내부 관리계획: Difference between revisions

From CS Wiki
No edit summary
 
Line 1: Line 1:
; 개인정보처리자 및 정보통신서비스 제공자는 개인정보의 관리를 위해 내부 규정을 마련하여야 한다.
;개인정보처리자 및 정보통신서비스 제공자는 개인정보의 관리를 위해 내부 규정을 마련하여야 한다.


== 근거 법령 ==
==근거 법령==
* 개인정보 보호법 고시
** [http://www.law.go.kr/행정규칙/개인정보의안전성확보조치기준/제4조 개인정보의 안전성 확보 조치 제4조(내부관리계획의 수립·시행)]
* 정보통신망 이용촉진 및 정보보호 등에 관한 법률 고시
** [http://www.law.go.kr/행정규칙/개인정보의기술적·관리적보호조치기준/제3조 개인정보의 기술적 관리적 보호조치 기준 제3조(내부 관리계획의 수립·시행)]


== 필수적으로 포함하여야 하는 내용 ==
*개인정보 보호법 고시
* 내부 관리계획은 법적으로 아래 내용들을 모두 포함하여야 한다.
**[[개인정보의 안전성 확보조치 기준]]
* 정보통신망법 적용 대상은 모두 개인정보보호법 적용 대상이므로 두 법에 있는 항목을 모두 포함하여야 한다.
**[[개인정보의 기술적·관리적 보호조치 기준]]


=== 개인정보 보호법 ===
==필수적으로 포함하여야 하는 내용==
# 개인정보 보호책임자의 지정에 관한 사항
# 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
# 개인정보취급자에 대한 교육에 관한 사항
# 접근 권한의 관리에 관한 사항
# 접근 통제에 관한 사항
# 개인정보의 암호화 조치에 관한 사항
# 접속기록 보관 및 점검에 관한 사항
# 악성프로그램 등 방지에 관한 사항
# 물리적 안전조치에 관한 사항
# 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
# 개인정보 유출사고 대응 계획 수립·시행에 관한 사항
# 위험도 분석 및 대응방안 마련에 관한 사항
# 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
# 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
# 그 밖에 개인정보 보호를 위하여 필요한 사항


=== 정보통신망법 ===
*내부 관리계획은 법적으로 아래 내용들을 모두 포함하여야 한다.
# 개인정보관리책임자의 자격요건 및 지정에 관한 사항
*정보통신서비스제공자 또한 모두 개인정보보호법 적용 대상이므로 두 법에 있는 항목을 모두 포함하여야 한다.
# 개인정보관리책임자와 개인정보취급자의 역할 및 책임에 관한 사항
# 개인정보 내부관리계획의 수립 및 승인에 관한 사항
# 개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항
# 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
# 개인정보의 분실·도난·누출·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항
# 그 밖에 개인정보보호를 위해 필요한 사항


== 기타 의무 ==
===개인정보처리자===
* 개인정보처리자 유형1에 해당하는 경우 내부 관리계획을 수립하지 않을 수도 있다.
* 개인정보처리자는 각 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
* 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검·관리하여야 한다.
** 여기서 이행 실태 점검이란 PC 보안점검과 같은 단순한 보안 감사가 아니다.
** 내부 관리계획이 실질적으로 잘 적용되고 있는지에 대한 부분
** 내부 관리규정에 맞게 전사 보안이 이루어지고 있는지와 동시에 내부 관리계획이 실무적인 보안 현황과 일치하는지를 확인
** 개인정보 보호책임자는 이 점검에서 불일치가 확인되는 경우 내부 관리계획을 수정하거나 보안 조치를 조정 하여 일치시켜야 한다.
* 내부 관리계획은 경영진의 승인을 받고 전사적으로 시행 되어야 한다.
* 내부 관리계획은 전 직원이 쉽게 열람할 수 있도록 공시하여야 한다.
** 그룹웨어, 업무포털 게시판 등을 통해 공시한다.
** 개정이 이루어질 경우 개정 즉시 업데이트 한다.


#개인정보 보호책임자의 지정에 관한 사항
#개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
#개인정보취급자에 대한 교육에 관한 사항
#접근 권한의 관리에 관한 사항
#접근 통제에 관한 사항
#개인정보의 암호화 조치에 관한 사항
#접속기록 보관 및 점검에 관한 사항
#악성프로그램 등 방지에 관한 사항
#물리적 안전조치에 관한 사항
#개인정보 보호조직에 관한 구성 및 운영에 관한 사항
#개인정보 유출사고 대응 계획 수립·시행에 관한 사항
#위험도 분석 및 대응방안 마련에 관한 사항
#재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
#개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
#그 밖에 개인정보 보호를 위하여 필요한 사항
===정보통신서비스제공자===
#개인정보 보호책임자의 자격요건 및 지정에 관한 사항
#개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항
#개인정보 내부관리계획의 수립 및 승인에 관한 사항
#개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항
#개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
#개인정보의 분실·도난·유출·위조·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항
#그 밖에 개인정보보호를 위해 필요한 사항
==기타 의무==
*개인정보처리자 유형1에 해당하는 경우 내부 관리계획을 수립하지 않을 수도 있다.
*개인정보처리자는 각 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
*개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검·관리하여야 한다.
**여기서 이행 실태 점검이란 PC 보안점검과 같은 단순한 보안 감사가 아니다.
**내부 관리계획이 실질적으로 잘 적용되고 있는지에 대한 부분
**내부 관리규정에 맞게 전사 보안이 이루어지고 있는지와 동시에 내부 관리계획이 실무적인 보안 현황과 일치하는지를 확인
**개인정보 보호책임자는 이 점검에서 불일치가 확인되는 경우 내부 관리계획을 수정하거나 보안 조치를 조정 하여 일치시켜야 한다.
*내부 관리계획은 경영진의 승인을 받고 전사적으로 시행 되어야 한다.
*내부 관리계획은 전 직원이 쉽게 열람할 수 있도록 공시하여야 한다.
**그룹웨어, 업무포털 게시판 등을 통해 공시한다.
**개정이 이루어질 경우 개정 즉시 업데이트 한다.
== 각주 ==
[[분류:개인정보보호]]
[[분류:개인정보보호]]
[[분류:컴플라이언스]]
[[분류:컴플라이언스]]

Latest revision as of 09:43, 26 June 2022

개인정보처리자 및 정보통신서비스 제공자는 개인정보의 관리를 위해 내부 규정을 마련하여야 한다.

근거 법령[edit | edit source]

필수적으로 포함하여야 하는 내용[edit | edit source]

  • 내부 관리계획은 법적으로 아래 내용들을 모두 포함하여야 한다.
  • 정보통신서비스제공자 또한 모두 개인정보보호법 적용 대상이므로 두 법에 있는 항목을 모두 포함하여야 한다.

개인정보처리자[edit | edit source]

  1. 개인정보 보호책임자의 지정에 관한 사항
  2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
  3. 개인정보취급자에 대한 교육에 관한 사항
  4. 접근 권한의 관리에 관한 사항
  5. 접근 통제에 관한 사항
  6. 개인정보의 암호화 조치에 관한 사항
  7. 접속기록 보관 및 점검에 관한 사항
  8. 악성프로그램 등 방지에 관한 사항
  9. 물리적 안전조치에 관한 사항
  10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
  11. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항
  12. 위험도 분석 및 대응방안 마련에 관한 사항
  13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
  14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
  15. 그 밖에 개인정보 보호를 위하여 필요한 사항

정보통신서비스제공자[edit | edit source]

  1. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
  2. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항
  3. 개인정보 내부관리계획의 수립 및 승인에 관한 사항
  4. 개인정보의 기술적·관리적 보호조치 이행 여부의 내부 점검에 관한 사항
  5. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
  6. 개인정보의 분실·도난·유출·위조·변조·훼손 등이 발생한 경우의 대응절차 및 방법에 관한 사항
  7. 그 밖에 개인정보보호를 위해 필요한 사항

기타 의무[edit | edit source]

  • 개인정보처리자 유형1에 해당하는 경우 내부 관리계획을 수립하지 않을 수도 있다.
  • 개인정보처리자는 각 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다.
  • 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검·관리하여야 한다.
    • 여기서 이행 실태 점검이란 PC 보안점검과 같은 단순한 보안 감사가 아니다.
    • 내부 관리계획이 실질적으로 잘 적용되고 있는지에 대한 부분
    • 내부 관리규정에 맞게 전사 보안이 이루어지고 있는지와 동시에 내부 관리계획이 실무적인 보안 현황과 일치하는지를 확인
    • 개인정보 보호책임자는 이 점검에서 불일치가 확인되는 경우 내부 관리계획을 수정하거나 보안 조치를 조정 하여 일치시켜야 한다.
  • 내부 관리계획은 경영진의 승인을 받고 전사적으로 시행 되어야 한다.
  • 내부 관리계획은 전 직원이 쉽게 열람할 수 있도록 공시하여야 한다.
    • 그룹웨어, 업무포털 게시판 등을 통해 공시한다.
    • 개정이 이루어질 경우 개정 즉시 업데이트 한다.

각주[edit | edit source]