개인정보의 안전성 확보조치 기준

■ 개인정보의 안전성 확보조치 기준

[시행 2017.7.26.][행정안전부고시 제2017-1호, 2017.7.26. 타 법 개정]

행정안전부(개인정보보호 정책과) 02-2100-4106

 

 제1조 (목적)

 이 기준은 「개인정보 보호법」(이하 "법"이라 한다) 제23조 제2항, 제24조 제3항 및 제29조와 같은 법 시행령(이하 "영"이라 한다) 제21조 및 제30조에 따라 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술력ㆍ관리적 및 물리적 안전조치에 관한 최소한의 기준을 정하는 것을 목적으로 한다

 

 제4조 (내부 관리계획의 수립ㆍ시행)

  ① 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립ㆍ시행하여야 한다

 

  ③ 개인정보처리자는 제1항 각 호의 사항에 중요한 변경이 있는 경우에는 이를 즉시 반영하여 내부 관리계획을 수정하여 시행하고, 그 수정 이력을 관리하여야 한다

  ④ 개인정보 보호책임자는 연 1회 이상으로 내부 관리계획의 이행 실태를 점검ㆍ관리하여야 한다

 

 제5조 (접근권한의 관리)

  ① 개인정보처리자는 개인정보처리시스템에 대한 접근권한을 업무 수행에 필요한 최소한의 범위로 업무 담당자에 따라 차등 부여하여야 한다

  ② 개인정보처리자는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개인정보처리시스템의 접근권한을 변경 또는 말소하여야 한다

  ③ 개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다

 

 제7조 (개인정보의 암호화)
  ① 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 6개월 이상 보관ㆍ관리하여야 한다

  ② 개인정보처리자는 개인정보의 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손 등에 대응하기 위하여 개인정보 처리시스템의 접속기록 등을 반기별로 1회 이상 점검하여야 한다

  ③ 개인정보처리자는 개인정보취급자의 접속기록이 위ㆍ변조 및 도난, 분실되지 않도록 해당 접속기록을 안전하게 보관하여야 한다