px
Start display at page:

Download "개인정보의 안전성 확보조치 기준 해설서"

Transcription

1 개인정보의 안전성확보조치기준해설서 2017 년 1 월

2 개인정보의 안전성 확보조치 기준 해설서

3 Contents CHAPTER 개인정보의 안전성 확보조치 기준 개인정보의 안전성 확보조치 기준 CHAPTER CHAPTER 06 개인정보의 안전성 확보조치 기준 해설 [제1조] 목적 16 [제2조] 정의 18 [제3조] 안전조치 기준 적용 31 [제4조] 내부 관리계획의 수립 시행 33 [제5조] 접근 권한의 관리 45 [제6조] 접근 통제 49 [제7조] 개인정보의 암호화 57 [제8조] 접속기록의 보관 및 점검 66 [제9조] 악성프로그램 등 방지 68 [제10조] 관리용 단말기의 안전조치 70 [제11조] 물리적 안전조치 72 [제12조] 재해 재난 대비 안전조치 74 [제13조] 개인정보의 파기 76 [부칙] 78 [별표] 79 기타 [붙임] FAQ 82 [참고] 안전조치 기준 적용 유형 88

4 ⅠCHAPTER

5 개인정보의 안전성확보조치기준

6 ⅠCHAPTER 개인정보의안전성확보조치기준 제정 행정안전부고시제 호 개정 행정자치부고시제 호 개정 행정자치부고시제 호 제 1 조 ( 목적 ) 이기준은 개인정보보호법 ( 이하 법 이라한다 ) 제23조제2항, 제24조제3항및제29조와같은법시행령 ( 이하 영 이라한다 ) 제21조및제30조에따라개인정보처리자가개인정보를처리함에있어서개인정보가분실 도난 유출 위조 변조또는훼손되지아니하도록안전성확보에필요한기술적 관리적및물리적안전조치에관한최소한의기준을정하는것을목적으로한다. 제 2 조 ( 정의 ) 이기준에서사용하는용어의뜻은다음과같다. 1. 정보주체 란처리되는정보에의하여알아볼수있는사람으로서그정보의주체가되는사람을말한다. 2. 개인정보파일 이란개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로배열하거나구성한개인정보의집합물 ( 集合物 ) 을말한다. 3. 개인정보처리자 란업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체및개인등을말한다. 4. 대기업 이란 독점규제및공정거래에관한법률 제14조에따라공정거래위원회가지정한기업집단을말한다. 5. 중견기업 이란 중견기업성장촉진및경쟁력강화에관한특별법 제2조에해당하는기업을말한다. 6. 중소기업 이란 중소기업기본법 제2조및동법시행령제3조에해당하는기업을말한다. 7. 소상공인 이란 소상공인보호및지원에관한법률 제2조에해당하는자를말한다. 8. 개인정보보호책임자 란개인정보처리자의개인정보처리에관한업무를총괄해서책임지는자로서영제32조제2항에해당하는자를말한다. 9. 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서임직원, 파견근로자, 시간제근로자등을말한다. 6

7 10. 개인정보처리시스템 이란데이터베이스시스템등개인정보를처리할수있도록체계적으로구성한시스템을말한다. 11. 위험도분석 이란개인정보유출에영향을미칠수있는다양한위험요소를식별 평가하고해당위험요소를적절하게통제할수있는방안마련을위한종합적으로분석하는행위를말한다. 12. 비밀번호 란정보주체또는개인정보취급자등이개인정보처리시스템, 업무용컴퓨터또는정보통신망등에접속할때식별자와함께입력하여정당한접속권한을가진자라는것을식별할수있도록시스템에전달해야하는고유의문자열로서타인에게공개되지않는정보를말한다. 13. 정보통신망 이란 전기통신기본법 제2조제2호에따른전기통신설비를이용하거나전기통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송신또는수신하는정보통신체계를말한다. Ⅰ. 개인정보의안전성확보조치기준 14. 공개된무선망 이란불특정다수가무선접속장치 (AP) 를통하여인터넷을이용할수있는망을말한다. 15. 모바일기기 란무선망을이용할수있는 PDA, 스마트폰, 태블릿PC 등개인정보처리에이용되는휴대용기기를말한다. 16. 바이오정보 란지문, 얼굴, 홍채, 정맥, 음성, 필적등개인을식별할수있는신체적또는행동적특징에관한정보로서그로부터가공되거나생성된정보를포함한다. 17. 보조저장매체 란이동형하드디스크, USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등자료를저장할수있는매체로서개인정보처리시스템또는개인용컴퓨터등과용이하게연결 분리할수있는저장매체를말한다. 18. 내부망 이란물리적망분리, 접근통제시스템등에의해인터넷구간에서의접근이통제또는차단되는구간을말한다. 19. 접속기록 이란개인정보취급자등이개인정보처리시스템에접속한사실을알수있는계정, 접속일시, 접속자정보, 수행업무등을전자적으로기록한것을말한다. 이경우 접속 이란개인정보처리시스템과연결되어데이터송신또는수신이가능한상태를말한다. 20. 관리용단말기 란개인정보처리시스템의관리, 운영, 개발, 보안등의목적으로개인정보처리시스템에직접접속하는단말기를말한다. 제 3 조 ( 안전조치기준적용 ) 개인정보처리자가개인정보의안전성확보에필요한조치를하는경우에는 [ 별표 ] 개인정보처리자유형 및개인정보보유량에따른안전조치기준을적용하여야한다. 이경우개인정보처리자가어느유형에 해당하는지에대한입증책임은당해개인정보처리자가부담한다. 7

8 개인정보의안전성확보조치기준해설서 제 4 조 ( 내부관리계획의수립 시행 ) ➊ 개인정보처리자는개인정보의분실 도난 유출 위조 변조또는훼손되지아니하도록내부의사결정절차를통하여다음각호의사항을포함하는내부관리계획을수립 시행하여야한다. 1. 개인정보보호책임자의지정에관한사항 2. 개인정보보호책임자및개인정보취급자의역할및책임에관한사항 3. 개인정보취급자에대한교육에관한사항 4. 접근권한의관리에관한사항 5. 접근통제에관한사항 6. 개인정보의암호화조치에관한사항 7. 접속기록보관및점검에관한사항 8. 악성프로그램등방지에관한사항 9. 물리적안전조치에관한사항 10. 개인정보보호조직에관한구성및운영에관한사항 11. 개인정보유출사고대응계획수립 시행에관한사항 12. 위험도분석및대응방안마련에관한사항 13. 재해및재난대비개인정보처리시스템의물리적안전조치에관한사항 14. 개인정보처리업무를위탁하는경우수탁자에대한관리및감독에관한사항 15. 그밖에개인정보보호를위하여필요한사항 ➋ [ 별표 ] 의유형1에해당하는개인정보처리자는제1항에따른내부관리계획을수립하지아니할수있고, [ 별표 ] 의유형2에해당하는개인정보처리자는제1항제12호부터제14호까지를내부관리계획에포함하지아니할수있다. ➌ 개인정보처리자는제1항각호의사항에중요한변경이있는경우에는이를즉시반영하여내부관리계획을수정하여시행하고, 그수정이력을관리하여야한다. ➍ 개인정보보호책임자는연 1회이상으로내부관리계획의이행실태를점검 관리하여야한다. 제 5 조 ( 접근권한의관리 ) ➊ 개인정보처리자는개인정보처리시스템에대한접근권한을업무수행에필요한최소한의범위로업무담당자에따라차등부여하여야한다. ➋ 개인정보처리자는전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을경우지체없이개인정보처리시스템의접근권한을변경또는말소하여야한다. ➌ 개인정보처리자는제1항및제2항에의한권한부여, 변경또는말소에대한내역을기록하고, 그기록을최소 3년간보관하여야한다. 8

9 ➍ 개인정보처리자는개인정보처리시스템에접속할수있는사용자계정을발급하는경우개인정보취급자별로사용자계정을발급하여야하며, 다른개인정보취급자와공유되지않도록하여야한다. ➎ 개인정보처리자는개인정보취급자또는정보주체가안전한비밀번호를설정하여이행할수있도록비밀번호작성규칙을수립하여적용하여야한다. ➏ 개인정보처리자는권한있는개인정보취급자만이개인정보처리시스템에접근할수있도록계정정보또는비밀번호를일정횟수이상잘못입력한경우개인정보처리시스템에대한접근을제한하는등필요한기술적조치를하여야한다. ➐ [ 별표 ] 의유형1에해당하는개인정보처리자는제1항및제6항을아니할수있다. Ⅰ. 개인정보의안전성확보조치기준 제 6 조 ( 접근통제 ) ➊ 개인정보처리자는정보통신망을통한불법적인접근및침해사고방지를위해다음각호의기능을포함한조치를하여야한다. 1. 개인정보처리시스템에대한접속권한을 IP(Internet Protocol) 주소등으로제한하여인가받지않은접근을제한 2. 개인정보처리시스템에접속한 IP(Internet Protocol) 주소등을분석하여불법적인개인정보유출시도탐지및대응 ➋ 개인정보처리자는개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에접속하려는경우가상사설망 (VPN: Virtual Private Network) 또는전용선등안전한접속수단을적용하거나안전한인증수단을적용하여야한다. ➌ 개인정보처리자는취급중인개인정보가인터넷홈페이지, P2P, 공유설정, 공개된무선망이용등을통하여열람권한이없는자에게공개되거나유출되지않도록개인정보처리시스템, 업무용컴퓨터, 모바일기기및관리용단말기등에접근통제등에관한조치를하여야한다. ➍ 고유식별정보를처리하는개인정보처리자는인터넷홈페이지를통해고유식별정보가유출 변조 훼손되지않도록연 1회이상취약점을점검하고필요한보완조치를하여야한다. ➎ 개인정보처리자는개인정보처리시스템에대한불법적인접근및침해사고방지를위하여개인정보취급자가일정시간이상업무처리를하지않는경우에는자동으로시스템접속이차단되도록하여야한다. ➏ 개인정보처리자가별도의개인정보처리시스템을이용하지아니하고업무용컴퓨터또는모바일기기를이용하여개인정보를처리하는경우에는제1항을적용하지아니할수있으며, 이경우업무용컴퓨터또는모바일기기의운영체제 (OS: Operating System) 나보안프로그램등에서제공하는접근통제기능을이용할수있다. ➐ 개인정보처리자는업무용모바일기기의분실 도난등으로개인정보가유출되지않도록해당모바일기기에비밀번호설정등의보호조치를하여야한다. ➑ [ 별표 ] 의유형1에해당하는개인정보처리자는제2항, 제4항부터제5항까지의조치를아니할수있다. 9

10 개인정보의안전성확보조치기준해설서 제7조 ( 개인정보의암호화 ) ➊ 개인정보처리자는고유식별정보, 비밀번호, 바이오정보를정보통신망을통하여송신하거나보조저장매체등을통하여전달하는경우에는이를암호화하여야한다. ➋ 개인정보처리자는비밀번호및바이오정보는암호화하여저장하여야한다. 다만, 비밀번호를저장하는경우에는복호화되지아니하도록일방향암호화하여저장하여야한다. ➌ 개인정보처리자는인터넷구간및인터넷구간과내부망의중간지점 (DMZ: Demilitarized Zone) 에고유식별정보를저장하는경우에는이를암호화하여야한다. ➍ 개인정보처리자가내부망에고유식별정보를저장하는경우에는다음각호의기준에따라암호화의적용여부및적용범위를정하여시행할수있다. 1. 법제33조에따른개인정보영향평가의대상이되는공공기관의경우에는해당개인정보영향평가의결과 2. 암호화미적용시위험도분석에따른결과 ➎ 개인정보처리자는제1항, 제2항, 제3항, 또는제4항에따라개인정보를암호화하는경우안전한암호알고리즘으로암호화하여저장하여야한다. ➏ 개인정보처리자는암호화된개인정보를안전하게보관하기위하여안전한암호키생성, 이용, 보관, 배포및파기등에관한절차를수립 시행하여야한다. ➐ 개인정보처리자는업무용컴퓨터또는모바일기기에고유식별정보를저장하여관리하는경우상용암호화소프트웨어또는안전한암호화알고리즘을사용하여암호화한후저장하여야한다. ➑ [ 별표 ] 의유형1 및유형2에해당하는개인정보처리자는제6항을아니할수있다. 제8조 ( 접속기록의보관및점검 ) ➊ 개인정보처리자는개인정보취급자가개인정보처리시스템에접속한기록을 6개월이상보관 관리하여야한다. ➋ 개인정보처리자는개인정보의분실 도난 유출 위조 변조또는훼손등에대응하기위하여개인정보처리시스템의접속기록등을반기별로 1회이상점검하여야한다. ➌ 개인정보처리자는개인정보취급자의접속기록이위 변조및도난, 분실되지않도록해당접속기록을안전하게보관하여야한다. 제9조 ( 악성프로그램등방지 ) 개인정보처리자는악성프로그램등을방지 치료할수있는백신소프트웨어등의보안프로그램을설치 운영하여야하며, 다음각호의사항을준수하여야한다. 1. 보안프로그램의자동업데이트기능을사용하거나, 일 1회이상업데이트를실시하여최신의상태로유지 2. 악성프로그램관련경보가발령된경우또는사용중인응용프로그램이나운영체제소프트웨어의제작업체에서보안업데이트공지가있는경우즉시이에따른업데이트를실시 3. 발견된악성프로그램등에대해삭제등대응조치 10

11 제10조 ( 관리용단말기의안전조치 ) 개인정보처리자는개인정보유출등개인정보침해사고방지를위하여관리용단말기에대해다음각호의안전조치를하여야한다. 1. 인가받지않은사람이관리용단말기에접근하여임의로조작하지못하도록조치 2. 본래목적외로사용되지않도록조치 3. 악성프로그램감염방지등을위한보안조치적용제11조 ( 물리적안전조치 ) Ⅰ. 개인정보의안전성확보조치기준 ➊ 개인정보처리자는전산실, 자료보관실등개인정보를보관하고있는물리적보관장소를별도로두고있는경우에는이에대한출입통제절차를수립 운영하여야한다. ➋ 개인정보처리자는개인정보가포함된서류, 보조저장매체등을잠금장치가있는안전한장소에보관하여야한다. ➌ 개인정보처리자는개인정보가포함된보조저장매체의반출 입통제를위한보안대책을마련하여야한다. 다만, 별도의개인정보처리시스템을운영하지아니하고업무용컴퓨터또는모바일기기를이용하여개인정보를처리하는경우에는이를적용하지아니할수있다. 제 12 조 ( 재해 재난대비안전조치 ) ➊ 개인정보처리자는화재, 홍수, 단전등의재해 재난발생시개인정보처리시스템보호를위한위기대응매뉴얼등대응절차를마련하고정기적으로점검하여야한다. ➋ 개인정보처리자는재해 재난발생시개인정보처리시스템백업및복구를위한계획을마련하여야한다. ➌ [ 별표 ] 의유형1 및유형2에해당하는개인정보처리자는제1항부터제2항까지조치를이행하지아니할수있다. 제 13 조 ( 개인정보의파기 ) ➊ 개인정보처리자는개인정보를파기할경우다음각호중어느하나의조치를하여야한다. 1. 완전파괴 ( 소각 파쇄등 ) 2. 전용소자장비를이용하여삭제 3. 데이터가복원되지않도록초기화또는덮어쓰기수행 ➋ 개인정보처리자가개인정보의일부만을파기하는경우, 제1항의방법으로파기하는것이어려울때에는다음각호의조치를하여야한다. 1. 전자적파일형태인경우 : 개인정보를삭제한후복구및재생되지않도록관리및감독 2. 제1호외의기록물, 인쇄물, 서면, 그밖의기록매체인경우 : 해당부분을마스킹, 천공등으로삭제 11

12 개인정보의안전성확보조치기준해설서 부칙 < 제 호, > 제 1 조 이기준은고시한날부터시행한다. 제 2 조 ( 영상정보처리기기에대한안전성확보조치의적용제외 ) 영상정보처리기기에대한안전성확보조치에대해서는 표준개인정보보호지침 중에서영상정보 처리기기설치 운영기준이정하는바에따른다. 제3조 ( 전산센터, 클라우드컴퓨팅센터등의운영환경에서의안전조치 ) 개인정보처리자가전산센터 (IDC: Internet Data Center), 클라우드컴퓨팅센터 (Cloud Computing Center) 등에계약을통해하드웨어, 소프트웨어등을임차또는임대하여개인정보를처리하는경우에는계약서또는서비스수준협약서 (SLA: Service Level Agreement) 에이기준에준하는수준의안전조치내용이포함되어있으면이기준을이행한것으로본다. 부칙 < 제 호, > 이기준은고시한날부터시행한다. 부칙 < 제 호, > 제 1 조 ( 시행일 ) 이고시는 2016 년 9 월 1 일부터시행한다. 제 2 조 ( 적용례 ) 영제 21 조의 2 제 2 항에따른주민등록번호의암호화적용시기이후에는고유식별정보중주민등록 번호는제 7 조제 4 항을적용하지아니한다. 12

13 [ 별표 ] 개인정보처리자유형및개인정보보유량에따른안전조치기준 유형 적용대상 안전조치기준 유형1 ( 완화 ) 1만명미만의정보주체에관한개인정보를보유한소상공인, 단체, 개인 제5조 : 제2항부터제5항까지 제6조 : 제1항, 제3항, 제6항및제7항 제7조 : 제1항부터제5항까지, 제7항 제8조 제9조 제10조 제11조 제13조 Ⅰ. 개인정보의안전성확보조치기준 유형 2 ( 표준 ) 100만명미만의정보주체에관한개인정보를보유한중소기업 10만명미만의정보주체에관한개인정보를보유한대기업, 중견기업, 공공기관 1만명이상의정보주체에관한개인정보를보유한소상공인, 단체, 개인 제4조 : 제1항제1호부터제11호까지및제15호, 제3항부터제4항까지 제5조 제6조 : 제1항부터제7항까지 제7조 : 제1항부터제5항까지, 제7항 제8조 제9조 제10조 제11조 제13조 유형 3 ( 강화 ) 10만명이상의정보주체에관한개인정보를보유한대기업, 중견기업, 공공기관 100만명이상의정보주체에관한개인정보를보유한중소기업, 단체 제 4 조부터제 13 조까지 13

14 ⅡCHAPTER

15 개인정보의 안전성확보조치기준해설

16 ⅡCHAPTER 개인정보의안전성확보조치기준해설 제 1 조 목적 제1조 ( 목적 ) 이기준은 개인정보보호법 ( 이하 법 이라한다 ) 제23조제2항, 제24조제3항및제29조와같은법시행령 ( 이하 영 이라한다 ) 제21조및제30조에따라개인정보처리자가개인정보를처리함에있어서개인정보가분실 도난 유출 위조 변조또는훼손되지아니하도록안전성확보에필요한기술적 관리적및물리적안전조치에관한최소한의기준을정하는것을목적으로한다. 해설 이기준은 개인정보보호법 제 23 조 ( 민감정보의처리제한 ) 제 2 항, 제 24 조 ( 고유식별정보의처리 제한 ) 제 3 항및제 29 조 ( 안전조치의무 ) 와같은법시행령제 21 조 ( 고유식별정보의안전성확보 조치 ) 및제 30 조 ( 개인정보의안전성확보조치 ) 에근거한다. 개인정보보호법제23조 ( 민감정보의처리제한 ) 2 개인정보처리자가제1항각호에따라민감정보를처리하는경우에는그민감정보가분실 도난 유출 위조 변조또는훼손되지아니하도록제29조에따른안전성확보에필요한조치를하여야한다. 제24조 ( 고유식별정보의처리제한 ) 3 개인정보처리자가제1항각호에따라고유식별정보를처리하는경우에는그고유식별정보가분실 도난 유출 위조 변조또는훼손되지아니하도록대통령령으로정하는바에따라암호화등안전성확보에필요한조치를하여야한다. 제29조 ( 안전조치의무 ) 개인정보처리자는개인정보가분실 도난 유출 위조 변조또는훼손되지아니하도록내부관리계획수립, 접속기록보관등대통령령으로정하는바에따라안전성확보에필요한기술적 관리적및물리적조치를하여야한다. 16

17 개인정보보호법시행령 제 21 조 ( 고유식별정보의안전성확보조치 ) 법제 24 조제 3 항에따른고유식별정보의안전성확보 조치에관하여는제 30 조를준용한다. 이경우 법제 29 조 는 법제 24 조제 3 항 으로, 개인정보 는 고유식별정보 로본다. 제30조 ( 개인정보의안전성확보조치 ) 1 개인정보처리자는법제29조에따라다음각호의안전성확보조치를하여야한다. 1. 개인정보의안전한처리를위한내부관리계획의수립 시행 2. 개인정보에대한접근통제및접근권한의제한조치 3. 개인정보를안전하게저장 전송할수있는암호화기술의적용또는이에상응하는조치 4. 개인정보침해사고발생에대응하기위한접속기록의보관및위조 변조방지를위한조치 5. 개인정보에대한보안프로그램의설치및갱신 6. 개인정보의안전한보관을위한보관시설의마련또는잠금장치의설치등물리적조치 2 행정자치부장관은개인정보처리자가제1항에따른안전성확보조치를하도록시스템을구축하는등필요한지원을할수있다. 3 제1항에따른안전성확보조치에관한세부기준은행정자치부장관이정하여고시한다. Ⅱ. 개인정보의안전성확보조치기준해설 이기준은개인정보처리자에게적용된다. 개인정보처리자는업무를목적으로개인정보파일을운용 하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체, 사업자 및개인등을말한다. 개인정보처리자는개인정보를처리함에있어서개인정보가분실 도난 유출 위조 변조또는훼손되지아니하도록안전성확보에필요한기술적 관리적및물리적안전조치에관한최소한의기준을준수하여야한다. - 개인정보처리자는처리하는개인정보의종류및중요도, 개인정보를처리하는방법및환경등을고려하여개인정보가분실 도난 유출 위조 변조또는훼손되지아니하도록충분한안전조치를취하도록노력하여야한다. 이기준을위반하여안전성확보에필요한조치를하지아니한자는 3 천만원이하의과태료를 부과하며, 안전성확보에필요한조치를하지아니하여개인정보를분실 도난 유출 위조 변조 또는훼손당한자는 2 년이하의징역또는 2 천만원이하의벌금에처한다. 17

18 개인정보의안전성확보조치기준해설서 제 2 조 정의 제 2 조 ( 정의 ) 이기준에서사용하는용어의뜻은다음과같다. 1. 정보주체 란처리되는정보에의하여알아볼수있는사람으로서그정보의주체가되는사람을 말한다. 2. 개인정보파일 이란개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로배열 하거나구성한개인정보의집합물 ( 集合物 ) 을말한다. 3. 개인정보처리자 란업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을 통하여개인정보를처리하는공공기관, 법인, 단체및개인등을말한다. 4. 대기업 이란 독점규제및공정거래에관한법률 제 14 조에따라공정거래위원회가지정한 기업집단을말한다. 5. 중견기업 이란 중견기업성장촉진및경쟁력강화에관한특별법 제 2 조에해당하는기업을 말한다. 6. 중소기업 이란 중소기업기본법 제 2 조및동법시행령제 3 조에해당하는기업을말한다. 7. 소상공인 이란 소상공인보호및지원에관한법률 제 2 조에해당하는자를말한다. 8. 개인정보보호책임자 란개인정보처리자의개인정보처리에관한업무를총괄해서책임지는 자로서영제 32 조제 2 항에해당하는자를말한다. 9. 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는 자로서임직원, 파견근로자, 시간제근로자등을말한다. 10. 개인정보처리시스템 이란데이터베이스시스템등개인정보를처리할수있도록체계적으로 구성한시스템을말한다. 11. 위험도분석 이란개인정보유출에영향을미칠수있는다양한위험요소를식별 평가하고해당 위험요소를적절하게통제할수있는방안마련을위한종합적으로분석하는행위를말한다. 18

19 12. 비밀번호 란정보주체또는개인정보취급자등이개인정보처리시스템, 업무용컴퓨터또는정보통신망등에접속할때식별자와함께입력하여정당한접속권한을가진자라는것을식별할수있도록시스템에전달해야하는고유의문자열로서타인에게공개되지않는정보를말한다. 13. 정보통신망 이란 전기통신기본법 제 2 조제 2 호에따른전기통신설비를이용하거나전기통신 설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송신또는 수신하는정보통신체계를말한다. 14. 공개된무선망 이란불특정다수가무선접속장치 (AP) 를통하여인터넷을이용할수있는망을말한다. 15. 모바일기기 란무선망을이용할수있는 PDA, 스마트폰, 태블릿PC 등개인정보처리에이용되는휴대용기기를말한다. 16. 바이오정보 란지문, 얼굴, 홍채, 정맥, 음성, 필적등개인을식별할수있는신체적또는 Ⅱ. 개인정보의안전성확보조치기준해설 행동적특징에관한정보로서그로부터가공되거나생성된정보를포함한다. 17. 보조저장매체 란이동형하드디스크, USB 메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등자료를저장할수있는매체로서개인정보처리시스템또는개인용컴퓨터 등과용이하게연결 분리할수있는저장매체를말한다. 18. 내부망 이란물리적망분리, 접근통제시스템등에의해인터넷구간에서의접근이통제또는 차단되는구간을말한다. 19. 접속기록 이란개인정보취급자등이개인정보처리시스템에접속한사실을알수있는계정, 접속일시, 접속자정보, 수행업무등을전자적으로기록한것을말한다. 이경우 접속 이란 개인정보처리시스템과연결되어데이터송신또는수신이가능한상태를말한다. 20. 관리용단말기 란개인정보처리시스템의관리, 운영, 개발, 보안등의목적으로개인정보 처리시스템에직접접속하는단말기를말한다. 19

20 개인정보의안전성확보조치기준해설서 해설 1. 정보주체 란처리되는정보에의하여알아볼수있는사람으로서그정보의주체가되는사람을 말한다. 정보주체란 개인정보보호법 에의한권리의행사주체라고도할수있다. 이법의보호를받는정보주체가되기위한사항은다음과같다. - 처리되는정보에의하여알아볼수있는사람 - 법인이나단체가아닌살아있는사람 - 처리되는정보의주체가되는자 2. 개인정보파일 이란개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로배열 하거나구성한개인정보의집합물 ( 集合物 ) 을말한다. 개인정보파일이란개인의이름이나고유식별정보, ID 등을색인 (Index) 이나검색값으로하여쉽게검색할수있도록체계적으로배열 구성한집합물을말한다. - 개인정보파일은일반적으로전자적형태로구성된데이터베이스 (DB: DataBase) 를의미하는경우가많지만, 그외에체계적인검색 열람을위한색인이되어있는컴퓨터문서파일, 수기 ( 手記 ) 문서자료등도포함된다. 3. 개인정보처리자 란업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을 통하여개인정보를처리하는공공기관, 법인, 단체및개인등을말한다. 개인정보처리자는업무를목적으로개인정보를처리하는자이다. 순수한개인적인활동이나가사활동을위해서개인정보를수집 이용 제공하는자는개인정보처리자가아니다. 개인정보처리자는개인정보파일을운용하기위하여개인정보를처리하는자이다. 개인정보처리자는스스로개인정보를처리할수도있지만다른사람을통해서개인정보를처리하는경우에도개인정보처리자에해당한다. 개인정보처리자는공공기관, 법인, 단체, 개인이모두포함된다. TIP 처리란개인정보의수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ), 그밖에이와유사한행위를말한다. 20

21 4. 대기업 이란 독점규제및공정거래에관한법률 제 14 조에따라공정거래위원회가지정한 기업집단을말한다. 대기업이란공정거래위원회가지정한상호출자제한기업집단및채무보증제한기업집단을말한다. 제 14 조 ( 상호출자제한기업집단등의지정등 ) 독점규제및공정거래에관한법률 제 14 조 1 공정거래위원회는대통령령이정하는바에의하여상호출자제한기업집단및채무보증제한기업집단 ( 이하 상호출자제한기업집단등 이라한다 ) 을지정하고동기업집단에속하는회사에이를통지하여야한다. TIP 법제처에서제공하는국가법령정보센터 ( 에서관련법률을검색할수있다. 5. 중견기업 이란 중견기업성장촉진및경쟁력강화에관한특별법 제2조에해당하는기업을말한다. Ⅱ. 개인정보의안전성확보조치기준해설 중견기업이란다음의요건을모두갖춘기업을말한다. - 중소기업기본법 제2조에따른중소기업이아닐것 - 공공기관의운영에관한법률 제4조에따른공공기관이아닐것 - 그밖에지분소유나출자관계등이 중견기업성장촉진및경쟁력강화에관한특별법시행령 으로정하는기준에적합한기업 중견기업성장촉진및경쟁력강화에관한특별법 제2조제2조 ( 정의 ) 이법에서사용하는용어의뜻은다음과같다. 1. 중견기업 이란다음각목의요건을모두갖춘기업을말한다. 가. 중소기업기본법 제2조에따른중소기업이아닐것나. 공공기관의운영에관한법률 제4조에따른공공기관이아닐것다. 그밖에지분소유나출자관계등이대통령령으로정하는기준에적합한기업 21

22 개인정보의안전성확보조치기준해설서 중견기업성장촉진및경쟁력강화에관한특별법시행령 제2조제2조 ( 중견기업및중견기업후보기업의범위 ) 2 법제2조제1호다목에서 지분소유나출자관계등이대통령령으로정하는기준에적합한기업 이란다음각호의요건을모두갖춘기업을말한다. 1. 소유와경영의실질적인독립성이다음각목의어느하나에해당하지아니하는기업일것가. 독점규제및공정거래에관한법률 제14조제1항에따른상호출자제한기업집단또는채무보증제한기업집단에속하는기업나. 독점규제및공정거래에관한법률시행령 제17조제1항에따른상호출자제한기업집단지정기준인자산총액이상인기업또는법인 ( 외국법인을포함한다. 이하같다 ) 이해당기업의주식 ( 상법 제344 조의3에따른의결권없는주식은제외한다 ) 또는출자지분 ( 이하 주식등 이라한다 ) 의 100분의 30 이상을직접적또는간접적으로소유하면서최다출자자인기업. 이경우최다출자자는해당기업의주식등을소유한법인또는개인으로서단독으로또는다음의어느하나에해당하는자와합산하여해당기업의주식등을가장많이소유한자로하며, 주식등의간접소유비율에관하여는 국제조세조정에관한법률시행령 제2조제2항을준용한다. 1) 주식등을소유한자가법인인경우 : 그법인의임원 2) 주식등을소유한자가개인인경우 : 그개인의친족 2. 통계법 제22조에따라통계청장이고시하는한국표준산업분류에따른다음각목의어느하나에해당하는업종을영위하는기업이아닐것가. 금융업나. 보험및연금업다. 금융및보험관련서비스업 3. 민법 제32조에따라설립된비영리법인이아닐것 22

23 6. 중소기업 이란 중소기업기본법 제 2 조및동법시행령제 3 조에해당하는기업을말한다. 중소기업이란다음어느하나에해당하는기업을말한다. - 업종별로매출액또는자산총액등이시행령으로정하는기준에맞을것 - 지분소유나출자관계등소유와경영의실질적인독립성이시행령으로정하는기준에맞을것 - 사회적기업육성법 제2조제1호에따른사회적기업중에서 중소기업기본법 시행령으로정하는사회적기업 - 협동조합기본법 제2조에따른협동조합, 협동조합연합회, 사회적협동조합, 사회적협동조합연합회중 중소기업기본법시행령 으로정하는자 중소기업기본법 제2조제2조 ( 중소기업의범위 ) 1 중소기업을육성하기위한시책 ( 이하 중소기업시책 이라한다 ) 의대상이되는중소기업자는다음각호의어느하나에해당하는기업 ( 이하 중소기업 이라한다 ) 을영위하는자로한다. 1. 다음각목의요건을모두갖추고영리를목적으로사업을하는기업가. 업종별로매출액또는자산총액등이대통령령으로정하는기준에맞을것나. 지분소유나출자관계등소유와경영의실질적인독립성이대통령령으로정하는기준에맞을것 Ⅱ. 개인정보의안전성확보조치기준해설 2. 사회적기업육성법 제 2 조제 1 호에따른사회적기업중에서대통령령으로정하는사회적기업 3. 협동조합기본법 제 2 조에따른협동조합, 협동조합연합회, 사회적협동조합, 사회적협동조합연합회 중대통령령으로정하는자 2 중소기업은대통령령으로정하는구분기준에따라소기업 ( 小企業 ) 과중기업 ( 中企業 ) 으로구분한다. 3 제1항을적용할때중소기업이그규모의확대등으로중소기업에해당하지아니하게된경우그사유가발생한연도의다음연도부터 3년간은중소기업으로본다. 다만, 중소기업외의기업과합병하거나그밖에대통령령으로정하는사유로중소기업에해당하지아니하게된경우에는그러하지아니하다. 4 중소기업시책별특성에따라특히필요하다고인정하면 중소기업협동조합법 이나그밖의법률에서정하는바에따라중소기업협동조합이나그밖의법인 단체등을중소기업자로할수있다. 23

24 개인정보의안전성확보조치기준해설서 중소기업기본법시행령 제 3 조 제3조 ( 중소기업의범위 ) 1 중소기업기본법 ( 이하 법 이라한다 ) 제2조제1항제1호에따른중소기업은다음각호의요건을모두갖춘기업으로한다. 1. 다음각목의요건을모두갖춘기업일것가. 해당기업이영위하는주된업종과해당기업의평균매출액또는연간매출액 ( 이하 평균매출액등 이라한다 ) 이별표 1의기준에맞을것나. 자산총액이 5천억원미만일것 2. 소유와경영의실질적인독립성이다음각목의어느하나에해당하지아니하는기업일것가. 독점규제및공정거래에관한법률 제14조제1항에따른상호출자제한기업집단등 ( 이하이호에서 상호출자제한기업집단등 이라한다 ) 에속하는회사또는같은법제14조의3에따라상호출자제한기업집단등의소속회사로편입ㆍ통지된것으로보는회사나. 자산총액이 5천억원이상인법인 ( 외국법인을포함하되, 비영리법인및제3조의2제3항각호의어느하나에해당하는자는제외한다 ) 이주식등의 100분의 30 이상을직접적또는간접적으로소유한경우로서최다출자자인기업. 이경우최다출자자는해당기업의주식등을소유한법인또는개인으로서단독으로또는다음의어느하나에해당하는자와합산하여해당기업의주식등을가장많이소유한자를말하며, 주식등의간접소유비율에관하여는 국제조세조정에관한법률시행령 제2조제2항을준용한다. 1) 주식등을소유한자가법인인경우 : 그법인의임원 2) 주식등을소유한자가 1) 에해당하지아니하는개인인경우 : 그개인의친족다. 관계기업에속하는기업의경우에는제7조의4에따라산정한평균매출액등이별표 1의기준에맞지아니하는기업라. 독점규제및공정거래에관한법률시행령 제3조의2제2항제4호에따라동일인이지배하는기업집단의범위에서제외되어상호출자제한기업집단등에속하지아니하게된회사로서같은영제3조의요건에해당하게된날부터 3년이경과한회사 7. 소상공인 이란 소상공인보호및지원에관한법률 제 2 조에해당하는자를말한다. 소상공인이란다음의요건을모두갖춘자를말한다. - 상시근로자수가 10 명미만일것 - 업종별상시근로자수등이 소상공인보호및지원에관한법률 시행령으로정하는기준에해당할것 24

25 소상공인보호및지원에관한법률 제 2 조 제2조 ( 정의 ) 이법에서 소상공인 이란 중소기업기본법 제2조제2항에따른소기업 ( 小企業 ) 중다음각호의요건을모두갖춘자를말한다. 1. 상시근로자수가 10명미만일것 2. 업종별상시근로자수등이대통령령으로정하는기준에해당할것 제 2 조 ( 소상공인의범위등 ) 소상공인보호및지원에관한법률시행령 제 2 조 8. 1 소상공인보호및지원에관한법률 ( 이하 법 이라한다 ) 제 2 조제 2 호에서 대통령령으로 정하는기준 이란다음각호의구분에따른주된사업에종사하는상시근로자수를말한다. 1. 광업ㆍ제조업ㆍ건설업및운수업 : 10명미만 2. 그밖의업종 : 5명미만 개인정보보호책임자 란개인정보처리자의개인정보처리에관한업무를총괄해서책임지는자로서영제32조제2항에해당하는자를말한다. Ⅱ. 개인정보의안전성확보조치기준해설 개인정보처리자는개인정보의처리에관한업무를총괄해서책임질개인정보보호책임자를지정 요건에맞게지정하고, 법률에따라업무를수행하도록보장하여야한다. TIP 개인정보보호책임자의지정및업무수행에관한사항은이기준제 4 조제 1 항해설에서보다자세하게확인할수있다. 9. 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는 자로서임직원, 파견근로자, 시간제근로자등을말한다. 개인정보취급자란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하여처리하는모든자를의미한다. - 개인정보취급자는개인정보처리업무를담당하고있는자라면정규직, 비정규직, 파견직, 시간제등모든근로형태를불문한다. 고용관계가없더라도실질적으로개인정보처리자의지휘 감독을받아개인정보를처리하는자는개인정보취급자에포함된다. 25

26 개인정보의안전성확보조치기준해설서 10. 개인정보처리시스템 이란데이터베이스시스템등개인정보를처리할수있도록체계적으로 구성한시스템을말한다. 개인정보처리시스템이란일반적으로데이터베이스 (DB) 내의데이터에접근할수있도록해주는응용시스템을의미하며, 데이터베이스를구축하거나운영하는데필요한시스템을말한다. - 다만, 개인정보처리시스템은개인정보처리자의개인정보처리방법, 시스템구성및운영환경등에따라달라질수있다. 업무용컴퓨터의경우에도데이터베이스응용프로그램이설치 운영되어다수의개인정보취급자가개인정보를처리하는경우에는개인정보처리시스템에해당될수있다. - 다만, 데이터베이스응용프로그램이설치 운영되지않는 PC, 노트북과같은업무용컴퓨터는개인정보처리시스템에서제외된다. 11. 위험도분석 이란개인정보유출에영향을미칠수있는다양한위험요소를식별 평가하고해당 위험요소를적절하게통제할수있는방안마련을위한종합적으로분석하는행위를말한다. 위험도분석이란개인정보처리시다양한위험요소를사전에식별 평가하고해당위험요소를적절하게통제할수있는방안마련을위하여종합적으로분석하는행위를의미한다. - 개인정보유출에영향을미칠수있는위험요소는내부자의고의 과실등관리적인측면과개인정보처리시스템, 관리용단말기등의악성코드감염으로인한해킹등기술적인측면그리고비인가자의전산실출입등물리적인측면으로나눌수있다. - 위험요소식별 평가및통제방안으로는개인정보처리시스템등자산식별, 위협확인, 위험확인, 대책마련, 사후관리등이해당될수있다. 12. 비밀번호 란정보주체또는개인정보취급자등이개인정보처리시스템, 업무용컴퓨터또는정보 통신망등에접속할때식별자와함께입력하여정당한접속권한을가진자라는것을식별할수 있도록시스템에전달해야하는고유의문자열로서타인에게공개되지않는정보를말한다. 비밀번호란정보주체또는개인정보취급자등이개인정보처리시스템, 업무용컴퓨터또는정보통신망 등에접속할때계정정보 (ID) 와함께입력하여정당한접속권한을가진자라는것을식별할수 있도록시스템에전달해야하는고유의문자열로서타인에게공개되지않는정보를말한다. TIP 사용자인증및비밀번호의기능으로생체인식, 보안카드, 일회용비밀번호 (One Time Password) 가사용되기도한다. 비밀번호는알수있는형태로관리되어서는아니된다. 내부직원또는비인가자나공격자등에의하여 고의또는악의적으로개인정보처리시스템등에접속하여개인정보를유출하는등불법행위가 가능하기때문이다. 26

27 13. 정보통신망 이란 전기통신기본법 제 2 조제 2 호에따른전기통신설비를이용하거나전기통신 설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송신또는수신하는 정보통신체계를말한다. 정보통신망은전기통신을하기위한기계 기구 선로기타전기통신에필요한설비를이용하거나 컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송신또는수신하는정보통신 체계를의미한다. 14. 공개된무선망 이란불특정다수가무선접속장치 (AP) 를통하여인터넷을이용할수있는망을 말한다. 공개된무선망은커피전문점, 도서관, 공항, 철도역, 버스터미널, 대학, 병원, 유통센터, 호텔등에설치될수있으며개인정보처리자가고객이나방문객용으로매장, 로비, 대합실, 회의실, 휴게실, 주차장등의장소에설치한무선접속장치도이에해당한다. 무선접속장치 (AP: Access Point): 와이파이 (Wi-Fi), 블루투스관련표준을이용하여유선장치 ( 예 : 유선 LAN) 와무선장치 ( 예 : 무선 LAN) 를연결시켜주는컴퓨터네트워크장치중의하나로서, 두장치간데이터를중계할수있으며라우터, 이더넷허브등에연결하여사용할수있다. 공개된무선망 ( 커피전문점 ) 예시 Ⅱ. 개인정보의안전성확보조치기준해설 TIP 개인정보처리자가직원의업무처리목적으로사무실, 회의실등에무선접속장치 (AP) 를설치하여운영하는경우 공개된무선망 에서제외된다. CDMA, WCDMA 등의기술을사용하는이동통신망은 공개된무선망 에서제외된다. 27

28 개인정보의안전성확보조치기준해설서 15. 모바일기기 란무선망을이용할수있는 PDA, 스마트폰, 태블릿 PC 등개인정보처리에이용되는 휴대용기기를말한다. 모바일기기는이동통신망, 와이파이 (Wi-Fi) 등의무선망을이용하여개인정보처리에이용되는 휴대용기기로서, 스마트폰, 태블릿 PC, PDA(Personal Digital Assistant) 등이있다. 모바일기기예시 PDA 스마트폰태블릿 PC 개인정보처리에이용되는휴대용기기 의의미는개인정보처리자가업무를목적으로개인정보취급자로하여금개인정보처리에이용하도록하는휴대용기기를말한다. - 개인소유의휴대용기기라할지라도개인정보처리자의업무목적으로개인정보처리에이용되는경우모바일기기에포함된다. TIP 개인정보처리자의 업무목적 으로 개인정보를처리 에이용되지않는휴대용기기는모바일기기에서제외된다. 16. 바이오정보 란지문, 얼굴, 홍채, 정맥, 음성, 필적등개인을식별할수있는신체적또는행동적 특징에관한정보로서그로부터가공되거나생성된정보를포함한다. 지문, 얼굴, 홍채, 정맥, 음성, 필적등의바이오정보는각개인마다고유의특징을갖고있어개인을식별하는정보로사용되며, 이러한바이오정보는신체적특징과행동적특징을기반으로생성된정보로구분할수있다. - 신체적특징 : 지문, 얼굴, 홍채, 정맥, 음성, 망막, 손모양, 손가락모양, 열상등 - 행동적특징 : 필적, 키보드타이핑, 입술움직임, 걸음걸이등 또한, 바이오정보는사람의신체적또는행동적특징을입력장치를통해최초로수집되어가공되지않은 원본정보 와그중특정알고리즘을통해특징만을추출하여생성된 특징정보 로구분하기도한다. 28

29 17. 보조저장매체 란이동형하드디스크, USB 메모리, CD(Compact Disk), DVD(Digital Versatile Disk) 등자료를저장할수있는매체로서개인정보처리시스템또는개인용컴퓨터등과용이하게 연결 분리할수있는저장매체를말한다. 보조저장매체에는이동형하드디스크, US 메모리, CD 등이해당된다. 보조저장매체예시 이동형하드디스크 USB 메모리 CD 18. 내부망 이란물리적망분리, 접근통제시스템등에의해인터넷구간에서의접근이통제또는 차단되는구간을말한다. 내부망이란인터넷구간과물리적으로망이분리되어있거나, 비인가된불법적인접근을차단하는기능등을가진접근통제시스템에의하여인터넷구간에서의직접접근이불가능하도록통제 차단되어있는구간을말한다. Ⅱ. 개인정보의안전성확보조치기준해설 내부망구성도예시 1 인터넷영역 1 접근통제시스템 DMZ 영역 2 접근통제시스템 내부망 내부작업영역 / 접근통제체계 내부망구성도예시 2 내부망 접근통제시스템 인터넷영역 중간지점 (DMZ) WWW DNS PROXY 29

30 개인정보의안전성확보조치기준해설서 19. 접속기록 이란개인정보취급자등이개인정보처리시스템에접속한사실을알수있는계정, 접속 일시, 접속자정보, 수행업무등을전자적으로기록한것을말한다. 이경우 접속 이란개인정보처리 시스템과연결되어데이터송신또는수신이가능한상태를말한다. 접속기록은개인정보취급자등이개인정보처리시스템에접속및운영등에관한이력정보를남기는기록으로서, 접속에관한정보와서비스이용에관한정보등이개인정보처리시스템의로그 (Log) 파일또는로그관리시스템등에전자적으로기록한것을말한다. 접속한사실을알수있는계정, 접속일시, 접속자정보, 수행업무 는접속한사실을확인하는데필요한정보를말한다. - 계정 : 개인정보처리시스템에서접속자를식별할수있도록부여된 ID 등계정정보 - 접속일시 : 접속한시점또는업무를수행한시점 ( 년-월-일, 시 : 분 : 초 ) - 접속자정보 : 접속한자의 PC, 모바일기기등단말기정보또는서버의 IP주소등접속주소 - 수행업무 : 개인정보취급자가개인정보처리시스템을이용하여개인정보를처리한내용을알수있는정보 개인정보에대한수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ) 등이수행업무에해당될수있다. 20. 관리용단말기 란개인정보처리시스템의관리, 운영, 개발, 보안등의목적으로개인정보처리 시스템에직접접속하는단말기를말한다. 개인정보처리시스템을관리, 운영, 개발, 보안등의목적으로개인정보처리시스템에직접접속할수있는업무용컴퓨터, 노트북등이관리용단말기에해당될수있다. 직접접속 이란물리적구조와상관없이단말기에서개인정보처리시스템에대하여관리, 운영, 개발, 보안등의목적으로활용할수있는명령어등을직접입력하여처리할수있는상태를말한다. 30

31 제 3 조 안전조치기준적용 제3조 ( 안전조치기준적용 ) 개인정보처리자가개인정보의안전성확보에필요한조치를하는경우에는 [ 별표 ] 개인정보처리자유형및개인정보보유량에따른안전조치기준을적용하여야한다. 이경우개인정보처리자가어느유형에해당하는지에대한입증책임은당해개인정보처리자가부담한다. 해설 개인정보처리자는 [ 별표 ] 에따라개인정보처리자유형과개인정보보유량을동시에적용하여개인정보처리자가해당하는유형의안전조치기준을적용하여야한다. [ 별표 ] 개인정보처리자유형및개인정보보유량에따른안전조치기준유형적용대상안전조치기준 Ⅱ. 개인정보의안전성확보조치기준해설 유형 1 ( 완화 ) 1 만명미만의정보주체에관한개인정보를보유한소상공인, 단체, 개인 제5조 : 제2항부터제5항까지 제6조 : 제1항, 제3항, 제6항및제7항 제7조 : 제1항부터제5항까지, 제7항 제8조, 제9조, 제10조, 제11조, 제13조 유형 2 ( 표준 ) 100 만명미만의정보주체에관한개인정보를보유한중소기업 10 만명미만의정보주체에관한개인정보를보유한대기업, 중견기업, 공공기관 1 만명이상의정보주체에관한개인정보를보유한소상공인, 단체, 개인 제 4 조 : 제 1 항제 1 호부터제 11 호까지및제 15 호, 제 3 항부터제 4 항까지 제 5 조 제 6 조 : 제 1 항부터제 7 항까지 제 7 조 : 제 1 항부터제 5 항까지, 제 7 항 제 8 조, 제 9 조, 제 10 조, 제 11 조, 제 13 조 유형 3 ( 강화 ) 10 만명이상의정보주체에관한개인정보를보유한대기업, 중견기업, 공공기관 100 만명이상의정보주체에관한개인정보를보유한중소기업, 단체 제 4 조부터제 13 조까지 31

32 개인정보의안전성확보조치기준해설서 개인정보처리자유형및개인정보보유량에따른안전조치적용유형 개인정보처리자유형 : 공공기관, 대기업, 중견기업, 중소기업, 소상공인, 개인, 단체 개인정보보유량 : 1 만명미만, 1 만명 ~10 만명미만, 10 만명 ~100 만명미만, 100 만명이상 구분 1 만명미만 1 만명 ~10 만명미만 10 만명 ~100 만명미만 100 만명이상 공공기관 대기업 유형 2( 표준 ) 유형 3( 강화 ) 중견기업 중소기업유형 2( 표준 ) 유형 3( 강화 ) 소상공인 개인 유형 1( 완화 ) 유형 2( 표준 ) 단체유형 1( 완화 ) 유형 2( 표준 ) 유형 3( 강화 ) 예시 : 50 만명의개인정보를보유한대기업은 유형 3( 강화 ) 에해당하는안전조치기준적용 예시 : 5 만명의개인정보를보유한중소기업은 유형 2( 표준 ) 에해당하는안전조치기준적용 예시 : 5 백명의개인정보를보유한소상공인은 유형 1( 완화 ) 에해당하는안전조치기준적용 개인정보처리자는개인정보보유량의변경 변동가능여부에대하여정기적으로확인하는등개인 정보처리자유형또는개인정보보유량이변동되는경우에도해당하는유형의안전조치기준을적용 하여야한다. 이경우개인정보처리자가어느유형에해당하는지에대하여입증할수있어야한다. 32

33 제 4 조 내부관리계획의수립 시행 제 4 조 ( 내부관리계획의수립 시행 ) ➊ 개인정보처리자는개인정보의분실 도난 유출 위조 변조또는훼손되지아니하도록내부의사결정절차를통하여다음각호의사항을포함하는내부관리계획을수립 시행하여야한다. 1. 개인정보보호책임자의지정에관한사항 2. 개인정보보호책임자및개인정보취급자의역할및책임에관한사항 3. 개인정보취급자에대한교육에관한사항 4. 접근권한의관리에관한사항 5. 접근통제에관한사항 6. 개인정보의암호화조치에관한사항 7. 접속기록보관및점검에관한사항 8. 악성프로그램등방지에관한사항 9. 물리적안전조치에관한사항 10. 개인정보보호조직에관한구성및운영에관한사항 Ⅱ. 개인정보의안전성확보조치기준해설 11. 개인정보유출사고대응계획수립 시행에관한사항 12. 위험도분석및대응방안마련에관한사항 13. 재해및재난대비개인정보처리시스템의물리적안전조치에관한사항 14. 개인정보처리업무를위탁하는경우수탁자에대한관리및감독에관한사항 15. 그밖에개인정보보호를위하여필요한사항 ➋ [ 별표 ] 의유형 1 에해당하는개인정보처리자는제 1 항에따른내부관리계획을수립하지아니할 수있고, [ 별표 ] 의유형 2 에해당하는개인정보처리자는제 1 항제 12 호부터제 14 호까지를내부 관리계획에포함하지아니할수있다. ➌ 개인정보처리자는제 1 항각호의사항에중요한변경이있는경우에는이를즉시반영하여내부 관리계획을수정하여시행하고, 그수정이력을관리하여야한다. ➍ 개인정보보호책임자는연 1 회이상으로내부관리계획의이행실태를점검 관리하여야한다. 33

34 개인정보의안전성확보조치기준해설서 해설 제 4 조 ( 내부관리계획의수립 시행 ) ➊ 개인정보처리자는개인정보의분실 도난 유출 위조 변조또는훼손되지아니하도록내부의사결정절차를통하여다음각호의사항을 포함하는내부관리계획을수립 시행하여야한다. 개인정보처리자는개인정보를처리함에있어서개인정보가분실 도난 유출 위조 변조또는훼손되지아니하도록안전성확보에필요한기술적 관리적및물리적안전조치에관한내부관리계획을수립하고시행하여야한다. 1. 개인정보보호책임자의지정에관한사항 2. 개인정보보호책임자및개인정보취급자의역할및책임에관한사항 3. 개인정보취급자에대한교육에관한사항 4. 접근권한의관리에관한사항 5. 접근통제에관한사항 6. 개인정보의암호화조치에관한사항 7. 접속기록보관및점검에관한사항 8. 악성프로그램등방지에관한사항 9. 물리적안전조치에관한사항 10. 개인정보보호조직에관한구성및운영에관한사항 11. 개인정보유출사고대응계획수립 시행에관한사항 12. 위험도분석및대응방안마련에관한사항 13. 재해및재난대비개인정보처리시스템의물리적안전조치에관한사항 14. 개인정보처리업무를위탁하는경우수탁자에대한관리및감독에관한사항 15. 그밖에개인정보보호를위하여필요한사항 내부관리계획은전사적인계획내에서개인정보가관리될수있도록최고경영층으로부터내부결재 등의승인을받아모든임직원및관련자에게알림으로써이를준수할수있도록하여야한다. TIP 내부관리계획의문서제목은가급적 내부관리계획 이라는용어를사용하는것이바람직하나, 개인정보 처리자의내부방침에따라다른용어를사용할수있다. - 다른용어를사용하는경우에도이기준제 4 조에관한사항을이행하여야한다. 34

35 개인정보내부관리계획목차예시 제1장총칙제1조 ( 목적 ) 제2조 ( 용어정의 ) 제3조 ( 적용범위 ) 제2장내부관리계획의수립및시행제4조 ( 내부관리계획의수립및승인 ) 제5조 ( 내부관리계획의공표 ) 제3장개인정보보호책임자의역할과책임제6조 ( 개인정보보호책임자의지정 ) 제7조 ( 개인정보보호책임자의역할및책임 ) 제8조 ( 개인정보취급자의역할및책임 ) 제4장개인정보보호교육제9조 ( 개인정보보호책임자의교육 ) 제10조 ( 개인정보취급자의교육 ) 제5장기술적안전조치제11조 ( 접근권한의관리 ) 제12조 ( 접근통제 ) 제13조 ( 개인정보의암호화 ) 제14조 ( 접속기록의보관및점검 ) 제15조 ( 악성프로그램등방지 ) Ⅱ. 개인정보의안전성확보조치기준해설 제6장관리적안전조치제16조 ( 개인정보보호조직구성및운영 ) 제17조 ( 개인정보유출사고대응 ) 제18조 ( 위험도분석및대응 ) 제19조 ( 수탁자에대한관리및감독 ) 제7장물리적안전조치제20조 ( 물리적안전조치 ) 제21조 ( 재해및재난대비안전조치 ) 제8장그밖에개인정보보호를위하여필요한사항 35

36 개인정보의안전성확보조치기준해설서 1. 개인정보보호책임자의지정에관한사항 개인정보보호책임자는개인정보처리에관한전반적인사항을결정하고이로인한제반결과에대하여책임을지는자이므로개인정보보호법 제도및기술등에대해이해와지식을보유한자로지정하여야한다. 개인정보보호책임자는개인정보수집 이용 제공등처리에대하여실질적인권한을가지고있어야하며조직내에서어느정도독자적인의사결정을할수있는지위에있는자이어야한다. 개인정보처리자가개인정보보호책임자를지정하거나변경하는경우에는개인정보처리방침에공개하여야한다. 제 31 조 ( 개인정보보호책임자의지정 ) 개인정보보호법 제 31 조제 1 항 1 개인정보처리자는개인정보의처리에관한업무를총괄해서책임질개인정보보호책임자를지정하여야한다. 제 32 조 ( 개인정보보호책임자의업무및지정요건등 ) 2 개인정보처리자는법제 31 조제 1 항에따라개인정보보호책임자를지정하려는경우에는다음각호의구분에따라지정한다. 1. 공공기관 : 다음각목의구분에따른기준에해당하는공무원등 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의행정사무를처리하는기관및중앙행정기관 : 고위공무원단에속하는공무원 ( 이하 고위공무원 이라한다 ) 또는그에상당하는공무원 나. 가목외에정무직공무원을장 ( 長 ) 으로하는국가기관 : 3 급이상공무원 ( 고위공무원을포함한다 ) 또는그에상당하는공무원 다. 가목및나목외에고위공무원, 3 급공무원또는그에상당하는공무원이상의공무원을장으로하는국가기관 : 4 급이상공무원또는그에상당하는공무원 라. 가목부터다목까지의규정에따른국가기관외의국가기관 ( 소속기관을포함한다 ): 해당기관의개인정보처리관련업무를담당하는부서의장 마. 시 도및시 도교육청 : 3 급이상공무원또는그에상당하는공무원 바. 시 군및자치구 : 4 급공무원또는그에상당하는공무원 사. 제 2 조제 5 호에따른각급학교 : 해당학교의행정사무를총괄하는사람 아. 가목부터사목까지의규정에따른기관외의공공기관 : 개인정보처리관련업무를담당하는부서의장. 다만, 개인정보처리관련업무를담당하는부서의장이 2 명이상인경우에는해당공공기관의 장이지명하는부서의장이된다. 2. 공공기관외의개인정보처리자 : 다음각목의어느하나에해당하는사람 가. 사업주또는대표자 개인정보보호법시행령 제 32 조제 2 항 나. 임원 ( 임원이없는경우에는개인정보처리관련업무를담당하는부서의장 ) 36

37 2. 개인정보보호책임자및개인정보취급자의역할및책임에관한사항 개인정보처리자는개인정보보호책임자가형식적으로외부에보여주기위한장치가아닌개인정보 처리자의내부관리체계를강화하고자율규제를활성화하는등개인정보보호책임자에게실질적인 권한과의무를부여하여야한다. 개인정보보호 제 31 조제 2~5 항 제 31 조 ( 개인정보보호책임자의지정 ) 2 개인정보보호책임자는다음각호의업무를수행한다. 1. 개인정보보호계획의수립및시행 2. 개인정보처리실태및관행의정기적인조사및개선 3. 개인정보처리와관련한불만의처리및피해구제 4. 개인정보유출및오용 남용방지를위한내부통제시스템의구축 5. 개인정보보호교육계획의수립및시행 6. 개인정보파일의보호및관리 감독 7. 그밖에개인정보의적절한처리를위하여대통령령으로정한업무 3 개인정보보호책임자는제2항각호의업무를수행함에있어서필요한경우개인정보의처리현황, 처리체계등에대하여수시로조사하거나관계당사자로부터보고를받을수있다. Ⅱ. 개인정보의안전성확보조치기준해설 4 개인정보보호책임자는개인정보보호와관련하여이법및다른관계법령의위반사실을알게된경우에는즉시개선조치를하여야하며, 필요하면소속기관또는단체의장에게개선조치를보고하여야한다. 5 개인정보처리자는개인정보보호책임자가제2항각호의업무를수행함에있어서정당한이유없이불이익을주거나받게하여서는아니된다. 개인정보보호법시행령 제32조제1항제32조 ( 개인정보보호책임자의업무및지정요건등 ) 1 법제31조제2항제7호에서 대통령령으로정한업무 란다음각호와같다. 1. 법제30조에따른개인정보처리방침의수립ㆍ변경및시행 2. 개인정보보호관련자료의관리 3. 처리목적이달성되거나보유기간이지난개인정보의파기 37

38 개인정보의안전성확보조치기준해설서 3. 개인정보취급자에대한교육에관한사항 개인정보처리자는개인정보의적정한취급을보장하기위하여개인정보취급자에게정기적으로필요한교육을실시하여야한다. 교육에관한사항에는교육목적, 교육대상, 교육내용 ( 프로그램등포함 ), 교육일정및방법등을포함하도록한다. 내부관리계획등에규정하거나 년개인정보보호교육계획 ( 안 ) 등과같은형태로수립할수있다. 교육내용은개인정보취급자의지위 직책, 담당업무의내용, 업무숙련도등에따라각기다르게할필요가있다. 해당업무를수행하기위한분야별전문기술교육뿐만아니라개인정보보호관련법률및제도, 내부관리계획등필히알고있어야하는사항을포함하여교육을실시하도록한다. 개인정보보호교육내용예시ㆍ개인정보보호의중요성ㆍ내부관리계획의제 개정에따른준수및이행ㆍ위험및대책이포함된조직보안정책, 보안지침, 지시사항, 위험관리전략ㆍ개인정보처리시스템의안전한운영 사용법 ( 하드웨어, 소프트웨어등 ) ㆍ개인정보의안전성확보조치기준ㆍ개인정보보호업무의절차, 책임, 방법ㆍ개인정보처리절차별준수사항및금지사항ㆍ개인정보유 노출및침해신고등에따른사실확인및보고, 피해구제절차등 교육방법에는사내교육, 외부교육, 위탁교육등여러종류가있을수있으며, 조직의여건및환경을 고려하여집체교육, 온라인교육등다양한방법을활용할수있다. TIP 행정자치부가운영하는개인정보보호종합포털 ( 에서제공하는온라인및현장교육 프로그램, 교육교재그리고전문강사등을활용할수있다. 38

39 4. 접근권한의관리에관한사항 개인정보처리시스템등에접근권한이없는자의접근을방지하기위하여이기준제5조 ( 접근권한의관리 ) 에관한사항을포함하여야한다. - 개인정보취급자등에게업무수행에필요한최소한의범위로접근권한의부여, 변경또는말소에대한내역을기록및보관 - 개인정보취급자등에대한비밀번호작성규칙수립및적용등 5. 접근통제에관한사항 정보통신망을통하여개인정보처리시스템등에불법적인접근을차단하고침해사고를예방 방지하기위하여이기준제6조 ( 접근통제 ) 에관한사항을포함하여야한다. - 정보통신망을통한불법적인접근및침해사고방지를위한침입차단, 침입탐지기능을포함한조치 - 개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에접속하는경우안전한접속수단또는안전한인증수단의적용 - 개인정보유 노출방지를위한업무용컴퓨터등에대한안전조치 - 고유식별정보를처리하는인터넷홈페이지에대한취약점점검및개선조치등 Ⅱ. 개인정보의안전성확보조치기준해설 6. 개인정보의암호화조치에관한사항 고유식별정보, 비밀번호및바이오정보가개인정보처리시스템등에저장되거나정보통신망을통해전송되는경우, 노출및위ㆍ변조등을방지하기위하여이기준제7조 ( 개인정보의암호화 ) 에관한사항을포함하여야한다. - 고유식별정보, 비밀번호및바이오정보는안전한알고리즘으로암호화저장 - 고유식별정보, 비밀번호및바이오정보는정보통신망을통해송신시암호화등 7. 접속기록보관및점검에관한사항 개인정보취급자가개인정보처리시스템에접속한정보등을확인할수있는중요한사항으로이기준 제 8 조 ( 접속기록의보관및점검 ) 에관한사항을포함하여야한다. - 개인정보취급자가개인정보처리시스템에접속한기록의보관 관리및점검등 39

40 개인정보의안전성확보조치기준해설서 8. 악성프로그램등방지에관한사항 업무용컴퓨터등에악성프로그램등의설치로인한개인정보의유출을예방하기위하여이기준제9조 ( 악성프로그램등방지 ) 에관한사항을포함하여야한다. - 백신소프트웨어등의보안프로그램설치 운영 - 보안프로그램은최신상태로유지하고보안업데이트실시등 9. 물리적안전조치에관한사항 개인정보가보관되어있는물리적장소나서류 매체등을안전하게관리하기위하여이기준제11조 ( 물리적접근방지 ) 에관한사항을포함하여야한다. - 전산실등물리적보관장소를두고있는경우에는출입통제절차수립 운영 - 서류, 보조저장매체등은잠금장치가있는안전한장소에보관 - 보조저장매체의반출 입통제를위한보안대책마련등 10. 개인정보보호조직에관한구성및운영에관한사항 개인정보처리자는개인정보처리과정전반에걸쳐개인정보를안전하게관리하고보호하기위하여개인정보보호조직을구성하고운영하여야한다. 개인정보보호조직은처리하는개인정보의종류 중요도및보유량, 개인정보를처리하는방법및환경등을고려하여개인정보처리자스스로구성및운영하도록한다. 개인정보보호조직은인사명령, 업무분장, 내부관리계획등에명시하도록하며인력의지정에관한사항, 역할및책임그리고역량및요건등적정성에관한사항등을포함할수있다. 개인정보보호조직구성도예시 개인정보취급부서 ( 영업 / 마케팅부서 ) 개인정보취급자 개인정보취급자 개인정보보호책임자 개인정보취급부서 ( 고객상담 / 지원부서 ) 개인정보취급자 개인정보취급자 개인정보보호담당 ( 개인정보보호부서 ) 개인정보취급부서 ( 시스템운영 / 관리부서 ) 개인정보취급자 개인정보취급자 ㆍ개인정보보호책임자 : 개인정보처리에관한업무를총괄해서책임지는자 ㆍ개인정보보호담당 : 개인정보보호책임자의지휘 감독하에개인정보보호책임자의업무를지원하는자 ㆍ개인정보취급부서 : 개인정보를처리하는부서 ㆍ개인정보취급자 : 개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자 40

41 11. 개인정보유출사고대응계획수립 시행에관한사항 개인정보유출사고발생시신속한대응을통해피해발생을최소화하기위하여긴급조치, 유출신고및통지, 피해신고접수및피해구제등과같은사항을포함하는개인정보유출사고대응계획을수립 시행하여야한다. 개인정보유출사고대응계획예시 ㆍ개인정보유출의정의및사례 유형ㆍ개인정보유출사고예방을위한안전조치및상시모니터링수행ㆍ개인정보유출사고대응팀구성 운영및비상연락망ㆍ개인정보유출사고시단계별대응절차 - 사고인지및긴급조치, 유출통지및신고, 피해신고접수및피해구제, 사고원인분석및안전조치, 재발방지대책수립 운영등 TIP 표준개인정보유출사고대응매뉴얼 은개인정보보호종합포털 ( 에서다운로드할수있다. 12. 위험도분석및대응방안마련에관한사항 Ⅱ. 개인정보의안전성확보조치기준해설 개인정보유출에영향을미칠수있는다양한위험요소를사전에식별 평가하고해당위험요소를적절하게통제할수있는방안을마련하기위해종합적으로분석하는등위험도분석및대응방안에관한사항을마련하여야한다. - 개인정보위험도분석기준및해설서 에따른위험도분석을수행하고대응방안을마련하거나개인정보처리자가처리하는개인정보의종류및중요도, 개인정보를처리하는방법및환경등에따라국제표준및전문기관권고사항등을적용하는등개인정보처리자스스로이행할수도있다. 위험도분석및대응방안예시ㆍ ( 자산식별 ) 개인정보, 개인정보처리시스템등보호대상을명확하게확인ㆍ ( 위협확인 ) 자산에손실또는해를끼칠수있는위협요소 ( 취약점등 ) 확인ㆍ ( 위험확인 ) 위협으로인하여자산에영향을끼칠수있는위험의내용과정도를확인ㆍ ( 대책마련 ) 위험에대한적절한통제방안마련ㆍ ( 사후관리 ) 위험대책을적용하고지속적으로개선 관리를위한안전조치사항 TIP 개인정보위험도분석기준및해설서 는개인정보보호종합포털 ( 에서다운로드할수있다. 41

42 개인정보의안전성확보조치기준해설서 13. 재해및재난대비개인정보처리시스템의물리적안전조치에관한사항 개인정보처리자는재해 재난발생시개인정보처리시스템보호를통하여개인정보의손실, 훼손등을방지하기위하여이기준제12조 ( 재해 재난대비안전조치 ) 에관한사항을포함하여야한다. - 개인정보처리시스템보호를위한대응절차마련및점검 - 개인정보처리시스템백업및복구를위한계획마련등 14. 개인정보처리업무를위탁하는경우수탁자에대한관리및감독에관한사항 개인정보처리자는개인정보처리업무위탁으로인하여정보주체의개인정보가분실 도난 유출 변조또는훼손되지아니하도록수탁자를교육하고, 수탁자가개인정보를안전하게처리하는지를감독하여야한다. 개인정보보호법 제26조제4항제26조 ( 업무위탁에따른개인정보의처리제한 ) 4 위탁자는업무위탁으로인하여정보주체의개인정보가분실 도난 유출 위조 변조또는훼손되지아니하도록수탁자를교육하고, 처리현황점검등대통령령으로정하는바에따라수탁자가개인정보를안전하게처리하는지를감독하여야한다. 개인정보처리자는수탁자에대하여정기적으로교육을실시하고, 수탁자의개인정보처리현황및실태, 목적외이용 제공, 재위탁여부, 안전성확보조치여부등을정기적으로점검등관리 감독하여야한다. 내부관리계획에는수탁자에대한교육및감독의시기와방법, 절차, 점검항목등을포함해야하며, 이외수탁자교육및감독에대한기록을남기고문제점이발견된경우그에따른개선조치를하여야한다. 15. 그밖에개인정보보호를위하여필요한사항 개인정보처리자는처리하는개인정보의종류및중요도, 보유량그리고개인정보를처리하는방법및환경등을고려하여개인정보의분실 도난 유출 위조 변조또는훼손되지아니하도록안전조치를취하기위한사항을추가적으로포함하도록한다. - 예를들어, 인증제도 인증마크의도입, 소프트웨어보안취약점점검및모의해킹, 내 외부관리실태점검및평가등에관한사항이이에해당될수있다. 42

43 ➋ [ 별표 ] 의유형 1 에해당하는개인정보처리자는제 1 항에따른내부관리계획을수립하지 아니할수있고, [ 별표 ] 의유형 2 에해당하는개인정보처리자는제 1 항제 12 호부터제 14 호 까지를내부관리계획에포함하지아니할수있다. 안전조치기준에따른적용유형 항 제4조 ( 내부관리계획의수립 시행 ) 유형1 ( 완화 ) 호 유형 2 ( 표준 ) 유형 3 ( 강화 ) 1. 개인정보보호책임자의지정에관한사항 1 개인정보처리자는개인정보의분실 도난 유출 위조 변조또는훼손되지아니하도록내부의사결정절차를통하여다음각호의사항을포함하는내부관리계획을수립 시행하여야한다. 2. 개인정보보호책임자및개인정보취급자의역할및책임에관한사항 3. 개인정보취급자에대한교육에관한사항 4. 접근권한의관리에관한사항 5. 접근통제에관한사항 6. 개인정보의암호화조치에관한사항 7. 접속기록보관및점검에관한사항 8. 악성프로그램등방지에관한사항 9. 물리적안전조치에관한사항 10. 개인정보보호조직에관한구성및운영에관한사항 Ⅱ. 개인정보의안전성확보조치기준해설 11. 개인정보유출사고대응계획수립 시행에관한사항 12. 위험도분석및대응방안마련에관한사항 13. 재해및재난대비개인정보처리시스템의물리적안전조치에관한사항 14. 개인정보처리업무를위탁하는경우수탁자에대한관리및감독에관한사항 15. 그밖에개인정보보호를위하여필요한사항 2 [ 별표 ] 의유형 1 에해당하는개인정보처리자는제 1 항에따른내부관리계획을수립하지아니할수있고, [ 별표 ] 의유형 2 에해당하는개인정보처리자는제 1 항제 12 호부터제 14 호까지를내부관리계획에포함하지아니할수있다. 3 개인정보처리자는제 1 항각호의사항에중요한변경이있는경우에는이를즉시반영하여내부 관리계획을수정하여시행하고, 그수정이력을관리하여야한다. 4 개인정보보호책임자는연 1 회이상으로내부관리계획의이행실태를점검 관리하여야한다. 43

44 개인정보의안전성확보조치기준해설서 ➌ 개인정보처리자는제 1 항각호의사항에중요한변경이있는경우에는이를즉시 반영하여내부관리계획을수정하여시행하고, 그수정이력을관리하여야한다. 개인정보처리자는개인정보처리방법, 처리환경및안전조치사항등내부관리계획에중요한변경이있는경우에는변경사항을즉시반영하여내부관리계획을수정 변경하여시행하여야한다. 내부관리계획의수정 변경시에도내부의사결정절차를통하여내부관리계획을수정하여시행하여야한다. 내부관리계획을수정 변경하는경우에는그내용, 수정및시행시기등이력을관리하여야한다. 또한, 내부관리계획의수정 변경사항을개인정보취급자등에게전파하여이를준수할수있도록한다. ➍ 개인정보보호책임자는연 1 회이상으로내부관리계획의이행실태를점검 관리하여야 한다. 개인정보보호책임자는내부관리계획의적정성과실효성을보장하기위하여연 1회이상내부관리계획의이행실태를점검 관리하여야한다. 내부관리계획의이행실태점검 관리결과에따라적절한조치를취하여야하며, 중대한영향을초래하거나해를끼칠수있는사안등에대해서는사업주 대표 임원등에게보고후, 의사결정절차를통하여적절한대책을마련하여야한다. 44

45 제 5 조 접근권한의관리 제5조 ( 접근권한의관리 ) ➊ 개인정보처리자는개인정보처리시스템에대한접근권한을업무수행에필요한최소한의범위로업무담당자에따라차등부여하여야한다. ➋ 개인정보처리자는전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을경우지체없이개인정보처리시스템의접근권한을변경또는말소하여야한다. ➌ 개인정보처리자는제1항및제2항에의한권한부여, 변경또는말소에대한내역을기록하고, 그기록을최소 3년간보관하여야한다. ➍ 개인정보처리자는개인정보처리시스템에접속할수있는사용자계정을발급하는경우개인정보취급자별로사용자계정을발급하여야하며, 다른개인정보취급자와공유되지않도록하여야한다. ➎ 개인정보처리자는개인정보취급자또는정보주체가안전한비밀번호를설정하여이행할수있도록비밀번호작성규칙을수립하여적용하여야한다. ➏ 개인정보처리자는권한있는개인정보취급자만이개인정보처리시스템에접근할수있도록계정정보또는비밀번호를일정횟수이상잘못입력한경우개인정보처리시스템에대한접근을제한하는등필요한기술적조치를하여야한다. Ⅱ. 개인정보의안전성확보조치기준해설 ➐ [ 별표 ] 의유형 1 에해당하는개인정보처리자는제 1 항및제 6 항을아니할수있다. 해설 ➊ 개인정보처리자는개인정보처리시스템에대한접근권한을업무수행에필요한 최소한의범위로업무담당자에따라차등부여하여야한다. 개인정보처리자는개인정보의분실 도난 유출 변조또는훼손을방지하기위하여개인정보처리시스템에대한접근권한을업무수행목적에따라필요한최소한의범위로업무담당자에게차등부여하고접근통제를위한안전조치를취해야한다. 특히, 개인정보처리시스템의데이터베이스 (DB) 에대한직접적인접근은데이터베이스운영 관리자에한정하는등의안전조치를적용할필요성이있다. 45

46 개인정보의안전성확보조치기준해설서 ➋ 개인정보처리자는전보또는퇴직등인사이동이발생하여개인정보취급자가변경 되었을경우지체없이개인정보처리시스템의접근권한을변경또는말소하여야한다. 조직내의임직원전보또는퇴직, 휴직등인사이동이발생하여사용자계정의변경 말소등이필요한경우에는사용자계정관리절차에따라통제하여인가되지않는자의접근을차단하여야한다. 예를들어, 직원의퇴직시해당직원의계정을지체없이변경 말소하는조치등을내부관리계획등에반영하여이행하도록한다. 또한, 직원의퇴직시계정말소를효과적으로이행하기위해서는퇴직점검표에사용자계정의말소항목을반영하여, 계정말소여부에대해확인을받을수도있다. ➌ 개인정보처리자는제 1 항및제 2 항에의한권한부여, 변경또는말소에대한내역을 기록하고, 그기록을최소 3 년간보관하여야한다. 개인정보처리자는접근권한부여, 변경, 말소에대한내역을전자적으로기록하거나수기로작성한관리대장등에기록하고해당기록을최소 3년간보관하여야한다. 예를들어, 신청자정보, 신청일시, 승인자및발급자정보, 신청및발급사유등발급과정과이력등을확인할수있도록필요한정보를보관하여야한다. ➍ 개인정보처리자는개인정보처리시스템에접속할수있는사용자계정을발급하는경우 개인정보취급자별로사용자계정을발급하여야하며, 다른개인정보취급자와공유되지 않도록하여야한다. 개인정보처리시스템에접속할수있는사용자계정은개인정보취급자별로발급하고다른개인정보취급자와공유되지않도록하여야한다. 다수의개인정보취급자가동일한업무를수행한다하더라도하나의사용자계정을공유하지않도록개인정보취급자별로아이디 (ID) 를발급하여사용하고, 각개인정보취급자별개인정보처리내역에대한책임추적성 (Accountability) 을확보하여야한다. 책임추적성이란개인정보취급에따른문제발생시사용자계정을기반으로책임소재를파악하는것을말한다. ➎ 개인정보처리자는개인정보취급자또는정보주체가안전한비밀번호를설정하여이행할 수있도록비밀번호작성규칙을수립하여적용하여야한다. 개인정보처리자는개인정보취급자또는정보주체가안전한비밀번호를설정하여이행할수있도록 비밀번호작성규칙을수립하고이를개인정보처리시스템, 접근통제시스템, 인터넷홈페이지등에 적용하여야한다. 46

47 비밀번호는정당한접속권한을가지지않는자가추측하거나접속을시도하기어렵도록문자, 숫자등으로조합 구성하여야한다. 비밀번호이외의추가적인인증에사용되는휴대폰인증, 일회용비밀번호 (OTP) 등은비밀번호작성규칙을적용하지아니할수있다. 특히, 개인정보처리시스템의데이터베이스 (DB) 에접속하는 DB관리자의비밀번호는복잡하게구성하고변경주기를짧게하는등강화된안전조치를적용할필요가있다. TIP 안전한비밀번호설정을위해한국인터넷진흥원 (KISA) 의암호이용활성화홈페이지 ( 에서 제공하는 패스워드선택및이용안내서 나비밀번호안전성검증소프트웨어등을활용할수있다. 비밀번호작성규칙예시ㆍ비밀번호는문자, 숫자의조합 구성에따라최소 10자리또는 8자리이상의길이로설정 기술발달에따라비밀번호의최소길이는늘어날수있다. - 최소 10자리이상 : 영대문자 (A~Z, 26개 ), 영소문자 (a~z, 26개 ), 숫자 (0~9, 10개 ), 특수문자 (#, [,, < 등, 32개 ) 중 2종류이상으로조합 구성한경우 - 최소 8자리이상 : 영대문자, 영소문자, 숫자, 특수문자중 3종류이상으로구성한경우ㆍ비밀번호는추측하거나유추하기어렵도록설정 - 일련번호 ( 등 ), 전화번호, 잘알려진단어 (love, happy 등 ), 키보드상에서나란히있는문자열 (qwer 등 ) 등을사용하지않도록한다. Ⅱ. 개인정보의안전성확보조치기준해설 ㆍ비밀번호를최소 6 개월마다변경하도록변경기간을적용하는등장기간사용하지않는다. - 변경시동일한 ( 예시 : Mrp15@*1aT 와 Mrp15@*1at) 비밀번호를교대로사용하지않도록한다. ➏ 개인정보처리자는권한있는개인정보취급자만이개인정보처리시스템에접근할수있도록 계정정보또는비밀번호를일정횟수이상잘못입력한경우개인정보처리시스템에대한 접근을제한하는등필요한기술적조치를하여야한다. 개인정보처리자는개인정보처리시스템에권한없는자의비정상적인접근을방지하기위하여계정정보또는비밀번호를일정횟수이상잘못입력한경우에는개인정보처리시스템에접근을제한하는등기술적조치를하여야한다. - 계정정보또는비밀번호를일정횟수 ( 예 : 5회 ) 이상잘못입력한경우사용자계정잠금등의조치를취하거나계정정보 비밀번호입력과동시에추가적인인증수단 ( 공인인증서, OTP 등 ) 을적용하여정당한접근권한자임을확인하는등의조치를취하는것을말한다. 개인정보취급자에게개인정보처리시스템에대한접근을재부여하는경우에도반드시개인정보취급자여부를확인후계정잠금해제등의조치가필요하다. 47

48 개인정보의안전성확보조치기준해설서 TIP 일반적인비밀번호공격방법은사전공격과무작위대입공격이있다. - 사전공격 (Dictionary Attack): 자주사용되는단어를비밀번호에대입하는공격방법 - 무작위대입공격 (Brute Force): 가능한한모든값을비밀번호에대입해보는공격방법 ➐ [ 별표 ] 의유형 1 에해당하는개인정보처리자는제 1 항및제 6 항을아니할수있다. 안전조치기준에따른적용유형 제 5 조 ( 접근권한의관리 ) 유형 1 ( 완화 ) 유형 2 ( 표준 ) 유형 3 ( 강화 ) 1 개인정보처리자는개인정보처리시스템에대한접근권한을업무수행에필요한최소한의 범위로업무담당자에따라차등부여하여야한다. 2 개인정보처리자는전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을 경우지체없이개인정보처리시스템의접근권한을변경또는말소하여야한다. 3 개인정보처리자는제 1 항및제 2 항에의한권한부여, 변경또는말소에대한내역을기록하고, 그기록을최소 3 년간보관하여야한다. 4 개인정보처리자는개인정보처리시스템에접속할수있는사용자계정을발급하는경우개인 정보취급자별로사용자계정을발급하여야하며, 다른개인정보취급자와공유되지않도록 하여야한다. 5 개인정보처리자는개인정보취급자또는정보주체가안전한비밀번호를설정하여이행할수 있도록비밀번호작성규칙을수립하여적용하여야한다. 6 개인정보처리자는권한있는개인정보취급자만이개인정보처리시스템에접근할수있도록 계정정보또는비밀번호를일정횟수이상잘못입력한경우개인정보처리시스템에대한 접근을제한하는등필요한기술적조치를하여야한다. 7 [ 별표 ] 의유형 1 에해당하는개인정보처리자는제 1 항및제 6 항을아니할수있다. 48

49 제 6 조 접근통제 제6조 ( 접근통제 ) ➊ 개인정보처리자는정보통신망을통한불법적인접근및침해사고방지를위해다음각호의기능을포함한조치를하여야한다. 1. 개인정보처리시스템에대한접속권한을 IP(Internet Protocol) 주소등으로제한하여인가받지않은접근을제한 2. 개인정보처리시스템에접속한 IP(Internet Protocol) 주소등을분석하여불법적인개인정보유출시도탐지및대응 ➋ 개인정보처리자는개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에접속하려는경우가상사설망 (VPN: Virtual Private Network) 또는전용선등안전한접속수단을적용하거나안전한인증수단을적용하여야한다. ➌ 개인정보처리자는취급중인개인정보가인터넷홈페이지, P2P, 공유설정, 공개된무선망이용등을통하여열람권한이없는자에게공개되거나유출되지않도록개인정보처리시스템, 업무용컴퓨터, 모바일기기및관리용단말기등에접근통제등에관한조치를하여야한다. ➍ 고유식별정보를처리하는개인정보처리자는인터넷홈페이지를통해고유식별정보가유출 변조 훼손되지않도록연 1회이상취약점을점검하고필요한보완조치를하여야한다. Ⅱ. 개인정보의안전성확보조치기준해설 ➎ 개인정보처리자는개인정보처리시스템에대한불법적인접근및침해사고방지를위하여개인정보취급자가일정시간이상업무처리를하지않는경우에는자동으로시스템접속이차단되도록하여야한다. ➏ 개인정보처리자가별도의개인정보처리시스템을이용하지아니하고업무용컴퓨터또는모바일기기를이용하여개인정보를처리하는경우에는제1항을적용하지아니할수있으며, 이경우업무용컴퓨터또는모바일기기의운영체제 (OS: Operating System) 나보안프로그램등에서제공하는접근통제기능을이용할수있다. ➐ 개인정보처리자는업무용모바일기기의분실 도난등으로개인정보가유출되지않도록해당모바일기기에비밀번호설정등의보호조치를하여야한다. ➑ [ 별표 ] 의유형1에해당하는개인정보처리자는제2항, 제4항부터제5항까지의조치를아니할수있다. 49

50 개인정보의안전성확보조치기준해설서 해설 ➊ 개인정보처리자는정보통신망을통한불법적인접근및침해사고방지를위해다음각호의기능을포함한조치를하여야한다. 1. 개인정보처리시스템에대한접속권한을 IP(Internet Protocol) 주소등으로제한하여인가받지않은접근을제한 2. 개인정보처리시스템에접속한 IP(Internet Protocol) 주소등을분석하여불법적인개인정보유출시도탐지및대응 개인정보처리자는개인정보처리시스템에서정보통신망을통한불법적인접근및침해사고를방지하기위해아래의기능을포함한안전조치를하여야한다. - 개인정보처리시스템에대한접속권한을 IP(Internet Protocol) 주소, 포트 (Port), MAC(Media Access Control) 주소등으로제한하여인가받지않은접근을제한하도록한다.( 침입차단기능 ) - 개인정보처리시스템에접속한 IP(Internet Protocol) 주소, 포트 (Port), MAC(Media Access Control) 주소등을분석하여불법적인개인정보유출시도를탐지 ( 침입탐지기능 ) 하고접근제한 차단등적절한대응조치를하여야한다. 불법적인접근및침해사고방지를위해서는침입차단및침입탐지기능을갖는장비설치와더불어침입차단및침입탐지정책설정, 개인정보처리시스템에접속한이상행위대응, 로그훼손방지등적절한운영 관리가필요하다. 침입차단및침입탐지기능을갖춘장비의설치방법예시 ㆍ침입차단시스템, 침입탐지시스템, 침입방지시스템등설치 운영ㆍ웹방화벽, 보안운영체제 (Secure OS) 등도입ㆍ스위치등의네트워크장비에서제공하는 ACL(Access Control List: 접근제어목록 ) 등기능을이용하여 IP 주소등을제한함으로써침입차단기능을구현ㆍ공개용소프트웨어를사용하거나, 운영체제 (OS) 에서제공하는기능을활용하여해당기능을포함한시스템을설치 운영 - 다만, 공개용소프트웨어를사용하는경우에는적절한보안이이루어지는지를사전에점검하고정기적인업데이트여부등확인후적용필요 이외에도, 인터넷데이터센터 (IDC), 클라우드서비스, 보안업체등에서제공하는보안서비스등도활용가능 50

51 ➋ 개인정보처리자는개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에 접속하려는경우가상사설망 (VPN: Virtual Private Network) 또는전용선등안전한 접속수단을적용하거나안전한인증수단을적용하여야한다. 인터넷구간등외부로부터개인정보처리시스템에대한접속은원칙적으로차단하여야하나, 개인정보처리자의업무특성또는필요에의해개인정보취급자가노트북, 업무용컴퓨터, 모바일기기등으로외부에서정보통신망을통해개인정보처리시스템에접속이필요한경우에는안전한접속수단을적용하거나안전한인증수단을적용하여야한다. - 접속수단예시 : 가상사설망 (VPN: Virtual Private Network) 또는전용선등 가상사설망 (VPN: Virtual Private Network): 개인정보취급자가사업장내의개인정보처리시스템에 대해원격으로접속할때 IPsec 이나 SSL 기반의암호프로토콜을사용한터널링기술을통해안전한 암호통신을할수있도록해주는보안시스템을의미 전용선 : 물리적으로독립된회선으로서두지점간에독점적으로사용하는회선으로개인정보처리자와 개인정보취급자, 또는본점과지점간직통으로연결하는회선등을의미 서버 본사 PC 가상사설망및전용선구성예시 전용선 인터넷 VPN 서버 지사 PC Ⅱ. 개인정보의안전성확보조치기준해설 IPsec(IP Security Protocol) 은인터넷프로토콜 (IP) 통신보안을위해패킷에암호화기술이적용된프로토콜집합 TIP SSL(Secure Sockets Layer) 은웹브라우저 ( 클라이언트 ) 와웹서버 ( 서버 ) 간에데이터를안전하게주고받기위해암호화기술이적용된보안프로토콜 - IPsec, SSL 등의기술이사용된가상사설망을안전하게사용하기위해서는, 잘알려진취약점 ( 예시 : Open SSL의 HeartBleed 취약점 ) 들을조치하고사용할필요가있다. - 인증수단예시 : 인증서 (PKI), 보안토큰, 일회용비밀번호 (OTP) 등 인증서 (PKI, Public Key Infrastructure): 전자상거래등에서상대방과의신원확인, 거래사실증명, 문서의위 변조여부검증등을위해사용하는전자서명으로서해당전자서명을생성한자의신원을확인하는수단 보안토큰 : 암호연산장치등으로내부에저장된정보가외부로복사, 재생성되지않도록공인인증서등을안전하게보호할수있는수단으로스마트카드, USB 토큰등이해당 일회용비밀번호 (OTP, One Time Password): 무작위로생성되는난수를일회용비밀번호로한번생성하고, 그인증값이한번만사용가능하도록하는방식 TIP 인증수단만을적용하는경우에는통신보안을위한암호화기술의추가적용이필요할수있으므로, 보안성강화를 위하여안전한접속수단을권고한다. 51

52 개인정보의안전성확보조치기준해설서 ➌ 개인정보처리자는취급중인개인정보가인터넷홈페이지, P2P, 공유설정, 공개된무선망이용등을통하여열람권한이없는자에게공개되거나유출되지않도록개인정보처리시스템, 업무용컴퓨터, 모바일기기및관리용단말기등에접근통제등에관한조치를하여야한다. 개인정보처리자는취급중인개인정보가인터넷홈페이지등을통해열람권한이없는자에게공개되거나유출되지않도록접근통제등에관한안전조치를하여야한다. - 인터넷홈페이지중서비스제공에사용되지않거나관리되지않는사이트또는 URL(Uniform Resource Locator) 에대한삭제또는차단조치를한다. - 인터넷홈페이지의설계 개발오류또는개인정보취급자의업무상부주의등으로인터넷서비스검색엔진 ( 구글링등 ) 등을통해관리자페이지와취급중인개인정보가노출되지않도록필요한조치를한다. 인터넷홈페이지를통하여개인정보가유출될수있는위험성을줄이기위하여정기적으로웹취약점점검을권고한다. 개인정보처리자는개인정보처리시스템, 업무용컴퓨터, 모바일기기및관리용단말기등에 P2P, 공유설정은기본적으로사용하지않는것이원칙이나, 업무상반드시필요한경우에는권한설정등의조치를통해권한이있는자만접근할수있도록설정하여개인정보가열람권한이없는자에게공개되거나유출되지않도록접근통제등에관한안전조치를하여야한다. - 업무상꼭필요한경우라도드라이브전체또는불필요한폴더가공유되지않도록조치하고, 공유폴더에개인정보파일이포함되지않도록정기적으로점검이필요하다. - 이외에도상용웹메일, 웹하드, 메신저, SNS 서비스등을통하여고의혹은부주의로인한개인정보유 노출방지조치등이해당될수있다. P2P, 웹하드등의사용을제한하는경우에도단순히사용금지조치를취하는것이아니라시스템상에서해당포트를차단하는등근본적인안전조치를취하는것이필요하다. 개인정보처리자는공개된무선망을이용하여개인정보를처리하는경우취급중인개인정보가신뢰되지않은무선접속장치 (AP), 무선전송구간및무선접속장치의취약점등에의해열람권한이없는자에게공개되거나유출되지않도록접근통제등에관한안전조치를하여야하며, 다음과같은방식들을활용할수있다. - 비밀번호등송신시 SSL, VPN 등의보안기술이적용된전용프로그램을사용하거나암호화하여송신한다. 예시 : 모바일기기, 노트북에서개인정보처리시스템에개인정보전송시, 전송암호화기능이탑재된별도의앱 (App) 이나프로그램을설치하고이를이용하여전송 - 고유식별정보등이포함된파일송신시파일을암호화하여저장후송신한다. 예시 : 모바일기기, 노트북에서개인정보처리시스템에고유식별정보가포함된파일송신시, 암호화저장한후송신 - 개인정보유출방지조치가적용된공개된무선망을이용한다. 예시 : 모바일기기, 노트북에서설치자를신뢰할수있고관리자비밀번호등을포함한알려진보안취약점이조치된무선접속장치에안전한비밀번호를적용한 WPA2(Wi-Fi Protected Access 2) 보안프로토콜을사용하는공개된무선망사용 52

53 ➍ 고유식별정보를처리하는개인정보처리자는인터넷홈페이지를통해고유식별정보가 유출 변조 훼손되지않도록연 1 회이상취약점을점검하고필요한보완조치를하여야 한다. 인터넷홈페이지를통해고유식별정보 ( 주민등록번호, 운전면허번호, 외국인등록번호, 여권번호 ) 를처리하는개인정보처리자는고유식별정보가유출 변조 훼손되지않도록해당인터넷홈페이지에대해연 1회이상취약점을점검하여야하며, 그결과에따른개선조치를하여야한다. 웹취약점점검항목예시 : SQL_Injection 취약점, CrossSiteScript 취약점, File Upload 및 Download 취약점, ZeroBoard 취약점, Directory Listing 취약점, URL 및 Parameter 변조등 잘알려진웹취약점점검항목은행정자치부, 국가사이버안전센터 (NCSC), 한국인터넷진흥원 (KrCERT), OWASP( 오픈소스웹보안프로젝트 ) 등에서발표하는항목참조 TIP 웹취약점점검과함께정기적으로웹쉘등을점검하고조치하는경우취급중인개인정보가인터넷홈페이지를통해열람권한이없는자에게공개되거나유출되는위험성을더욱줄일수있다. 인터넷홈페이지의취약점점검시에는기록을남겨책임추적성확보및향후개선조치등에활용할수있도록할필요가있다. Ⅱ. 개인정보의안전성확보조치기준해설 인터넷홈페이지의취약점점검은개인정보처리자의자체인력, 보안업체등을활용할수있으며, 취약점점검은상용도구, 공개용도구, 자체제작도구등을사용할수있다. 취약점점검및조치에활용할수있는기술문서는아래와같이다양한자료가있다. - 공개소프트웨어를활용한소프트웨어개발보안진단가이드 ( 행정자치부, ) - 소프트웨어보안약점진단가이드 ( 안전행정부, ) TIP - 소프트웨어개발보안가이드 ( 안전행정부, ) - 시큐어코딩가이드 (C, Java)( 행정안전부, ) - Web 2.0 정보보호실무가이드 ( 행정안전부, ) - 홈페이지취약점진단 제거가이드 (KISA, ) 등 기술과서비스발전에따라시스템등에대한신규취약점은계속적으로발생하고있으며, 정기적인 취약점점검및개선조치를통하여개인정보유출을예방하는등적극적인보호활동을권장한다. 53

54 개인정보의안전성확보조치기준해설서 ➎ 개인정보처리자는개인정보처리시스템에대한불법적인접근및침해사고방지를위하여 개인정보취급자가일정시간이상업무처리를하지않는경우에는자동으로시스템접속이 차단되도록하여야한다. 개인정보처리시스템에접속하는업무용컴퓨터등에서해당개인정보처리시스템에대한접속의차단을의미하며, 업무용컴퓨터의화면보호기등은접속차단에해당하지않는다. 개인정보취급자가일정시간이상업무처리를하지않아개인정보처리시스템에접속이차단된이후, 다시접속하고자할때에도최초의로그인과동일한방법으로접속하여야한다. ➏ 개인정보처리자가별도의개인정보처리시스템을이용하지아니하고업무용컴퓨터또는모바일기기를이용하여개인정보를처리하는경우에는제1항을적용하지아니할수있으며, 이경우업무용컴퓨터또는모바일기기의운영체제 (OS: Operating System) 나보안프로그램등에서제공하는접근통제기능을이용할수있다. PC, 노트북등의업무용컴퓨터의운영체제 (OS) 에서제공하는접근통제기능설정방법은아래와 같으며, 별도의보안프로그램을사용하여접근통제기능을설정하고이용할수있다. 업무용컴퓨터 ( 윈도우의경우 ) 방화벽설정방법 ㆍ업무용컴퓨터 : 제어판 Windows 방화벽 Windows 방화벽설정또는해제 업무용컴퓨터운영체제에서제공하는개인용방화벽설정시외부 IP 로부터시도되는불법적인접근등을차단한다. 스마트폰, 태블릿PC 등모바일기기에서도운영체제 (OS) 나별도의보안프로그램에서제공하는접근통제기능을이용할수있다. - 모바일기기에서는네트워크및소프트웨어통제, 인입포트차단등의접근통제기능을제공하는운영체제를사용할수있으며, 접근통제기능을제공하는방화벽등어플리케이션 (App) 을설치 운영을할수있다. 54

55 ➐ 개인정보처리자는업무용모바일기기의분실 도난등으로개인정보가유출되지않도록 해당모바일기기에비밀번호설정등의보호조치를하여야한다. 업무용모바일기기는성능및처리속도가향상되어대량의개인정보처리에활용되고있으나, 이동성 휴대성등으로인하여기기가분실 도난되는경우에는해당기기를통하여개인정보처리시스템에접속하지못하도록조치하거나기기에저장된개인정보가유출되지않도록비밀번호설정등의안전조치를하여야한다. - 비밀번호, 패턴, PIN, 지문, 홍채등을사용하여화면잠금설정 화면잠금설정예시 Ⅱ. 개인정보의안전성확보조치기준해설 비밀번호 패턴 - 디바이스암호화기능을사용하여애플리케이션, 데이터등암호화 - USIM 카드에저장된개인정보보호를위한 USIM 카드잠금설정 - 모바일기기제조사및이동통신사가제공하는기능을이용한원격잠금, 원격데이터삭제 - 중요한개인정보를처리하는모바일기기는 MDM(Mobile Device Management) 등모바일단말관리프로그램을설치하여원격잠금, 원격데이터삭제, 접속통제등 MDM은무선망을이용해원격으로스마트폰등의모바일기기를제어하는솔루션으로서, 분실된모바일기기의위치추적, 잠금설정, 정보삭제, 특정사이트접속제한등의기능제공 TIP 모바일기기의도난또는분실시원격잠금, 데이터삭제등을위해제조사별로지원하는 킬스위치 (Kill Switch) 서비스 나이동통신사의 잠금앱서비스 를이용할수있다. 55

56 개인정보의안전성확보조치기준해설서 ➑ [ 별표 ] 의유형 1 에해당하는개인정보처리자는제 2 항, 제 4 항부터제 5 항까지의조치를 아니할수있다. 안전조치기준에따른적용유형 항 제 6 조 ( 접근통제 ) 호 유형 1 ( 완화 ) 유형 2 ( 표준 ) 유형 3 ( 강화 ) 1 개인정보처리자는정보통신망을통한불법적인접근및침해사고방지를위해다음각호의기능을포함한조치를하여야한다. 1. 개인정보처리시스템에대한접속권한을 IP (Internet Protocol) 주소등으로제한하여인가받지않은접근을제한 2. 개인정보처리시스템에접속한 IP (Internet Protocol) 주소등을분석하여불법적인개인정보유출시도탐지및대응 2 개인정보처리자는개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에 접속하려는경우가상사설망 (VPN: Virtual Private Network) 또는전용선등안전한접속수단을 적용하거나안전한인증수단을적용하여야한다. 3 개인정보처리자는취급중인개인정보가인터넷홈페이지, P2P, 공유설정, 공개된무선망이용 등을통하여열람권한이없는자에게공개되거나유출되지않도록개인정보처리시스템, 업무용컴퓨터, 모바일기기및관리용단말기등에접근통제등에관한조치를하여야한다. 4 고유식별정보를처리하는개인정보처리자는인터넷홈페이지를통해고유식별정보가유출 변조 훼손되지않도록연 1 회이상취약점을점검하고필요한보완조치를하여야한다. 5 개인정보처리자는개인정보처리시스템에대한불법적인접근및침해사고방지를위하여 개인정보취급자가일정시간이상업무처리를하지않는경우에는자동으로시스템접속이 차단되도록하여야한다. 6 개인정보처리자가별도의개인정보처리시스템을이용하지아니하고업무용컴퓨터또는모바일기기를이용하여개인정보를처리하는경우에는제1항을적용하지아니할수있으며, 이경우업무용컴퓨터또는모바일기기의운영체제 (OS: Operating System) 나보안프로그램등에서제공하는접근통제기능을이용할수있다. 7 개인정보처리자는업무용모바일기기의분실 도난등으로개인정보가유출되지않도록해당 모바일기기에비밀번호설정등의보호조치를하여야한다. 8 [ 별표 ] 의유형 1 에해당하는개인정보처리자는제 2 항, 제 4 항부터제 5 항까지의조치를아니할수있다. 56

57 제 7 조 개인정보의암호화 제 7 조 ( 개인정보의암호화 ) ➊ 개인정보처리자는고유식별정보, 비밀번호, 바이오정보를정보통신망을통하여송신하거나보조 저장매체등을통하여전달하는경우에는이를암호화하여야한다. ➋ 개인정보처리자는비밀번호및바이오정보는암호화하여저장하여야한다. 다만, 비밀번호를 저장하는경우에는복호화되지아니하도록일방향암호화하여저장하여야한다. ➌ 개인정보처리자는인터넷구간및인터넷구간과내부망의중간지점 (DMZ: Demilitarized Zone) 에고유식별정보를저장하는경우에는이를암호화하여야한다. ➍ 개인정보처리자가내부망에고유식별정보를저장하는경우에는다음각호의기준에따라암호화의적용여부및적용범위를정하여시행할수있다. 1. 법제33조에따른개인정보영향평가의대상이되는공공기관의경우에는해당개인정보영향평가의결과 2. 암호화미적용시위험도분석에따른결과 Ⅱ. 개인정보의안전성확보조치기준해설 ➎ 개인정보처리자는제 1 항, 제 2 항, 제 3 항, 또는제 4 항에따라개인정보를암호화하는경우안전한 암호알고리즘으로암호화하여저장하여야한다. ➏ 개인정보처리자는암호화된개인정보를안전하게보관하기위하여안전한암호키생성, 이용, 보관, 배포및파기등에관한절차를수립 시행하여야한다. ➐ 개인정보처리자는업무용컴퓨터또는모바일기기에고유식별정보를저장하여관리하는경우 상용암호화소프트웨어또는안전한암호화알고리즘을사용하여암호화한후저장하여야한다. ➑ [ 별표 ] 의유형 1 및유형 2 에해당하는개인정보처리자는제 6 항을아니할수있다. 57

58 개인정보의안전성확보조치기준해설서 해설 ➊ 개인정보처리자는고유식별정보, 비밀번호, 바이오정보를정보통신망을통하여 송신하거나보조저장매체등을통하여전달하는경우에는이를암호화하여야한다. 개인정보처리자는고유식별정보, 비밀번호, 바이오정보를정보통신망을통하여송신하거나보조저장매체등을통하여전달하는경우에는이를암호화하여야한다. - 고유식별정보는개인을고유하게구별하기위하여부여된식별정보를말하며주민등록번호, 여권번호, 운전면허번호, 외국인등록번호를말한다. - 비밀번호란정보주체또는개인정보취급자등이개인정보처리시스템, 업무용컴퓨터또는정보통신망등에접속할때식별자와함께입력하여정당한접속권한을가진자라는것을식별할수있도록시스템에전달해야하는고유의문자열로서타인에게공개되지않는정보를말한다. - 바이오정보란지문, 얼굴, 홍채, 정맥, 음성, 필적등개인을식별할수있는신체적또는행동적특징에관한정보로서그로부터가공되거나생성된정보를포함한다. - 정보통신망이란 전기통신기본법 제2조제2호에따른전기통신설비를이용하거나전기통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송신또는수신하는정보통신체계를말한다. TIP 개인정보처리자는자신이제공하는인터넷홈페이지에서이용자가입력하는고유식별정보, 비밀번호, 바이오정보를암호화하여송신하거나전달하여야한다. 정보통신망을통하여비밀번호를송신하는경우에는 SSL 등의통신암호프로토콜이탑재된기술을활용하여야한다. SSL(Secure Sockets Layer) 은웹브라우저와웹서버간에데이터를안전하게주고받기위해암호화기술이적용된보안프로토콜이다. SSL 적용예시 일반웹주소 SSL 적용웹주소 개인정보암호화전송기술사용시안전한전송을위해잘알려진취약점 ( 예시 : Open SSL 사용시 HeartBleed 취약점 ) 들을조치하고사용할필요가있다. 58

59 보조저장매체를통해고유식별정보, 비밀번호, 바이오정보를전달하는경우에도암호화하여야하며, 이를위해다음과같은방법등이사용될수있다. - 암호화기능을제공하는보안 USB 등의보조저장매체에저장하여전달 - 해당개인정보를암호화저장한후보조저장매체에저장하여전달 고유식별정보, 비밀번호, 바이오정보를제외한개인정보 ( 성명, 연락처등 ) 는암호화조치가필수는아니나, 개인정보의위 변조및유 노출등을고려하여가급적암호화조치를권장한다. ➋ 개인정보처리자는비밀번호및바이오정보는암호화하여저장하여야한다. 다만, 비밀번호를 저장하는경우에는복호화되지아니하도록일방향암호화하여저장하여야한다. 개인정보처리자는비밀번호, 바이오정보를 DB 또는파일등으로저장하는경우에는노출또는위 변조되지않도록암호화하여저장하여야한다. - 비밀번호의경우에는복호화되지않도록일방향 ( 해쉬함수 ) 암호화하여야한다. 일방향암호화는저장된값으로원본값을유추하거나복호화할수없도록한암호화방법으로서, 인증검사시에는사용자가입력한비밀번호를일방향함수에적용하여얻은결과값과시스템에저장된값을비교하여인증된사용자임을확인한다. - 바이오정보를식별및인증등의업무에활용하기위하여수집 이용하는경우에는암호화조치를하여야하며복호화가가능한양방향암호화저장을할수있다. ➌ 개인정보처리자는인터넷구간및인터넷구간과내부망의중간지점 (DMZ: Demilitarized Zone) 에고유식별정보를저장하는경우에는이를암호화하여야한다. Ⅱ. 개인정보의안전성확보조치기준해설 인터넷구간은개인정보처리시스템과인터넷이직접연결되어있는구간을의미하고, DMZ 구간은인터넷과내부망사이에위치한중간지점또는인터넷구간사이에위치한중간지점으로서인터넷구간에서직접접근이가능한영역을말한다.( 침입차단시스템등으로접근제한등을수행하는경우에도해당 ) 또한, 내부망은접근통제시스템등에의해차단되어외부에서직접접근이불가능한영역을말한다. DMZ 구간예시 Internal Network Firewall DMZ Firewall WWW 인터넷 내부네트워크 DNS PROXY 외부네트워크 인터넷구간이나 DMZ 구간은외부에서직접접근이가능하므로외부자의침입을받을가능성이있다. 이에따라 DMZ 구간에주민등록번호, 외국인등록번호, 운전면허번호, 여권번호등의고유식별정보를저장하는경우암호화하여저장해야한다. 제2항에따른비밀번호및바이오정보를저장하는경우에도암호화하여저장해야한다. 59

60 개인정보의안전성확보조치기준해설서 ➍ 개인정보처리자가내부망에고유식별정보를저장하는경우에는다음각호의기준에따라암호화의적용여부및적용범위를정하여시행할수있다. 1. 법제33조에따른개인정보영향평가의대상이되는공공기관의경우에는해당개인정보영향평가의결과 2. 암호화미적용시위험도분석에따른결과 부칙 ( 제 호, ) 제 2 조 ( 적용례 ) 영제 21 조의 2 제 2 항에따른주민등록번호의암호화적용시기이후에는고유 식별정보중주민등록번호는제 7 조제 4 항을적용하지아니한다. 내부망에주민등록번호를저장하는경우, 법제24조의2, 동법시행령제21조의2에따라 개인정보영향평가 나암호화미적용시 위험도분석 의결과에관계없이암호화하여야한다. 이경우에는아래의기간이전까지암호화적용을완료하여야한다. 100만명미만의정보주체에관한주민등록번호를보관하는개인정보처리자 : 2017년 1월 1일 100만명이상의정보주체에관한주민등록번호를보관하는개인정보처리자 : 2018년 1월 1일 개인정보보호법 제 24 조의 2 제 2 항 제24조의2( 주민등록번호처리의제한 ) 2 개인정보처리자는제24조제3항에도불구하고주민등록번호가분실 도난 유출 위조 변조또는훼손되지아니하도록암호화조치를통하여안전하게보관하여야한다. 이경우암호화적용대상및대상별적용시기등에관하여필요한사항은개인정보의처리규모와유출시영향등을고려하여대통령령으로정한다. 개인정보보호법시행령 제 21 조의 2 제21조의2( 주민등록번호암호화적용대상등 ) 1 법제24조의2제2항에따라암호화조치를하여야하는암호화적용대상은주민등록번호를전자적인방법으로보관하는개인정보처리자로한다. 2 제1항의개인정보처리자에대한암호화적용시기는다음각호와같다 만명미만의정보주체에관한주민등록번호를보관하는개인정보처리자 : 2017년 1월 1일 만명이상의정보주체에관한주민등록번호를보관하는개인정보처리자 : 2018년 1월 1일 3 행정자치부장관은기술적 경제적타당성등을고려하여제1항에따른암호화조치의세부적인사항을정하여고시할수있다. 60

61 내부망에주민등록번호를제외한고유식별정보를저장하는경우에는다음에따라암호화의적용여부및적용범위를정하여시행할수있다. - 개인정보보호법 제33조및시행령제35조에따라영향평가의대상이되는개인정보파일을운용하는공공기관은해당 개인정보영향평가 의결과 개인정보보호법 제 33 조제 1 항 제 33 조 ( 개인정보영향평가 ) 1 공공기관의장은대통령령으로정하는기준에해당하는개인정보파일의운용으로인하여정보주체의개인정보침해가우려되는경우에는그위험요인의분석과개선사항도출을위한평가 ( 이하 영향평가 라한다 ) 를하고그결과를행정자치부장관에게제출하여야한다. 이경우공공기관의장은영향평가를행정자치부장관이지정하는기관 ( 이하 평가기관 이라한다 ) 중에서의뢰하여야한다. 개인정보보호법시행령 제35조제35조 ( 개인정보영향평가의대상 ) 법제33조제1항에서 대통령령으로정하는기준에해당하는개인정보파일 이란개인정보를전자적으로처리할수있는개인정보파일로서다음각호의어느하나에해당하는개인정보파일을말한다. Ⅱ. 개인정보의안전성확보조치기준해설 1. 구축 운용또는변경하려는개인정보파일로서 5만명이상의정보주체에관한법제23조에따른민감정보 ( 이하 민감정보 라한다 ) 또는고유식별정보의처리가수반되는개인정보파일 2. 구축 운용하고있는개인정보파일을해당공공기관내부또는외부에서구축 운용하고있는다른개인정보파일과연계하려는경우로서연계결과 50만명이상의정보주체에관한개인정보가포함되는개인정보파일 3. 구축 운용또는변경하려는개인정보파일로서 100만명이상의정보주체에관한개인정보파일 4. 법제33조제1항에따른개인정보영향평가 ( 이하 영향평가 라한다 ) 를받은후에개인정보검색체계등개인정보파일의운용체계를변경하려는경우그개인정보파일. 이경우영향평가대상은변경된부분으로한정한다. - 공공기관이외의개인정보처리자는암호화미적용시 위험도분석 에따른결과 TIP 개인정보영향평가수행안내서 및 개인정보위험도분석기준및해설서 는개인정보보호종합포털 ( 에서다운로드할수있다. 61

62 개인정보의안전성확보조치기준해설서 ➎ 개인정보처리자는제 1 항, 제 2 항, 제 3 항, 또는제 4 항에따라개인정보를암호화하는 경우안전한암호알고리즘으로암호화하여저장하여야한다. 고유식별정보, 비밀번호, 바이오정보를암호화하는경우에는국내및미국, 일본, 유럽등의국외 암호연구관련기관에서사용권고하는안전한암호알고리즘으로암호화하여저장하여야한다. 국내 외암호연구관련기관의권고암호알고리즘예시 분류미국 (NIST) 일본 (CRYPTREC) 유럽 (ECRYPT) 국내 대칭키암호 알고리즘 AES-128/192/256 3TDEA AES-128/192/256 3TDEA Camellia-128/192/256 MISTY1 AES-128/192/256 Blowfish KASUMI 3TDEA SEED, HIGHT ARIA-128/192/256 공개키암호 알고리즘 ( 메시지암 복호화 ) RSA ( 사용권고하는키길이확인필요 ) RSAES-OAEP RSAES-PKCS1 RSAES-OAEP RSAES-PKCS1 RSAES-OAEP 일방향암호 알고리즘 SHA-224/256/384/512 SHA-256/384/512 SHA-224/256/384/512 Whirlpool SHA-224/256/384/512 국내 외암호연구관련기관에서대표적으로다루어지는권고암호알고리즘만표시 ( 16.9 월기준 ) 권고암호알고리즘은달라질수있으므로, 암호화적용시국내 외암호관련연구기관에서제시하는최신정보확인필요 TIP 안전한암호알고리즘, 암호화방식등은 개인정보의암호화조치안내서 를참조하고, 해당자료는개인정보보호종합포털 ( 에서다운로드할수있다. 국내외암호연구관련기관은한국인터넷진흥원 (KISA) 의암호이용활성화홈페이지 ( 의 암호표준화및유관기관 에서도확인가능하다. 국가정보원검증대상암호알고리즘목록은국가정보원홈페이지에서확인할수있다. ➏ 개인정보처리자는암호화된개인정보를안전하게보관하기위하여안전한암호키 생성, 이용, 보관, 배포및파기등에관한절차를수립 시행하여야한다. 암호키는암호화된데이터를복호화할수있는정보이므로암호키의안전한사용과관리는매우 중요하며, 라이프사이클단계별암호키관리절차를수립 시행하여야한다. 62

63 암호키관리예시 1. 준비단계 : 암호키가사용되기이전의단계 - 암호키생성 암호키생성에필요한난수는안전한난수발생기 (RNG) 를이용하여생성 비대칭키알고리즘키생성방식 : 디지털서명을위한키쌍생성, 키설정을위한키쌍생성 대칭키알고리즘방식 : 미리공유된키, 패스워드, 다수의암호키를이용한키생성등 - 암호키분배 대칭키알고리즘키분배방식 : 수동적키분배, 자동화된키전송등 비대칭키알고리즘의키분배방식 기타키자료생성및분배방식 : 영역파라미터, 초기값, 공유된비밀, RNG 시드, 다른공개및비밀정보, 중간값, 난수, 패스워드등 2. 운영단계 : 암호키가암호알고리즘및연산에사용되는단계 - 암호키의유효기간동안사용되는키자료들은필요에따라장비모듈에보관되거나별도의저장매체에보관등으로저장해야함 - 암호키는하드웨어손상또는소프트웨어오류등의사유로손상될가능성이있으므로가용성보장을위해서는키백업및키복구등이가능해야함 - 암호키가노출되거나노출의위협이있는경우그리고암호키유효기간의만료가가까워지는경우에는암호키를다른암호키로안전하게변경해야함 3. 정지단계 : 암호키가더이상사용되지않지만, 암호키에대한접근은가능한단계 Ⅱ. 개인정보의안전성확보조치기준해설 - 암호키보관및복구 암호키는수정이불가한상태이거나새로운보관키를이용하여주기적으로암호화 운영데이터와분리되어보관하며, 암호정보의사본들은물리적으로분리된곳에보관 암호키는응용프로그램의소스프로그램내에평문으로저장금지 암호화되는중요한정보에대한보관키는백업되어야하며, 사본은다른곳에보관등 - 모든개인키나대칭키의복사본이더이상필요하지않다면즉시파기하여야함 - 암호키손상시유효기간내에키자료를제거하고, 보안도메인에속해있는실체의권한을삭제하여말소된실체의키자료의사용을방지해야함 4. 폐기단계 : 암호키가더이상사용될수없는단계 ( 폐기또는사고상태 ) - 일반적으로폐기단계의키자료에대한모든기록은삭제 ( 다만, 일부기관에서는감사를목적으로특정키속성유지가필요할수도있음 ) - 폐기상태의암호키와사고상태의암호키들의특성에대한기록유지등 개인정보보호종합포털 ( 에서제공하는 개인정보의암호화조치안내서 그리고 TIP 암호이용활성화 ( 에서제공하는 암호키관리안내서 등을참고할수있다. 63

64 개인정보의안전성확보조치기준해설서 ➐ 개인정보처리자는업무용컴퓨터또는모바일기기에고유식별정보를저장하여 관리하는경우상용암호화소프트웨어또는안전한암호화알고리즘을사용하여 암호화한후저장하여야한다. 개인정보처리자는업무용컴퓨터또는모바일기기에고유식별정보를저장하여관리하거나, 개인정보처리시스템으로부터개인정보취급자의업무용컴퓨터, 모바일기기에내려받아저장하는경우에는안전한암호화알고리즘이탑재된암호화소프트웨어등을이용하여해당파일을암호화하여불법적인유 노출및접근등으로부터보호하여야한다. 오피스에서파일암호화설정방법 ㆍ한컴오피스 : 파일 다른이름으로저장하기 문서암호설정에서암호설정가능 ㆍ MS 오피스 : 파일 다른이름으로저장하기 도구 일반옵션에서암호설정가능 암호화적용기준요약표 구분 암호화기준 정보통신망, 보조저장매체를 통한송신시 비밀번호, 바이오정보, 고유식별정보 암호화송신 비밀번호 일방향 ( 해쉬함수 ) 암호화저장 바이오정보 암호화저장 주민등록번호 암호화저장 암호화저장시기는제 7 조제 4 항참고 개인정보처리 시스템에 저장시 고유 식별정보 여권번호, 외국인등록번호, 운전면허번호 인터넷구간, 인터넷구간과내부망의중간지점 (DMZ) 내부망에저장 암호화저장암호화저장또는다음항목에따라암호화적용여부 적용범위를정하여시행 1 개인정보영향평가대상이되는공공기관의 경우, 그개인정보영향평가의결과 2 암호화미적용시위험도분석에따른결과 업무용컴퓨터, 모바일기기에 저장시 비밀번호, 바이오정보, 고유식별정보 암호화저장 비밀번호는일방향암호화저장 64

65 ➑ [ 별표 ] 의유형 1 및유형 2 에해당하는개인정보처리자는제 6 항을아니할수있다. 안전조치기준에따른적용유형 항 제 7 조 ( 개인정보의암호화 ) 호 유형 1 ( 완화 ) 유형 2 ( 표준 ) 유형 3 ( 강화 ) 1 개인정보처리자는고유식별정보, 비밀번호, 바이오정보를정보통신망을통하여송신하거나 보조저장매체등을통하여전달하는경우에는이를암호화하여야한다. 2 개인정보처리자는비밀번호및바이오정보는암호화하여저장하여야한다. 다만, 비밀번호를저장하는경우에는복호화되지아니하도록일방향암호화하여저장하여야한다. 3 개인정보처리자는인터넷구간및인터넷구간과내부망의중간지점 (DMZ: Demilitarized Zone) 에고유식별정보를저장하는경우에는이를암호화하여야한다. 4 개인정보처리자가내부망에고유 1. 법제33조에따른개인정보영향평가의대상이되는식별정보를저장하는경우에는공공기관의경우에는해당개인정보영향평가의결과 다음각호의기준에따라암호화의적용여부및적용범위를정하여 시행할수있다. 2. 암호화미적용시위험도분석에따른결과 Ⅱ. 개인정보의안전성확보조치기준해설 부칙제 2 조 ( 적용례 ) 영제 21 조의 2 제 2 항에따른주민등록번호의암호화적용시기이후에는고유식별정보중주민등록번호는 제 7 조제 4 항을적용하지아니한다. 5 개인정보처리자는제 1 항, 제 2 항, 제 3 항, 또는제 4 항에따라개인정보를암호화하는경우 안전한암호알고리즘으로암호화하여저장하여야한다. 6 개인정보처리자는암호화된개인정보를안전하게보관하기위하여안전한암호키생성, 이용, 보관, 배포및파기등에관한절차를수립 시행하여야한다. 7 개인정보처리자는업무용컴퓨터또는모바일기기에고유식별정보를저장하여관리하는경우 상용암호화소프트웨어또는안전한암호화알고리즘을사용하여암호화한후저장하여야 한다. 8 [ 별표 ] 의유형 1 및유형 2 에해당하는개인정보처리자는제 6 항을아니할수있다. 65

66 개인정보의안전성확보조치기준해설서 제 8 조 접속기록의보관및점검 제8조 ( 접속기록의보관및점검 ) ➊ 개인정보처리자는개인정보취급자가개인정보처리시스템에접속한기록을 6개월이상보관 관리하여야한다. ➋ 개인정보처리자는개인정보의분실 도난 유출 위조 변조또는훼손등에대응하기위하여개인정보처리시스템의접속기록등을반기별로 1회이상점검하여야한다. ➌ 개인정보처리자는개인정보취급자의접속기록이위 변조및도난, 분실되지않도록해당접속기록을안전하게보관하여야한다. 해설 ➊ 개인정보처리자는개인정보취급자가개인정보처리시스템에접속한기록을 6 개월 이상보관 관리하여야한다. 개인정보처리자는개인정보취급자가개인정보처리시스템에접속에관한아래의이력정보를최소 6개월이상보관 관리하여야한다. - 계정 : 개인정보처리시스템에서접속자를식별할수있도록부여된 ID 등계정정보 - 접속일시 : 접속한시간또는업무를수행한시간 ( 년-월-일, 시 : 분 : 초 ) - 접속자정보 : 접속한자의 PC, 모바일기기등단말기정보또는서버의 IP주소등접속주소 - 수행업무 : 개인정보취급자가개인정보처리시스템을이용하여개인정보를처리한내용을알수있는정보 개인정보에대한수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ) 등이수행업무에해당될수있다. TIP 개인정보처리시스템에접속한기록이아닌경우에는 6 개월보관 관리가필수는아니다. ( 예 : 개인정보처리시스템으로볼수없는업무용 PC 만으로개인정보처리시, 이업무용 PC 에접속한기록은 6 개월보관 관리가필수는아님 ) 비인가자의개인정보처리시스템에대한접속시도기록및정보주체에대한접속기록까지보관 관리하고정기적으로확인 감독등을통하여개인정보처리시스템에대한불법적인접근및비정상 행위등에대한안전조치를강화할수있다. 66

67 ➋ 개인정보처리자는개인정보의분실 도난 유출 위조 변조또는훼손등에대응하기 위하여개인정보처리시스템의접속기록등을반기별로 1 회이상점검하여야한다. 개인정보처리자는개인정보처리시스템의접속기록을반기별 1 회이상정기적으로점검하여야하며, 이를통해비인가된개인정보처리, 대량의개인정보의조회, 정정, 다운로드, 삭제등의비정상 행위를탐지하고적절한대응조치를할필요가있다. ➌ 개인정보처리자는개인정보취급자의접속기록이위 변조및도난, 분실되지않도록해당접속기록을안전하게보관하여야한다. 개인정보처리자는아래와같은방법등으로서개인정보취급자의접속기록을안전하게보관 관리하여야한다. - 상시적으로접속기록백업을수행하여개인정보처리시스템이외의별도의보조저장매체나별도의저장장치에보관 - 접속기록에대한위 변조를방지하기위해서는 CD-ROM, DVD-R, WORM(Write Once Read Many) 등과같은덮어쓰기방지매체를사용 - 접속기록을수정가능한매체 ( 하드디스크, 자기테이프등 ) 에백업하는경우에는무결성보장을위해위 변조여부를확인할수있는정보를별도의장비에보관 관리 Ⅱ. 개인정보의안전성확보조치기준해설 접속기록을 HDD 에보관하고, 위 변조여부를확인할수있는정보 (MAC 값, 전자서명값등 ) 는별도의 HDD 또는관리대장에보관하는방법등으로관리할수있다. 67

68 개인정보의안전성확보조치기준해설서 제 9 조 악성프로그램등방지 제 9 조 ( 악성프로그램등방지 ) 개인정보처리자는악성프로그램등을방지 치료할수있는백신소프트웨어등의보안프로그램을 설치 운영하여야하며, 다음각호의사항을준수하여야한다. 1. 보안프로그램의자동업데이트기능을사용하거나, 일 1회이상업데이트를실시하여최신의상태로유지 2. 악성프로그램관련경보가발령된경우또는사용중인응용프로그램이나운영체제소프트웨어의제작업체에서보안업데이트공지가있는경우즉시이에따른업데이트를실시 3. 발견된악성프로그램등에대해삭제등대응조치 해설 1. 보안프로그램의자동업데이트기능을사용하거나, 일 1 회이상업데이트를실시하여최신의 상태로유지 개인정보처리자는악성프로그램등을통해개인정보가위 변조, 유출되지않도록이를방지하고치료할수있는백신소프트웨어등보안프로그램을설치 운영하여야한다. 백신소프트웨어등의보안프로그램은실시간감시등을위해항상실행된상태를유지해야한다. 백신소프트웨어등보안프로그램은자동업데이트기능을사용하거나, 일 1회이상업데이트를실시하여최신의상태로유지해야한다. - 실시간으로신종 변종악성프로그램이유포됨에따라백신상태를최신의업데이트상태로적용하여유지해야한다. - 특히대량의개인정보를처리하거나민감한정보등중요도가높은개인정보를처리하는경우에는키보드, 화면, 메모리해킹등신종악성프로그램에대해대응할수있도록보안프로그램을운영할필요가있으며, 항상최신의상태로유지하여야한다. 68

69 백신소프트웨어설정예시 환경설정 환경설정 검사설정 자체보호설정 검사설정 정밀검사 데이터보호 업데이트설정자동업데이트설정 데이터보호 실시간검사 시스템최적화행위기반설정 자동업데이트설정자동업데이트주기 12 시간 (1~12시간) 부팅시업데이트진행즉시 시스템최적화행위기반설정 예약검사예약설정한바이러스검사목록입니다. 새로운설정을위해추가버튼을누르세요. 기타설정 예약업데이트설정예약업데이트설정매일오전12:00 기타설정 추가 수정 삭제 이름 추가 날짜 시간 경로 검사창보이기설정권한 예약검사 매일 12:13 C:,D: 검사창보이기사용자 자동, 예약업데이트 실시간, 예약검사 2. 악성프로그램관련경보가발령된경우또는사용중인응용프로그램이나운영체제소프트웨어의 제작업체에서보안업데이트공지가있는경우즉시이에따른업데이트를실시 운영체제 (OS) 응용프로그램의보안취약점을악용하는악성프로그램경보가발령되었거나, 응용프로그램, 운영체제소프트웨어의제작업체에서보안업데이트공지가있는경우에는감염을예방하고감염된경우피해를최소화하기위해즉시업데이트를실시하여야한다. - 운영체제나응용프로그램보안업데이트시현재운영중인응용프로그램의업무연속성이이루어질수있도록보안업데이트를적용하는것이필요하며, 가능한자동으로보안업데이트가설정되도록할필요가있다. Ⅱ. 개인정보의안전성확보조치기준해설 한컴오피스, MS 오피스등개인정보처리에자주이용되는응용프로그램은자동업데이트설정시, 보안업데이트공지에따른즉시업데이트가용이하다. - 개인정보처리시스템등에대한보안업데이트적용사항, 적용일자등설치 변경 제거사항을기록하는등형상관리를통해관리체계를강화할수있다. 3. 발견된악성프로그램등에대해삭제등대응조치 개인정보처리자는백신소프트웨어등의보안프로그램을설치 운영하여발견된바이러스, 웜, 트로이목마, 스파이웨어등의악성프로그램등에대해삭제, 치료등의대응조치를하여야한다. 발견된악성프로그램에대해백신소프트웨어에서의삭제, 치료등의기능을지원하지않는경우에는개인정보처리시스템, 업무용컴퓨터등을분리하는등악성프로그램의확산방지를위한적절한안전조치를취하여야한다. TIP 불법또는비인가된보안프로그램을사용시신규취약점등을삭제하기위한업데이트지원을받지못하거나, 악성코드침투경로로이용되어개인정보유출이가능함에따라가능한정품 S/W 만을사용하도록한다. 69

70 개인정보의안전성확보조치기준해설서 제 10 조 관리용단말기의안전조치 제10조 ( 관리용단말기의안전조치 ) 개인정보처리자는개인정보유출등개인정보침해사고방지를위하여관리용단말기에대해다음각호의안전조치를하여야한다. 1. 인가받지않은사람이관리용단말기에접근하여임의로조작하지못하도록조치 2. 본래목적외로사용되지않도록조치 3. 악성프로그램감염방지등을위한보안조치적용 해설 1. 인가받지않은사람이관리용단말기에접근하여임의로조작하지못하도록조치 개인정보처리자는관리용단말기에대해개인정보처리시스템의관리, 운영, 개발, 보안등의목적으로 업무처리를하는특정직원등에한하여접근을허용하는등업무관련자이외의인가받지않는사람이 관리용단말기에접근하여임의로조작하지못하도록접근통제등의안전조치를하여야한다. 2. 본래목적외로사용되지않도록조치 개인정보처리자는관리용단말기를개인정보처리시스템의관리, 운영, 개발, 보안등의목적으로사용 하여야하며, 관리용단말기를통한개인정보의공유등다른목적으로사용하지않아야한다. 3. 악성프로그램감염방지등을위한보안조치적용 개인정보처리자는악성프로그램감염방지를위한보안프로그램의최신상태유지, 보안업데이트 실시, 발견된악성프로그램의삭제등대응조치등을적용하여야한다. TIP 관리용단말기의안전조치시고려사항 - 관리용단말기의종류에따른특성, 중요도 - 관리용단말기가개인정보처리시스템에접속하는빈도및수행업무 - 관리용단말기를통한개인정보의유출가능성및개인정보처리시스템에악성코드전파등직 간접적으로영향을끼칠수있는요소등 70

71 관리용단말기의안전조치예시 ㆍ관리용단말기현황관리 (IP주소, 용도, 담당자, 설치위치등 ) ㆍ중요관리용단말기를지정하여외부반출, 인터넷접속, 그룹웨어접속의금지ㆍ관리용단말기에주요정보보관및공유금지ㆍ비인가자접근을방지하기위한부팅암호, 로그인암호, 화면보호기암호설정ㆍ보조기억매체및휴대용전산장비등에대한접근통제ㆍ정당한사용자인가의여부를확인할수있는기록을유지 ㆍ악성코드감염방지를위한보안프로그램의최신상태유지, 보안업데이트적용, 악성프로그램 삭제등대응조치 ㆍ보안상태및사용현황에대한정기점검등 Ⅱ. 개인정보의안전성확보조치기준해설 71

72 개인정보의안전성확보조치기준해설서 제 11 조 물리적안전조치 제11조 ( 물리적안전조치 ) ➊ 개인정보처리자는전산실, 자료보관실등개인정보를보관하고있는물리적보관장소를별도로두고있는경우에는이에대한출입통제절차를수립 운영하여야한다. ➋ 개인정보처리자는개인정보가포함된서류, 보조저장매체등을잠금장치가있는안전한장소에보관하여야한다. ➌ 개인정보처리자는개인정보가포함된보조저장매체의반출 입통제를위한보안대책을마련하여야한다. 다만, 별도의개인정보처리시스템을운영하지아니하고업무용컴퓨터또는모바일기기를이용하여개인정보를처리하는경우에는이를적용하지아니할수있다. 해설 ➊ 개인정보처리자는전산실, 자료보관실등개인정보를보관하고있는물리적보관 장소를별도로두고있는경우에는이에대한출입통제절차를수립 운영하여야한다. 개인정보처리자는전산실, 자료보관실등개인정보를보관하고있는물리적보관장소를별도로두고있는경우에는비인가자의출입등으로인한개인정보의유출등의방지를위한출입통제절차를수립 운영하여야한다. 출입을통제하는방법으로는물리적접근방지를위한장치를설치 운영하고이에대한출입내역을전자적인매체또는수기문서대장에기록하는방법등이있다. - 물리적접근방지를위한장치 ( 예시 ): 비밀번호기반출입통제장치, 스마트카드기반출입통제장치, 지문등바이오정보기반출입통제장치등 전산실은다량의정보시스템을운영하기위한별도의물리적인공간으로전기시설 (UPS, 발전기등 ), 공조시설 ( 항온항습기등 ), 소방시설 ( 소화설비등 ) 등을갖춘시설을의미한다. 자료보관실은가입신청서등의문서나 DAT(Digital Audio Tape), LTO(Linear Tape Open), DLT(Digital Linear Tape), 하드디스크등이보관된물리적저장장소를의미한다. - 수기문서대장기록방법 ( 예시 ): 출입자, 출입일시, 출입목적, 소속등 72

73 ➋ 개인정보처리자는개인정보가포함된서류, 보조저장매체등을잠금장치가있는 안전한장소에보관하여야한다. 개인정보처리자는개인정보가포함된서류, 보조저장매체 ( 이동형하드디스크, USB 메모리, SSD 등 ) 등은금고, 잠금장치가있는캐비넷등안전한장소에보관하여야한다. ➌ 개인정보처리자는개인정보가포함된보조저장매체의반출 입통제를위한보안대책을마련하여야한다. 다만, 별도의개인정보처리시스템을운영하지아니하고업무용컴퓨터또는모바일기기를이용하여개인정보를처리하는경우에는이를적용하지아니할수있다. 개인정보처리시스템을운영하는개인정보처리자는 USB메모리, 이동형하드디스크등의보조저장매체를통해개인정보가유출되지않도록개인정보가저장 전송되는보조저장매체의반출 입통제를위한보안대책을마련하여야한다. - 별도의개인정보처리시스템을운영하지아니하고업무용컴퓨터또는모바일기기를이용하여개인정보를처리하는경우에는보조저장매체반출 입통제를위한보안대책마련이필수는아니나, 관련대책마련을권장한다. Ⅱ. 개인정보의안전성확보조치기준해설 TIP 보조저장매체의반출 입통제를위한보안대책마련시고려사항 - 보조저장매체보유현황파악및반출 입관리계획 - 개인정보취급자및수탁자등에의한개인정보유출가능성 - 보조저장매체의안전한사용방법및비인가된사용에대한대응 - USB를 PC에연결시바이러스점검디폴트로설정등기술적안전조치방안등 73

74 개인정보의안전성확보조치기준해설서 제 12 조 재해 재난대비안전조치 제12조 ( 재해 재난대비안전조치 ) ➊ 개인정보처리자는화재, 홍수, 단전등의재해 재난발생시개인정보처리시스템보호를위한위기대응매뉴얼등대응절차를마련하고정기적으로점검하여야한다. ➋ 개인정보처리자는재해 재난발생시개인정보처리시스템백업및복구를위한계획을마련하여야한다. ➌ [ 별표 ] 의유형1 및유형2에해당하는개인정보처리자는제1항부터제2항까지조치를이행하지아니할수있다. 해설 ➊ 개인정보처리자는화재, 홍수, 단전등의재해 재난발생시개인정보처리시스템 보호를위한위기대응매뉴얼등대응절차를마련하고정기적으로점검하여야한다. 재난이란국민의생명 신체 재산과국가에피해를주거나줄수있는것을말하며, 재해란재난으로 인하여발생하는피해를말한다. 재난및안전관리기본법 제2조제3조 ( 정의 ) 1. 재난 이란국민의생명ㆍ신체ㆍ재산과국가에피해를주거나줄수있는것으로서다음각목의것을말한다. 가. 자연재난 : 태풍, 홍수, 호우 ( 豪雨 ), 강풍, 풍랑, 해일 ( 海溢 ), 대설, 낙뢰, 가뭄, 지진, 황사 ( 黃砂 ), 조류 ( 藻類 ) 대발생, 조수 ( 潮水 ), 화산활동, 소행성ㆍ유성체등자연우주물체의추락ㆍ충돌, 그밖에이에준하는자연현상으로인하여발생하는재해나. 사회재난 : 화재ㆍ붕괴ㆍ폭발ㆍ교통사고 ( 항공사고및해상사고를포함한다 ) ㆍ화생방사고ㆍ환경오염사고등으로인하여발생하는대통령령으로정하는규모이상의피해와에너지ㆍ통신ㆍ교통ㆍ금융ㆍ의료ㆍ수도등국가기반체계의마비, 감염병의예방및관리에관한법률 에따른감염병또는 가축전염병예방법 에따른가축전염병의확산등으로인한피해 자연재해대책법 제2조제2조 ( 정의 ) 1. 재해 란 재난및안전관리기본법 ( 이하 기본법 이라한다 ) 제3조제1호에따른재난으로인하여발생하는피해를말한다. 74

75 개인정보처리자는재해ㆍ재난발생시개인정보의손실및훼손등을방지하고개인정보유출사고등을예방하기위하여개인정보처리시스템보호를위한위기대응매뉴얼등대응절차를문서화하여마련하고이에따라대처하여야한다. 또한, 개인정보처리자는대응절차의적정성과실효성을보장하기위하여정기적으로점검하여야한다. - 대응절차를정기적으로점검하여대응절차에변경이있는경우에는변경사항을반영하는등적절한조치를취하여야하며, 중대한영향을초래하거나해를끼칠수있는사안등에대해서는사업주ㆍ대표ㆍ임원등에게보고후, 의사결정절차를통하여적절한대책을마련하여야한다. ➋ 개인정보처리자는재해 재난발생시개인정보처리시스템백업및복구를위한계획을 마련하여야한다. 개인정보처리자는재해 재난발생시혼란을완화시키고신속한의사결정을위한개인정보처리시스템백업및복구를위한계획을마련하여야한다. - 백업및복구를위한계획에는개인정보처리시스템등백업및복구대상, 방법및절차등을포함하도록한다. TIP 개인정보처리시스템백업및복구계획은위기대응매뉴얼등에포함할수있다. 개인정보처리시스템위기대응메뉴얼및백업 복구계획예시 개인정보처리시스템구성요소 ( 개인정보보유량, 종류 중요도, 시스템연계장비 설비등 ) 재해 재난등에따른파급효과 ( 개인정보유출, 손실, 훼손등 ) 및초기대응방안 개인정보처리시스템백업및복구우선순위, 목표시점 시간 개인정보처리시스템백업및복구방안 ( 복구센터마련, 백업계약체결, 비상가동등 ) 업무분장, 책임및역할 실제발생가능한사고에대한정기적점검, 사후처리및지속관리등 Ⅱ. 개인정보의안전성확보조치기준해설 ➌ [ 별표 ] 의유형 1 및유형 2 에해당하는개인정보처리자는제 1 항부터제 2 항까지조치를 이행하지아니할수있다. 안전조치기준에따른적용유형 항 제12조 ( 재해 재난대비안전조치 ) 유형1 ( 완화 ) 호 유형 2 ( 표준 ) 유형 3 ( 강화 ) 1 개인정보처리자는화재, 홍수, 단전등의재해 재난발생시개인정보처리시스템보호를위한위기대응매뉴얼등대응절차를마련하고정기적으로점검하여야한다. 2 개인정보처리자는재해 재난발생시개인정보처리시스템백업및복구를위한계획을마련하여야한다. 3 [ 별표 ] 의유형 1 및유형 2 에해당하는개인정보처리자는제 1 항부터제 2 항까지조치를이행하지아니할수있다. 75

76 개인정보의안전성확보조치기준해설서 제 13 조 개인정보의파기 제13조 ( 개인정보의파기 ) ➊ 개인정보처리자는개인정보를파기할경우다음각호중어느하나의조치를하여야한다. 1. 완전파괴 ( 소각 파쇄등 ) 2. 전용소자장비를이용하여삭제 3. 데이터가복원되지않도록초기화또는덮어쓰기수행 ➋ 개인정보처리자가개인정보의일부만을파기하는경우, 제1항의방법으로파기하는것이어려울때에는다음각호의조치를하여야한다. 1. 전자적파일형태인경우 : 개인정보를삭제한후복구및재생되지않도록관리및감독 2. 제1호외의기록물, 인쇄물, 서면, 그밖의기록매체인경우 : 해당부분을마스킹, 천공등으로삭제 해설 ➊ 개인정보처리자는개인정보를파기할경우다음각호중어느하나의조치를하여야한다. 1. 완전파괴 ( 소각 파쇄등 ) 2. 전용소자장비를이용하여삭제 3. 데이터가복원되지않도록초기화또는덮어쓰기수행 개인정보처리자는보유기간의경과, 개인정보의처리목적달성등개인정보가불필요하게되었을때에는지체없이그개인정보를파기하여야한다. 개인정보를파기할때에는복구또는재생되지않도록조치하여야한다. 개인정보처리자는개인정보를파기할때에는복구또는재생되지않도록다음중어느하나의조치를하여야한다. - 완전파괴 ( 소각 파쇄등 ) 예시 : 개인정보가저장된회원가입신청서등의종이문서, 하드디스크나자기테이프를파쇄기로파기하거나용해, 또는소각장, 소각로에서태워서파기등 - 전용소자장비를이용하여삭제 예시 : 디가우저 (Degausser) 를이용해하드디스크나자기테이프에저장된개인정보삭제등 76

77 - 데이터가복원되지않도록초기화또는덮어쓰기수행 예시 : 개인정보가저장된하드디스크에대해완전포맷 (3회이상권고 ), 데이터영역에무작위값 (0, 1 등 ) 으로덮어쓰기 (3회이상권고 ), 해당드라이브를안전한알고리즘및키길이로암호화저장후삭제하고암호화에사용된키완전폐기및무작위값덮어쓰기등 개인정보파기시파기를전문으로수행하는업체를활용할수있다. TIP 개인정보파기의시행및파기결과의확인은개인정보보호책임자의책임하에수행되어야하며, 파기에관한 사항을기록 관리하여야한다. ➋ 개인정보처리자가개인정보의일부만을파기하는경우, 제1항의방법으로파기하는것이어려울때에는다음각호의조치를하여야한다. 1. 전자적파일형태인경우 : 개인정보를삭제한후복구및재생되지않도록관리및감독 2. 제1호외의기록물, 인쇄물, 서면, 그밖의기록매체인경우 : 해당부분을마스킹, 천공등으로삭제 개인정보의일부만파기하는경우 는저장중인개인정보중보유기간이경과한일부개인정보를파기하는경우를말하며, 다음과같은경우등이있다. - 운영중인개인정보가포함된여러파일중, 특정파일을파기하는경우 Ⅱ. 개인정보의안전성확보조치기준해설 - 개인정보가저장된백업용디스크나테이프에서보유기간이만료된특정파일이나특정정보주체의개인정보만파기하는경우 - 운영중인데이터베이스에서탈퇴한특정회원의개인정보를파기하는경우 - 회원가입신청서종이문서에기록된정보중, 특정필드의정보를파기하는경우등 개인정보처리자가개인정보의일부만파기하는경우복구또는재생되지아니하도록개인정보가저장된매체형태에따라다음중어느하나의조치를하여야한다. - 전자적파일형태인경우 : 개인정보를삭제한후복구및재생되지않도록관리및감독 개인정보를삭제하는방법예시 : 운영체제, 응용프로그램, 상용도구등에서제공하는삭제기능을사용하여삭제, 백업시파기대상정보주체의개인정보를제외한백업등 ( 운영체제, 응용프로그램, 상용도구등에서제공하는삭제기능을사용하는경우에도가능한복구불가능한방법을사용해야복구및재생의위험을줄일수있다 ) 복구및재생되지않도록관리및감독하는방법예시 : 복구관련기록 활동에대해모니터링하거나주기적점검을통해비인가된복구에대해조치 - 제1호외의기록물, 인쇄물, 서면, 그밖의기록매체인경우 : 해당부분을마스킹, 천공등으로삭제 예시 : 회원가입신청서에기재된주민등록번호삭제시, 해당신청서에서주민등록번호가제거되도록절삭, 천공또는펜등으로마스킹 77

78 개인정보의안전성확보조치기준해설서 부칙 < 제 호, > 제 1 조 이기준은고시한날부터시행한다. 제 2 조 ( 영상정보처리기기에대한안전성확보조치의적용제외 ) 영상정보처리기기에대한안전성확보조치에대해서는 표준개인정보보호지침 중에서영상정보처리 기기설치 운영기준이정하는바에따른다. 제3조 ( 전산센터, 클라우드컴퓨팅센터등의운영환경에서의안전조치 ) 개인정보처리자가전산센터 (IDC: Internet Data Center), 클라우드컴퓨팅센터 (Cloud Computing Center) 등에계약을통해하드웨어, 소프트웨어등을임차또는임대하여개인정보를처리하는경우에는계약서또는서비스수준협약서 (SLA: Service Level Agreement) 에이기준에준하는수준의안전조치내용이포함되어있으면이기준을이행한것으로본다. 부칙 < 제 호, > 이기준은고시한날부터시행한다. 부칙 < 제 호, > 제 1 조 ( 시행일 ) 이고시는 2016 년 9 월 1 일부터시행한다. 제 2 조 ( 적용례 ) 영제 21 조의 2 제 2 항에따른주민등록번호의암호화적용시기이후에는고유식별정보중주민등록번호는 제 7 조제 4 항을적용하지아니한다. 78

79 [ 별표 ] 개인정보처리자유형및개인정보보유량에따른안전조치기준 유형적용대상안전조치기준 제 5 조 : 제 2 항부터제 5 항까지 제 6 조 : 제 1 항, 제 3 항, 제 6 항및제 7 항 제 7 조 : 제 1 항부터제 5 항까지, 제 7 항 유형1 ( 완화 ) 1만명미만의정보주체에관한개인정보를보유한소상공인, 단체, 개인 제8조 제9조 유형2 ( 표준 ) 100만명미만의정보주체에관한개인정보를보유한중소기업 10만명미만의정보주체에관한개인정보를보유한대기업, 중견기업, 공공기관 제10조 제11조 제13조 제4조 : 제1항제1호부터제11호까지및제15호, 제3항부터제4항까지 제5조 제6조 : 제1항부터제7항까지 제7조 : 제1항부터제5항까지, 제7항 제8조 Ⅱ. 개인정보의안전성확보조치기준해설 1만명이상의정보주체에관한개인정보를보유한소상공인, 단체, 개인 제9조 제10조 제 11 조 제 13 조 10 만명이상의정보주체에관한개인정보를보유한 유형 3 ( 강화 ) 대기업, 중견기업, 공공기관 100만명이상의정보주체에관한개인정보를보유한중소기업, 단체 제 4 조부터제 13 조까지 79

80 ⅢCHAPTER

81 기타

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하

개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하 우송정보대학개인정보보호내부관리계획 제 장총칙 제정 제 조 목적 개인정보보호내부관리계획은개인정보보호법제 조 안전조치의무 내부관리계획의수립및시행의무에따라제정된것으로우송정보대학이취급하는개인정보를체계적으로관리하여개인정보가분실 도난 누출 변조 훼손 오 남용등이되지아니하도록함을목적으로한다 제 조 적용범위 본계획은홈페이지등의온라인을통하여수집 이용 제공또는관리되는개인정보뿐만아니라오프라인

More information

슬라이드 1

슬라이드 1 모든유출사고가같은비중을차지하는것은아니지만암호화등올바른보안기술이적재적소에배치되어중요하고민감한데이터를보호해준다면 사고가발생한다해도개인정보유출을막을수있을것 원인별유형별산업별 58% 53% 43% * 출처 : Findings from the 2015 BREACH LEVEL INDEX Gemalto * 출처 : 2015 년개인정보보호실태조사 ( 행자부, 보호위 )

More information

목 차 참고및유의사항 관리실태조사관련 시스템접속 기관현황등록 자체점검 용어의정의 세부항목별점검방법 기관현황및점검결과수정

목 차 참고및유의사항 관리실태조사관련 시스템접속 기관현황등록 자체점검 용어의정의 세부항목별점검방법 기관현황및점검결과수정 고유식별정보안전성확보조치관리실태조사 매뉴얼 민간기관용 목 차 참고및유의사항 관리실태조사관련 시스템접속 기관현황등록 자체점검 용어의정의 세부항목별점검방법 기관현황및점검결과수정 1. 참고및유의사항 민간기관의경우본인인증과정을거쳐야기관현황등록및자체점검을진행하실수있습니다 기관현황및자체점검결과의수정등원활한관리를위해서는 개기관당여러명의담당자가중복하여등록하는일이발생하지않도록주의부탁드리겠습니다

More information

목차 Ⅰ. 개인정보의안전성확보조치기준 1 Ⅱ. 개인정보의안전성확보조치기준해설 9 [ 제1조 ] 목적 10 [ 제2조 ] 정의 12 [ 제3조 ] 안전조치기준적용 26 [ 제4조 ] 내부관리계획의수립 시행 28 [ 제5조 ] 접근권한의관리 41 [ 제6조 ] 접근통제 4

목차 Ⅰ. 개인정보의안전성확보조치기준 1 Ⅱ. 개인정보의안전성확보조치기준해설 9 [ 제1조 ] 목적 10 [ 제2조 ] 정의 12 [ 제3조 ] 안전조치기준적용 26 [ 제4조 ] 내부관리계획의수립 시행 28 [ 제5조 ] 접근권한의관리 41 [ 제6조 ] 접근통제 4 개인정보의안전성확보조치기준 해설서 2016. 12. 목차 Ⅰ. 개인정보의안전성확보조치기준 1 Ⅱ. 개인정보의안전성확보조치기준해설 9 [ 제1조 ] 목적 10 [ 제2조 ] 정의 12 [ 제3조 ] 안전조치기준적용 26 [ 제4조 ] 내부관리계획의수립 시행 28 [ 제5조 ] 접근권한의관리 41 [ 제6조 ] 접근통제 46 [ 제7조 ] 개인정보의암호화 55

More information

개인정보의안전성확보조치기준해설서 본기준해설서는 개인정보보호법 에따라개인정보처리자가개인정보의안전성확보를위해이행해야할기술적 관리적보호조치등의세부기준제시를목적으로합니다.

개인정보의안전성확보조치기준해설서 본기준해설서는 개인정보보호법 에따라개인정보처리자가개인정보의안전성확보를위해이행해야할기술적 관리적보호조치등의세부기준제시를목적으로합니다. 개인정보의안전성확보조치기준해설서 2015.2. 개인정보의안전성확보조치기준해설서 본기준해설서는 개인정보보호법 에따라개인정보처리자가개인정보의안전성확보를위해이행해야할기술적 관리적보호조치등의세부기준제시를목적으로합니다. Contents 01 개인정보의안전성확보조치기준 6 02 개인정보의안전성확보조치조문별해설 14 1. 목적 14 2. 정의 16 3. 내부관리계획의수립

More information

[ 별표 2] 과태료의부과기준 ( 제 63 조관련 ) 1. 일반기준가. 위반행위의횟수에따른과태료부과기준은최근 3년간같은위반행위로과태료를부과받은경우에적용한다. 이경우위반행위에대하여과태료부과처분을한날과다시같은위반행위를적발한날을각각기준으로하여위반횟수를계산한다. 나. 안전행정부장관또는관계중앙행정기관의장은다음의어느하나에해당하는경우에는제2호에따른과태료부과금액의 2분의

More information

Zentralanweisung

Zentralanweisung RBKR & RBKD Guideline 4.1 1/11 목 차 1 총칙... 2 2 개인정보의처리목적및처리하는개인정보의항목... 2 2.1 개인정보의처리목적... 2 2.2 처리하는개인정보의항목... 3 3 개인정보의처리 보유기간및파기... 4 3.1 개인정보의처리 보유기간... 4 3.2 개인정보의파기... 4 4 개인정보의제 3 자제공... 4 5 개인정보처리의위탁...

More information

개인정보처리방침_성동청소년수련관.hwp

개인정보처리방침_성동청소년수련관.hwp 서울시립성동청소년수련관 개인정보 처리방침 서울시립성동청소년수련관은 개인정보 보호법 제30조에 따라 정보주체의 개인정 보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리지침을 수립 공개합니다. 제1조(개인정보의 처리목적) 1 서울시립성동청소년수련관은 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고

More information

본 해설서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 법 이라 한다) 제28조제1항과 같은 법 시행령 제15조제6항에 근거한 개인정보의 기술적 관리적 보호조치 기준 이 개정 고시(2009.8.7)됨에 따라 - 동 기준의 각 조항별 주안점과 구체적인 사례를

본 해설서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 법 이라 한다) 제28조제1항과 같은 법 시행령 제15조제6항에 근거한 개인정보의 기술적 관리적 보호조치 기준 이 개정 고시(2009.8.7)됨에 따라 - 동 기준의 각 조항별 주안점과 구체적인 사례를 2009. 9 본 해설서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 법 이라 한다) 제28조제1항과 같은 법 시행령 제15조제6항에 근거한 개인정보의 기술적 관리적 보호조치 기준 이 개정 고시(2009.8.7)됨에 따라 - 동 기준의 각 조항별 주안점과 구체적인 사례를 제시함으로써 해석상 오해의 소지를 없애고, - 동 기준에 대한 올바른 이해를

More information

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우

3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우 개인정보처리방침 ( 주 ) 아프리카티비 ( 이하 회사 라한다 ) 는개인정보보호법에따라이용자의개인정보보호및 권익을보호하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같이 개인정보처리지침을수립 공개합니다. 제1조 ( 개인정보의처리목적 ) 회사는다음의목적을위하여개인정보를처리합니다. 처리하고있는개인정보는다음의목적이외의용도로는이용되지않으며, 이용목적이변경되는경우에는개인정보보호법에따라별도의동의를받는등필요한조치를이행할예정입니다.

More information

개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영

개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영상정보처리기기를설치 운영할경우다음각호의사항을포함한영상정보처리기기운영 관리방침을수립하여야한다. 1. 설치근거및설치목적 2. 설치대수,

More information

Microsoft PowerPoint - 6.pptx

Microsoft PowerPoint - 6.pptx DB 암호화업데이트 2011. 3. 15 KIM SUNGJIN ( 주 ) 비에이솔루션즈 1 IBM iseries 암호화구현방안 목차 목 차 정부시책및방향 제정안특이사항 기술적보호조치기준고시 암호화구현방안 암호화적용구조 DB 암호화 Performance Test 결과 암호화적용구조제안 [ 하이브리드방식 ] 2 IBM iseries 암호화구현방안 정부시책및방향

More information

슬라이드 1

슬라이드 1 2016 년개인정보보호법기술적 관리적조치방앆 김종표 ( 한국인터넷짂흥원개인정보기술팀장 ) 1 CONTENTS 1 개인정보유출및기술적 관리적보호조치통계 2 개인정보기술적 관리적보호조치분야 3 개인정보의안전성확보조치사항 4 의료기관의개인정보안전성확보조치사항 2 원인별유형별산업별 58% 53% 43% * 출처 : Findings from the 2015 BREACH

More information

개인정보의기술적 관리적보호조치기준해설서 2017. 12. Ⅰ. 개인정보의기술적 관리적보호조치기준 개요 1. 개요 2. 법적근거 3. 제 개정연혁 4. 신 구조문대비표 - 1 - Ⅰ. 개인정보의기술적 관리적보호조치기준 개요 1. 개요 - 2 - 2. 법적근거 정보통신망법 제 28 조 ( 개인정보의보호조치 ) 제 64 조의 3( 과징금의부과등 ) 제 73 조

More information

암호내지2010.1.8

암호내지2010.1.8 Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀

More information

[ 목차 ]

[ 목차 ] 빅데이터개인정보보호가이드라인 해설서 ( 14.12.23. 제정, 15.1.1. 시행 ) [ 목차 ] < 주요내용 ( 요약 ) > 1. 목적 ( 가이드라인제 1 조 ) 2. 정의 ( 가이드라인제 2 조 ) - 1 - - 2 - - 3 - 3. 개인정보의보호 ( 가이드라인제 3 조 ) 비식별화조치 ( 제 1 항 ) - 4 - - 5 - - 6 - - 7 - 개인정보보호조치

More information

김포시종합사회복지관개인정보보호관리지침 제정일 제 1 장총칙 제 1 조 ( 목적 ) 김포시종합사회복지관개인정보보호관리지침은개인정보보호법제29조 ( 안전조치의무 ) 내부관리계획의수립및시행의무에따라제정된것으로김포시종합사회복지관을이용하는이용자, 근로자, 후원자

김포시종합사회복지관개인정보보호관리지침 제정일 제 1 장총칙 제 1 조 ( 목적 ) 김포시종합사회복지관개인정보보호관리지침은개인정보보호법제29조 ( 안전조치의무 ) 내부관리계획의수립및시행의무에따라제정된것으로김포시종합사회복지관을이용하는이용자, 근로자, 후원자 김포시종합사회복지관개인정보보호관리지침 김포시종합사회복지관개인정보보호관리지침 제정일 2013. 1. 제 1 장총칙 제 1 조 ( 목적 ) 김포시종합사회복지관개인정보보호관리지침은개인정보보호법제29조 ( 안전조치의무 ) 내부관리계획의수립및시행의무에따라제정된것으로김포시종합사회복지관을이용하는이용자, 근로자, 후원자, 자원봉사자, 방문자등의개인정보를체계적으로관리하여개인정보가분실,

More information

DB 암호화상식백과는 DB 암호화상식백과는 DB 암호화구축을고려하는담당자들이궁금해하는점들을모아만든자료 집입니다. 법률적인부분부터시스템적인부분까지, DB 암호화에대한궁금증을해소해드리겠습니 다. DB 암호화상식백과목차 1. DB 암호화기본상식 1) DB암호화근거법조항 2)

DB 암호화상식백과는 DB 암호화상식백과는 DB 암호화구축을고려하는담당자들이궁금해하는점들을모아만든자료 집입니다. 법률적인부분부터시스템적인부분까지, DB 암호화에대한궁금증을해소해드리겠습니 다. DB 암호화상식백과목차 1. DB 암호화기본상식 1) DB암호화근거법조항 2) DB 암호화상식백과 한권으로끝! DB 암호화구축담당자를위한 DB 암호화 상식백과 책속부록 DB 보안관련법정리본 DB암호화컨설팅책속문의부록이규호컨설턴트 DB 관련법 khlee@comtrue.com 정리본 02-396-7005(109) 박동현컨설턴트 dhpark@comtrue.com 02-396-7005(106) 컴트루테크놀로지서울시마포구성암로 330 DMC 첨단산업센터

More information

중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침

중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침 중요문서 개인정보처리방침 제정 : 2012.03.23 최근개정 : 2018.01.02 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침을수립 공개한다. 1 회사는다음의목적을위하여개인정보를처리한다. 개인정보는다음의목적이외의용도로는이용되지않으며,

More information

개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인

개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인 개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인 개인정보처리방침이나관련법령등을통해수집이용할개인정보의보유기간을확인합니다 일시적인개인정보수집

More information

개인정보취급방침 제정 개정 개정 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이

개인정보취급방침 제정 개정 개정 베스타스자산운용 ( 주 )( 이하  회사  이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이 개인정보취급방침 제정 2015.05.26 개정 2016.01.18 개정 2017.05.23 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보취급방침을수립 공개합니다. 제1조 ( 개인정보의처리목적 ) 회사는다음의목적을위하여개인정보를처리합니다.

More information

목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널

목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널 무선단말기와 PC간공인인증서전송을위한기술규격 Certificate Transmission between PC to Mobile Device v2.10 2012 년 11 월 목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 1 3.1 국외표준및규격 1 3.2 국내표준및규격 1 3.3 기타 2 4. 정의 2 4.1 전자서명법용어정의 2 4.2 용어의정의

More information

354-437-4..

354-437-4.. 357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%

More information

Microsoft PowerPoint - Ppt [읽기 전용]

Microsoft PowerPoint - Ppt [읽기 전용] I. 개요 II. 개인정보의기술적 ᆞ 관리적보호조치기준 공공기관의개인정보보호에관한법률 공공기관의정보공개에관한법률 전자정부법 주민등록법, 호적법등 공공행정 교육 정보통신 우리나라개인정보보호법률체계 초중등교육법 교육정보시스템의운영등에관한규칙등 정보통신망이용촉진및정보보호등에관한법률 통신비밀보호법 정보통신기반보호법 전기통신사업법등 금융 / 신용 의료 신용정보의이용및보호에관한법률

More information

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>

< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770> IT&Law 상담사례집 - 제 2 권 - IT&Law 상담사례집제2권 - 1 - 제 1 장프로그램저작권일반 - 2 - IT&Law 상담사례집제2권 - 3 - 제 1 장프로그램저작권일반 - 4 - IT&Law 상담사례집제2권 - 5 - 제 1 장프로그램저작권일반 - 6 - IT&Law 상담사례집제2권 - 7 - 제 1 장프로그램저작권일반 - 8 -

More information

개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-

개인정보보호의  이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호- 개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro

More information

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>

<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770> 네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고

More information

2018년 10월 12일식품의약품안전처장

2018년 10월 12일식품의약품안전처장 2018년 10월 12일식품의약품안전처장 - 1 - - 2 - - 3 - - 4 - - 5 - - 6 - - 7 - - 8 - - 9 - - 10 - - 11 - - 12 - - 13 - - 14 - - 15 - - 16 - - 17 - - 18 - - 19 - - 20 - - 21 - - 22 - - 23 - - 24 - - 25 - - 26 - - 27

More information

2015 해설서 V1.1.hwp

2015 해설서 V1.1.hwp 위치정보의관리적 기술적보호조치 권고해설서 2015. 11. 방송통신위원회 (KCC) 와한국인터넷진흥원 (KISA) 은 위치정보의보호및이용등에관한법률 제16조및같은법시행령제20조에따라위치정보의누출 변조 훼손등을방지하기위해위치정보사업자및위치기반서비스사업자가준수해야하는관리적 기술적보호조치의구체적인기준을제시하고자 위치정보의관리적 기술적보호조치권고 를마련한바있습니다.

More information

Ⅰ 감사개요 1. m, m (K-CRM 1) ) 12,808 (,, ). 2. m - : (5 ) - ; (9 ) m : m : 10 ( 5 ) m : 5 1) K-CRM (Kosha Knowledge-Cus

Ⅰ 감사개요 1. m, m (K-CRM 1) ) 12,808 (,, ). 2. m - : (5 ) - ; (9 ) m : m : 10 ( 5 ) m : 5 1) K-CRM (Kosha Knowledge-Cus 특정감사결과보고서 - 개인정보등내부정보관리실태 - 2012. 6. Ⅰ 감사개요 1. m, m (K-CRM 1) ) 12,808 (,, ). 2. m - : 2012.05.07 05.11.(5 ) - ; 2012.05.21 06.01.(9 ) m : m : 10 ( 5 ) m : 5 1) K-CRM (Kosha Knowledge-Customer Relation

More information

개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 ( 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다

개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 (  또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다 개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 (www.kisdi.re.kr) 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다. 2 연구원은고유식별정보및민감정보를수집하지않으며, 연구원홈페이지에서수집하는개인정보항목은없음을알려드립니다.

More information

FOCUS 3 개인정보보호를위한 개인정보의안전성확보조치기준 개정 FOCUS 문봉주 ** 행정자치부 는최근개인정보유출사고나모바일기기를활용한개인정보처리확산에대응하기위해 개인정보의안전성확보조치기준 ( 행정자치부고시제2014-7호 ) 을개정 ( ) 고시하였다

FOCUS 3 개인정보보호를위한 개인정보의안전성확보조치기준 개정 FOCUS 문봉주 ** 행정자치부 는최근개인정보유출사고나모바일기기를활용한개인정보처리확산에대응하기위해 개인정보의안전성확보조치기준 ( 행정자치부고시제2014-7호 ) 을개정 ( ) 고시하였다 3 개인정보보호를위한 개인정보의안전성확보조치기준 개정 문봉주 ** 행정자치부 는최근개인정보유출사고나모바일기기를활용한개인정보처리확산에대응하기위해 개인정보의안전성확보조치기준 ( 행정자치부고시제2014-7호 ) 을개정 (2014.12.30.) 고시하였다. 본고에서는고시에서중점개정된내 외부직원, 홈페이지등개인정보유출사고예방및방지, 모바일기기이용확대에따른보호조치강화등에대한내용을중심으로기업의자율적보호조치를강화하는세부적인조치방안을확인하고자한다.

More information

내부정보관리규정

내부정보관리규정 화우테크놀러지 내부정보관리규정입니다. 내부정보관리규정은코스닥시장공시규정제 45조에따라신속 / 정확한공시및임원 / 직원의내부자거래방지를위하여회사내부정보의종합관리및적절한공개등을목적으로제정되어졌습니다. 내부정보관리규정 내부정보관리규정 제정 2009. 09. 01 제1장총칙 제1 조( 목적) 이규정은 자본시장과금융투자업에관한법률 ( 이하 법 이 라한다) 및제반법규에따른신속

More information

Cloud Friendly System Architecture

Cloud Friendly System Architecture -Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture

More information

1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ), ( 集合物 ). 5., /38

1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ), ( 集合物 ). 5., /38 1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ),. 3.. 4. ( 集合物 ). 5., 31. 6.. 7.. 8. 1/38 3 (CCTV). 9.,. 3 [ ] 1. 2,. 3,. 4. 5,. 6. 7. 8. 4 [ ]. 1. ( ), 2. 3. 4. 5. 6.

More information

Microsoft Word - src.doc

Microsoft Word - src.doc IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...

More information

/ :24 문서보안을생활화합시다

/ :24 문서보안을생활화합시다 - 1 - - 2 - - 3 - - 4 - - 5 - - 6 - - 7 - - 8 - - 9 - - 10 - - 11 - - 12 - - 13 - - 14 - - 15 - - 16 - - 17 - - 18 - - 19 - - 20 - - 21 - - 22 - - 23 - - 24 - - 25 - - 26 - - 27 - - 28 - - 29 - - 30 -

More information

개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교

개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교 개인정보처리방침 (2017.7.24. 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교육시스템 > 은이러한법령의규정에따라수집 보유및처리하는개인정보를소관업무의적절한수행과이용자의권익을보호하기위해적법하고적정하게취급할것입니다.

More information

옹진군개인정보보호내부관리계획 번호개정연월내용비고 개인정보보호내부관리계획수립 제 6 조 ( 개인정보보호책임자, 분야별책임자및보호담당자의지정 ) - 부서장또는면 직속기관의장을분야별책임자로지정 제

옹진군개인정보보호내부관리계획 번호개정연월내용비고 개인정보보호내부관리계획수립 제 6 조 ( 개인정보보호책임자, 분야별책임자및보호담당자의지정 ) - 부서장또는면 직속기관의장을분야별책임자로지정 제 옹진군개인정보내부관리계획개정 ( 안 ) 2018. 4 옹진군 http://w w w.ongjin.go.kr 옹진군개인정보보호내부관리계획 번호개정연월내용비고 1 2012. 5. 개인정보보호내부관리계획수립 2 2013. 1. 3 2015. 6. 4 2016. 6. 제 6 조 ( 개인정보보호책임자, 분야별책임자및보호담당자의지정 ) - 부서장또는면 직속기관의장을분야별책임자로지정

More information

좀비PC

좀비PC 1. 수집 단계 1.1 개요 공공기관이 당 기관의 업무 수행을 위해 특정 목적으로 정보주체의 동의 및 법률적 근거로 를 적법하고 정당하게 수집하는 과정 및 절차를 의미 웹사이트에 회원 가입 시 주민등록번호, 이름, 주소, 직장, 이메일 등을 입력하는 과정은 의 수집 단계에 해당됨 1.2 침해유형 및 보호조치의 필요성 수집 단계에서의 대표적 침해유형은 본인 확인시

More information

연구원은법령에따른개인정보처리 보유또는정보주체로부터동의받은개인정보를처리및보유합니다. 각각의개인정보처리및보유기간은다음과같습니다. 1) 연구원내부방침에의한정보보유사유가. 부정이용기록 ( 비정상적서비스이용기록 ) - 보존이용 : 부정이용방지 - 보존기간 : 6개월 2) 관계법

연구원은법령에따른개인정보처리 보유또는정보주체로부터동의받은개인정보를처리및보유합니다. 각각의개인정보처리및보유기간은다음과같습니다. 1) 연구원내부방침에의한정보보유사유가. 부정이용기록 ( 비정상적서비스이용기록 ) - 보존이용 : 부정이용방지 - 보존기간 : 6개월 2) 관계법 개인정보처리방침 (2016.10.15~2018.06.30) LG경제연구원 ( 이하 ' 연구원 ') 은개인정보보호법에따라이용자의개인정보보호및권익을보호하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같은처리방침을두고있습니다. 연구원은개인정보처리방침을개정하는경우웹사이트공지사항 ( 또는개별공지 ) 을통하여안내할것입니다. < 목차 > 1. 개인정보의처리목적 2.

More information

<4D6963726F736F667420576F7264202D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F323031362E30332E3239>

<4D6963726F736F667420576F7264202D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F323031362E30332E3239> 피델리티자산운용 개인정보처리방침(채용/인사) 제정: 2013.09.01 개정: 2016.02.01 개정: 2016.03.29 1. 총칙 본 방침은 예비, 현재 및 과거 직원들(이하 "직원들")의 개인정보를 보호하고 불법적인 정보 의 유출로 인하여 발생되는 직원들의 피해를 방지하기 위하여 피델리티자산운용 (이하 "회 사")이 취하고 있는 개인정보의 처리(수집,

More information

분야 1. 개인정보의처리 ( 수집 이용 제공등 ) 점검지표점검항목판단기준 1.1 개인정보의수집 이용 진료 ( 조제 복약 ) 목적외로서면가입 ( 오프라인 ) 홈페이지 ( 온라인 ) 등을통한회원가입시동의는받고있는가? Seq: 1 서면및홈페이지등을통한회원가입 (

분야 1. 개인정보의처리 ( 수집 이용 제공등 ) 점검지표점검항목판단기준 1.1 개인정보의수집 이용 진료 ( 조제 복약 ) 목적외로서면가입 ( 오프라인 ) 홈페이지 ( 온라인 ) 등을통한회원가입시동의는받고있는가? Seq: 1 서면및홈페이지등을통한회원가입 ( 개인정보보호자가점검서비스 항목별세부내역 2016.06 사전체크질문 서면가입 ( 오프라인 ) 홈페이지 ( 온라인 ) 등을통한회원가 입을받고있습니까? 제외항목 1.1.1, 1.1.2, 1.2.1, 1.2.2 영상정보처리기기 (CCTV) 를설치운영하고있습니까? 2.3.1, 2.3.2, 2.3.3, 2.3.4 개인정보를목적외로이용하거나제 3 자에게제공하 고있습니까?

More information

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :

HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,

More information

대림코퍼레이션은 ( 이하 ' 회사 ' 라칭함 ) 개인정보보호법, 정보통신망이용촉진및정보보호에관한법률 을준수하고있으며, 정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은개인정보처리방침을제정하고이를준수하고있습니다. 회사의 " 개인

대림코퍼레이션은 ( 이하 ' 회사 ' 라칭함 ) 개인정보보호법, 정보통신망이용촉진및정보보호에관한법률 을준수하고있으며, 정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은개인정보처리방침을제정하고이를준수하고있습니다. 회사의  개인 대림코퍼레이션은 ( 이하 ' 회사 ' 라칭함 ) 개인정보보호법, 정보통신망이용촉진및정보보호에관한법률 을준수하고있으며, 정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은개인정보처리방침을제정하고이를준수하고있습니다. 회사의 " 개인정보처리방침 " 은관련법률및지침의변경또는내부운영방침의변경에따라변경될수있습니다. 회사의 " 개인정보처리방침

More information

동양미래대학교규정집제 8 편정보보안 ~2 제4조 ( 책임사항 ) 1. 정보보안담당관 : 대학의전반적인보안계획을수립관리하는자로대학에서 1명을선정하여, 암호화기술및프로그램등암호와관련된모든사항들에대해서최종승인과총괄적인관리를담당한다. 그리고기술의발달에따라암호화기술및

동양미래대학교규정집제 8 편정보보안 ~2 제4조 ( 책임사항 ) 1. 정보보안담당관 : 대학의전반적인보안계획을수립관리하는자로대학에서 1명을선정하여, 암호화기술및프로그램등암호와관련된모든사항들에대해서최종승인과총괄적인관리를담당한다. 그리고기술의발달에따라암호화기술및 동양미래대학교규정집제 8 편정보보안 8-0-18~1 암호키관리지침 규정번호 8-0-18 제정일자 2017.04.17 개정일자 개정번호 Ver.0 총페이지 7 제 1 장총칙 제1조 ( 목적 ) 본지침은 정보통신망이용촉진및정보보호등에관한법률 의 개인정보의보호, 정보통신망의안전성확보 등관계법령의규정을토대로, 동양미래대학교 ( 이하 대학 이라고함 ) 의중요정보자산에대해기밀성,

More information

1. 정보보호 개요

1. 정보보호 개요 정보보호개론 16. VPN( 가상사설망 ) 1 목포해양대해양컴퓨터공학과 가상사설망 (VPN) (1) 공중망을사설망처럼이용할수있도록사이트양단간암호화통신을지원하는장치 원격사용자가공중망및인터넷을통해내부망의시스템사용시, 공중망구간에서의도청으로인한정보유출을방지하기위해사용자와내부망간암호화통신을지원 가상사설망의장점 저비용으로광범위한사설네트워크의구성이가능 기업네트워크관리및운영비용이절감됨

More information

<4D F736F F D D504F4C2D32382DB0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A720B0D4BDC3BFEB>

<4D F736F F D D504F4C2D32382DB0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A720B0D4BDC3BFEB> 개인정보처리방침 - 1 - ( 주 ) 월급날개인정보처리방침 ( 주 ) 월급날 ( 이하 회사 라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를보호하고이와 관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리지침을 수립 공개합니다. 제 1 조 ( 개인정보의처리목적 ) 회사는다음의목적을위하여개인정보를처리합니다. 처리하고있는개인정보는다음의목적이외의

More information

0. 들어가기 전

0. 들어가기 전 컴퓨터네트워크 13 장. 네트워크보안 (2) - 암호화시스템 1 이번시간의학습목표 암호화알고리즘인 DES, RSA 의구조이해 전자서명의필요성과방법이해 2 대칭키암호방식 (1) 암호화와복호화에하나의키를이용 공통키또는대칭키암호방식이라고지칭 이때의키를비밀키 (secret key) 라고지칭 3 대칭키암호방식 (2) 암호화복호화를수행하는두사용자가동일한키를가지고있어야함

More information

슬라이드 1

슬라이드 1 1. 망 분리 필요성 망 분리 사업의 중요성 정부에서는 공공 기관, 기업 등의 내부 자료 유출 및 외부로부터의 침입에 대비하여, 망 분리를 구축하도록 다양한 정책 및 법안을 발표하고 시행을 의무화하고 있습니다. 공공기관 망 분리 의무화 기업 망 분리 의무화 관계기관과 업계에 따르면 최근 국정원은 국가기관과 공공기관에 업무 망과 인터넷 망을 분리토록 하는 지침을

More information

신 재생에너지공급의무화 (RPS) 제도 Contents - 목차 - 1. 신에너지및재생에너지개발 이용 보급촉진법령 2. 신 재생에너지공급의무화제도관리및운영지침 3. 공급인증서발급및거래시장운영에관한규칙 신에너지및재생에너지 개발 이용 보급촉진법령 신 재생에너지공급의무화 (RPS) 제도 5 법률시행령시행규칙 신에너지및재생에너지개발 이용 보급촉진법 신에너지및재생에너지개발

More information

알기쉽게풀어쓴 중소기업범위해설

알기쉽게풀어쓴 중소기업범위해설 알기쉽게풀어쓴 중소기업범위해설 중소기업기준 ( 요약 ) 해당업종분류부호규모기준 1 장. 중소기업이란? 1 중소기업의개념 - 1 - 중소기업지원시책알아보기지원시책안내책자중소기업청홈페이지 (http://smba.go.kr) 메인화면에서 2012 중소기업지원시책 파일출력 * 2012년도정부의중소기업지원시책을주제 분야 기관별로수록 지원시책별실시간정보비즈인포

More information

SBR-100S User Manual

SBR-100S User Manual ( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S

More information

<4D F736F F F696E74202D2033B1B3BDC320B0B3C0CEC1A4BAB820B1E2BCFAC0FB20B0FCB8AEC0FB20BAB8C8A3C1B6C4A12DC1A4C2F9C1D6BCB1C0D3205BC8A3C8AF20B8F0B5E55D>

<4D F736F F F696E74202D2033B1B3BDC320B0B3C0CEC1A4BAB820B1E2BCFAC0FB20B0FCB8AEC0FB20BAB8C8A3C1B6C4A12DC1A4C2F9C1D6BCB1C0D3205BC8A3C8AF20B8F0B5E55D> I. 개요 II. 개인정보의기술적ᆞ 관리적보호조치기준 III. 사례 공공기관의개인정보보호에관한법률 공공기관의정보공개에관한법률 전자정부법 주민등록법, 호적법등 공공행정 교육 정보통신 우리나라개인정보보호법률체계 초중등교육법 교육정보시스템의운영등에관한규칙등 정보통신망이용촉진및정보보호등에관한법률 통신비밀보호법 정보통신기반보호법 전기통신사업법등 금융 / 신용 의료

More information

약관

약관 약관 소기업 소상공인공제약관 2-1-1 < 개정 2008.5.19.> < 개정 2015.1.1.> < 개정 2008.5.19.> 4. 삭제 2-1-2 < 개정 2007.10.10., 2008.12.15.>< 호번변경 2008.5.19.> < 호번변경 2008.5.19.> < 개정 2008.5.19.>< 호번변경 2008.5.19.>

More information

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770>

<32BDBAB8B6C6AEC6F9B1DDC0B6B0C5B7A13130B0E8B8EDBEC8B3BBBCAD2E687770> 스마트폰 금융거래 10계명 안내서 배 경 금융감독원은 국내의 스마트폰 이용 활성화를 계기로 10.1월 스마트폰 전자금융서비스 안전 대책을 수립하여 금융회사가 안전한 스마트폰 금융서비스를 제공하기 위한 기반을 마련 하였습니다. 더욱 안전한 전자금융거래를 위해서는 서비스를 제공하는 금융회사뿐만 아니라, 금융소비자 스스로도 금융정보 유출, 부정거래 등 전자금융사고

More information

본안내서는 개인정보보호법 에따라개인정보처리자가개인정보를안전하게 저장 전송하는데사용되는기술인암호화에대한안내를제공하고있습니다. 본안내서는개인정보처리자가고유식별정보, 비밀번호, 바이오정보등암호화대상개인정보의저장 전송시적용할수있는암호알고리즘, 수행방식, 사례등을제시하고있으며제

본안내서는 개인정보보호법 에따라개인정보처리자가개인정보를안전하게 저장 전송하는데사용되는기술인암호화에대한안내를제공하고있습니다. 본안내서는개인정보처리자가고유식별정보, 비밀번호, 바이오정보등암호화대상개인정보의저장 전송시적용할수있는암호알고리즘, 수행방식, 사례등을제시하고있으며제 개인정보의암호화조치안내서 2017 년 1 월 본안내서는 개인정보보호법 에따라개인정보처리자가개인정보를안전하게 저장 전송하는데사용되는기술인암호화에대한안내를제공하고있습니다. 본안내서는개인정보처리자가고유식별정보, 비밀번호, 바이오정보등암호화대상개인정보의저장 전송시적용할수있는암호알고리즘, 수행방식, 사례등을제시하고있으며제시된암호알고리즘등은 2016년 9월기준으로작성되었습니다.

More information

지능형전력망의구축및이용촉진에관한법률시행 지능형전력망의구축및이용촉진에관한법률시행령 [ 시행 ] [ 대통령령제25840호, , 타법개 산업통상자원부 ( 전력진흥과 ) 제1장총칙 제 1 조 ( 목적 ) 이영은 지능형전력망의

지능형전력망의구축및이용촉진에관한법률시행 지능형전력망의구축및이용촉진에관한법률시행령 [ 시행 ] [ 대통령령제25840호, , 타법개 산업통상자원부 ( 전력진흥과 ) 제1장총칙 제 1 조 ( 목적 ) 이영은 지능형전력망의 령 [ 시행 2015.1.1.] [ 대통령령제25840호, 2014.12.9., 타법개 산업통상자원부 ( 전력진흥과 ) 044-203-5 제1장총칙 제 1 조 ( 목적 ) 이영은 지능형전력망의구축및이용촉진에관한법률 에서위임된사항과그시행에필 규정함을목적으로한다. 제 2 장지능형전력망기본계획등 제2조 ( 지능형전력망기본계획의수립및시행등 ) 1 산업통상자원부장관은

More information

120330(00)(1~4).indd

120330(00)(1~4).indd 도시개발법시행규칙 [ 별지제 5 호서식 ] 색상이어두운란은가작성하지않습니다. 접수번호 접수일자 성명 ( 법인의명칭및대표자성명 ) 주민등록번호 ( 법인등록번호 ) 전화번호 구역명 동의내용 구역면적 ( m2 ) 사업방식 시행자에관한사항 본인은 도시개발법 제4조제4항및영제6조제6항에따라환지방식의도시개발계획에대하여시행자등에게설명을듣고위내용 ( 개발계획수립과정에서관계기관협의및도시계획위원회의심의결과등에따라개발계획이변경되는경우를포함합니다

More information

05 암호개론 (2)

05 암호개론 (2) 정보보호 05 암호개론 (2) 현대암호 (1) 근대암호 기계식암호 SP(Substitution & Permutation) 현대암호 1950 년대이후컴퓨터를이용한암호방법개발 수학적접근방식에의해보다복잡하고해독하기어렵게만들어짐 구분 대칭키알고리즘 블록 (Block) 암호화 스트림 (Stream) 암호화 비대칭키알고리즘으로구분 현대암호 ( 계속 ) 현대암호 (2)

More information

1. 상수도사업본부 개인정보 처리방침(내용_ ).hwp

1. 상수도사업본부 개인정보 처리방침(내용_ ).hwp 상수도사업본부개인정보처리방침 서울특별시상수도사업본부는개인정보보호법제 30 조등관련법령상의개인정보보호규정을 준수하며, 개인정보처리방침은아래와같습니다. 이방침은서울특별시 개인정보처리방침 을따르며별도의설명이없는한, 상수도사업본부및산하사업소에서처리하는모든개인정보파일에적용됩니다. 다만, 소관업무처리를위해소속기관 ( 부서 ) 에서별도의개인정보처리방침을제정, 시행하는경우에는그에따르고,

More information

프랑스 (Loi n du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes L'Assemblee nationale et le Senat ont adopte) 독일 (Bundesdat

프랑스 (Loi n du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes L'Assemblee nationale et le Senat ont adopte) 독일 (Bundesdat [ 표 1] 각국의개인정보개념정의규정 국가 EU (Data Protection Directive) 영국 (Data Protection Act) 개인정보개념정의규정개인정보는 식별되거나식별가능한자연인 ( 이하, 정보주체 라한다 ) 에관한정보를말한다 ; 식별가능한개인이란신분증번호를통하여또는신체적, 생리적, 정신적, 경제적, 문화적, 사회적요소에관한하나또는그이상의정보를통하여직

More information

-. BSE ( 3 ) BSE. ㆍㆍ ( 5 ). ( 6 ) 3., ( : , Fax : , : 8 177, : 39660).. ( ). ( ),. (

-. BSE ( 3 ) BSE. ㆍㆍ ( 5 ). ( 6 ) 3., ( : , Fax : ,   : 8 177, : 39660).. ( ). ( ),. ( 2018-231 ( 2017-4, 2017.1.25.) 46. 2018 7 00 ( ) 1., ㆍ ㆍ. 2.. ( 2 ) - - 1 - -. BSE ( 3 ) BSE. ㆍㆍ ( 5 ). ( 6 ) 3., 2018 9 00 ( : 054-912-0423, Fax : 054-912-0431, E-mail : ilsu@korea.kr, : 8 177, : 39660)..

More information

m (-6933, `12.5.2) ( ),,,,.,. 2 2 ( ) 1 2 (( 高 ) M10 110) 2,280, H, H.. - (, ) H, H, H. - ( 引拔 ), H,. (-6933, `12.5.2) ( ),. 3 (2,280), (, ) ( 共

m (-6933, `12.5.2) ( ),,,,.,. 2 2 ( ) 1 2 (( 高 ) M10 110) 2,280, H, H.. - (, ) H, H, H. - ( 引拔 ), H,. (-6933, `12.5.2) ( ),. 3 (2,280), (, ) ( 共 연번주요지적사항처분요구조치현황 감사결과처분요구및조치현황 No. 1 m () ( : ) 3 [(1),, ], 2. 3 2013 6~12 11( 2.7), 399KW. - 2 - m (-6933, `12.5.2) (2014-56),,,,.,. 2 2 ( ) 1 2 (( 高 ) M10 110) 2,280, H, H.. - (, ) H, H, H. - ( 引拔 ),

More information

추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는

추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는 추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는개인정보의항목개인정보의처리목적, 개인정보의처리및보유기간, 처리하는개인정보의항목에대한본교의개인정보파일등록사항공개는행정안전부개인정보보호종합지원포털

More information

PowerPoint 프레젠테이션

PowerPoint 프레젠테이션 목차 1. AirSCAN 제안배경 2. AirSCAN 소개 3. AirSCAN 레퍼런스 4. AirSCAN Case Study AirSCAN 제안배경 무선을 통한 해킹의 급증 스마트기기의 증가 = 무선 보안 Hole의 증가 비인가 스마트폰 테더링을 통한 악성코드 감염 스마트폰 테더링을 통한 핵심기술 정보 유출 AirSCAN 제안배경 정부차원의 무선보안 가이드라인

More information

동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있

동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있 동서울대학교개인정보처리방침 2012. 04. 02 동서울대학교 동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있는개인정보는다음의목적이외의용도로는이용되지않으며

More information

Zentralanweisung

Zentralanweisung DCKR Guideline 4.2 1/7 July 31, 2017 목 차 1 총칙... 2 2 개인정보의처리목적및처리하는개인정보의항목... 2 3 개인정보의보유기간및파기... 3 4 개인정보처리의위탁... 3 5 주민등록번호처리의제한... 4 6 정보주체의권리 의무및그행사방법에관한사항... 4 6.1 개인정보의열람... 4 6.2 개인정보의정정및삭제... 4

More information

<C0CEB1C7C0A7C3D6C1BEBAB8B0EDBCAD28BCF6C1A4BABB30333139292E687770>

<C0CEB1C7C0A7C3D6C1BEBAB8B0EDBCAD28BCF6C1A4BABB30333139292E687770> 79.6 79.8 72.9 71.9 39.9 41.0 37.6 39.1 광공업 공공서비스업 민간서비스업 농림어업건설업 소속업체기준 일하는곳기준 53.0 52.5 자료:경제활동인구조사부가조사 남자 여자 24.8 23.5 28.7 23.8 10.9 12.7 10.4 9.7 3.1 4.1 비정규직 임시근로 장기임시근로 계약근로 시간제근로 특수고용형태 325 308

More information

제 1 장가이드라인개요 1. 적용대상및범위 목 제 1 장가이드라인개요 차 적용대상 : 뉴미디어서비스제공자및뉴미디어서비스이용자 - 뉴미디어서비스제공자 ( 이하 서비스제공자 라한다 ) 란정부통합전산센터 ( 클라우드컴퓨팅서비스 ), 다음 ( 마이피플 ), 네이버 ( 미투데이

제 1 장가이드라인개요 1. 적용대상및범위 목 제 1 장가이드라인개요 차 적용대상 : 뉴미디어서비스제공자및뉴미디어서비스이용자 - 뉴미디어서비스제공자 ( 이하 서비스제공자 라한다 ) 란정부통합전산센터 ( 클라우드컴퓨팅서비스 ), 다음 ( 마이피플 ), 네이버 ( 미투데이 뉴미디어서비스 개인정보보호가이드라인 뉴미디어서비스이용 제공시개인정보침해사고 예방을위해준수해야할사항에대한가이드라인 제시를목적으로합니다. 2012. 1. 뉴미디어서비스 (New Media service) 란클라우드 컴퓨팅서비스, 소셜네트워크서비스, 소셜커머스 서비스, 스마트폰활용서비스를의미함 행정안전부 제 1 장가이드라인개요 1. 적용대상및범위 목 제 1 장가이드라인개요

More information

슬라이드 1

슬라이드 1 개인정보보호법주요내용 및위반사례 2015-1 - COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved. 1 목 차 Ⅰ 개인정보보호실태점검및위반사례 Ⅱ 개인정보보호법주요내용 - 2 - COPYRIGHT (c) 2010 by MINISTRY OF Public

More information

개인

개인 < 개인정보처리자의개인정보처리방침 > 비엔피파리바은행서울지점 ( 이하 당행 ) 은개인정보보호법제30조와정보통신망이용촉진및정보보호에관한법률제27조의2에따라정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은처리방침을둔다. 정보주체 라함은처리되는정보에의하여식별될수있는사람으로서그정보의주체가되는사람을말한다. 제 1 조 ( 개인정보보호원칙

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 단일도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

1) 인증서만들기 ssl]# cat >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키

1) 인증서만들기 ssl]# cat   >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat [ 개인키 Lighttpd ( 멀티도메인 ) SSL 인증서신규설치가이드. [ 고객센터 ] 한국기업보안. 유서트기술팀 1) 인증서만들기 [root@localhost ssl]# cat www.ucert.co.kr.key www.ucert.co.kr.crt >www.ucert.co.kr.pem // 설명 : 발급받은인증서 / 개인키파일을한파일로저장합니다. ( 저장방법 : cat

More information

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault

목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 사용자매뉴얼 JetFlash Vault 100 ( 버전 1.0) 1 목차 1. 시스템요구사항... 3 2. 암호및힌트설정 ( 윈도우 )... 3 3. JetFlash Vault 시작하기 ( 윈도우 )... 7 4. JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 찾아보기... 10 JetFlash

More information

<B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A728BFCDC0CCBFA1BDBAC0E5292E687770>

<B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A728BFCDC0CCBFA1BDBAC0E5292E687770> 제 장개인정보처리방침 제 조( 처리하는개인정보의항목, 처리목적, 처리및보유기간) 와이에스장특허법률사무소( 이하 당소 ) 가처리하는개인정보항목, 개인정보의처리목적, 처리및보유기간은다음과같습니다.. 고객개인정보 처리하는개인정보항목 개인정보의처리목적 보유및이용기간 성명( 국문, 영문), 주민등록번호( 외국인등록번호) 또는전 화( 자택, 사무소, 휴대전화), 주소(

More information

바이오정보보호가이드라인 ( 안 ) < 추진배경 > ( 사례1) 미국연방인사관리처 (OPM) 의 DB가해킹되어미국전 현직공무원의지문정보약 560만건이유출 ( 15.6) ( 사례2) 위조실리콘지문캡처된얼굴 홍채사진등을이용하여스마트폰잠금해제를시연 Ⅰ. 개요 - 1 - Ⅱ. 적용범위 기술적처리 란 사진이나음성정보등은특정개인을식별또는인증하기위하여기술적으로 처리되는경우에한해서만바이오정보에해당

More information

목 차 목 차 Ⅴ. 개인정보보호의처리단계별 기술적 관리적안전조치 16 Ⅰ. 총칙 1 1. 목적 1 2. 적용범위 1 3. 용어정의 1 4. 개인정보보호원칙 3 Ⅱ. 내부관리계획의수립및시행 5 1. 내부관리계획수립및승인 5 2. 내부관리계획의공표 5 Ⅲ. 개인정보보호책임

목 차 목 차 Ⅴ. 개인정보보호의처리단계별 기술적 관리적안전조치 16 Ⅰ. 총칙 1 1. 목적 1 2. 적용범위 1 3. 용어정의 1 4. 개인정보보호원칙 3 Ⅱ. 내부관리계획의수립및시행 5 1. 내부관리계획수립및승인 5 2. 내부관리계획의공표 5 Ⅲ. 개인정보보호책임 개인정보내부관리계획 2017. 11. 수도권대기환경청 목 차 목 차 Ⅴ. 개인정보보호의처리단계별 기술적 관리적안전조치 16 Ⅰ. 총칙 1 1. 목적 1 2. 적용범위 1 3. 용어정의 1 4. 개인정보보호원칙 3 Ⅱ. 내부관리계획의수립및시행 5 1. 내부관리계획수립및승인 5 2. 내부관리계획의공표 5 Ⅲ. 개인정보보호책임자등지정 6 1. 개인정보보호책임자지정

More information

PowerPoint Template

PowerPoint Template SeoulTech UCS Lab 2013-2 st 암호이론및정보보호실무 제 9 장공개키암호 2013. 10. 14 강원민 Email: wkaqhsk0@seoultech.ac.kr 목차 1. 공개키암호시스템의원리 2. RSA 알고리즘 3. Diffie-Hellman 알고리즘 2 공개키암호시스템의원리 공개키암호시스템의원리 1. 암호화 / 복호화에사용되는키가서로다르다

More information

170523_(주)ë°±ê¸‹í‰°ìŁ¤ìŠ’ìš´ ë‡´ë¶•ì€Łë³´ê´•ë¦¬ê·œì€Ł( ê°œì€Ł)⟖

170523_(주)ë°±ê¸‹í‰°ìŁ¤ìŠ’ìš´ ë‡´ë¶•ì€Łë³´ê´•ë¦¬ê·œì€Ł( ê°œì€Ł)⟖ 내부정보관리규정 주식회사백금티앤에이 내부정보관리규정 제정 2009. 09. 01 개정 2017. 05. 23 제 1 장총칙 제 1 조 ( 목적 ) 이규정은 자본시장과금융투자업에관한법률 ( 이하 법 이라한다 ) 및 제반법규에따른신속 정확한공시및임원 직원의내부자거래방지를위하여회사내 부정보의종합관리및적절한공개등에관한사항을정함을목적으로한다. 제2조 ( 용어의정의 )

More information

노트북 IT / 모바일 데스크탑 34 올인원PC 35 PC 소프트웨어 포터블SSD / SSD / 메모리카드 36 태블릿 37 휴대폰 39 PC 솔루션 IT / 모바일 IT / 모바일 노트북 29 삼성전자는 Windows 를 권장합니다. 삼성전자만의 편리하고 다양한 소프트웨어를 통해 초보자도 보다 쉽고 빠르게 이용 가능합니다. Easy Settings 삼성 패스트

More information

C O N T E N T S Ⅰ. 개요 1 1) 목적 1 2) 보호필요성 1 Ⅱ. 적용범위 2 1) 대상정보 2 2) 대상사업자 4 3) 법령과의관계 4 4) 재검토기한 4 Ⅲ. 바이오정보보호원칙 5 1) 비례성원칙 5 2) 수집 이용제한의원칙 6 3) 목적제한의원칙

C O N T E N T S Ⅰ. 개요 1 1) 목적 1 2) 보호필요성 1 Ⅱ. 적용범위 2 1) 대상정보 2 2) 대상사업자 4 3) 법령과의관계 4 4) 재검토기한 4 Ⅲ. 바이오정보보호원칙 5 1) 비례성원칙 5 2) 수집 이용제한의원칙 6 3) 목적제한의원칙 바이오정보 보호 가이드라인 2017. 12. C O N T E N T S Ⅰ. 개요 1 1) 목적 1 2) 보호필요성 1 Ⅱ. 적용범위 2 1) 대상정보 2 2) 대상사업자 4 3) 법령과의관계 4 4) 재검토기한 4 Ⅲ. 바이오정보보호원칙 5 1) 비례성원칙 5 2) 수집 이용제한의원칙 6 3) 목적제한의원칙 10 4) 통제권보장의원칙 11 5) 투명성원칙

More information

제주특별자치도교육청 개인정보 내부관리시행계획

제주특별자치도교육청 개인정보 내부관리시행계획 탐라교육원 개인정보보호 내부관리 시행계획 2015. 10. 변화선도 탐 라 교 육 원 Tamna Education Training Institute 탐라교육원 개인정보보호 내부관리 시행계획 Ⅰ. 개인정보 보호책임자 등의 의무와 책임 1. 개인정보 보호책임자 등 지정 가. 탐라교육원의 개인정보의 업무를 총괄해서 책임질 개인정보 보호책임자는 총무부장 으로 지정한다.

More information

슬라이드 1

슬라이드 1 개인정보침해신고및상담접수 200,000 100,000 0 25,965 39,811 35,167 54,832 166,801 122,215 2007 2008 2009 2010 2011 2012 타법률에특별한규정없는경우 개인정보보호법에따름 의료법등 의료 신용정보의이용및보호에관한법률 타법률에특별한규정있는경우 해당법률규정에따름 ( 정보통신망법, 신용정보법, 의료법,

More information

제 코스닥상장법인내부정보관리규정 제 1 장총칙 제 1 조 ( 목적 ) 이규정은 자본시장과금융투자업에관한법률 ( 이하 법 이라한 다 ) 및제반법규에따른신속 정확한공시및임원 직원의내부자거래방지 를위하여회사내부정보의종합관리및적절한공개등에관한사항을정함 을목적으로한다. 제 2 조 ( 용어의정의 ) 1 이규정에서 내부정보 라함은코스닥시장공시규정 ( 이하 공시규정 이라한다

More information

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대

1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대 Non-ActiveX 방식의 메일암호화 솔루션 1. 배경 업무 내용이나 개인정보가 담긴 청구서 등을 메일로 전달 시 중요한 정보가 유출되는 경우가 발생하고 있으며, 이에 따른 메일 암호화 솔루션을 도입하고 있으나 기존 ActiveX를 기반으로 한 플러그인 방식은 여러 가지 제약으로 인해 사용성이 저하되고, 고객 대응 및 운영 비용이 증가하는 원인이 되어 개선이

More information

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코

< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코 월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.

More information

알기쉽게풀어쓴 중소기업범위해설 - 5 - 중소기업기준 ( 요약 ) 해당업종분류부호규모기준 제조업광업건설업운수업출판, 영상, 방송통신및정보서비스업사업시설관리및사업지원서비스업전문, 과학및기술서비스업보건및사회복지사업농업, 임업및어업전기, 가스, 증기및수도사업도매및소매업숙박및음식점업금융및보험업예술, 스포츠및여가관련산업하수처리, 폐기물처리및환경복원업교육서비스업수리및기타서비스업부동산업및임대업

More information

슬라이드 1

슬라이드 1 개 인 정 보 홍길동 출근 ~( 교통카드, CCTV) 이름, 계좌, 카드번호, 영상 오늘의이슈?(SNS) ID, PW, 사진, 동영상, 빅데이터 사무실출입 ( 전자카드 ) 이름, 직번 점심식사 ( 신용카드, 포인트카드 ) 이름, 계좌, 연락처, 위치정보 업체와회의 ( 명함교환 ) 이름, 전화번호, 핸드폰번호, 이메일 일하자!( 그룹웨어 ) ID, PW, 인터넷이용기록

More information

본 강의에 들어가기 전

본 강의에 들어가기 전 1 2.1 대칭암호원리 제 2 장. 대칭암호와메시지기밀성 2 3 기본용어 평문 (Plaintext) - original message 암호문 (Ciphertext) - coded message 암호화 (Cipher) - algorithm for transforming plaintext to ciphertext 키 (Key) - info used in cipher

More information

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개

[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개 휴대폰개인정보수집, 이용동의 개인정보수집, 이용동의 [SK 텔레콤귀중 ] 본인은 SK 텔레콤 ( 주 )( 이하 회사 라합니다 ) 가제공하는본인확인서비스 ( 이하 서비스 라합니다 ) 를이용하기위해, 다음과같이 회사 가본인의개인정보를수집 / 이용하고, 개인정보의취급을위탁하는것에동의합니다. 1. 수집항목 - 이용자의성명, 이동전화번호, 가입한이동전화회사, 생년월일,

More information

슬라이드 1

슬라이드 1 개인정보보호위반사례및대응방안 2014 년 4 월 - 1 - 목 차 Ⅰ 개인정보보호위반사례 Ⅱ 개인정보보호방안 : 개인정보보호원칙및기준 - 2 - I. 개인정보보호위반사례 - 3 - 1. 개인정보침해실태 개인정보침해규모 < 개인정보침해민원추이 > 177,736 166,801 대규모개인정보침해사례 발생일발생기업피해규모사고원인 08. 2 옥션 1,800 만명해킹

More information

- 전화로고객의소리수집 04. 개인정보의보유및이용기간회사가수집한이용자의개인정보는아래에명시한기간동안처리및보유후파기합니다. ㆍ비공개게시판, 고객상담전화를통해수집한문의자정보 - 보유기간 : 문의후 5 년 - 보유근거 : 회사내부방침ㆍ이용기간 원칙적으로, 개인정보수집및이용목적

- 전화로고객의소리수집 04. 개인정보의보유및이용기간회사가수집한이용자의개인정보는아래에명시한기간동안처리및보유후파기합니다. ㆍ비공개게시판, 고객상담전화를통해수집한문의자정보 - 보유기간 : 문의후 5 년 - 보유근거 : 회사내부방침ㆍ이용기간 원칙적으로, 개인정보수집및이용목적 01. 총칙 1. 1 개인정보란생존하는개인에관한정보로서당해정보에포함되어있는성명, 주민등록번호등의사항에의하여당해개인을식별할수있는정보 ( 당해정보만으로는특정개인을식별할수없더라도다른정보와용이하게결합하여식별할수있는것을포함합니다 ) 를말합니다. 2. 2 삼양바이오팜 (www.samyangbipharm.cm 이하 회사 라함 ) 는이용자의개인정보보호를매우중요시하며, 정보통신망이용촉진및정보보호등에관한법률,

More information

클라우드컴퓨팅 주요법령해설서 2017. 11. 목차 3... 5 I... 15 II... 39 1. 공공분야... 41 2. 금융분야... 71 3. 의료분야... 81 4. 교육분야... 95 5. 신산업등기타분야... 101 III... 109 요약문 5, 15 3, 1 16~ 18 15 11 16 4, 16 7,,, 5 16 5, 16 7~10,,,

More information

> 국가기술자격검정시행계획 2015. 11. 2016 - 4 - 1. 근거 2. 기본방침 - 1 - 3. 세부시행계획 - 2 - - 3 - - 4 - 4. 검정별시행계획 - 5 - - 6 - - 7 - 기술사 종목별시행회 108 110 108 110 108 110 108 109 110 108 109 110 108 109 110 108

More information

슬라이드 1

슬라이드 1 4. 공개키암호화방식 건국대학교 공개키암호방식 대칭키암호방식의문제점 키분배의문제 디지털서명이불가능 공개키암호로해결 (976 년 Diffe 와 Hellman 에의해제기 ) 건국대학교 2 공개키암호방식 공개키알고리즘 : 두개의다른키사용 공개키 : 모든사람이접근가능한키 ( 공개 ) 개인키 : 각사용자자신만이소유 ( 비밀 ) ( 관용암호에사용되는키는비밀키라고함 )

More information

1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 나. 제출자 : 서울특별시강서구청장다. 제출일 : 2017 년 5월 2일라. 회부일자 : 2017 년 5월 8일 2. 제안이유 인터넷,

1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 나. 제출자 : 서울특별시강서구청장다. 제출일 : 2017 년 5월 2일라. 회부일자 : 2017 년 5월 8일 2. 제안이유 인터넷, 제 248 회서울특별시강서구의회임시회행정재무위원회제 1 차회의 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 2017. 05. 서울특별시강서구의회행정재무위원회 1 - 서울특별시강서구누리소통망서비스 (SNS) 관리및 운영에관한조례제정안 검토보고서 1. 회부경위 가. 의안번호 : 2017-15 나. 제출자 : 서울특별시강서구청장다.

More information

AISF2014_template

AISF2014_template 안랩제품기획실이건용과장 D E S I G N Y O U R S E C U R I T Y 개인정보의정의 ( 개인정보보호법제 2 조 ) 개인정보 란살아있는개인에관한정보 성명, 주민등록번호및영상등개인을식별할수있는정보 해당정보만으로는특정개인을식별할수없더라도다른정보와결합하여식별할수있는것을포함 살아있는개인에관한정보 개인을식별할수있는정보 개인정보의주체는자연인 ( 自然人

More information

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B

< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B 월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10

More information

슬라이드 1

슬라이드 1 개인정보보호법주요내용 2015-1 - COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved. 1 법률적용대상및범위 법시행이전분야별개별법이있는경우에한해개인정보보호의무적용 ( 약 51만 ) - 공공기관 : 공공기관개인정보보호법 - 신용정보제공 이용자 : 신용정보법

More information