개인정보처리자9 개인정보 안전성 확보조치 (3. 접근통제) 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음의 안전조치를 적용 개인정보처리시스템에 대한 접속 권한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가받지 않은 접근을 제 한 개인정보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단 적용 (다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단 적용 가능) -> (기술 중립적으로 다양한 조치가 가능하도록 개선) 기술적 관리적 보호조치 기준의 비밀번호 작성 규칙 관련 조항은 삭제되었으나 안전.. 2023. 11. 29. 개인정보 안전성 확보조치 규정 개정 1. 개인정보보호법 안전성 확보조치 개정의 개요 -개인정보보호법 제29조 안전조치의무의 개정에 따른 안전성 확보조치의 현황 정리 -2023년 9월 22일 일부개정 사항에 대한 정리 2. 확보조치 개정의 배경 : -안전조치 기준이 모든 개인정보처리자에게 동일하게 적용되도록 일원화 -클라우드 확산, 인증수단 다양화 등 기술변화 반영 -개인정보의 안전조치를 위한 다양한 기술 도입 가능하도록 기술 종속적인 규정을 중립적으로 개정 -일반규정과 특례규정 간 유사/상이한 조항의 통합 *이용자 : 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제4호에 따른 정보통신서비스 제 공자가 제공하는 정보통신서비스를 이용하는 자를 의미함 **정보주체 : 처리되는 정보에 의해 알아볼 수 있는 사람 (그 정보의 주체.. 2023. 11. 29. (ISMS-P) 개인정보처리자와 정보통신서비스 제공자 범위 (개보법) 개인정보의 오용·남용 및 유출등을 감독할 감독기구를 개인정보 보호위원회로 통합하고, 「정보통신망의 이용촉진 및 정보보호 등에 관한 법률」과의 유사·중복 규정은「개인정보 보호법」으로 일원화하기 위해 개인정보 보호 관련 법령을 체계적으로 정비하였다. 개인정보보호법은 일반법으로서 모든 개인정보처리자와 정보주체와의 관계에 적용된다. 다만, 「신용정보법」에 따른 신용정보사업자와 신용정보주체와의 관계에 있어서 해당 법에 특 별한 규정이 있다면 그 규정을 따른다. 종래 정보통신서비스 제공자와 정보통신서비스 이용자 사이의 관계에서는「정보통신망법」에 특별한 규정이 있는 경우 해당 규정이 우선 적 용되었으나, 2020년 2월 4일의「개인정보 보호법」개정으로 「정보통신망법」의 개인정보보호와 관련된 규정은 「개인정보 보호법」.. 2022. 3. 21. (ISMS-P) 2.5.6. 접근권한 검토 (항목) 2.5.6. 접근권한 검토 (내용) 정보시스템과 개인정보 및 중요정보에 접근하는 사용자 계정의 등록·이용·삭제 및 접근권한의 부여·변경·삭제 이력을 남기고 주기적으로 검토하여 적정성 여부를 점검하여야 한다. 2021. 11. 9. (CSAP) 클라우드 서비스 제공 과정에서 개인정보 처리 1. 개인정보 수집 관련 근거 가. 개인정보보호법 기준 개인정보보호법 제15조(개인정보의 수집, 이용) 제1항에 따라 정보주체의 동의를 받아 처리 제2항부터 제6항까지 예외 조항에 따라 동의 없이 추가 가능 특히 제4항 정보주체와의 계약 체결, 이행을 위해 불가피한 경우와 제6항 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 (정보주체의 권리보다 우선하는 경우)에 동의 없이 개인정보를 수집 가능 나. 관련 용어 정보주체 : 처리되는 정보에 의해 알아볼 수 있는 사람 개인정보처리자 : 업무를 목적으로 개인정보파일을 운영하기 위해 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 자 개인정보 수탁자 : 개인정보처리자를 대신하여 개인정보파일을 운영하는 자 (이 경우 개인정보처리자는 위탁자가 됨) 2... 2021. 8. 24. (ISMS-P) 개인정보 유출 및 침해사고 등 발생 시 신고기관 및 이용자 통지 개인정보 유출 및 침해사고 발생 등이 발생하면 개인정보처리자, 정보통신서비스제공자, 클라우드컴퓨팅서비스제공자 등은 각각의 사항에 해당되는 기관에 신고를 하여야함 1) 개인정보 유출 신고 -개인정보처리자 (개인정보보호법 제34조) -정보통신서비스제공자 (개인정보보호법 제39조의4) -상거래 기업 및 법인 (신용정보의 이용 및 보호에 관한 법률 제39조의4) 2) 개인정보 침해 신고 -이용자/정보주체 (개인정보보호법 제62조) 3) 침해사고 신고 -정보통신서비스제공자 (정보통신망법 제48조의3) 4) 클라우드컴퓨팅 관련 침해사고 신고 및 이용자 정보 유출 등 -클라우드컴퓨팅서비스제공자 (클라우드컴퓨팅법 제25조) * 클라우드에 관한 침해사고 및 개인정보 유출 신고는 각각 별도로 신고 개인정보 유출 시 개인정.. 2021. 6. 29. (ISMS-P) 개인정보 수집 이용 제공 동의 시 미흡사항 현업에서 개인정보처리자가 직접 개인정보를 수집하는 경우에 가장 많이 실수하는 부분이 위의 그림과 같이 3곳의 현황이 서로 상이한 경우이다. 1) 회원가입 신청서 내에서 수집하는 개인정보 항목이 개인정보 수집 이용 동의서에서 고지 후 동의를 받는 부분과 일치하도록 관리하여야 한다. 2) 개인정보 수집 이용 동의서에서 고지, 동의받은 사항은 개인정보처리방침 내에서 동일하게 일치하도록 작성 관리되어야 한다. 다음의 예시에서 왼쪽은 서로 내용이 일치하지 않는 예시이며 오른쪽은 3가지 영역에서 서로 내용이 모두 일치한 예시이다. 2021. 6. 16. (CSAP) 개인정보처리시스템 접속기록 보관 기준 기분 개인정보의 안전성 확보조치 기준 개인정보의 기술적 관리적 보호조치 기준 대상 기관 개인정보처리자 정보통신서비스제공자 접속 기록 보관 기간 -개인정보처리시스템에 접속한 기록은 1년 이상 보관 (단 5만명 이상의 정보주체에 관하여 개인정보 처리하거나 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우 2년 이상) -접속기록은 최소 1년 이상 보관 권한 관리 기록 보관 기간 -권한부여, 변경, 말소에 대한 내역을 기록하는 경우관 최소 3년간 보관 -권한부여, 변경, 말소에 대한 내역을 기록하는 경우 최소 5년간 보관 접속기록 점검주기 월 1회 이상 월 1회 이상 접속기록 관리 -접속기록이 위변조 및 도난, 분실되지 않도록 안전하게 보관 -접속기록이 위변조되지 않도록 별도 물리적 저장 장치에 보.. 2021. 6. 8. (CSAP) 사고발생 시 신고기관 및 이용자 통지 개인정보처리자 또는 정보통신서비스제공자가 정보통신망을 이용하여 개인정보를 수집, 보관, 이용하여 서비스를 제공하던 중 개인정보 유출, 침해사고 등이 발생했을 때에는 신고, 통지를 하여야 합니다. 하지만 대상 기관별로 사고 유형에 따라 신고 기관과 기준, 기한 등이 다소 상이하지만 이 차이를 구별하지 않고 관리하는 경우 법률 위반이 될 수 있으므로 주의해야 합니다. 1. 클라우드컴퓨팅서비스제공자의 개인정보 유출 또는 침해사고 발생 시 클라우드컴퓨팅서비스제공자의 경우 대부분 정보통신서비스제공자이므로 개인정보유출 및 침해사고 등이 발생했을 때 개인정보보호위원회 또는 한국인터넷진흥원의 보호나라 등에 신고하는 것으로만 알고 있으나 클라우드컴퓨팅법에 따라 클라우드인증팀에도 별도 신고를 하여야 함을 숙지하고 있어야 .. 2021. 3. 27. 이전 1 다음
