목 차 목 차 Ⅴ. 개인정보보호의처리단계별 기술적 관리적안전조치 16 Ⅰ. 총칙 1 1. 목적 1 2. 적용범위 1 3. 용어정의 1 4. 개인정보보호원칙 3 Ⅱ. 내부관리계획의수립및시행 5 1. 내부관리계획수립및승인 5 2. 내부관리계획의공표 5 Ⅲ. 개인정보보호책임

개인정보내부관리계획 2017. 11. 수도권대기환경청

목 차 목 차 Ⅴ. 개인정보보호의처리단계별 기술적 관리적안전조치 16 Ⅰ. 총칙 1 1. 목적 1 2. 적용범위 1 3. 용어정의 1 4. 개인정보보호원칙 3 Ⅱ. 내부관리계획의수립및시행 5 1. 내부관리계획수립및승인 5 2. 내부관리계획의공표 5 Ⅲ. 개인정보보호책임자등지정 6 1. 개인정보보호책임자지정 6 2. 개인정보분야별책임자지정 6 3. 개인정보보호담당자지정 7 4. 개인정보취급자지정 7 Ⅳ. 개인정보처리및관리방법 9 1. 개인정보수집제한 9 2. 개인정보의수집 9 3. 개인정보의이용및제공의제한 10 4. 제3자에게개인정보의처리업무위탁 11 5. 개인정보파일등록 12 6. 개인정보영향평가 12 7. 개인정보열람 정정 처리정지요구에대한조치 13 8. 개인정보의파기 14 9. 개인정보유출통지 15 1. 개인정보취급자접근권한관리 16 2. 접근통제 16 3. 개인정보의암호화 17 4. 접근기록의보관및점검 19 5. 보안프로그램의설치및운영 19 6. 물리적접근제한 20 7. 안전성확보조치계획 20 8. 재해및재난대비안전조치 20 Ⅵ. 개인정보보호교육및홍보 21 1. 개인정보보호인력에대한교육 21 2. 개인정보보호홍보및지도점검 21 Ⅶ. 개인정보침해대응및피해구제 22 1. 개인정보침해신고 22 2. 권익침해구제방법 22 3. 행정심판청구절차 23 붙임 1. 개인정보처리단계별준수사항및위반시벌칙사항 2. 개인정보처리자개인정보보호자가진단표 3. 개인정보파일목록 4. 위탁업체개인정보보호관리실태점검표 5. 접근권한검토보고서 6. 접속기록검토보고서 7. 개인정보처리방침 8. 영상정보처리기기운영 관리방침 9. 재해 재난대비개인정보처리시스템위기대응매뉴얼

Ⅰ 1. 목적 총칙 개인정보를처리하는직원이개인정보의안전성확보를위하여이행해야할 일반적관리사항과기술적 관리적보호조치등세부기준을제시하는것을 목적으로한다 2. 적용범위 개인정보내부관리계획 이하 내부관리계획 이라한다 은정보통신망을 통하여수집 이용 제공또는관리되는개인정보뿐만아니라 서면등 정보통신망이외의수단을통하여수집 이용 제공또는관리되는개인 정보에대하여서도적용하며그적용대상은다음과같다 수도권대기환경청전체직원및외부업체직원 수도권대기환경청에서관리중인개인정보처리시스템및영상정보처리기기 3. 용어정의 개인정보 란살아있는개인에관한정보로서성명 주민등록번호및영상 등을통하여개인을알아볼수있는정보 해당정보만으로는특정개인을 알아볼수없더라도다른정보와쉽게결합하여알아볼수있는것을포함한다 를말한다 개인정보처리 란개인정보의수집 생성 연계 연동 기록 저장 보유 가공 편집 검색 출력 정정 복구 이용 제공 공개 파기 그밖에이와유사한행위를말한다 정보주체 란처리되는정보에의하여알아볼수있는사람으로서그정보의주체가되는사람을말한다 개인정보보호책임자 란개인정보의처리에관한업무를총괄해서책임지는자를말한다 개인정보보호담당자 란개인정보보호책임자를보좌하여개인정보보호업무에대한실무를총괄하고관리하는자를말한다 개인정보처리자 란업무를목적으로개인정보파일을운용하기위하여스스로 또는다른사람을통하여개인정보를처리하는공공기관 법인 단체및개인등을말한다 개인정보취급자 란개인정보처리자의지휘 감독을받아개인정보를처리하는임직원 파견근로자 시간제근로자등을말한다 개인정보파일 이란개인정보를쉽게검색할수있도록일정한규칙에따라체계적으로배열하거나구성한개인정보의집합물 을말한다 정보통신망 이란 전기통신기본법 제 조제 호에따른전기통신설비를 이용하거나전기통신설비와컴퓨터및컴퓨터의이용기술을활용하여정보를수집 가공 저장 검색 송신또는수신하는정보통신체계를말한다 개인정보처리시스템 이란개인정보를처리할수있도록체계적으로구성한데이터베이스시스템을말한다 개인정보처리시스템에 등어플리케이션포함보호조치필요 영상정보처리기기 란일정한공간에지속적으로설치되어사람또는 사물등을촬영하거나이를유 무선망을통하여전송하는폐쇄회로텔레비전 및네트워크카메라등일체의장치를말한다 개인영상정보 란영상정보처리기기에의하여촬영 처리되는영상정보 중개인의초상 행동등사생활과관련된영상으로서해당개인의동일성여부를식별할수있는정보를말한다 비밀번호 란정보주체또는개인정보취급자등이개인정보처리시스템 업무용 컴퓨터또는정보통신망에접속할때식별자와함께입력하여정당한접속 권한을가진자라는것을식별할수있도록시스템에전달해야하는고유의문자열로서타인에게공개되지않는정보를말한다 접속기록 이란개인정보취급자등이개인정보처리시스템에접속하여수행한 업무내역에대하여식별자 접속일시 접속지를알수있는정보 수행업무등접속한사실을전자적으로기록한것을말한다 민감정보 란사상 신념 노동조합 정당등의가입 탈퇴 정치적견해 건강 성생활등에관한정보 그밖에정보주체의사생활을현저히침해할

우려가있는개인정보로유전자검사등의결과로얻어진유전정보 범죄경력 자료에해당하는정보를말한다 고유식별정보 란법령에따라개인을고유하게구별하기위하여부여된 식별정보로서주민등록번호 여권번호 운전면허의면허번호 외국인등록번호를 말한다 바이오정보 란지문 얼굴 홍채 정맥 음성 필적등개인을식별할수있는 신체적또는행동적특징에관한정보로서그로부터가공되거나생성된 정보를포함한다 란정보통신망을통해서버의도움없이개인과개인이직접연결되어파일을공유하는것을말한다 공유설정 이란컴퓨터소유자의파일을타인이조회 변경 복사등을할수있도록설정하는것을말한다 보조저장매체 란이동형하드디스크 메모리 플로피디스켓등자료를저장할수있는매체 로서개인정보처리시스템또는개인용컴퓨터등과용이하게분리할수있는 저장매체를말한다 개인정보의처리목적에필요한범위에서적합하게개인정보를처리하여야하며 목적외의용도로활용되어서는아니된다 개인정보의처리목적에필요한범위에서개인정보의정확성 완전성및최신성이보장되도록하여야한다 개인정보의처리방법및종류등에따라정보주체의권리가침해받을가능성과그위험정도를고려하여개인정보를안전하게관리하여야한다 개인정보처리방침등개인정보의처리에관한사항을공개하여야하며 열람청구권등정보주체의권리를보장하여야한다 정보주체의사생활침해를최소화하는방법으로개인정보를처리하여야한다 개인정보의익명처리가가능한경우에는익명에의하여처리될수있도록하여야한다 법에규정한책임과의무를준수하고실천함으로써정보주체의신뢰를얻기위하여노력하여야한다 위험도분석 이란개인정보처리시스템에적용되고있는개인정보보호를 위한수단과유출시정보주체의권리를해할가능성과그위험의정도를 분석하는행위를말한다 모바일기기 란무선망을이용할수있는 스마트폰 태블릿 등개인정보처리에이용되는휴대용기기를말한다 공개된무선망 이란불특정다수가무선접속장치 를통하여인터넷을이용할수있는망을말한다 4. 개인정보보호원칙 개인정보의처리목적을명확히하고 목적에필요한범위에서최소한의 개인정보만을적법하고정당하게수집하여야한다

Ⅱ 내부관리계획의수립및시행 Ⅲ 개인정보보호책임자등지정 1. 내부관리계획의수립및승인 개인정보보호담당자는개인정보의안전한처리를위하여개인정보를 관련한법령및관련규정을준수하도록다음사항을포함하여내부관리계획을수립하여야한다 개인정보보호책임자의지정에관한사항 개인정보보호책임자및개인정보취급자의역할및책임에관한사항 개인정보의안전성확보에필요한조치에관한사항 개인정보취급자에대한교육에관한사항 그밖에개인정보보호를위하여필요한사항 개인정보보호담당자는매년 회이상내부관리계획의타당성과개정 필요성을검토하고개정이필요하다고판단되는경우내부관리계획 개정안을작성하여개인정보보호책임자에게보고하고승인을받아야한다 타당성검토에고려되어야하는사항은아래와같다 개인정보보호법 개정등대내외적환경변화 적용기술의변화 내 외부이행점검결과등 2. 내부관리계획의공표 개인정보보호책임자는개인정보내부관리계획을수립하거나개정안을승인한후전직원에게공표하여야한다 내부관리계획은내부직원 비정규직포함 외부직원이언제든지열람할수있는방법으로비치하여야하며 변경사항이있을경우이를공지하여야한다 비치장소 기획과 공지방법 내부 전체공지 외부 홈페이지 1. 개인정보보호책임자지정 개인정보보호책임자 기획과장 이메일 전화번호 주소 경기안산시단원구원고잔로 수도권대기환경청 개인정보보호책임자의임무 개인정보보호계획의수립및시행 개인정보처리실태및관행의정기적인조사및개선 부서별정기점검결과및관련통계관리 감독 개인정보수집에서파기등전단계에대한실태조사실시 개인정보처리와관련한불만의처리및피해구제 개인정보유출및오용 남용방지를위한내부통제시스템의구축 개인정보보호교육계획의수립및시행 개인정보파일의보호및관리 감독 2. 개인정보분야별책임자지정 개인정보분야별책임자지정 개인정보보유부서장을분야별책임자로지정하여개인정보보호 책임자에게통보 개인정보분야별책임자의임무 개인정보에대한안전성을확보하고 취급자에대한교육과관리감독책임 기관자체 개인정보보호지침 을준수 개인정보취급자의의무등을준수토록교육등조치 처리정보의취급내역에대한로그 기록의무화 개인정보에대한입력 수정 삭제 열람사항및내역자인적사항 기록을의무화하여정보유출차단및책임소재명확화

개인정보보호업무관련사항을개인정보보호책임자에게수시보고 개인정보침해사례및개인정보취급관련자들의위법사항등 개인정보이용제공 열람정정삭제현황등의통계 개인정보위탁업체에대한관리ㆍ감독수행 3. 개인정보보호담당자지정 참고 구성도 개인정보보호위원회 행정자치부 ( 개인정보정책수립, 총괄조정 ) 기관의행정정보및정보통신보안업무를수행하는개인정보총괄부서의 업무담당자를지정 개인정보보호담당자 이메일 전화번호 주소 경기안산시단원구원고잔로 수도권대기환경청 개인정보보호담당자의임무 개인정보담당자 ( 기획과 ) 개인정보보호책임자 ( 기획과장 ) 분야별책임자 ( 개인정보보유부서장 ) 개인정보취급자 ( 개인정보취급담당자 ) 수도권 대기 환경청 개인정보보호계획및방침운영 개인정보침해대응 개인정보처리실태관리및각종자료취합 개인정보보호법관련업무전반 개인정보보호책임자가위임한개인정보보호와관련된업무 개인정보처리시스템과관련시스템간연계등과관련된업무 4. 개인정보취급자지정 행정서비스의업무를수행함에있어개인정보를취급하는담당자 개인정보취급자의임무 업무를수행함에있어처리되는개인정보에대한보호관리 개인정보의수집 보유 이용및제공 파기단계에서의관리 내부관리계획의준수및이행 개인정보의기술적 관리적보호조치기준이행 소속직원또는제 자에의한위법 부당한개인정보침해행위에대한 점검등

Ⅳ 개인정보처리및관리방법 고유식별정보 운전면허번호 외국인등록번호 여권번호 수집 목적외이용및제 자제공과관련된사항 1. 개인정보의수집제한 개인정보처리자는다음어느하나에해당하는경우를제외하고는주민등록번호를처리할수없다 법률 대통령령 국회규칙 대법원규칙 헌법재판소규칙 중앙선거관리위원회 규칙및감사원규칙에서구체적으로주민등록번호의처리를요구하거나 허용한경우 정보주체또는제 자의급박한생명 신체 재산의이익을위하여명백히 필요하다고인정되는경우 위항에준하여주민등록번호처리가불가피한경우로서행정자치부령 으로정하는경우 기본적인인권에관한민감한개인정보및고유식별정보 운전면허번호 외국인등록번호 여권번호 를수집하는것을금지한다 다만 정보주체에게 별도의동의를득하거나수집대상개인정보가명시된법률에근거한경우에는수집을허용한다 개인정보처리자는정보주체의개인정보를수집하는경우 적법하고공정한수단에의하여서비스제공에직접적으로관련되어필요한성명 연락처 주소등최소한의정보를수집하여야한다 2. 개인정보의수집 개인정보수집에따른관리방안은아래의각시기마다검토되어야한다 개인정보처리시스템신규구축및고도화 오프라인수집문서의신규및변경 법률등에의해수집하는개인정보항목의변경 그외자체감사등개인정보보호강화를위한활동수행시 개인정보처리자는개인정보를수집 온라인 오프라인 하는경우정보주체의동의를받아야한다 기본동의외별도로동의를받아야하는사항은다음과같다 민감정보수집 개인정보처리자는정보주체로부터개인정보보호법제 조제 항의규정에 의한동의를받고자하는경우에는미리다음각호의사항을서면또는 인터넷홈페이지등을통하여정보주체가알기쉽도록알려야하며 다음 각호의어느하나의사항이라도변경하는경우에도이를알리고동의를받아야한다 개인정보보호책임자의성명 소속부서 지위 전화번호 전자우편주소 기타연락처 개인정보의구체적인수집및이용목적 동의철회 열람또는정정요구등정보주체및법정대리인의권리와그행사방법 개인정보처리자가수집하고자하는개인정보항목 수집하는개인정보의보유 이용기간및법적근거등보유근거 기타개인정보에대한가공또는관리방식 동의를거부할권리가있다는사실및동의거부에따른불이익내용 개인정보처리자는만 세미만의아동을대상으로개인정보를수집하고자 할경우에는법정대리인의동의를받아야하며 이경우법정대리인의동의를받기위한최소한의정보는해당아동으로부터수집할수있다 홈페이지를통해수집할경우에는공공 을통하거나 홈페이지에별도의가입화면을제공하여야함 3. 개인정보의이용및제공의제한 수집한개인정보는수집목적의범위에서만이용할수있으나 수집목적 외로이용하여야하거나제 자에게제공하여야할경우에는다음사항을정보주체에게알리고동의를받아야한다 개인정보를제공받는자 개인정보를제공받는자의이용목적 제공하는 개인정보의항목 개인정보를제공받은자의개인정보보유및이용기간 동의를거부할권리가있다는사실및동의거부에따른불이익내용 환경부개인정보보호지침별지서식제 호서식에따른 개인정보의목적외이용및제 자제공대장 기록하고관리하여야한다

다음의경우에는개인정보를제 자에게제공할수있다 정보주체의동의를받은경우 법률에특별한규정이있거나법령상의무를 준수하기위하여불가피한경우 공공기관이법령등에서정하는소관업무를수행하기위하여불가피한경우 정보주체또는그법정대리인이의사표시를할수없는상태이거나주소불명 등으로사전동의를받을수없는경우로서명백히정보주체또는제 자의 급박한생명 신체 재산의이익을위하여필요하다고인정되는경우 통계작성및학술연구등의목적을위하여필요한경우로서특정개인을 알아볼수없는형태로제공하는경우 범죄수사 재판업무를위해필요한경우 4. 제 3 자에게개인정보의처리업무위탁 개인정보처리자가제 자에게개인정보의처리업무를위탁하는경우에는 환경부개인정보보호지침별지서식제 호에따른개인정보처리위탁계약서에의하여야한다 수탁자는위탁받은해당업무범위를초과하여개인정보를 이용하거나제 자에게제공금지 정보주체에게위탁사항공개 정보주체자에게알려야할내용 위탁하는업무의내용 개인정보처리업무를위탁받은처리자 관보또는인터넷홈페이지에지속적으로게재 홈페이지에게시할수 없는경우에는하단의방법으로공개 위탁자의부서등가장잘보이는장소에 일이상비치 정보주체에게발행하는간행물 메일등을통하여연 회이상발행 위탁자의무사항 개인정보의안전관리에관하여수탁자교육등감독 매월 붙임 위탁업체개인정보보호관리실태점검표 작성을통해 수탁자의개인정보처리현황등에대한사항을관리 감독하여야함 5. 개인정보파일등록 개인정보파일운용을시작한날부터 일이내에환경부개인정보 보호지침별지제 호서식을작성하여행정자치부개인정보보호종합 지원포털 에등록되어야하며등록절차는다음과같음 단계등록신청검토승인공개 수행주체 수행활동 개인정보보호분야별책임자 개인정보파일등록변경신청서작성및승인요청 개인정보보호책임자 검토및승인 ( 본부에요청 ) 행정자치부장관 ( 개인정보보호과 ) 개인정보보호종합지원포털을통한공개 등록된항목중하나라도변경된경우에는 일이내재등록하여야함 단 생성 변경이상시적으로변경되는경우에는매년분기마다변경등록하여야함 개인정보파일등록의예외사항은다음과같음 기관내부업무처리만을위해처리되는개인정보파일 자문회의 회의참석자 출입기자등 국가안전 범죄상수사 공소제기및공공기록물관리에관한법률등에 따라비밀로분류된파일 등영상정보처리기기를통해처리되는개인영상정보파일 6. 개인정보영향평가 개인정보영향평가대상 에해당되는개인정보파일의운용으로인하여 정보주체의개인정보침해가우려되는경우에는그위험요인의분석과 개선사항도출을위한개인정보영향평가를영향평가기관에의뢰하여실시하여야한다 정보시스템구축고도화시에는설계단계에서영향평가수행여부검토

개인정보영향평가대상 구축 운용또는변경하려는개인정보파일로서 만명이상의정보주체에관한민감정보또는고유식별정보의처리가수반되는개인정보파일 구축 운용하고있는개인정보파일을해당공공기관내부또는외부에서구축 운용하고있는다른개인정보파일과연계하려는경우로서연계결과 만명 이상의정보주체에관한개인정보가포함되는개인정보파일 구축 운용또는변경하려는개인정보파일로서 만명이상의정보주체에관한개인정보파일 개인정보영향평가를받은후에개인정보검색체계등개인정보파일의운용체계를변경하려는경우그개인정보파일 영향평가시고려사항 처리하는개인정보의수 개인정보의제 자제공여부 정보주체의권리를해할가능성및그위험정도 민감정보또는고유식별정보의처리여부 개인정보보유기간 영향평가방법은행정자치부장관 개인정보보호과 이지정한평가기관에의뢰하고세부내용은 개인정보영향평가에관한고시 에따른다 영향평가결과를통지받은후 개월이내에행정자치부장관에제출되어야한다 7. 개인정보열람 정정 처리정지요구에대한조치 개인정보의열람 정정 처리정지요구의접수는각개인정보를처리 하는분야별개인정보책임자및취급자가수행하며 관련사항을개인정보처리방침을통해공개하여야한다 개인정보처리자는정보주체가방문하거나서면전화 전자우편 전자서명 또는이용자 등을이용하여개인정보의열람 정정 처리정지를 요구하는경우에는본인여부를확인하고법령에다르게규정하고있는 경우를제외하고는개인정보를파기하는등지체없이필요한조치를취하여야한다 인터넷홈페이지를통하여주된서비스를제공하는개인정보처리자는 정보주체가인터넷홈페이지에서열람 정정 처리정지요구를수행할수있도록개인정보처리방침에정보주체의권리행사방법을명시하여야한다 개인정보처리자는정보주체의동의철회에따라정보주체의개인정보를 파기하는등의조치를취한경우에는그사실을환경부개인정보보호지침별지서식제 호 제 호를작성하여정보주체에게지체없이통지하여야한다 개인정보처리자는다른법률에명시되어있거나타인의이익을부당하게 침해할우려가있는경우정보주체의열람 정정 처리정지요구를거절할수있으며 이경우환경부개인정보보호지침별지서식제 호 제 호의내용을작성하여지체없이통지하여야한다 정보주체가열람 정정 처리정지요구에대한거절조치에이의를제기할 경우 개인정보처리자는해당사유를서면 유선전화등을통해관련사항을보다상세하게안내해야한다 8. 개인정보의파기 홈페이지회원의개인정보는회원탈퇴시즉시파기하여야한다 또한 사이트의운영종료 보유기간경과 개인정보처리목적달성등개인정보가불필요하게되었을경우에도지체없이파기하여야한다 개인정보를파기할때에는복구또는재생되지아니하도록조치하여야하며파기방법은다음과같다 전자적 문서 개인정보형태 형태 등저장매체 파쇄기를통한파쇄또는소각 파기방법 개인정보단건파기 테이블명 조건절예 임꺽정 개인정보저장테이블전체파기 테이블명테이블자체를파기하는명령어로사용에주의를요함 인증을득한파일영구삭제프로그램이용하여삭제물리적인파기권장 물리적인파기가불가능한경우 인증을득한파일영구삭제프로그램이용하여삭제 업체명 제품명 연락처 하우리 에스엠에스 파이널데이터 개인정보를파기하지아니하고보존하여야하는경우에는해당개인정보또는개인정보파일을다른개인정보와분리하여서저장 관리하여야한다

9. 개인정보유출통지 Ⅴ 개인정보보호의처리단계별기술적 관리적안전조치 개인정보처리자는개인정보가유출되었음을알게되었을때에는지체없이해당정보주체에게다음사실을알려야한다 정보주체자에게알려야할내용 유출된개인정보의항목 유출된시점과그경위 유출로인하여발생할수있는 피해를최소화하기위하여정보주체가할수있는방법등에관한정보 개인 정보처리자의대응조치및피해구제절차 정보주체에게피해가발생한경우 신고등을접수할수있는담당부서및연락처 다만 유출된개인정보의확산및추가유출을방지하기위하여접속경로의 차단 취약점점검 보완 유출된개인정보의삭제등긴급한조치가필요한경우에는그조치를취한후지체없이정보주체에게알릴수있다 만명이상의개인정보가유출된경우서면등의방법과함께인터넷 홈페이지에 일이상게재하여야한다 단 인터넷홈페이지를운영하지않을경우에는보기쉬운장소에 일이상게시하여야한다 개인정보처리자는개인정보가유출된경우그피해를최소화하기위한대책을마련하고필요한조치를하여야한다 유출신고방법및절차는다음과같다 유출사고발생시개인정보보호분야별책임자는개인정보유출신고서 환경부개인정보보호지침별지제 호서식 를작성하여환경부본부 개인정보보호책임자에게제출 개인정보보호책임자는 만명이상의정보주체에관한개인정보가유출된 경우행정자치부장관과전문기관 한국정보화진흥원 한국인터넷진흥원 에신고 1. 개인정보취급자접근권한관리 접근권한담당자는 붙임 5. 접근권한검토보고서 양식에따라각개 인정보처리시스템별로반기 1 회접근권한을검토하여야하며상세관리방안 은다음과같다. - 개인정보처리자는개인정보처리시스템에대한접근권한을업무수행에 필요한최소한의범위로정하여업무담당자에따라차등부여하여야한다. - 개인정보처리자는전보또는퇴직등인사이동이발생하여개인정보 취급자가변경되었을경우지체없이개인정보처리시스템의접근권한을 변경또는말소하여야한다. - 개인정보처리자는개인정보처리시스템에대한접근권한의부여, 변경 또는말소에대한내역을기록하고, 그기록을최소 3 년간보관하여야한다. - 개인정보처리자는개인정보처리시스템에접속할수있는사용자계정을 발급하는경우, 개인정보취급자별로사용자계정을발급하여야하며, 다른개인정보취급자와공유되지않도록하여야한다. - 개인정보처리자는개인정보취급자또는정보주체가안전한비밀번호를 설정하여이행할수있도록비밀번호작성규칙을수립하여적용하여야한다. 2. 접근통제 비밀번호관리 개인정보처리자는개인정보취급자또는정보주체가안전한비밀번호를설정하여이행할수있도록비밀번호작성규칙을수립하여적용하여야한다 접근통제시스템설치및운영방안 개인정보처리자는정보통신망을통한불법적인접근및침해사고방지를위해침입차단시스템 또는침입방지시스템 등을설치 운영하여야한다 개인정보처리시스템에대한접속권한을 주소등 으로제한하여인가받지않은접근을제한 개인정보처리시스템에접속한 주소등을재분석하여불법

적인개인정보유출시도를탐지 외부망으로부터개인정보처리시스템에대한접속은원칙적으로차단하 여야한다 다만 개인정보처리자가외부망을통해개인정보처리시스템에접속이필요한경우에는가상사설망 또는전용선등안전한접속수단을적용하여야한다 개인정보처리자는인터넷홈페이지에서다른법령에근거하여정보주체의 본인확인을위해성명 주민등록번호를사용할수있는경우에도정보주체의추가적인정보를확인하여야한다 추가적정보 아이핀 휴대폰 공인인증서 개인정보처리시스템또는업무용컴퓨터인경우 공유설정등을기본적으로 사용하지않는것이원칙이나 업무상꼭필요한경우에는권한설정등의조치를통해업무상꼭필요한자만접근할수있도록설정한다 공유설정등의사유를명확히명기하고기록 드라이브전체또는불필요한폴더가공유되지않도록조치 공유폴더에개인정보파일이포함되지않도록정기적으로점검 인터넷홈페이지를운영중인개인정보처리시스템의경우상단의조치사항을 필수적으로이행하고 장비등을통해접속자들의지속적인모니터링필요 개인정보처리시스템을이용하지않고단순히업무용컴퓨터에개인정보를 저장하는경우운영체제 나보안프로그램등에서제공하는접근통제기능을사용하여불법적인접근을차단할수있다 고유식별정보를처리하는개인정보처리자는인터넷홈페이지를통해 고유식별정보가유출 변조 훼손되지않도록연 회이상취약점점검 개인정보처리자는업무용모바일기기의분실 도난등으로개인정보가 유출되지않도록해당모바일기기에비밀번호설정등보호조치 3. 개인정보의암호화 개인정보보호법 제 조및제 조의 에근거하여보유중이거나신규로수집하는주민등록번호는모든구간에서필수적으로암호화하여야한다 개인정보보호법시행령 제 조 제 조의 및제 조제 항제 호에따라암호화가필요한개인정보및암호화방법은다음과같다 운전면허번호 외국인등록번호 여권번호등을내부망저장하는경우 개인정보영향평가또는위험도분석을통해암호화여부를결정할수 있으며위험도분석은 개인정보위험도분석기준및해설서 행정자치부 공고제 호 에의해수행되어야함 개인정보처리자는개인정보를암호화하는경우안전한암호알고리즘으로암호화하여저장하여야한다 특히 자체개발알고리즘과같이안전하지않은 알고리즘을사용하거나 비밀번호저장시양방향암호화알고리즘을 사용하지않아야함 주민등록번호를운영하는시스템에서검색키를사용하는경우 속도등 성능을고려하여일부정보만암호화조치를취할수있음 암호화제품은 환경부정보보안지침별표 정보시스템유형별도입요건 검증필암호모듈 을만족하는제품을선정하여야한다 전송구간암호화는 인증서를도입하여적용 암호화는구축환경의성능 안전성등을고려하여응용 방식 암호화제품도입중에서선택할필요가있으며 상세한내용은 한국인터넷진흥원 개인정보암호화조치안내서 를참조하여야함 암호화가필요한개인정보 고유식별정보 비밀번호 바이오정보 가식별 되는경우개인정보처리자는암호화계획을수립하여분야별개인정보책임자의승인을득한후적용하여야한다 고유식별정보를업무용컴퓨터에저장하여관리하거나 개인정보처리시스템 으로부터개인정보취급자의 에내려받아저장할때는안전한암호화 알고리즘이탑재된암호화소프트웨어등을이용하여암호화함으로써 불법적인노출및접근으로부터차단하여야한다.

4. 접근기록의보관및점검 접근권한담당자는 붙임 접속기록검토보고서 양식에따라각개인 정보처리시스템별로반기 회접속기록을점검하여야하며상세관리방안은다음과같다 개인정보취급자가개인정보처리시스템에접속하여개인정보를처리한경우 수행한업무내역에대하여식별자 접속일시 접속지를알수있는정보 수행업무등의접속기록을최소 개월이상보관하여야한다 개인정보취급자 명 등 이개인정보처리시스템을관리하는 경우 전자적로그를남기지않고 접속기록을수기로작성하여상급자의승인을받아도가능하다 접속기록항목예시 개인정보처리자는개인정보취급자의접속기록이위 변조및도난 분실되지않도록해당접속기록을안전하게보관하여야한다 정기적으로접속기록백업을수행하여개인정보처리시스템이외의별도의 보조저장매체나별도의저장장치에보관하여야함 접속기록에대한위 변조를방지하기위해 등과같은덮어 쓰기방지매체를사용하는것이바람직 접속기록을수정가능한매체 또는테이프등 에백업하는경우에는 무결성보장을위해위 변조여부를확인할수있는정보를별도의장비에 보관 관리할수있음 접속기록을 에보관하고 위 변조여부를확인할수있는정보 값 전자서명값등 는별도의 또는관리대장에보관하는방법으로관리할수있다 5. 보안프로그램의설치및운영 보안프로그램설치 운영현황및버전업그레이드계획은다음과같음 보안프로그램명업데이트주기버전업그레이드 / 교체계획 Ahn-Lab V3 매일없음 보안프로그램설치운영에따른관리방안은다음과같아야한다 백신소프트웨어등의보안프로그램은실시간감시등을위해항상 실행된상태를유지 백신소프트웨어등보안프로그램은일 회이상주기적업데이트 운영체제 응용프로그램의보안취약점을악용하는악성프로그램경보가 발령되었거나 응용프로그램 운영체제제작업체에서보안업데이트공지가있는경우에는감염및피해를막기위해즉시업데이트를실시하여야한다 6. 물리적접근제한 개인정보처리자는전산실 자료보관실등개인정보를보관하고있는물리적보관장소를별도로두고있는경우에는이에대한출입통제절차를수립 운영하여야한다 전산실을제한구역으로지정하여출입통제 잠금장치설치 개인정보처리자는개인정보가포함된서류 보조저장매체등을잠금장치가있는안전한장소에보관하여야한다 개인정보처리자는개인정보가포함된보조저장매체의반출입통제를위한보안대책을마련하여야한다 7. 안전성확보조치계획 개인정보보호법 제 조개정에따른안전성확보조치계획수립 8. 재해및재난대비물리적안전조치 개인정보처리자는화재 홍수등의재해 재난발생시붙임 재해 재난 대비개인정보처리시스템위기대응매뉴얼 의대응절차를준수하고정기적으로점검하여야한다 개인정보처리자는재해 재난발생시개인정보처리시스템백업및복구를위한계획을마련하여야한다

Ⅵ 개인정보보호교육및홍보 Ⅶ 개인정보침해대응및피해구제 1. 개인정보보호인력에대한교육 개인정보보호책임자등관리자는 회이상개인정보보호교육등에참석 개인정보보호담당자는미래창조과학부및행정자치부등에서실시하는개인정보보호교육을연간 시간이상의무적으로참석 분야별책임관은개인정보취급업무를처음시작하는자에게의무사항을주지시키고 수시또는정기적으로보안교육실시 개인정보보호책임자및분야별책임자는담당자부주의또는고의등의원인으로개인정보노출 유출사례가발생되지않도록조치 개인정보보호교육에다음의내용이포함될수있다 개인정보보호의중요성설명 내부관리계획의준수및이행 위험및대책이포함된조직보안정책 보안지침 지시사항 위험관리전략 개인정보시스템하드웨어및소프트웨어를포함한시스템의정확한사용법 개인정보의기술적관리적보호조치기준이행 개인정보보호위반을보고해야할필요성 개인정보보호업무의절차 책임 작업설명 개인정보보호관련자들의금지항목들 준수사항이행관련절차등 직원의개인정보보호교육기회제공 매뉴얼교재 컨텐츠 홍보영상물등을직장교육에활용 직원들의개인정보보호인식제고를위해자체교육을실시하고 교육기관에서운영하는프로그램에참석토록조치 2. 개인정보보호홍보및지도점검 개인정보보호관련추진지침및안내자료등을전직원을대상으로배포 개인정보관리실태를연 회이상정기적으로점검 1. 개인정보침해신고 개인정보처리자가개인정보를처리할때개인정보에관한권리또는 이익을침해받은사람은그침해사실을개인정보침해신고센터로신고할수있다 개인정보침해신고센터 한국인터넷진흥원개인정보침해신고센터 전화 국번없이 침해신고접수 웹사이트또는방문접수 2. 권익침해구제방법 1 차검토침해사실조사처리결과통보 < 간단 > - 상황답변종결 < 조사 법률검토필요 > - 접수사실통보 처리및조치 - 침해여부확인 - 침해기관방문및 서면조사 처리및조치 -온라인답변 (7일이내) - 신고인 개인정보주체는개인정보침해로인한구제를받기위하여개인정보 분쟁조정위원회 한국인터넷진흥원개인정보침해신고센터등에분쟁해결이나상담등을신청할수있다 기타개인정보침해의신고및상담에대하여는아래의기관에문의한다 개인정보침해신고센터 개인정보분쟁조정위원회 대검찰청사이버수사과 경찰청사이버안전국 국번없이 국번없이 국번없이

3. 행정심판청구절차 법제 조 개인정보의열람 제 조 개인정보의정정 삭제 제 조 개인 정보의처리정지등 의규정에의한요구에대하여공공기관의장이행한 처분또는부작위로인하여권리또는이익의침해를받은자는행정심판법이정하는바에따라행정심판을청구할수있다 붙임 구분 수집ㆍ이용 제공ㆍ위탁 개인정보 안전관리 정보주체 권익보호 파기 개인정보처리단계별준수사항및위반시벌칙사항 주요내용 처벌및벌칙 민감정보 ( 사상ㆍ신념ㆍ정당가입ㆍ건강등 ) 처리기준위반 ( 제23조 ) 5년이하징역또는 고유식별정보 ( 주민등록ㆍ여권ㆍ운전면허번호등 ) 처리기준위반 ( 제24조 ) 5천만원이하벌금 부당한수단이나방법에의해개인정보를취득하거나개인정보처리에관한 3년이하징역또는 동의를얻는행위를한자 ( 제59조 ) 3천만원이하벌금 개인정보의수집기준위반 ( 제15조 ) 만14세미만아동의개인정보수집시법정대리인동의획득여부위반 ( 제22조 ) 5천만원이하과태료 탈의실ㆍ목욕실등영상정보처리기기설치금지위반 ( 제25조 ) 최소한의개인정보외정보의미동의를이유로재화또는서비스제공을거부한 자 ( 제16조, 제22조 ) 3천만원이하과태료 주민등록번호를제공하지아니할수있는방법미제공 ( 제21조 ) 동의획득방법위반하여동의받은자 ( 제22조 ) 1천만원이하과태료 정보주체의동의없는개인정보제3자제공 (17조) 10년이하징역또 개인정보의목적외이용ㆍ제공 ( 제18조, 제19조, 제26조 ) 는 1억원이하벌금 개인정보주체에게알려야할사항을알리지아니한자 ( 제15조, 제17조, 제18 조, 제26조 ) 3천만원이하과태료 업무위탁시공개의무위반 ( 제26조 ) 1천만원이하과태료 개인정보의누설또는타인이용에제공 ( 제59조 ) 5년이하징역또는개인정보의훼손, 멸실, 변경, 위조, 유출 ( 제59조 ) 5천만원이하벌금영상정보처리기기설치목적과다른목적으로임의조작하거나다른곳을비추는자또는녹음기능을사용한자 ( 제25조 ) 3년이하징역또는 3천만원이하벌금직무상알게된비밀을누설하거나직무상목적외사용한자 ( 제60조 ) 안전성확보에필요한보호조치를취하지않아개인정보를도난ㆍ유출ㆍ변조 2년이하징역또는또는훼손당하거나분실한자 ( 제24조, 제25조, 제29조 ) 1천만원이하벌금안전성확보에필요한조치의무불이행 ( 제24조, 제25조, 제29조 ) 3천만원이하과태료영상정보처리기기설치ㆍ운영기준위반 ( 제25조 ) 개인정보를분리해서저장ㆍ관리하지아니한자 ( 제21조 ) 개인정보처리방침미공개 ( 제30조 ) 1천만원이하과태료개인정보관리책임자미지정 ( 제31조 ) 영상정보처리기기안내판설치등필요조치불이행 ( 제25조 ) 개인정보의정정ㆍ삭제요청에대한필요한조치를취하지않고, 개인정보를계속이용하거나제2자에게제공한자 ( 제36조 ) 2년이하징역또는개인정보의처리정지요구에따라처리를중단하지않고계속이용하거나제3 1천만원이하벌금자에게제공한자 ( 제37조 ) 개인정보유출사실미통지 ( 제34조 ) 3천만원이하과태료정보주체의열람요구의부당한제한ㆍ거절 ( 제35조 ) 정보주체의정정ㆍ삭제요구에따라필요조치를취하지아니한자 ( 제36조 ) 처리정지된개인정보에대해파기등의조치를하지않은자 ( 제37조 ) 시정명령불이행 ( 제64조 ) 1천만원이하과태료정보주체의열람, 정정ㆍ삭제, 처리정보요구거부시통지의무불이행 ( 제35 조, 제36조, 제37조 ) 관계물품ㆍ서류등의미제출또는허위제출 ( 제63조 ) 출입ㆍ검사를거부ㆍ방해또는기피한자 ( 제63조 ) 개인정보미파기 ( 제 21 조 ) 3 천만원이하과태료

붙임 [ 법률준수 ] 개인정보처리자개인정보보호자가진단표 구분질문항목 Yes No N/A 1. 개인정보보호정책 및자원 2. 개인정보보호교육 3. 개인정보처리방침 4. 개인정보영향평가 5. 개인정보처리시스 템보안운영 6. 개인정보처리시스 템의접근통제 1) 개인정보보호업무를수행하기위한조직이구성되어 있는가? 2) 개인정보보호를위한기반이 ( 예산편성등 ) 마련되어 있는가? 3) 개인정보보호책임자가지정되어있는가? 4) 개인정보보호책임자는교육, 관리 감독등역할을 t 행하 고있는가? 5) 개인영상정보보호책임자지정및역할을수행하고있는가? 6) 개인정보의안전한처리를위한내부관리계획이수립되어 있는가? 7) 개인정보처리자가내부감사 ( 관리 감도등 ) 를수행하는가? 8) 개인정보보호교육계획이수립되어있는가? 9) 개인정보보호책임자가교육을받고있는가? 10) 개인정보보호교육을수행하고있는가? 11) 업무위탁시, 수탁자에대해개인정보보호교육을수행하고 있는가? 12) 개인정보처리방침을공개하고있는가? 13) 개인정보처리방침의내용 ( 처리및보유기간, 위탁사항, 파일등록등 ) 은적절한가? 14) 개인정보처리방침의변경내용을지속적으로공개및 이력관리를하는가? 15) 개인정보영향평가대상인가? 16) 대상이라면, 개인정보영향평가를수행하는가? 17) 개인정보를처리하는시스템, 업무용컴퓨터에백신소프트웨어를 설치 운영하는가? 18) 침입차단 (F/W), 방지 (IPS), 탐지 (IDS) 등접근통제시스템을 설치 운영하는가? 19) 개인정보를처리하는시스템에비인가접근등에대한 상시모니터링을수행하는가? 20) 인터넷홈페이지취약점점검등을수행하는가? 21) 개인정보처리시스템의중요도 ( 민감도 ) 및업무연관성등을 고려하여담당자별차등접근권한절차를마련하는가? 22) 전보또는퇴직인력에대해개인정보처리시스템의접 근권한을즉시삭제하는가? 23) 접근권한부여 변경 말소에대한이력관리를수행하는가? 구분질문항목 Yes No N/A 7. 개인정보암호화 8. 개인정보처리시스템 로그관리 9. 개인정보수집동의 10. 개인정보수집 11. 이용및제공 24) 비밀번호작성규칙을수립하여개인정보처리시스템에 적용하고있는가? 25) 비인가된 P2P, 웹하드등공유설정에대한차단을하고 있는가? 26) 개인정보처리시스템접근관련 1 인당한개의사용자계정 발급및사용자인증 (PKI, IP 제한등 ) 을하고있는가? 27) 전산실, 자료보관실등개인정보를취급하는공간에대해 출입통제절차를수립 운영하고있는가? 28) 개인정보가포함된서류및저장매체 (USB, CD) 등을잠금 장치가있는안전한장소에보관하는가? 29) 고유식별정보 ( 주민등록번호, 여권번호등 ), 바이오정보 ( 지문, 얼굴등 ), 비밀번호가암호화되어있는가? 30) 비밀번호는일방향암호화를적용하여저장되는가? 31) 개인정보암호화시, 안전한알고리즘을사용하고있는가? 32) 사용자 PC 부터웹서버구간간암호화를적용하였는가? 33) 사용자 PC 에저장된개인정보파일암호화하고있는가? 34) 개인정보처리시스템접속기록을 6 개월이상보관관리 하는가? 35) 개인정보처리시스템접속기록이위 변조및도난, 분실되지 않도록안전하게보관하고있는가? 36) 개인정보처리시스템의접속기록점검및후속조치를수행 하는가? 37) 개인정보수집시, 정보주체의동의를받고있는가? 38) 고유식별정보 ( 주민등록번호, 여권번호등 ) 수집시, 별도로동의를받고있는가? 39) 만 14 세미만아동의개인정보를수집시, 법정대리인에게동의를받고있는가? 40) 동의를받는방법은적절한가? 41) 서비스제공을위해꼭필요한최소한의정보만을수집하는가? 42) 정보주체이외로부터수집한개인정보가있는경우, 정보주체의요구시알려주는가? 43) 회원가입시, 주민등록번호수집에대한대체수단 (i-pin 등 ) 을사용하고있는가? 44) 제3자제공에관한사항을정보주체에게알리고동의를받는가? 45) 개인정보의처리업무를위탁하는경우, 문서 ( 계약서등 ) 에의하여하고있는가? 46) 위탁업무의내용과수탁자 ( 위탁받아처리하는자 ) 를공개하고있는가? 47) 수탁자에대한교육및감독을수행하고있는가? 48) 개인정보수집목적을넘어이용하거나제공하는경우, 별도동의를받거나다른법률에근거하고있는가? 49) 영업양도, 합병등으로개인정보를다른사람에게이전

구분질문항목 Yes No N/A 12. 개인정보파기 13. 개인정보파일 14. 영상정보처리기기 설치 운영 하는경우, 정보주체에게그사실을알리는가? 50) 개인정보의국외이전시, 정보주체에게알리고동의를받는가? 51) 개인정보처리목적달성시, 지체없이파기하고있는가? 52) 개인정보를파기할때, 다시복원하거나재생할수없는형태로완벽하게파기하는가? 53) 개인정보파기에관한사항을기록하고관리하는가? 54) 다른법령에따라개인정보를파기하지않고보존하는경우, 다른개인정보와분리하여서저장 관리하는가? 55) 개인정보파일을운용하는경우, 개인정보보호종합지원시스템 (intra.privacy.g.kr) 에등록하였는가? 56) 개인정보파일등록항목을모두등록하였는가? 57) 개인정보파일의보유기간이타당한가? 58) 개인정보파일이불필요하게되었을때지체없이파기하는가? 59) 영상정보처리기기설치에따른전문가및이해관계자의의견을수렴하였는가? 60) 영상정보처리기기설치시, 안내판을설치하였는가? 61) 영상정보처리기기를임의조작하거나녹음기능을사용하지않는가? 62) 영상정보처리기기운영 관리방침이수립되어있는가? 63) 영상정보처리기기가설치목적에맞게이용되는지등에대한점검을수행하고있는가? 64) 영상정보처리기기를안전하게보관 관리하고있는가? 붙임 개인정보파일목록 기관명부서파일명 수도권대기환경청 자동차관리과 배출가스저감장치부착차량사후관리 운행경유차배출가스저감사업국고보조금 집행관리 개인정보파일등록 개인정보파일운용을시작한날부터 일이내에행정자치부에서운영하는개인정보보호종합지원시스템 에개인정보파일을게시한다 65) 목적달성시개인영상정보를지체없이파기하고있는가? 15. 개인정보유 노출대응절차 16. 정보주체의권리보장 66) 영상정보처리위탁시문서를통해준행하고있는가? 67) 정보주체의개인영상정보열람요구에관한사항을기록하고관리하는가? 68) 개인영상정보를이용 제공, 파기, 열람하는경우해당내용을기록하고관리하는가? 69) 개인정보의유 노출및침해사고에대한대응절차가수립되어있는가? 70) 당해년도에개인정보유출또는노출사고가발생하지않았는가? 71) 개인정보유출사고발생에따른유출통지및신고를하였는가? 72) 개인정보의열람 정정 삭제및처리정지에관한사항을 안내하고있습니까? 73) 다른기관에서개인정보를제공받아개인정보정정 삭제및 처리정지에대한사항발생시보고조치를수행하고있습니까?

붙임 위탁업체개인정보보호관리실태점검표 ( 위탁업체명 / 사업명 : 000/0000 유지관리 (000 시스템 ))

붙임 접근권한검토보고서 붙임 점검일 점검자 점검대상기간 대상시스템명 환경민원포털 권한분류 관리자 민원정보관리자 일반사용자 예시 점검시나리오 점검결과 접근권한의신규변경말소기록이대장이나전자적인형태로그로관리되고있다 의항목에서대장으로관리하고있을경우점검대상기간내 입퇴사자및보직변경자명단이모두 개인정보접근권한관리대장에기록되고있으며기록된사항이모두정확하다 의항목에서신규변경말소내역이있을경우시스템관리자화면및사용자 테이블에서해당사용자의권한정보를조회하고조회한권한정보가 개인정보접근권한관리대장과동일하다 특히다른부서로이동하거나퇴사 계약만료된사용자는필히확인한다 의항목검토후신규변경 말소내역이없을경우기존개인정보취급자를대상으로권한이변경되거나업무범위를초과하여권한이부여된내역이있는지확인한다업무범위를초과한내역이있을경우에만 접근권한신규변경 말소내역이접근권한관리대장에 년치이상보관되고있다 의항목에서전자적인형태로관리하고있을경우점검기간내 입퇴사자및보직변경자명단이모두접근권한부여해지로그로관리되고있는지확인한다 번항목을점검하고결과를기록한다 모두적정할경우에만 의항목에서전자적인형태로관리하고있을경우접근권한부여해지로그가위변조를방 지하기위해별도의저장장치에보관하고있다 웹서버에서로그관리하는경우는별도보관아님 의항목에서별도저장되고있을경우스토리지 용량이 년치이상의로그를수용할수있다 하나의개인정보취급자계정으로다수의 에서 중복로그인할수없다 에특수권한 이부여된사용자는 명이다 개인정보취급자등록시패스워드작성규칙이 숫자문자특수문자 자기조합 자리이상으로구성되어있는지확인한다 점검 결과 점검상세 개선여부 접속기록검토보고서 점검일 점검자 점검대상기간 대상시스템명 환경민원포털 권한분류 관리자 민원정보관리자 일반사용자 예시 점검시나리오 개인정보취급자의접속기록이관리되고있다 점검결과점검 의항목에서관리되고있다면취급자 접속 일시 접속지 수행업무를포함하여관리하고있다 의항목에서관리되고있다면접속기록은 개월이상보관하고있다 의항목에서관리되고있다면접속로그가많 이기록된일자의내용을샘플링하여부적절한 권한등으로접속한내역이있는지점검한다 결과 점검상세 개선 여부

붙임 개인정보처리방침 수집항목 성명 생년월일 집주소 직업 이메일 일반전화번호 휴대전화번호 계좌번호 차량번호 차대번호등 제 조 개인정보의처리및보유기간 수도권청에서처리하는개인정보는법령 제조개인정보의처리목적 수도권청은다음의목적을위하여개인정보를처리합니다 처리한개인정보는다음목적이외의용도로는사용하지않습니다 민원처리가 민원인의신원확인 민원사항확인 민원회신등을위한연락ㆍ통지 처리결과통보등의목적으로개인정보를처리합니다 나 개인정보열람 개인정보정정삭제 개인정보처리정지요구 개인정보유출사고신고등개인정보와관련된민원처리를목적으로개인정보를처리합니다 수당지급및연구개발사업등의업무처리가 수당지급및연구개발사업등의업무처리를위하여개인정보를처리합니다 기간제근로자및무기계약직관리가 기간제근로자및무기계약직의계약기간및임용정보등의확인을위하여개인정보를처리합니다 운행경유차배출가스저감사업의국고보조금집행관리및저감장치부착차량사후관리가 운행경유차배출가스저감장치부착차량의국고보조금지급금액의적정성여부및적정부착여부 매연농도측정등을위하여개인정보를처리합니다 위원회구성및홍보단등의위촉업무가 위원및홍보단등의위촉업무를위하여개인정보를처리합니다 처리하고있는개인정보는정해진목적이외의용도로는이용되지않으며 이용목적이변경될경우에는사전에이용자에게알리고동의를받을예정입니다 제조처리하는개인정보의항목 민원처리등을위하여처리하는개인정보항목 은아래와같습니다 에따른개인정보보유이용기간또는정보주체로부터개인정보를수집시에동의받은기간내에서개인정보를처리보유합니다 민원처리가 수집근거 개인정보보호법제조제항 정보주체의동의를받은경우 나 보유기간 회원탈퇴의사표시후 일까지 수당지급및위원회구성 연구개발사업등의업무처리 사업종료시까지 기간제근로자및무기계약직관리 년 운행경유차배출가스저감사업의국고보조금집행관리및저감장치부착차량사후관리 년 용역및연구개발사업등의업무처리 사업종료시까지 위원회구성및홍보단등의위촉업무 위원회및홍보단구성종료시까지제조개인정보의제자제공 수도권청은이용자의개인정보를제조개인정보의처리목적에서명시한범위내에서처리하며 이용자의사전동의없이본래의범위를초과하여처리하거나제자에게제공하지않습니다 다만 다른법률에특별한규정이있는경우또는범죄수사와같이개인정보보호법제 조제항에해당되는경우는예외로됩니다 제조개인정보처리의위탁 수도권청은개인정보를위탁처리할경우에는개인정보보호법제조에따라위탁업무수행목적외개인정보처리금지 기술적관리적보호조치 재위탁제한 수탁자에대한관리감독 손해배상등책임에관한사항을계약서등문서에명시하고 수탁자가개인정보를안전하게처리하는지를감독할것입니다 개인정보처리를위한위탁업무가발생할시에는지체없이본개인정보처리방침을통하여공개하도록하겠습니다 제조 정보주체의권리의무및그행사방법 정보주체 만 세미만인경우에는

법정대리인을말함는언제든지다음각호의개인정보보호관련권리를행사할수있습니다 개인정보열람요구 오류등이있을경우정정요구 삭제요구 처리정지요구가 권리행사는개인정보보호법시행규칙별지제호서식에따라작성후서면 전자우편 모사전송 등을통하여하실수있으며 수도권청은이에대해지체없이조치하겠습니다 나 정보주체가개인정보의오류등에대한정정또는삭제를요구한경우에는정정또는삭제를완료할때까지당해개인정보를이용하거나제공하지않습니다 다 권리행사는정보주체의법정대리인이나위임을받은자등대리인을통하여하실수있습니다 이경우개인정보보호법시행규칙별지제호서식에따른위임장을제출하셔야합니다 라 개인정보열람및처리정지요구는개인정보보호법제조제항 제조제 항에의하여정보주체의권리가제한될수있습니다 마 개인정보의정정및삭제요구는다른법령에서그개인정보가수집대상으로명시되어있는경우에는그삭제를요구할수없습니다 바 정보주체권리에따른열람의요구 정정삭제의요구 처리정지의요구시열람등요구를한자가본인이거나정당한대리인인지를확인합니다 제조 개인정보의파기 수도권청은개인정보보유기간의경과 처리목적달성등개인정보가불필요하게되었을경우에는지체없이해당개인정보를파기합니다 정보주체로부터동의받은개인정보보유기간이경과하거나처리목적이달성되었음에도불구하고다른법령에따라개인정보를계속보존하여야하는경우에는해당개인정보를별도의데이터베이스 로옮기거나보관장소를달리하여보존합니다 개인정보파기의절차및방법은다음과같습니다 파기절차파기하여야하는개인정보 또는개인정보파일 에대해서는파기계획등을수립하여개인정보를파기합니다 가 개인정보의파기 보유기간이경과한개인정보는종료일부터지체없이파기합니다 나 개인정보파일의파기 개인정보파일의처리목적달성 해당서비스의폐지 사업의종료등그개인정보파일이불필요하게되었을때에는개인정보의처리가불필요한것으로인정되는날로부터지체없이그개인정보파일을파기합니다 파기방법처리하는개인정보를파기할때에는다음의방법으로파기합니다 가 전자적파일형태인경우 기록을재생할수없는기술적방법사용나 전자적파일의형태외의기록물 인쇄물 서면 그밖의기록매체인경우 파쇄또는소각제조 개인정보의안전성확보조치 개인정보보호법제조에따라다음과같이안전성확보에필요한기술적 관리적 물리적조치를하고있습니다 개인정보취급자지정최소화및교육개인정보취급자의지정을최소화하고정기적인교육을시행하고있습니다 개인정보에대한접근제한개인정보를처리하는데이터베이스시스템에대한접근권한의부여 변경 말소를통하여개인정보에대한접근을통제하고 침입차단시스템과탐지시스템을이용하여외부로부터의무단접근을통제하고있으며개인정보취급자가정보통신망을통해외부에서개인정보처리시스템에접속하는경우에는정부온라인원격근무서비스 을이용하고있습니다 또한권한부여 변경또는말소에대한내역을기록하고 그기록을최소 년간보관하고있습니다 접속기록의보관및위변조방지개인정보처리시스템에접속한기록을최소 개월이상보관하고 접속기록이위변조및도난 분실되지않도록관리하고있습니다 개인정보의암호화이용자의개인정보는암호화되어저장및관리되고있습니다 또한중요한데이터는

저장및전송시암호화하여사용하는등의별도보안기능을사용하고있습니다 해킹등에대비한기술적대책환경부는해킹이나컴퓨터바이러스등에의한개인정보유출및훼손을막기접근이통제된구역에시스템을설치하고기술적 물리적으로감시및차단하고있습니다 비인가자에대한출입통제개인정보를보관하고있는개인정보시스템의물리적보관장소를별도로두고이에대해출입통제절차를수립 운영하고있습니다 제조 권익침해구제방법 정보주체는아래의기관에대해개인정보침해에대한피해구제 상담등을문의하실수있습니다 개인정보분쟁조정위원회 한국인터넷진흥원운영 국번없이 번 개인정보침해신고센터 한국인터넷진흥원운영 국번없이 번 대검찰청사이버범죄수사단 경찰청사이버테러대응센터 불만처리 피해구제등에관한사항을개인정보보호담당부서로문의하실수 있습니다 환경부는정보주체의문의에대해빠른시일내에답변및처리해드릴 것입니다 제 조 개인정보의처리방침의변경 일부터적용됩니다 이개인정보처리방침은 년 월 이전의개인정보처리방침은수도권대기청홈페이지에서확인할수있습니다 적용기간 개인정보보호법제조개인정보의열람 및제조개인정보의정정삭제 제조개인정보의처리정지등의규정에의한요구에대하여행한처분또는부작위로인하여권리또는이익의침해를받은자는행정심판법이정하는바에따라행정심판을청구할수있습니다 제 조 개인정보보호책임자 개인정보를보호하고개인정보와관련된사항 을처리하기위하여아래와같이개인정보보호책임자및담당자를지정하고있습 니다 정보주체께서는서비스를이용하시면서발생한모든개인정보보호관련문의

붙임 영상정보처리기기운영 관리방침 영상정보의촬영시간 보관기간 보관장소및처리방법 수도권대기환경청 이하 수도권청 이라함 은영상정보처리기기운영 관리방침을통해처리하는영상정보가어떠한용도와방식으로이용 관리되고있는지알려드립니다 촬영시간보관기간보관장소 시간 촬영일로부터 일간 대 촬영일로부터 개월 대 당직실 영상정보처리기기의설치근거및목적 수도권청은개인정보보호법제 조제 항에따라다음과같은 목적으로영상정보처리기기를설치 운영합니다 시설안전및화재예방 민원인의안전을위한범죄예방 차량도난및파손방지 설치대수 설치위치및촬영범위 설치대수 대 관리책임 담당자및접근권한자 설치위치및촬영범위 정문 현관 서측출입문 동측출입문 별관주차장 본관주차장 본관뒤 지하실입구 귀하의영상정보를보호하고개인영상정보와관련한불만을처리하기 위하여아래와같이개인영상정보보호책임자를두고있습니다 구분소속직위성명연락처 관리책임자기획과운영기획담당관박승호 관리담당자기획과서무담당자공지선 접근권한자기획과복무담당자안재현 접근권한자기획과방호담당자장현섭 처리방법 개인영상정보의목적외이용 제 자제공 파기 열람 등요구에관한사항을기록 관리하고 보관기간만료시복원이 불가능한방법으로영구삭제 출력물은파쇄 합니다 보관장소출입통제 잠금장치를하여접근권한이부여된자외 에는출입을엄격히통제하고있습니다 개인영상정보의확인방법및장소에관한사항 확인방법 영상정보관리책임자및접근권한자에게미리연락 확인장소 기획과 하고수도권청관을방문하시면확인가능합니다 정보주체의영상정보열람등요구에대한조치 귀하는개인영상정보에관하여열람또는존재확인 삭제를원 하는경우언제든지영상정보처리기기운영자에게요구하실수있습니다 단 귀하가촬영된개인영상정보및명백히정보주체의급박한 생명 신체 재산의이익을위하여필요한개인영상정보에한정됩니다 수도권청은개인영상정보에관하여열람또는존재확인 삭제를 요구한경우지체없이필요한조치를하겠습니다

다음의경우에는정보주체의개인영상정보열람등요구를거부할 붙임 수있습니다 이경우관리책임자는 일이내에서면등으로거부 사유를정보주체에게통지합니다 범죄수사 공소유지 재판수행에중대한지장을초래하는경우 개인영상정보의보관기간이경과하여파기한경우 열람요구에대하여필요한조치를취함으로써타인의사생활권이침해될우려가큰경우 기타정보주체의열람등요구를거부할만한정당한사유가존재하는경우 재해 재난대비 개인정보처리시스템위기대응매뉴얼 ( 절차서 ) 영상정보의안전성확보조치 수도권청에서처리하는영상정보는암호화조치등을통하여안전하게 관리되고있습니다 개인정보에대한접근권한을차등부여 개인영상정보의위 변조방지를위해개인영상정보의생성일시 열람시열람목적 열람자 열람일시등을기록 관리 2017. 11. 개인영상정보의안전한물리적보관을위하여잠금장치설치 개인정보처리방침변경에관한사항 이영상정보처리기기운영 관리방침은 년 월 일에개정 되었으며법령ㆍ정책또는보안기술의변경에따라내용의추가ㆍ 삭제및수정이있을시에는시행하기최소 일전에수도권청홈 페이지를통해변경사유및내용등을공지하도록하겠습니다 수도권대기환경청 적용기간 년 월 일 년 월 일

목 개요 관련법률 관리범위 용어정의 라 대표적개인정보침해유형 마 개인정보침해사고유형 위기대응절차 절차개요 단계별정의 위기대응체계 위기대응조직의구성 위기등급분류 복구목표설정 백업관리 위기대응훈련 비상연락망구성 붙임 개인정보처리시스템구성현황 붙임 백업관리대장 붙임 비상연락망 차 최근지진 화재등재해 재난대응의중요성이높아짐에따라 개인정보처리시스템보호를위한위기대응체계수립 재해재난발생시개인정보처리시스템의신속한복구와원활한업무처리의재개를위해관련절차등의대책지원 Ⅰ 개요 1. 관련법률 개인정보보호법제조 시행령제조 개인정보의안전성확보조치고시제조 항 2. 관리범위 본매뉴얼에서정의한재해재난발생시개인정보처리시스템의운영및관리에한하여적용 개인정보처리시스템위기상황해제시까지개인정보처리시스템의운영에필요한모든행동요령을포함

3. 용어정의 재해재난 태풍 홍수 지진 낙뢰등이상적인자연현상또는붕괴 폭발등으로사회적혼란을유발할수있는사고 개인정보처리시스템위기 개인정보처리시스템이장애로인해가동이전면중단되거나중단가능한시간을초과하는경우 재해복구시스템 재해재난발생시데이터를보존하고자동복구하는장치 백업 잘못되거나부주의한조작으로인하여데이터가손실될것에대비하여미리남겨둔복사본 2. 단계별정의 단계 예방 위기상황이발생하기전예상되는문제들을미리보완하고대비 위기대응조직 위기등급 복구목표등위기대응체계검토 주기적백업실시및위기대응훈련실시를통해위기대응준비 단계 대응 재해재난으로위기상황이발생하여위기대응체계에따라대응실시 위기대응조직을소집하고위기등급을정의하여위기상황선포 비상연락체계를가동하고위기대응조직의역할에따라대응실시 Ⅱ 위기대응절차 1. 절차개요 개인정보처리시스템의위기발생시예방 대응 복구및복원으로이루어지는 가지단계를체계적으로구조화해야함 단계 복구및복원 복구목표에따라우선순위가높은업무부터복구및복원실시 복구및복원이완료되면위기상황의종료를선언하고위기대응시이슈사항을위기대응체계에반영하여개선 위기상황으로인한피해를수습하고위기내용학습

Ⅲ 위기대응체계 2. 위기등급분류 1. 위기대응조직의구성 업무분장및임무및역할 구분역할 위기대응업무의총괄개인정보처리시스템 위기선포및위기대응조직구성원에게업무를지시책임자 위기대응상황종료시결과를공유 위기상황발생시각업무기능의복구총괄개인정보처리시스템 책임자의위기선포에따라위기상황전파담당자 유관기관과연락망가동및정보공유 평상시위기대응절차및계획의검토 개인정보시스템의기술적복구및운용담당기술담당자 책임자및담당자지시에따라필요한활동지원 위기대응조직및비상연락망 위기등급분류 구분 등급 등급 등급 역할 개인정보처리시스템장애시간이 시간이상지속되는경우 개인정보처리시스템운용의전면중단 데이터의중대하손상으로복구불가 개인정보처리시스템장비의전원공급단절 개인정보처리시스템장애시간이 시간이하로지속되는경우 개인정보처리시스템운용시일부기능작동중단 데이터의일부손상으로복구필요 개인정보처리시스템장비의전원공급이상 개인정보처리시스템장애가일시적으로발생한경우 개인정보처리시스템의운용이일시적작동중단 데이터의경미한손상이나운영에지장없음 3. 복구목표설정 구분담당부서구성인원 개인정보보호책임자 기획과장 ( 031-481-1305) 개인정보처리시스템 담당자 기획과 - 개인정보보호담당자 ( 031-481-1313) - 개인정보취급자 ( 031-481-1314) 자동차관리과 - 개인정보취급자 ( 031-481-1389, 369, 370) 환경부정보화담당관실 - 개인정보보호담당자 ( 044-201-6411) - 정보보안담당자 ( 044-201-6415~6) - 사이버안전센터 ( 044-201-6450) 개인정보처리시스템의위기발생시신속한대응및복구를위한 복구목표시간 및복구목표시점 을정의해야함 복구목표는개인정보처리시스템별업무영향도를고려하여우선순위를정해야하며위기선포시부터적용 복구목표시간 서비스또는사업감내목표를초과하여영향을미치기전시점까지의최고중단허용시간 개인정보처리시스템의책임자는업무영향도를고려하여복구목표시간의정의필요 복구목표시점 업무를계속적으로수행하기위해손실된데이터에대한유실허용시점

복구목표시점은재해발생직전까지이며 재해복구시스템이준비되어 있지않은시스템은최종백업시점까지 4. 백업관리 개인정보처리시스템담당자는신속한업무복구를위해백업대상을선정하고필요한내용을주기적으로백업해야함 백업대상은 개발소스및메일데이터 로그 서버 그리고 기타중요도가높다고판단되는데이터를대상으로함 개인정보처리시스템담당자는안전한백업매체를선정하고백업의주기및소산유무를결정해야함 백업매체는비인가자가접근할수없는격리된곳에보관하여비인가자에의한백업정보유출이일어나지않도록해야함 백업매체의물리적인접근통제및백업일자목록은 붙임백업관리대장에기록하여유지관리해야함 5. 위기대응훈련 위기대응조직구성원별역할숙지 복구목표의달성 실데이터의안정성보존 비상연락망정상가동상황 위기대응체계운용시이슈사항 위기대응훈련종료후훈련시도출된미흡사항및이슈사항을위기대응체개에반영하여개선해야함 6. 비상연락망구성 개인정보처리시스템담당자는위기대응조직원 유관기관 관련업체 등으로이뤄진비상연락망에기록관리해야함 개인정보처리시스템담당자는비상연락망을주기적으로검토하고평상시에도연락체계를활용하여정보를공유해야함 위기상황발생시위기상황종료시까지비상연락망을가동하여신속한대응을지원해야함 개인정보처리시스템의위기가발생하는경우피해를최소화하고신속한복구를위해주기적으로위기대응훈련을실시해야함 위기대응훈련은평시운영중에재해재난복구시스템이정상작동되는지확인해야하며위기상황발생시와동일하게위기대응조직의역할을수행해야함 위기대응훈련시에는다음의사항을유의하여실시해야함 재난 재해복구시스템의정상작동

Ⅳ 위기대응절차 1. 위기대응절차도 단계별위기대응절차 구분 조치방법 조치사항 재해재난인지 재해재난상황파악상황보고및재해재난상황알림 확인 재해재난대응팀설치확인조사실시재해재난내용원인 규모등 세부조사 피해확산여부조사 확인조사결과개인정보처리시스템전면중단및중단가능성여부확인 조치 복구및 복구대상범위조사 피해사항확인복구목표설정 복구대상범위조정 복원 백업자료확인백업현황확인복구방법및절차결정 복구 시스템및데이터복구작업 사후관리 피드백 기술적 관리적보완조치매뉴얼현행화 2. 확인 3. 조치 ( 복구및복원 복구대상범위조사 기존시스템의피해상태확인 복구목표설정복구목표시간 복구목표시점 업무영향도를고려하여우선순위등복구대상범위조정 백업현황확인 백업관리대장에서백업내용확인 복구 기존시스템과백업관리대장에따라복구스케줄작성 정보시스템별장애복구절차에따라시스템복구 4. 사후관리 피드백 위기대응훈련 복구완료후보완사항을절차서에반영하여단계별대응역량강화 재해재난인지 개인정보처리시스템의장애상태파악 개인정보보호책임자에게재해 재난발생상황보고및개인정보처리 시스템관련자에게상황보고 확인조사실시 개인정보처리시스템의장애여부조사 피해확산여부조사 재해 재난의범위에따라피해가언제까지계속되는지조사

별지 수도권대기환경청개인정보내부관리계획작업이력 연번날짜주요내용작업자비고 개인정보내부관리계획제정안재현 개인정보처리방침업데이트및내부관리계획변경 안재현 재해 재난대비개인정보처리시스템위기대응매뉴얼추가및관리자현행화 공지선 이하여백