내부관리계획의 수립, 기술적보호조치
▹ 내부관리계획 수립 및 시행
- 근로자 등의 개인정보를 안전하게 처리하기 위하여 다음의 내용이 포함된 내부관리계획을 수립․시행하여야 함
․ 개인정보 보호책임자의 지정에 관한 사항
․ 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항
․ 개인정보의 안전성 확보에 필요한 조치에 관한 사항
․ 개인정보취급자에 대한 교육에 관한 사항
․ 그 밖에 개인정보 보호를 위하여 필요한 사항
< 소기업 및 소상공인에 대한 예외 > 소기업 및 소상공인 지원을 위한 특별조치법 제2조(상시근로자 10인 미만의 사업자) 및 동법 시행령 제2조에 의한 소상공인(업종에 따라 상시 근로자 10인 또는 5인 미만)에 해당하는 경우에는 내부관리계획을 수립하지 아니할 수 있음 |
▹ 접근 통제
- 사용자는 전산실, 자료보관실 등 개인정보를 보관하는 장소에 대한 출입통제 계획을 마련하고 시행하여야 함
▹ 접근 권한 제한
- 개인정보처리시스템을 운영하는 경우 시스템에 대한 불필요한 접근과 무인가 접근 차단을 위한 접근권한 관리가 필요
< 접근권한 제한 방법 > - 접근권한을 업무수행에 필요한 최소한의 범위로 담당자에 따라 차등 부여 - 개인정보취급자 변경 시 지체 없이 시스템의 접근권한 변경 또는 말소 - 접근권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관 - 개인정보취급자별 사용자계정이 다른 개인정보취급자와 공유되지 않도록 관리 |
▹ 암호화
- 고유식별정보 또는 바이오정보 등을 아래와 같이 처리하는 경우에는 안전한 알고리즘으로 암호화하여야 함
․ 정보통신망을 통하여 송․수신하거나 보조저장매체 등을 통하여 전달하는 경우
․ 근로자 등의 비밀번호 및 바이오정보를 저장하는 경우
* 특히, (개인정보 취급자 또는 정보주체의 시스템 접속권한을 확인하는) 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장
․ 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점(DMZ : DeMilitarized Zone)에 고유식별정보를 저장하는 경우
․ 내부망에 고유식별정보를 저장하는 경우로서 위험도 분석 결과 암호화가 필요하다고 판단된 경우
▹ 접속기록의 보관 및 위조․변조 방지를 위한 조치
- 개인정보취급자가 개인정보처리시스템에 접속한 기록은 최소 6개월 이상 위·변조 및 도난, 분실되지 않도록 안전하게 보관
▹ 보안 프로그램 설치 및 업데이트
- 시스템 안전성 확보를 위해 악성 프로그램 등의 감염을 예방․치료할 수 있는 백신 소프트웨어 등의 보안 프로그램 설치․운영
<보안프로그램 설치 및 운영 방법> - 자동 업데이트 기능을 사용하거나, 일 1회 이상 업데이트 실시 - 악성 프로그램관련 경보가 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 즉시 이에 따른 업데이트 실시 |
▹ 안전한 보관을 위한 물리적 조치
- 개인정보가 포함된 서류, 보조저장매체 등을 잠금장치가 있는 안전한 장소에 보관
▹ 기타
- 개인정보의 훼손, 멸실, 변경, 위조, 유출, 누설을 금지(개인정보 보호법 제59조)
- 근로자의 개인정보는 인사 등에 있어서 중요한 자료로 활용되므로 정확성 및 최신성 확보를 위한 노력 필요
* 출처: 『개인정보보호 가이드라인 – 인사․노무편』 행정안전부․고용노동부(2012)
'IT, 저작권 이야기 > [TS] 정보보호' 카테고리의 다른 글
특정인에게 위촉한 후, 그 번역물에 대한 감수를 감수자에게 의뢰하였다. 그런데 감수자는 번역 내용에 대한 감수 이외에 상당 부분에 대해 수정·증감을 하였다) (0) | 2017.01.19 |
---|---|
채용전 단계 개인정보, 인사개인정보 FAQ (0) | 2017.01.19 |
영화, 영상 명장면 저작권 (0) | 2017.01.14 |
신문기사 저작권 (0) | 2017.01.14 |
dvd 저작권, 2차저작물 무단복제에 따른 조정청구권 (0) | 2017.01.13 |