내부관리계획의 수립·시행

 개인정보의 안전한 처리를 위해 다음의 사항을 포함하는 내부관리계획을 수립·시행할 것

 √ 개인정보 보호책임자의 지정에 관한 사항

 √ 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항

 √ 개인정보의 안전성 확보에 필요한 조치에 관한 사항

 √ 개인정보취급자에 대한 교육에 관한 사항

 √ 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

 √ 그 밖에 개인정보 보호를 위하여 필요한 사항

접근권한의 관리

 ·  개인정보처리시스템에 대한 접근권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여할 것

 ·  전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체 없이 개인정보처리시스템의 접근권한을 변경 또는 말소할 것

 ·  개인정보처리자는 접근권한의 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관할 것

 ·  개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보취급자 별로 한 개의 사용자계정을 발급해야 하며, 다른 개인정보취급자와 공유되지 않도록 할 것

 ·  개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용할 것

접근통제 시스템 설치 및 운영

 ·  정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위한 기능을 포함한 시스템을 설치·운영할 것[개인정보처리자가 별도의 개인정보처리시스템을 이용하지 않고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS : Operating System)나 보안프로그램 등에서 제공하는 접근통제 기능을 이용할 수 있음]

 ·  개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용할 것

 ·  인터넷 홈페이지에서 정보주체의 본인확인을 위해 성명, 주민등록번호를 사용할 수 있는 경우에도 정보주체의 추가적인 정보를 확인할 것

 ·  취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통해 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터 및 모바일 기기 등에 조치를 취할 것

 ·  인터넷 홈페이지를 통해 고유식별정보가 유출·위조·변조·훼손되지 않도록 연 1회 이상 취약점을 점검할 것

 ·  업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 할 것

개인정보의 암호화

(고유식별정보, 비밀번호 및 바이오정보만 해당함)

 ·  개인정보를 정보통신망을 통하여 송·수신하거나 보조저장매체 등을 통하여 전달하는 경우에는 이를 암호화할 것

 ·  비밀번호 및 바이오정보는 암호화하여 저장할 것(단, 비밀번호를 저장하는 경우에는 복호화되지 않도록 일방향 암호화하여 저장할 것)

 ·  인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : Demilitarized Zone)에 고유식별정보를 저장하는 경우에는 이를 암호화할 것

 ·  개인정보를 암호화하는 경우 안전한 암호알고리즘으로 암호화하여 저장할 것

 ·  업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용해 암호화한 후 저장할 것

접속기록의 보관 및 점검

 ·  개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월 이상 보관·관리할 것

 ·  개인정보의 유출·위조·변조·훼손 등에 대응하기 위해 개인정보처리시스템의 접속기록 등을 반기별로 1회 이상 점검할 것

 ·  개인정보취급자의 접속기록이 위조·변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관할 것

악성프로그램 등 방지

 ·  악성 프로그램 등을 방지·치료할 수 있는 백신 소프트웨어 등의 보안 프로그램을 설치·운영해야 하며, 다음의 사항을 준수할 것

 √ 보안 프로그램의 자동 업데이트 기능을 사용하거나, 또는 일 1회 이상 업데이트 실시해 최신의 상태로 유지

 √ 악성 프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트 실시

물리적 접근 방지

 ·  개인정보처리자는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경우에는 이에 대한 출입통제 절차를 수립·운영할 것

 ·  개인정보처리자는 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관할 것

 ·  개인정보가 포함된 보조저장매체의 반출·입 통제를 위한 보안대책을 마련할 것

개인정보의 파기

 ·  개인정보를 파기할 경우 다음 하나의 조치를 할 것

 √ 완전파괴(소각·파쇄 등)

 √ 전용 소자장비를 이용하여 삭제

 √ 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행

 ·  개인정보의 일부만을 파기하는 경우 위의 방법으로 파기하는 것이 어려운 때에는 다음의 조치를 취할 것

 √ 전자적 파일 형태인 경우 : 개인정보를 삭제한 후 복구 및 재생되지 않도록 관리 및 감독

 √  전자적 파일 형태 외의 기록물, 인쇄물, 서면, 그 밖의 기록매체인 경우 : 해당 부분을 마스킹, 천공 등으로 삭제

공공기관

1. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관 및 중앙행정기관

고위공무원 또는 그에 상당하는 공무원

2. 1. 외에 정무직공무원을 장(長)으로 하는 국가기관

3급 이상 공무원(고위공무원을 포함) 또는 그에 상당하는 공무원

3. 1. 및 2. 외에 고위공무원, 3급 공무원 또는 그에 상당하는 공무원 이상의 공무원을 장으로 하는 국가기관

4급 이상 공무원 또는 그에 상당하는 공무원

4. 1.~ 3. 외의 국가기관(소속 기관을 포함)

해당 기관의 개인정보 처리 관련 업무를 담당하는 부서의 장

5. 시·도 및 시·도 교육청

3급 이상 공무원 또는 그에 상당하는 공무원

6. 시·군 및 자치구

4급 공무원 또는 그에 상당하는 공무원

7. 각급 학교

해당 학교의 행정사무를 총괄하는 사람

8. 1.~7. 외의 공공기관

개인정보 처리 관련 업무를 담당하는 부서의 장(개인정보 처리 관련 업무를 담당하는 부서의 장이 2명 이상인 경우에는 해당 공공기관의 장이 지명하는 부서의 장)

공공기관 외의

개인정보처리자

·  다음의 어느 하나에 해당하는 사람

  √ 사업주 또는 대표자

  √ 임원(임원이 없는 경우에는 개인정보 처리 관련 업무를 담당하는 부서의 장)