개인정보 안전성 확보조치 (1. 내부 관리계획과 교육)

개인정보보호법 시행 2023.09.15 반영

 

I. 개인정보 안전성 확보조치(내부 관리계획)의 개요

가. 개요

-개인정보처리자는 개인정보의 안전성 확보를 위해 기술적, 관리적, 물리적 안전조치 세부추진방안을 포함한 내부 관리계획을 수립/시행하여야 함

-1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인/개인/단체 등은 생략 가능

 

II. 내부 관리계획의 포함 내용

• 개인정보 보호 조직의 구성 및 운영에 관한 사항
• 개인정보 보호책임자의 자격요건 및 지정에 관한 사항 (CPO와 정보통신망법 제45조의3 CISO는 동일인 지정 또는 별도 지정 가능)
• 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항
• 개인정보취급자에 대한 관리ㆍ감독 및 교육에 관한 사항
• 접근 권한의 관리에 관한 사항
• 접근 통제에 관한 사항
• 개인정보의 암호화 조치에 관한 사항
• 접속기록 보관 및 점검에 관한 사항
• 악성프로그램 등 방지에 관한 사항
• 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항
• 물리적 안전조치에 관한 사항
• 개인정보 유출사고 대응 계획 수립ㆍ시행에 관한 사항
• 위험 분석 및 관리에 관한 사항
• 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
• 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항
• 그 밖에 개인정보 보호를 위하여 필요한 사항 (***개인정보처리자 스스로 필요한 사항을 포함 가능)

III. 내부 관리계획의 관리

가. 중요한 변경 발생 시

-위의 각 항목의 내용 중 중요한 변경이 있는 경우 즉시 내부 관리계획을 수정/반영/시행하고, 이력 관리

 

나. 내부 관리계획 이행실태 점검

• 접근 권한 관리
• 접근 기록 보관 및 점검
• 암호화 조치 등 내부 관리계획 이행 실태를 연1회 이상 점검, 관리

IV. 개인정보보호 교육

-대상 : 개인정보 보호책임자 및 개인정보취급자

-내용 : 사업 규모, 개인정보 보유 수, 업무 성격 등에 따라 차등화하여 교육 실시

-일정 : 정기적으로 실시

*교육 목적 및 대상, 내용, 일정 및 방법 등의 내용을 정하여 교육