안전성 확보 조치 기준 해설서 요약 (개인정보 처리자 유형 분류 별 기준)

안전성 확보조치 기준 해설서(개인정보보호법)

 

1. 개요 / 용어 정리

- 안전성 확보에 필요한 기술적,관리적, 물리적 안전조치 최소한의 기준 정함.

  개인정보처리자(수탁자포함)는 이기준을 준수해야함.

- 과징금 : 2년이하 징역 or 2천만원이하 벌금 , 3천만원이하의 과태료

- 관리용 단말기 : 개인정보처리시스템에 직접 접속하는 단말기.

- 위험도분석 : 다양한 위험요소 식별평가, 방안마련.

- 개인정보처리자 : 업무를 목적으로 파일운용, 개인,법인 단체 등.

- 대기업 : 상호출자제한기업집단 / 채무보증제한기업집단

- 중견기업 : 중소기업아니고, 공공기관 아닌..

- 중소기업 : 평균매출액 / 연간매출액 :  차산총액 5천억원 미만

- 소상공인 : 상시근로자수 10명 미만 (광업,제조업,건설업,운수업 외는 5명 미만!)

- 개인정보취급자 : 처리자의 지휘감독받아 처리업무담당하는 임직원, 파견,시간제근로자, 비정규직등 모든 형태, 프리랜서도 포함

- 공개된 무선망 : 공공장소, 회의실, 주차장 등에 설치된 AP(Access Point).

                                단, 업무처리 목적으로 사무실에 설치된건 아님.  CDMA, WCDMA 기술도 공개된 무선망에서 제외!

- 모바일 기기 : 개인정보 처리에 이용되는 휴대용 기기

 

2. 개인정보 처리자 유형 분류 

- 공공, 대기업, 중견기업 : 표준/강화 (10만명 기준)

- 중소기업 : 표준/강화 (100만명 기준)

- 소상공인, 개인 : 완화/표준 (1만명 기준) 

- 단체 : 완화/표준/강화 (1만명 / 100만명 기준)

- 각 단체 표준구간별로 비교하면 

공/대/중견 0~99,999 : 표준

중소 0~999,999 : 표준

개인/소상 10,000~ : 표준

단체 10,000 ~ 999,999 : 표준

 

제4조 내부관리계획 수립 (버전관리필요) 

1. [표준] 보호책임자 지정 : 교육청-3급이상, 자치구 – 4급이상.

2. [표준] 보호책임자/취급자의 역할 및 책임

3. [표준] 취급자 교육

4. [표준] 접근권한 : 최소3년보관

5. [표준] 접근통제

6. [표준] 개인정보 암호화 조치

7. [표준] 접속기록보관/점검

8. [표준] 악성프로그램 방지

9. [표준] 물리적 안전조치

10. [표준] 보호조직 구성/운영

11. [표준] 개인정보 유출사고 대응 계획 수립

12. [강화]  위험도 분석 및 대응방안 마련

13. [강화] 재해/재난 대비 물리적 안전조치

14. [강화] 위탁하는 경우 수탁자에 대한 관리/감독

15. [표준] 그밖에

!!보호책임자는 내부관리계획 이행실태 연1회이상 점검관리

 

제5조. 접근권한  

1. [완화] 접근권한 최소한범위로 차등부여

2. [표준] 인사이동 시 지체없이 접근권한 변경

3. [표준] 위 기록을 3년 보관

4. [표준] 취급자별로 사용자계정발급, 공유안됨 (책임추적성)

5. [표준] 비밀번호 작성규칙 수립,적용(8-2, 10-1)   (옛날건,, 8-3, 10-2 이네 )

6. [완화] 비번 여러번 틀리면 접근 제한하기 (예 5회)

 

제6조.  접근통제

1. [완화] 비인가IP제한/ 분석해서 탐지

2. [표준] 외부에서 개인정보시스템 접속시 VPN (IPsec, SSL)혹은 , 전용선, 혹은 인증수단(PKI,OTP)

3. [완화] 구글,p2,공개무선망등공개유출안되도록 접근 통제 조치해야함 (포트차단,WPA2 사용하는 무선망 통해 전송)

4. [표준] 고유식별정보 처리자는 연1회이상 고유식별정보 취약점 점검/보완

 (취약점 : sqlinjection, crosssite script, zeroboard등.. )

5. [표준] 일정시간 업무처리안하면 자동 로그아웃

6. [완화] 모바일/업무용으로 시스템접근시에는 1번은적용안해도되고 대신 OS 나 보안프로그램에서 제공하는 접근통제 기능 이용(방화벽등)

7. [완화] 모바일에 비밀번호 설정등 보호조치 필요 (MDM)

 

제7조. 암호화

1. [완화] 고유/비밀/바이오 정통망 송신, 보조저장매체 전달시 암호화(SSL,

2. [완화] 비밀번호, 바이오 저장시 암호화, 비번은 일방향

3. [완화] 고유를 DMZ나 외부망에 저장시 암호화

4. [완화] 고유 내부망 저장->, 공공기관은 영향평가 결과대로 암호화, 그외는 위험도 분석에 따라.

5. [완화] 암호화시 안전한 암호알고리즘으로 저장

대칭키 : AES 128/192/256, 3TDEA(국내는권고X), Camellia-128/192/256, Serpent-128/192/256, SEED,HIGHT,ARIA-128/192/256, LEA-128/192/256

공개키 : RSA, RSAS-OAEP, RSA-OAEP, RSAES

일방향 : SHA-224/256/384/512, Whirlpool,

* 일방향(해쉬) 중 SHA-1(160) 은 권장 X, HAS-160도 X, MD5 도 X, ->보안강도가 80비트여서.

  보안강도 112인 SHA-224부터 권고함~

6. [완화] 암호키 생성,이용,보관, 파기등 절차 수립, 시행

7. [강화] 고유 저장관리시  암호화 소프트웨어 혹은 안전한 알고리즘을 통해 암호화 후 저장.

 

제 8조 접속기록 보관 및 점검 [완화] 

보유기간 : 기본적으로 접속기록 1년이상 보관, 관리 해야함

           정보주체가 5만명 이상일 경우 2년이상

고유식별정보, 민감정보 처리시 2년이상

필수항목 : 계정/접속일지/접속지정보/처리한정보주체/수행업무 ->과도하게 저장되지않아야함.

상시적으로 백업해서 다른 하드에 저장하기. 덮어쓰기 방지하기, 위변조 안되도록!

 

제 9조 악성프로그램 등 방지 [완화] 

백신의 자동업데이트 / 일1회이상 업데이트 / 취약점 바로 업데이트

 

제10 조 관리용단말기 안전조치 [완화]  

관리용 단말기를 인가받은 사람만 조작하도록 조치, 다른목적으로사용불가, 악성프로그램 방지

 

제11 조 물리적 안전조치 [완화] 

전산실, 자료보관실 등에 출입통제 절차 수립, 개인정보 포함된 문서는 별도 잠금장치에 있는곳에 보관하기, 개인정보 포함된 보조저장매체 반출입 통제 보완대책

 

제12 조 재해,재난대비 안전조치 [강화]  

1. 강화 홍수화재등 재난 발생시 위기대응매뉴얼 수립, 점검

2. 강화 백업, 복구 계획 마련

 

제 13조 개인정보의 파기 

완전파괴(소각,파쇄), 전용소자장비, 초기화,덮어쓰기 수행, 일부만 파기시 마스킹, 전자적파일이라면 삭제 후 관리감독하기.