개인정보의 보호조치 비교 (자세히)

같은 성격끼리 색을 칠했습니다.

해당 조항별 봐야할 것들을 기재했습니다.

반드시 숙지 필요합니다.

 

개인정보의 기술적ㆍ관리적 보호조치	개인정보의 안전성 확보조치
제1조 목적	제1조 목적
제2조 정의	제2조 정의
	- 소상공인 기준: 상시 근로자 수가 10명 미만일 것   1. 광업ㆍ제조업ㆍ건설업 및 운수업: 10명 미만   2. 그 밖의 업종: 5명 미만 - "개인정보처리시스템"이란 데이터베이스 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템 - "위험도 분석"이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별ㆍ평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위 - "비밀번호"란 시스템에 전달해야하는 고유의 문자열로서 타인에게 공개되지 않는 정보 - "정보통신망"이란 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체계 - "내부망"이란 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간
	제3조 안전조치 기준 적용
	- 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준 표 참조
제3조 내부관리계획의 수립ㆍ시행	제4조 내부 관리계획의 수립ㆍ시행
- "내부관리계획"이라 함은 정보통신서비스 제공자 등 (기준적용 대상자 표 참조 필요) - 최소 연 1회 이상 점검 - 개인정보 유출 사실을 알게 된 후 즉시(24시간 이내) - 내부관리계획은 대표자에게 내부결재 등의 승인	- 최고경영층으로부터 내부결재 등의 승인 - 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하는 경우 안전한 접속수단 또는 안전한 인증수단을 적용 - 개인정보처리시스템의 접속기록 점검주기는 월 1회 이상 - 위험도 분석 및 대응방안 마련에 관한 사항 (유출 측면) - 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항 (재해 재난 측면) - 내부 관리계획의 이행 실태를 연 1회 이상 점검ㆍ관리
	제5조 접근 권한의 관리
	- 최소한의 범위로 차등 부여 - 개인정보처리자의 인사이동이 발생한 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소 - 개인정보취급자의 접근 권한의 부여, 변경 또는 말소에 대한 내역을 기록 및 최소 3년간 보관 - 개인정보처리시스템에 접속할 수 있는 계정은 공유되지 않도록 한다.(책임 추적성) - 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용 - 비밀번호를 일정 횟수 이상 잘못 입력한 경우 접근을 제한하는 등의 필요한 기술적 조치를 하여야 한다.
제4조 접근통제	제6조 접근통제
- 권한 부여, 변경 또는 말소에 대한 내역을 최소 5년간 보관 - 개인정보를 100만명 이상 보유하거나, 정보통신서비스 부문 저년도 매출액이 100억원 이상인 경우 망분리(물리적 또는 논리적) 필요 - 망분리 대상자: 개인정보를 다운로드 또는 파기할 수 있거나, 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자 - 개인정보취급자 대상으로 비밀번호 규칙 적용 - 비밀번호 유효기간은 반기별 1회 이상 변경 - 개인정보취급자의 최대 접속시간 제한 조치 (통상 10~30분 이내)	- 인가받지 않은 접근을 제한 - 유출 시도 탐지 및 대응 - 개인정보취급자가 정보통신망을 통해 외부에서 접근 시 "가상사설망" 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용 - 무선접속장치의 안전한 비밀번호 프로토콜: WPA2(WiFi Protected Access 2) - 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출ㆍ변조ㆍ훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다. - 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.
제5조 접속기록의 위ㆍ변조 방지
- 월 1회 이상 정기적 점검 - 최소 1년 이상 접속기록을 보존ㆍ관리 - 접속기록 항목   1. 식별자   2. 접속일시   3. 접속지   4. 수행업무
제6조 개인정보의 암호화	제7조 개인정보의 암호화
- 비밀번호는 일방향 암호화하여 저장 - 안전한 암호알고리즘으로 암호화 하여 저장   1. 주민등록번호   2. 여권번호   3. 운전면허번호   4. 외국인등록번호   5. 신용카드번호   6. 계좌번호   7. 생체인식정보 - 사용권고 암호 알고리즘 중 국내알고리즘 숙지 필요	- 고유식별정보, 비밀번호, 생체인식정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우 암호화 - 비밀번호는 일방향 암호화하여 저장 - 사용권고 암호 알고리즘 중 국내알고리즘 숙지 필요 - 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립ㆍ시행 - 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장
	제8조 접속기록의 보관 및 점검
	- 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관ㆍ관리 - 5만 명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 긴감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관ㆍ관리 - 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검 - 개인정보를 다운로드한 것이 발견되었을 경우에는 내부 관리계획으로 정하는 바에 따라 그 사유를 반드시 확인 - 접속기록 항목   1. 계정   2. 접속일시   3. 접속지 정보   4. 처리한 정보주체 정보 ← 기술적ㆍ관리적 보호조치와 차이점   5. 수행업무
제7조 악성프로그램 방지	제9조 악성프로그램 등 방지
- 자동 업데이트 기능을 사용하거나 - 일 1회 이상 업데이트 - 긴급 패치가 있는 경우 즉시 업데이트	- 자동 업데이트 기능을 사용하거나 - 일 1회 이상 업데이트 - 긴급 패치가 있는 경우 즉시 업데인트
	제10조 관리용 단말기의 안전조치
	- 개인정보 유출 등 개인정보 침해사고 방지를 위한 관리용 단말기의 안전조치
제8조 물리적 접근 방지	제11조 물리적 안전조치
- 물리적 보관 장소를 별도로 두고 있는 경우, 출입통제 절차를 수립ㆍ운영 - 개인정보가 포함된 서류, 보조저장매체 등은 잠금장치가 있는 안전한 장소에 보관 - 개인정보가 포함된 보조저장매체의 반출ㆍ입 통제를 위한 보안대책 마련	- 물리적 보관 장소를 별도로 두고 있는 경우, 출입통제 절차를 수립ㆍ운영 - 개인정보가 포함된 서류, 보조저장매체 등은 잠금장치가 있는 안전한 장소에 보관 - 개인정보가 포함된 보조저장매체의 반출ㆍ입 통제를 위한 보안대책 마련
제9조 출력 복사시 보호조치
- 개인정보의 출력 시 용도를 특정하여야 하며, 출력항목을 최소화 - 개인정보의 출력ㆍ복사물을 안전하기 관리하기 위해 출력ㆍ복사 기록 등 필요한 보호조치를 갖추어야 한다
제10조 개인정보 표시 제한 보호조치
- 개인정보의 조회, 출력 등의  업무를 수행하는 경우 개인정보를 마스킹하여 표시 제한 조치
	제12조 재해 재난 대비 안전조치
	- 위기대응 매뉴얼 등 대응절차 마련하고 정기적 점검 - 개인정보처리시스템 백업 및 복구를 위한 계획 마련
	제13조 개인정보의 파기
	개인정보를 파기할 경우   1. 완전파괴(소각ㆍ파쇄 등)   2. 전용 소자장비를 이용하여 삭제   3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
제11조 재검토 기한	제14조 재검토 기한
매 3년째의 8월 10일까지	매 3년째의 8월 10일까지