▼ 이벤트
X 닫기

개인정보의 안정성 확보 조치 기준

행정안전부 고시 제2019-47호

구분 주요내용 하이온넷 해결책 제안
내부 관리계획의
수립·시행 (제4조)
보호책임자 지정 및 역할과 책임 , 취급자 교육 등 1만명 미만의 정보주체에 관한 개인 정보를 보유한 소상공인, 단체, 개인은 내부관리 계획 수립의무 면제 개인정보보호법 제29조(안전조치의무 및 동법 시행령 제30조 (개인정보의 안전성 확보조치에 의거하며, 개인정보보호법 제29조(안전조치의무 및 동법 시행령 제30조 (개인정보의 안전성 확보조치에 의거하며, 절차로는 내부관리계획 수립 및 시행 , 개인정보보호책임자의 의무와 책임, 개인정보의 관리적 기술적 보호조치, 개인정보 정보주체의 권리보장, 정기적인 자체감사, 개인정보 보호 교육으로 이루어 집니다. 가장 먼저 개인정보 내부관리기획서를 반드시 만드셔야 합니다.
  • “우리회사는 이렇게 방침을 정해서 개인정보를 관리하고 있으며, 교육 및 감독을 하고 있다”라는 핵심서류 입니다.
  • 내부부관리계획서만 작성되면, 그대로 실행만 하면 되기 때문에 50%이상 완료된 것이나 다름없습니다.
  • 처음엔 어려워 보일 수도 있는데 자료실에서 샘플을 다운로드하여 회사에 맞게 내용을 수정하시면 됩니다.
구분 주요내용 하이온넷 해결책 제안
접근 권한의 관리
(제5조)
업무수행에 필요한 최소한의 범위로 차등 접근권한 부여기록은 최소 3년간 보관 안전한 비밀번호 관리권한의 할당과 사용을 제한하고 통제하여야 합니다. 비인가 접근 보호를 요구하는 다중 사용자 시스템은 공식적인 인가 프로세스를 통해 권한의 할당이 통제되도록 하여야 합니다. 또한 할당된 모든 권한의 인가 프로세스와 기록을 유지하여야 하며, 권한은 인가 프로세스가 종료될 때까지 승인되지 않아야 합니다. 접속 비밀번호는 타인이 유추하기 어렵도록 영문, 숫자, 특수기호 등을 조합하여 8자리 이상으로 설정해야 하며, 일정횟수 이상 잘못 입력한 경우 접근을 제한해야 합니다. 개인정보가 포함된 문서를 잠금장치가 있는 캐비닛 등에 보관합니다.
  • 언제, 누가, 어떤 이유로 열람했는지의 문서열람대장이 필요합니다.
개인정보가 포함된 문서의 폐기 시에는 문서파쇄기 등을 이용하여 완전히 파기해야 합니다. 개인 정보가 포함된 문서의 폐기 시에는 문서파쇄기 등을 이용하여 완전히 파기해야 합니다.
  • 파기시에 반드시 파기대장에 문서 종류와 파기사유 등을 기록해야 합니다.
개인정보가 포함된 문서를 스스로 주고 받을때는 팩스관리대장, 복사를 할 때는 복사관리대장을 작성하여야 합니다.

개인정보 담당자를 정하고, 개인정보비밀유지서약서를 받아야 합니다.

운영 목적으로 개인정보를 택배사 및 유지보수 등의 협력업체에게 전달해야 할 경우 개인정보취급위탁계약보안서약서를 작성해야 합니다.

개인정보가 포함된 시스템에 접속 시에도 업무에 맞게 권한을 설정해야 하며, 접속시간, 접속아이디, 접속아이피 등의 로그 기록을 남겨야 합니다.
접속기록의 보관 및
점검 (제8조)
최소1년 이상 보관, 관리(단, 5만명 이상의 개인정보 및 민감정보 처리 시스템의 경우는 2년 이상)

개인정보처리시스템의 접속 기록등을 월 1회이상 점검하고 개인정보 다운로드 발견시 내부관리 계획에 따라 사유를 반드시 확인하여야 합니다.
물리적 안전조치
(제11조)
  • 개인정보 물리적 보관장소에 대한 출입통제 절차 등
개인정보처리시스템에 대한 전산적 접근통제 외에 물리적 보관장소에 대해서도 접근제한 조치를 취해야 합니다. 물리적 보관장소에 대해서는 잠금장치 등이 마련되어야 하고, 사업장에 출입하는 절차와는 별도의 출입통제 절차가 마련되어야 합니다.
즉, 개인정보를 물리적으로 보관하는 장소에 출입할 수 있는 권한을 부여받은 직원만이 출입이 가능하도록 해야 하며, 그 외에는 직원이라도 출입을 허용해서는 안 됩니다.
구분 주요내용 하이온넷 해결책 제안
접근통제 (제6조)
  • 방화벽 등 접근통제시스템 설치 운영
  • 업무용 컴퓨터만을 이용해 개인정보 처리 시 접근통제시스템 설치 의무 면제(OS, 보안프로그램의 접근 통제기능 이용)
접근통제는 접근하고자 하는 시스템에 대한 사용자 접근의 허가 및 제한, 그리고 그에 따른 감시, 식별 , 권한 부여에 대한 내용으로 정보와 데이터들의 기밀성, 무결성, 가용성을 보호하는 데 필요한 시스템 입니다. 따라서, 개인정보를 취급하는 업체에서는 방화벽이나 불법 침입방지 등의 접근통제시스템이 설치 되어야 합니다.
개인정보가 저장되어 있는 서버에는 반드시 UTM(IPS) 등의 침입차단 및 침입탐지 설비를 하셔야 합니다. UTM은 하이온넷에서 저렴하게 임대가능합니다.
개인정보가 저장된 DB는 256bit 암호화 조치하여야 합니다. 서버가 외부에 있다면 내부에서 접속할 때 VPN 등의 보안장치가 있어야 하며, 접근 IP에 제한을 두어야 합니다. 접속기록인 log 기록을 반드시 저장해야 합니다. (log 기록이 곧 접근 관리대장입니다.) 접근통제를 위한 네트워크 분리를 하셔야 합니다.
  • 물리적인 네트워크분리 개인정보시스템에 물리적인 연결(랜케이블 등)을 별도구성하며 접근 통제하는 경우 네트워크 공사필요
  • 논리적인 네트워크분리 개인정보시스템에 인가된 직원만 접속할 수 있도록 논리적으로 별도구성 (IP, 포트 허용 차단 등)하여 접근통제를 하는 경우 hai-link 서비스로 해결
구분 주요내용 하이온넷 해결책 제안
개인정보의 암호화
(제7조)
암호화 대상 : 고유식별정보, 비밀번호, 바이오정보 암호화 기준
  • 전송시 : 정보통신망 송수신 등의 경우 암호화
  • 저장시 : 1. 비밀번호 및 바이오정보 암호화(비밀번호 일방향 암호화) (주*)

2. 고유식별정보는 인터넷구간, DMZ구간 저장 시 암호화하고 내부망 저장 시 위험도 분석 따라 암호화 적용여부, 적용 범위 결정

개인정보보호법에 따라 주민등록번호 등 고유식별정보를 '외부망' 또는 중간영역에 저장할 경우 암호화 해야 하며, '내부망'에 저장하는 경우에는 암호화 또는 암호화에 상응하는 조치(망 분리, 접근통제 등 26가지 점검항목을 충족할 경우 암호화에 상응하는 안전한 통제 조치를 한 것으로 간주)를 선택하여 적용할 수 있습니다.

(주*) 일방향암호화

일방향 암호화(One-way Encryption)는 일반적으로 평문을 암호화를 통하여 암호문을 만들 수 있고 이렇게 만들어진 암호문을 복호화를 통해 평문으로 전환할 수 있으나 일방향 암호화된 문장은 암호문에서 다시 평문으로 만들 수 없는 암호화를 말하며 패스워드 저장 시 사용됩니다.
개인정보가 들어있는 파일이나 시스템에는 모든 정보를 암호화해야 합니다.
  • 주민등록번호, 비밀번호 및 바이어 정보 등 일방향 암호화 관리
  • 최상위 관리자도 해당정보 열람 불가
각 PC마다 백신프로그램 및 키보드, 해킹방지 프로그램을 설치해야 합니다.
  • 주민등록번호, 비밀번호 및 바이어 정보 등 일방향 암호화 관리
  • 최상위 관리자도 해당정보 열람 불가
악성프로그램 등
방지 (제9조)
  • 백신소프트웨어 등 보안프로그램 설치, 자동 또는 일 1회 이상 업데이트
백신프로그램 또는 방화벽 프로그램 등 보안프로그램을 설치 후 일 1회 이상 업데이트를 해야 하며, 주 1회 이상 검사를 해야 합니다.
개인정보보호에 대한 현행 법률은 내부 관리계획의 수립과 시행, 접근권한의 관리, 접속기록의 보관 및 점검, 물리적 안전조치, 접근통제, 개인정보의 암호화, 악성프로그램 방지 등에 대한 규정을 포함합니다.