개인정보의안전성확보조치기준해설서 본기준해설서는 개인정보보호법 에따라개인정보처리자가개인정보의안전성확보를위해이행해야할기술적 관리적보호조치등의세부기준제시를목적으로합니다.
|
|
- 보경 홍
- 8 years ago
- Views:
Transcription
1 개인정보의안전성확보조치기준해설서
2 개인정보의안전성확보조치기준해설서 본기준해설서는 개인정보보호법 에따라개인정보처리자가개인정보의안전성확보를위해이행해야할기술적 관리적보호조치등의세부기준제시를목적으로합니다.
3 Contents 01 개인정보의안전성확보조치기준 6 02 개인정보의안전성확보조치조문별해설 목적 정의 내부관리계획의수립 시행 접근권한의관리 접근통제 41 개인정보의 안전성확보조치 기준해설서 6. 개인정보의암호화 접속기록의보관및점검 악성프로그램등방지 물리적접근방지 개인정보의파기 [ 붙임 ] FAQ 70
4 개인정보의안전성 확보조치기준해설서
5 01 개인정보의안전성확보조치기준 제1조 ( 목적 ) 제2조 ( 정의 ) 제3조 ( 내부관리계획의수립 시행 ) 제4조 ( 접근권한의관리 ) 제5조 ( 접근통제 ) 제6조 ( 개인정보의암호화 ) 제7조 ( 접속기록의보관및점검 ) 제8조 ( 악성프로그램등방지 ) 제9조 ( 물리적접근방지 ) 제10조 ( 개인정보의파기 )
6 01. 개인정보의안전성확보조치기준 01 개인정보의안전성확보조치기준 제정 행정안전부고시제 호 개정 행정자치부고시제 호 제1조 ( 목적 ) 이기준은 개인정보보호법 ( 이하 법 이라한다 ) 제24조제3항및제29조와같은법시행령 ( 이하 영 이라한다 ) 제21조및제30조에따라개인정보처리자가개인정보를처리함에있어서개인정보가분실 도난 유출 변조 훼손되지아니하도록안전성을확보하기위하여취하여야하는세부적인기준을정하는것을목적으로한다. 제2조 ( 정의 ) 이기준에서사용하는용어의뜻은다음과같다. 1. 정보주체 란처리되는정보에의하여알아볼수있는사람으로서그정보의주체가되는사람을말한다. 2. 개인정보파일 이란개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로배열하거나구성한개인정보의집합물 ( 集合物 ) 을말한다. 3. 개인정보처리자 란업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체및개인등을말한다. 4. 소상공인 이란 소기업및소상공인지원을위한특별조치법시행령 제2조에해당하는자를말한다. 5. 중소사업자 란상시근로자수가 5인이상 50인미만인개인정보처리자를말한다. 다만 소기업및소상공인지원을위한특별조치법시행령 제2조제1항제1호에따른광업 제조업 건설업및운수업의경우에는상시근로자수가 10인이상 50인미만인개인정보처리자를말한다. 6. 개인정보보호책임자 라함은개인정보의처리에관한업무를총괄해서책임지는자로서영제32조제2항제1호및제2호에해당하는자를말한다. 6
7 7. 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는임직원, 파견근로자, 시간제근로자등을말한다. 8. 정보통신망 이란 전기통신기본법 제2조제2호에따른전기통신설비를이용하거나전기통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송신또는수신하는정보통신체계를말한다. 9. 개인정보처리시스템 이라함은개인정보를처리할수있도록체계적으로구성한데이터베이스시스템을말한다. 다만소상공인또는중소사업자가내부직원의개인정보만을보유한시스템은제외한다. 10. 내부망 이라함은물리적망분리, 접근통제시스템등에의해인터넷구간에서의접근이통제또는차단되는구간을말한다. 11. 내부관리계획 이란개인정보처리자가개인정보를안전하게처리하기위하여내부의사결정절차를통하여수립 시행하는내부기준을말한다. 12. 비밀번호 라함은정보주체또는개인정보취급자등이개인정보처리시스템, 업무용컴퓨터또는정보통신망에접속할때식별자와함께입력하여정당한접속권한을가진자라는것을식별할수있도록시스템에전달해야하는고유의문자열로서타인에게공개되지않는정보를말한다. 13. 접속기록 이라함은개인정보취급자등이개인정보처리시스템에접속하여수행한업무내역에대하여식별자, 접속일시, 접속자를알수있는정보, 수행업무등접속한사실을전자적으로기록한것을말한다. 14. 바이오정보 라함은지문, 얼굴, 홍채, 정맥, 음성, 필적등개인을식별할수있는신체적또는행동적특징에관한정보로서그로부터가공되거나생성된정보를포함한다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 15. 보조저장매체 라함은이동형하드디스크, USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk), 플로피디스켓등자료를저장할수있는매체로서개인정보처리시스템또는개인용컴퓨터등과용이하게연결 분리할수있는저장매체를말한다. 16. 위험도분석 이란개인정보처리시스템에적용되고있는개인정보보호를위한수단과개인정보유출시정보주체의권리를해할가능성및그위험의정도를분석하는행위를말한다. 17. 모바일기기 라함은무선망을이용할수있는 PDA, 스마트폰, 태블릿PC 등개인정보처리에이용되는휴대용기기를말한다. 18. 공개된무선망 이라함은불특정다수가무선접속장치 (AP) 를통하여인터넷을이용할수있는망을말한다. 개인정보의안전성확보조치기준해설서 7
8 01. 개인정보의안전성확보조치기준 제3조 ( 내부관리계획의수립 시행 ) 1 개인정보처리자는개인정보의안전한처리를위하여다음각호의사항을포함하는내부관리계획을수립 시행하여야한다. 1. 개인정보보호책임자의지정에관한사항 2. 개인정보보호책임자및개인정보취급자의역할및책임에관한사항 3. 개인정보의안전성확보에필요한조치에관한사항 4. 개인정보취급자에대한교육에관한사항 5. 개인정보처리업무를위탁하는경우수탁자에대한관리및감독에관한사항 6. 그밖에개인정보보호를위하여필요한사항 2 소상공인은제1항에따른내부관리계획을수립하지아니할수있다. 3 개인정보처리자는제1항각호의사항에중요한변경이있는경우에는이를즉시반영하여내부관리계획을수정하여시행하고, 그수정이력을관리하여야한다. 제4조 ( 접근권한의관리 ) 1 개인정보처리자는개인정보처리시스템에대한접근권한을업무수행에필요한최소한의범위로업무담당자에따라차등부여하여야한다. 2 개인정보처리자는전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을경우지체없이개인정보처리시스템의접근권한을변경또는말소하여야한다. 3 개인정보처리자는제1항및제2항에의한권한부여, 변경또는말소에대한내역을기록하고, 그기록을최소 3년간보관하여야한다. 4 개인정보처리자는개인정보처리시스템에접속할수있는사용자계정을발급하는경우, 개인정보취급자별로사용자계정을발급하여야하며, 다른개인정보취급자와공유되지않도록하여야한다. 5 개인정보처리자는개인정보취급자또는정보주체가안전한비밀번호를설정하여이행할수있도록비밀번호작성규칙을수립하여적용하여야한다. 제5조 ( 접근통제 ) 1 개인정보처리자는정보통신망을통한불법적인접근및침해사고방지를위해다음각호의기능을포함한조치를하여야한다. 1. 개인정보처리시스템에대한접속권한을 IP(Internet Protocol) 주소등으로제한하여인가받지않은접근을제한 2. 개인정보처리시스템에접속한 IP(Internet Protocol) 주소등을분석하여불법적인개인정보유출시도를탐지 8
9 2 개인정보처리자는개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에접속하려는경우에는가상사설망 (VPN : Virtual Private Network) 또는전용선등안전한접속수단을적용하여야한다. 3 개인정보처리자는인터넷홈페이지에서다른법령에근거하여정보주체의본인확인을위해성명, 주민등록번호를사용할수있는경우에도정보주체의추가적인정보를확인하여야한다. 4 개인정보처리자는취급중인개인정보가인터넷홈페이지, P2P, 공유설정, 공개된무선망이용등을통하여열람권한이없는자에게공개되거나유출되지않도록개인정보처리시스템, 업무용컴퓨터및모바일기기등에조치를하여야한다. 5 고유식별정보를처리하는개인정보처리자는인터넷홈페이지를통해고유식별정보가유출 변조 훼손되지않도록연 1회이상취약점을점검하여야한다. 6 개인정보처리자가별도의개인정보처리시스템을이용하지아니하고업무용컴퓨터또는모바일기기를이용하여개인정보를처리하는경우에는제1항을적용하지아니할수있으며, 이경우업무용컴퓨터또는모바일기기의운영체제 (OS : Operating System) 나보안프로그램등에서제공하는접근통제기능을이용할수있다. 7 개인정보처리자는업무용모바일기기의분실 도난등으로개인정보가유출되지않도록해당모바일기기에비밀번호설정등의보호조치를하여야한다. 제6조 ( 개인정보의암호화 ) 1 영제21조및영제30조제1항제3호에따라암호화하여야하는개인정보는고유식별정보, 비밀번호및바이오정보를말한다. 2 개인정보처리자는제1항에따른개인정보를정보통신망을통하여송 수신하거나보조저장매체등을통하여전달하는경우에는이를암호화하여야한다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 3 개인정보처리자는비밀번호및바이오정보는암호화하여저장하여야한다. 단비밀번호를저장하는경우에는복호화되지아니하도록일방향암호화하여저장하여야한다. 4 개인정보처리자는인터넷구간및인터넷구간과내부망의중간지점 (DMZ : Demilitarized Zone) 에고유식별정보를저장하는경우에는이를암호화하여야한다. 5 개인정보처리자가내부망에고유식별정보를저장하는경우에는다음각호의기준에따라암호화의적용여부및적용범위를정하여시행할수있다. 1. 법제33조에따른개인정보영향평가의대상이되는공공기관의경우에는해당개인정보영향평가의결과 2. 위험도분석에따른결과 개인정보의안전성확보조치기준해설서 9
10 01. 개인정보의안전성확보조치기준 6 개인정보처리자는제1항에따른개인정보를암호화하는경우안전한암호알고리즘으로암호화하여저장하여야한다. 7 개인정보처리자는업무용컴퓨터또는모바일기기에고유식별정보를저장하여관리하는경우상용암호화소프트웨어또는안전한암호화알고리즘을사용하여암호화한후저장하여야한다. 제7조 ( 접속기록의보관및점검 ) 1 개인정보처리자는개인정보취급자가개인정보처리시스템에접속한기록을 6개월이상보관 관리하여야한다. 2 개인정보처리자는개인정보의유출 변조 훼손등에대응하기위하여개인정보처리시스템의접속기록등을반기별로 1회이상점검하여야한다. 3 개인정보처리자는개인정보취급자의접속기록이위 변조및도난, 분실되지않도록해당접속기록을안전하게보관하여야한다. 제8조 ( 악성프로그램등방지 ) 개인정보처리자는악성프로그램등을방지 치료할수있는백신소프트웨어등의보안프로그램을설치 운영하여야하며, 다음각호의사항을준수하여야한다. 1. 보안프로그램의자동업데이트기능을사용하거나, 또는일 1회이상업데이트를실시하여최신의상태로유지 2. 악성프로그램관련경보가발령된경우또는사용중인응용프로그램이나운영체제소프트웨어의제작업체에서보안업데이트공지가있는경우, 즉시이에따른업데이트를실시 제9조 ( 물리적접근방지 ) 1 개인정보처리자는전산실, 자료보관실등개인정보를보관하고있는물리적보관장소를별도로두고있는경우에는이에대한출입통제절차를수립 운영하여야한다. 2 개인정보처리자는개인정보가포함된서류, 보조저장매체등을잠금장치가있는안전한장소에보관하여야한다. 3 개인정보처리자는개인정보가포함된보조저장매체의반출 입통제를위한보안대책을마련하여야한다. 다만별도의개인정보처리시스템을운영하지아니하고업무용컴퓨터또는모바일기기를이용하여개인정보를처리하는경우에는이를적용하지아니할수있다. 제 10 조 ( 개인정보의파기 ) 1 개인정보처리자는개인정보를파기할경우다음각호중어느하나의 조치를하여야한다. 10
11 1. 완전파괴 ( 소각 파쇄등 ) 2. 전용소자장비를이용하여삭제 3. 데이터가복원되지않도록초기화또는덮어쓰기수행 2 개인정보처리자가개인정보의일부만을파기하는경우, 제1항의방법으로파기하는것이어려운때에는다음각호의조치를하여야한다. 1. 전자적파일형태인경우 : 개인정보를삭제한후복구및재생되지않도록관리및감독 2. 제1호외의기록물, 인쇄물, 서면, 그밖의기록매체인경우 : 해당부분을마스킹, 천공등으로삭제 부칙 < 제 호, > 제1조이기준은고시한날부터시행한다. 제2조 ( 영상정보처리기기에대한안전성확보조치의적용제외 ) 영상정보처리기기에대한안전성확보조치에대해서는 표준개인정보보호지침 중에서영상정보처리기기설치 운영기준이정하는바에따른다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 제3조 ( 전산센터, 클라우드컴퓨팅센터등의운영환경에서의안전조치 ) 개인정보처리자가전산센터 (IDC : Internet Data Center), 클라우드컴퓨팅센터 (Cloud Computing Center) 등에계약을통해하드웨어, 소프트웨어등을임차또는임대하여개인정보를처리하는경우에는계약서또는서비스수준협약서 (SLA : Service Level Agreement) 에이기준에준하는수준의안전조치내용이포함되어있으면이기준을이행한것으로본다. 부칙 < 제 호, > 이기준은고시한날부터시행한다. 개인정보의안전성확보조치기준해설서 11
12 개인정보의안전성 확보조치기준해설서
13 02 개인정보의안전성확보조치조문별해설 1. 목적 2. 정의 3. 내부관리계획의수립 시행 4. 접근권한의관리 5. 접근통제 6. 개인정보의암호화 7. 접속기록의보관및점검 8. 악성프로그램등방지 9. 물리적접근방지 10. 개인정보의파기
14 02. 개인정보의안전성확보조치조문별해설 02 개인정보의안전성확보조치기준 1. 목적 제1조 ( 목적 ) 이기준은 개인정보보호법 ( 이하 법 이라한다 ) 제24조제3항및제29조와같은법시행령 ( 이하 영 이라한다 ) 제21조및제30조에따라개인정보처리자가개인정보를처리함에있어서개인정보가분실 도난 유출 변조 훼손되지아니하도록안전성을확보하기위하여취하여야하는세부적인기준을정하는것을목적으로한다. 취지 개인정보보호법제24조제3항및제29조와같은법시행령제21조및제30조에근거한기준으로서, 법률및시행령의규정을구체화하여개인정보가분실 도난 유출 변조 훼손등이되지아니하도록안전성을확보하기위한세부적기준제시를목적으로한다. 해설 이기준은모든개인정보처리자에게적용된다. 따라서업무를목적으로개인정보를처리하는모든공공기관, 법인, 단체및개인등은이기준을준수하여개인정보의안전성확보에필요한조치를이행하여야한다 14
15 TIP 개인정보보호법제2조에서 개인정보처리자 란업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체및개인등으로정의함 - 개인정보보호법은개인정보보호를위한일반법이므로개인정보를수집, 이용, 제공등처리하는모든자에적용될수있도록 개인정보처리자 의개념을폭넓게정의 : 공공기관, 영리목적의민간분야사업자, 협회 동창회등비영리기관 단체를모두포괄 예시 : 중앙행정기관, 중앙선거관리위원회, 국회등헌법기관, 정유사, 대형마트, 비디오대여점, 렌트카업체, 부동산중개업자, 자동차매매업자, 학교, 보험회사, 은행, 통신사, 여행사, 항공사, 호텔, 학원, 협회, 동창회, 동호회등 - 사적인영역에서의개인정보처리는배제하기위하여판례상확립된 업무상목적 으로 개인 정보파일을운용하기위하여 개인정보를처리하는자로한정 예시 : 사적인친분관계를위하여개인이휴대폰에저장한연락처정보, 이메일주소록등 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 개인정보의안전성확보조치기준해설서 15
16 02. 개인정보의안전성확보조치조문별해설 2. 정의 제2조 ( 정의 ) 이기준에서사용하는용어의뜻은다음과같다. 1. 정보주체 란처리되는정보에의하여알아볼수있는사람으로서그정보의주체가되는사람을말한다. 2. 개인정보파일 이란개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로배열하거나구성한개인정보의집합물 ( 集合物 ) 을말한다. 3. 개인정보처리자 란업무를목적으로개인정보파일을운용하기위하여스스로또는다른사람을통하여개인정보를처리하는공공기관, 법인, 단체및개인등을말한다. 4. 소상공인 이란 소기업및소상공인지원을위한특별조치법시행령 제2조에해당하는자를말한다. 5. 중소사업자 란상시근로자수가 5인이상 50인미만인개인정보처리자를말한다. 다만 소기업및소상공인지원을위한특별조치법시행령 제2조제1항제1호에따른광업 제조업 건설업및운수업의경우에는상시근로자수가 10인이상 50인미만인개인정보처리자를말한다. 6. 개인정보보호책임자 라함은개인정보의처리에관한업무를총괄해서책임지는자로서영제32조제2항제1호및제2호에해당하는자를말한다. 7. 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는임직원, 파견근로자, 시간제근로자등을말한다. 8. 정보통신망 이란 전기통신기본법 제2조제2호에따른전기통신설비를이용하거나전기통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송신또는수신하는정보통신체계를말한다. 9. 개인정보처리시스템 이라함은개인정보를처리할수있도록체계적으로구성한데이터베이스시스템을말한다. 다만소상공인또는중소사업자가내부직원의개인정보만을보유한시스템은제외한다. 10. 내부망 이라함은물리적망분리, 접근통제시스템등에의해인터넷구간에서의접근이통제또는차단되는구간을말한다. 11. 내부관리계획 이란개인정보처리자가개인정보를안전하게처리하기위하여내부의사결정절차를통하여수립 시행하는내부기준을말한다. 12. 비밀번호 라함은정보주체또는개인정보취급자등이개인정보처리시스템, 업무용컴퓨터또는정보통신망에접속할때식별자와함께입력하여정당한접속권한을가진 16
17 자라는것을식별할수있도록시스템에전달해야하는고유의문자열로서타인에게공개되지않는정보를말한다. 13. 접속기록 이라함은개인정보취급자등이개인정보처리시스템에접속하여수행한업무내역에대하여식별자, 접속일시, 접속자를알수있는정보, 수행업무등접속한사실을전자적으로기록한것을말한다. 14. 바이오정보 라함은지문, 얼굴, 홍채, 정맥, 음성, 필적등개인을식별할수있는신체적또는행동적특징에관한정보로서그로부터가공되거나생성된정보를포함한다. 15. 보조저장매체 라함은이동형하드디스크, USB메모리, CD(Compact Disk), DVD (Digital Versatile Disk), 플로피디스켓등자료를저장할수있는매체로서개인정보처리시스템또는개인용컴퓨터등과용이하게연결 분리할수있는저장매체를말한다. 16. 위험도분석 이란개인정보처리시스템에적용되고있는개인정보보호를위한수단과개인정보유출시정보주체의권리를해할가능성및그위험의정도를분석하는행위를말한다. 17. 모바일기기 라함은무선망을이용할수있는 PDA, 스마트폰, 태블릿PC 등개인정보처리에이용되는휴대용기기를말한다. 18. 공개된무선망 이라함은불특정다수가무선접속장치 (AP) 를통하여인터넷을이용할수있는망을말한다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 취지 법제 2 조 ( 정의 ) 에서정의한용어이외에같은법시행령과 개인정보의안전성확보조치기준 의 신규용어에대한해석상의혼란을방지하기위함이다. 해설 1. 정보주체 란처리되는정보에의하여알아볼수있는사람으로서그정보의주체가되는 사람을말한다. 개인정보의안전성확보조치기준해설서 17
18 02. 개인정보의안전성확보조치조문별해설 정보주체 는처리되는정보에의하여알아볼수있는사람으로서, 개인정보보호법에의해 보호대상이되는존재를말한다. 2. 개인정보파일 이란개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로 배열하거나구성한개인정보의집합물 ( 集合物 ) 을말한다. 개인정보파일 은개인의이름이나고유식별자등을사용하여색인 분류되어있는등일정한 기준에따라쉽게개인정보를검색할수있도록체계적으로배열또는구성된개인정보의집합물을 말한다. 3. 개인정보처리자 란업무를목적으로개인정보파일을운용하기위하여스스로또는다른 사람을통하여개인정보를처리하는공공기관, 법인, 단체및개인등을말한다. 개인정보처리자 란법제2조제5호에따라개인정보를처리하는모든공공기관, 영리목적의사업자, 협회ㆍ동창회등비영리기관ㆍ단체, 개인등을말한다. 개인정보처리 란개인정보를수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ), 그밖에이와유사한행위를말한다. 공공기관 이란법제2조제6호및시행령제2조에따른기관을말한다. [ 개인정보보호법제 2 조제 6 호 ] 제2조 ( 정의 ) 이법에서사용하는용어의정의는다음과같다. 6. 공공기관 이란다음각목의기관을말한다. 가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의행정사무를처리하는기관, 중앙행정기관 ( 대통령소속기관과국무총리소속기관을포함한다 ) 및그소속기관, 지방자치단체나. 그밖의국가기관및공공단체중대통령령으로정하는기관 4. 소상공인 이란 소기업및소상공인지원을위한특별조치법시행령 제 2 조에해당하는자를 말한다. 18
19 소상공인 은 소기업및소상공인지원을위한특별조치법 의제2조제2호에서정의하고있는사업자로서, 광업 제조업 건설업및운수업 의경우에는 10인미만의사업자, 그외의업종의경우에는 5인미만의사업자를말한다. [ 소기업및소상공인지원을위한특별조치법제2조 ] 제2조 ( 정의 ) 이법에서사용하는용어의뜻은다음과같다. 1. 소기업 이란 중소기업기본법 제2조제2항에따른소기업을말한다. 2. 소상공인 이란소기업중상시근로자가 10명미만인사업자로서업종별상시근로자수등이대통령령으로정하는기준에해당하는자를말한다. [ 전문개정 ] [ 소기업및소상공인지원을위한특별조치법시행령제2조 ] 제2조 ( 소상공인의범위등 ) 1 소기업및소상공인지원을위한특별조치법 ( 이하 법 이라한다 ) 제2조제2호에서 업종별상시근로자수등이대통령령으로정하는기준에해당하는자 란주된사업에종사하는상시근로자의수가다음각호의어느하나에해당하는사업자를말한다. 1. 광업ㆍ제조업ㆍ건설업및운수업의경우 : 10명미만 2. 제1호외의업종의경우 : 5명미만 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 2 제1항에따른주된사업의기준과상시근로자의범위및인원산정방법에관하여는 중소기업기본법시행령 제4조및제5조를준용한다. 3 중소기업청장은소기업또는소상공인에해당하는지를확인하기위하여필요하다고인정하는경우에는그확인방법및절차에관한사항을따로정하여고시할수있다. [ 전문개정 ] 개인정보의안전성확보조치기준해설서 19
20 02. 개인정보의안전성확보조치조문별해설 5. 중소사업자 란상시근로자수가 5인이상 50인미만인개인정보처리자를말한다. 다만 소기업및소상공인지원을위한특별조치법시행령 제2조제1항제1호에따른광업 제조업 건설업및운수업의경우에는상시근로자수가 10인이상 50인미만인개인정보처리자를말한다. 6. 개인정보보호책임자 라함은개인정보의처리에관한업무를총괄해서책임지는자로서 영제 32 조제 2 항제 1 호및제 2 호에해당하는자를말한다. 개인정보보호책임자 란개인정보처리자의개인정보처리에관한업무를총괄해서책임지거나업무처리를최종적으로결정하는자로서, 법제31조와시행령제32조에따른지위에해당하는자를말한다. 법령에서특정한지위를갖는자가개인정보보호업무를총괄하거나업무처리를최종결정하도록정하고있는것은사내의중요의사결정을수행하는중역으로서개인정보보호요구사항을적극적으로반영할수있도록하기위함이다. 7. 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는임직원, 파견 근로자, 시간제근로자등을말한다. 개인정보취급자 란개인정보처리자의지휘ㆍ감독을받아개인정보를처리하는업무를담당하는 자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에 접근하여처리하는모든자를말한다. 개인정보취급자 는기업 단체 공공기관의임직원, 외부기관에서또는외부기관으로파견된근로자, 계약직원, 아르바이트직원등의시간제근로자등이해당될수있다. 8. 정보통신망 이란 전기통신기본법 제 2 조제 2 호에따른전기통신설비를이용하거나전기 통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송신 또는수신하는정보통신체계를말한다. 정보통신망은전기통신기본법제 2 조제 2 호에따라전기통신을하기위한기계 기구 선로등 기타전기통신에필요한설비를이용하거나컴퓨터및컴퓨터이용기술을활용하여정보를 20
21 수집 가공 저장 검색 송신또는수신하는정보통신체계를의미한다. 9. 개인정보처리시스템 이라함은개인정보를처리할수있도록체계적으로구성한데이터베이스시스템을말한다. 다만소상공인또는중소사업자가내부직원의개인정보만을보유한시스템은제외한다. 개인정보처리시스템 이란개인정보를처리할수있도록체계적으로구성한데이터베이스시스템을말한다. 개인정보처리시스템은일반적으로개인정보의체계적인처리를위한 DBMS (Database Management System) 을말한다. TIP 데이터베이스(DB) 응용프로그램이설치 운영되지않는 PC, 노트북과같은업무용컴퓨터는개인 정보처리시스템에서제외된다. 10. 내부망 이라함은물리적망분리, 접근통제시스템등에의해인터넷구간에서의접근이통제또는차단되는구간을말한다. 내부망 이란인터넷구간과물리적으로망이분리되어있거나, 비인가된불법적인접근을차단하는기능등을가진접근통제시스템에의하여인터넷구간에서의직접접근이불가능하도록통제 차단되어있는구간을말한다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ [ 내부망구성도예시 1 ] 인터넷영역 접근통제시스템 DMZ 영역 접근통제시스템 내부망 내부작업영역 / 접근통제체계 개인정보의안전성확보조치기준해설서 21
22 02. 개인정보의안전성확보조치조문별해설 [ 내부망구성도예시 2 ] 내부망 접근통제시스템 인터넷영역 중간지점 (DMZ) www DNS PROXY 11. 내부관리계획 이란개인정보처리자가개인정보를안전하게처리하기위하여내부의사결정 절차를통하여수립 시행하는내부기준을말한다. 내부관리계획 은개인정보처리자가정보주체의개인정보를보호하기위하여수립하는것으로기본지침또는계획을의미한다. 내부관리계획에는개인정보처리자가취급하는개인정보가분실 도난 누출 변조또는훼손되지아니하도록안전성을확보하기위한개인정보보호교육 감사등개인정보보호활동에대한조직내부의개인정보관리내용등을포함하여야한다. 12. 비밀번호 라함은정보주체또는개인정보취급자등이개인정보처리시스템, 업무용컴퓨터또는정보통신망에접속할때식별자와함께입력하여정당한접속권한을가진자라는것을식별할수있도록시스템에전달해야하는고유의문자열로서타인에게공개되지않는정보를말한다. 비밀번호 는허가없이개인정보처리시스템또는업무용컴퓨터에인가된사용자만접속할수있도록하기위한대책의한가지로서, 정보주체또는개인정보취급자가컴퓨터시스템또는통신망에접속할때사용자 ID와함께입력하여정당한사용자라는것을식별할수있도록시스템에전달해야하는고유의문자열이다. 회원제로운영되는온라인정보서비스의경우, 비밀번호가없으면이용할수없으며, 서비스제공자는입력된사용자 ID와비밀번호를시스템에등록되어있는것과대조하여일치해야접속을허용하게된다. 22
23 타인에게공개되지않는정보 의의미는개인정보취급자중계정관리자라할지라도정보주체및개인정보취급자의비밀번호를알수있는형태로관리되어서는안된다는것이다. 비밀번호가알수있는형태로관리되는경우해당정보에접근할수있는내부자, 해커등의외부공격자등에의한도용이가능하기때문이다. 13. 접속기록 이라함은개인정보취급자등이개인정보처리시스템에접속하여수행한업무내역에대하여식별자, 접속일시, 접속자를알수있는정보, 수행업무등접속한사실을전자적으로기록한것을말한다. 접속기록 은개인정보취급자, 개인정보처리자등이개인정보처리시스템에접속하여운영하였던이력정보로서, 시스템식별 인증정보 ( 일시, 컴퓨터 IP 명, 접속지역, ID 등 ), 서비스이용정보 ( 생성, 수정, 삭제, 검색, 출력등 ) 등이개인정보처리시스템에있는로그파일에자동으로기록되는것이다. 접속하여수행한업무내역 이라함은개인정보취급자가개인정보처리시스템을이용하여수행한업무를알수있는정보이다. 개인정보처리자측면에서는정보주체의개인정보에대한수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ) 등의업무를의미한다. 식별자, 접속일시, 접속지를알수있는정보 는접속한사실을확인하는데필요한정보를말한다. 개인정보취급자의사용자계정또는사용자명등이식별자에해당하며, 접속일시는접속한시점또는업무를수행한시점의 년-월-일, 시 : 분 : 초 가해당된다. 접속지를알수있는정보로는개인정보처리시스템에접속한자의 PC 또는서버의 IP 주소를의미하며, 접속기록상의 수행업무 는개인정보에대한수집, 저장, 검색, 출력, 복사, 제공, 공개, 파기등의행위중어떤행위를수행했는지를알수있는구체적인정보를의미한다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ TIP 개인정보취급자가특정정보주체의개인정보를처리한경우, 수행업무 에는해당정보주체를식별할 수있는정보도포함된다. 전자적으로기록한것 의의미는개인정보취급자가수기로작성한문서가아니라시스템로그와 같이자동적으로기록된정보를의미한다. 개인정보의안전성확보조치기준해설서 23
24 02. 개인정보의안전성확보조치조문별해설 14. 바이오정보 라함은지문, 얼굴, 홍채, 정맥, 음성, 필적등개인을식별할수있는신체적 또는행동적특징에관한정보로서그로부터가공되거나생성된정보를포함한다. 지문, 얼굴, 홍채, 정맥, 음성, 필적등의바이오정보는각개인마다고유의특징을가지기때문에개인을식별하는정보로사용되며, 이러한바이오정보는신체적특징과행동적특징을기반으로생성된정보로다음과같은것들이있다. - 신체적특징 : 지문, 얼굴, 홍채, 정맥, 음성, 망막, 손모양, 손가락모양, 열상등 - 행동적특징 : 필적, 키보드타이핑, 입술움직임, 걸음걸이등 바이오정보는사람의신체적또는행동적특징을입력장치를통해최초로수집되어가공되지않은 원본정보 와그중특정알고리즘을통해특징만을추출하여생성된 특징정보 로구분된다. 15. 보조저장매체 라함은이동형하드디스크, USB 메모리, CD(Compact Disk), DVD(Digital Versatile Disk), 플로피디스켓등자료를저장할수있는매체로서개인정보처리시스템또는 개인용컴퓨터등과용이하게연결 분리할수있는저장매체를말한다. 보조저장매체 는컴퓨터에장착된하드디스크등의저장매체이외에전자적으로자료를저장할수있는매체로서이동형하드디스크, SSD(Solid State Drive), USB메모리, CD(Compact Disk), DVD(Digital Versatile Disk), 플로피디스켓, 자기테이프등개인정보처리시스템, 업무용컴퓨터또는개인용컴퓨터등과용이하게연결 분리할수있는저장매체를말한다. [ 보조저장매체예시 ] [ USB 메모리 ] [ CD ] [ 이동형하드디스크 ] 16. 위험도분석 이란개인정보처리시스템에적용되고있는개인정보보호를위한수단과 개인정보유출시정보주체의권리를해할가능성및그위험의정도를분석하는행위를 말한다. 24
25 위험도분석 이란개인정보처리시스템에적용되고있는개인정보보호를위한수단과개인정보유출시정보주체의권리를해할가능성과그위험의정도를분석하는행위를말한다. TIP 위험도분석 을위한세부기준은행정자치부에서공고한 개인정보위험도분석기준및해설서 로서, 개인정보보호종합지원포털 ( 의자료마당에서다운로드할수있다. 17. 모바일기기 라함은무선망을이용할수있는 PDA, 스마트폰, 태블릿PC 등개인정보처리에이용되는휴대용기기를말한다. 모바일기기 는이동통신망, Wi-Fi 등의무선망을이용하여개인정보처리에이용되는휴대용기기로서, 이러한기기에는스마트폰, 태블릿PC, PDA(Personal Digital Assistant) 등이있다. [ 모바일기기예시 ] 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ [ 스마트폰 ] [ 태블릿 PC ] [ PDA ] 개인정보처리에이용되는휴대용기기 의의미는개인정보처리자가업무를목적으로개인정보취급자로하여금개인정보처리에이용하도록하는휴대용기기를말한다. - 개인소유의휴대용기기라할지라도개인정보처리자의업무목적의개인정보처리에이용되는경우모바일기기에포함된다. TIP 개인정보처리자의 1 업무목적 으로 2 개인정보를처리 에이용되지않는휴대용기기는 모바일 기기 에서제외된다. 개인정보의안전성확보조치기준해설서 25
26 02. 개인정보의안전성확보조치조문별해설 18. 공개된무선망 이라함은불특정다수가무선접속장치 (AP) 를통하여인터넷을이용할수 있는망을말한다. 공개된무선망 이란공개된장소등에서불특정다수가무선접속장치 (AP) 를통해인터넷을 이용할수있는망을의미한다. 무선접속장치 (AP: Access Point) : 와이파이 (Wi-Fi), 블루투스관련표준을이용하여유선장치 ( 예 : 유선 LAN) 와무선장치 ( 예 : 무선 LAN) 를연결시켜주는컴퓨터네트워크장치중의하나로서, 두장치간데이터를중계할수있으며라우터, 이더넷허브등에연결하여사용할수있다. - 예를들어, 커피전문점, 도서관, 병원등에서여러방문객이나고객이인터넷을이용할수있도록 무선접속장치 (AP) 를설치 운영하는망의경우 공개된무선망 에해당한다. [ 공개된무선망 ( 커피전문점 ) 예시 ] TIP 개인정보처리자가업무목적을위해개인정보취급자용무선접속장치 (AP) 를설치하여운영하는경우 공개된무선망 에서제외된다. 예 ) 회사가사무실, 회의실등에서직원업무용무선접속장치 (AP) 를설치 운영하는경우의무선망 공개된무선망 이설치된장소의예로는커피전문점, 도서관, 공항, 철도역, 버스터미널, 대학, 병원, 유통센터, 호텔, 이동통신사, 개인정보처리자등이다수고객이나방문객용으로무선접속장치 (AP) 를설치한매장, 로비, 대합실, 회의실, 휴게실, 주차장등의장소가이에해당한다. TIP CDMA, WCDMA 등의기술을사용하는이동통신망은 공개된무선망 에서제외된다. 26
27 3. 내부관리계획의수립 시행 제3조 ( 내부관리계획의수립 시행 ) 1 개인정보처리자는개인정보의안전한처리를위하여다음각호의사항을포함하는내부관리계획을수립 시행하여야한다. 1. 개인정보보호책임자의지정에관한사항 2. 개인정보보호책임자및개인정보취급자의역할및책임에관한사항 3. 개인정보의안전성확보에필요한조치에관한사항 4. 개인정보취급자에대한교육에관한사항 5. 개인정보처리업무를위탁하는경우수탁자에대한관리및감독에관한사항 6. 그밖에개인정보보호를위하여필요한사항 2 소상공인은제1항에따른내부관리계획을수립하지아니할수있다. 3 개인정보처리자는제1항각호의사항에중요한변경이있는경우에는이를즉시반영하여내부관리계획을수정하여시행하고, 그수정이력을관리하여야한다. 취지 정보주체의개인정보를보호하기위한조치를적절히시행하기위해서는개인정보처리자전체에통용되는내부규정이필요하다. 이를기초로세부지침이나안내서를마련하여개인정보취급자전원이동일한행동을취할수있도록할필요가있다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 개인정보처리자는취급하는개인정보가분실 도난 누출 변조또는훼손되지아니하도록안전성을확보하기위하여개인정보보호활동에대한조직내부의개인정보관리를위한내부관리계획을수립하고, 개인정보관련모든임직원및관련자에게알림으로써이를준수할수있도록하여야한다. - 이와같이내부관리계획을수립하도록하는이유는개인정보보호활동이임기응변식이아니라체계적이고전사적인계획내에서수행될수있도록하는데목적이있으며, 이를위하여경영층의방향제시와지원이필수적이다. 개인정보의안전성확보조치기준해설서 27
28 02. 개인정보의안전성확보조치조문별해설 해설 내부관리계획에는개인정보보호조직의구성및운영에관한다음과같은사항을포함하여야한다. - 개인정보보호책임자의지정에관한사항 - 개인정보보호책임자및개인정보취급자의역할및책임에관한사항 - 개인정보의안전성확보에필요한조치에관한사항 제4조 ( 접근권한의관리 ), 제5조 ( 접근통제 ), 제6조 ( 개인정보의암호화 ), 제7조 ( 접속기록의보관및점검 ), 제8조 ( 악성프로그램등방지 ), 제9조 ( 물리적접근방지 ), 제10조 ( 개인정보의파기 ) 등 - 개인정보취급자에대한교육에관한사항 - 개인정보처리업무를위탁하는경우수탁자에대한관리및감독에관한사항 - 그밖에개인정보보호를위하여필요한사항 내부관리계획은전사적인계획내에서개인정보가관리될수있도록최고경영층으로부터내부결재등의승인을받아모든임직원및관련자에게알림으로써이를준수할수있도록하여야한다. TIP 내부관리계획의문서제목은가급적 내부관리계획 이라는용어를사용하는것이바람직하나, 개인정보처리자의내부상황에따라다른용어를사용할수있다. 공공기관의경우에는 개인정보보호추진계획 이라는이름으로용어가사용되기도한다. [ 개인정보내부관리계획목차 ( 예시 ) ] 제1장총칙제1조 ( 목적 ) 제2조 ( 용어정의 ) 제3조 ( 적용범위 ) 28
29 제2장내부관리계획의수립및시행제4조 ( 내부관리계획의수립및승인 ) 제5조 ( 내부관리계획의공표 ) 제3장개인정보보호책임자의의무와책임제6조 ( 개인정보보호책임자의지정 ) 제7조 ( 개인정보보호책임자의의무와책임 ) 제8조 ( 개인정보취급자의범위및의무와책임 ) 제4장개인정보의처리단계별기술적 관리적안전조치제9조 ( 접근권한의관리 ) 제10조 ( 접근통제 ) 제11조 ( 개인정보의암호화 ) 제12조 ( 접속기록의보관및점검 ) 제13조 ( 악성프로그램등방지 ) 제14조 ( 물리적접근방지 ) 제15조 ( 개인정보의파기 ) 제5장개인정보보호교육 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 제 6 장수탁자에대한관리및감독에관한사항 제 7 장개인정보침해대응및피해구제 1. 개인정보보호책임자의지정에관한사항 개인정보보호책임자의자격요건 개인정보의안전성확보조치기준해설서 29
30 02. 개인정보의안전성확보조치조문별해설 - 원칙적으로법제31조제1항및시행령제32조에따라개인정보의처리에관한업무를총괄해서책임질개인정보보호책임자 (CPO: Chief Privacy Officer) 직제를신설하거나, 정보주체의개인정보보호업무를위해조직된부서의장등을지정할수있다. - 또는, 개인정보처리자의사업환경에따라정보주체개인정보를주로활용하는업무를수행하는부서 ( 고객응대, 마케팅, 경영지원등 ) 나정보보호업무를수행하는부서에서본연의업무와동시에개인정보와관련된정보주체의고충처리를담당하게되는경우해당부서의장이개인정보보호책임자에지정될수도있다. - 조직내에정보보호 (Security) 업무를총괄하는정보보호책임자 (CSO: Chief Security Officer) 가별도로있는경우에는기술적조치에관하여상호간의업무를분명하게분장하여야한다. 개인정보처리자는개인정보보호책임자와정보보호책임자로동일인을지정할수도있다. - 개인정보보호책임자는정보보호관련지식뿐만아니라개인정보취급에관한법 제도적인측면등의다양한지식을습득할필요가있다. [ 개인정보보호법시행령제 32 조제 2 항 ] 제32조 ( 개인정보보호책임자의업무및지정요건등 ) 2 개인정보처리자는법제31조제1항에따라개인정보보호책임자를지정하려는경우에는다음각호의구분에따라지정한다. 1. 공공기관의경우 : 다음각목의구분에따른기준에해당하는공무원등가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의행정사무를처리하는기관및중앙행정기관 : 고위공무원단에속하는공무원 ( 이하 고위공무원 이라한다 ) 또는그에상당하는공무원나. 가목외에정무직공무원을장 ( 長 ) 으로하는국가기관 : 3급이상공무원 ( 고위공무원을포함한다 ) 또는그에상당하는공무원다. 가목및나목외에고위공무원, 3급공무원또는그에상당하는공무원이상의공무원을장으로하는국가기관 : 4급이상공무원또는그에상당하는공무원라. 가목부터다목까지의규정에따른국가기관외의국가기관 ( 소속기관을포함한다 ): 해당기관의개인정보처리관련업무를담당하는부서의장마. 시ㆍ도및시ㆍ도교육청 : 3급이상공무원또는그에상당하는공무원바. 시ㆍ군및자치구 : 4급공무원또는그에상당하는공무원사. 제2조제5호에따른각급학교 : 해당학교의행정사무를총괄하는사람 30
31 아. 가목부터사목까지의규정에따른기관외의공공기관 : 개인정보처리관련업무를담당하는부서의장으로서공공기관의장이지정하는사람 2. 공공기관외의경우 : 다음각목의어느하나에해당하는사람가. 사업주또는대표자나. 개인정보처리관련업무를담당하는부서의장또는개인정보보호에관한소양이있는사람 개인정보보호책임자의지정 - 개인정보처리자는개인정보보호책임자의자격요건에부합하는사람을개인정보보호책임자로지정하여야한다. 개인정보보호책임자의지정시에는인사발령등을통해공식적으로책임과역할을부여하여야한다. TIP 개인정보처리자가동창회, 동호회등친목도모를위한단체를운영하기위하여개인정보를처리하는경우에는개인정보보호책임자를지정하지않아도된다. 근거 : 개인정보보호법제58조 ( 적용의일부제외 ) 3 개인정보처리자가동창회, 동호회등친목도모를위한단체를운영하기위하여개인정보를처리하는경우에는제15조, 제30조및제31조 ( 개인정보보호책임자의지정 ) 를적용하지아니한다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 2. 개인정보보호책임자및개인정보취급자의역할및책임에관한사항 개인정보보호책임자의역할 - 개인정보보호책임자는개인정보의처리에관한업무를총괄해서책임지는역할을수행하는사람으로, 개인정보보호를위해개인정보와관련된내부지침을준수하도록기술적 관리적보호조치를실시하고관리 감독하는책임을진다. - 또한, 정보주체의불만사항접수및처리에대한책임을지며, 개인정보를취급하는직원에대해교육훈련을실시하여야한다. 개인정보를취급하는업무를외부에위탁한경우, 개인정보보호책임자는해당위탁자의개인정보관리현황을지속적으로확인해야한다. 개인정보의안전성확보조치기준해설서 31
32 02. 개인정보의안전성확보조치조문별해설 [ 개인정보보호법제 31 조제 2 항 ] 제31조 ( 개인정보보호책임자의지정 ) 2 개인정보보호책임자는다음각호의업무를수행한다. 1. 개인정보보호계획의수립및시행 2. 개인정보처리실태및관행의정기적인조사및개선 3. 개인정보처리와관련한불만의처리및피해구제 4. 개인정보유출및오용 남용방지를위한내부통제시스템의구축 5. 개인정보보호교육계획의수립및시행 6. 개인정보파일의보호및관리 감독 7. 그밖에개인정보의적절한처리를위하여대통령령으로정한업무 [ 개인정보보호법시행령제 32 조제 1 항 ] 제32조 ( 개인정보보호책임자의업무및지정요건등 ) 1 법제31조제2항제7호에서 대통령령으로정한업무 란다음각호와같다. 1. 법제30조에따른개인정보처리방침의수립ㆍ변경및시행 2. 개인정보보호관련자료의관리 3. 처리목적이달성되거나보유기간이지난개인정보의파기 개인정보취급자의역할및책임 - 개인정보취급자 는개인정보처리자의지휘 감독을받아개인정보를처리하는자로서개인정보를처리함에있어서개인정보가안전하게관리될수있도록해야한다. - 개인정보취급자 는기업 단체 공공기관의임직원, 외부기관에서또는외부기관으로파견된근로자, 계약직원, 아르바이트직원등의시간제근로자등이해당될수있다. [ 개인정보취급자의역할및책임예시 ] 개인정보보호활동참여 내부관리계획의준수및이행 개인정보의안전성확보조치기준이행 소속직원또는제3자에의한위법 부당한개인정보침해행위에대한점검등 32
33 3. 개인정보의안전성확보에필요한조치에관한사항 개인정보의안전성확보에필요한조치에관한사항을빠짐없이내부관리계획에포함해야한다. 세부내용은해설서각항목에해당하는부분을확인한다. TIP 안전성확보에필요한조치사항 : 제4조 ( 접근권한의관리 ), 제5조 ( 접근통제 ), 제6조 ( 개인정보의암호화 ), 제7조 ( 접속기록의보관및점검 ), 제8조 ( 악성프로그램등방지 ), 제9조 ( 물리적접근방지 ), 제10조 ( 개인정보의파기 ) 4. 개인정보취급자에대한교육에관한사항 개인정보보호교육의목적은안전하게개인정보가관리될수있도록개인정보취급자의개인정보보호에대한인식을제고시키고개인정보보호대책의필요성을이해시키는것이다. 개인정보처리자는개인정보보호책임자및개인정보취급자를대상으로매년정기적으로개인정보보호교육을실시하여야한다. 특히, 개인정보취급자가정보주체의개인정보를훼손 침해 누설할경우에는중벌에처해지므로, 교육시이러한점을개인정보취급자에게인식시키기위해노력해야한다. 개인정보보호교육의구체적인사항에는교육을하는목적, 교육대상, 교육내용 ( 프로그램등포함 ), 교육일정및방법등을포함하고, 내부관리계획또는임직원의결재를얻은 년개인정보보호교육계획 ( 안 ) 과같은문서를통해관리하도록한다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 교육방법은집체교육뿐아니라조직의환경을고려하여인터넷교육, 그룹웨어교육등다양한 방법을활용하여실시하도록하고, 필요한경우외부전문기관이나전문요원에위탁하여교육을 실시할수도있다. TIP 행정자치부가운영하는개인정보보호종합지원포털 ( 에서제공하는온라인 교육프로그램, 개인정보보호교육교재등을활용할수있다. 개인정보의안전성확보조치기준해설서 33
34 02. 개인정보의안전성확보조치조문별해설 교육내용에는해당업무를수행하기위한분야별전문기술교육뿐만아니라개인정보보호관련 법률및제도, 사내규정등필히알고있어야하는기본적인내용을포함하여교육을실시하도록 한다. 교육내용에포함될수있는예시는다음과같은사항들이있다. [ 개인정보보호교육내용예시 ] 개인정보보호의중요성설명 내부관리계획의준수및이행 위험및대책이포함된조직보안정책, 보안지침, 지시사항, 위험관리전략 개인정보처리시스템의안전한운영 사용법 ( 하드웨어, 소프트웨어등 ) 개인정보의안전성확보조치기준 개인정보보호위반을보고해야할필요성 개인정보보호업무의절차, 책임, 작업설명 개인정보보호관련자들의금지항목들 개인정보보호준수사항이행관련절차 개인정보유 노출및침해신고등에따른사실확인및보고, 피해구제등업무절차등 5. 개인정보처리업무를위탁하는경우수탁자에대한관리및감독에관한사항 개인정보처리자는개인정보처리업무위탁시수탁자에게제공된개인정보를안전하게관리할책임이있다. 따라서개인정보처리업무를위탁하는경우, 개인정보보호법제26조및동법시행령에규정된사항을준수하고수탁자가개인정보를안전하게처리할수있도록수탁자관리및감독에관한사항을내부관리계획에포함해야한다. 34
35 [ 개인정보보호법제 26 조 ] 제26조 ( 업무위탁에따른개인정보의처리제한 ) 1 개인정보처리자가제3자에게개인정보의처리업무를위탁하는경우에는다음각호의내용이포함된문서에의하여야한다. 1. 위탁업무수행목적외개인정보의처리금지에관한사항 2. 개인정보의기술적 관리적보호조치에관한사항 3. 그밖에개인정보의안전한관리를위하여대통령령으로정한사항 2 제1항에따라개인정보의처리업무를위탁하는개인정보처리자는위탁하는업무의내용과개인정보처리업무를위탁받아처리하는자를정보주체가언제든지쉽게확인할수있도록대통령령으로정하는방법에따라공개하여야한다. 3 위탁자가재화또는서비스를홍보하거나판매를권유하는업무를위탁하는경우에는대통령령으로정하는방법에따라위탁하는업무의내용과수탁자를정보주체에게알려야한다. 위탁하는업무의내용이나수탁자가변경된경우에도또한같다. 4 위탁자는업무위탁으로인하여정보주체의개인정보가분실 도난 유출 변조또는훼손되지아니하도록수탁자를교육하고, 처리현황점검등대통령령으로정하는바에따라수탁자가개인정보를안전하게처리하는지를감독하여야한다. 개인정보처리업무위탁시문서화 ( 예 : 위탁계약서 ) 하는경우수탁자의무분별한개인정보재위탁, 개인정보관리소홀, 개인정보유출등을예방하고의무위반시손해배상책임등을명확하게하기위해다음의사항을포함하여작성하여야한다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ [ 개인정보처리업무위탁문서화 ( 예 : 위탁계약서 ) 시포함사항 ] 위탁업무수행목적외개인정보의처리금지에관한사항 개인정보의기술적 관리적보호조치에관한사항 위탁업무의목적및범위 재위탁제한에관한사항 접근통제등안전성확보조치에관한사항 위탁업무와관련하여보유하고있는개인정보의관리현황점검등감독에관한사항 수탁자가준수하여야할의무를위반한경우의손해배상등에관한사항등 개인정보의안전성확보조치기준해설서 35
36 02. 개인정보의안전성확보조치조문별해설 내부관리계획에는개인정보처리업무위탁문서화내용에따라수탁자교육, 관리 감독이정확하게실제적으로이루어지도록관련사항을구체적으로포함해야한다. - 예를들어내부관리계획에 수탁자관리 감독 항목을만들고여기에위탁계약서의각내용별로관리 감독하기위한방법, 절차, 시기, 항목등을서술하는방법이있다. 개인정보처리자는내부관리계획에정해진바에따라정기적으로수탁자에대해관리 감독및교육을실시하고, 그결과에대한기록을남겨야하며문제점이발견된경우그에따른개선조치를하여야한다. [ 수탁자개인정보보호교육내용예시 ] 수탁업무의목적 범위, 목적외개인정보처리금지사항 수탁자개인정보처리시스템및업무용 PC의접근권한의관리, 접근통제, 개인정보의암호화, 접속기록의보관및점검, 악성프로그램방지등개인정보의안전성확보조치기준 수탁받은개인정보처리업무의안전성확보조치방법 수탁받은개인정보처리업무의목적달성또는계약해지시개인정보파기 개인정보취급자의의무 수탁업무와관련하여개인정보관리현황점검등감독에관한사항 수탁자가준수하여야할의무를위반한경우의손해배상등에관한사항 6. 그밖에개인정보보호를위하여필요한사항 개인정보처리자의개인정보처리 ( 수집 이용 저장 제공 파기등 ) 환경및중요도 ( 민감정보처리등 ) 를고려하여보안서약서작성등개인정보보호를위하여필요한사항을기술할수있다. 보안서약서작성 - 조직에서임직원들의기밀정보유출위험을최소화하고, 임직원에게개인정보보호에대한책임을명확히주지시키기위해보안서약서에서명하도록한다. - 보안서약서의서명은개인정보보호를위한기본적인절차중하나로인식되고이행될필요가있다. 이러한절차는일반적으로신규인력채용시인력관리부서에의해수행될수있다. - 보안서약서에는일반적으로 고객개인정보보호, 회사영업비밀보호등의의무 에관한내용과서명날짜, 서명자정보및서명을포함하여야한다. 36
37 4. 접근권한의관리 제4조 ( 접근권한의관리 ) 1 개인정보처리자는개인정보처리시스템에대한접근권한을업무수행에필요한최소한의범위로업무담당자에따라차등부여하여야한다. 2 개인정보처리자는전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을경우지체없이개인정보처리시스템의접근권한을변경또는말소하여야한다. 3 개인정보처리자는제1항및제2항에의한권한부여, 변경또는말소에대한내역을기록하고, 그기록을최소 3년간보관하여야한다. 4 개인정보처리자는개인정보처리시스템에접속할수있는사용자계정을발급하는경우, 개인정보취급자별로사용자계정을발급하여야하며, 다른개인정보취급자와공유되지않도록하여야한다. 5 개인정보처리자는개인정보취급자또는정보주체가안전한비밀번호를설정하여이행할수있도록비밀번호작성규칙을수립하여적용하여야한다. 취지 접근권한관리의목적은개인정보처리시스템에대하여업무목적외불필요한접근을최소화하고, 인사이동등권한변경사항발생에따른인가되지않는접근을차단하는데있다. 접근권한은업무수행에필요한최소한의범위로업무담당자에게차등부여되어야하며인사이동이나권한변경발생시지체없이해당권한을변경또는말소하고, 개인정보유출예방및대응등을위해개인정보취급자별로사용자계정을발급하여관리하여야한다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 해설 1 개인정보처리자는개인정보처리시스템에대한접근권한을업무수행에필요한최소한의 범위로업무담당자에따라차등부여하여야한다. 개인정보의안전성확보조치기준해설서 37
38 02. 개인정보의안전성확보조치조문별해설 개인정보의분실 도난 유출 변조또는훼손을방지하기위하여개인정보처리시스템에대한 접근권한은업무수행목적에따라필요최소한의범위로업무담당자에게차등부여하고 접근통제를위한조치를취해야한다. TIP 예를들어개인정보보호책임자에게는전체권한 ( 읽기 / 쓰기 / 변경 ) 을부여하고, 개인정보취급자에게는 일부권한 ( 읽기 ) 만부여하는등접근권한에차등을두어야한다. 2 개인정보처리자는전보또는퇴직등인사이동이발생하여개인정보취급자가변경되었을경우지체없이개인정보처리시스템의접근권한을변경또는말소하여야한다. 3 개인정보처리자는제1항및제2항에의한권한부여, 변경또는말소에대한내역을기록하고, 그기록을최소 3년간보관하여야한다. 조직내의임직원전보또는퇴직등인사이동등으로사용자계정의변경 말소가필요한경우에는공식적인사용자계정관리절차에따라통제될수있도록한다. - 내부인력의퇴직시해당인력의계정을지체없이변경하도록지침에반영하여이행하도록한다. - 임직원의퇴직시계정말소를효과적으로이행하기위해서는퇴직점검표에사용계정의말소항목을반영하여, 계정의말소여부에대해확인을받을수있다. 개인정보처리자는제1항및제2항에의한권한부여, 변경, 말소에대한내역을기록하고해당기록을최소 3년간보관하여야한다. 4 개인정보처리자는개인정보처리시스템에접속할수있는사용자계정을발급하는경우, 개인 정보취급자별로사용자계정을발급하여야하며, 다른개인정보취급자와공유되지않도록 하여야한다. 개인정보처리시스템에접속할수있는사용자계정은개인정보취급자별로발급하고다른개인 정보취급자와공유되지않도록하여야한다. - 다수의개인정보취급자가동일한업무를수행한다하더라도하나의사용자계정을공유하지 38
39 않도록개인정보취급자별로아이디 (ID) 를발급하여사용하고, 각개인정보취급자별개인정보처리내역에대한책임추적성 (Accountability) 을확보하여야한다. 책임추적성이란개인정보취급에따른문제발생시사용자계정을기반으로책임소재를파악하는것을말한다. TIP 한명의개인정보취급자가여러업무를수행해야하는경우, 해당개인정보취급자에게각업무별로사용자계정을발급할수있다. ( 예 : 개인정보취급자 1명이서로권한이다른조회, 삭제등 2개의업무수행시, 조회업무용과삭제업무용으로구분하여 2개의사용자계정발급가능 ) 5 개인정보처리자는개인정보취급자또는정보주체가안전한비밀번호를설정하여이행할수있도록비밀번호작성규칙을수립하여적용하여야한다. 개인정보처리자는개인정보취급자나정보주체가안전한비밀번호를설정하여이행할수있도록비밀번호작성규칙을수립하고이를개인정보처리시스템, 접근통제시스템등에적용하여운영하여야한다. 다만, 정보주체의비밀번호는정보주체의편의성등을고려하여개인정보처리자가자율적으로적절한수준을설정하는것이필요하다. - 비밀번호는산업스파이, 침입자, 비인가자가추측하기어려운문자와숫자를포함하도록하거나, 전에사용된비밀번호를다시사용하지않는등의다음과같은비밀번호설정원칙을참고하여생성하도록한다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 비밀번호의최소길이 : 비밀번호는구성하는문자의종류에따라최소 10자리또는 8자리이상의길이로구성하여야하며, 이는정보주체에대한비밀번호작성규칙과는달리반드시준수하여야한다 컴퓨터관련기술의발달에따라비밀번호의최소길이는늘어날수있고, 변경주기는짧아질수있다. 최소 10자리이상 : 영대문자 (A~Z, 26개 ), 영소문자 (a~z, 26개 ), 숫자 (0~9, 10개 ) 및특수문자 (32개) 중 2종류이상으로구성한경우 최소 8자리이상 : 영대문자 (A~Z, 26개 ), 영소문자 (a~z, 26개 ), 숫자 (0~9, 10개 ) 및특수문자 (32개) 중 3종류이상으로구성한경우 특수문자 32개예시 # $ % ^ & * ( ) _ - + = [ ] [ ] 개인정보의안전성확보조치기준해설서 39
40 02. 개인정보의안전성확보조치조문별해설 - 추측하기어려운비밀번호의생성 : 생성한비밀번호에 등과같은일련번호, 전화번호등과같은쉬운문자열이포함되지않도록한다. love, happy 등과같은잘알려진단어또는키보드상에서나란히있는문자열도포함되지않도록한다. - 비밀번호의주기적인변경 : 비밀번호에유효기간을설정하고적어도 6개월마다변경함으로써동일한비밀번호를장기간사용하지않는다. - 동일한비밀번호사용제한 : 2개의비밀번호를교대로사용하지않는다. 40
41 5. 접근통제 제5조 ( 접근통제 ) 1 개인정보처리자는정보통신망을통한불법적인접근및침해사고방지를위해다음각호의기능을포함한조치를하여야한다. 1. 개인정보처리시스템에대한접속권한을 IP(Internet Protocol) 주소등으로제한하여인가받지않은접근을제한 2. 개인정보처리시스템에접속한 IP(Internet Protocol) 주소등을분석하여불법적인개인정보유출시도를탐지 2 개인정보처리자는개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에접속하려는경우에는가상사설망 (VPN : Virtual Private Network) 또는전용선등안전한접속수단을적용하여야한다. 3 개인정보처리자는인터넷홈페이지에서다른법령에근거하여정보주체의본인확인을위해성명, 주민등록번호를사용할수있는경우에도정보주체의추가적인정보를반드시확인하여야한다. 4 개인정보처리자는취급중인개인정보가인터넷홈페이지, P2P, 공유설정, 공개된무선망이용등을통하여열람권한이없는자에게공개되거나유출되지않도록개인정보처리시스템, 업무용컴퓨터및모바일기기등에조치를하여야한다. 5 고유식별정보를처리하는개인정보처리자는인터넷홈페이지를통해고유식별정보가유출 변조 훼손되지않도록연 1회이상취약점을점검하여야한다. 6 개인정보처리자가별도의개인정보처리시스템을이용하지아니하고업무용컴퓨터또는모바일기기를이용하여개인정보를처리하는경우에는제1항을적용하지아니할수있으며, 이경우업무용컴퓨터또는모바일기기의운영체제 (OS : Operating System) 나보안프로그램등에서제공하는접근통제기능을이용할수있다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 7 개인정보처리자는업무용모바일기기의분실 도난등으로개인정보가유출되지 않도록해당모바일기기에비밀번호설정등의보호조치를하여야한다. 취지 접근통제의목적은정보통신망을통해개인정보처리시스템에대한인가되지않은불법적인접근을 차단하는것으로, 정보통신망, 인터넷홈페이지, 업무용컴퓨터나모바일단말등개인정보를 개인정보의안전성확보조치기준해설서 41
42 02. 개인정보의안전성확보조치조문별해설 처리하는각요소에서적절한접근통제정책의구현을통해불법적인접근이적절히차단되어야한다. 이를위해정보통신망에서 IP 주소를통한비인가자의접근제한, 가상사설망 (VPN) 등을이용한안전한접속, 인터넷홈페이지의취약점점검, 업무용컴퓨터또는모바일기기의보호조치등의접근통제조치가필요하다. 해설 1 개인정보처리자는정보통신망을통한불법적인접근및침해사고방지를위해다음각호의기능을포함한조치를하여야한다. 1. 개인정보처리시스템에대한접속권한을 IP(Internet Protocol) 주소등으로제한하여인가받지않은접근을제한 2. 개인정보처리시스템에접속한 IP(Internet Protocol) 주소등을분석하여불법적인개인정보유출시도를탐지 개인정보처리자는개인정보처리시스템에서정보통신망을통한불법적인접근및침해사고를방지하기위해아래의기능을포함한장비설치 운영등의조치를하여야한다. - 개인정보처리시스템에대한접속권한을 IP(Internet Protocol) 주소등으로제한하여인가받지않은접근을제한 ( 침입차단기능 ) - 개인정보처리시스템에접속한 IP(Internet Protocol) 주소등을분석하여불법적인개인정보유출시도를탐지 ( 침입탐지기능 ) 침입차단및침입탐지기능을갖춘장비의설치방법예시 - 침입차단시스템및침입탐지시스템을설치 운영하거나, 침입차단시스템과침입탐지시스템이동시에구현된침입방지시스템 (IPS : Intrusion Prevention System), 웹방화벽또는보안운영체제 (Secure OS) 등을도입할수있다. - 또한, 스위치등의네트워크장비에서제공하는 ACL(Access Control List : 접근제어목록 ) 등기능을이용하여 IP 주소등을제한함으로써침입차단기능을구현할수있다. - 인터넷데이터센터 (IDC), 클라우드서비스, 보안업체등에서제공하는보안서비스 ( 방화벽, 침입방지, 웹방화벽등 ) 를활용함으로써초기투자비용등을줄일수있다. - 공개용 ( 무료 ) 소프트웨어를사용하거나, 운영체제 (OS) 에서제공하는기능을활용하여해당 42
43 기능을포함한시스템을설치 운영할수있다. 다만, 공개용 ( 무료 ) 소프트웨어를사용하는 경우에는적절한보안이이루어지는지를사전에점검하여야한다. 불법적인접근및침해사고방지를위해서는침입차단및침입탐지기능을갖는장비설치와 더불어적절한침입차단및침입탐지정책설정, 로그분석및이상행위대응, 로그훼손방지등 적절한운영 관리가필요하다. 2 개인정보처리자는개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에 접속하려는경우에는가상사설망 (VPN : Virtual Private Network) 또는전용선등안전한 접속수단을적용하여야한다. 외부망으로부터개인정보처리시스템에대한접속은원칙적으로차단하여야한다. 다만개인 정보처리자가외부망을통해개인정보처리시스템에접속이필요한경우에는가상사설망 (VPN : Virtual Private Network) 또는전용선등의안전한접속수단을적용하여야한다. - 노트북과같은업무용컴퓨터, 모바일기기등으로외부에서정보통신망을통해개인정보처리 시스템에접속하는경우에도가상사설망, 전용선등의안전한접속수단을적용하여야한다. - 가상사설망 (VPN : Virtual Private Network) 은개인정보취급자가사업장내의개인정보처리 시스템에대해원격으로접속할때 IPsec 이나 SSL 기반의암호프로토콜을사용한터널링 기술을통해안전한암호통신을할수있도록해주는보안시스템을의미한다. IPsec(IP Security Protocol) 은인터넷프로토콜 (IP) 통신보안을위해패킷에암호화기술이적용된프로토콜집합 SSL(Secure Sockets Layer) 은웹브라우저와웹서버간에데이터를안전하게주고받기위해암호화기술이 적용된보안프로토콜 IPsec, SSL 등의기술이사용된가상사설망을안전하게사용하기위해서는, 잘알려진취약점 ( 예 : Open SSL 의 Heart Bleed 취약점 ) 들을조치하고사용할필요가있다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ [ 가상사설망및전용선구성예시 ] 전용선 인터넷 서버 PC 서버 PC VPN [ 본사 ] [ 지사 ] 개인정보의안전성확보조치기준해설서 43
44 02. 개인정보의안전성확보조치조문별해설 3 개인정보처리자는인터넷홈페이지에서다른법령에근거하여정보주체의본인확인을위해 성명, 주민등록번호를이용하는경우에도정보주체의추가적인정보를반드시확인하여야 한다. 인터넷홈페이지에서성명, 주민등록번호만으로정보주체의본인여부를확인한후서비스를제공할경우해커등타인이유출된개인정보를도용하여서비스를이용할수있다. 이를방지하기위해정보주체의추가정보를반드시확인하여야한다. 정보주체의추가적인정보를확인하는방법에는 i-pin, 공인인증서, 휴대전화, 주민등록증발급일자, 전자우편 ( ) 주소등의수단중하나의수단을이용한정보주체의본인확인, 인증등이이에해당한다. [ 추가적인정보확인예시 ] [ 실명확인 ] [ 아이핀 ] [ 휴대폰 ] [ 공인인증서 ] 4 개인정보처리자는취급중인개인정보가인터넷홈페이지, P2P, 공유설정, 공개된무선망 이용등을통하여열람권한이없는자에게공개되거나유출되지않도록개인정보처리시스템, 업무용컴퓨터및모바일기기등에조치를하여야한다. 개인정보처리자는취급중인개인정보가인터넷홈페이지를통해열람권한이없는자에게공개 되거나유출되지않도록다음과같은항목등을고려하여조치할수있다. - 잘알려진웹취약점항목들을포함함웹취약점점검및조치 웹취약점점검항목예시 : SQL_Injection 취약점, CrossSiteScript 취약점, File Upload 취약점, ZeroBoard 취약점, Directory Listing 취약점, File Download 취약점등 잘알려진웹취약점점검항목은행정자치부, OWASP( 국제웹표준기구 ), 국가사이버안전센터 (NCSC) 등에서발표하는항목참조 - 인터넷홈페이지중서비스제공에사용되지않거나관리되지않는사이트또는 URL(Uniform Resource Locator) 에대한삭제또는차단조치 44
45 - 관리자페이지홈페이지에대해노출차단등의보호조치 - 웹취약점점검과함께정기적으로웹쉘등을점검하고조치하는경우취급중인개인정보가 인터넷홈페이지를통해열람권한이없는자에게공개되거나유출되는위험성을더욱줄일수 있다. 개인정보처리자는개인정보처리시스템, 업무용컴퓨터, 모바일기기에서 P2P, 공유설정은 기본적으로사용하지않는것이원칙이나, 업무상꼭필요한경우에는권한설정등의조치를 통해권한이있는자만접근할수있도록설정하여취급중인개인정보가열람권한이없는자에게 공개되거나유출되지않도록하여야한다. - 업무상꼭필요한경우라도드라이브전체또는불필요한폴더가공유되지않도록조치하고, 공유폴더에개인정보파일이포함되지않도록정기적으로점검하여조치하도록한다. P2P, 웹하드등의사용을제한하는경우에도단순히사용금지조치를취하는것이아니라시스템상에서해당포트를차단하는등근본적인조치를취하는것이필요하다. 개인정보처리자는공개된무선망을이용하여개인정보를처리하는경우취급중인개인정보가 신뢰되지않은무선접속장치 (AP), 무선전송구간및무선접속장치 (AP) 의취약점등에의해 열람권한이없는자에게공개되거나유출되지않도록개인정보처리시스템, 업무용컴퓨터및 모바일기기등에조치를하여야하며, 다음과같은방식들을활용할수있다. - 개인정보송 수신시 SSL, VPN 등의보안기술이적용된전용프로그램을사용하여송 수신 또는암호화송 수신 예시 : 모바일기기, 노트북에서개인정보처리시스템에개인정보전송시, 전송암호화기능이탑재된별도의앱 (App) 이나프로그램을설치하고이를이용하여전송 - 개인정보가포함된파일송 수신시파일암호화저장후송 수신 예시 : 모바일기기, 노트북에서개인정보처리시스템에개인정보가포함된파일전송시, 암호화저장한후전송 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ - 개인정보유출방지조치가적용된공개된무선망이용 예시 : 모바일기기, 노트북에서설치자를신뢰할수있고관리자비밀번호등을포함한알려진보안취약점이조치된 무선접속장치 (AP) 에안전한비밀번호를적용한 WPA2(Wi-Fi Protected Access 2) 보안프로토콜을사용하는 - 기타 공개된무선망사용 공개된무선망에서개인정보송 수신시유출방지기술이적용된방법사용 5 고유식별정보를처리하는개인정보처리자는인터넷홈페이지를통해고유식별정보가유출 변조 훼손되지않도록연 1 회이상취약점을점검하여야한다. 개인정보의안전성확보조치기준해설서 45
46 02. 개인정보의안전성확보조치조문별해설 인터넷홈페이지를통해고유식별정보 ( 주민등록번호, 운전면허번호, 외국인등록번호, 여권번호 ) 를 처리하는경우에, 개인정보처리자는고유식별정보가유출 변조 훼손되지않도록해당인터넷 홈페이지에대해연 1 회이상취약점을점검하여야하며, 문제점이발견된경우그에따른개선 조치를하여야한다. - 고유식별정보를처리하는인터넷홈페이지의웹취약점점검시잘알려진웹취약점항목들이 포함되도록할필요가있다. 웹취약점점검항목예시 : SQL_Injection 취약점, CrossSiteScript 취약점, File Upload 취약점, ZeroBoard 취약점, Directory Listing 취약점, File Download 취약점등 잘알려진웹취약점점검항목은행정자치부, OWASP( 국제웹표준기구 ), 국가사이버안전센터 (NCSC) 등에서발표하는항목참조 TIP 고유식별정보를처리하지않는인터넷홈페이지는연 1 회이상취약점점검이필수는아니나, 개인정보 유출등에대비해서가급적취약점점검을권장한다. - 웹취약점점검과함께시큐어코딩을적용하고, 정기적으로관리자페이지노출및웹쉘등을점검하고조치하는경우인터넷홈페이지를통한고유식별정보의유출 변조 훼손의위험을더욱줄일수있다. 인터넷홈페이지의취약점점검시에는기록을남겨책임추적성확보및향후개선조치등에활용할수있도록할필요가있다. 인터넷홈페이지의취약점점검은개인정보처리자의자체인력, 보안업체등을활용할수있으며, 취약점점검은상용도구, 공개용도구, 자체제작도구등을사용할수있다. TIP 인터넷홈페이지취약점점검및조치에활용할수있는기술문서는다음을포함한다양한자료가있다. 소프트웨어개발보안가이드 ( 안전행정부, ) 시큐어코딩가이드 (C, Java)( 행정안전부, ) Web 2.0 정보보호실무가이드 ( 행정안전부, ) 홈페이지취약점진단 제거가이드 (KISA, ) 인터넷홈페이지취약점점검을위해소상공인, 중소사업자, 비영리단체는한국인터넷진흥원 (KISA) 에서제공하는무료웹취약점점검서비스이용할수있으며, 개인정보보호종합지원포털 (http: // 에서점검을신청할수있다. 46
47 6 개인정보처리자가별도의개인정보처리시스템을이용하지아니하고업무용컴퓨터또는 모바일기기를이용하여개인정보를처리하는경우에는제 1 항을적용하지아니할수있으며, 이경우업무용컴퓨터또는모바일기기의운영체제 (OS : Operating System) 나보안프로그램 등에서제공하는접근통제기능을이용할수있다. 개인정보처리시스템을이용하지않고단순히업무용컴퓨터또는모바일기기를이용하여 개인정보를저장하는등의처리를하는경우운영체제나보안프로그램에서제공하는접근통제 기능을이용할수있다. - PC, 노트북등의업무용컴퓨터의운영체제 (OS) 에서제공하는접근통제기능설정방법은 다음과같으며, 별도의보안프로그램을사용하여접근통제기능을설정하고이용할수도있다. [ 업무용컴퓨터 ( 윈도우의경우 ) 방화벽설정방법 ] 업무용컴퓨터 : 제어판 Windows 방화벽 Windows 방화벽설정또는해제 업무용컴퓨터운영체제에서제공하는개인용방화벽설정시외부 IP 로부터시도되는불법적인접근등을차단한다. - 스마트폰, 태블릿 PC 등모바일기기에서도운영체제 (OS) 나별도의보안프로그램에서제공하는 접근통제기능을이용할수있다. 모바일기기에서는불필요한네트워크소프트웨어통제, 인입포트차단등의접근통제기능을제공하는운영체제를사용할수있으며, 이러한기능을제공하지않거나보다확장된접근통제기능을사용이필요한경우에는접근통제기능을제공하는별도의방화벽등의어플리케이션 (App) 을설치 운영이필요할수있다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 7 개인정보처리자는업무용모바일기기의분실 도난등으로개인정보가유출되지않도록 해당모바일기기에비밀번호설정등의보호조치를하여야한다. 업무용모바일기기는성능이높아대량의개인정보를저장하거나전송할수있으나, 휴대와이동이편리하여기기분실 도난시해당기기에저장된또는해당기기의개인정보처리시스템접속등을통한개인정보유출의위험성이높다. 따라서, 스마트폰, 태블릿PC와같이업무에사용되는모바일기기는분실 도난으로개인정보가유출되지않도록개인정보처리자의기기운영환경및처리되는개인정보의중요도등을고려하여조치가필요하며, 다음과같은항목들을조치항목으로고려할수있다. - 비밀번호, 패턴, PIN 등을사용하여화면잠금설정 개인정보의안전성확보조치기준해설서 47
48 02. 개인정보의안전성확보조치조문별해설 [ 화면잠금설정예시 ] [ 비밀번호 ] [ 패턴입력 ] - 디바이스암호화로애플리케이션, 데이터등암호화 - USIM 카드에저장된개인정보보호를위한 USIM 카드잠금설정 - 모바일기기제조사및이동통신사가제공하는기능을이용한원격잠금, 원격데이터삭제등의조치 TIP 모바일기기의도난또는분실시원격잠금, 데이터삭제등을위해제조사별로지원하는 킬스위치 (Kill Switch) 서비스 나이동통신사의 잠금앱서비스 를이용할수있다. - 중요한개인정보를처리하는모바일기기는 MDM(Mobile Device Management) 등모바일 단말관리프로그램을설치하여원격잠금, 원격데이터삭제, 접속통제등의조치 MDM 은무선망을이용해원격으로스마트폰, 태블릿 PC 등의모바일기기를제어하는솔루션으로, 분실된모바일기기의위치를추적, 원격잠금설정, 원격정보삭제, 특정사이트접속제한, 카메라등기능제어, 앱설치통제등의기능제공 48
49 6. 개인정보의암호화 제6조 ( 개인정보의암호화 ) 1 영제21조및영제30조제1항제3호에따라암호화하여야하는개인정보는고유식별정보, 비밀번호및바이오정보를말한다. 2 개인정보처리자는제1항에따른개인정보를정보통신망을통하여송 수신하거나보조저장매체등을통하여전달하는경우에는이를암호화하여야한다. 3 개인정보처리자는비밀번호및바이오정보는암호화하여저장하여야한다. 단비밀번호를저장하는경우에는복호화되지아니하도록일방향암호화하여저장하여야한다. 4 개인정보처리자는인터넷구간및인터넷구간과내부망의중간지점 (DMZ : Demilitarized Zone) 에고유식별정보를저장하는경우에는이를암호화하여야한다. 5 개인정보처리자가내부망에고유식별정보를저장하는경우에는다음각호의기준에따라암호화의적용여부및적용범위를정하여시행할수있다. 1. 법제33조에따른개인정보영향평가의대상이되는공공기관의경우에는해당개인정보영향평가의결과 2. 위험도분석에따른결과 6 개인정보처리자는제1항에따른개인정보를암호화하는경우안전한암호알고리즘으로암호화하여저장하여야한다. 7 개인정보처리자는업무용컴퓨터또는모바일기기에고유식별정보를저장하여관리하는경우상용암호화소프트웨어또는안전한암호화알고리즘을사용하여암호화저장하여야한다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 취지 비밀번호, 바이오정보, 주민등록번호등과같은주요개인정보가암호화되지않고개인정보처리 시스템에저장되거나네트워크를통해전송될경우, 노출및위 변조등의위험이있으므로 암호화등의안전한보호조치가제공되어야한다. 암호화 는개인정보취급자의실수또는해커의공격등으로인해개인정보가비인가자에게유 노출되더라도그내용확인을어렵게하는보안기술이다. 개인정보의안전성확보조치기준해설서 49
50 02. 개인정보의안전성확보조치조문별해설 해설 1 영제 21 조및영제 30 조제 1 항제 3 호에따라암호화하여야하는개인정보는고유식별정보, 비밀번호및바이오정보를말한다. 고유식별정보 는개인을고유하게구별하기위하여부여된식별정보를말하며주민등록번호, 여권번호, 운전면허번호, 외국인등록번호가여기에해당한다. 비밀번호 는정보주체또는개인정보취급자등이개인정보처리시스템, 업무용컴퓨터, 모바일기기또는정보통신망에접속할때식별자와함께입력하여정당한접속권한을가진자라는것을식별할수있도록시스템에전달해야하는고유의문자열로서타인에게공개되지않는정보를말한다. 바이오정보 는지문, 얼굴, 홍채, 정맥, 음성, 필적등개인을식별할수있는신체적또는행동적특징에관한정보로서최초로수집되어가공되지않은 원본정보 와가공되거나생성된특징정보를포함한다. 2 개인정보처리자는제 1 항에따른개인정보를정보통신망을통하여송 수신하거나보조 저장매체등을통하여전달하는경우에는이를암호화하여야한다. 개인정보처리자는정보통신망을통하여내 외부로송 수신할고유식별정보 ( 주민등록번호, 운전면허번호, 외국인등록번호, 여권번호 ), 비밀번호, 바이오정보에대해서는암호화하여야한다. TIP 내부망내에서송 수신되는고유식별정보는업무상필요할경우암호화대상에서제외할수있으나, 비밀번호와바이오정보는반드시암호화하여야한다. 전용선을이용하여개인정보를송 수신하는경우, 암호화가필수는아니나내부자에의한개인정보유출등에대비해서가급적암호화전송을권장한다. 정보통신망을통한개인정보암호화전송을위해 SSL 등의통신암호프로토콜이탑재된기술을 활용하거나, 개인정보를암호화저장한후이를전송하는방법등을사용할수있다. SSL(Secure Sockets Layer) 은웹브라우저와웹서버간에데이터를안전하게주고받기위해암호화기술이적용된보안프로토콜이다. 50
51 [ SSL 적용예시 ] [ 일반웹주소 ] [ SSL 적용웹주소 ] SSL 인증서발급 암호와통신, 사용자인증 [ 인증기관 (CA) ] [ SSL 설치웹서버 ] [ 사용자 ] 개인정보암호화전송기술사용시안전한전송을위해잘알려진취약점 ( 예 : Open SSL 사용시 HeartBleed 취약점 ) 들을조치하고사용할필요가있다. 보조저장매체 를통해고유식별정보, 비밀번호, 바이오정보를전달하는경우에도암호화하여야 하며, 이를위해다음과같은방법등이사용될수있다. - 암호화기능을제공하는보안 USB 등의보조저장매체에저장하여전달 - 해당개인정보를암호화저장한후보조저장매체에저장하여전달 3 개인정보처리자는비밀번호및바이오정보는암호화하여저장하여야한다. 단비밀번호를 저장하는경우에는복호화되지아니하도록일방향암호화하여저장하여야한다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 개인정보처리자는비밀번호, 바이오정보 ( 지문, 홍채등 ) 가노출또는위 변조되지않도록암호화하여저장하여야하며, 특히비밀번호의경우에는복호화되지않도록일방향 ( 해쉬함수 ) 암호화하여야한다. 일방향암호화는저장된값으로원본값을유추하거나복호화할수없도록한암호화방법으로, 인증검사시에는사용자가입력한비밀번호를일방향함수에적용하여얻은결과값과시스템에저장된값을비교하여인증된사용자임을확인한다. 개인정보의안전성확보조치기준해설서 51
52 02. 개인정보의안전성확보조치조문별해설 [ 일방향 ( 해쉬함수 ) 암호화 ] 일방향 ( 해쉬함수 ) 암호화는입력된데이터를자르고치환하거나위치를바꾸는등의방법을사용해길이가고정된결과를만들어내는방법을의미한다. 일방향 ( 해쉬함수 ) 암호화의가장기본적인성질은두해쉬결과가다르다면원래의데이터도어딘가다르다는것을의미하며, 원래입력의한비트만바뀌더라도해쉬결과는크게달라진다. 바이오정보의경우, 복호화가가능한양방향암호화저장이필요하나, 이는식별및인증등의 고유기능에사용되는경우로한정되며콜센터등일반민원상담시저장되는음성기록이나일반 사진정보는암호화대상에서제외된다. 4 개인정보처리자는인터넷구간및인터넷구간과내부망의중간지점 (DMZ : Demilitarized Zone) 에고유식별정보를저장하는경우에는이를암호화하여야한다. 인터넷구간은개인정보처리시스템과인터넷이직접연결되어있는구간, DMZ 구간은인터넷과내부망과인터넷구간사이에위치한중간지점으로침입차단시스템등으로접근제한등을수행하지만외부망에서직접접근이가능한영역을말한다. 내부망은접근통제시스템등에의해차단되어외부에서직접접근이불가능한영역을말한다. [ DMZ 구간예시 ] Internal Network Firewall DMZ Firewall www ( 인터넷 ) [ 내부네트워크 ] DNS PROXY [ 외부네트워크 ] 인터넷구간이나 DMZ 구간은외부에서직접접근이가능하므로외부자의침입을받을가능성이있다. 이에따라 DMZ 구간에주민등록번호, 외국인등록번호, 운전면허번호, 여권번호등의고유식별정보를저장하는경우암호화하여저장해야한다. 제2항에따른비밀번호및바이오정보를저장하는경우에도암호화하여저장해야한다. 52
53 주민등록번호를암호화저장하는경우, 속도등성능을고려하여일부정보만암호화조치를취할수있으며, 이경우뒷자리 6개번호이상을암호화조치하는것이바람직하다. 일부암호화의예시 : ****** 5 개인정보처리자가내부망에고유식별정보를저장하는경우에는다음각호의기준에따라암호화의적용여부및적용범위를정하여시행할수있다. 1. 법제33조에따른개인정보영향평가의대상이되는공공기관의경우에는해당개인정보영향평가의결과 2. 위험도분석에따른결과 내부망에고유식별정보를저장하는경우, 개인정보영향평가및위험도분석결과에따라암호화적용여부및적용범위를정하여시행할수있다. 영제38조에따라영향평가의대상이되는개인정보파일을운용하는공공기관은해당개인정보영향평가의결과에따라암호화의적용여부및적용범위를정하여시행할수있다. - 개인정보영향평가의실시대상이아니거나공공기관이외의개인정보처리자는위험도분석을실시한후그결과에따라고유식별정보의암호화적용여부및적용범위를정하여시행할수있다. 다만, 주민등록번호에대해서는 개인정보보호법 에따라 2016년 1월 1일부터내부망에저장시에도개인정보영향평가나위험도분석의결과에관계없이암호화하여야하며, 암호화적용대상및대상별적용시기등은 개인정보보호법 시행령에따른다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ TIP 개인정보영향평가수행을위한 개인정보영향평가수행안내서 등의관련자료는개인정보보호 종합지원포털 ( 에서다운로드할수있다. 위험도분석 은개인정보처리시스템에적용되고있는개인정보보호를위한수단과유출시정보주체의권리를해할가능성과그위험의정도를분석하는행위를말한다. - 세부적으로위험도분석은개인정보유출에영향을미칠수있는다양한위협에대한시스템취약점과이로인해서예상되는손실을분석하여위험요소를식별, 평가하고그러한위험요소를적절하게통제할수있는수단을체계적으로구현하고운영하는전반적인행위및절차로서위험관리의일부분이다. 개인정보의안전성확보조치기준해설서 53
54 02. 개인정보의안전성확보조치조문별해설 - 위험도분석 은개인정보를저장하는정보시스템에서개인정보파일단위로수행하고각 개별개인정보파일의위험점수에따라개별개인정보파일단위로암호화여부를결정해야하며, 위험도분석을수행한결과는최고경영층으로부터내부결재등의승인을받아야한다. TIP 위험도분석을위한세부기준인 개인정보위험도분석기준및해설서 는개인정보보호종합지원 포털 ( 에서다운로드할수있다. 6 개인정보처리자는제 1 항에따른개인정보를암호화하는경우안전한암호알고리즘으로 암호화하여저장하여야한다. 암호화대상인고유식별정보 ( 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호 ), 비밀번호, 바이오정보를암호화하는경우안전한암호알고리즘으로암호화하여저장하여야하며, 안전한암호알고리즘 이란국내및미국, 일본, 유럽등의국외암호연구관련기관에서권고하는알고리즘을의미한다. TIP 안전한암호알고리즘, 암호화방식등은 개인정보암호화조치안내서 를참조하고, 해당자료는개인정보보호종합지원포털 ( 에서다운로드할수있다. 국내외암호연구관련기관은한국인터넷진흥원 (KISA) 의암호이용활성화홈페이지 ( or.kr) 의 암호표준화및유관기관 에서도확인가능하다. 안전한암호알고리즘을사용하더라도암호화키가잘못관리되어유 노출되는경우에는 암호화된정보들이유 노출될수있으므로이를안전하게관리하여야한다. 7 개인정보처리자는업무용컴퓨터또는모바일기기에고유식별정보를저장하여관리하는경우 상용암호화소프트웨어또는안전한암호화알고리즘을사용하여암호화한후저장하여야 한다. 54
55 고유식별정보를업무용컴퓨터또는모바일기기에저장하여관리하거나, 개인정보처리시스템으로부터개인정보취급자의업무용컴퓨터, 모바일기기에내려받아저장할때는안전한암호화알고리즘이탑재된암호화소프트웨어등을이용하여암호화함으로써불법적인유 노출및접근으로부터차단하여야한다. [ 오피스에서파일암호화설정방법 ] 한컴오피스 : 파일다른이름으로저장하기문서암호설정에서암호설정가능 MS 오피스 : 파일다른이름으로저장하기도구일반옵션에서암호설정가능 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 개인정보의안전성확보조치기준해설서 55
56 02. 개인정보의안전성확보조치조문별해설 7. 접속기록의보관및점검 제7조 ( 접속기록의보관및점검 ) 1 개인정보처리자는개인정보취급자가개인정보처리시스템에접속한기록을 6개월이상보관 관리하여야한다. 2 개인정보처리자는개인정보의유출 변조 훼손등에대응하기위하여개인정보처리시스템의접속기록등을반기별로 1회이상점검하여야한다. 3 개인정보처리자는개인정보취급자의접속기록이위 변조및도난, 분실되지않도록해당접속기록을안전하게보관하여야한다. 취지 접속기록은개인정보의입 출력및수정사항, 파일별 담당자별데이터접근내역등을자동으로기록하는로그파일을생성하여불법적인접근또는행동을확인할수있는중요한자료이며, 접속기록의백업은개인정보 DB의무결성을유지하기위한중요한요소이다. 따라서, 접속기록을 6개월이상안전하게보관 관리하고반기별 1회이상정기적으로점검하여야하며, 이를통해비정상행위에대해적절한조치를취할필요가있다. 해설 1 개인정보처리자는개인정보취급자가개인정보처리시스템에접속한기록을 6 개월이상보관 관리하여야한다. 개인정보취급자가개인정보처리시스템에접속하여개인정보를처리한경우, 수행한업무내역에 대하여식별자, 접속일시, 접속지를알수있는정보, 수행업무등의접속기록을 6 개월이상 저장하고정기적으로확인 감독하여야한다. 56
57 [ 접속기록항목예시 ] TIP 필수기록항목 설명 ID 개인정보취급자식별정보 날짜및시간 접속일시 접속자 IP 주소 접속자정보 수행업무 열람, 수정, 삭제, 인쇄, 입력등 개인정보처리시스템에접속한기록이아닌경우에는 6개월보관 관리가필수는아니다. ( 예 : 개인정보처리시스템으로볼수없는업무용 PC만으로개인정보처리시, 이업무용 PC에접속한기록은 6개월보관 관리가필수는아님 ) - 정보주체에대한접속기록까지보관 관리하고정기적으로확인 감독하는경우불법적인접근및비정상행위에대한조치등을강화할수있다. 2 개인정보처리자는개인정보의유출 변조 훼손등에대응하기위하여개인정보처리시스템의접속기록등을반기별로 1회이상점검하여야한다. 개인정보처리자는개인정보의유출 변조 훼손등에대응하기위하여개인정보처리시스템의접속기록을반기별 1회이상정기적으로점검하여야한다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ - 이를통해비인가된개인정보처리, 대량의개인정보의조회, 정정, 다운로드, 삭제등의비정상행위를탐지하여적절한대응조치를할필요가있다. 3 개인정보처리자는개인정보취급자의접속기록이위 변조및도난, 분실되지않도록해당접속기록을안전하게보관하여야한다. 개인정보처리자는개인정보처리시스템의접속기록이위 변조및도난, 분실되지않도록안전하게보관하여야한다. 개인정보의안전성확보조치기준해설서 57
58 02. 개인정보의안전성확보조치조문별해설 - 즉, 정기적으로접속기록백업을수행하여개인정보처리시스템이외의별도의보조저장 매체나별도의저장장치에보관하는등의조치가필요하다. - 접속기록에대한위 변조를방지하기위해서는 CD-ROM 등과같은덮어쓰기방지매체를 사용하는것이바람직하다. - 접속기록을수정가능한매체 ( 하드디스크, 자기테이프등 ) 에백업하는경우에는무결성보장을 위해위 변조여부를확인할수있는정보를별도의장비에보관 관리할수있다. 접속기록을 HDD 에보관하고, 위 변조여부를확인할수있는정보 (MAC 값, 전자서명값등 ) 는별도의 HDD 또는관리대장에보관하는방법으로관리할수있다. 58
59 8. 악성프로그램등방지 제8조 ( 악성프로그램등방지 ) 개인정보처리자는악성프로그램등을방지 치료할수있는백신소프트웨어등의보안프로그램을설치 운영하여야하며, 다음각호의사항을준수하여야한다. 1. 보안프로그램의자동업데이트기능을사용하거나, 또는일 1회이상업데이트를실시하여최신의상태로유지 2. 악성프로그램관련경보가발령된경우또는사용중인응용프로그램이나운영체제소프트웨어의제작업체에서보안업데이트공지가있는경우, 즉시이에따른업데이트를실시 취지 악성프로그램이란제작자가의도적으로피해를주고자악의적목적으로만든프로그램및실행가능한코드를의미하는것으로악성코드라고불리기도한다. 컴퓨터바이러스 (Computer Virus), 인터넷웜 (Internet Worm), 트로이목마, 스파이웨어등의형태로나눌수있다. 악성프로그램은컴퓨터에서동작하는일종의프로그램으로자료를손상 유출하거나프로그램을파괴하여정상적인작업을방해한다. 이를방지하기위해백신소프트웨어등의보안프로그램을이용하여해당프로그램을제거하거나예방할필요가있다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 해설 1. 보안프로그램의자동업데이트기능을사용하거나, 또는일 1 회이상업데이트를실시하여 최신의상태로유지 개인정보처리자는악성프로그램등을통해개인정보가위 변조, 유출되지않도록이를방지하고치료할수있는백신소프트웨어등보안프로그램을설치 운영하여야한다. 백신소프트웨어등의보안프로그램은실시간감시등을위해항상실행된상태를유지해야한다. 백신소프트웨어등보안프로그램은자동업데이트기능을사용하거나일 1회이상주기적으로업데이트를실시하여최신의상태로유지해야한다. 개인정보의안전성확보조치기준해설서 59
60 02. 개인정보의안전성확보조치조문별해설 - 실시간으로신종 변종악성프로그램이유포됨에따라백신상태를최신의업데이트를적용하여유지해야하며, 백신소프트웨어등에서제공하는자동업데이트기능등을활용하면편리하고신속하게조치할수있다. - 특히대량의개인정보를처리하거나민감한정보등중요도가높은개인정보를처리하는경우에는키보드, 화면, 메모리해킹등신종악성프로그램에대해대응할수있도록보안프로그램을운영할필요가있으며, 항상최신의상태로유지하여야한다. [ 백신소프트웨어설정예시 ] [ 자동, 예약업데이트 ] [ 실시간, 예약검사 ] 2. 악성프로그램관련경보가발령된경우또는사용중인응용프로그램이나운영체제소프트 웨어의제작업체에서보안업데이트공지가있는경우, 즉시이에따른업데이트를실시 운영체제 (OS) 응용프로그램의보안취약점을악용하는악성프로그램경보가발령되었거나, 응용프로그램, 운영체제제작업체에서보안업데이트공지가있는경우에는감염을예방하고 감염된경우피해를최소화하기위해즉시업데이트를실시하여야한다. - 운영체제나응용프로그램보안업데이트시현재운영중인응용프로그램의업무연속성이 이루어질수있도록보안업데이트를적용하는것이필요하며, 가능한자동으로보안업데이트가 설정되도록할필요가있다. 한글 Office 나 MS Office 등개인정보처리에자주이용되는응용프로그램은자동업데이트설정시, 보안 업데이트공지에따른즉시업데이트가용이하다. 60
61 9. 물리적접근방지 제9조 ( 물리적접근방지 ) 1 개인정보처리자는전산실, 자료보관실등개인정보를보관하고있는물리적보관장소를별도로두고있는경우에는이에대한출입통제절차를수립 운영하여야한다. 2 개인정보처리자는개인정보가포함된서류, 보조저장매체등을잠금장치가있는안전한장소에보관하여야한다. 3 개인정보처리자는개인정보가포함된보조저장매체의반출 입통제를위한보안대책을마련하여야한다. 다만별도의개인정보처리시스템을운영하지아니하고업무용컴퓨터또는모바일기기를이용하여개인정보를처리하는경우에는이를적용하지아니할수있다. 취지 개인정보를대량으로보관하고있는전산실 자료보관실등물리적보관장소를별도로가지고있는경우, 출입자에의한개인정보대량유출의위험이있으므로이에대한출입통제절차를수립하여운영하고보조저장매체의반 출입통제를위한보안대책을마련하여대응할필요가있다. 또한사무실등에서개인정보가포함된보조저장매체분실등으로인한개인정보유출의위험성이있으므로이에대한대책또한필요하다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 해설 1 개인정보처리자는전산실, 자료보관실등개인정보를보관하고있는물리적보관장소를 별도로두고있는경우에는이에대한출입통제절차를수립 운영하여야한다. 개인정보를대량으로보관하고있는전산실 자료보관실을별도로두고있는경우에는비인가자의 출입에의한개인정보가포함된정보자산의절도, 파괴등물리적위협에대응하기위해출입통제 절차를수립 운영하여야한다. 개인정보의안전성확보조치기준해설서 61
62 02. 개인정보의안전성확보조치조문별해설 전산실 자료보관실의출입을통제하는방법으로물리적접근방지를위한장치를설치 운영 하고이에대한출입내역을전자적인매체또는수기문서대장에기록하는방법등이있다. - 물리적접근방지를위한장치 ( 예시 ): 비밀번호기반출입통제장치, 스마트카드기반출입 통제장치, 지문등바이오정보기반출입통제장치등 전산실은다량의정보시스템을운영하기위한별도의물리적인공간으로전기시설 (UPS(Uninterruptible Power Supply), 발전기등 ), 공조시설 ( 항온항습기등 ), 소방시설 ( 화재감지기, 소화설비등 ) 등을갖춘시설을의미한다. 자료보관실은가입신청서등의문서나 DAT(Digital Audio Tape), LTO(Linear Tape Open), DLT(Digital Linear Tape), CD(Compact Disc), DVD(Digital Versatile Disk), 하드디스크, SSD(Solid State Drive) 등전자적기록매체가다량으로보관된물리적저장장소를의미한다. 2 개인정보처리자는개인정보가포함된서류, 보조저장매체등을잠금장치가있는안전한 장소에보관하여야한다. 개인정보처리자는개인정보가포함된서류나보조기억매체 (USB, CD 등 ) 등은잠금장치가부착되어있는안전한장소에보관하여야한다. - 플로피디스켓, 이동형하드디스크, USB메모리, SSD, CD, DVD 등의보조기억매체는금고또는잠금장치가있는캐비넷등에안전하게보관하여야한다. 3 개인정보처리자는개인정보가포함된보조저장매체의반출 입통제를위한보안대책을 마련하여야한다. 다만별도의개인정보처리시스템을운영하지아니하고업무용컴퓨터또는 모바일기기를이용하여개인정보를처리하는경우에는이를적용하지아니할수있다. 개인정보처리자는사무실등개인정보를처리하는업무공간에서개인정보가저장된 USB메모리, CD, 이동형하드디스크등의보조저장매체반 출입에의해개인정보가유출되지않도록반출 입통제를위한보안대책을마련하여야한다. 보조저장매체반 출입통제를위한보안대책마련시다음과같은내용이포함되도록고려할필요가있다. - 보조저장매체보유현황파악및반 출입관리계획 - 개인정보취급자 ( 임직원, 파견근로자, 시간제근로자등 ) 및용역업체의직원등에의한비인가된보조저장매체반 출입에대한대응 62
63 - 개인정보처리시스템, 업무용 PC, 모바일기기등에서보조저장매체의안전한사용방법및비인가된사용에대한대응등 보조저장매체반 출입통제를위한보안대책은전사적으로수립되어운영되도록할필요가있다. TIP 보조저장매체반 출입통제를위한보안대책은별도의대책으로마련할수도있고, 내부관리계획, 지침, 내규등다른관리계획의일부에포함될수도있다. 별도의개인정보처리시스템을운영하지아니하고업무용컴퓨터또는모바일기기를이용하여개인정보를처리하는경우에는보조저장매체반 출입통제를위한보안대책마련이필수는아니나, 관련대책마련을권장한다. 예를들어소상공인이사무실에업무용 PC만사용하여개인정보를처리하는경우 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 개인정보의안전성확보조치기준해설서 63
64 02. 개인정보의안전성확보조치조문별해설 10. 개인정보의파기 제10조 ( 개인정보의파기 ) 1 개인정보처리자는개인정보를파기할경우다음각호중어느하나의조치를하여야한다. 1. 완전파괴 ( 소각 파쇄등 ) 2. 전용소자장비를이용하여삭제 3. 데이터가복원되지않도록초기화또는덮어쓰기수행 2 개인정보처리자가개인정보의일부만을파기하는경우, 제1항의방법으로파기하는것이어려운때에는다음각호의조치를하여야한다. 1. 전자적파일형태인경우 : 개인정보를삭제한후복구및재생되지않도록관리및감독 2. 제1호외의기록물, 인쇄물, 서면, 그밖의기록매체인경우 : 해당부분을마스킹, 천공등으로삭제 취지 개인정보처리자는개인정보수집목적달성, 보존기간이경과등개인정보가불필요하게되었을때개인정보의유출및오남용방지를위해개인정보를복원이불가능한방법으로파기가필요하다. 복원이불가능한방법 이란사회통념상현재의기술수준에서적절한비용이소요되는방법을의미한다. 또한, 개인정보파기방법중개인정보의일부만파기시완전파괴방법등을사용하기어려운특정환경에서도복구및재생되지않도록조치하는방법이필요하다. 해설 1 개인정보처리자는개인정보를파기할경우다음각호중어느하나의조치를하여야한다. 1. 완전파괴 ( 소각 파쇄등 ) 2. 전용소자장비를이용하여삭제 3. 데이터가복원되지않도록초기화또는덮어쓰기수행 64
65 개인정보처리자는개인정보를파기하는경우복구또는재생되지아니하도록개인정보가저장된 매체형태에따라다음중어느하나의조치를하여야한다. - 완전파괴 ( 소각 파쇄등 ) 예시 : 개인정보가저장된회원가입신청서등의종이문서, 하드디스크나자기테이프를파쇄기로파기하거나용해, 또는소각장, 소각로에서태워서파기등 - 전용소자장비를이용하여삭제 예시 : 디가우저 (Degausser) 를이용해하드디스크나자기테이프에저장된개인정보삭제등 - 데이터가복원되지않도록초기화또는덮어쓰기수행 예시 : 개인정보가저장된하드디스크에대해완전포맷 (3 회이상권고 ), 데이터영역에무작위값, 0, 1 등으로덮어쓰기 (3 회이상권고 ), 해당드라이브를안전한알고리즘및키길이로암호화저장후삭제하고암호화에사용된키완전폐기및무작위값덮어쓰기등의방법사용 TIP 개인정보파기시파기를전문으로수행하는업체를활용할수있다. 개인정보파기의시행및파기결과의확인은개인정보보호책임자의책임하에수행되어야하며, 파기에관한사항을기록 관리하여야한다. 2 개인정보처리자가개인정보의일부만을파기하는경우, 제1항의방법으로파기하는것이어려운때에는다음각호의조치를하여야한다. 1. 전자적파일형태인경우 : 개인정보를삭제한후복구및재생되지않도록관리및감독 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 2. 제1호외의기록물, 인쇄물, 서면, 그밖의기록매체인경우 : 해당부분을마스킹, 천공등으로삭제 개인정보의일부만파기하는경우 는저장중인개인정보중보유기간이경과한일부개인정보를파기하는경우를말하며, 다음과같은경우등이있다. - 운영중인개인정보가포함된여러파일중, 특정파일을파기하는경우 - 개인정보가저장된백업용디스크나테이프에서보유기간이만료된특정파일이나특정정보주체의개인정보만파기하는경우 - 운영중인데이터베이스에서탈퇴한특정회원의개인정보를파기하는경우 - 회원가입신청서종이문서에기록된정보중, 특정필드의정보를파기하는경우등 개인정보의안전성확보조치기준해설서 65
66 02. 개인정보의안전성확보조치조문별해설 개인정보처리자가개인정보의일부만파기하는경우복구또는재생되지아니하도록개인정보가 저장된매체형태에따라다음중어느하나의조치를하여야한다. - 전자적파일형태인경우 : 개인정보를삭제한후복구및재생되지않도록관리및감독 개인정보를삭제하는방법예시 : 운영체제, 응용프로그램, 상용도구등에서제공하는삭제기능을사용하여삭제, 백업시파기대상정보주체의개인정보를제외한백업등 ( 운영체제, 응용프로그램, 상용도구등에서제공하는삭제기능을사용하는경우에도가능한복구불가능한방법을사용해야복구및재생의위험을 줄일수있다 ) 복구및재생되지않도록관리및감독하는방법예시 : 복구관련기록 활동에대해모니터링하거나주기적 점검을통해비인가된복구에대해조치 - 제 1 호외의기록물, 인쇄물, 서면, 그밖의기록매체인경우 : 해당부분을마스킹, 천공등으로 삭제 예시 : 회원가입신청서에기재된주민등록번호삭제시, 해당신청서에서주민등록번호가제거되도록절삭, 천공또는펜등으로마스킹 66
67 부칙 < 제 호, > 제 1 조이기준은고시한날부터시행한다. 취지 이고시의시행일에대한정의를하고있다. 시행되는일시는고시한날부터이다. 제2조 ( 영상정보처리기기에대한안전성확보조치의적용제외 ) 영상정보처리기기에대한안전성확보조치에대해서는 표준개인정보보호지침 중에서영상정보처리기기설치 운영기준이정하는바에따른다. 취지 영상정보처리기기에대한안전성확보조치기준은 표준개인정보보호지침 의영상정보처리기기설치 운영기준에서언급된안전성확보조치기준이정하는바에따른다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 제3조 ( 전산센터, 클라우드컴퓨팅센터등의운영환경에서의안전조치 ) 개인정보처리자가전산센터 (IDC : Internet Data Center), 클라우드컴퓨팅센터 (Cloud Computing Center) 등에계약을통해하드웨어, 소프트웨어등을임차또는임대하여개인정보를처리하는경우에는계약서또는서비스수준협약서 (SLA : Service Level Agreement) 에이기준에준하는수준의안전조치내용이포함되어있으면이기준을이행한것으로본다. 부칙 < 제 호, > 이기준은고시한날부터시행한다. 개인정보의안전성확보조치기준해설서 67
68 개인정보의안전성 확보조치기준해설서
69 03 [ 붙임 ] FAQ
70 03. FAQ 03 [ 붙임 ] FAQ 문 1. 개인정보처리시스템의범위는어디까지를말하는지? 개인정보처리시스템은 DBMS(database management system) 로서, 다수의사용자들이데이터베이스 (DB) 내의데이터에접근할수있도록해주는응용프로그램의집합을말합니다. 여기에는 DB자체뿐아니라, DB에연결되어 DB를관리하거나 DB의개인정보를처리할수있는응용프로그램 ( 예 : 웹서버 ) 까지포함될수있습니다. 문 2. 개인용스마트폰에서회사 서버로부터자료를주고받아개인정보처리업무를 수행하는경우에, 모바일기기에포함되는지? 모바일기기에포함됩니다. 개인용스마트폰이나태블릿PC에회사의업무용앱 (App) 을설치하여업무목적의개인정보를처리하는경우나, 개인용스마트폰이나태블릿PC에설치된메일읽기프로그램을사용하여회사메일서버에접속하여업무목적의개인정보를처리하는경우에는모바일기기에해당됩니다. 다만, 개인용스마트폰이회사 서버로부터자료를주고받더라도개인정보가포함되지않거나, 회사업무목적아닌경우는모바일기기에서제외됩니다. 70
71 문3. 전용선의범위는어디까지인지? 두지점간에독점적으로사용하는회선으로개인정보처리자와개인정보취급자, 또는본점과지점간을직통으로연결하는회선등을말합니다. 문4. 개인정보처리자로부터업무를위탁받아처리하는수탁자도이기준을준수하여야합니까? 그렇습니다. 수탁자 는개인정보처리자로부터개인정보의수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ), 그밖에이와유사한행위등의업무를위탁받아처리하는자를말합니다 ( 법제26조 ). 그런데수탁자에관하여는개인정보의안전성확보조치에관한개인정보보호법제24조제3항, 제29조가준용되어적용됩니다 ( 법제26조제 7항 ). 따라서수탁자는이기준에따라개인정보의안전성확보에필요한조치를이행하여야합니다. 문5. 소기업및소상공인지원을위한특별조치법 에따른소상공인입니다. 내부관리계획을수립하지않아도되는지? 소상공인은 개인정보의안전성확보조치기준 제3조제2항에의거내부관리계획을수립하지않아도됩니다. 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 문 6. 개인정보보호에관한사항을회사규칙으로마련한경우에도 개인정보보호법 에따른 내부관리계획을별도로마련해야하는지? 회사규칙에내부관리계획에포함되어야하는내용 ( 개인정보보호책임자의지정에관한사항, 개인정보보호책임자및개인정보취급자의역할및책임에관한사항, 개인정보의안전성확보에필요한조치에관한사항, 개인정보취급자교육에관한사항, 수탁자에대한관리및감독에관한사항, 그밖에개인정보보호를위하여필요한사항 ) 이모두포함되어있다면별도의내부관리계획을마련하지않아도됩니다. 개인정보의안전성확보조치기준해설서 71
72 03. FAQ 문 7. 비디오대여점을운영하는소상공인입니다. 현재고객관리를위해업무용컴퓨터를운영하고 있습니다. 개인정보의안전성확보조치기준 에따라어떠한조치를수행해야하는지? 업무용컴퓨터로고객정보를관리하는경우제4조 ( 접근권한의관리 ) 제5항에따라업무용컴퓨터에비밀번호를설정하고업무용컴퓨터에서제공되는침입차단기능을설정하고악성프로그램을차단하도록백신소프트웨어를설치하여야합니다. 또한, 업무용컴퓨터에주민등록번호등고유식별정보가저장된경우에는암호화등의보안조치를수행하여야합니다. 문 8. 백화점입니다. 고객정보데이터베이스를운영하고있습니다. 개인정보암호화대상이 무엇이며어떻게해야하는지? 개인정보보호법 상에서요구되는암호화대상은고유식별정보 ( 주민등록번호, 외국인등록번호, 운전면허번호, 여권번호 ), 비밀번호, 바이오정보입니다. 개인정보처리자는고유식별정보등을정보통신망또는보조저장매체등을통해전달하는경우암호화하여전송해야합니다. 인터넷구간및인터넷구간과내부망의중간지점 (DMZ) 에고유식별정보를저장하는경우에도반드시암호화하여야합니다. 또한, 내부망에고유식별정보를저장하는경우위험도분석또는영향평가후에암호화적용범위및적용범위를정하여시행할수있습니다. [ 암호화적용기준요약표 ] 정보통신망, 보조저장매체를통한송 수신시 구분비밀번호, 바이오정보, 고유식별정보비밀번호바이오정보 암호화기준 암호화송 수신 내부망에서전송시해설내용참조 일방향암호화저장 암호화저장 개인정보처리시스템에저장시 고유식별정보 인터넷구간, 인터넷구간과내부망의중간지점 (DMZ) 내부망에저장 암호화저장 암호화저장또는다음항목에따라암호화적용여부 적용범위를정하여저장 1 개인정보영향평가대상이되는공공기관의경우, 그개인정보영향평가의결과 2 위험도분석에따른결과 업무용컴퓨터, 모바일기기에저장시비밀번호, 바이오정보, 고유식별정보암호화저장 ( 비밀번호는일방향암호화저장 ) 72
73 다만, 주민등록번호의경우에는 2016년 1월 1일부터는내부망에저장하는경우라도개인정보영향평가나위험도분석의결과에관계없이암호화하여야하며, 암호화적용대상및대상별적용시기등은 개인정보보호법 시행령에따릅니다. 문9. 내부망에저장하는주민등록번호는영향평가나위험도분석을통해암호화하지않고보유할수있는지? 2016년 1월 1일이전까지는가능하나, 2016년 1월 1일부터내부망에저장하는경우라도개인정보영향평가나위험도분석의결과에관계없이암호화하여야하며, 암호화적용대상및대상별적용시기등은 개인정보보호법 시행령에따릅니다. 문10. 암호화해야하는바이오정보의대상은어디까지인지? 암호화하여야하는바이오정보는식별및인증등의고유기능에사용되는경우로한정되며콜센터등일반민원상담시저장되는음성기록이나일반사진정보는암호화대상에서제외됩니다. 바이오정보인경우에원본데이터와가공되거나생성된특징정보모두암호화대상입니다. 문11. 특정기관에서암호화관련준수해야하는지침과본고시에서규정한암호화요구사항중어느것을적용해야하는지? 개인정보의안전성확보조치기준개인정보의안전성확보조치조문별해설 FAQ 개인정보보호법 측면에서는본고시에서규정한암호화요구사항을준수하면 개인정보보호법 상암호화의무는준수한것입니다. 본고시준수로인하여다른지침을준수하기어렵게된다면 개인정보보호법 은준수하였으나해당지침은위배한것이될수있습니다. 따라서, 최선의방법은본고시에서규정한암호화요구사항과다른암호화관련지침의요구사항모두를준수하는것이라할수있습니다. 문 12. 업무용 PC 에서고유식별정보나바이오정보를처리하는경우개인정보암호화는어떻게 해야하는지? PC 에저장된개인정보의경우상용프로그램 ( 한글, 엑셀등 ) 에서제공하는비밀번호설정기능을 개인정보의안전성확보조치기준해설서 73
74 03. FAQ 사용하여암호화를적용하거나, 안전한암호화알고리즘을이용하는소프트웨어를사용하여 암호화해야합니다. 암호화에관한세부질문사항은 개인정보암호화조치안내서 를참고할수있습니다. 문 13. 전산실또는자료보관실이없는중소기업입니다. 개인정보의안전성확보조치기준 제 9 조 ( 물리적접근방지 ) 조항을준수해야하는지? 기업의규모에상관없이전산실, 자료보관실등개인정보를보관하고있는물리적보관장소를별도로운영하고있지않으면출입통제절차를수립 운영하지않아도됩니다. 다만서류나, 보조저장매체등을운영하는경우에는잠금장치가있는캐비넷등에안전하게보관하여야하며, 보조저장매체의반출 입통제를위한보안대책을마련해서운영해야합니다. 문 14. 접속기록중, 수행업무에남겨야하는내용은무엇인지? 접속기록에는식별자, 접속일시, 접속지를알수있는정보와수행업무가포함됩니다. 수행업무는정보주체의개인정보에대한수집, 생성, 연계, 연동, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정 ( 訂正 ), 복구, 이용, 제공, 공개, 파기 ( 破棄 ) 등의내역을말합니다. 특히, 개인정보취급자가특정정보주체의개인정보를처리한경우, 수행업무 에는해당정보주체에대한식별정보도포함됩니다. 74
75
개인정보보호담당자 란개인정보책임자가업무를수행함에있어보조적인역할을하는자를말하며개인정보보호책임자가일정요건의자격을갖춘이를지정한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는업무를담당하는자로서직접개인정보에관한업무를담당하는자와그밖에업무상필요에의해개인정보에접근하
우송정보대학개인정보보호내부관리계획 제 장총칙 제정 제 조 목적 개인정보보호내부관리계획은개인정보보호법제 조 안전조치의무 내부관리계획의수립및시행의무에따라제정된것으로우송정보대학이취급하는개인정보를체계적으로관리하여개인정보가분실 도난 누출 변조 훼손 오 남용등이되지아니하도록함을목적으로한다 제 조 적용범위 본계획은홈페이지등의온라인을통하여수집 이용 제공또는관리되는개인정보뿐만아니라오프라인
More information슬라이드 1
모든유출사고가같은비중을차지하는것은아니지만암호화등올바른보안기술이적재적소에배치되어중요하고민감한데이터를보호해준다면 사고가발생한다해도개인정보유출을막을수있을것 원인별유형별산업별 58% 53% 43% * 출처 : Findings from the 2015 BREACH LEVEL INDEX Gemalto * 출처 : 2015 년개인정보보호실태조사 ( 행자부, 보호위 )
More information개인정보처리방침_성동청소년수련관.hwp
서울시립성동청소년수련관 개인정보 처리방침 서울시립성동청소년수련관은 개인정보 보호법 제30조에 따라 정보주체의 개인정 보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리지침을 수립 공개합니다. 제1조(개인정보의 처리목적) 1 서울시립성동청소년수련관은 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고
More informationZentralanweisung
RBKR & RBKD Guideline 4.1 1/11 목 차 1 총칙... 2 2 개인정보의처리목적및처리하는개인정보의항목... 2 2.1 개인정보의처리목적... 2 2.2 처리하는개인정보의항목... 3 3 개인정보의처리 보유기간및파기... 4 3.1 개인정보의처리 보유기간... 4 3.2 개인정보의파기... 4 4 개인정보의제 3 자제공... 4 5 개인정보처리의위탁...
More information개인정보의 안전성 확보조치 기준 해설서
개인정보의 안전성확보조치기준해설서 2017 년 1 월 개인정보의 안전성 확보조치 기준 해설서 Contents CHAPTER 개인정보의 안전성 확보조치 기준 개인정보의 안전성 확보조치 기준 CHAPTER CHAPTER 06 개인정보의 안전성 확보조치 기준 해설 [제1조] 목적 16 [제2조] 정의 18 [제3조] 안전조치 기준 적용 31 [제4조] 내부 관리계획의
More information목 차 참고및유의사항 관리실태조사관련 시스템접속 기관현황등록 자체점검 용어의정의 세부항목별점검방법 기관현황및점검결과수정
고유식별정보안전성확보조치관리실태조사 매뉴얼 민간기관용 목 차 참고및유의사항 관리실태조사관련 시스템접속 기관현황등록 자체점검 용어의정의 세부항목별점검방법 기관현황및점검결과수정 1. 참고및유의사항 민간기관의경우본인인증과정을거쳐야기관현황등록및자체점검을진행하실수있습니다 기관현황및자체점검결과의수정등원활한관리를위해서는 개기관당여러명의담당자가중복하여등록하는일이발생하지않도록주의부탁드리겠습니다
More information[ 별표 2] 과태료의부과기준 ( 제 63 조관련 ) 1. 일반기준가. 위반행위의횟수에따른과태료부과기준은최근 3년간같은위반행위로과태료를부과받은경우에적용한다. 이경우위반행위에대하여과태료부과처분을한날과다시같은위반행위를적발한날을각각기준으로하여위반횟수를계산한다. 나. 안전행정부장관또는관계중앙행정기관의장은다음의어느하나에해당하는경우에는제2호에따른과태료부과금액의 2분의
More information3 삭제요구 4 처리정지요구 2. 제 3 조 1 항에따른권리행사는회사에대해개인정보보호법시행규칙별지제 8 호서식에 따라서면, 전자우편, 모사전송 (FAX) 등을통하여하실수있으며회사는이에대해지체없이 조치합니다. 3. 정보주체가심각한개인정보의오류등에대한정정또는삭제를요구한경우
개인정보처리방침 ( 주 ) 아프리카티비 ( 이하 회사 라한다 ) 는개인정보보호법에따라이용자의개인정보보호및 권익을보호하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같이 개인정보처리지침을수립 공개합니다. 제1조 ( 개인정보의처리목적 ) 회사는다음의목적을위하여개인정보를처리합니다. 처리하고있는개인정보는다음의목적이외의용도로는이용되지않으며, 이용목적이변경되는경우에는개인정보보호법에따라별도의동의를받는등필요한조치를이행할예정입니다.
More information목차 Ⅰ. 개인정보의안전성확보조치기준 1 Ⅱ. 개인정보의안전성확보조치기준해설 9 [ 제1조 ] 목적 10 [ 제2조 ] 정의 12 [ 제3조 ] 안전조치기준적용 26 [ 제4조 ] 내부관리계획의수립 시행 28 [ 제5조 ] 접근권한의관리 41 [ 제6조 ] 접근통제 4
개인정보의안전성확보조치기준 해설서 2016. 12. 목차 Ⅰ. 개인정보의안전성확보조치기준 1 Ⅱ. 개인정보의안전성확보조치기준해설 9 [ 제1조 ] 목적 10 [ 제2조 ] 정의 12 [ 제3조 ] 안전조치기준적용 26 [ 제4조 ] 내부관리계획의수립 시행 28 [ 제5조 ] 접근권한의관리 41 [ 제6조 ] 접근통제 46 [ 제7조 ] 개인정보의암호화 55
More information개인정보보호지침 개인정보보호지침 제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영
제 6 장영상정보처리기기설치 운영 제 1 절영상정보처리기기의설치 제61조 ( 적용범위 ) 이장은본교가공개된장소에설치 운영하는영상정보처리기기와이기기를통하여처리되는개인영상정보를대상으로한다. 제62조 ( 영상정보처리기기운영 관리방침 ) 1 영상정보처리기기를설치 운영할경우다음각호의사항을포함한영상정보처리기기운영 관리방침을수립하여야한다. 1. 설치근거및설치목적 2. 설치대수,
More informationFOCUS 3 개인정보보호를위한 개인정보의안전성확보조치기준 개정 FOCUS 문봉주 ** 행정자치부 는최근개인정보유출사고나모바일기기를활용한개인정보처리확산에대응하기위해 개인정보의안전성확보조치기준 ( 행정자치부고시제2014-7호 ) 을개정 ( ) 고시하였다
3 개인정보보호를위한 개인정보의안전성확보조치기준 개정 문봉주 ** 행정자치부 는최근개인정보유출사고나모바일기기를활용한개인정보처리확산에대응하기위해 개인정보의안전성확보조치기준 ( 행정자치부고시제2014-7호 ) 을개정 (2014.12.30.) 고시하였다. 본고에서는고시에서중점개정된내 외부직원, 홈페이지등개인정보유출사고예방및방지, 모바일기기이용확대에따른보호조치강화등에대한내용을중심으로기업의자율적보호조치를강화하는세부적인조치방안을확인하고자한다.
More information개인정보취급방침 제정 개정 개정 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이
개인정보취급방침 제정 2015.05.26 개정 2016.01.18 개정 2017.05.23 베스타스자산운용 ( 주 )( 이하 " 회사 " 이라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인 정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보취급방침을수립 공개합니다. 제1조 ( 개인정보의처리목적 ) 회사는다음의목적을위하여개인정보를처리합니다.
More information개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인
개인정보수집 제공동의서작성가이드라인 업무처리에필요한개인정보파악 처리하고자하는업무에꼭필요한최소한의개인정보는어떤것들이있는지파악합니다 고유식별정보나민감정보는일반개인정보와구분하여처리하여야하므로처리하고자하는개인정보중에고유식별정보나민감정보가있는지확인해야합니다 개인정보의보유기간확인 개인정보처리방침이나관련법령등을통해수집이용할개인정보의보유기간을확인합니다 일시적인개인정보수집
More information[ 목차 ]
빅데이터개인정보보호가이드라인 해설서 ( 14.12.23. 제정, 15.1.1. 시행 ) [ 목차 ] < 주요내용 ( 요약 ) > 1. 목적 ( 가이드라인제 1 조 ) 2. 정의 ( 가이드라인제 2 조 ) - 1 - - 2 - - 3 - 3. 개인정보의보호 ( 가이드라인제 3 조 ) 비식별화조치 ( 제 1 항 ) - 4 - - 5 - - 6 - - 7 - 개인정보보호조치
More information김포시종합사회복지관개인정보보호관리지침 제정일 제 1 장총칙 제 1 조 ( 목적 ) 김포시종합사회복지관개인정보보호관리지침은개인정보보호법제29조 ( 안전조치의무 ) 내부관리계획의수립및시행의무에따라제정된것으로김포시종합사회복지관을이용하는이용자, 근로자, 후원자
김포시종합사회복지관개인정보보호관리지침 김포시종합사회복지관개인정보보호관리지침 제정일 2013. 1. 제 1 장총칙 제 1 조 ( 목적 ) 김포시종합사회복지관개인정보보호관리지침은개인정보보호법제29조 ( 안전조치의무 ) 내부관리계획의수립및시행의무에따라제정된것으로김포시종합사회복지관을이용하는이용자, 근로자, 후원자, 자원봉사자, 방문자등의개인정보를체계적으로관리하여개인정보가분실,
More information354-437-4..
357 358 4.3% 5.1% 8.2% 6.2% 5.6% 6% 5% 5.3% 96.1% 85.2% 39.6% 50.8% 82.7% 86.7% 28.2% 8.0% 60.0% 60.4% 18,287 16,601 (%) 100 90 80 70 60 50 40 86.6% 80.0% 77.8% 57.6% 89.7% 78.4% 82.1% 59.0% 91.7% 91.4%
More information중요문서 개인정보처리방침 제정 : 최근개정 : 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침
중요문서 개인정보처리방침 제정 : 2012.03.23 최근개정 : 2018.01.02 제1조 ( 목적 ) 신한아이타스 ( 이하 회사 라한다 ) 는개인정보보호법제30조에따라정보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리방침을수립 공개한다. 1 회사는다음의목적을위하여개인정보를처리한다. 개인정보는다음의목적이외의용도로는이용되지않으며,
More information슬라이드 1
2016 년개인정보보호법기술적 관리적조치방앆 김종표 ( 한국인터넷짂흥원개인정보기술팀장 ) 1 CONTENTS 1 개인정보유출및기술적 관리적보호조치통계 2 개인정보기술적 관리적보호조치분야 3 개인정보의안전성확보조치사항 4 의료기관의개인정보안전성확보조치사항 2 원인별유형별산업별 58% 53% 43% * 출처 : Findings from the 2015 BREACH
More information개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 ( 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다
개인정보처리방침 제1조 ( 개인정보의처리목적 ) 1 정보통신정책연구원 ( 이하 연구원 이라한다 ) 은개인정보의처리목적에필요한최소한의개인정보를처리하고있으며, 연구원홈페이지 (www.kisdi.re.kr) 또는소관부서의홈페이지에게재하여정보주체가확인할수있도록안내를하고있습니다. 2 연구원은고유식별정보및민감정보를수집하지않으며, 연구원홈페이지에서수집하는개인정보항목은없음을알려드립니다.
More information2018년 10월 12일식품의약품안전처장
2018년 10월 12일식품의약품안전처장 - 1 - - 2 - - 3 - - 4 - - 5 - - 6 - - 7 - - 8 - - 9 - - 10 - - 11 - - 12 - - 13 - - 14 - - 15 - - 16 - - 17 - - 18 - - 19 - - 20 - - 21 - - 22 - - 23 - - 24 - - 25 - - 26 - - 27
More information개인정보처리방침 ( 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교
개인정보처리방침 (2017.7.24. 개정 ) 한국교육개발원 ' 방송통신중 고등학교운영센터 ( 이하 운영센터 )' 에서취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, < 방송중 고사이버교육시스템 > 은이러한법령의규정에따라수집 보유및처리하는개인정보를소관업무의적절한수행과이용자의권익을보호하기위해적법하고적정하게취급할것입니다.
More information동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있
동서울대학교개인정보처리방침 2012. 04. 02 동서울대학교 동서울대학교개인정보처리방침 동서울대학교 이하본교 는개인정보보호법제 조에따라정보주체의개인정보 를보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여 다음과같이개인정보처리지침을수립 공개합니다 제 조 개인정보의처리목적 본교는다음의목적을위하여개인정보를처리합니다 처리하고있는개인정보는다음의목적이외의용도로는이용되지않으며
More information좀비PC
1. 수집 단계 1.1 개요 공공기관이 당 기관의 업무 수행을 위해 특정 목적으로 정보주체의 동의 및 법률적 근거로 를 적법하고 정당하게 수집하는 과정 및 절차를 의미 웹사이트에 회원 가입 시 주민등록번호, 이름, 주소, 직장, 이메일 등을 입력하는 과정은 의 수집 단계에 해당됨 1.2 침해유형 및 보호조치의 필요성 수집 단계에서의 대표적 침해유형은 본인 확인시
More information<4D6963726F736F667420576F7264202D205B46696E616C5DB0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A75FC1F7BFF8BFEB5F323031362E30332E3239>
피델리티자산운용 개인정보처리방침(채용/인사) 제정: 2013.09.01 개정: 2016.02.01 개정: 2016.03.29 1. 총칙 본 방침은 예비, 현재 및 과거 직원들(이하 "직원들")의 개인정보를 보호하고 불법적인 정보 의 유출로 인하여 발생되는 직원들의 피해를 방지하기 위하여 피델리티자산운용 (이하 "회 사")이 취하고 있는 개인정보의 처리(수집,
More information<4D F736F F D D504F4C2D32382DB0B3C0CEC1A4BAB820C3B3B8AEB9E6C4A720B0D4BDC3BFEB>
개인정보처리방침 - 1 - ( 주 ) 월급날개인정보처리방침 ( 주 ) 월급날 ( 이하 회사 라한다 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를보호하고이와 관련한고충을신속하고원활하게처리할수있도록하기위하여다음과같이개인정보처리지침을 수립 공개합니다. 제 1 조 ( 개인정보의처리목적 ) 회사는다음의목적을위하여개인정보를처리합니다. 처리하고있는개인정보는다음의목적이외의
More informationⅠ 감사개요 1. m, m (K-CRM 1) ) 12,808 (,, ). 2. m - : (5 ) - ; (9 ) m : m : 10 ( 5 ) m : 5 1) K-CRM (Kosha Knowledge-Cus
특정감사결과보고서 - 개인정보등내부정보관리실태 - 2012. 6. Ⅰ 감사개요 1. m, m (K-CRM 1) ) 12,808 (,, ). 2. m - : 2012.05.07 05.11.(5 ) - ; 2012.05.21 06.01.(9 ) m : m : 10 ( 5 ) m : 5 1) K-CRM (Kosha Knowledge-Customer Relation
More information연구원은법령에따른개인정보처리 보유또는정보주체로부터동의받은개인정보를처리및보유합니다. 각각의개인정보처리및보유기간은다음과같습니다. 1) 연구원내부방침에의한정보보유사유가. 부정이용기록 ( 비정상적서비스이용기록 ) - 보존이용 : 부정이용방지 - 보존기간 : 6개월 2) 관계법
개인정보처리방침 (2016.10.15~2018.06.30) LG경제연구원 ( 이하 ' 연구원 ') 은개인정보보호법에따라이용자의개인정보보호및권익을보호하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같은처리방침을두고있습니다. 연구원은개인정보처리방침을개정하는경우웹사이트공지사항 ( 또는개별공지 ) 을통하여안내할것입니다. < 목차 > 1. 개인정보의처리목적 2.
More information바이오정보보호가이드라인 ( 안 ) < 추진배경 > ( 사례1) 미국연방인사관리처 (OPM) 의 DB가해킹되어미국전 현직공무원의지문정보약 560만건이유출 ( 15.6) ( 사례2) 위조실리콘지문캡처된얼굴 홍채사진등을이용하여스마트폰잠금해제를시연 Ⅰ. 개요 - 1 - Ⅱ. 적용범위 기술적처리 란 사진이나음성정보등은특정개인을식별또는인증하기위하여기술적으로 처리되는경우에한해서만바이오정보에해당
More information개인정보의기술적 관리적보호조치기준해설서 2017. 12. Ⅰ. 개인정보의기술적 관리적보호조치기준 개요 1. 개요 2. 법적근거 3. 제 개정연혁 4. 신 구조문대비표 - 1 - Ⅰ. 개인정보의기술적 관리적보호조치기준 개요 1. 개요 - 2 - 2. 법적근거 정보통신망법 제 28 조 ( 개인정보의보호조치 ) 제 64 조의 3( 과징금의부과등 ) 제 73 조
More information1. 상수도사업본부 개인정보 처리방침(내용_ ).hwp
상수도사업본부개인정보처리방침 서울특별시상수도사업본부는개인정보보호법제 30 조등관련법령상의개인정보보호규정을 준수하며, 개인정보처리방침은아래와같습니다. 이방침은서울특별시 개인정보처리방침 을따르며별도의설명이없는한, 상수도사업본부및산하사업소에서처리하는모든개인정보파일에적용됩니다. 다만, 소관업무처리를위해소속기관 ( 부서 ) 에서별도의개인정보처리방침을제정, 시행하는경우에는그에따르고,
More information2015 해설서 V1.1.hwp
위치정보의관리적 기술적보호조치 권고해설서 2015. 11. 방송통신위원회 (KCC) 와한국인터넷진흥원 (KISA) 은 위치정보의보호및이용등에관한법률 제16조및같은법시행령제20조에따라위치정보의누출 변조 훼손등을방지하기위해위치정보사업자및위치기반서비스사업자가준수해야하는관리적 기술적보호조치의구체적인기준을제시하고자 위치정보의관리적 기술적보호조치권고 를마련한바있습니다.
More information본 해설서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 법 이라 한다) 제28조제1항과 같은 법 시행령 제15조제6항에 근거한 개인정보의 기술적 관리적 보호조치 기준 이 개정 고시(2009.8.7)됨에 따라 - 동 기준의 각 조항별 주안점과 구체적인 사례를
2009. 9 본 해설서는 정보통신망 이용촉진 및 정보보호 등에 관한 법률 (이하 법 이라 한다) 제28조제1항과 같은 법 시행령 제15조제6항에 근거한 개인정보의 기술적 관리적 보호조치 기준 이 개정 고시(2009.8.7)됨에 따라 - 동 기준의 각 조항별 주안점과 구체적인 사례를 제시함으로써 해석상 오해의 소지를 없애고, - 동 기준에 대한 올바른 이해를
More information1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ), ( 集合物 ). 5., /38
1 1 [ ] ( ) 30 1 ( ) 31 1 ( ),. 2 [ ]. 1., ( ). 2.,,,,,,,,,,, ( 訂正 ),,,,, ( 破棄 ),. 3.. 4. ( 集合物 ). 5., 31. 6.. 7.. 8. 1/38 3 (CCTV). 9.,. 3 [ ] 1. 2,. 3,. 4. 5,. 6. 7. 8. 4 [ ]. 1. ( ), 2. 3. 4. 5. 6.
More information개인정보보호의 이해 및 안전한 관리 - 개인PC 및 스마트폰 개인정보보호-
개인정보보호의 이해와 안전한 관리 - 안전한 개인정보 관리- 2013. 6. 26 최 윤 형 (한국정보화진흥원) 1 안전한 개인PC 관리방법 목 차 2 안전한 스마트폰 관리방법 1. 안전한 개인PC 관리방법 정보통신 기기의 보안 위협요인 위협요소 웜, 바이러스, 악성코드, DDos공격침입, 네트워크 공격 휴대성, 이동성 오픈 플랫폼 3G, WiFi, Wibro
More information대림코퍼레이션은 ( 이하 ' 회사 ' 라칭함 ) 개인정보보호법, 정보통신망이용촉진및정보보호에관한법률 을준수하고있으며, 정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은개인정보처리방침을제정하고이를준수하고있습니다. 회사의 " 개인
대림코퍼레이션은 ( 이하 ' 회사 ' 라칭함 ) 개인정보보호법, 정보통신망이용촉진및정보보호에관한법률 을준수하고있으며, 정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은개인정보처리방침을제정하고이를준수하고있습니다. 회사의 " 개인정보처리방침 " 은관련법률및지침의변경또는내부운영방침의변경에따라변경될수있습니다. 회사의 " 개인정보처리방침
More informationZentralanweisung
DCKR Guideline 4.2 1/7 July 31, 2017 목 차 1 총칙... 2 2 개인정보의처리목적및처리하는개인정보의항목... 2 3 개인정보의보유기간및파기... 3 4 개인정보처리의위탁... 3 5 주민등록번호처리의제한... 4 6 정보주체의권리 의무및그행사방법에관한사항... 4 6.1 개인정보의열람... 4 6.2 개인정보의정정및삭제... 4
More information추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는
추계예술대학교개인정보처리방침 추계예술대학교 ( 이하본교 ) 는개인정보보호법제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록하기위하여다음과 같이개인정보처리지침을수립 공개합니다. 제1조개인정보의처리목적, 개인정보의처리및보유기간, 처리하는개인정보의항목개인정보의처리목적, 개인정보의처리및보유기간, 처리하는개인정보의항목에대한본교의개인정보파일등록사항공개는행정안전부개인정보보호종합지원포털
More information주식회사조비는 ( 이하 회사 라한다 ) 고객님의개인정보보호를모든업무절차의필수요소로 고려하고있으며, 개인정보보호법등관련법령상의개인정보보호규정을중시하고이를준수하 기위하여항상노력하는자세를견지하고있습니다. 회사는고객님의개인정보보호및권익을보호하고개인정보와관련한고객님의고충을원활하
주식회사조비는 ( 이하 회사 라한다 ) 고객님의개인정보보호를모든업무절차의필수요소로 고려하고있으며, 개인정보보호법등관련법령상의개인정보보호규정을중시하고이를준수하 기위하여항상노력하는자세를견지하고있습니다. 회사는고객님의개인정보보호및권익을보호하고개인정보와관련한고객님의고충을원활하 게처리할수있도록다음과같은처리방침을수립 공개합니다. 제1조 ( 개인정보의처리목적 ) 1 고객관리
More information암호내지2010.1.8
Contents 분류 안내서 해설서 해당팀명 발간년월 대상 수준 인터넷 진흥 인터넷 이용 활성화 정보보호 시스템 관리 한국인터넷진흥원(KISA) 안내서 해설서 시리즈 DNS 설정 안내서 시스템관리팀
More informationMicrosoft PowerPoint - 6.pptx
DB 암호화업데이트 2011. 3. 15 KIM SUNGJIN ( 주 ) 비에이솔루션즈 1 IBM iseries 암호화구현방안 목차 목 차 정부시책및방향 제정안특이사항 기술적보호조치기준고시 암호화구현방안 암호화적용구조 DB 암호화 Performance Test 결과 암호화적용구조제안 [ 하이브리드방식 ] 2 IBM iseries 암호화구현방안 정부시책및방향
More information분야 1. 개인정보의처리 ( 수집 이용 제공등 ) 점검지표점검항목판단기준 1.1 개인정보의수집 이용 진료 ( 조제 복약 ) 목적외로서면가입 ( 오프라인 ) 홈페이지 ( 온라인 ) 등을통한회원가입시동의는받고있는가? Seq: 1 서면및홈페이지등을통한회원가입 (
개인정보보호자가점검서비스 항목별세부내역 2016.06 사전체크질문 서면가입 ( 오프라인 ) 홈페이지 ( 온라인 ) 등을통한회원가 입을받고있습니까? 제외항목 1.1.1, 1.1.2, 1.2.1, 1.2.2 영상정보처리기기 (CCTV) 를설치운영하고있습니까? 2.3.1, 2.3.2, 2.3.3, 2.3.4 개인정보를목적외로이용하거나제 3 자에게제공하 고있습니까?
More information120330(00)(1~4).indd
도시개발법시행규칙 [ 별지제 5 호서식 ] 색상이어두운란은가작성하지않습니다. 접수번호 접수일자 성명 ( 법인의명칭및대표자성명 ) 주민등록번호 ( 법인등록번호 ) 전화번호 구역명 동의내용 구역면적 ( m2 ) 사업방식 시행자에관한사항 본인은 도시개발법 제4조제4항및영제6조제6항에따라환지방식의도시개발계획에대하여시행자등에게설명을듣고위내용 ( 개발계획수립과정에서관계기관협의및도시계획위원회의심의결과등에따라개발계획이변경되는경우를포함합니다
More information1. 주요시설의출입구에신원확인이가능한출입통제장치를설치할것 2. 집적정보통신시설을출입하는자의신원등출입기록을유지 보관할것 3. 주요시설출입구와전산실및통신장비실내부에 CCTV를설치할것 4. 고객의정보시스템장비를잠금장치가있는구조물에설치할것 2 사업자는제1항에따른보호조치를효율적
집적정보통신시설보호지침 [ 시행 2017.8.24] [ 과학기술정보통신부고시제 2017-7 호, 2017.8.24, 타법개 과학기술정보통신부 ( 사이버침해대응과 ) 02-2110-297 제 1 장총칙 제 1 조 ( 목적 ) 이지침은 정보통신망이용촉진및정보보호등에관한법률 ( 이하 " 법 " 이라한다 ) 제 법시행령제 37 조제 2 항에따라집적정보통신시설을운영
More information<B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A728BFCDC0CCBFA1BDBAC0E5292E687770>
제 장개인정보처리방침 제 조( 처리하는개인정보의항목, 처리목적, 처리및보유기간) 와이에스장특허법률사무소( 이하 당소 ) 가처리하는개인정보항목, 개인정보의처리목적, 처리및보유기간은다음과같습니다.. 고객개인정보 처리하는개인정보항목 개인정보의처리목적 보유및이용기간 성명( 국문, 영문), 주민등록번호( 외국인등록번호) 또는전 화( 자택, 사무소, 휴대전화), 주소(
More information< 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3. 악성코
월간악성코드은닉사이트탐지 동향보고서 (2 월 ) 2013. 03. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 9 3.
More information< FBFF9B0A320BEC7BCBAC4DAB5E520C0BAB4D0BBE7C0CCC6AE20C5BDC1F620B5BFC7E220BAB8B0EDBCAD283131BFF E302028C8A8C6E4C0CCC1F620BEF7B
월간악성코드은닉사이트탐지 동향보고서 (11 월 ) 2012. 12. 침해사고대응단 인터넷침해대응센터 < 목차 > 1. 악성코드은닉동향요약 1 2. 홈페이지은닉형악성코드통계 2 - 유포지탐지 국가별현황 2 - 대량경유지가탐지된유포지 TOP10 3 - 악성코드유형별비율 4 - 악성코드취약점유형별비율 4 - 악성코드수집및분석결과 5 - 경유지탐지 업종별비율 10
More information목차 1. 시스템요구사항 암호및힌트설정 ( 윈도우 ) JetFlash Vault 시작하기 ( 윈도우 ) JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault
사용자매뉴얼 JetFlash Vault 100 ( 버전 1.0) 1 목차 1. 시스템요구사항... 3 2. 암호및힌트설정 ( 윈도우 )... 3 3. JetFlash Vault 시작하기 ( 윈도우 )... 7 4. JetFlash Vault 옵션 ( 윈도우 )... 9 JetFlash Vault 설정... 9 JetFlash Vault 찾아보기... 10 JetFlash
More informationPowerPoint 프레젠테이션
목차 1. AirSCAN 제안배경 2. AirSCAN 소개 3. AirSCAN 레퍼런스 4. AirSCAN Case Study AirSCAN 제안배경 무선을 통한 해킹의 급증 스마트기기의 증가 = 무선 보안 Hole의 증가 비인가 스마트폰 테더링을 통한 악성코드 감염 스마트폰 테더링을 통한 핵심기술 정보 유출 AirSCAN 제안배경 정부차원의 무선보안 가이드라인
More information옹진군개인정보보호내부관리계획 번호개정연월내용비고 개인정보보호내부관리계획수립 제 6 조 ( 개인정보보호책임자, 분야별책임자및보호담당자의지정 ) - 부서장또는면 직속기관의장을분야별책임자로지정 제
옹진군개인정보내부관리계획개정 ( 안 ) 2018. 4 옹진군 http://w w w.ongjin.go.kr 옹진군개인정보보호내부관리계획 번호개정연월내용비고 1 2012. 5. 개인정보보호내부관리계획수립 2 2013. 1. 3 2015. 6. 4 2016. 6. 제 6 조 ( 개인정보보호책임자, 분야별책임자및보호담당자의지정 ) - 부서장또는면 직속기관의장을분야별책임자로지정
More information노트북 IT / 모바일 데스크탑 34 올인원PC 35 PC 소프트웨어 포터블SSD / SSD / 메모리카드 36 태블릿 37 휴대폰 39 PC 솔루션 IT / 모바일 IT / 모바일 노트북 29 삼성전자는 Windows 를 권장합니다. 삼성전자만의 편리하고 다양한 소프트웨어를 통해 초보자도 보다 쉽고 빠르게 이용 가능합니다. Easy Settings 삼성 패스트
More information외이용등의목적, 목적외이용등을한개인정보의항목 제 4 조. 개인정보처리의위탁에관한사항 < 개인정보열람, 정정 삭제, 처리정지등청구절차 > 1 부산지방우정청은원활한개인정보업무처리를위하여다음과같이개인정보처리업무를위탁하고있습니다. 1. 청사관리및금융창구경비를위한업무위탁 : (
부산지방우정청개인정보처리방침 부산지방우정청이취급하는모든개인정보는개인정보보호법등관련법령상의개인정보보호규정을준수하여이용자의개인정보보호및권익을보호하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같은처리방침을두고있습니다. 제1조. 개인정보의처리목적부산지방우정청은대국민서비스제공및민원처리, 소관업무수행등의목적으로필요에의한최소한으로개인정보를수집하고있습니다. 제2조.
More information슬라이드 1
개인정보침해신고및상담접수 200,000 100,000 0 25,965 39,811 35,167 54,832 166,801 122,215 2007 2008 2009 2010 2011 2012 타법률에특별한규정없는경우 개인정보보호법에따름 의료법등 의료 신용정보의이용및보호에관한법률 타법률에특별한규정있는경우 해당법률규정에따름 ( 정보통신망법, 신용정보법, 의료법,
More information신 재생에너지공급의무화 (RPS) 제도 Contents - 목차 - 1. 신에너지및재생에너지개발 이용 보급촉진법령 2. 신 재생에너지공급의무화제도관리및운영지침 3. 공급인증서발급및거래시장운영에관한규칙 신에너지및재생에너지 개발 이용 보급촉진법령 신 재생에너지공급의무화 (RPS) 제도 5 법률시행령시행규칙 신에너지및재생에너지개발 이용 보급촉진법 신에너지및재생에너지개발
More information한국교육개발원 주민등록번호, 학번, 성명, 국적, 학적변동일자, 전공, 입학정보, 학위번호, 졸업일자, 이메일, 출신고교 졸업생관리 년 1 회 병무청이름, 주민등록번호, 연락처, 주소, 직업, 군번, 복무사항예비군자원관리년 1 회 국가평생교육진흥원주민등록번호, 성명,
개인정보처리방침 한국성서대학교 ( 이하 ' 본교 ') 는이용자의개인정보를중요시하며, 개인정보보호법에따라이용자의 개인정보보호및권익을보호하고개인정보와관련한이용자의고충을원활하게처리할수있도록 다음과같은개인정보처리방침을두고있습니다. 본교는개인정보처리방침을통하여이용자가제공하는개인정보가어떠한용도와방식으로이용되 고있으며, 개인정보보호를위해어떠한조치가취해지고있는지알려드리며,
More information제 1 장가이드라인개요 1. 적용대상및범위 목 제 1 장가이드라인개요 차 적용대상 : 뉴미디어서비스제공자및뉴미디어서비스이용자 - 뉴미디어서비스제공자 ( 이하 서비스제공자 라한다 ) 란정부통합전산센터 ( 클라우드컴퓨팅서비스 ), 다음 ( 마이피플 ), 네이버 ( 미투데이
뉴미디어서비스 개인정보보호가이드라인 뉴미디어서비스이용 제공시개인정보침해사고 예방을위해준수해야할사항에대한가이드라인 제시를목적으로합니다. 2012. 1. 뉴미디어서비스 (New Media service) 란클라우드 컴퓨팅서비스, 소셜네트워크서비스, 소셜커머스 서비스, 스마트폰활용서비스를의미함 행정안전부 제 1 장가이드라인개요 1. 적용대상및범위 목 제 1 장가이드라인개요
More information목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 국외표준및규격 국내표준및규격 기타 2 4. 정의 전자서명법용어정의 용어의정의 용어의효력 2 5. 약어 3 6. 사용자인증 3 7. 전송채널
무선단말기와 PC간공인인증서전송을위한기술규격 Certificate Transmission between PC to Mobile Device v2.10 2012 년 11 월 목 차 1. 개요 1 2. 규격의구성및범위 1 3. 관련표준및규격 1 3.1 국외표준및규격 1 3.2 국내표준및규격 1 3.3 기타 2 4. 정의 2 4.1 전자서명법용어정의 2 4.2 용어의정의
More information슬라이드 1
개 인 정 보 홍길동 출근 ~( 교통카드, CCTV) 이름, 계좌, 카드번호, 영상 오늘의이슈?(SNS) ID, PW, 사진, 동영상, 빅데이터 사무실출입 ( 전자카드 ) 이름, 직번 점심식사 ( 신용카드, 포인트카드 ) 이름, 계좌, 연락처, 위치정보 업체와회의 ( 명함교환 ) 이름, 전화번호, 핸드폰번호, 이메일 일하자!( 그룹웨어 ) ID, PW, 인터넷이용기록
More information<C7D0BCFAC1A4BAB8BFF820C7D0BCFAC1A4BAB8BCADBAF1BDBA20B0B3C0CEC1A4BAB8C3B3B8AEB9E6C4A72E687770>
학술정보원학술정보서비스개인정보처리방침 연세대학교학술정보원 ( 이하 학술정보원 이라함 ) 학술정보서비스가취급하는모든개인정보는관련법령에근거하여수집 보유및처리되고있습니다. 개인정보보호법 은이러한개인정보의취급에대한일반적규범을제시하고있으며, 학술정보원은이러한법령의규정에따라수집 보유및처리하는개인정보를공공업무의적절한수행과이용자의권익을보호하기위해적법하고적정하게취급할것입니다.
More information개인
< 개인정보처리자의개인정보처리방침 > 비엔피파리바은행서울지점 ( 이하 당행 ) 은개인정보보호법제30조와정보통신망이용촉진및정보보호에관한법률제27조의2에따라정보주체의개인정보보호및권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은처리방침을둔다. 정보주체 라함은처리되는정보에의하여식별될수있는사람으로서그정보의주체가되는사람을말한다. 제 1 조 ( 개인정보보호원칙
More information내부정보관리규정
화우테크놀러지 내부정보관리규정입니다. 내부정보관리규정은코스닥시장공시규정제 45조에따라신속 / 정확한공시및임원 / 직원의내부자거래방지를위하여회사내부정보의종합관리및적절한공개등을목적으로제정되어졌습니다. 내부정보관리규정 내부정보관리규정 제정 2009. 09. 01 제1장총칙 제1 조( 목적) 이규정은 자본시장과금융투자업에관한법률 ( 이하 법 이 라한다) 및제반법규에따른신속
More informationMicrosoft Word - src.doc
IPTV 서비스탐색및콘텐츠가이드 RI 시스템운용매뉴얼 목차 1. 서버설정방법... 5 1.1. 서비스탐색서버설정... 5 1.2. 컨텐츠가이드서버설정... 6 2. 서버운용방법... 7 2.1. 서비스탐색서버운용... 7 2.1.1. 서비스가이드서버실행... 7 2.1.2. 서비스가이드정보확인... 8 2.1.3. 서비스가이드정보추가... 9 2.1.4. 서비스가이드정보삭제...
More information정보보호컨설팅 제안서
개인정보보호를위한대응젂략 2011. 11. 0 /11 Ⅰ 배경및필요성 Ⅱ 개인정보보호법에따른대응방안 1 /11 1. 배경및필요성 > 1.1 배경 : 개인정보유출사례증가 개인정보유출사고가끊임없이발생하고있으며, 사법처리및비용발생, 대외신뢰도하락에영향을미치고있습니다. 개인정보침해민원건수 언론에보도된개인정보유출관련 NEWS 60,000 50,000 40,000 30,000
More information프랑스 (Loi n du 6 janvier 1978 relative a l'informatique, aux fichiers et aux libertes L'Assemblee nationale et le Senat ont adopte) 독일 (Bundesdat
[ 표 1] 각국의개인정보개념정의규정 국가 EU (Data Protection Directive) 영국 (Data Protection Act) 개인정보개념정의규정개인정보는 식별되거나식별가능한자연인 ( 이하, 정보주체 라한다 ) 에관한정보를말한다 ; 식별가능한개인이란신분증번호를통하여또는신체적, 생리적, 정신적, 경제적, 문화적, 사회적요소에관한하나또는그이상의정보를통하여직
More information제 4 조. 개인정보처리의위탁에관한사항 < 개인정보열람, 정정 삭제, 처리정지등청구절차 > 1 서울지방우정청은원활한개인정보업무처리를위하여다음과같이개인정보처리업무를위탁하고있습니다. 1. 청사관리및금융창구경비를위한업무위탁 : ( 재 ) 우체국시설관리단 2. 소포배달을위한업
서울지방우정청개인정보처리방침 총칙서울지방우정청이취급하는모든개인정보는개인정보보호법등관련법령상의개인정보보호규정을준수하여이용자의개인정보보호및권익을보호하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같은처리방침을두고있습니다. 제1조. 개인정보의처리목적서울지방우정청은대국민서비스제공및민원처리, 소관업무수행등의목적으로필요에의한최소한으로개인정보를수집하고있습니다. 제2조.
More information< C617720BBF3B4E3BBE7B7CAC1FD20C1A632B1C72E687770>
IT&Law 상담사례집 - 제 2 권 - IT&Law 상담사례집제2권 - 1 - 제 1 장프로그램저작권일반 - 2 - IT&Law 상담사례집제2권 - 3 - 제 1 장프로그램저작권일반 - 4 - IT&Law 상담사례집제2권 - 5 - 제 1 장프로그램저작권일반 - 6 - IT&Law 상담사례집제2권 - 7 - 제 1 장프로그램저작권일반 - 8 -
More information슬라이드 1
1. 망 분리 필요성 망 분리 사업의 중요성 정부에서는 공공 기관, 기업 등의 내부 자료 유출 및 외부로부터의 침입에 대비하여, 망 분리를 구축하도록 다양한 정책 및 법안을 발표하고 시행을 의무화하고 있습니다. 공공기관 망 분리 의무화 기업 망 분리 의무화 관계기관과 업계에 따르면 최근 국정원은 국가기관과 공공기관에 업무 망과 인터넷 망을 분리토록 하는 지침을
More information[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 ( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상
[ 별지제3 호서식] ( 앞쪽) 2016년제2 차 ( 정기ㆍ임시) 노사협의회회의록 회의일시 2016. 09. 12( 월) 10:00 ~ 11:30 회의장소본관 11층제2회의실 안건 1 임금피크대상자의명예퇴직허용및정년잔여기간산정기준변경 ㅇ임금피크제대상자근로조건악화및건강상이유로인한명예퇴직허용 ㅇ 정년연장형임금피크대상자의정년잔여기간변경은 퇴직적립금 소요재원증가로법정적립비율(80%)
More informationPringles International Operations SARL 싱가포르지점개인정보처리방침 Pringles International Operations SARL 싱가포르지점 ( 이하 회사 라합니다 ) 는정보통신망이용촉진및정보보호등에관한법률및개인정보보호법등국내의개인
Pringles International Operations SARL 싱가포르지점개인정보처리방침 Pringles International Operations SARL 싱가포르지점 ( 이하 회사 라합니다 ) 는정보통신망이용촉진및정보보호등에관한법률및개인정보보호법등국내의개인정보보호법령을철저히준수합니다. 또한 OECD 의개인정보보호가이드라인등국제기준을준수하여서비스를제공합니다.
More information-. BSE ( 3 ) BSE. ㆍㆍ ( 5 ). ( 6 ) 3., ( : , Fax : , : 8 177, : 39660).. ( ). ( ),. (
2018-231 ( 2017-4, 2017.1.25.) 46. 2018 7 00 ( ) 1., ㆍ ㆍ. 2.. ( 2 ) - - 1 - -. BSE ( 3 ) BSE. ㆍㆍ ( 5 ). ( 6 ) 3., 2018 9 00 ( : 054-912-0423, Fax : 054-912-0431, E-mail : ilsu@korea.kr, : 8 177, : 39660)..
More information1. 정보보호 개요
정보보호개론 16. VPN( 가상사설망 ) 1 목포해양대해양컴퓨터공학과 가상사설망 (VPN) (1) 공중망을사설망처럼이용할수있도록사이트양단간암호화통신을지원하는장치 원격사용자가공중망및인터넷을통해내부망의시스템사용시, 공중망구간에서의도청으로인한정보유출을방지하기위해사용자와내부망간암호화통신을지원 가상사설망의장점 저비용으로광범위한사설네트워크의구성이가능 기업네트워크관리및운영비용이절감됨
More informationHLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 :
HLS(HTTP Live Streaming) 이용가이드 1. HLS 소개 Apple iphone, ipad, ipod의운영체제인 ios에서사용하는표준 HTTP 기반스트리밍프로토콜입니다. 2. HLS 지원대상 - 디바이스 : iphone/ipad/ipod - 운영체제 : ios 3.0 이상 - 콘텐츠형식 : MP4 (H264,AAC ), MP3 * 디바이스별해상도,
More informationDB 암호화상식백과는 DB 암호화상식백과는 DB 암호화구축을고려하는담당자들이궁금해하는점들을모아만든자료 집입니다. 법률적인부분부터시스템적인부분까지, DB 암호화에대한궁금증을해소해드리겠습니 다. DB 암호화상식백과목차 1. DB 암호화기본상식 1) DB암호화근거법조항 2)
DB 암호화상식백과 한권으로끝! DB 암호화구축담당자를위한 DB 암호화 상식백과 책속부록 DB 보안관련법정리본 DB암호화컨설팅책속문의부록이규호컨설턴트 DB 관련법 khlee@comtrue.com 정리본 02-396-7005(109) 박동현컨설턴트 dhpark@comtrue.com 02-396-7005(106) 컴트루테크놀로지서울시마포구성암로 330 DMC 첨단산업센터
More information명동예술극장 개인정보 처리방침
명동예술극장개인정보처리방침 명동예술극장 ('www.mdtheater.or.kr' 이하 ' 극장 ') 은개인정보보호법제 조에따라정 보주체의개인정보를보호하고이와관련한고충을신속하고원활하게처리할수있 도록하기위하여다음과같이개인정보처리방침을수립 공개합니다 제 조 개인정보의처리목적 극장은다음의목적을위하여개인정보를처리합니다 처리하고있는개인정보는다음의목적이외의용도로는이용되지않으며
More informationCloud Friendly System Architecture
-Service Clients Administrator 1. -Service 구성도 : ( 좌측참고 ) LB(LoadBlancer) 2. -Service 개요 ucloud Virtual Router F/W Monitoring 개념 특징 적용가능분야 Server, WAS, DB 로구성되어 web service 를클라우드환경에서제공하기위한 service architecture
More informationSBR-100S User Manual
( 1 / 13 ) SBR-100S 모델에 대한 사용자 펌웨어 업그레이드 방법을 안내해 드립니다. SBR-100S 는 신규 펌웨어가 있을시 FOTA(자동업데이트) 기능을 통하여 자동 업그레이드가 되며, 필요시 사용자가 신규 펌웨어를 다운받아 수동으로 업그레이드 할 수 있습니다. 1. 준비하기 1.1 연결 장치 준비 펌웨어 업그레이드를 위해서는 SBR-100S
More information제2조 ( 개인정보의처리및보유기간 ) 1 관세청은법령에따른개인정보보유 이용기간또는정보주체로부터개인정보를수집시에동의받은개인정보보유 이용기간내에서개인정보를처리 보유합니다. 2 각각의개인정보처리및보유기간은다음과같습니다. 1. 민원사무처리 : 민원처리종료후 3년 2. 정보통신
개인정보처리방침 관세청은 개인정보보호법 제 30 조에따라정보주체의개인정보를 보호하고이와관련한고충을신속하고원활하게처리할수있도록 하기위하여다음과같이개인정보처리방침을수립 공개합니다. 제1조 ( 개인정보의처리목적 ) 1 관세청은다음의목적을위하여개인정보를처리합니다. 처리하고있는개인정보는다음의목적이외의용도로는이용되지않으며, 이용목적이변경되는경우에는개인정보보호법제18조에따라별도의동의를받는등필요한조치를이행할예정입니다.
More information<28C0DABFAC29BDC0C1F6BAB8C8A3B9FDC0D4B9FDBFB9B0ED2E687770>
< 붙임 1> 환경부공고제2005-191호 습지보전법시행령 을개정함에있어국민에게미리알려의견을듣고자그취지와주요내용을 행정절차법 제41조의규정에의하여다음과같이공고합니다. 2005년 8월일환경부장관습지보전법시행령일부개정령 ( 안 ) 입법예고 1. 개정이유국가가수행하고있는습지보전에관한기능을국가와시 도가공동으로수행할수있도록 습지보전법 이일부개정 ( 법률제 7461호,
More informationMicrosoft PowerPoint - Ppt [읽기 전용]
I. 개요 II. 개인정보의기술적 ᆞ 관리적보호조치기준 공공기관의개인정보보호에관한법률 공공기관의정보공개에관한법률 전자정부법 주민등록법, 호적법등 공공행정 교육 정보통신 우리나라개인정보보호법률체계 초중등교육법 교육정보시스템의운영등에관한규칙등 정보통신망이용촉진및정보보호등에관한법률 통신비밀보호법 정보통신기반보호법 전기통신사업법등 금융 / 신용 의료 신용정보의이용및보호에관한법률
More information어린이집영상정보처리기기 설치 운영가이드라인 보건복지부 - 1 -
어린이집영상정보처리기기 설치 운영가이드라인 보건복지부 - 1 - 어린이집영상정보처리기기설치 운영가이드라인 Ⅰ 총칙 - 2 - - 3 - Ⅱ 영상정보처리기기의설치시준수사항 고해상도 (HD, High Definition - 4 - 구분가로픽셀 (A) 세로픽셀 (B) 값 (A*B) 해상도 640 480 307,200 30만화소 SD 1024 768 786,432
More information?.? -? - * : (),, ( 15 ) ( 25 ) : - : ( ) ( ) kW. 2,000kW. 2,000kW 84, , , , : 1,
기계 기구및설비설치또는변경시사업장안전성문제가걱정된다면? 제조업등유해 위험방지계획서로해결하세요! '14 9 13 10 13. ?.? -? - www.kosha.or.kr * : (),, ( 15 ) - 15 - ( 25 ) - 2 - : - : ( 2013-2 ) ( ) 10. 500kW. 2,000kW. 2,000kW 84,000 123,000 183,000
More information제주특별자치도교육청 개인정보 내부관리시행계획
탐라교육원 개인정보보호 내부관리 시행계획 2015. 10. 변화선도 탐 라 교 육 원 Tamna Education Training Institute 탐라교육원 개인정보보호 내부관리 시행계획 Ⅰ. 개인정보 보호책임자 등의 의무와 책임 1. 개인정보 보호책임자 등 지정 가. 탐라교육원의 개인정보의 업무를 총괄해서 책임질 개인정보 보호책임자는 총무부장 으로 지정한다.
More information[ 나이스평가정보 ( 주 ) 귀중 ] 나이스평가정보 ( 주 )( 이하 회사 ) 는 SK텔레콤 ( 주 ) 의업무를대행하여휴대폰본인확인서비스를제공함에있어고객으로부터개인정보를수집하고이용하기위해 정보통신망이용촉진및정보보호에관한법률 에따라서다음과같이본인의동의를받습니다. 1. 개
휴대폰개인정보수집, 이용동의 개인정보수집, 이용동의 [SK 텔레콤귀중 ] 본인은 SK 텔레콤 ( 주 )( 이하 회사 라합니다 ) 가제공하는본인확인서비스 ( 이하 서비스 라합니다 ) 를이용하기위해, 다음과같이 회사 가본인의개인정보를수집 / 이용하고, 개인정보의취급을위탁하는것에동의합니다. 1. 수집항목 - 이용자의성명, 이동전화번호, 가입한이동전화회사, 생년월일,
More information1. 기초사실 ( 생략 ) 2. 주위적청구원인 피고는개인정보유출을방지할주의의무가있음에도이를하지아니한중과실이있으며, 그에따라이사건개인정보가유출되어원고들에게손해가발생하였습니다. 이에정보통신망이용촉진및정보보호등에관한법률 ( 이하 정보통신망법 이라고함 ) 제32조제2항에따라손
소장 원고 1. E 안양시 OOO 2. F 고양시 OOO 원고들소송대리인피고주식회사 A 서울시강남구 OOO 대표이사김대표 법무법인정통 담당변호사정보호 손해배상청구의소 주위적청구취지 1. 피고는원고 E에게 165,000,000원, 원고 F에게 9,000,000원및위각금원에대한 2017.6.30. 부터이사건소장부본송달일까지는연 5%, 그다음날부터다갚는날까지는연
More information< Personal Information Handlers’ Privacy Policy on Processing (Handling) of Personal Information>
개인정보처리방침 맥쿼리자산운용 ( 이하 회사 ) 은개인정보보호법제 30 조및정보통신망이용촉진및정보보호등에관한법률제 7 조의 에따라개인정보보호및정보주체의권익을보호하고개인정보와관련한정보주체의고충을원활하게처리할수있도록다음과같은처리방침을두고있습니다. 제 1 조 ( 개인정보의처리목적 ) 회사는개인정보를다음각호의목적을위해처리합니다. 처리한개인정보는다음의목적외의용도로는사용되지않으며,
More information제공, 4대보험등법정보험의가입과근로기준법기타고용관계관련법령의준수, 균등한처우및기회제공, 보훈대상자확인및처우제공, 외국인근로자관련법령준수등회사에부과되는법적ㆍ행정적의무준수 E. 보안유지, 향상및점검 F. 향후회사영업의전부또는일부양도 ( 회사가포함된그룹의영업이양도되는경우포함
개인정보처리방침 광전자 ( 이하 회사 라고한다 ) 가취급하는모든개인정보는개인정보보호법등관련법령상규정을준수하여수집 보유 처리되고있습니다. 회사는계열사 AUY로하여금효과적인인력채용을위해채용업무를위탁하여운영하고있습니다. 수집한입사지원자의개인정보및입사지원정보는지원자가입사를희망하는회사의각계열사와공유합니다. 회사는개인정보보호법에따라이용자의개인정보보호및권익을보호하고개인정보화관련한이용자의고충을원활하게처리할수있도록다음과같은처리방침을두고있습니다
More information클라우드컴퓨팅 주요법령해설서 2017. 11. 목차 3... 5 I... 15 II... 39 1. 공공분야... 41 2. 금융분야... 71 3. 의료분야... 81 4. 교육분야... 95 5. 신산업등기타분야... 101 III... 109 요약문 5, 15 3, 1 16~ 18 15 11 16 4, 16 7,,, 5 16 5, 16 7~10,,,
More information<3035313230325FBBE7B0EDB3EBC6AE5FB5F0C6FAC6AEC6D0BDBABFF6B5E5C3EBBEE0C1A128BCF6C1A4292E687770>
네트워크 장비의 디폴트 로그인 패스워드 취약점 및 대책 2005. 11. 30 본 보고서의 전부나 일부를 인용시 반드시 [자료: 한국정보보호진흥원(KISA)]룰 명시하여 주시기 바랍니다. - 1 - 1. 개요 패스워드 관리는 보안의 가장 기본적인 사항으로 유추하기 어려운 패스워드를 사용하고, 주기적 으로 패스워드를 변경하는 등 패스워드 관리에 신경을 많이 쓰고
More informationii iv 1 3 5 7 9 11 13 15 17 19 21 23 25 27 29 31 33 35 2 3 4 5 1 3 6 37 제품군 제품분류 39 제출물관리대장 41 43 45 47 < 접수번호 > 관리번호 평가결과보고서 < 평가대상제품명 > 년월일 < 평가기관명 > 49 제 1 장개요 o 일반적으로다음의사항을포함한다. - 정보보호제품평가인증관련규정 (
More information신광초등학교는개인정보보호법에따라이용자의개인정보보호및권익을보호 하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같은 처리방침을두고있습니다. 제 1 조. 개인정보의처리목적및항목 개인정보는다음의목적을위해처리합니다. 처리한개인정보는다음의목적이외의 용도로는사용되지않으며이
신광초등학교는개인정보보호법에따라이용자의개인정보보호및권익을보호 하고개인정보와관련한이용자의고충을원활하게처리할수있도록다음과같은 처리방침을두고있습니다. 제 1 조. 개인정보의처리목적및항목 개인정보는다음의목적을위해처리합니다. 처리한개인정보는다음의목적이외의 용도로는사용되지않으며이용목적이변경될시에는사전동의를구할예정입니다. 개인정보파일명 업무분야 ( 보유목적 ) 보유부서명
More information슬라이드 1
개인정보보호위반사례및대응방안 2014 년 4 월 - 1 - 목 차 Ⅰ 개인정보보호위반사례 Ⅱ 개인정보보호방안 : 개인정보보호원칙및기준 - 2 - I. 개인정보보호위반사례 - 3 - 1. 개인정보침해실태 개인정보침해규모 < 개인정보침해민원추이 > 177,736 166,801 대규모개인정보침해사례 발생일발생기업피해규모사고원인 08. 2 옥션 1,800 만명해킹
More information해설서-앞(웹사이트개발운영을위한개인정보안내서)
안내 해설 제 호 웹사이트 개발 운영을 위한 개인정보보호 안내서 2009.11 한국인터넷진흥원 KISA 안내 해설 제2010-34호 웹 사이트 개발 운영을 위한 개인정보보호 안내서 2009.11 제 개정 이력 순번 제 개정일 변경내용 발간팀 연락처 1 2009.11 제정 개인정보보호기술팀 405-5214 2 3 4 목 차 웹 사이트 개발ᆞ운영을 위한 개인정보보호
More information목 차 목 차 Ⅴ. 개인정보보호의처리단계별 기술적 관리적안전조치 16 Ⅰ. 총칙 1 1. 목적 1 2. 적용범위 1 3. 용어정의 1 4. 개인정보보호원칙 3 Ⅱ. 내부관리계획의수립및시행 5 1. 내부관리계획수립및승인 5 2. 내부관리계획의공표 5 Ⅲ. 개인정보보호책임
개인정보내부관리계획 2017. 11. 수도권대기환경청 목 차 목 차 Ⅴ. 개인정보보호의처리단계별 기술적 관리적안전조치 16 Ⅰ. 총칙 1 1. 목적 1 2. 적용범위 1 3. 용어정의 1 4. 개인정보보호원칙 3 Ⅱ. 내부관리계획의수립및시행 5 1. 내부관리계획수립및승인 5 2. 내부관리계획의공표 5 Ⅲ. 개인정보보호책임자등지정 6 1. 개인정보보호책임자지정
More information지능형전력망의구축및이용촉진에관한법률시행 지능형전력망의구축및이용촉진에관한법률시행령 [ 시행 ] [ 대통령령제25840호, , 타법개 산업통상자원부 ( 전력진흥과 ) 제1장총칙 제 1 조 ( 목적 ) 이영은 지능형전력망의
령 [ 시행 2015.1.1.] [ 대통령령제25840호, 2014.12.9., 타법개 산업통상자원부 ( 전력진흥과 ) 044-203-5 제1장총칙 제 1 조 ( 목적 ) 이영은 지능형전력망의구축및이용촉진에관한법률 에서위임된사항과그시행에필 규정함을목적으로한다. 제 2 장지능형전력망기본계획등 제2조 ( 지능형전력망기본계획의수립및시행등 ) 1 산업통상자원부장관은
More information목차 Ⅰ. 추진배경 1 Ⅱ. 개인정보수집원칙 2 Ⅲ. 개인정보처리자조치요령 3 1. 필요최소한개인정보수집 3 2. 정보주체의실질적동의권보장 8 3. 고유식별정보및민감정보처리제한 12 < 참고 > 개인정보수집이용동의서 ( 예시 )
- 불필요한개인정보수집관행개선을위한 - 개인정보수집최소화가이드라인 2016. 11. 행정자치부 목차 Ⅰ. 추진배경 1 Ⅱ. 개인정보수집원칙 2 Ⅲ. 개인정보처리자조치요령 3 1. 필요최소한개인정보수집 3 2. 정보주체의실질적동의권보장 8 3. 고유식별정보및민감정보처리제한 12 < 참고 > 개인정보수집이용동의서 ( 예시 ) Ⅰ. 추진배경 개인정보처리자의불필요한개인정보수집관행을없애는한편,
More information슬라이드 1
개인정보보호법주요내용 2015-1 - COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved. 1 법률적용대상및범위 법시행이전분야별개별법이있는경우에한해개인정보보호의무적용 ( 약 51만 ) - 공공기관 : 공공기관개인정보보호법 - 신용정보제공 이용자 : 신용정보법
More informationF120L(JB)_UG_V1.0_ indd
01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 전화끊기, 통화중메뉴사용하기 전화통화를종료하려면 통화중 ➌ ( 끊기 ) 를누르세요. 전원버튼으로통화종료 ( 124쪽 ) 로설정한경우통화중전원
More information- 2 -
남우창 김재웅 2012.01 하영식최남철 - 2 - 1. 2. - 1 - - 2 - - 3 - - 4 - - 5 - - 6 - - 7 - - 8 - Ⅱ. 1.. - 9 - . IT - 10 - - 11 - - 12 - - 13 - - 14 - - 15 - - 16 - - 17 - - 18 - - 19 - - 20 - - 21 - - 22 - - 23 - -
More information최종보고서-2011년_태양광등_FIT_개선연구_최종.hwp
Ⅰ Ⅱ - i - Ⅲ - ii - - iii - - iv - Ⅳ Ⅴ - v - 1 1 33 1.1 33 1.1.1. 33 1.1.2. 33 1.2 35 1.2.1. 35 1.2.2. 36 2 40 2.1 40 2.1.1. 40 2.1.2. 43 2.2 47 2.2.1. 47 2.2.2. 51 3 54 3.1 54 3.1.1. 54 3.1.2. 60 3.1.3.
More informationC O N T E N T S Ⅰ. 개요 1 1) 목적 1 2) 보호필요성 1 Ⅱ. 적용범위 2 1) 대상정보 2 2) 대상사업자 4 3) 법령과의관계 4 4) 재검토기한 4 Ⅲ. 바이오정보보호원칙 5 1) 비례성원칙 5 2) 수집 이용제한의원칙 6 3) 목적제한의원칙
바이오정보 보호 가이드라인 2017. 12. C O N T E N T S Ⅰ. 개요 1 1) 목적 1 2) 보호필요성 1 Ⅱ. 적용범위 2 1) 대상정보 2 2) 대상사업자 4 3) 법령과의관계 4 4) 재검토기한 4 Ⅲ. 바이오정보보호원칙 5 1) 비례성원칙 5 2) 수집 이용제한의원칙 6 3) 목적제한의원칙 10 4) 통제권보장의원칙 11 5) 투명성원칙
More information개인정보란? 개인위치정보란? 1 2 서비스기획및 UX 담당자를위한가이드라인 본론으로들어가기전에여기서잠깐! 개인정보란? 개인위치정보란? 이용자의개인정보및프라이버시보호는서비스기획단계부터반영이되어야합니다. 개인정보란생존하는개인에관한정보로서성명, 주민등록번호등에의하여특정개인을
인터넷기업의 목차 개인정보보호 가이드라인 Privacy Guideline For Online Service Providers 1 개인정보란? 개인위치정보란? p3 2 서비스기획및 UX 담당자를위한가이드라인 p4 3 개발및인프라담당자를위한가이드라인 p6 4 서비스운영및 CS 담당자를위한가이드라인 p8 5 인사 구매등지원부서를위한가이드라인 p9 Provided
More information