학습(공부)하는 블로그 :: '개인정보 암호화' 태그의 글 목록
 

 

Notice»

Recent Post»

Recent Comment»

Recent Trackback»

03-19 18:04

 

'개인정보 암호화'에 해당되는 글 1

  1. 2013.03.08 10. 개인정보의 안전성 확보조치
 
반응형

1. 개인정보 안전성 확보조치

○ 개인정보처리자는 개인정보의 분실, 도난, 유출, 변조, 훼손을 방지하기 위하여 안전성 확보에 필요한 관리적, 기술적, 물리적 조치를 취해야 함

○ 개인정보처리시스템이란 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템을 말함

○ 안전성 확보에 필요한 구체적인 조치 및 기준은 시행령 및 「개인정보의 안전성 확보조치 기준 고시」에서 정하고 있음


2. 관리적 보호조치

○ 개인정보처리자는 개인정보의 안전한 처리를 위한 '내부관리계획'을 수립·시행하여야 함

▷ 내부관리계획에 포함되어야 하는 사항

- 개인정보 보호책임자의 지정에 관한 사항

- 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항

- 개인정보의 안전성 확보에 필요한 조치에 관한 사항

- 개인정보취급자에 대한 교육에 관한 사항

- 그 밖에 개인정보 보호를 위하여 필요한 사항

○ 내부관리계획에 포함되는 사항에 중요한 변경이 있는 경우 이를 즉시 반영하여 내부관리계획을 수정하여 시행해야 함(수정이력도 관리)

○ 내부관리계획은 원칙적으로 공공기관, 기업 등 모든 개인정보처리자가 수립·시행해야 함

▷ 다만, 소규모 사업자에게까지 의무화하면 사업자의 부담이 가중될 수 있어 소상공인에 한해서는 수립하지 않아도 됨


3. 기술적 보호조치

○ 접근 권한 제한 조치

▷ 접근 권한 차등 부여 : 업무수행에 필요한 최소한의 범위

▷ 접근 권한 변경·말소 : 업무 담당자의 전보, 퇴직 등 인사이동 발생시

▷ 접근 권한 부여기록 보관 : 최소 3년간 보관

▷ 사용자 계정 관리 : 개인정보취급자 별로 한 개의 사용자계정 발급, 공유 금지

▷ 비밀번호 관리

- 최소 10자리 이상 : 영대, 영소, 숫자, 특수문자 중 2종류 이상 구성한 경우

- 최소 8자리 이상 : 영대, 영소, 숫자, 특수문자 중 3종류 이상 구성한 경우

○ 접근 통제 조치

▷ 접근 통제 시스템 설치 : 침입차단시스템, 침입탐지시스템

- 침입차단시스템 : 접속 권한을 IP주소 등으로 제한하여 미인가 IP의 접근을 제한(방화벽(firewall))

- 침입탐지시스템 : 접속한 IP주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지하는 시스템

▷ 외부에서의 접속시 조치

- 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단 적용

▷ 개인정보 노출 방지 조치

- 인터넷 홈페이지 취약점 방지 : SQL-Injection 취약점 방지, ZeroBoard 취약점 방지 등

- P2P, 공유설정 취약점 방지 : 원칙적으로 P2P, 공유폴더 사용 차단

○ 개인정보 암호화

▷ 암호화 대상

- 개인식별정보(주민등록번호, 여권번호, 운전면허번호, 외국인등록번호)

- 비밀번호

- 바이오정보

▷ 암호화 기준(반드시 암호화)

- 개인정보를 전송하는 경우 : 보안서버 활용

- 개인정보를 저장하는 경우 : 일방향 암호화

○ 접속기록의 보관 및 위조·변조 방지 조치

▷ 접속기간의 보관 : 최소 6개월 이상

▷ 접속기간의 관리 : 정기적 백업 후 이를 별도의 저장장치에 보관

○ 보안프로그램 설치·운영

▷ 보안프로그램 설치 :  악성 프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등 설치

▷ 보안프로그램 운영 : 자동 업데이트 또는 일 1회 이상 업데이트 실시


4. 물리적 보호조치

○ 개인정보의 안전한 처리를 위한 물리적 조치로서 출입통제 절차, 잠금장치가 있는 안전한 장소 보관 등 조치를 시행해야 함 

반응형
: