뭐해먹고사나
안전성 확보 조치 기준 해설서 요약 (개인정보 처리자 유형 분류 별 기준) 본문
안전성 확보조치 기준 해설서(개인정보보호법)
1. 개요 / 용어 정리
- 안전성 확보에 필요한 기술적,관리적, 물리적 안전조치 최소한의 기준 정함.
개인정보처리자(수탁자포함)는 이기준을 준수해야함.
- 과징금 : 2년이하 징역 or 2천만원이하 벌금 , 3천만원이하의 과태료
- 관리용 단말기 : 개인정보처리시스템에 직접 접속하는 단말기.
- 위험도분석 : 다양한 위험요소 식별평가, 방안마련.
- 개인정보처리자 : 업무를 목적으로 파일운용, 개인,법인 단체 등.
- 대기업 : 상호출자제한기업집단 / 채무보증제한기업집단
- 중견기업 : 중소기업아니고, 공공기관 아닌..
- 중소기업 : 평균매출액 / 연간매출액 : 차산총액 5천억원 미만
- 소상공인 : 상시근로자수 10명 미만 (광업,제조업,건설업,운수업 외는 5명 미만!)
- 개인정보취급자 : 처리자의 지휘감독받아 처리업무담당하는 임직원, 파견,시간제근로자, 비정규직등 모든 형태, 프리랜서도 포함
- 공개된 무선망 : 공공장소, 회의실, 주차장 등에 설치된 AP(Access Point).
단, 업무처리 목적으로 사무실에 설치된건 아님. CDMA, WCDMA 기술도 공개된 무선망에서 제외!
- 모바일 기기 : 개인정보 처리에 이용되는 휴대용 기기
2. 개인정보 처리자 유형 분류
- 공공, 대기업, 중견기업 : 표준/강화 (10만명 기준)
- 중소기업 : 표준/강화 (100만명 기준)
- 소상공인, 개인 : 완화/표준 (1만명 기준)
- 단체 : 완화/표준/강화 (1만명 / 100만명 기준)
- 각 단체 표준구간별로 비교하면
공/대/중견 0~99,999 : 표준
중소 0~999,999 : 표준
개인/소상 10,000~ : 표준
단체 10,000 ~ 999,999 : 표준
제4조 내부관리계획 수립 (버전관리필요)
1. [표준] 보호책임자 지정 : 교육청-3급이상, 자치구 – 4급이상.
2. [표준] 보호책임자/취급자의 역할 및 책임
3. [표준] 취급자 교육
4. [표준] 접근권한 : 최소3년보관
5. [표준] 접근통제
6. [표준] 개인정보 암호화 조치
7. [표준] 접속기록보관/점검
8. [표준] 악성프로그램 방지
9. [표준] 물리적 안전조치
10. [표준] 보호조직 구성/운영
11. [표준] 개인정보 유출사고 대응 계획 수립
12. [강화] 위험도 분석 및 대응방안 마련
13. [강화] 재해/재난 대비 물리적 안전조치
14. [강화] 위탁하는 경우 수탁자에 대한 관리/감독
15. [표준] 그밖에
!!보호책임자는 내부관리계획 이행실태 연1회이상 점검관리
제5조. 접근권한
1. [완화] 접근권한 최소한범위로 차등부여
2. [표준] 인사이동 시 지체없이 접근권한 변경
3. [표준] 위 기록을 3년 보관
4. [표준] 취급자별로 사용자계정발급, 공유안됨 (책임추적성)
5. [표준] 비밀번호 작성규칙 수립,적용(8-2, 10-1) (옛날건,, 8-3, 10-2 이네 )
6. [완화] 비번 여러번 틀리면 접근 제한하기 (예 5회)
제6조. 접근통제
1. [완화] 비인가IP제한/ 분석해서 탐지
2. [표준] 외부에서 개인정보시스템 접속시 VPN (IPsec, SSL)혹은 , 전용선, 혹은 인증수단(PKI,OTP)
3. [완화] 구글,p2,공개무선망등공개유출안되도록 접근 통제 조치해야함 (포트차단,WPA2 사용하는 무선망 통해 전송)
4. [표준] 고유식별정보 처리자는 연1회이상 고유식별정보 취약점 점검/보완
(취약점 : sqlinjection, crosssite script, zeroboard등.. )
5. [표준] 일정시간 업무처리안하면 자동 로그아웃
6. [완화] 모바일/업무용으로 시스템접근시에는 1번은적용안해도되고 대신 OS 나 보안프로그램에서 제공하는 접근통제 기능 이용(방화벽등)
7. [완화] 모바일에 비밀번호 설정등 보호조치 필요 (MDM)
제7조. 암호화
1. [완화] 고유/비밀/바이오 정통망 송신, 보조저장매체 전달시 암호화(SSL,
2. [완화] 비밀번호, 바이오 저장시 암호화, 비번은 일방향
3. [완화] 고유를 DMZ나 외부망에 저장시 암호화
4. [완화] 고유 내부망 저장->, 공공기관은 영향평가 결과대로 암호화, 그외는 위험도 분석에 따라.
5. [완화] 암호화시 안전한 암호알고리즘으로 저장
대칭키 : AES 128/192/256, 3TDEA(국내는권고X), Camellia-128/192/256, Serpent-128/192/256, SEED,HIGHT,ARIA-128/192/256, LEA-128/192/256
공개키 : RSA, RSAS-OAEP, RSA-OAEP, RSAES
일방향 : SHA-224/256/384/512, Whirlpool,
* 일방향(해쉬) 중 SHA-1(160) 은 권장 X, HAS-160도 X, MD5 도 X, ->보안강도가 80비트여서.
보안강도 112인 SHA-224부터 권고함~
6. [완화] 암호키 생성,이용,보관, 파기등 절차 수립, 시행
7. [강화] 고유 저장관리시 암호화 소프트웨어 혹은 안전한 알고리즘을 통해 암호화 후 저장.
제 8조 접속기록 보관 및 점검 [완화]
보유기간 : 기본적으로 접속기록 1년이상 보관, 관리 해야함
정보주체가 5만명 이상일 경우 2년이상
고유식별정보, 민감정보 처리시 2년이상
필수항목 : 계정/접속일지/접속지정보/처리한정보주체/수행업무 ->과도하게 저장되지않아야함.
상시적으로 백업해서 다른 하드에 저장하기. 덮어쓰기 방지하기, 위변조 안되도록!
제 9조 악성프로그램 등 방지 [완화]
백신의 자동업데이트 / 일1회이상 업데이트 / 취약점 바로 업데이트
제10 조 관리용단말기 안전조치 [완화]
관리용 단말기를 인가받은 사람만 조작하도록 조치, 다른목적으로사용불가, 악성프로그램 방지
제11 조 물리적 안전조치 [완화]
전산실, 자료보관실 등에 출입통제 절차 수립, 개인정보 포함된 문서는 별도 잠금장치에 있는곳에 보관하기, 개인정보 포함된 보조저장매체 반출입 통제 보완대책
제12 조 재해,재난대비 안전조치 [강화]
1. 강화 홍수화재등 재난 발생시 위기대응매뉴얼 수립, 점검
2. 강화 백업, 복구 계획 마련
제 13조 개인정보의 파기
완전파괴(소각,파쇄), 전용소자장비, 초기화,덮어쓰기 수행, 일부만 파기시 마스킹, 전자적파일이라면 삭제 후 관리감독하기.
'본업 > 개인정보 CPPG' 카테고리의 다른 글
개인정보의 기술적,관리적 보호조치 기준 해설서 요약 (망법) (0) | 2020.02.12 |
---|---|
개인정보보호법, 정보통신망법 3단비교표 법제처 이용하기 방법 (0) | 2020.02.08 |
개인정보관리사 CPPG 봐야 할 자료 총 정리 (0) | 2020.02.06 |
개인정보관리사 CPPG 접수 방법 (사이트, 2020년 시험일정, 비용 등) (0) | 2020.02.06 |
개인정보관리사 CPPG 합격 후기 (제31회, 2019.12.01) (2) | 2020.02.06 |