개인정보보호 활동의 시작 - 내부관리계획

출처 및 인용 : 라영주 인포섹 컨설턴트, 개인정보보호 실천가이드 中

  이창범, 개인정보 보호법 中

1. 개인정보보호 내부관리계획

개인정보 보호법 시행령

제30조(개인정보의 안전성 확보 조치) ① 개인정보처리자는 법 제29조에 따라 다음 각 호의 안전성 확보 조치를 하여야 한다.

1. 개인정보의 안전한 처리를 위한 내부 관리계획의 수립·시행

1) 기업/기관 내에서 효과적으로 개인정보보호 활동을 시작하기 위해서는 가장 먼저 내부관리계획을 

    수립해야 한다.

2) 개인정보보호 내부관리계획 : 해당 조직의 특성이 반영된 내부 기준으로서의 개인정보보호 

    정책(Policy)이나 지침(guideline)을 의미.

3) 단편적이고 단발적인 보안 대책이 아닌 체계적이고 개인정보보호 실천을 위해 반드시 필요하다.

4) 개인정보 안전성 확보 조치 중의 <내부관리계획>은 개인정보 보호책임자 지정, 개인정보 보호 책임자

   와 개인정보취급자으 역할, 책임, 안전성 확보에 필요한 조치, 개인정취급자에 대한 교육 등에 관한 사항

   이 포함된 중/장기 관점의 계획이라고 할 수 있다.

개인정보 보호책임자의 업무 중 <개인정보 보호 계획>은 매년 반복적으로 수립해야 할 개인정보 보호

교육, 시스템 정기점검, 시설/장비 도입 및 교체, 개인정보 처리관행 개선 등에 관한 사항이 포함된 

연도별 계획이라고 할 수 있다.

<내부관리계획>은 개인정보처리자가 내부 "규정" 또는 "지침"의 형태로 수립/운영

<개인정보 보호 계획>은 개인정보 보호책임자가 입안의 책임을 지며 보통 "계회", "사업" 등의 형태로 존재

2. 내부관리계획 예제

제1장 총칙

제1조(목적)

제2조(적용범위)

제3조(용어정의)

제2장 내부관리계획의 수립 및 시행

제4조(내부관리계획의 수립 및 승인)

제5조(내부관리계획의 공표)

제3장 개인정보보호책임자의 의무와 책임

제6조(개인정보보호책임자의 지정)

제7조(개인정보보호책임자의 의무와 책임)

제8조(개인정보취급자의 범위 및 의무와 책임)

제4장 개인정보보호 조직 구성/운영

제9조(개인정보보호 조직)

제10조(역할별 의무와 책임)

제5장 개인정보의 처리단계별 기술적/관리적 보호조치

제11조(물리적 접근제한)

제12조(개인정보취급자의 접근 권한 관리 및 인증)

제13조(개인정보의 암호화)

제14조(접근통제)

제15조(접근기록의 위변조 방지)

제16조(보안프로그램의 설치 및 운영)

제17조(출력복사시의 보호조치)

제6장 정기적인 자체감사

제18조(자체감사 주기 및 절차)

제19조(자체감사 결과 반영)

제7장 개인정보보호 교육

제20조(개인정보보호 교육 계획의 수립)

제21조(개인정보보호 교육의 실시)

제8장 개인정보보호 유출 시 사고 대응

제22조(개인정보 유출 탐지 시 보고체계 수립)

제23조(개인정보 유출 탐지 시 통보 등 처리체계 수립)

개인정보 보호 계획 예제 (출처 : 페이스북 지인)

1. 내부/외부 규정 및 지침 제정 현황

1.1 내부 규정 및 지침

1.2 개인정보보호 규정 및 지침

1.3 기타법령 관련

1.4 내부 규정 개정 계획

2. 개인정보보호 운영현황

2.1 개인정보보호협의회 운영 현황

2.2 이사회 보고

2.3 CISO, CPO 선임 현황

3. 개인정보보호 내부통제

3.1 내부통제 현황

3.2 외부수탁업체

3.3 본사/지점

4. 기타점검

4.1 개인정보관리 자가 점검

4.1.1 '2012 개인정보관리 자가 점검결과

4.1.2 '2013 개인정보관리 자가 점검계획

4.1.3 미완료 항목에 대한 이행현황 및 계획

4.2 개인정보보호 수준 자가진단

4.2.1 '2012 개인정보보호 수준 자가진단 결과

4.2.2 '2013 개인정보보호 수준 자가진단 계획

5. 보안 취약점 점검 수행 결과/계획

5.1 주요 취약점 점검 결과

5.1.1 금융보안연구원/코스콤 취약점 점검 결과

5.1.2 상반기 취약점 점검 결과

5.1.3 연간 취약점 정기평가 점검 결과

6. 개인정보보호 KPI 현황

6.1 '2012 측정결과

6.2 '2013 계획

7. 개인정보보호교육

7.1 '2012 교육실시 결과

7.2 '2013 교육실시 계획

8. '2013 개인정보보호 관련 프로젝트 

3. 개인정보보호 조직 구성

- 개인정보보호 책임자(CPO)를 지정

- 관련 부서들을 총괄/조율

- 개인정보보호 업무를 수행하는 실무 담당자 구성

- 개인정보보호 책임자는 임원이나 정보주체의 고충처리를 담당하는 부서의 책임자가 바람직

- IT보안부서, 개인정보취급부서, compliance 대응부서 등 관련 조직을 중식으로 협의체 정례화

4. 개인정보 흐름 및 위험 분석

- 개인정보 흐름 분석은 개인정보 생명주기(Life Cycle : 수집 - 저장 - 이용 - 제공 - 파기)에 따라 개인정보

   의 최초 수집 채널, 보유 형태, 개인정보 처리자의 이용/제공 현황, 파기 방법 등을 분석

- 개인정보 흐름상에서 상존하는 취약점 식별

- 취약점의 위험 분석을 통해 발견된 高 위험군의 서비스나 또는 업무 프로세스, 개인정보 처리자 등에 대해

   서는 보호조치를 집중 적용/관리가 필요

- 업무 목적 내에서 필요한 최소한의 개인정보를 도출함으로써 불필요하거나 과도한 개인정보의 수집을 원

   천적으로 제한토록 할 수 있다.

5. 개인정보보호법에 따른 기술적 보호대책

구분	기술적 보호대책	법률적 근거
필수	- 접근 권한관리(IAM/DB접근제어)   - 방화벽  - 침입탐지시스템  - 망분리/NAC	- 시행령 제30조 1항 2. 개인정보에 대한 접근 통제 및 접근 권한의 제한 조치
필수	- 개인정보 전송관리 시스템	- 시행령 제30조 1항 3. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치
필수	- 로그 수집 및 위/변조 방지 솔루션	- 시행령 제30조 1항 4. 개인정보 침해사고 발생에 대응하기 위한 접속기록의 보관 및 위조·변조 방지를 위한 조치
필수	- 패치관리시스템(PMS)  - PC 매체제어 및 백신 프로그램	- 시행령 제30조 1항 5. 개인정보에 대한 보안프로그램의 설치 및 갱신
필수	- SOC(Security Operation Center) 또는    물리보안 영역	- 시행령 제30조 1항 6. 개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금장치의 설치 등 물리적 조치
필수	- 영구삭제(S/W, H/W, 문서파기) 솔루션	- 법 제21조 (개인정보의 파기)  - 시행령 제16조 (개인정보의 파기방법)
필수	- 암호화(DRM/DB암호화/파일암호화)    솔루션	- 시행령 제21조 (고유식별정보의 안전성 확보 조치)
선택	- 개인정보유출시스템(DLP)	- 시행령 제30조 1항 3. 개인정보를 안전하게 저장·전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치  - 시행령 제30조 1항 5. 개인정보에 대한 보안프로그램의 설치 및 갱신

2011년 버전의 책 내용이라 보완이 필요.

일단 대략적인 관점에서 정리 ㅜㅜ