728x90
반응형
SMALL
● 개인정보의 안전성 확보조치 기준과 개인정보의 기술적,관리적 보호조치 기준 비교
| 개인정보의 안전성 확보조치 기준 | 개인정보의 기술적, 관리적 보호조치 기준 |
| 제1조 목적 | 제1조 목적 |
| 제2조 정의 10. "개인정보처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다. - 개인정보처리시스템이란 일반적으로 데이터베이스(DB) 내의 데이터에 접근할 수 있도록 해주는 응용시스템을 의미하며, 데이터베이스를 구축하거나 운영하는데 필요한 시스템을 말한다. - 업무용 컴퓨터의 경우에도 데이터베이스 응용프로그램이 설치·운영되어 다수의 개인정보취급자가 개인정보를 처리하는 경우에는 개인정보처리시스템에 해당될 수 있다. - 다만, 데이터베이스 응용프로그램이 설치·운영되지 않는 PC, 노트북과 같은 업무용 컴퓨터는 개인정보처리 시스템에서 제외된다. |
제2조 정의 |
| “공개된 무선망”이란 불특정 다수가 무선접속장치(AP)를 통하여 인터넷을 이용할 수 있는 망을 말한다. - 공개된 무선망은 커피전문점, 도서관, 공항, 철도역, 버스터미널, 대학, 병원, 유통센터, 호텔 등에 설치될 수 있으며 개인정보처리자가 고객이나 방문객용으로 매장, 로비, 대합실, 회의실, 휴게실,주차장 등의 장소에 설치한 무선접속장치도 이에 해당한다. - 개인정보처리자가 직원의 업무처리 목적으로 사무실, 회의실 등에 무선접속장치(AP)를 설치하여 운영하는 경우 “공개된 무선망”에서 제외된다. · CDMA, WCDMA 등의 기술을 사용하는 이동통신망은 “공개된 무선망”에서 제외된다 |
|
| “접속기록”이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알 수 있는 계정, 접속일시, 접속자 정보, 수행업무 등을 전자적으로 기록한 것을 말한다 | |
| 제3조 안전조치 기준 적용 | 없음 |
| 제4조 내부관리계획의 수립.시행 지역교권 통암기 악물조 유 위재위 1.개인정보보호책임자(CPO)의 지정에 관한 사항 2.개인정보보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항 (CISO아님) 3.개인정보취급자의 교육에 관한 사항 4.접근권한의 관리에 관한사항 5.접근통제에 관한 사항 6.개인정보의 암호화조치에 관한 사항 7.접속기록 보관 및 점검에 관한 사항 8.악성프로그램 등 방지에 관한 사항 9.물리적 안전조치에 관한 사항 10.개인정보보호조직에 관한 구성 및 운영에 관한 사항 11.개인정보 유출사고 대응계획 수립.시행에 관한 사항. 12.위험도분석 및 대응방안 마련에 관한 사항 13.재해 및 재난대비 개인정보처리시스템의 물리 적 안전조치에 관한 사항 14.개인정보처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감톡에 관한 사항 |
제3조 내부관리계획의 수립.시행 지역 내이 위도 1.개인정보관리책임자의 자격요건 및 지정에 관한 사항 2.개인정보관리책임자와 개인정보책임자의 역할 및 책임에 관한 사항 3.개인정보 내부관리계획의 수립 및 승인에 관한 사항 4.개인정보의 기술적,관리적 보호조치 이행 여부의 내부 점검에 관한 사항 5.개인정보처리업무를 위탁하는 경우 수탁자에 대한 관리 감독에 관한 사항 6.개인정보의 도난,분실,누출,변조,훼손 등이 발생한 경우의 대응절차 및 방법에 관한사항 |
| 내부관리계획 중 유형2는 해당하지 않는 항목 : 위재위 ① 위험도분석 및 대응방안 마련에 관한 사항 ② 재해 및 재난대비 개인정보처리시스템의 물리적 안전조치에 관한 사항 ③ 개인정보처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 |
|
| 제5조 접근권한의 관리 :유형1인 경우 다음 2가지 안해도 됨 ① 개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여해야 한다. ② 계정및 비밀번호를 일정횟수 이상 틀렸을 경우 접근제한등의 기술적 조치를 취해야 한다 -> 기술적,관리적보호조치기준에는 없다. (즉 정보통신서비스제공자는 해당없음) |
정통망법에서는 비밀번호 일정횟수이상 틀린경우에 대한 접근제한사항에 대한 내용은 없다. 사용자패스워드는 내부적으로 설정한 규칙을 준수하면 되는 거지 영어대소문자,숫자,특수문자 조합 8자리이상 2개이상 조합시 10자리 이상 을 따를 필요는 없다. 다만 개인정보취급자는 위 규칙을 준수해야 한다. |
| 제6조 접근통제 ① 개인정보처리자는 다음 각호의 조치를 해야 한다. 1.개인정보처리시스템에 대한 접속권한을 IP 주소등으로 제한 2.개인정보처리시스템에 접속한 IP정보를 분석하여 불법적인 정보유출 시도를 탐지 ② 외부에서 개인정보처리시스템에 접속하는 경우 VPN 또는 전용선 등 안전한 접속수단이나 안전한 인증수단(OTP) 을 적용 (즉 개보법에서는 둘중에 하나만 적용해도 되고, 망법에서는 둘다 해야 한다.) ③ 개인정보처리시스템, 업무용 컴퓨터, 모바일기기 및 관리용 단말기에 접근통제 조치 ④ 연1회이상 취약점 점검 수행 ⑤ 일정시간 업무처리 안할시 자동 접속차단 -> 기술적,관리적보호조치기준에는 없다. (즉 정보통신서비스제공자는 해당없음) ⑥ 별도의 개인정보처리시스템 없이 업무용 컴퓨터나 모바일기기를 이용하여 개인정보처리 시 제1항을 적용하지 않을 수 있다. (IP제한) 이 경우 업무용 컴퓨터 또는 모바일 기기의 운영체제(OS: Operating System)나 보안프로그램 등에서 제공하는 접근 통제 기능을 이용할 수 있다 ⑧ 유형1에 해당하는 개인정보처리자는 제2항, 제4항부터 제5항까지의 조치를 아니할 수있다. - 안전한 접속수단(VPN,전용선), 안전한 인증수단(OTP) 적용 - 연1회이상 취약점 점검 - 일정시간 업무처리 안할시 자동접속차단 |
제4조 접근통제 <망분리 대상 - 100 100> ⑥ 전년도말 기준 직전 3개월간 그 개인정보가 저장.관리되고 있는 이용자수가 일일 평균 100만명 이상이거나,정보통신서비스부문 매출액이 100억원 이상인 정보통신서비스제공자는 - 개인정보처리시스템에서 개인정보를 다운로드 또는 파기할수 있거나 - 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자의 컴퓨터등을 물리적 또는 논리적으로 망분리 해야한다, * 회원현황만 조회가능한 단순 정보조회자 pc는 망분리 대상이 아니다. * 개인정보의 기술적,관리적 보호조치 기준 제9조 (개인정보표시제한 보호조치) 에서 정한 미스킹 기준을 따라 개인을 식별할 수 없도록 마스킹 처리가 된 경우에는 망분리 적용대상 아니다. 반면 DRM을 적용해서 암호화된 개인정보를 다운로드하는 경우에는 DRM과 상관없이 망분리 대상이다. 단순조회자 - 망분리X 마스킹 - 망분리X DRM - 망분리O ⑦ 이용자가 안전한 비밀번호를 이용할 수 있도록 비밀번호 작성규칙을 수립 ⑧ 개인정보취급자는 비밀번호 작성규칙을 수립하고,이를 적용·운용하여야 한다. - 2문자조합 10자리, 3문조합 8자리 등... 즉 이용자는 그냥 강제는 아니지만, 개인정보취급자(사용자)는 법에 맞는 작성규칙을 따라야 한다. 반면 안전성확보조치기준에서는, 제4조 (접근권한의관리)에서 ⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다. <외부접속시 추가인증수단 적용> 외부에서 개인정보처리시스템에 접속을 불가피하게 허용할때에는 사용자계정/비밀번호 이외에 추가적인 인증수단을 적용해야 한다. 예를 들어 vpn적용해서 vpn아이디/비밀번호 접속후 사용자계정/비밀번호 접속으로만 하지 말고 otp등 추가적인 2차 인증수단을 적용해야 한다. (개보법에서는 안전한 접속수단(VPN,전용선) or 안전한 인증수단(OTP) 중 하나만 적용해도 되지만 망법에서는 둘다 적용해야 함) 단순한 조회자권한만 있더라도 otp를 적용해야 한다. (망분리 대상자와는 달리) |
| 제7조 개인정보의 암호화 :유형1,2인 경우 다음 1가지 안해도 됨 ①안전한 암호화키 생성.이용.보관.배포.파기절차를 수립.시행해야 한다. |
제6조 개인정보의 암호화 ③ 정보통신서비스 제공자 등은 정보통신망을 통해 이용자의 개인정보및 인증정보를 송.수신할때에는 안전한 보안서버 구축 등의 조치를 통해 이를 암호화해야 한다. 보안서버는 다음 각 호중 하나의 기능을 갖추어야 한다. 1. 웹서버에 SSL 인증서를 설치하여 전송하는 정보를 암호화하여 송.수신 -> HTTPS 를 말함. 2. 웹서버에 암호화 응용프로그램을 설치하여 전송하는 정보를 암호화하여 송수신 -> http를 사용하는 대신 암호화해주는 응용프로그램이라도 있어야 한다. -> http://www.xxx.co.kr/join 식으로 회원관리페이지 URL인데 별도 암호화해서 전송해주는 응용프로그램도 없이 딸랑 웹방화벽만 있으면 결함. (2.7.1 암호정책 적용) |
| 제8조 접속기록의 보관 및 점검 ① 접속한 기록을 1년이상 보관.관리하여야 한다 다만, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, (1명이라도)고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템인 경우 2년이상 보관.관리하여야 한다. ② 개인정보처리자는 개인정보의 오남용,분실도난,유출,위조,변조,훼손 등에 대응하기위해 접속기록을 월1회 이상 점검하여야 한다. 특히 개인정보를 다운로드한 것이 발견되었을 경우 내부관리계획으로 정하는 바에 따라 그 사유를 반드시 확인해야 한다 ③ 개인정보처리자는 접속기록이 위.변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다. (정보통신제공자와 달리 백업의무를 명시하지는 않았고 따라서 물리적인 저장장치에 보관하지 않아도 된다.) ★ 접속기록관련해서는 3가지가 준수되어야 한다. 1. 항목 - 계정,접속일시,IP,업무내용 등 2. 보관 - 1년 or 2년 3. 위변조방지 - 안전하게 보관 (백업,Hash) |
제5조 접속기록의 위.변조 방지 ① 정보통신제공자등은 접속한 기록을 월1회 이상 정기적으로 점검하고, 시스템 이상유무의 확인 등을 위하여 최소 1년 이상 접속기록을 보존.관리해야 한다. ② 단 제1항에도 불구하고 기간통신사업자의 경우에는 보존,관리해야 하는 기간을 2년으로 한다. ③ 정보통신제공자등은 접속기록이 위.변조 되지 않도록 별도의 물리적인 저장 장치에 보관하고 정기적으로 백업을 수행 하여야 한다. |
| 제9조 악성프로그램 등 방지 | 제7조 악성프로그램 방지 |
| 제10조 관리용단말기의 안전조치 "관리용 단말기" 란 개인정보시스템의 관리,운영,개발,보안 등의 목적으로 개인정보처리시스템에 직접 접속하는 단말기를 말한다. |
|
| 제11조 물리적 안전조치 | 제8조 물리적 접근방지 |
| 제12조 재해.재난대비안전조치 ① 개인정보처리자는 화재,홍수,단전등의 재해.재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응절차를 마련하고 정기적으로 점검하여야 한다. ② 개인정보처리자는 재해.재난 발생 시 개인정보처리시스템 백업 및 복구를 위한 계획을 마련해야 한다. ③ 유형1, 유형2에 해당하는 개인정보처리자는 위 제1항,제2항의 조치를 이행하지 아니할 수있다 |
|
| 제13조 개인정보의 파기 | |
| 제9조 출력.복사시 보호조치 | |
| 제10조 개인정보표시제한조치 | |
| 제11조 규제의 재검토 | |
| [별표] 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준 |
● 개인정보의 안전성 확보조치 기준에만 나오는 항목 (차틀 V취세 관재파)
| 안전성 확보조치에만 나오는 항목 (차틀 V취세 관재파) 즉 정보통신서비스제공자에게는 해당없는, 개인정보보호법에 적용받는 공공기관에만 해당. 안전성확보조치에서는 안전한접속수단(VPN,전용선) + 안전한인증수단(OTP) 기술적.관리적에서는 안전한인증수단(OTP)만 명시 |
접근권한 차등부여 비밀번호 일정횟수이상 틀렸을시 조치 VPN 또는 전용선 등 안전한 접속수단 일정시간 사용하지 않는경우 접속(세션) 차단 연1회이상 취약점 점검 관리용 단말기의 안전조치 재해.재난대비 안전조치 개인정보의 파기 |
| 기술적 관리적 보호조치에만 나오는 항목 (조백출표규) |
2문자조합10자리이상,3문자조합 8자리 등 비밀번호 구체적인 작성규칙 접속기록 물리적인 저장장치에 백업 출력.복사시 보호조치 개인정보표시 제한조치 규제의 재검토 |
● 유형별 개인정보의 안전성 확보조치 기준
| 유형 | 기준 | 해당 회사 | 안해되 되는 항목 |
| 유형1 (완화) 내차틀 V취세재 |
1만명 미만의 정보주체에 관한 개인정보를 보유 | 소상공인,단체,개인 | <유형1 - 안해도 되는 것> -> 내차틀 V취세 재 (1) 내부관리계획 <제5조 접근권한의 관리> (2) 개인정보처리시스템에 대한 접근권한을 업무 수행에 필요한 최소한의 범위로 업무담당자 에 따라 차등 부여해야 한다. (3) 계정및 비밀번호를 일정횟수 이상 틀렸을 경우 접근제한등의 기술적 조치를 취해야 한다 < 제6조 접근통제 > (4) VPN,전용선 or OTP 적용 (5) 연1회이상 취약점 점검 (6) 일정시간 업무처리 안할시 자동접속차단 (세션타임아웃) <제12조 재해.재난대비안전조치> |
| 유형2 (표준) 위재위 키재 |
100만명 미만 | 중소기업 | 제4조 내부관리계획의 수립.시행 아래 3가지를 내부관리계획에 포함하지 아니할 수 있다. 12.위험도분석 및 대응방안 마련에 관한 사항 13.재해 및 재난대비 개인정보처리시스템의 물리 적 안전조치에 관한 사항 14.개인정보처리 업무를 위탁하는 경우 수탁자에 대한 관리 및 감톡에 관한 사항 제7조 개인정보의 암호화 ①안전한 암호화키 생성.이용.보관.배포.파기 절차를 수립.시행해야 한다. 제12조 재해.재난대비안전조치 |
| 10만명 미만 | 대기업, 중견기업, 공공기관 | ||
| 1만명 이상 | 소상공인, 단체, 개인 | ||
| 유형3 (강화) | 10만명 이상 | 대기업, 중견기업, 공공기관 | |
| 100만명 이상 | 중소기업, 단체 |
● 유형
| 구분 | 1만명 미만 | 1만명 ~ 10만명 미만 | 10만명 ~ 100만명 미만 | 100만명 이상 |
| 소상공인 | 유형1 | 유형2 | ||
| 개인 | ||||
| 단체 | 유형2 | 유형3 | ||
| 중소기업 | 유형2 | 유형3 | ||
| 공공기관 | 유형2 | 유형3 | ||
| 대기업 | ||||
| 중견기업 | ||||
728x90
반응형
LIST
'ISMS-P' 카테고리의 다른 글
| ISMS-P 키워드별 정리 (8/10) (0) | 2021.04.28 |
|---|---|
| ISMS-P 키워드별 정리(7/10) (0) | 2021.02.19 |
| ISMS-P 키워드별 정리(5/10) (0) | 2021.02.15 |
| ISMS-P 키워드별 정리(4/10) (0) | 2021.02.10 |
| ISMS-P 키워드별 정리(3/10) (0) | 2021.02.08 |