[정보보안기사] 개인정보 안전성 확보조치 기준

1. 개인정보 안전성 확보조치 기준

제1조(목적)

개인정보보호법(이하 "법"이라 한다) 제29조와 같은 법 시행령(이하 "영"이라 한다) 제16조 제2항, 제30조 및 제30조의2에 따라

개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실 · 도난 · 유출 · 위조 · 변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적 · 관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다.

 

 

---

2. 내부 관리계획 수립

제4조(내부 관리계획의 수립 · 시행)

① 개인정보처리자는 개인정보의 분실·도난·유출·위조·변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립·시행하여야 한다.

1. 개인정보 보호책임자의 지정에 관한 사항 

2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항 

3. 개인정보취급자에 대한 교육에 관한 사항 

4. 접근 권한의 관리에 관한 사항 

5. 접근 통제에 관한 사항 

6. 개인정보의 암호화 조치에 관한 사항 

7. 접속기록 보관 및 점검에 관한 사항 

8. 악성프로그램 등 방지에 관한 사항 

9. 물리적 안전조치에 관한 사항 

10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항 

11. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항 

12. 위험도 분석 및 대응방안 마련에 관한 사항 

13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항 

14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항 

15. 그 밖에 개인정보 보호를 위하여 필요한 사항 

* 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인 · 개인 · 단체의 경우에는 생략할 수 있다.

 

 

---

3. 접근권한 관리

제5조(접근 권한의 관리)

① 개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다. 

② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다. 

③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다. 

④ 개인정보처리자는 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 개인정보취급자 별로 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다. 

⑤ 개인정보처리자는 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용하여야 한다. 

⑥ 개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다. 

 

 

 

---

4. 암호화 대상

개인정보처리자는 다음 각 호의 해당하는 이용자의 개인정보에 대해서는 안전한 암호 알고리즘으로 암호화하여 저장하여야 한다.

1. 주민등록번호

2. 여권번호

3. 운전면허번호

4. 외국인등록번호

5. 신용카드번호

6. 계좌번호

7. 생체인식정보

 

 

---

5. 암호키 관리

10만명 이상의 정보주체에 관하여 개인정보를 처리하는 대기업 · 중견기업 · 공공기관 또는 100만명 이상의 정보주체에 관하여 개인정보를 처리하는 중소기업 · 단체에 해당하는 개인정보처리자는 암호화된 개인정보로를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기에 관한 절차를 수립 · 시행하여야 한다.