개인정보의 기술적,관리적 보호조치 기준 해설서 요약 (망법)

개인정보보호법의 안전성 확보조치에 이어 이번에는 정보통신망법(망법)의  기술적, 관리적 보호조치 기준에 대해 알아보겠다. 

개인정보보호법의 안전성 확보조치와 비교대조하여 공부해야 하는 포인트가 많은 부분이다. 

 

 

개인정보의 기술적,관리적 보호조치 기준 해설서(망법)

 

# 개요 및 용어 

적용대상 : 정보통신서비스 제공자, 제공자등, 위탁받은자..

· 개인정보관리책임자 : 업무총괄, 결정하는 임직원

· 개인정보취급자 : 처리하는자

· 망분리 : 외부 인터넷망 <-> 업무망  분리.

· 접속기록 : 이용자나 취급자가 사용한거 전자적으로 기록

· p2p : 서버없이 개인-개인직접연결파일공유

· 모바일기기 : 무선망을 이용할수있는휴대용기기 (개인정보랑 다르네)

· 인증정보 : 개인정보처리시스템,정보통신망관리하는 시스템등이 요구한 식별자의 신원을 검증

· 보안서버 : 정보통신망에서 송수신하는 정보를 암호화하여 전송하는 웹서버

# 제3조 내부관리계획 

아래 내용 정해서 개인정보보호 조직 구성 운영해야함

1. 개인정보관리책임자의 자격요건 및 지정  (일부만)

- 인터넷외 : 상시 종업원수 5명이상만!!

- 인터넷사업 : 전년도말기준 직전 3개월간 일일평균이용자 1천명 초과인자들만 지정해야함!

- 임원 / 고충처리 부서의장 .

2. 관리책임자와 취급자의 역할 및 책임

3. 내부관리계획의 수립 및 승인에 관한 사항 (이력관리필요, 모든임직원에게 전파)

4. 기술적,관리적 보호조치 이행 여부의 내부 점검에 관한 사항 (최소 연1회 점검,의뢰가능)

5. 위탁 경우 수탁자에 대한 관리,감독 (결과보관,후속조치)

6. 분실,도난,누출,변조,훼손 시 대응절차

- 신고 : 즉시 24시간내  방통위 또는 한국인터넷진흥원에 신고

- 통지 : 즉시(24시간) 해당 이용자에게 유출사실 통지

7. 그밖에

->관리책임자 및 취급자 대상 정기적 교육.에 관한 사항 정해야함 (연1회, 업무마다 다르게)

->그밖에 4-8 조 까지 세부사항을 포함하여 내부관리계획 수립해야함 걍 아래 다 포함

 

# 제4조 접근통제 

1. 접근권한을 필요한 책임자/취급자에게만 부여

-필요한 최소한에게 부여, DB직접 접속은 관리자 한정 , 차등 권한 부여

2. 인사이동시 지체없이 접근권한 변경

3. 권한변경 : 최소 5년 보관

4. 안전한 인증수단으로 외부에서 시스템 접근하기(PKI, 보안토큰, OTP) + VPN(IPSec, SSL) 전용선

5. IP제한 기능필요, 재분석 탐지 기능 필요함

-접근제한기능,유출탐지기능이 모두 충족되어야함!!! 어느경우라도.

-침입차단시스템, 침입탐지시스템,침입방지시스템,시큐어 오에스, 웹방화벽,로그분석,ACL등

6. 처리시스템 접근권한설정, 다운로드,파기 할수있는 컴퓨터를 물리적/논리적으로 망분리

-> 전년도말기준직전 3개월간, 일일평균 100만명이상 이거나 전년도 매출액 100억이상인 정보통신 제공자등 . 매출액 산정시는 정보통신서비스 부문만 .

-물리적 : 완전 분리, 논리적 : 가상화를 통해 분리.

-개인정보처리시스템에서 단순히 개인정보 열람/조회만할떄는 망분리 안해도됨

7. 이용자대상 비밀번호 작성규칙

8. 취급자 대상 비밀번호 작성 규착 : 10-2, 8-3  , 반기별 1회 이상 변경

9. 개인정보취급자의 컴퓨터와 모바일 기기에,  유출되지 않도록 조치해야함

10. 최대접속 시간 제한 조치 (화면보호기만은 안됨, 최소 10분-30분 내로정해야함)

 

# 제5조 접속기록위변조방지

1. 접속기록을 월1회이상 정기적확인감독, 최소 6개월 보관해야함. (이용자 :3개월)

  - 식별자,접속일시,접속지, 수행업무.

2. 기간통신사업자(전기통신회선설비설치, 그를이용 기간통신역무제공) : 2년임

3. 별도 저장장치에 정기적인 백업수행해야함

 

# 제6조 개인정보의 암호화

1.비밀번호는 일방향 암호화 (MD5, SHA-1 은 안됨)

2.필수 암호화 :(주민,여권,운전,외국인등록, 신용카드,계좌번호, 바이오정보

 - 주민번호는 이때만 수집가능(본인확인기관/법령/영업상불가피하고 고시된거) ->그래도 대체수단을 제공해야함.

3. 정통망통해 인증정보 송수신시 SSL, 웹서버에 암호화응용프로그램설치 중 하나해야함

4. 제공자등은 개인정보를 저장할때 암호화해야함. (오피스는 오피스제공하는거 이용, 모바일은 디바이스 암호화 기능, MDM) -> 이따 보안강도 128이상

 

# 제 7 조 악성프로그램방지

보안업데이트 형상관리권고

 

# 제 8 조 물리적 접근 방지

전산실 자료보관실등에 출입기록 작성관리 신청서 하기

 

#제 9 조 출력,복사시 보호조치

용도 특정, 출력항목 최소화 2. 출력복사 기록 관리

 

# 제 10조 개인정보 표시제한 보호조치(망법만) 

처리시 개인정보 조회/출력등 할때 마스킹 할수있음.

 

#제 11 조 규제의 재검토

2015/1/1 기준으로 매3년동안재검토