'개인정보파일' 태그의 글 목록

개인정보파일

ISMS-P 키워드별 정리(7/10) 2021.02.19
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(3/3) 2021.01.17

ISMS-P 키워드별 정리(7/10)

2021. 2. 19. 18:08

728x90

SMALL

● 개인정보의 안전성 확보조치 기준과 개인정보의 기술적.관리적 보호조치 기준상의 용어정리

개인정보의 안전성 확보조치 기준	개인정보의 기술적, 관리적 보호조치 기준
1. '정보주체' 란 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람을 말한다.
2. '개인정보파일' 이란 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물을 말한다. (전자문서 뿐만 아니라 수기도 포함)
3. '개인정보처리자' 란 업무를 목적으로 개인정보를 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관,법인,단체및 개인 등을 말한다.
8. '개인정보보호책임자'	1. '개인정보관리책임자'
9. '개인정보취급자' 란 개인정보처리자의 지휘.감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원,파견근로자,시간제근로자 등을 말한다.	2. '개인정보취급자' 란 이용자의 개인정보를 수집.보관.처 리,이용,제공,관리 또는 파기 등의 업무를 하는 자를 말한다.
10. '개인정보처리시스템' 이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.	4. '개인정보처리시스템' 이란 개인정보를 처리할 수 있도 록 체계적으로 구성한 데이터베이스시스템을 말한다.
11. '위험도 분석' 이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별.평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안마련을 위한 종합적으로 분석하는 행위를 말한다
19. '접속기록' 이란 개인정보취급자 등이 개인정보처리시스템에 접속한 사실을 알수 있는 계정, 접속일시, 접속자정보, 수행업무 등을 전자적으로 기록한 것을 말한다.	7. '접속기록' 이라 함은 이용자 또는 개인정보취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 식별자, 접속일시, 접속지를 알수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록하는 것을 말한다.
	3. '내부 관리계획' 이란 정보통신서비스 제공자등이 개인정보의 안전한 취급을 위하여 개인정보보호 조직의 구성, 개인정보취급자의 교육, 개인정보 보호조치 등을 규정한 계획을 말한다.
	11. '보안서버' 라 함은 정보통신망에서 송.수신하는 정보를 암호화하여 전송하는 웹서버를 말한다.
	12. '인증정보' 라 함은 개인정보처리시스템 또는 정보통신 망을 관리하는 시스템 등이 요구한 식별자의 신원을 검증하는 데 사용되는 정보를 말한다

● 개인정보보호책임자 (CPO) 지정

국법헌중 고 정3교3군4 34학행
민간기업	사업주 또는 대표자, 임원 (임원이 없는 경우 담당부서장)		개인정보보호법
민간기업	임원, 담당부서장 (상시종업원5명미만시 지정안하거나 대표자가 CPO)		정보통신망법
공공기관	국회,법원,헌법재판소,중앙선관위의 행정사무처리기관 및 중앙행정기관	고위공무원단에 속하는 공무원	개인정보보호법
	정무직공무원을 장으로 하는 국가기관	3급 이상 공무원
	시.도 및 시.도교육청	3급 이상 공무원
	시.군 및 자치구	4급 공무원
	3급 공무원을 장으로 하는 국각기관	4급 이상 공무원
	학교	행정사무 총괄자
	기타 공공기관	개인정보 처리관련업무를 담당하는 부서의 장

정책 (Policy)	반드시 충족해야할 특정 요구사항 또는 규칙에 대한 윤곽을 명세한 문서
표준 (Standard)	모든 사람에게 의해 충족되어야 할 모임 또는 시스템에 특화되거나 절차에 특화된 요구사항
지침 (GuideLine)	최상의 실행을 위해 시스템에 특화되거나 절차에 특화된 제안의 모임
절차 (Procedure)	정보보호 정책 표준 지침을 잘 적용할 수 있도록 도와주는 것으로 사용자 시스템 곤리자 및 운영자가 새로운 계정을 준비하고 적절한 권한을 할당하는 등의 특정 작업을 수행하는 사람들이 따라할 수 있는 자세한 내용
규정	사내의 내부적인 문서로 특정 프로세스 수행 시 반드시 지켜야 할 항목을 나열한 것.

● 암호화 알고리즘 수학적 기반 원리

대칭키	블록암호	DES, AES, ARIA, SEED
대칭키	스트림암호	RC4
공개키	이산대수	DSA, DH, Elgmal
	소인수분해	RSA, Robin
	타원곡선	ECC, ECDSA, KCDSA
해시	MDC	MD5, SHA-1, SHA-2
해시	MAC	HMAC, CMAC, GMAC

● 암전한 암호화 알고리즘

	취약한 알고리즘	안전한 알고리즘
대칭키	DES, RC4 128비트 미만 AES, ARIA, SEED	SEED, 128비트 이상의 ARIA, AES, Blowfish HEIGHT, LEA, KASUMI
공개키	2048비트 미만의 RSA	RSAES-OAEP, RSAES-PKCS1
해시	MD5, SHA-1 , HAS-160	SHA-256 이상 Whirpool

728x90

LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 키워드별 정리 (9/10) (0)	2021.06.17
ISMS-P 키워드별 정리 (8/10) (0)	2021.04.28
ISMS-P 키워드별 정리(6/10) (4)	2021.02.17
ISMS-P 키워드별 정리(5/10) (0)	2021.02.15
ISMS-P 키워드별 정리(4/10) (0)	2021.02.10

ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(3/3)

2021. 1. 17. 19:02

728x90

SMALL

3. 개인정보 처리 단계별 요구사항 - 수보제파권
3.1 개인정보 수집 시 보호조치	수 - 제동 주민간 영홍	3.1.1 개인정보 수집제한 3.1.2 개인정보 수집동의 3.1.3 주민등록번호 처리제한 3.1.4 민감정보및고유식별정보처리제한 3.1.5 간접수집 시 보호조치 3.1.6 영상정보처리기기 설치.운영 3.1.7 홍보및 마케팅 목적 활용시 조치
3.2 개인정보 보유 및 이용시 보호조치	보 - 현품표 단목	3.2.1 개인정보 현황관리 3.2.2 개인정보 품질보장 3.2.3 개인정보 표시제한 및 이용시 보호조치 3.2.4 이용자 단말기 접근 보호 3.2.5 개인정보 목적외 이용 및 제공
3.3 개인정보 제공 시 보호조치	제 - 3위영국	3.3.1 개인정보 제3자 제공 3.3.2 업무위탁에 따른 정보주체 고지 3.3.3 영업의 양수에 따른 개인정보이전 3.3.4 개인정보의 국외이전
3.4 개인정보 파기 시 보호조치	파 - 파목휴	3.4.1 개인정보의 파기 3.4.2 처리목적 달성 후 보유 시 조치 3.4.3 휴면 이용자 관리
3.5 정보주체 권리보장	권 - 처권통	3.5.1 개인정보처리방침 공개 3.5.2 정보추제 권리보장 3.5.2 이용내역 통지

3.4 개인정보 파기 시 보호조치 (파목휴)

항목	설명 및 사례	keyword
3.4.1 개인정보의 파기	•1)처리목적이 달성되거나 2)보유기간이 경과, 3)처리목적 달성후, 3.4.2 처리목적 달성후 보유시 조치에 의해 저장 되었다가 법령에 따른 보존기관이 경과한경우 지체없이 개인정보를 파기하여야 한다. (5일 이내 파기) • 개인정보 수집및 이용목적을 달성한 경우 - 정보주체(이용자)가 웹사이트 회원에서 탈퇴한 경우 - 이용자가 초고속인터넷을 해지한 경우 - 정보주체(이용자)가 마일리지 회원에서 탈퇴를 요청한 경우 - 개인정보를 수집하는 이벤트가 종료된 경우 - 제3의 업체에게 텔레마케팅을 위해 정보를 제공한 후 해당 업체의 TM업무가 종료된 경우 • 단, [전자상거래 등에서의 소비자보호에 관한 법률및시행령]에서는 대금결재및 재화공급에관한 기록을 5년 간 보관하도록 하고 있으며 ,요금미납,A/S 등에 해당하는 경우에는 5년 간 보관이 가능 소비자불만및 분쟁처리에 관한 기록은 3년 •파기시 복구.재생되지 않도록 (현재의 기술수준에서 사회통념상 적정한 비용으로 파기한 정보의 복원이 불가능하도록 하는 방법) - 완전파괴 : 소각, 파쇄 - 전용 소자방비 : 디가우저 - 초기화 또는 덮어쓰기 (매직으로 마스킹처리도 가능) •파기에 대한 대장관리 (하드디스크의 경우는 일련번호를 기록해야 한다.)	보유기간 및 파기 정책, 불필요 시 파기, 안전한 방법 파기, 파기 기록 관리
3.4.2 처리목적 달성후 보유 시 조치	•목적달성,보유기간경과후에도 법령에 따라 보존하는 경우 최소한의 기간과 최소한의 항목만 보존한다. ( 위 [전자상거래..] 법률에 의해서 대금결재,재화공급,요금미납,A/S 등 때문에 5년간 보관이 허용되지만 대신 다른 개인정보와 분리해서 보관해야한다) •보관시 다른 개인정보와 논리적 또는 물리적으로 분리하여 보관한다. •분리보관된 개인정보의 접근권한 최소한 인원으로	불필요 시 최소 기간, 최소정보, 분리보관, 목적 범위 내 처리, 접근권한 최소인원 제한
3.4.3 휴면 이용자 관리 (정통망법에만 규정되어있음)	정보통신서비스 제공자(즉 정통망법) 등은 정보통신서비스를 1년의 기간 동안 이용하지 아니하는 이용자의 개인정보를 보호하기 위하여 지체 없이 파기하거나 분리 보관해야 함(개인정보 유효기간제) •휴면이용자의 개인정보를 파기 또는 분리보관 (물리적까지 분리는 아니고. 테이블분리만) - 1년동안 미이용시 파기하거나 분리보관 한다. (개인정보 유효기간제로 시행주기는 5일 이내) -> 한달단위로 하는 건 안됨(X) - 단순 광고이메일 클릭으로는 안되면 로그인 여부로 미이용여부를 판단 •이용자의 요청이 있는 경우 예외적으로 1년 이외의 서비스 미이용 기간을 정할 수 있음. (즉 이용자의 요청이 없는 한 1년 기준적용) •분리보관하는 항목은 최초 개인정보항목 뿐만 아니라 접속로그, 결제 기록 등 서비스이용시 생성되는 정보도 포함하여 분리보관한다. •이용자의 재이용 요청이 있는 경우를 대비하여 온라인 이용자의 편의 성을 높이기 위한 목적으로 ID 등 최소한의 연결값을 서비스 중인 DB 에 남겨두는 것은 가능함 (단 이름,연락처 등 과도한 개인정보를 남기 는 건 안된다.) •분리되어 저장․관리하는 휴면 이용자의 개인정보는 법령에 따른 보관 목적 또는 이용자의 요청에 대해서만 이용 및 제공하여야 한다. •통지항목(사만항) - 파기되는 사실 - 기간 만료일 - 파기되는 개인정보 항목	파기 또는 분리보관, 알림, 보관목적 또는 이용자 요청 이용, 접근권한 최소인원 제한

3.5 정보주체 권리보장 (처권통)

항목	설명 및 사례	keyword
3.5.1 개인정보처리방침 공개	•개인정보 처리방침을 홈페이지등에 지속적으로 공개 - '개인정보 처리방침' 이라는 표준화된 명칭 사용 - 클자크기, 색상달리해서 쉽게 확인할수있도록 인사 간신 관계 - 인터넷홈페이지, 사업장, 간행물 ,신문, 관보, 계약서 •홈페이지 없는 경우 - 사업장 등의 보기쉬운 장소에 비치 - 관보,일간신문,인터넷신문 - 연2회 이상 발행하는 간행물,소식지,홍보지,청구서 - 계약서 •단 개인정보 처리방침에 등록이 면제되는 개인정보파일 (공공기관만 해당) - 국범조내비 1.국가,안전,외교상비밀에 관련된 개인정보파일 2.범죄의 수사,공소제기.형.감호,교정 집행,출입국관리 3.조세범처벌법, 관세법 에 따른 범칙행위 조사사항 4.공공기관의 내부적 업무처리용 5.법령에 따라 비밀로 분류된 파일 * 개인정보파일을 등록하지 않아도 되므로 개인정보 처리방침에 공개 안해도 된다 •개인정보 처리방침이 변경되는 경우 사유 및 변경 내용을 지체없이 공지하고 정보주체(이용자)가 언제든지 변경된 사항을 쉽게 알아 볼 수 있도록 조치하여야 한다. - 단, 변경 전.후를 비교할 수 있도록 공개하여야 한다. •개인정보 처리방침에 포함해야할 필수사항 개인정보보호법 정통망법 목항기 3위권 부자파안 1.개인정보의 처리목적 1.개인정보 수집.이용목적 2.개인정보의 처리 및 보유기간 .수집하는 항목및 수집방법 3.제3자 제공에 관한사항 2.제3자 제공하는 경우 4.위탁에 관한 사항 :제공받는자의 성명,이용목적,제공항목 5.정보주체의 권리.의무 및 그 행사방법 6.개인정보 보호책임자의 성명 또는 3.보유 및 이용기간, 파기 절차 부서명과 그 연락처 4.처리위탁을 하는 업무내용과 7.자동으로 수집하는 장치의 설치 수탁자 ,운영 거부에 관한 5.이용자의 권리,행사방법 <시행령> 8.처리하는 개인정보 항목 6.자동으로 수집하는 장치 9.파기에 관한 사항 설치,운영,거부 10.안정성 확보조치에 관한 7.개인정보 보호책임자의 성명, 부서명과 연락처 * 개보법이나 정통망법이나 거의 비슷하고 개보법에서만 안전성확보 조치항목이 더 추가됐을뿐이다 * 개보법에서는 1.개인정보의 처리목적, 2.개인정보 처리및 보유기간, 8.처리하는 개인정보항목 으로 목항기가 표현되는데 반해 * 정통망법에서는 1.개인정보 수집.이용목적, 수집하는 개인정보의 항목및 수집방법 3. 개인정보의 보유및 이용기간, 개인정보의 파기절차 등 2개 항목으로 표현한다. • 기타 기재사항 (열변부구영) - 개인정보의 열람.정정.삭제.처리정지 요구권 관련 - 개인정보 처리방침의 변경에 관한 사항 - 개인정보 열람청구를 접수.처리하는 부서 - 정보주체의 권익침해에 대한 구제방법 - 영상정보처리기기 운영.관리에 관한 사항	처리방침 공개, 요구내용 포함, 변경 시 공지, 이력관리
3.5.2 정보주체 권리보장	•정보주체 또는 그 대리인이 열람,정정,삭제,처리정지,이의제기,동의철회(이하 열람) 요구를 쉽게할 수 있도록 권리행사방법과 절차를 마련. (수집절차, 회원가입절차보다 쉽게해야 함) •열람시 발생하는 수수료,우편료는 청구가능하나 사유가 개인정보처리자에게 있는 경우 청구할수없음 •열람요구를 받은 후 10일 이내 조치 만약 처리하는데 10일이내에 조치가 불가하다면 10일 이내에 그 사유를 알려야함 •열람 거부가능 사유 (법생 조성 채보감) 1.법률에 의해 금지된 경우 2.다른 사람의 생명.신체를 해하거나 재산상 이익을 부당 하게 침해할 우려가 있는 경우 3.공공기관이 다음 업무 진행시 중대한 지장 초래시 - 조세의 부과.징수.환급 업무 - 성적평가. 입학자선발 업무 - 학력.기능 및 채용에 관한 시험.자격심사에 관한 업무 - 보상금.급부금 산정 업무 - 진행중인 감사. 조사 업무 •처리정지 요구 거부 가능 사유 (법생 소계) 1. 법률에 규정이 있거나 .법령상 의무준수하기 위하여 불가피한 경우 2..다른 사람의 생명.신체를 해하거나 재산.이익을 부당하게 침해할 우려가 있는 경우 3. 공공기관의 소관업무 수행 4. 처리하지 아니하면 계약한 서비스를 제공하기 곤란한 경우로서 정보주체가 해지의사를 명확히 밝히지 않은 경우	행사방법(열람, 정정·삭제, 처리정지) 및 절차, 이의제기, 동의철회, 처리기록, 타인권리침해
3.5.3 이용내역 통지	•개인정보 이용내역을 주기적으로 통지 (정통망법에 의한 정보통신서비스제공자에한함) - 대상 : ①전년도 말 기준 직전 3개월간 이용자수가 일일평균 100만영 이상이거나 ②정보통신서비스 전년도매출액이 100억원 이상인 정보통신서비스 제공자 * 망분리 대상이랑 동일함. 100,100 - 주기 : 연 1회 이상 - 방법 : 전자우편, 서면, 모사전송, 전화등 유사한방법 (위 통지방법대신 홈페이지등에 게제하는 건 안된다.) (단, 연락처등 통지할수 있는 개인정보를 수집하지 아니한 경우 에는 통지 안해도 된다.)	이용내역 주기적 통지 (100/100연1회), 통지항목 법 요구항목 포함

728x90

LIST

'ISMS-P' 카테고리의 다른 글

ISMS-P 유사 인증기준 항목 비교 (2/2) (0)	2021.01.21
ISMS-P 유사 인증기준 항목 비교 (1/2) (0)	2021.01.19
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(2/3) (0)	2021.01.15
ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(1/3) (0)	2021.01.13
ISMS-P 인증기준 - 2. 보호대책 요구사항 (3/3) (0)	2021.01.11

PREV 1 NEXT

IT자격증

개인정보파일

ISMS-P 키워드별 정리(7/10)

'ISMS-P' 카테고리의 다른 글

ISMS-P 인증기준 - 3. 개인정보 처리단계별 요구사항(3/3)

'ISMS-P' 카테고리의 다른 글

+ Recent posts

티스토리툴바