개인정보관리책임자의 개인정보보호정책

개인정보 관리 책임자의 개인정보보호

1. 회사 업무자료 등 일반 데이터와 분리하여 보관, 유지함으로써 일반 데이터 보다 접근이 어렵도록 통제컴퓨터를 이용하여 이용자의 개인정보를 처리하는 경우에는 개인정보에 대한 접근권한을 가진 담당자 및 관리자를 지정하여 접근 계정(ID) 및 비밀번호를 부여

2. 개인정보의 접근 계정(ID)은 일반 직원 계정과 관리자 계정으로 분리하여 관리하고 인사이동 등이 있을 경우 ID 변경, 말소 등 필요한 조치를 함

3. 비밀번호는 추측 가능한 숫자나 기호의 사용은 금지하고 정기적(가급적 월 1회 이상)으로 갱신

• 생일 및 주민등록번호, 자택 또는 직장 전화번호, 연속된 숫자 등은 외부에 노출되기 쉬운 비밀번호이므로 사용을 금지
• 시스템 Login시 정기적인 갱신시간이 경과할 경우 패스워드 변경 후 Login이 가능토록 설정

4. 개인정보 처리,저장 시스템에 접근하여 개인정보를 입 출력한 경우에는 입·출력 일자, 주요내용 및 개인정보의 복사수정 여부 등 접근취급 기록을 관리하고 개인정보관리책임자는 이를 정기적으로 확인감독

5. 개인정보를 종이로 출력하거나 디스켓,HDD,CD등 이동 가능한 저장매체에 복사할 경우 개인 정보관리 책임자의 사전승인을 의무화하고 해당 저장매체에 일련번호 부여 등 필요한 조치를 함

6. 인터넷 망을 통한 해킹 등 개인정보의 불법적 접근을 감지,확인하기 위해 필요한 시스템 접속 기록을 수집하여 수시 또는 정기적으로 점검,분석

개인정보 처리시스템 설치 장소에 대한 출입통제

1. 개인정보가 저장 처리되는 정보시스템은 안전한 장소, 시설 등에 보관관리하며, 보안구역으로 지정하여 신원확인장치, 잠금 장치, 감시장치 등 물리적 접근제어 장치를 이용하여 인가된 자에 한하여 출입을 허용한다.

      물리적 접근제어 장치 및 보안설비(예시)

• 외부 침입자 차단을 위한 잠금 장치(열쇠, 자물쇠)
• 보안 기능을 가진 전자적 잠금 장치 (키카드, 스마트카드)
• 생체 특성을 이용한 잠금 장치(지문, 홍채인식기, 적외선 감지기)
• 단 접근 및 조작에 대한 경보시스템 (CCTV, 경보기) 등

2. 24시간 상시 관리감독이 가능토록 담당 인력을 상주시키거나 원격 모니터링을 실시하며 출입자의 신원 및 출입 목적·시간등을 기록·관리

3. 출입통제활동을 방해하는 정전, 화재, 지진, 낙뢰 등 긴급 상황에 신속히 대처할 수 있는 장치시설 마련

네트워크를 통한 접근 통제 및 보안조치

1. 인터넷 홈페이지 등 정보통신망을 통하여 회원가입, 계약체결, 서비스 제공시 이용자의 신용카드번호, 은행결제계좌 및 신용카드 사용내역 등 개인정보를 수집하거나 이용자가 직접 자신의 개인정보를 열람, 수정할 수 있도록 하는 경우 식별 계정(ID) 및 비밀번호 확인, 전자서명 등을 통해 당해 이용자가 진정한 본인임을 확인하는 조치마련

• 수집된 정보가 실명임을 확인하기 위해 신용정보의 이용 및 보호에 관한 법률에 의해 금융감독위원회의 허가를 받은 신용
• 정보업자의 인증서비스를 제공받는 등 필요한 확인 조치 필요

2. 네트워크상에서 개인정보를 안전하게 전송할 수 있도록 SSL, SET 등 암호알고리즘을 이용한 보안조치 마련. 정보통신망을 통해 개인정보를 저장, 처리하는 정보시스템에 불법하게 접근하는 행위. (해킹)를 방지차단하기 위해 정보보호 시스템 또는 프로그램 설치 등 필요한 기술적 조치를 취함

• 채용 가능한 정보보호시스템 및 프로그램(예시) : 침입차단시스템(Firewall), 침입탐지시스템(IDS), 기타 관련 S/W

3. 접속실패 허용 횟수를 정하여 일정 횟수(보통 3회) 이상 시스템 접속에 실패한 경우에는 경고 및 접속 중단 등 접근을 통제토록 설정, 개인정보의 멸실·도난·훼손 등을 방지하기 위해 개인정보를 처리, 저장하는 컴퓨터 및 자기매체에 대한 컴퓨터 바이러스침투 여부를 수시 점검·치료할 수 있도록 백신 프로그램 등을 설치·운영

• 백신프로그램은 항상 최근 버전으로 갱신되도록 관리

4. 프로그램 및 데이터를 저장·설치하는 경우 항상 컴퓨터바이러스 감염 여부를 점검

5. 정보보호시스템 운영·관리자는 시스템운영 프로그램(OS)의 보안 취약성을 보완하는 프로그램 (보안 패치 프로그램)을 시스템·운영 프로그램 제공업체에서 배포하는지 여부를 항상 모니터링하여 제공된 패치 프로그램을 지체없이 설치

• 일정 수준의 전문성을 갖춘 보안 전문가로 하여금 정보보호 시스템을 운영·관리토록 조치하고 정기적으로 보수 교육 기회를 제공

개인정보 백업 조치

1. 정보시스템에 보관된 개인정보는 개인정보의 중요도, 유형을 분석하여 CD,백업용 테이프 등 별도의 백업미디어를 이용하여 정기적으로 저장

• 필요시 결제정보, 거래정보 등 중요한 정보에 대해서는 실시간(Real-time) 백업시스템이나 이중 처리 시스템(Dual-system)을 운영

2. 개인정보가 저장된 백업미디어는 자연적으로 훼손되거나 도난 당하지 않도록 온·습도 유지, 화재방지 감시, 잠금 장치 등 필요한 조치가 취해진 용기 또는 장소에 보관·유지

     취약점 점검 및 분석

• 시스템의 정상적인 통신이 이루어지도록 온라인 회선 및 설비에 대해 정기적으로 점검하고 그 결과를 기록유지
• 정보시스템의 취약점으로 인해 시스템 장애나 개인정보의 침해가 일어나지 않도록 정기적으로 취약성 진단을 실시하며 취 약점에 대한 적절한 조치를 취하도록 하는 절차 및 지침을 마련·운영
• 정보시스템 취약성 진단은 전문지식이 있는 내부 전담직원 또는 외부의 취약성 진단 전문 기관 인력을 활용하여 실시하되 객관성이 유지 될 수 있도록 취약성 평가기준을 마련·운영

     침해사고시 대응 지침 마련.운영

• 정보시스템에 대한 보안 및 신뢰성 확보에 문제가 발생하는 침해사고 발생시 적절히 대처할 수 있도록 상황 진단·보고, 응급 조치 및 침해 사고 복구, 대응팀 및 연락체계 구축 등을 포함하여 침해사고 대응지침을 마련
• 침해 상황 진단·보고시에는 상황에 대해 정확히 진단·정의하고 기 구축된 연락체계를 통해 신속히 상황 전파
• 대응팀 및 연락체계 구축시는 조직 내부 관련 부서, 외부 전문기관, 검·경 등을 유기적으로 연계하여 구축
• 침해사고 발생 후 응급조치시에는 손상된 시스템은 동작을 즉시 정지하고, 내부망의 외부 접속을 즉시 차단한 후에 정보보호 전문인력을 활용해 손상된 시스템을 복구
• 침해사고 복구시에는 사고원인을 정밀 분석하고, 시스템 및 정보통신망에 대한 취약점을 제거하며, 백업된 정보자원 및 시스템을 활용하여 시스템을 복구·재구축하고 사고 재발방지대책을 수립·시행