COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved. 1 2013년 5월 2013 개인정보보호 및 정보보안 연수 대호중학교 교육정보부.

Slides:



Advertisements
Similar presentations
월간 사이버보안 소식 경기교육사이버안전센터 (GECSC) 월호 경기도교육정보기록원.
Advertisements

제주특별자치도교육청. 목 차 일상생활 속에서의 정보보안 안전한 컴퓨터 사용  보안업데이트 자동설정  가짜 백신 프로그램 주의  믿을 수 있는 웹사이트만 접속  자동 로그인 기능 사용 안함  사용 후 반드시 로그아웃 확인 
산들초등학교 마녀샘의 교실 2 ♪딩동댕 ~ 산들초등학교의 중간고사가 끝났습니다. 아이들은 신났습니다. 와 ~!!! 시험끝났다 !
장애인 인권 강화 전남언어발달센터 사무국장 / 임준형. 인권교육 근거 전남 장애인 차별실태 조사 결과 보고서 나. 교육 및 진학 과정에서의 장애인 차별 교육 및 진학 과정에서의 장애인 차별에서는 “ 장애 를 이유로 주변 동료 학생들로부터.
Copyright © 2008 Wei Qi Xia. All rights reserved. 거시적 영향 발표자:하위기 2008 년 11 월 15 일.
1. 시설관리공단 상임이사 정수기준을 위반한 초과 여부에 대한 질의 2. 졸속사업으로 인한 예산낭비에 대한 질의 (KT 도로개설, 강변역 고구려역사 ]
학원장 · 독서실 · 교습소 운영자 연수 화성오산교육지원청. 목 차 1 경기교육정책 2 개인정보보호법 주요내용 3 선행교육 및 선행학습 4 옥외가격 표시제 5 아동 · 청소년의 성 보호 관련 6 아동학대 관련 7 학교폭력 근절을 위한 학원의 노력 8 어린이 놀이시설 9.
COPYRIGHT ASADAL ALLRIGHTS RESERVED Welcome! 희망리본 서울본부 “ 잡아요 일자리, 찾아요 희망을 ” 영등포구 사업설명회.
인천대학교 취업경력개발원 셀프뷰를 활용한 모의면접 및 과제제출. CONTENTS Copyright (c) 2012 EnhanceU Ltd. All Rights Reserved I. 셀프뷰 소개 II. 웹캠 면접녹화 및 과제제출 III. 스마트폰 면접녹화 및 과제제출.
Copyright© 2015 Gimpo All right reserved.Copyright 2015 Gimpo. All right reserved 시민주도형 스마트타운 플랫폼
겨울신앙학교 교리 골든벨을 울려라 !. 1 성경은 인간에 대한 구원과 사랑의 약속이 담긴 책이다. O X.
1 Copyright ⓒ C.J. Yoon ALL RIGHTS RESERVED 제 III 부 생산능력.
COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved 년 10월.
E-article DB 이용안내 Copyright©2014 by 학술교육원. All rights reserved.
목차 침해사고 현황 재난대응 안전한국훈련 (사이버분야) 침해사고 방지방안 학교 정보보안 기본수칙
2015년 아동·청소년대상 성범죄 신고의무기관 및 성범죄자 취업제한기관 종사자 등의 교육.
개인정보보호법 주요내용 및 이행사항 2012년 5월 경기도화성오산교육지원청 1.
업무사례 중심의 개인정보보호법 이해 교육기관 기관별 정보보안 역할.
목 차 I 방위산업의 정의 II 방위산업의 특성 III 방위산업의 현황.
배움과 돌봄으로 꿈을 키우는 행복한 학교 실현을 위한
2013년도 예산어린이집 오리엔테이션.
사회보험 징수통합 관련 조사 결과 보고서 한국갤럽조사연구소
개인정보의 안전한 관리 방안 보안전략연구소 박나룡.
로그인 1 케피코 회사 로고를 클릭합니다.
사미인곡 p79.
17 20 정보보안 개인정보보호 능력 향상 마침표 없는 정보보호!.
2015년 개인정보 관리실태 점검 방향 및 사례
01. 강사 소개 강사 신지식인 선정 한국음식업 중앙회 전남지회 정책자문위원 내셔널 트러스트 문화유산 자문위원
사외내방객 사이트매뉴얼.
6. 인구 변화와 인구 문제 01.인구 분포 02.인구 이동 03.인구 문제 세계와 우리나라 인구 분포의 특징
- 자료 활용 시 참고사항 - 1. 성희롱 교육은 매년 실시하여야 하므로 매우 식상
Copyright by All rights reserved.
올바른 이메일 사용법
보육시설 유형과 운영.
공인인증서 신청 및 발급 제일 먼저 은행에 직접 방문하여 인터넷뱅킹 신청.
학교생활기록부 기재요령 중요사항 변경사항 학교생활기록부 개선안.
Copyright 2011 ㈜굿애플 All rights reserved
<티슈 케이스 활용하여 깔끔함 더하기_ 우드사각 티슈케이스>
공공기관 개인정보파일 관리 2014년 10월 안전행정부 1.
산학협력단 연구지원금 시스템 사용자 매뉴얼 Copyrightⓒ2014 UOSICF. All Rights Reserved. 1.
2013년 개인정보처리취급자 교육.
정보보호 신규 업무담당자 교육. 정보보호 신규 업무담당자 교육 시 간 교육내용 비 고 ~ 13:00 ■ 교육 등록 13:00 ~ 13:10 ■ 개회 및 인사 말씀 13:10 ~ 14:40 ■ 개인정보보호 ‧ 개인정보보호 유‧노출 사례 ‧ 개인정보보호 기본 개념 및.
물류단지 총량제 폐지 이후 물류시설 공급정책 방향 국 토 교 통 부.
중앙대 원격교육원 범용공인인증서 홈페이지 등록 방법 .
개인사유에 의한 사고, 부상, 질병 발생 경위서 작성완료 후 스캔 하셔서 휴직원에 첨부해 주십시오.
주의(主意) 본 자료는 고사성어100선의 교육자료 데모용입니다. 제품구입시 모든 교육용 자료는 별도로 무상 공급됩니다.
안심하고 맡길 수 있는 어린이집을 위한 어린이집 관리 강화대책 서 울 특 별 시 (여성가족정책실)
개인정보처리와 개인정보보호 2017년 2월.
사용자매뉴얼 V3.3 수입물품 유통·이력관리시스템 단계 구현 액티비티 시스템사용교육
솔개의 교훈 _ 변화만이 살길이다 “변화” 하지 않는 자는 자연 도태됩니다. 과연 당신은 ……. 현재의 위치에 만족 한 상태로
정보보안 및 개인정보 보호의 이해 충청북도교육청.
각종 연결 프로그램이 실행되지 않을 때 도움말을 클릭하세요
24차시 효도 달서시니어클럽 전통예절사업단.
개인정보 영향평가 2012년 2월 1.
비밀번호 관련 안내 사용자 매뉴얼 위치 목 차 I II III IE11 및 이전 버전 설정 DIPS 사용자매뉴얼
하나님은 허망한 사람을 아시나니 악한 일은 상관하지 않으시는 듯하나 다 보시느니라 욥기 11장 11절 말씀 -아멘-
하나투어샵 메인 부분 리뉴얼 - 디자인 하나샵 단독 물량 확보! 필리핀 직송 골드 망고 최저가 보장! 37,900원!
제목을 수정하시려면 제목을 지우시고 폰트로 삽입하세요^^
지역발전사업 예산 수요조사 계획(안).
호칭어와 지칭어 가족관계.
□ 일시 : (목) 10:00~11:00 □ 장소 : 포항상공회의소 대강당
사람을 물건처럼 매매함으로써 타인에 대하여 예속적인 상태에 두는 일.
담배 없는 우리 마을 만들기 전남 무안군 만풍보건진료소 일 시 : 2006년 2월 28일 ~ 5월 8일.
평화로운 학교를 위한  퀴즈 대회 000학교.
제9주 예산 수립과 집행.
시작하기.
매물장 로그인 직원을 미리 생성하시면 직원 ID로 로그인 가능.
정신과 전문병원 내에서 인권문제 국가인권위 권고사항을 중심으로.
中国类型小说海外受追捧, 国内市场类型新作后继乏力
보안업무 담당자 교육
Presentation transcript:

COPYRIGHT (c) 2010 by MINISTRY OF Public Administration and Security. All rights reserved 년 5월 2013 개인정보보호 및 정보보안 연수 대호중학교 교육정보부

- 2 - Ⅰ 개인정보보호법 주요내용 Ⅱ 필수 이행사항 Ⅲ 정보보안 목 차

- 3 - I. 개인정보보호법 주요 내용

개인정보 보호법 주요 골자 개인정보에 관한 주요사항을 심의·의결하기 위해 개인정보보호위원회 설치 주민등록번호 등 고유식별정보의 처리제한 강화 개인정보의 수집, 이용, 제공 등 단계별 보호기준 마련 영상정보처리기기의 설치제한 근거 마련 개인정보에 영향을 미칠 우려가 큰 사유에 대하여 영향평가제도 도입 개인정보 유출사실의 통지 · 신고제도 도입 열람 · 정정 · 삭제 청구권, 처리정지 요구권을 부여하고 권리행사 방법 규정 개인정보 분쟁조정위원회 설치, 집단분쟁조정제도 및 단체소송의 도입

- 5 - 수집이용 제공위탁 저장관리 파기 개인정보보호법령 규정 개인정보 수집 · 이용 개인정보 수집의 제한 ( 필요 최소한의 정보수집 등 ) 민감정보 및 고유식별정보 처리제한 인터넷상 주민번호 이외의 회원가입 방법 제공 영상정보처리기기 설치 · 운영, 개인정보처리방침 공개 개인정보보호책임자 지정 개인정보 안전성 확보조치 개인정보 파기 개인정보의 제 3 자 제공, 목적외 이용제공 금지 개인정보 처리위탁, 영업양도 등 개인정보 이전 권리 보장 개인정보 유출통지 · 신고 및 개인정보 침해신고 개인정보 열람, 정정 · 삭제, 처리정지권 분쟁조정위원회 및 집단분쟁조정 권리침해 중지 단체소송 개인정보 처리단계별 의무사항 1 벌칙 및 경과조치

- 6 - (1) 개인정보 수집 · 이용 · 제 3 자 제공 1. 정보주체의 동의를 받은 경우 2. 법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우 3. 공공기관이 법령에서 정한 소관 소관업무를 위해 불가피한 경우 4. 정보주체와의 계약 체결이행에 불가피한 경우 5. 정보주체등의 생명, 신체, 재산의 이익 보호 6. 개인정보처리자의 정당한 이익 달성을 위해 필요한 경우 1. 정보주체의 동의를 받은 경우 2. 법률의 특별한 규정, 법령상 의무 준수를 위해 불가피한 경우 3. 공공기관이 법령에서 정한 소관 소관업무를 위해 불가피한 경우 5. 정보주체등의 생명, 신체, 재산의 이익 보호 개인정보 수집 · 이용 개인정보 제공 목적외 이용 · 제공 처벌규정 위반 시 5천만원 이하의 과태료 처벌규정 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금 처벌규정 위반 시 5년 이하의 징역 또는 5천만원 이하의 벌금 ※ 개인정보 수집·이용은 폭넓게 인정하되, 제공, 목적외 이용·제공 기준은 요건을 엄격히 규정하여 차등화 1. 정보주체의 별도 동의를 받은 경우 2. 다른 법률의 특별한 규정 3. 명백히 정보주체 또는 제3자의 생명, 신체,재산의 이익에 필요한 경우 4. 통계작성 및 학술연구 목적에 필요한 경우로 특정개인을 알아볼 수 없는 형태로 제공하는 경우 5. 개인정보를 목적외로 이용하거나 제3자에게 제공하지 않으면 다른 법률에서 정하는 소관업무 수행 불가한 경우로 보호위원회의 심의·의결을 거친 경우 6. 조약, 국제협정 이행을 위해 외국정부 등 제공에 필요한 경우 7. 범죄수사 및 공소제기·유지 8. 법원의 재판업무 수행 9. 형 및 감호, 보호처분 집행

개인정보 제 3 자 제공 위반 사례 위반 사례 A 기관 직원이 업무상 관리하던 직원 개인정보를 동생에게 알려주어 명절 열차표 예매에 사용하도록 함 B 대학교는 합격자 발표 게시물에 주민등록번호 등 개인정보를 포함 C 교육기관은 기숙사 배정 문서에 성적, 주민등록번호 등의 개인정보가 포함된 채로 발송 D 기관은 10 명의 민원인에게 각각 통보해야 할 민원서류를 일괄적으로 전체 수신자에게 발송 부서내 직원정보 등 소규모 개인 정보도 유출하지 않도록 주의 홈페이지 게시물 확인 철저 ( 홈페이지에 게시되면 즉시 삭제해도 구글 등 검색엔진에 남아 계속 열람될 수 있음 ) 개인정보가 포함된 파일관리 철저 ( 외부 문서에 잘못 첨부되지 않도록 주의하고 비밀번호를 부여하여 잘못된 열람 방지 ) 개인정보가 포함된 문서는 각각 해당 수신자에게만 발송 주의사항

- 8 - (2) 민감정보 및 고유식별정보 처리제한 민감정보·고유식별정보 처리제한 민감정보 및 고유식별정보의 처리는 원칙적으로 금지 (법 제23조, 제24조) ※ 민감정보 : 사상, 신념, 노동조합, 정당가입, 건강정보, 유전정보, 범죄경력 정보 ※ 고유식별정보 : 주민등록번호, 외국인등록번호, 여권번호, 운전면허번호 정보주체에게 별도 동의를 얻거나, 법령에서 구체적으로 허용된 경우에 한하여 예외적으로 처리 허용 인터넷상 주민번호 대체수단 의무화 공공기관 및 일평균 홈페이지 이용자 1만명 이상의 개인정보처리자는 정보주체가 인터넷 홈페이지를 통해 회원으로 가입할 경우, 주민등록번호 이외의 회원가입 방법을 의무 제공 (법 제24조제2항) ※ 주민등록번호 이외의 회원가입 방법 : i-PIN, 공인인증서, 전자서명 등 처벌규정 위반 시 5 년 이하 징역 또는 5 천만원 이하 벌금 처벌규정 위반 시 3 천만원 이하 과태료

- 9 - (3) 영상정보처리기기의 설치 · 운영 제한 내용 영상정보처리기기는 공개된 장소에 특정 목적으로만 설치·운영 (법 제25조제1항) CCTV를 설치하는 경우 공청회 등을 거쳐 이해관계자의 의견 수렴 설치목적과 다른 목적으로 임의 조작, 녹음기능 사용 금지 (법 제25조제5항) 처벌규정 위반 시 3 년 이하 징역 또는 3 천만원 이하 벌금 1) 법령에서 구체적으로 허용하는 경우 2) 범죄예방 및 수사 3) 시설안전 및 화재예방 4) 교통단속 5) 교통정보의 수집·분석 및 제공 안내판 설치 정보주체가 쉽게 인식할 수 있도록 안내판 설치 (법 제25조제4항, 영 제24조) 1) 설치목적 및 장소 2) 촬영범위 및 시간 3) 관리책임자 및 연락처 건물 안에 다수의 영상정보처리기기 설치시, 출입구 등 잘 보이는 곳에 해당 시설·장소 전체가 설치지역임을 표시하는 안내판 설치 처벌규정 위반 시 1 천만원 이하의 과태료

(4) 처리방침 공개 및 처리위탁 개인정보 처리방침 공개 개인정보처리자는 개인정보처리방침을 수립하고 홈페이지에 공개 1) 개인정보 처리목적 2) 개인정보 처리 및 보유기간 3) 개인정보 제3자 제공에 관한 사항 4) 개인정보 처리 위탁에 관한 사항 5) 정보주체의 권리·의무 및 행사방법에 관한 사항 6) 처리하는 개인정보항목 7) 개인정보 파기에 관한 사항 8) 개인정보 안전성 확보조치에 관한 사항 처리업무의 위탁 및 공개 제3자에게 개인정보 처리업무 위탁시, 문서에 의하여야 함 (법 제26조, 영 제28조) 개인정보처리자는 위탁사실을 정보주체가 쉽게 확인토록 공개 (법 제26조제2항) 개인정보처리방침에 위탁사실을 포함하여 홈페이지에 게재 (영 제28조제2항) 1) 위탁자는 수탁자가 개인정보를 안전하게 처리하는지 감독하여야 함(법 제26조 제4항) 2) 수탁자가 위탁받은 업무와 관련하여 이 법을 위반한 손해배상책임 발생시 수탁자를 개인정보처리자의 소속직원으로 간주 (법 제26조 제6항) 처벌규정 위반 시 1 천만원 이하의 과태료 처벌규정 위반 시 3 천만원 이하의 과태료

① 개인정보 업무 위탁 위반사례 위반 사례 A 기관은 PC 에 대한 폐기업무를 B 회사에 위탁하였으나 B 회사에서 하드디스크의 개인정보를 유출 C 기관은 CCTV 의 관리, 운영을 외부 업체에 위탁하였으나 개인정보의 관리와 책임 관련 내용을 계약서에 포함하지 않음 - CCTV 가 고장난 채로 방치되는 등 관리소홀로 개인정보 유출위험 존재 ( 실태점검 시 위반사례로 지적 ) 개인정보의 파기 업무 등을 외부에 위탁할 경우 관리감독 철저 ( 외부에서 수행하는 위탁업무의 경우 특히 유출 위험이 계약서에 개인정보 관련 책임을 명시 하고 이행여부를 철저히 확인 ) CCTV 영상정보의 운영을 위탁할 경우 개인정보 유출 뿐 아니라 CCTV 임의조작 등 법 위반 소지가 크므로 운영현황을 수시로 점검하여야 함 주의사항

(5) 개인정보 보호책임자의 지정 개인정보처리자는 개인정보 처리에 관한 업무를 총괄·책임지는 개인정보 보호책임자를 지정 (법 제31조) (법 제31조제2항, 영 제32조제1항) 1) 개인정보 보호계획 수립·시행 2) 개인정보 처리실태 및 관행의 정기적 조사·개선 3) 불만의 처리 및 피해구제 4) 유출 및 오남용 방지를 위한 내부통제시스템 구축 5) 개인정보 보호 교육계획 수립·시행 6) 개인정보파일 보호 및 관리· 감독 7) 개인정보처리방침 수립·변경 및 시행 8) 개인정보 보호 관련 자료의 관리 9) 처리목적이 달성되거나 보유기간이 경과한 개인정보 파기 내용 지정요건 개인정보 보호책임자 지정요건 (영 제32조제2항) ① 공공기관은 기관별 직급 명시 - 중앙부처는 고위공무원(행안부는 정책기획관) ② 공공기관 외의 개인정보처리자의 경우 개인 사업주, 대표자, 정보처리 업무를 담당하는 부서의 장, 개인정보 보호에 관한 소양이 있는 사람 중 어느 하나를 지정 처벌규정 위반 시 1 천만원 이하 과태료

(6) 안전성 확보 조치 및 파기 안전성 확보 조치 개인정보가 분실·도난·유출·변조·훼손되지 않도록 안전성 확보에 필요한 기술적·관리적·물리적 조치 이행 (법 제29조) 1) 관리적 보호조치 : 내부관리계획 수립 ·시행 2) 기술적 보호조치 : 접근통제, 암호화, 방화벽 · 백신 등 보안프로그램의 설치 3) 물리적 보호조치 : 개인정보의 안전한 보관을 위한 보관시설 및 잠금장치 등 개인정보 파기조치 보유기간의 경과, 개인정보 처리목적 달성 등 개인정보가 불필요하게 되었을 때는 지체 없이 (5일 이내) 개인정보 파기 (법 제21조, 표준지침 제11조) 다만, 다른 법령에 따라 보존해야 하는 경우에는 미파기 소비자 분쟁처리 관련 기록(3년), 요금정산(5년), 계약 및 청약철회(5년) : 전자상거래법 복구 또는 재생되지 아니하도록 폐기 - 전자적 파일형태 : 복구가 불가능하도록 포맷이나 삭제전용 소프트웨어를 사용하여 파기 - 기록물, 인쇄물, 서면 : 파쇄 및 소각 처벌규정 미이행시 3 천만원 이하의 과태료, 미이행으로 인한 유출시 2 년 이하 징역 또는 1 천만원 이하 벌금 처벌규정 위반 시 3 천만원 이하 과태료

(7) 개인정보 영향평가 및 파일 등록 영향평가 공공기관이 개인정보 파일을 운용하는 경우, 개인정보 침해를 사전에 예방하기 위한 개인정보 영향평가 실시 1) 5만명 이상의 정보주체에 대한 개인정보 파일(민감정보, 고유식별정보가 포함시) 2) 50만명 이상의 정보주체에 대한 개인정보 파일(다른 개인정보 파일과 연계·연동시) 3) 구축 ·운용 또는 변경하려는 개인정보파일로 100만명 이상의 정보주체 개인정보 파일 개인정보파일 등록 공공기관이 개인정보파일을 운용하는 경우, 법적 근거, 목적, 보유기간 등을 행정안전부 장관에게 등록(개인정보보호 종합포털, 1) 개인정보파일의 명칭, 운영 근거 및 목적 2) 개인정보파일에 기록되는 개인정보의 항목 3) 개인정보의 처리방법 및 보유기간 4) 개인정보를 통상적 또는 반복적으로 제공하는 경우에는 그 제공받는 자 행정안전부는 개인정보파일 현황을 누구든지 쉽게 열람할 수 있도록 공개

(8) 정보주체 피해구제를 위한 제도 정보주체 권리보장 정보주체는 자신의 개인정보에 대한 열람, 정정·삭제, 처리정지를 개인정보처리자에 대해 요구할 수 있음 (법 제35조~제37조) 집단분쟁조정 및 권리침해중지 단체소송 정보주체의 피해 또는 권리침해가 다수의 정보주체에게 같거나 비슷한 유형으로 발생하는 경우 집단분쟁조정을 신청할 수 있음 (법 제49조) 소비자단체, 비영리민간단체는 개인정보처리자가 집단분쟁조정 거부 또는 결과 불수락 시 법원에 권리침해행위의 금지·중지 소송 제기 (법 제51조) 유출통지 및 신고제 개인정보처리자는 개인정보 유출시 지체없이 정보주체에게 유출사실 통지 (법 제34조) 1만명 이상 개인정보 유출시 지체없이 행정안전부 또는 전문기관 (한국정보화진흥원, 한국인터넷진흥원) 에 신고 (법 제34조제3항)

II. 개인정보보호 필수 이행사항

필수 이행사항 불필요하게 주민번호 등 개인정보를 수집하는 경우, 관리소홀로 인해 해킹 등 유출사고 책임이 크게 증가하므로 서비스 제공에 필요한 최소한의 개인정보 수집이 현명하다. 1. 무분별한 개인정보 수집 자제 고유식별정보와 민감정보는 ①정보주체의 별도의 동의 ②법령에서 구체적으로 명시하거나 허용하는 경우를 제외하고 처리할 수 없도록 규제가 강화된다. 수집 시 법령에 근거가 있는지, 홈페이지 또는 서식에 별도의 동의서식을 갖추고 있는지 살펴서 법 위반사례가 없도록 한다. 2. 주민등록번호 등 고유식별정보와 종교, 건강정보 등 민감정보는 원칙적 처리금지

홍보 또는 조사목적으로 개인정보 처리업무를 위탁할 때 정보주체에게 고지 해야 한다. 예를 들어, 수탁자인 조사회사의 잘못으로 개인정보가 유출되어 피해가 발생한 경우, 위탁자가 손해배상을 해야 한다. 위탁자는 수탁자를 관리감독 할 책임이 부과되므로 수탁자 교육 등을 철저히 이행해야 한다. 4. 개인정보 위탁시 정보주체에게 고지하고 관리책임을 이행 필수 이행사항 법령의 근거 없이 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공하지 않도록 주의하여야 한다. 지인이나 심부름센터 등에 개인정보를 고의적으로 유출하는 것은 물론, 인터넷에 잘못 게시하여 개인정보가 유출되는 경우도 불법적인 제3자 제공이므로 관리를 철저히 하여야 한다. 3. 목적외 이용이나 제3자 제공에 대한 주의

필수 이행사항 개인정보파일은 유출되었을 때 명의도용, 불법마케팅, 보이스피싱 등에 악용될 수 있으므로 안전한 방법으로 보관해야 한다. 안전하게 보관하기 위해서는 개인정보를 암호화하고 DB에 접근권한 제한, 백신프로그램 설치, 방화벽 등 침입차단시스템을 설치하고 필요한 보호조치를 취해야 한다. 특히, PC에 개인정보를 함부로 보관하여 유출되지 않도록 주의해야 한다 5. 개인정보파일은 DB보안 프로그램, 암호화 소프트웨어 등 안전한 방법을 사용하여 보관 개인정보의 보유이용기간이 끝난 경우, 이용목적을 달성한 경우에는 문서를 분쇄하거나 소각해 파기해야 한다. 컴퓨터로 저장된 문서를 가지고 있는 경우라면 포맷이나 삭제 소프트웨어를 사용해서 파기 처리한다. 6. 이미 수집된 개인정보파일을 이용한 후에는 알아볼 수 없도록 파기

개인정보처리방침, CCTV 안내판, CCTV 운영방침 등 의무적으로 공개가 필요한 문서들과 내부관리계획 등 수립하여야 하는 문서를 점검하여 누락되지 않도록 준비한다 열람청구 등에 대한 정보주체의 요구가 있을 경우 지체 없이 처리하여야 한다 개인정보가 유출된 경우 정보주체에게 즉시 알리고, 사실확인, 홈페이지 차단, 비밀번호 변경공지 등 초동조치를 신속히 하여야 한다. 유출 대응을 지연하는 경우에는 과태료가 부과되고, 유출이 확인될 경우 피해자는 분쟁조정위원회에 집단분쟁조정 또는 법원에 권리침해 단체소송을 제기할 수 있으므로 철저히 대비해야 한다. 8. 개인정보 유출통지, 집단분쟁조정, 단체소송에 대비 7. 관련 문서를 명확히 구비하고 정보주체의 열람청구에 신속히 대응 필수 이행사항

III. 정보보안

22 목차 3 침해사고 방지방안 1 침해사고 현황 1 4 학교 정보보안 기본수칙 6 내PC지키미 사용법 5 실태점검 체크리스트 2 재난대응 안전한국훈련 (사이버분야)

침해사고 현황 ⅠⅠ

1. 정보보호 정의 미래에 예상되는 사건 및 위험(정보의 훼손, 변조, 유출 등)으로부터 정보 시스템 및 데이터를 안정하게 보호하는 각종 예방 및 대응 활동 정보의 수집, 가공, 저장, 검색, 송신, 수신 중에 정보의 훼손, 변조, 유출 등 을 방지하기 위한 관리적, 기술적 수단을 강구하는 것 정보자산을 공개/노출, 변조/수정, 지체/재난 등의 위험으로부터 보호하여 정보의 기밀성, 무결성, 가용성을 확보하는 것 침해사고 현황

2. 사이버공격과 침해사고의 정의 사이버공격  전자적 수단에 의한 공격 : 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 방해 등  공격 행위 종류 : 정보통신망을 불법 침입, 교란 ∙ 마비, 정보 절취 및 훼손 행위 침해사고  사이버 공격을 통하여 정보통신시스템 에 가해진 비인가된 행위  각급기관의 보안정책에 위반되는 행위  침해사고 결과 - 비인가된 시스템의 사용 - 사용자의 계정 도용 - 악성코드 유입 및 실행 - 정보서비스의 방해 등 25

3. 침해사고 사례 취약점으로 인한 침해사고 사고개 요 OO 지역 총36개 교육기관 홈페이지 해킹(11.2월) 사고내 용 홈페이지 개발업체를 해킹하여 각급학교 홈페이지 관리자계정 및 비밀 번호를 획득하고 이를 이용 각급학교 홈페이지 훼손 사고원 인 각급학교 홈페이지 관리자 계정 및 비밀번호 관리 소홀 등 - 초기 계정을 변경하지 않음, 유추 가능한 비밀번호 사용 - 홈페이지 내 파라미터변조공격 취약점,쿠키변조 취약점, 파일업로드 취약점 등 다수 취약점 존재 사고조 치 - 홈페이지 개발업체에 취약점 보완조치 - 장기적으로 교육청에서 각급학교 홈페이지 서버 위탁 관리 - 국가계약법 시행령 제76조(부정당업자의 입찰참가자격 제한)에 근거 국기기관이 전산망 유지보수 관련 누출금지 정보를 지정하고 계약서에 명시된 정보 누출 시 該 업체를 부정당업자로 등록, 입찰 참가자격 제한 등 제재 조치 가능 침해사고 현황

4. 침해사고 사례 개인PC관리 소홀로 인한 침해사고 사고개 요 OO교육청 직원의 USB에 저장한 비밀문서가 악성코드를 통해 유출 사고내 용 업무 담당자가 비밀문서를 개인 USB에 보관하다 악성코드에 감염된 PC에 연결하여 USB에 저장된 모든 정보가 유출됨 사고원 인 비밀문서 관리 소홀 - 비밀문서를 휴대용 저장장치(일반USB등)에 보관시 정보유출 위험 상존 사고조 치 - 비밀문서를 휴대용에 보관 시 비밀USB에 비밀 등급별 저장 및 금고에 보관 - 불용처리 시에는 복구가 불가능하도록 완전삭제를 원칙으로 함 → 정보보안기본지침 제 39조(휴대용 저장매체 보안대책) 비밀문서 보관 시 보안지침에 따른 보안대책 강구 침해사고 현황

5. 침해사고 사례 개인PC관리 소홀로 인한 침해사고 사고개 요 OO교육청 업무문서가 P2P(Peer to Peer)사이트를 통해 인터넷 노출 사고내 용 업무용 PC에서 P2P 사이트를 접속함으로써 주요자료 유출 - 업무용 문서폴더 전체 P2P 프로그램에 공유 사고원 인 업무문서 관리 소홀로 인한 자료 유출 - 대외비, 비밀문서 등은 PC에 저장 금지 및 휴대용에 보관 시 비밀등급별 저장 및 금고에 보관 사고조 치 - 업무용 PC에서 P2P 사용 금지 - 보안장비를 이용한 P2P 사이트 접근 차단 침해사고 현황

6. 각급기관 악성코드 근절 대책 각급학교 통합보안장비(UTM)의 위협정보를 탐지 및 분석한 결과 다수 PC가 악성코드에 감염된 상태로 조치되지 않아 신속한 조치 필요 각급학교 통합보안장비(UTM)의 위협정보를 탐지 및 분석한 결과 다수 PC가 악성코드에 감염된 상태로 조치되지 않아 신속한 조치 필요 조치요구(2회) (10.15, 11.2) - 학교에 감염PC 백신이용 신속한 치료를 요구 하였으나 여전함 - 백신관리시스템 및 패치관리시스템 활용 적절한 대응 조치 필요 조치이유 - 정보유출 및 분산서비스거부공격(DDoS)에 좀비로 활용될 가능성 상 존 조치사항 - 각급학교는 모든 PC를 백신을 이용하여 신속한 치료 - 악성코드 감염PC를 지속적으로 모니터링 및 관제 강화 - 상습적, 지속적 악성코드 감염PC는 인터넷 사용차단 - 정보보안 의식강화 및 예방교육 실시 - 악성코드감염PC가 많은 학교에 대해 현장점검(감사) 예정 점검개요 침해사고 현황

Ⅱ Ⅱ 재난대응 안전한국훈련 (사이버분야)

1. 개인정보 피싱 훈련 대상 : 본청, 지역교육청, 직속기관 전직원 내용 상황가정 : 경기도교육청 메일 ID/비밀번호 해킹 해킹된 메일을 도용하여 전직원에게 아래 메일 발송 재난대응 안전한국훈련 (사이버분야)

Ⅲ Ⅲ 침해사고 방지방안

3. 침해사고 방지방안 7. 불필요한 사이트 가입 자제(개인정보노출 제한에 따른 유출 방지)..!! 1. 부팅 패스워드 및 개인사용자 로그인 패스워드 사용 철저..!! 5. 불필요한 공유 폴더 사용 금지..!! 2. 개인 PC 사용 중지 시 반드시 전원 Off (그린오피스 환경)..!! 3. 바이러스 백신 사용 철저 및 우회프로그램 사용 금지..!! 8. 게임방, 터미널 등 공용 PC 사용 자제..!! 4. 자동 보안패치 설정하기(최신 보안상태로 패치)..!! 6. 출처가 불분명한 메일 바로 삭제(메일 미리보기 기능 제거)..!! 9. 다운로드 파일 바이러스 검사(감염에 대한 사전점검) 10. 웹 프로그램 서명확인(신뢰기관의 서명이 있는 경우만 설치) 1. 개인PC 보호 PC보호 10 계명 준수 33

1. 메신저로 금전을 요구하는 경우 반드시 전화를 통해 확인하기..!! 2. 메신저를 통해 개인정보를 알려주지 않기..!! 3. 정기적으로 메신저 비밀번호를 변경, 관리하기..!! 4. 공공장소에서는 메신저 사용을 자제하기..!! 5. 메신저 자체보안 설정 및 보안 프로그램을 최신 버전으로 업데이트 하기..!! 2. 메신저 보안 메신저『 피싱』방지 5 메신저『 피싱』방지 5계명 침해사고 방지방안

1. 회원가입 시 개인정보취급방침을 꼼꼼히 읽어보기..!! 2. 메일,전화를 이용한 개인정보 요구에 대응하지 않기..!! 3. 과도한 개인정보를 요구하지 않는지 확인하기..!! 4. 개인정보보호책임자가 누구인지 확인하기..!! 5. 주요 검색사이트에서 자기 정보 노출여부 확인하기..!! 6. 탈퇴하면 개인정보를 파기하는지 확인하기..!! 7. 자신의 아이디와 비밀번호를 주의해서 관리하기..!! 8. 미니홈피, 블로그 등에 자신, 가족의 개인정보 게시하지 않기..!! 9. 개인정보취급방침이 없는 사이트, 정체불명 사이트 가입하지 않기..!! 10. 정보가 유출되었다고 의심되면 신고하기..!!(개인정보침해신고센터 : 국번없이 1336, 3. 개인정보 오남용 자 제 개인정보 오남용 피해 예방 10계명 침해사고 방지방안

Ⅳ Ⅳ 학교 정보보안 기본수칙

37 4. 학교 정보보안 기본수칙 『경기도교육청 정보보안 기본지침 』 ( ) 준수 교직원용 컴퓨터와 학생용 컴퓨터는 정보보호시스템에서부터 분리 하여 학생들이 교직원용 컴퓨터에 접근하는 것을 방지 각 정보시스템의 IP 설정 시 서버용, 교직원용, 학생용의 IP 범위를 달 리하여 지정하고, NAT 기능을 이용한 사설 IP 사용 예 ) 교직원용 ( ~ ), 학생용 ( ~ ) DHCP( 유동 IP) 사용 금지 홈페이지 등 대외 서비스용 서버는 서버용 (DMZ) 구간에 설치. ( 단, 상벌점시스템, 메신저 등 내부용 서버는 교사망에 설치 ) 학교 홈페이지는 교육청에 위탁 운영 권고

38 4. 학교 정보보안 기본수칙 서버에 반드시 백신 (V3 등 ) 을 설치하고 항상 최신 상태 유지 업무적으로 무선랜 사용 금지 ( 부득이한 경우 국가정보원의 보안성검 토 통과 후 사용 ) 서버 및 통신장비는 정보통신실에 설치하며 경기도교육청 정보보안 기본지침 제 21 조 ( 정보통신시설 보안 ) 에 의거 정보통신실의 보안대책을 강구하고, 관리책임자 및 자료 · 장비별 취급자를 지정하여 운영 기본적으로 원격 작업 금지 ( 부득이한 경우 제한적 허용 ) 경기교육사이버안전센터 침해의심 관련 통보 시 즉시 처리 ※ 비집선 학교에서는 유해사이트 차단 등『경기도교육청 정보보안 기 본지침』에 의거 자체 보안대책 강구

Ⅴ Ⅴ 실태점검 체크리스트

40 5. 실태점검 체크리스트

41 5. 실태점검 체크리스트

개인정보보호 종합포털 : 개인정보침해신고센터 : ( 국번없이 ) 118, ( 홈페이지 ) privacy.kisa.or.kr