정보보안 및 개인정보 책임자 교육 경상남도교육청

- 목 차 - Ⅰ 정보보안 및 개인정보보호 책임자 임무 Ⅱ 주요 위반 사례 Ⅲ 기타 참고사항 Ⅳ 안내 사항

Ⅰ. 정보보안 및 개인정보보호 책임자 임무 경상남도교육청

Ⅰ. 정보보안 및 개인정보보호 책임자 정보보안 담당관 정보보안담당관 지정 [경남교육청 보안업무시행요강. 2012.2.29.) - 본청: 교육재정과장 - 지역교육청: 행정지원과장 - 직속기관 및 지역교육청 소속기관: 기관장이 실정에 맞게 임명 - 각급학교 : 정보부장 교사 (부장 교사가 없는 학교는 정보보안 담당 교사)

Ⅰ. 정보보안 및 개인정보보호 책임자 정보보안 담당관 운영 정보보안담당관 변동 사항 통보 (정보보안기본지침 제5조 3항) - 임면(변동) 시 7일 이내에 지도감독기관의 장에게 통보 - 통보 내용: 소속, 직책, 직급, 성명, 연락처(e-mail 주소 포함) 정보보안담당관의 주요 기본 활동 (정보보안기본지침 제5조 4항) - 정보보안 정책 및 기본계획 수립 시행 - 정보통신실, 정보통신망 및 정보자료 등의 보안관리 - 사이버공격 초동 조치 및 대응 - 정보보안 교육(연 1회 이상 전 직원 대상) - 정보통신망 보안대책 수립 시행 - 사이버보안진단의 날 계획 수립 시행

Ⅰ. 정보보안 및 개인정보보호 책임자 개인정보보호 책임자 개인정보보호 책임자 지정 (개인정보보호법 시행령 제32조) - 도교육청: 관리국장 [3급 이상 공무원 또는 그에 상당하는 공무원] - 지역교육청: 관리국장(국 단위), 행정지원과장(과 단위) [4급∼5급 공무원] - 도 직속 및 지역교육청 소속기관: 개인정보보호 담당 부서의 장 - 각급 학교/유지원 : 학교장 /유치원장 개인정보보호 책임자의 임무 (개인정보보호법 제31조) - 개인정보보호 계획의 수립 및 시행 - 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선 - 개인정보처리와 관련한 불만의 처리 및 피해 구제 - 개인정보 유출 및 오용·남용 방지를 위한 내부통제시스템의 구축 - 개인정보보호 교육 계획의 수립 및 시행 - 개인정보파일의 보호 및 관리 감독

Ⅱ. 주요 위반 사례 - 정보보안 - 개인정보보호 경상남도교육청

Ⅱ.주요 위반 사례 정보보안 < 경상남도교육청 정보보안기본지침 제13조 : 사이버보안 진단의 날> < 경상남도교육청 정보보안기본지침 제13조 : 사이버보안 진단의 날> 매월 세번 째 수요일은 사이버보안진단의 날로 내 PC 지키미 프로그램을 실행하고 발견된 보안취약점을 모두 보완 조치하여야 하나, → 실제로는 시행하지 않고, 형식적으로 대장만 기록 관리하고 있는 사례 월별 중점 점검사항 미 이행 사례 ※ 유의사항 ☞ 정보보안감사 최우선 점검항목임 ☞ 학교, 사업소 단위기관의 이행 실적 저조 (정보화 업무부서 또는 정보보안담당관의 일이라는 잘못된 인식 팽배) ☞‘내 PC 지키미’프로그램은 기관(학교) 내의 모든 PC를 대상으로 함 ☞ 나타난 보안취약점은 PC사용자(개인)이 도움말에 따라 모두 조치 가능 ※ 참고사항: Windows XP에 대한 보안패치 서비스가 2014. 4. 8. 중단 예정

Ⅱ.주요 위반 사례 정보보안 < 경상남도교육청 정보보안기본지침 제29조 : PC 등 단말기 보안관리> 학적부 스캔파일, 성적파일, 저소득층 파일 등의 중요자료나 민감한 자료가 공유폴더에 저장되어 있어 외부 노출.유출이 우려되는 사례

Ⅱ.주요 위반 사례 정보보안 < 경상남도교육청 정보보안기본지침 제56조 : 정보통신망 자료 보안관리> < 경상남도교육청 정보보안기본지침 제56조 : 정보통신망 자료 보안관리> 정보통신망 세부 구성 현황(IP 세부 할당 현황 포함) 등 대장관리를 최신상태로 관리하지 않거나 대외비로 분류하지 않은 사례 ※ PC, 통신기기, 프린터, 복사기, 인터넷전화기 등 IP 설정 기기는 모두 작성 대외비 등재 (예시)

Ⅱ.주요 위반 사례 정보보안 < 경상남도교육청 정보보안기본지침 제35조 : 비밀번호 관리> < 경상남도교육청 정보보안기본지침 제35조 : 비밀번호 관리> 비밀번호를 분기 1회 이상 또는 담당자 변동 시 변경하지 않은 사례 CMOS(부팅 시, 장비별), 로그인(사용자별) 비밀번호 미 설정 사례 비밀번호 부여 규칙 (알파벳 대문자와 소문자, 숫자, 특수문자를 조합하여 9자리 이상, 계정 아이디와 유사한 것 제외, 동일 숫자 또는 문자 반복 제외 등)을 준수 하지 않은 사례 < 경상남도교육청 정보보안기본지침 제22조: 보안성 검토 > 정보화사업 수행 시 보안대책 강구 및 사업계획 단계(사업 공고 전)에서 지도감독기관의 장에게 보안성 검토를 의뢰하지 않은 사례 - 주요 대상사업 : 인터넷전화, CCTV(신규), 무선랜, 정보시스템 구축 등 - 검토절차 : [참고 자료] 참조

Ⅱ.주요 위반 사례 정보보안 < 경상남도교육청 정보보안기본지침 제44조 : 전자정보 저장매체 불용처리> < 경상남도교육청 정보보안기본지침 제44조 : 전자정보 저장매체 불용처리> 노후 PC 불용처리 시“정보시스템 저장매체 불용처리 실무요령”미 준수 - 저장된 자료가 복원 가능한 상태로 불용 처리 - 보조기억매체 불용처리 확인서 미 작성, 정보보안담당관 확인 소홀 -전산장비(보조기억매체 포함) 외부 반.출입 통제 및 대장 기록.관리 미흡 반.출입대장 (예시)

Ⅱ.주요 위반 사례 정보보안 < 경상남도교육청 정보보안기본지침 제39조 : 휴대용 저장매체 보안대책> < 경상남도교육청 정보보안기본지침 제39조 : 휴대용 저장매체 보안대책> USB메모리 등 휴대용 저장매체를 관리대장(일반용, 비밀용)에 등록 관리하지 않고 무단으로 사용하고 있어, 자료 유출 및 내부망 무단 접속으로 인한 악성 바이러스 감염 등 침해사고 발생이 우려되는 사례 관리대장 (예시)

Ⅱ.주요 위반 사례 정보보안 < 경상남도교육청 정보보안기본지침 제43조: 정보시스템 유지보수 < 경상남도교육청 정보보안기본지침 제43조: 정보시스템 유지보수 제57조: 용역사업 보안관리 > 용역사업 계약 시 계약서에 누출 금지 대상정보, 부정당업체 제재, 위반시 손해배상 책임, 보안특약관련 사항 등을 기재하지 않은 사례 - 용역사업 : 정보시스템(학내전산망, 홈페이지, PC등) 유지보수, 앨범제작 등 - 계약서 작성 시 보안지침 위배 사항(원격 유지보수 허용, 전산실 상시 출입 협조 등)이나 업체에 일방적으로 유리하게 된 부분이 있는지 면밀한 검토 필요 전산실 등 통제구역은 출입자 명부를 비치하고 정보보안담당관의 승인 하에 출입사항을 기록 관리하여야 하나 통제.관리하지 않은 사례 외부에서의 원격 유지보수를 원칙적으로 금지하고 있으나, 업체에게 관리자 아이디, 비밀번호 등을 제공하고 전적으로 의존하고 있는 사례

Ⅱ.주요 위반 사례 개인정보보호 개인정보보호법 제 32조에 의하면 공공기관의 장이 개인정보파일을 운용하는 경우에는 개인정보파일의 명칭, 운영근거, 목적, 개인정보의 항목, 처리방법, 보유기간 등을 홈페이지에 게시를 하고 일반인에게 공개를 해야 하나, 게시한 항목과 보유 항목이 불일치 한 사례 <홈페이지 개인정보처리방침 > <개인정보보호 종합지원포털>

Ⅱ.주요 위반 사례 개인정보보호 주민등록번호 등 고유식별번호가 포함된 파일에 대하여 비밀번호 부여 없이 업무용 PC에 보관하고 있는 사례 ☞ 3천만원 이하 과태료

Ⅱ.주요 위반 사례 개인정보보호 졸업생 학적관리프로그램(알리안스, 증명박사 등)에서 졸업생 개인정보가 포함된 DB에 대하여 암호화 조치 없이 관리하고 있는 사례 ☞ 3천만원 이하 과태료

Ⅱ.주요 위반 사례 <○> <×> 개인정보보호 CCTV 저장 매체 관리장치에 대하여 시건 등 접근 통제 대책 없이 방치 한 사례 ☞ 3천만원 이하 과태료 <○> <×>

Ⅱ.주요 위반 사례 <○> <×> 개인정보보호 CCTV 안내판 설치 미흡 ☞ 1천만원 이하 과태료 <○> <×>

Ⅱ.주요 위반 사례 개인정보보호 개인정보 위탁 업무 처리 절차 미흡 - 개인정보 업무(졸업생 앨범 제작, 학생증 제작 등) 처리를 위탁하는 경우에는 위탁계약서를 작성하고, 위탁 내용을 기관(학교) 홈페이지 개인정보처리방침에 공개를 하여야 하나 이행하지 않은 사례 ☞ 1천만원 이하 과태료 문서에 포함되어야 할 내용 확인(시행령 제26, 28조) 개인정보 보유 목적 외 제3자 제공에 대한 절차 미흡 - 개인정보를 보유 목적 외 제3자에게 제공할 경우 제3자 제공대장에 기록관리하고, 홈페이지에 공개하여야 함 ☞ 5년 이하 징역 또는 5천만원 이하 과태료

Ⅲ. 기타 참고 사항 경상남도교육청 - 정보보안기본지침 개정사항 - 보안성 검토 - 외주 용역사업 보안특약 조항 예시 - 개인정보보호 업무처리 사례 - 개인정보보호 벌칙표 경상남도교육청

Ⅲ.기타 참고 사항 교육부 정보보안 기본지침 개정 정보보안담당자 15시간 이상 정보보호 교육 의무 이수 교육부 정보보안 기본지침 개정 정보보안담당자 15시간 이상 정보보호 교육 의무 이수 - 정보보안 및 개인정보보호 인터넷 전화 보안관리 - 각급학교는 “행정기관 보안 가이드 라인”에서 제외 - 단, 데이터망과 음성망은 반드시 분리(사설 IP 변경 작업시 반드시 확인) 무선랜 보안관리, 상용 클라우드 서비스 - 학교는 교육목적에 한 하여 학교장 책임하에 무선랜 설치 및 상용 클라우드 서비스, DHCP(동적 IP 할당) 허용 가능 ※ 무선랜 사용 시 가급적 고정IP 사용 권장(보안사고 시 사고PC 신속히 찾음) ※ 6~7월 중 개정된 정보보안기본지침 배포 예정

Ⅲ.기타 참고 사항 보안성 검토 각급 기관은 정보화사업 추진 시 자체 보안대책 강구 및 구축될 시스템에 대한 안전성 확인을 위해 사업 계획단계에서 보안성 검토를 수행해야 함 - 대상사업 : 인터넷전화, CCTV, 무선 인터넷 구축 등 정보화사업 보안성 검토 처리 절차 간소화 - 사업 규모에 따라 시도교육청, 교육부, 국정원에서 보안성 검토 수행 - 단순유형 정보화 사업은 보안성 검토 생략 예) PC· 서버 등 단품 위주의 장비 도입·교체, 홈페이지 유지보수 등 소규모 기관의 보안성 검토 간소화 - 대상: 단설 유,초,중,고,특수학교, 지역교육청 소속기관, 도직속기관 등 - 보안심사위원회 구성 및 심사를 생략하고 상위기관에 보안성 검토 의뢰

Ⅲ.기타 참고 사항 보안성 검토 절차

Ⅲ.기타 참고 사항 보안성 검토 절차 보안성 검토 요청 절차 1. 보안성 검토 요청 공문 제출 2. 제출문서 1. 보안성 검토 요청 공문 제출 - 단설 유치원, 초.중학교, 지역교육청 소속기관 -> 지역교육청(행정지원과) - 고.특수학교, 도직속기관, 지역교육청 -> 도교육청(교육재정과) 2. 제출문서 - 사업계획서, 자체 보안대책, 네트워크구성도 - 기술제안요청서(해당사항이 있을 시)

Ⅲ.기타 참고 사항 보안성 검토 절차 3. 사업계획서에 포함되어야 할 내용 4. 자체 보안대책에 포함되어야 할 내용 - 사업개요, 사업 목적, 추진 배경 및 근거, 추진 계획 4. 자체 보안대책에 포함되어야 할 내용 - 보안관리 수행 체계(조직, 인원 등] 관리적 보안 대책 - 정보시스템 설치 장소에 대한 보안관리 방안 등 물리적 보안 대책 - 서버, 휴대용 저장매체, 네트워크 등 정보통신망의 요소별 기술적 보안 대책 - 재난복구 계획 또는 상시 운용 계획

Ⅲ.기타 참고 사항 외주용역사업 보안관리 외주 용역사업 보안 특약 조항 (예시) ① 사업자는 OOO의 보안정책을 위반하였을 경우 [별표1]의 위규처리 기준에 따라 위규자 및 관리자를 행정조치하고 [별표2]의 보안 위약금을 OOO에 납부한다. ② 사업자는 사업 수행에 사용되는 문서, 인원, 장비 등에 대하여 물리적, 관리적, 기술적 보안대책 및 [별표3]의 ‘누출금지 대상정보’에 대한 보안관리계획을 사업제안서에 기재하여야 하며, 해당 정보 누출 시 OOO은 지방계약법 시행령 제92조에 따라 사업자를 부정당업체로 등록한다.

Ⅲ.기타 참고 사항 외주용역사업 보안관리 ③ 사업 수행과정에서 취득한 자료와 정보에 관하여 사업수행 중은 물론 사업 완료 후에도 이를 외부에 유출해서는 안되며, 사업종료 시 정보보안담당자의 입회 하에 완전 폐기 또는 반납해야 한다. ④ 사업자는 사업 최종 산출물에 대해 정보보안 전문가 또는 전문보안 점검도구 를 활용하여 보안 취약점을 점검, 도출된 취약점에 대한 개선을 완료하고 그 결과를 제출해야 한다.

Ⅲ.기타 참고 사항 외주용역사업 보안관리

Ⅲ.기타 참고 사항 외주용역사업 보안관리

Ⅲ.기타 참고 사항 개인정보보호 업무처리 사례 개인정보 업무처리 사례집(2012. 1) 탑재 위치 → 경상남도교육청 홈페이지 > 정보마당 > 개인정보보호 게시판 사례1) 학교행사 사진, 대회입상자 등을 홈페이지에 게시(사진, 동영상) 할 경우 동의서 여부? 비공개 게시판은 게시가 가능한가? → 정보주체의 동의를 얻어야 하며, 단체 사진의 경우 동의를 거부한 사람에 대해서는 식별할 수 없도록 처리 후 게시 → 로그인 등의 방법으로 제한된 사람만 이용하는 게시판이라도 정보주체의 동의를 구해야 함

Ⅲ.기타 참고 사항 개인정보보호 업무처리 사례 사례2) 각종 보고서 작성 시 아이들 활동사진이 들어가는 경우가 많은데 뒷모습의 경우도 동의서를 받아야 하는지? → 개인을 알아볼 수 있는 한 개인정보에 해당하며, “개인정보보호법”에서의 보호대상으로 법률에 따른 규정이 없는 한 원칙적으로 동의를 받아야 함 사례3) 받아야 할 동의서가 여러 개일 경우 한 번에 받을 수 있는지? → 각각의 사안에 대해 정보주체에게 알려야 할 사항을 명시하고, 각각의 사안별로 동의를 선택하도록 하는 경우에는 일괄 동의가 가능함 ※‘개인정보 업무처리 사례집’101페이지 참고

Ⅲ.기타 참고 사항 개인정보보호 업무처리 사례 사례4) 학교에서 학생 및 가족의 개인정보를 수집하여 활용하는 경우[학 생지도 활용, 부모에게 문자보내기 등)에도 동의서가 필요하나요? → 위와 같은 경우 ‘교육기본법’에 의해 “교육목적”으로 학생의 개인정보 를 수집, 처리, 이용하는 경우에는 개별적인 동의를 받지 않아도 됨 → 저소득층 지원 시 주민등록번호 수집 시는 “국민기초생활보장법”, “한국장학재단법”에 의해서 정보주체의 동의가 필요 없음

Ⅲ.기타 참고 사항 개인정보보호 벌칙표

Ⅲ.기타 참고 사항 개인정보보호 벌칙표

Ⅲ.기타 참고 사항 개인정보보호 벌칙표

Ⅳ. 안내 사항 - 경상남도교육청 모바일 홈페이지 서비스 개시 경상남도교육청

Ⅳ. 안내 사항 경상남도교육청 모바일 홈페이지 서비스 개시 서비스 개시일 : 2013. 6. 10.(월) 접속 방법 서비스 개시일 : 2013. 6. 10.(월) 접속 방법 - 모바일 기기에서 인터넷 주소창에 http://m.gne.go.kr/ 을 입력 - QR 코드 활용 ※ QR 코드(Quick Response code)란? 종래에 많이 쓰이던 바코드의 용량 제한을 극복하고 그 형식과 내용을 확장한 2차원의 바코드 ※ 사용방법 카메라 폰으로 인쇄된 QR코드를 찍으면 코드를 인식 하고 웹사이트로 연결(해당프로그램이 있을 경우)

Ⅳ. 안내 사항 경상남도교육청 모바일 홈페이지 서비스 개시 협조사항 - 학생, 학부모 홍보 : 가정통신문 등 - 기간(학교)별 홈페이지에 팝업(알림)존 게시 - 메신저 등을 통한 내부 직원 홍보 등

질의 응답 경상남도교육청