구분 주요내용
내부관리계획(제3조) @ 보호책임자 지정 및 역할과 책임, 취급자 교육 등
소상공인은 내부관리계획 수립의무 면제
개인정보보호법 제29조(안전조치의무) 및 동법 시행령 제30조(개인정보의 안전성 확보조치)에 의거하여, 매년 적당한 시기에 내부관리 계획수립을 하고, 보고 및 개인정보보호 책임자한테 승인을 받아야 합니다.
절차로는 내부관리계획 수립 및 시행, 개인정보보호책임자의 의무와 책임, 개인정보의 관리적/ 기술적 보호조치, 개인정보 정보주체의 권리보장, 정기적인 자체감사, 개인정보 보호 교육으로 이루어 집니다.
하이온넷이 제안하는 해결책!! 가장 먼저 개인정보 내부관리계획서를 반드시 만드셔야 합니다.
“우리회사는 이렇게 방침을 정해서 개인정보를 관리하고 있으며, 교육 및 감독을 하고 있다”라는 핵심서류 입니다.
내부관리계획서만 작성되면, 그대로 실행만 하면 되기 때문에 50%이상 완료된 것이나 다름없습니다.
처음엔 어려워 보이실 수도 있는데 자료실에서 샘플을 다운받아 회사에 맞게 내용을 수정하시면 됩니다.
접근권한관리(제4조) @ 업무수행에 필요한 최소한의 범위로 차등부여
@ 접근권한 부여기록은 최소 3년간 보관
권한의 할당과 사용을 제한하고 통제하여야 합니다. 비인가 접근 보호를 요구하는 다중사용자시스템은 공식적인 인가프로세스를 통해 권한의 할당이 통제되도록 하여야 합니다. 도한 할당된 모든 권한의 인가 프로세스와 기록을 유지하여야 하며, 권한은 인가 프로세스가 종료될 때까지 승인되지 않아야 합니다.
접속기록보관(제8조) @ 최소 6개월 이상 보관
식별자, 접속일시, 접속자를 알 수 있는 아이피 정보 등을 전자적으로 기록해야 하며, 6개월까지의 기록을 보관하고 있어야 합니다.
물리적접근방지(제10조) @ 개인정보 물리적 보관장소에 대한 출입통제절차 등
개인정보처리시스템에 대한 전산적 접근통제 외에 물리적 보관장소에 대해서도 접근제한 조치를 취해야 합니다. 물리적 보관장소에 대해서는 잠금장치 등이 마련되어야 하고, 사업장에 출입하는 절차와는 별도의 출입통제 절차가 마련되어야 합니다. 즉, 개인정보를 물리적으로 보관하는 장소에 출입할 수 있는 권한을 부여받은 직원만이 출입이 가능하도록 해야 하며, 그 외에는 직원이라도 출입을 허용해서는 안 됩니다.
하이온넷이 제안하는 해결책!! 개인정보가 포함된 문서를 잠금장치가 있는 캐비닛 등에 보관합니다.
언제, 누가, 어떤 이유로 열람했는지의 문서열람대장이 필요합니다.
개인정보가 포함된 문서의 폐기시에는 문서파쇄기 등을 이용하여 완전 파기해야 합니다.
파기시에 반드시 파기대장에 문서종류와 파기사유 등을 기록해야 합니다.
개인정보가 포함된 문서를 팩스로 주고 받을 때는 팩스관리대장, 복사를 할 때는 복사관리대장을 작성하여야 합니다.
개인정보 담당자를 정하고, 개인정보비밀유지서약서를 받아야 합니다.
운영목적으로 개인정보를 택배사 및 유지보수 등의 협력업체에게 전달해야 할 경우 개인정보취급위탁계약보안서약서를 작성해야 합니다.
개인정보가 포함된 시스템에 접속 시에도 업무에 맞게 권한을 설정해야 하며, 접속시간, 접속아이디, 접속아이피 등의 로그 기록을 남겨야 합니다.
비밀번호관리(제5조) @ 비밀번호 작성규칙 수립 의무화
비밀번호는 타인이 유추하기 어렵도록 영문, 숫자, 특수기호 등을 조합하여 8자리 이상으로 설정해야 하며, 주기적으로 비밀번호를 변경해야 합니다. 권장하는 패스워드 변경주기는 6개월이며, 패스워드 변경 시 이전에 사용하지 않은 새로운 패스워드를 사용해야 하고 예전 패스워드와 연관성이 없어야 합니다.
하이온넷이 제안하는 해결책!! 개인정보를 관리하는 PC에는 암호를 설정해야 합니다.
CMOS 암호 설정하기
윈도우 시작 시 로그인 암호 설정하기
개인정보 들어있는 파일 암호 설정하기
바이러스 탐지 및 치료할 수 있는 백신을 설치해야 합니다.
접근통제시스템(제6조) @ 방화벽 등 접근통제시스템 설치/ 운영
@ 업무용 컴퓨터만을 이용해 개인정보 처리 시 접근통제시스템 설치 의무 면제
(OS, 보안프로그램의 접근통제기능 이용)
접근통제는 접근하고자 하는 시스템에 대한 사용자 접근의 허가 및 제한, 그리고 그에 따른 감시, 식별, 권한 부여에 대한 내용으로 정보와 데이터들의 기밀성, 무결성, 가용성을 보호하는 데 필요한 시스템 입니다. 따라서, 개인정보를 취급하는 업체에서는 방화벽이나 불법침입방지 등의 접근통제시스템이 설치 되어야 합니다.
하이온넷이 제안하는 해결책!! 개인정보가 저장되어 있는 서버에는 반드시 UTM(IPS) 등의 침입차단 및 침입탐지 설비를 하셔야 합니다.
UTM은 하이온넷에서 저렴하게 임대가능합니다.
개인정보가 저장된 DB는 256it 암호화 조치하여야 합니다.
서버가 외부에 있다면 내부에서 접속할 때 VPN 등의 보안장치가 있어야 하며, 접근 IP에 제한을 두어야 합니다.
접속기록인 log 기록을 반드시 저장해야 합니다.(log 기록이 곧 접근관리대장입니다.)
접근통제를 위한 네트워크 분리를 하셔야 합니다.
물리적인 네트워크분리
개인정보시스템에 물리적인 연결(랜케이블 등)을 별도구성하여 접근통제하는 경우 -> 네트워크 공사필요
논리적인 네트워크분리
개인정보시스템에 인가된 직원만 접속할 수 있도록 논리적으로 별도구성
(IP, 포트 허용/ 차단 등)하여 접근통제를 하는 경우 -> hai-link 서비스로 해결
암호화(제7조) @ 암호화 대상 : 고유식별정보, 비밀번호, 바이오정보
@ 암호화 기준
전송시 : 정보통신망 송수신 등의 경우 암호화
저장시 : 비밀번호 및 바이오정보 암호화(비밀번호 일방향 암호화(1))
고유식별정보는 인터넷구간, DMZ구간 저장 시 암호화하고 내부망 저장시 위험도 분석에 따라 암호화 적용여부, 적용범위 결정
개인정보보호법에 따라 주민등록번호 등 고유식별정보를 ‘외부망’ 또는 중간영역에 저장할 경우 암호화 해야 하며, ‘내부망’에 저장하는 경우에는 암호화 또는 암호화에 상용하는 조치(망 분리, 접근통제 등 26가지 점검항목을 충족할 경우 암호화에 상응하는 안전한 통제조치를 한 것으로 간주)를 선택하여 적용할 수 있습니다.
(1)일방향암호화 일방향 암호화(One-way Encryption)는 일반적으로 평문을 암호화를 통하여 암호문을 만들 수 있고 이렇게 만들어진 암호문을 복호화를 통해 평문으로 전환할 수 있으나 일방향 암호화는 암호문에서 다시 평문으로 만들 수 없는 암호화를 말하며 패스워드 저장 시 사용됩니다.
보안프로그램(제9조) @ 백신소프트웨어 등 보안프로그램 설치, 자동 또는 일 1회 이상 업데이트
백신프로그램 또는 방화벽 프로그램 등 보안프로그램을 설치 후 일 1회 이상 업데이트를 해야 하며, 주 1회 이상 검사를 해야 합니다.
하이온넷이 제안하는 해결책!! 개인정보가 들어있는 파일이나 시스템에는 모든 정보를 암호화해야 합니다.
주민등록번호, 비밀번호 및 바이어 정보 등 일방향 암호화 관리
최상위 관리자도 해당정보 열람 불가
각 PC마다 백신프로그램 및 키보드, 해킹방지 프로그램 설치해야 합니다.
백신프로그램 설치 후 주 1회 이상 정밀검사 및 업데이트 실시
키보드 해킹방지 프로그램 설치 및 실시간 감지

개인정보보호를 위해 이것만은 꼭!

서버나 PC 등 정보유출 차단을 위한 DRM, DLP, 보안USB 및 문서암호화 등 다양한 보안 솔루션을 하이온넷과 함께 준비하세요

  1. 개인정보는 필수정보만 최소한으로 수집 : 추가적인 정보를 수집할 때는 반드시 동의를 받아야 함
  2. 주민등록번호와 건강정보 등 민감정보 수집 금지 : 법령의 근거가있는 경우가 아니면 주민등록번호, 민감정보 사용금지
  3. 수집한 목저과 다르게 사용하거나 제3자 제공금지 : 법령의 근거가 있는 경우가 아니면 주민등록번호, 민감정보 사용금지
  4. 개인정보를 처리할 경우 개인정보 처리방침 공개 : 개인정보 위탁사실을 포함한 처리방침을 홈페이지나 사업장에 공개
  5. 내부관리계획, 방화벽/백신/접근통제 등 안정성 확보 조치 : 개이넝보가 해킹 등으로 유출되지 않도록 보호조치를 철저히 이행
  6. 개인정보의 이용이 끝난 후에는 반드시 파기 : 수집한 목적이 달성된 후 (서비스 기간 경과 등)에는 즉시 파기
  7. 개인정보가 유출되었을 경우 즉시 정보주체에게 통보 : 유출된 것을 인지하면 5일 이내에 서면/전화/이메일 등의 방법으로 통보
  8. CCTV를 운영할 경우 안내판을 설치 : 설치목적, 촬영범위, 담당자 등을 안내, 운영방침을 수립하여 공개
  9. 개인정보 파일은 보안프로그램, 암호화 프로그램 등으로 안전하게 보관 : 개인정보 유출방지를 위해 DB 접근권한 제한, 백신프로그램 등을 설치하고 필요한 보호조치 이행
  10. 보관이 필요한 증빙서류를 법령에서 정한 보유기간 숙지하여 준수 : 개인정보가 담긴 문서를 보관해야 하는 경우 법령에서 지정한 보유기간을 숙지