본문 바로가기
  • (개인)정보보호/최신ICT 정보 공유 블로그
(부제) 나는 CISO 이다/ISMS-P 인증심사

개인정보 안전성 확보조치 (11. 공공시스템 운영기관 등 개인정보 안전성 확보조치)

by 노벰버맨 2023. 11. 29.

I. 공공시스템운영기관의 안전조치 기준 적용

  • 다음의 하나에 해당하는 개인정보처리시스템 중 개인정보보호위원회가 지정하는 개인정보처리시스템(이하 공공시스템)을 운영하는 공공기관(이하 공공시스템운영기관)은 안정성 확보조치 기준의 제2장 외에 추가로 이 사항을 조치하여야 함
    • 2개 이상 기관의 공통 또는 유사한 업무를 지원하기 위하여 단일 시스템을 구축하여 다른 기관이 접속하여 이
      용할 수 있도록 한 단일접속 시스템으로서 다음 하나에 해당하는 경우
      • 100만명 이상의 정보주체에 관한 개인정보를 처리하는 시스템
      • 개인정보처리시스템에 대한 개인정보취급자의 수가 200명 이상인 시스템
      • 정보주체의 사생활을 현저히 침해할 우려가 있는 민감한 개인정보를 처리하는 시스템
    • 2개 이상 기관의 공통 또는 유사한 업무를 지원하기 위하여 표준이 되는 시스템을 개발하여 다른 기관이 운영
      할 수 있도록 배포한 표준배포 시스템으로서 대국민 서비스를 위한 행정업무 또는 민원업무 처리용으로 사용
      하는 경우
    • 기관의 고유한 업무 수행을 지원하기 위하여 기관별로 운영하는 개별 시스템으로서 다음의 어느 하나에
      해당하는 경우
      • 100만명 이상의 정보주체에 관한 개인정보를 처리하는 시스템
      • 개인정보처리시스템에 대한 개인정보취급자의 수가 200명 이상인 시스템
      • 「주민등록법」에 따른 주민등록정보시스템과 연계하여 운영되는 시스템
      • 총 사업비가 100억원 이상인 시스템
  • 개인정보보호위원회는 다음에 해당하는 개인정보처리시스템은 공공시스템으로 지정하지 않을 수 있음
    • 체계적인 개인정보 검색이 어려운 경우
    • 내부적 업무처리만을 위하여 사용되는 경우
    • 그 밖에 개인정보가 유출될 가능성이 상대적으로 낮은 경우로서 보호위원회가 인정하는 경우

 

II. 공공시스템운영기관의 내부 관리계획의 수립ㆍ시행

  • 공공시스템운영기관은 공공시스템 별로 다음의 사항을 포함하여 내부 관리계획 수립
    • 영 제30조의2제4항에 따른 관리책임자(이하 "관리책임자"라 한다)의 지정에 관한 사항
    • 관리책임자의 역할 및 책임에 관한 사항
    • 개인정보취급자의 역할 및 책임에 관한 사항
    • 개인정보취급자에 대한 관리ㆍ감독 및 교육에 관한 사항
    • 접근 권한의 관리에 관한 사항
    • 접근 통제에 관한 사항에 관한 사항
    • 접속기록 보관 및 점검에 관한 사항
    • 공공시스템운영기관의 접근 권한의 관리에 관한 사항
    • 공공시스템운영기관의 접속기록의 보관 및 점검에 관한 사항

 

III. 공공시스템운영기관의 접근 권한의 관리

  • 공공시스템운영기관은 공공시스템에 대한 접근 권한을 부여, 변경 또는 말소하려는 때에는 인사정보와 연계 필수
  • 공공시스템운영기관은 인사정보에 등록되지 않은 자에게 개인정보처리시스템에 접근할 수 있는 계정을 발급 금지
    • 다만, 긴급상황 등 불가피한 사유가 있는 경우, 예외
    • 사유를 권한 부여 내역에 포함
  • 공공시스템운영기관은 개인정보처리시스템에 접근할 수 있는 계정을 발급할 때 개인정보 보호 교육 실시, 보안 서약 징구
  • 공공시스템운영기관은 정당한 권한을 가진 개인정보취급자에게만 접근 권한이 부여ㆍ관리되고 있는지 확인
    하기 위하여 접근 권한 부여, 변경 또는 말소 내역 등 반기별 1회 이상 점검
  • 공공시스템에 접속하여 개인정보를 처리하는 기관(이하 "공공시스템이용기관"이라 한다)은 소관 개인정보취
    급자의 계정 발급 등 접근 권한의 부여ㆍ관리를 직접하는 경우 본 내용과 관련된 조치 필요
    • 인사정보에 등록되지 않은 자에게 계정 발급 금지
    • 계정 발급 시 교육 및 서약서 징구
    • 반기 1회 이상 권한부여 이력 점검

 

III. 공공시스템운영기관의 접속기록의 보관 및 점검

  • 공공시스템 접속기록 등을 자동화된 방식으로 분석하여 불법적인 개인정보 유출 및 오용ㆍ남용 시도를 탐지하고 그 사유를 소명하도록 하는 등 필요한 조치 수행
  • 공공시스템운영기관은 공공시스템이용기관이 소관 개인정보취급자의 접속기록을 직접 점검할 수 있는 기능
    을 제공
저작자표시 비영리 변경금지

'(부제) 나는 CISO 이다 > ISMS-P 인증심사' 카테고리의 다른 글

개인정보 안전성 확보조치 (10. 개인정보의 파기)  (0) 2023.11.29
개인정보 안전성 확보조치 (9. 출력 복사 시 안전조치)  (0) 2023.11.29
개인정보 안전성 확보조치 (8. 재해 재난 대비 안전조치)  (0) 2023.11.29
개인정보 안전성 확보조치 (7. 물리적 안전조치)  (0) 2023.11.29
개인정보 안전성 확보조치 (6. 악성프로그램 등 방지)  (0) 2023.11.29

관련글

댓글

티스토리툴바