|
구분
|
안전성 확보조치 기준
|
기술적 관리적 보호조치 기준
|
|
주요내용
|
(공통)
|
|
|
|
|
|
접근권한 부여·말소 등 기록·보관
|
최소 3년 보관
|
최소 5년 보관
|
|
암호화 대상
|
(공통)
|
|
|
-
|
|
|
|
접근통제
|
비밀번호 설정 등 보호조치 필요
(구체적인 규칙 규정되어 있지 않음)
|
|
|
내부관리계획
이행실태점검
|
연1회 이상
|
-
|
|
접속기록 보존
|
|
|
|
접속기록 점검
|
(공통) 월 1회 이상
|
|
개인정보 안전성 확보조치 기준 : 개인정보처리자가 개인정보를 처리함에 있어서 안정성 확보에 필요한 최소한의 기준
- 개인정보처리자, 공공기관
개인정보 기술적·관리적 보호조치 기준 : 정보통신서비스 제공자가 개인정보를 처리함에 있어서 안정성을 확보하기 위한 기술적·관리적 조치의 최소한의 기준
개인정보의 안전성 확보조치 기준
제1조 법적 근거 및 목적
제2조 용어정리
제4조 내부관리계획의 수립·시행
개인정보 보호책임자는 내부관리계획의 이행 실태를 연 1회 이상으로 점검·관리한다.
제5조 접근 권한의 관리
(가) 업무 수행에 필요한 최소한의 범위로 차등 부여
(나) 개인정보취급자가 변경되었을 경우 지체 없이 접근 권한을 변경 또는 말소
- 권한 부여, 변경 또는 말소에 대한 내역을 기록하고 최소 3년간 보관
(다) 개인정보취급자별로 사용자계정을 발급하고 다른 개인정보취급자과 공유되지 않도록 조치
(라) 안전한 비밀번호를 설정하도록 비밀번호 작성규칙을 수립하여 적용
(마) 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 접근을 제한하는 등 기술적 조치
제6조 접근 통제
(라) 고유식별정보를 처리하는 개인정보처리자는 연 1회 이상 취약점을 점검해야 한다.
제7조 개인정보의 암호화
(가) 고유식별정보, 비밀번호, 바이오정보를 송신하거나 전달하는 경우 암호화해야 한다.
(나) 비밀번호 및 바이오정보는 암호화하여 저장해야하고, 비밀번호를 저장할 경우에는 복호화되지 않도록 일방향 암호화하여 저장한다.
(다) DMZ 구간에 고유식별정보를 저장할 경우에 암호화해야 한다.
(라) 내부망에 고유식별정보를 저장할 경우에는 다음 기준에 따라 결정한다.
① 개인정보 영향평가 결과 (공공기관의 경우)
② 위험도 분석에 따른 결과 (공공기관 이외)
제8조 접속기록의 보관 및 점검
(가) 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관·관리해야 한다.
5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리해야 한다.
(나) 접속기록 등을 월 1회 이상 점검하고, 개인정보를 다운로드한 것이 발견되었을 경우에는 내부관리계획으로 정하는 바에 따라 그 사유를 반드시 확인해야 한다.
제9조 악성프로그램 등 방지
제10조 관리용 단말기의 안전조치
제11조 물리적 안전조치
제12조 재해·재난 대비 안전조치
제13조 개인정보의 파기
============================================================================================
개인정보의 기술적·관리적 보호조치 기준
제1조 법적 근거 및 목적
제2조 용어정리
*개인정보 보호책임자, 개인정보취급자, 내부관리계획, 개인정보처리시스템, 망분리, 비밀번호
*접속기록 - 접속 기록 항목 : 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무
*바이오정보
*P2P : 정보통신망을 통해 서버의 도움 없이 개인과 개인이 직접 연결되어 파일을 공유하는 것
*공유설정 : 컴퓨터 소유자의 파일을 타인이 조회·변경·복사 등을 할 수 있도록 설정하는 것
*보안서버 : 정보통신망에서 송·수신하는 정보를 암호화하여 전송하는 웹서버
*인증정보 : 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등이 요구한 식별자의 신원을 검증하는데 사용되는 정보
*모바일 기기, 보조저장매체
제3조 내부관리계획의 수립·시행
(가) 개인정보 보호 조직 구성·운영
(나) 교육 정기적으로 실시
제4조 접근통제
(가) 개인정보처리시스템에 대한 접근권한을 서비스 제공을 위해 필요한 개인정보 보호책임자 또는 개인정보취급자에게만 부여한다.
(나) 개인정보 취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소한다.
(다) 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 최소 5년간 보관한다.
(라) 개인정보취급자가 외부에서 개인정보처리시스템에 접속할 경우에는 안전한 인증수단을 적용
(마) 불법적인 접근 및 침해사고 방지를 위해 다음 기능을 포함한 시스템을 설치·운영해야 한다.
① 접속 권한을 IP주소 등으로 제한하여 인가받지 않은 접근 제한
② 접속한 IP주소 등을 재분석하여 개인정보 유출 시도 탐지
(바) 전년도 말 기준 직전 3개월간 그 개인정보가 저장·관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스 부문 전년도 매출액이 100억원 이상인 정보통신서비스 제공자는 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할 수 있거나 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터 등을 물리적 또는 논리적으로 망분리해야 한다.
(사) 이용자 비밀번호 작성 규칙
(아) 개인정보취급자 비밀번호 작성 규칙
- 영문, 숫자, 특수문자 중 2종류 이상 조합할 경우 최소 10자리 이상 / 3종류 이상 조합할 경우 최소 8자리 이상
- 연속적인 숫자나 생일, 전화번호 등 추측하기 쉬운 개인정보 및 아이디와 비슷한 비밀번호는 사용하지 말 것
- 유효기간을 설정하여 반기별 1회 이상 변경
제5조 접속기록의 위·변조 방지
(가) 개인정보취급자가 개인정보처리시스템에 접속한 기록을 월 1회 이상 정기적으로 확인·감독해야 하며, 최소 1년 이상 접속기록을 보존·관리해야 한다.
- 단, 기간통신사업자의 경우에는 보존·관리해야할 최소 기간을 2년으로 한다.
제6조 개인정보의 암호화
(가) 비밀번호는 일방향 암호화하여 저장
(나) 다음 정보에 대해서는 안전한 알고리즘으로 암호화하여 저장한다.
- 고유식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호), 바이오정보, 신용카드번호, 계좌번호
(다) 이용자의 개인정보 및 인증정보를 송·수신할 때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다.
보안서버는 다음 중 하나의 기능을 갖춰야 한다.
① 웹서버 SSL 인증서를 설치
② 웹서버에 암호화 응용프로그램을 설치
제7조 악성프로그램 등 방지
제8조 물리적 접근 방지
제9조 출력·복사시 보호조치
제10조 개인정보 표시 제한 조치
'Tech > ISMS-P' 카테고리의 다른 글
| ISO 27000 (0) | 2023.06.28 |
|---|---|
| ISMS-P 인증심사원 필기합격 (1) | 2022.08.31 |
| 2022년 ISMS-P 인증기준 안내서 변경사항 (0) | 2022.05.12 |
| 개인정보 생명주기 (0) | 2021.06.24 |
| 개인정보보호법, 정보통신망법 ( 2020.08.05 개정 ) (0) | 2021.05.17 |
