찾아가는 정보보호 캠페인 실시 정보보호 바로 알기 !.

Slides:



Advertisements
Similar presentations
을지대학교 무선 네트워크 사용 방법 2010 년 06 월 01 일. 을지대학교 무선 네트워크 사용 방법 1. PC 무선랜 카드 활성화 및 체크 1 단계 : 시작 -> 설정 -> 네트워크 설정 2 단계 : 무선 네트워크 설정 선택 -> 마우스 버튼 오른쪽 클릭 -> 사용.
Advertisements

협력업체 시스템 내부사용자 메뉴얼 공정거래 및 동반성장협약 체결 메뉴얼 ( 협력회사용 ) * 홈플러스, 홈플러스테스코 모두 거래하실 경우 각각에 대하여 동일한 절차로 전자서명하시면 됩니다.
스마트폰 화면에서 안드로이드 마켓을 클릭하여 접속합니다. [그림 1-1] 안드로이드 전용 어플리케이션 설치 방법 1. 굿바이 학교폭력 Mobile App 설치 안드로이드폰 설치 방법 마켓에서 검색 아이콘을 클릭 하여 검색창을 활성화 합니다. 굿바이 학교폭력 어플명을 입력.
임직원 APP 설치 가이드 경영전략처 정보기획 TF 팀. 임직원 App- 운영체제 구분  안드로이드 갤럭시, 갤럭시노트, 갤럭시 S4 [ 삼성전자 ] 옵티머스 [LG 전자 ] 베가 [ 팬텍 모토로이 [ 모토롤라 ]  ios 아이폰 [ 애플.
본 지원서를 작성 후 으로 보내주시기 바랍니다. (15일(월) 밤 12시까지) 파일명은 [본인이름]스카이라이프원정대로 저장하시기 바랍니다. (예시: [홍길동]스카이라이프원정대)
1 넷스팟 MAC ID 설정 방법 ( 서울캠퍼스 기준 ) 각종 스마트폰의 WiFi 를 이용시 각종 스마트폰의 WiFi 를 이용시 MAC ID 설정을 하는 방법 입니다. 아이폰의 경우는 별도의 설정없이 바로 사용이 가능하오니, 사용이 어려울 경우, 고객센터로 문의하시면 됩니다.
LTE 특별행사 ( ~) ○ LTE 스마트 폰 갤럭시 S4 (32G) (LTE-A) 미니 노트2 아이폰5
한국예탁결제원 모바일 서비스 안내. 1. KSD 모바일 서비스 구축 배경 스마트폰 보급 및 이용확대 모바일 환경으로 서비스 환경 변화 고객 니즈 수용 및 서비스 향상.
농촌인적자원개발센터 홈페이지 회원가입 방법. 회원가입 1. 농촌인적자원개발센터 홈페이지 ( 포탈사이트 ( 구글, 네이버 다음 등 ) 농촌인적자원개발센터 검색 ★ 홈페이지 접속 - 회원가입 버튼 클릭.
정보보안 담당자 교육 자료 일시 : (금) 장소 : 광주교육정보원 대강당 발표자 : 백창범.
개인정보 수집·이용 및 제공에 대한 안내 ■ 개인정보 수집 및 이용 안내 ■ 고유식별정보의 수집 및 이용 안내
■ 아워홈TFS서포터즈 ‘아메3기’ 지원서 성별 구분 상세내용 TFS고객구분 사업장명 사업장 주소 신청자명 생년월일
김태원 심재일 김상래 강신택. 김태원 심재일 김상래 강신택 인터넷 통신망의 정보를 제공하는 서비스 인터넷의 자원 및 정보는 NIC가 관리 IP주소 또는 도메인으로 정보 검색 이용자 및 통신망 관한 정보를 제공.
개인정보보호법 주요 내용.
개인정보보호법 주요내용 및 이행사항 2012년 6월 1.
1) 인터넷주소(강남구보건소)로 접속해주세요.
영상정보가 분실.도난.유출.변조 또는 훼손되지 않도록 관리
아이디/패스워드를 입력합니다. (WMA 3.0 사용 ID 동일)
윈도우7 체크 설치 매뉴얼
DPR-1630&1615 IP공유기 셋팅 방법 고객지원팀 작성자 : 정청석.
2018 YTN ∙ HUFS 학생영어토론대회 - 대회규정 준수 및 심사결과 동의서
IPAD2(ios 5.0.1) 사용자 메뉴얼 Mobile Service Team.
공인인증서 신청 및 발급 제일 먼저 은행에 직접 방문하여 인터넷뱅킹 신청.
UpToDate® Anywhere(UTDA)
본 지원서를 작성 후 으로 보내주시기 바랍니다. (15일(월) 밤 12시까지)
본 문서의 내용은 컬러로 인쇄를 해야 정확한 내용 이해가 가능 합니다.
면책 동의서 보호자 동의서 (탑승자가 미성년자인 경우)
[개인정보 수집·이용 동의서] ※ 본 페이지 출력하여 자필로 기입/서명 후 스캔본(JPG 또는 PDF파일)을
개인정보보호법 주요내용 및 이행사항 2012년 2월 1.
고대 구로병원 IRB 전문간사 종양내과 오상철
< 현금영수증가맹점 가입절차 >
Adobe 제품 다운로드 및 설치 방법 안내 Adobe Creative Cloud Adobe License 권한을 받으신 분
인문학 동영상 강의 사용자 매뉴얼 (PC & Mobile).
중증장애인직업재활 지원사업 업무시스템 사용자 매뉴얼 Version 1.0
(이하 '회사'라고 함)는 『개인정보보호법』 및 『정보통신망 이용촉진 및 정보보호 등에 관한 법률』에 따라 정보주체의 개인정보보호 및 권익을 보호하고 개인정보와 관련한 정보주체의 고충을 원활하게 처리할 수 있도록 다음과 같은 방침을 두고 있습니다.
맞춤형복지 사용자 시스템 매뉴얼 공무원연금공단 맞춤형복지부 문의사항:
전자 계약서 등록(갱신) 매뉴얼
[그림 1-1] 안드로이드 전용 어플리케이션 설치 방법
개인정보보호법 사이버경찰학과 신세휴 김영걸.
1. 신규업체 등록신청 Menu Path HOME >> 신규업체등록신청 화면 개요
농림사업통합정보시스템 2단계 구축 사업 실국업무담당자 등록절차 지침서
가입신청서 작성 안내.
I-PIN 그리고 My-PIN 김가영 김경보 윤재호 이주헌
S-Work 2.0 DRM 신규 버전 설치 가이드 SOFTCAMP
Open4U 공급업체 접속 방법 Open4U 시스템 신규 접속 방법 메인 화면 및 로그인 하기 초기 비밀번호 변경하기
개인정보보호법 주요내용 및 이행사항 1.
기획재정부 국고보조금통합관리시스템 구축 추진단
개인정보 유출 권소희.
개인인증서 발급 절차 공인인증서 용도 - 은행, 신용카드, 보험용 : 무료(은행, 신용카드, 보험용으로 사용)
Kyani 디스트리뷰터 등록 안내 온라인 등록 (
입사지원자 개인정보 수집 및 활용 동의서 ▣ 개인정보 수집 ∙이용에 대한 동의 정보제공목적 달성 후 및 관련법령에 따름
KCC건설 新협력업체포탈시스템 매뉴얼 외주시스템 - 회원가입 2014년 5월.
개인정보보호법 주요내용 및 이행사항 2012년 2월 1.
(Earthquake geology and tectonic geomorphology)
자재시스템 – 개요 및 회원가입 KCC건설 新협력업체포탈시스템 매뉴얼 2014년 5월
공인인증로그인 매뉴얼.
업체등록신청절차 목차 메인화면 메세지별 유형 2-1. 이미 가입된 공급업체
Chap12_1_1.mp3 개인 정보 침해 개인정보 정의 및 침해 유형.
공인인증로그인 매뉴얼.
IPC 펌웨어 업그레이드 방법 안내 ** 반드시 IPC를 NVR POE 포트 연결 전에 작업 하시기 바랍니다. IPC를 NVR POE 포트에 연결 하실 경우 IP 대역폭을 마추셔야 하는 작업이 필요합니다. **
UpToDate® Anywhere(UTDA)
독도사랑 청년캠프 지원서 독도사랑 청년캠프에 지원해주셔서 감사 드립니다.
TrustNet 전자 협조전 사용설명서 목 차 작성,수정,삭제 결재함 처리현황 발송대장,접수대장
Continental Automotive Innovation Contest
연구장비 공동활용 지원사업 바우처 매뉴얼(참여기업)
1. PortBlock 이란 RJ-45 물리 블록킹 개념 RJ-45 블록킹 Site별 전용 Key
펌웨어(S/W) Upgrade 방법 Samsung Kies3
공인인증로그인 매뉴얼.
국가예방접종 지원사업 전자 계약서 등록(갱신) 및 인플루엔자 사업 참여 매뉴얼
연구실안전관리시스템 안전교육 이수방법 사무국 시설과.
Presentation transcript:

찾아가는 정보보호 캠페인 실시 정보보호 바로 알기 !

개인정보보호의 정의 및 필요성 개인정보보호란? 개인정보보호의 필요성 개인정보 취급자가 정보주체의 개인정보를 정당하게 수집·이용하고 개인정보를 보관, 관리하는 과정에서 내부자의 고의나 관리 부주의 및 외부의 공격으로부터 유출·변조· 훼손되지 않도록 하며, 정보주체의 개인정보 자기결정권(본인 정보 이용, 제공 현황자료 요청)이 제대로 행사되도록 보장하는 일련의 행위 개인정보보호의 필요성 개인정보 유출 등 정신적 피해, 보이스 피싱 등에 의한 금전적 손해, 스팸 메일, 유괴 등 각종 범죄에 노출 우려 개인정보는 기업의 자산 그 자체, 개인정보 유출시 기업 이미지 손상, 집단 손해배상 등으로 기업 경영 타격 정부, 공공행정의 신뢰성 하락으로 사회적 혼란 야기, 국가 브랜드 하락

“ 개인정보”란 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아 볼 수 있는 정보를 말한다 개인정보보호법상 개인정보의 정의 개인정보보호법 제2조(정의) “ 개인정보”란 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아 볼 수 있는 정보를 말한다 개인정보란 ? =“생존하는 개인을 식별할 수 있는 정보” 생존하는 개인에 관한 정보 개인을 식별할 수 있는 정보 개인정보의 주체는 자연인(自然人)이어야 하며, 법인 또는 단체의 정보는 해당되지 않음 사망하였거나 실종신고 등 관계법령에 의하여 사망한 것으로 간주되는 자에 관한 정보는 개인정보로 볼 수 없음 ※ 사자(死者)의 정보가 유족과 관련이 있는 경우는 개인정보에 해당 개인에 대한 사실·판단·평가 등 개인에 관한 모든 정보 특정 개인을 식별하거나 식별 가능하게 하는 정보 예) 지문, 홍채, 주민등록번호, 사진 등 다른 정보와 결합하여 개인을 식별할 수 있는 정보 예) 주소 + 성명 => ***에 사는 특정인 성명 + 전자메일 => ***가 사용하는 메일

개인정보 유출 사고 사례 카드사 개인정보 유출 사고(2014) ▪ 유출 규모 : 1억 400만건 ▪ 유출 정보 : 이름, 휴대폰번호, 직장명, 주소, 신용카드 정보 등 ▪ 유출 경로 : 외주 직원이 USB에 개인정보파일 저장 후 불법 반출 개인정보의 안전보관 및 업무상 정상적인 정보 활용에 대해서도 접근과 이용 권한에 대한 강력한 통제 필요 개인정보 보관 및 접근 통제 미흡 이동통신사 개인정보 유출 사고(2014) ▪ 유출 규모 : 410만건 ▪ 유출 정보 : 이름, 주민등록번호, 휴대폰번호, 주소, 결제 계좌번호 등 ▪ 유출 경로 : 휴대폰 판매 대리점에서 개인정보 무단 공유 대량의 고객정보를 다루는 전산담당자와 직원에 대한 집중 관리·감독 실시 외주직원 관리감독 절차 부재 약학정보원 개인정보 유출 사고(2015) ▪ 유출 규모 : 약 47억건 ▪ 유출 정보 : 약국 환자 개인정보(이름, 주민등록번호, 조제정보 등) ▪ 유출 경로 : 약국 의료정보시스템 개발 공급 업체가 불법으로 제약사 등에 환자 개인정보 판매 임직원의 안일한 정보보호 의식 임직원의 정보보호에 대한 중요성 인지 필수 대형병원 수술기록 노출(2016.5) ▪ 유출 정보 : 유방암 수술기록, 병력 등 개인 의료기록 ▪ 유출 경로 : 병원 소속 교수 연구팀이 임상연구를 위해 모아뒀던 환자 정보 공유 사이트 제작과정에서 보안코드 누락으로 정보 노출

개인정보 처리단계별 의무사항 개인정보 수집·이용 제공·위탁 저장·관리 파기 정보주체의 동의를 통해 제공 가능 정보주체의 동의를 통해 제공 가능 위탁하는 업무의 내용 및 수탁자 공개 정보주체의 동의를 통해 수집·이용 가능 필요 최소한의 정보 수집 수집한 목적 범위 내 이용 가능 개인정보 수집·이용 제공·위탁 저장·관리 파기 처리목적 달성, 보유기간이 경과한 개인정보는 지체 없이 파기 파기하지 않고 보존해야 하는 경우 다른 정보와 분리 저장·관리 접근통제, 접속기록 보관 등 보호조치 정보주체 권리보장(열람, 정정·삭제, 처리정지)

개인정보 수집 이용 개인정보 수집 이용시 정보주체의 동의를 받아야 합니다. 수집/이용 제공/위탁 저장/관리 파기 개인정보 수집 이용시 정보주체의 동의를 받아야 합니다. 직접 또는 우편, 팩스 등의 방법으로 동의서를 전달하고, 날인한 동의서 수령 전화를 통하여 동의 내용을 알리고 동의의 의사표시 확인 인터넷홈페이지 등에 동의내용을 게재하고 정보주체가 동의 여부를 표시 개인 정보를 수집 이용할 수 있는 경우 개인정보를 수집 이용 할 수 있는 경우 필요 최소한의 개인정보 수집 민감정보 및 고유식별정보 처리 제한 인터넷상 주민번호 대체수단 제공 [ 처벌 규정 ] 위반 시, 3천만원 이하의 과태료 주민등록번호 수집 법정주의(14.8.6)

개인정보 수집 이용 개인정보 수집 시 다음 사항을 준수합니다 수집 목적에 필요한 최소한의 개인정보를 수집 수집/이용 제공/위탁 저장/관리 파기 개인정보 수집 시 다음 사항을 준수합니다 수집 목적에 필요한 최소한의 개인정보를 수집 최소한의 개인정보 수집이라는 입증책임은 사업자가 부담 정보주체가 필요 최소한의 정보 외의 개인정보 수집에 동의하지 않는다는 이유로 정보주체에게 재화 또는 서비스 제공을 거부 금지 개인정보를 수집 이용 할 수 있는 경우 필요 최소한의 개인정보 수집 민감정보 및 고유식별정보 처리 제한 인터넷상 주민번호 대체수단 제공 [ 처벌 규정 ] 위반 시, 3천만원 이하의 과태료 주민등록번호 수집 법정주의(14.8.6)

개인정보 수집 이용 민감한 개인정보 처리시 다음사항을 주의해야 합니다 민감정보 및 고유식별정보의 처리는 원칙적으로 금지 수집/이용 제공/위탁 저장/관리 파기 민감한 개인정보 처리시 다음사항을 주의해야 합니다 민감정보 및 고유식별정보의 처리는 원칙적으로 금지 정보주체에게 별도 동의를 얻거나, 법령에서 구체적으로 허용한 경우(주민번호 제외)에 한하여 처리 가능 ※ 민감정보 : 사상, 신념, 정당가입, 건강정보, 유전정보 등 개인의 사생활에 관한 정보 ※ 고유식별정보 : 주민등록번호, 외국인등록번호, 운전면허번호, 여권번호 등 개인정보를 수집 이용 할 수 있는 경우 필요 최소한의 개인정보 수집 민감정보 및 고유식별정보 처리 제한 인터넷상 주민번호 대체수단 제공 [ 처벌 규정 ] 위반 시, 5년 이하 징역 또는 5천만원 이하 벌금 주민등록번호 수집 법정주의(14.8.6)

개인정보 수집 이용 인터넷 회원 가입시 주민번호 대체수단을 제공해야 합니다 수집/이용 제공/위탁 저장/관리 파기 인터넷 회원 가입시 주민번호 대체수단을 제공해야 합니다 사업자는 정보주체가 인터넷 홈페이지를 통해 회원으로 가입할 경우, 주민등록번호 이외의 회원가입 방법을 제공 ※ 주민등록번호 이외의 회원가입 방법 : I-PIN, 공인인증서, 전자서명 등 개인정보를 수집 이용 할 수 있는 경우 필요 최소한의 개인정보 수집 민감정보 및 고유식별정보 처리 제한 인터넷상 주민번호 대체수단 제공 [ 처벌 규정 ] 위반 시, 3천만원 이하의 과태료 주민등록번호 수집 법정주의(14.8.6)

개인정보 수집 이용 주민등록번호는 원칙적으로 활용이 금지됩니다 예외적 처리 허용 수집 가능한 사례 수집 불가능한 사례 수집/이용 제공/위탁 저장/관리 파기 주민등록번호는 원칙적으로 활용이 금지됩니다 예외적 처리 허용 - 법령에서 구체적으로 주민등록번호 처리를 요구한 경우 - 정보주체 또는 제3자의 급박한 생명, 신체, 재산이익을 위해 명백히 필요하다고 인정되는 경우 수집 가능한 사례 - 세금 부과 및 과세자료 수집 관리, 환자진료· 약처방 - 임직원 인사관리 및 급여지급, 기부금 영수증 발행 등 수집 불가능한 사례 - 회원관리(홈페이지 가입, 도서대여, 마일리지 카드발급 등) - 본인확인(출입자 관리, 고객센터, 단순 상담), 주차증 발급 등 개인정보를 수집 이용 할 수 있는 경우 필요 최소한의 개인정보 수집 민감정보 및 고유식별정보 처리 제한 인터넷상 주민번호 대체수단 제공 주민등록번호 수집 법정주의(14.8.6) [ 처벌 규정 ] 주민등록번호 유출 시, 과징금 5억원 이하 부과

개인정보 제공 위탁 개인정보 처리업무 위탁 기준 1. 개인정보 처리업무 위탁 시, 문서에 의하여 함(계약서 체결) 수집/이용 제공/위탁 저장/관리 파기 개인정보 처리업무 위탁 기준 1. 개인정보 처리업무 위탁 시, 문서에 의하여 함(계약서 체결) 2. 사업자는 위탁 사실을 정보주체가 쉽게 확인토록 공개 ㅇ 인터넷 홈페이지에 지속적으로 공개 ㅇ 인터넷 홈페이지 게재 불가시 공개방법 : 사업장 등의 보기 쉬운 장소게 게시, 신문 게재, 계약서에 게재 등 3. 위탁자 및 수탁자의 책임 ㅇ 위탁자는 수탁자가 개인정보를 안전하게 처리하는지 감독 ㅇ 수탁자가 위탁받은 업무와 관련하여 개인정보보호법을 위반하여 손해배상책임 발생시, 수탁자를 위탁자의 소속 직원으로 간주(수탁자 및 위탁자 모두 책임) [ 처벌 규정 ] 위반 시, 3천만원 이하 과태료 홍보 및 판매권유 위탁 ㅇ 재화 또는 서비스를 홍보하거나 판매를 권유하는 업무를 위탁 시, 위탁사실을 정보주체에게 고지 ㅇ 고지방법 : 서면, 전자우편, FAX, 전화, 문자전송 등

개인정보 제공 위탁 개인정보 제공업무 위탁 계약서 (예시) 업무 위탁시 확인사항 개인정보처리 위탁 시 문서(계약서)에 의합니다 수집/이용 제공/위탁 저장/관리 파기 개인정보 제공업무 위탁 계약서 (예시) 업무 위탁시 확인사항 개인정보처리 위탁 시 문서(계약서)에 의합니다 문서(계약서)에 다음 사항이 포함되어야 합니다 위탁업무의 목적 및 범위 재위탁 제한에 관한 사항 안전성 확보 조치에 관한 사항 개인정보 관리 점검 등 감독에 관한 사항 손해배상 등 책임에 관한 사항 개인정보보호 종합지원 포탈(privacy.go.kr) 참조

개인정보 저장 관리 개인정보가 분실 도난 유출 변조 훼손되지 않도록 안정성 확보에 필요한 기술적 관리적 물리적 조치 이행 수집/이용 제공/위탁 저장/관리 파기 개인정보가 분실 도난 유출 변조 훼손되지 않도록 안정성 확보에 필요한 기술적 관리적 물리적 조치 이행 관리적 보호조치 : 내부관리계획 수립(개인정보 처리방침 수립 및 공개 등) 기술적 보호조치 : 접근통제, 방화벽, 백신 등 보안프로그램 설치 물리적 보호조치 : 개인정보의 안전한 보관을 위한 보관시설 및 잠금장치 마련 안전성 확보 조치 정보주체의 열람, 정정 삭제 처리정지권 보장 영상정보처리기기의 설치 운영 제한 [ 처벌 규정 ] 미이행 시, 3천만원 이하의 과태료 미이행으로 인한 정보유출 시, 2년 이하 징역 또는 1천만원 이하 벌금

개인정보 저장 관리 개인정보 처리방치 예시 사업장 비치 또는 인터넷 홈페이지 등에 공개 안전성 확보 조치 수집/이용 제공/위탁 저장/관리 파기 개인정보 처리방치 예시 사업장 비치 또는 인터넷 홈페이지 등에 공개 안전성 확보 조치 정보주체의 열람, 정정 삭제 처리정지권 보장 영상정보처리기기의 설치 운영 제한

개인정보 저장 관리 정보주체는 자신의 개인정보에 대한 열람, 정정 삭제 처리정지를 사업자에게 요구할 수 있음 대응 조치 수집/이용 제공/위탁 저장/관리 파기 정보주체는 자신의 개인정보에 대한 열람, 정정 삭제 처리정지를 사업자에게 요구할 수 있음 대응 조치 내용적으로 10일 이내에 열람할 수 있도록 조치 열람 제한 사유 법률의 규정, 타인의 생명, 신체, 재산 침해가 우려되는 경우 안전성 확보 조치 정보주체의 열람, 정정 삭제 처리정지권 보장 영상정보처리기기의 설치 운영 제한 [ 처벌 규정 ] 미이행 시, 3천만원 이하의 과태료

개인정보 저장 관리 영상정보처리기기기(CCTV)는 공개된 장소에 특정 목적으로만 설치 운영 수집/이용 제공/위탁 저장/관리 파기 영상정보처리기기기(CCTV)는 공개된 장소에 특정 목적으로만 설치 운영 허용 사유 : 법령에서 구체적으로 허용하는 경우, 법죄예방 및 수사, 시설안전 및 화재예방 등 설치목적과 다른 목적으로 임의 조작, 녹음기능 사용 금지 안내판 설치 정보주체가 쉽게 인식할 수 있도록 안내판 설치 (기재사항 : 설치목적 및 장소, 촬영범위 및 시간, 관리책임자 및 연락처) 건물 안에 다수의 영상정보처리기기 설치시, 출입구 등 잘 보이는 곳에 해당 시설 장소가 전체가 설치지역임을 표시하는 안내판 설치 안전성 확보 조치 정보주체의 열람, 정정 삭제 처리정지권 보장 영상정보처리기기의 설치 운영 제한 [ 처벌 규정 ] 위반 시, 3년 이하 징역 또는 3천만원 이하 벌금 안내판 설치 위반 시, 1천만원 이하의 과태료

개인정보 저장 관리 안내판 설치 예시 안전성 확보 조치 정보주체의 열람, 정정 삭제 처리정지권 보장 수집/이용 제공/위탁 저장/관리 파기 안내판 설치 예시 안전성 확보 조치 정보주체의 열람, 정정 삭제 처리정지권 보장 영상정보처리기기의 설치 운영 제한

개인정보 파기 수집/이용 제공/위탁 저장/관리 파기 개인정보 파기 조치 보유기간의 경과, 개인정보 처리목적 달성 등 개인정보가 불필요하게 되었을 때는 지체 없이(5일 이내) 개인정보 파기 다만, 다른 법령에 따라 보존해야 하는 경우에는 미파기 소비자 분쟁 처리 관련 기록(3년), 요금정산(5년), 계약 및 청약철회(5년) : 전자상거래법 파기 방법 전자적 파일 형태 복원이 불가능한 방법으로 영구삭제 기록물, 인쇄물, 서면 파쇄, 소각 [ 처벌 규정 ] 위반 시, 3천만원 이하 과태료

정보보안 사고 사례 DDoS 공격 좀비PC 확인하기 좀비PC 확인 방법 자가진단 방법 - 다음 등 12개 기업 16개 웹사이트 공격(2013.10) - 프랑스 에버노트 서비스 마비(2014.6) 좀비PC 확인하기 좀비PC 원격제어가 가능한 봇(Bot) 프로그램이 설치되어 해커(공격자)의 임의대로 조종이 가능한 상태의 PC 확인 방법 한국인터넷진흥원 보호나라 (www.boho.or.kr) 홈페이지 접속 > 점검하기 > 악성 봇 감염 확인 (백신 다운로드도 가능) 자가진단 방법 시작 > 실행 or 검색창에 ‘cmd’ 입력 > 창에 ‘netstat’입력 > 활성화된 IP 주소 중 8080, 135, 9900, 6400 포트가 있는지 여부 확인 ※ 8080, 135, 9900, 6400는 악성 프로그램이 빈번하게 사용하는 포트임

정보보안 주요 점검사항 접근 권한의 관리 비밀번호 관리 보안프로그램 설치 및 운영 물리적 접근 통제 개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무담당자에 따라 차등 부여 여부 점검방법 개인정보처리시스템의 Application을 통하여 접근시 업무담당자 별로 접근할 수 있는 권한이 차등 배분되어 있는지 확인 - Application 주요 메뉴, 정보범위, 사용권한(입력, 읽기, 쓰기, 삭제) 등의 차등 부여 (관련 법률 및 규정) 개인정보보호법 제29조, 안전성 확보조치 기준고시 제4조 제1항 (증빙) 개인정보처리시스템 권한 요청/승인서 등 퇴직 등 인사이동이 발생하여 개인정보취급자 변경시 지체 없이 개인정보처리시스템의 접근권한 변경 또는 말소 여부 점검방법 퇴사 시 주요 정보처리시스템ID, 출입토근(지문, 카드 등), PC(노트북) 등 즉시 회수하고 있는지 확인 전보시 주요 인수인계 과정에서 주요 정보처리시스템 내 ID 권한을 회수하고 있는지 확인 외부(협력)/임시 직원의 경우 내부직원과 구별 가능한 계정발급 및 중요정보의 접근권한 제한 여부 확인 (관련 법률 및 규정) 개인정보보호법 제29조, 안전성 확보조치 기준고시 제4조 제2항 (증빙) 접근권한 발급 및 회수 기록

정보보안 주요 점검사항 접근 권한의 관리 비밀번호 관리 보안프로그램 설치 및 운영 물리적 접근 통제 비밀번호 작성규칙 수립· 적용 여부 점검방법 개인정보처리시스템 및 PC 계정, 패스워드 생성규칙 확인 개인정보처리시스템 및 PC 계정, 패스워드 목록 확인(실사 포함) ※ 비밀번호 생성 규칙(안정행정부 해설서 기준) - 패스워드문자 종류에 따라 최소 8자리에서 10자리로 구성 - 영문, 숫자, 특수문자, 대문자, 소문자 중 2개 구성 시 10자리 - 영문, 숫자, 특수문자, 대문자, 소문자 중 3개 구성 시 8자리 - 단어로 된 패스워드, 키보드의 연속배열의 패스워드 사용금지 - 6개월 주기로 패스워드 변경 및 변경 시 동일한 패스워드 사용금지 (관련 법률 및 규정) 개인정보보호법 제29조, 안전성 확보조치 기준고시 제5조 (증빙) 계정/패스워드 생성 규칙(지침/매뉴얼)

정보보안 주요 점검사항 접근 권한의 관리 비밀번호 관리 보안프로그램 설치 및 운영 물리적 접근 통제 보안 프로그램의 자동 업데이트 기능을 사용 또는 일 1회 이상 업데이트 실시 여부 점검방법 개인정보처리시스템 및 개인정보처리 PC의 OS 보안업데이트 설정과 백신의 보안 업데이트는 실시간 또는 1일 자동업데이트 설정 자동검사 설정은 최소 주1회 이상 PC 전체영역을 대상으로 설정하여야 함 (관련 법률 및 규정) 개인정보보호법 제29조, 안전성 확보조치 기준고시 제8조 제1호 (증빙) 보안프로그램 및 백신프로그램의 보안설정 적용 여부 실사, OS 보안업데이트 등 PC보안실사 악성 프로그램관련 경보 발령된 경우 또는 사용 중인 응용 프로그램이나 운영체제 소프트웨어의 제작업체에서 보안 업데이트 공지가 있는 경우, 이에 따른 즉각적인 업데이트 실시 여부 점검방법 서버 및 중요 정보처리시스템의 경우 원칙적으로 패치 시행 전, 패치에 대한 테스트가 선행되어야 하며 테스트의 안전성 확인 후 적용 (관련 법률 및 규정) 개인정보보호법 제29조, 안전성 확보조치 기준고시 제8조 제2호 (증빙) 시스템(서버) 및 업무용 PC 업데이트 현황(실사), 시스템(서버) 업데이트 대장

정보보안 주요 점검사항 접근 권한의 관리 비밀번호 관리 보안프로그램 설치 및 운영 물리적 접근 통제 주요 접근통제 구역(전산실, 문서보관실, 공조시설, 소방시설 등)내 비인가 접근을 통제할 수 있는 접근통제 적용 여부 점검방법 중요 통제구역 출입은 IC카드, 바이오 인증 등 출입통제 장치를 통하여 출입이 제한되어야 하며, 출입통제 장치 부재 시, 출입기록 관리대장 작성 및 담당자가 출입자의 출입목적 달성 시까지 동반하여야 함 (관련 법률 및 규정) 개인정보보호법 제29조, 안전성 확보조치 기준고시 제8조 제2호 (증빙) 시스템(서버) 및 업무용 PC 업데이트 현황(실사), 시스템(서버) 업데이트 대장 개인정보가 포함된 문서 및 저장매체를 물리적으로 통제된 별도의 장소에, 시건 장치가 적용된 설비 내 보관 여부 점검방법 개인정보가 문서로 보관될 경우 지정된 보안구역 내 장소에 보관하여야 하며 보관되는 시설물(케비넷, 금고) 등은 잠금이 가능하여야 함 (관련 법률 및 규정) 개인정보보호법 제29조, 안전성 확보조치 기준고시 제9조 제2항 (증빙) 보호장비/보관장비 목록 및 관리현황, 열쇠관리대장 등 개인정보가 포함된 보조저장 매체의 반출· 입 통제를 위한 보안대책 마련 여부 점검방법 업무 목적이 달성되었을 경우 지체 없이 개인정보파일을 파기하여야 하며 복구 또는 재생되지 아니하도록 조치하여야 함 (관련 법률 및 규정) 개인정보보호법 제21조, 제26조 (증빙) 파기확인서(공문), 파기관리대장, 물품관리대장(PC 등의 불용처분 및 매각관련)

정보보호 강화 주요 사례 전산기기 등을 통해 정보 외부 유출 경로 차단 출입정보 전송 전산센터 IT개발실 정보 입력 (관리자 동행) 방문객 등록 전산기기 반입 시 정보 등록 및 스마트폰 봉인 스티커 부착 출입 정보 인식 출입정보 전송 승인 받지 않은 전산기기 반출·입 검색 출입관리 시스템 MDM 금속탐지기 스마트폰 카메라 기능 ON/OFF 추가 X-ray 검색대 1차 출입문 (1층) X-ray검색대 2차 출입문 [은행] [카드] 전산센터 IT개발실

정보보호 강화 주요 사례 업무영역 인터넷영역 인터넷망 분리 구 분 업무영역 인터넷영역 인터넷 사용 인터넷 사용 불가 당행 인터넷뱅킹 사이트(kbstar.com) 허용 업무상 필요 사이트는 정보보호부 승인 후 허용 인터넷 사용 가능 인터넷 제한사이트* 외 허용 * 제한사이트 : 음란,도박, 증권, 게임, 웹하드 등 웹메일 사용 가능(사설메일 사용 금지) 파일 이용 인터넷영역으로 파일 이동통제 인터넷영역으로 텍스트 복사/붙여넣기 차단 파일 생성/편집 가능 업무영역으로 파일 이동통제 업무영역으로 텍스트 복사/붙여넣기 가능 파일 편집 불가(보기 기능만 가능)

정보보호 강화 주요 사례 이동식 보조기억매체 관리 정책 개별적인 이동식 보조기억매체(USB, 외장HDD 등) 전면 사용 금지 구분 주요내용 비고 인수도 관리 신청자 : USB신청/반납 시 신청기록부에 해당 내용 작성 관리자 : 신청사유 정당성 확인, 매건 승인 후 USB 제공 USB 사용 후 저장된 자료는 반드시 삭제 후 반납 문서관리 보조기억매체(USB) 관리대장 및 사용신청기록부의 보관기간 : 3년 지정 USB 3개

정보보호 기본 준수사항 1. 개인정보는 동의 받아 수집 회원, 멥버십 가입 등 고객의 개인정보를 수집할 때에는 동의를 받고, 수집·이용 목적, 수집항목, 보유기간, 거부 시 발생할 수 있는 불이익을 알리고 동의를 받습니다. 개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 e-Mail 확인 철저 첨부파일 확인 철저

정보보호 기본 준수사항 2. 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 e-Mail 확인 철저 첨부파일 확인 철저 2. 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보는 서비스나 업무처리에 꼭 필요한 필수 정보만 수집하며, 주민등록번호나 민감정보는 원칙적으로 수집하지 않습니다.

정보보호 기본 준수사항 3. 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 e-Mail 확인 철저 첨부파일 확인 철저 3. 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보를 당초 수집 목적과 다르게 이용하거나 제3자에게 제공할 경우에는 반드시 고객의 동의를 받아야 합니다.

정보보호 기본 준수사항 4. 개인정보처리 업무 위탁 시 위탁사실 공개 개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 e-Mail 확인 철저 첨부파일 확인 철저 4. 개인정보처리 업무 위탁 시 위탁사실 공개 대리점, 위탁점, 콜센터 등 외부에 개인정보의 처리를 위탁하는 경우 홈페이지 또는 사업장에 위탁내용과 수탁자를 공개해야 합니다.

정보보호 기본 준수사항 5. 안전한 개인정보 관리 보관 개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 e-Mail 확인 철저 첨부파일 확인 철저 5. 안전한 개인정보 관리 보관 개인정보 내부관리계획을 수립하고, 개인정보 접근통제, 보안 프로그램 등을 설치해야 합니다. 또한, 개인정보 보관 장소의 출입 통제 또는 잠금장치 등을 마련해야 합니다. ※ 단, 상시 근로 5인 미만 사업장은 내부관리계획 수립 면제

정보보호 기본 준수사항 6. 개인정보 이용목적 달성 시, 반드시 파기 개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 e-Mail 확인 철저 첨부파일 확인 철저 6. 개인정보 이용목적 달성 시, 반드시 파기 개인정보의 보유기간이 경과하거나, 개인정보의 처리목적이 달성되어 더 이상 불필요한 경우 지체 없이 파기해야 합니다. 또한, 파기 시, 복구 또는 재생되지 않도록 주의합니다.

정보보호 기본 준수사항 개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 e-Mail 확인 철저 첨부파일 확인 철저 7. 비밀번호 관리 철저 PC 내 로그인 계정의 비밀번호는 영대문/영소문/숫자/특수문자를 조합하여 사용하며, 8자리 이상으로 설정 및 주기적으로 변경하여 사용해야 합니다.

정보보호 기본 준수사항 8. e-Mail 확인 철저 발신인이 불분명하거나 수상한 첨부파일은 열지 말고 모두 삭제하며, 개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 e-Mail 확인 철저 첨부파일 확인 철저 8. e-Mail 확인 철저 발신인이 불분명하거나 수상한 첨부파일은 열지 말고 모두 삭제하며, 개인정보, 계좌정보 등의 업데이트나 정보변경을 요구하는 이메일을 받으면 클릭하지 말고 해당 회사 사이트에 가서 직접 확인해야 합니다.

정보보호 기본 준수사항 개인정보는 동의 받아 수집 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 개인정보처리 업무 위탁시 위탁사실 공개 안전한 개인정보 관리 보관 개인정보 이용 목적이 달성시, 반드시 파기 비밀번호 관리 철저 e-Mail 확인 철저 첨부파일 확인 철저 9. 첨부파일 확인 철저 악의적이거나 실수에 의한 유출, 복제 등으로 인해 개인정보 또는 중요 정보가 노출되지 않도록 첨부파일에 비밀번호를 설정해야 합니다.

정보보호 기본 준수사항 체크리스트 1. 개인정보는 동의 받아 수집 회원, 멥버십 가입 등 고객의 개인정보를 수집할 경우 동의를 받습니까? 수집·이용 목적, 수집항목, 보유기간, 거부 시 발생할 수 있는 불이익을 알리고 동의를 받습니까? ■ Yes, □ No 2. 서비스나 업무처리에 꼭 필요한 최소한의 정보만 수집 서비스나 업무처리에 필요한 필수 개인정보를 구분합니까? 주민등록번호나 민감정보(사상, 신념, 정치, 건강, 사생활침해 정보)를 수집할 경우, 고객의 명시적, 별도 동의를 받습니까? 3. 개인정보를 수집한 목적과 다르게 이용하거나 제3자에게 제공 금지 고객동의를 얻은 업무 외의 다른 업무에 개인정보를 사용하거나 제3자에게 제공하기 위해, 별도의 추가동의를 받고 있습니까? 4. 개인정보처리 업무 위탁 시 위탁사실 공개 대리점, 위탁점, 콜센터 등 외부에 개인정보의 처리를 위탁하는 경우 홈페이지 또는 사업장에 위탁내용과 수탁자가 공개됩니까? 5. 안전한 개인정보 관리 보관 개인정보보호 점검, 교육 등 내부 관리계획을 수립합니까?(상시 근로 5인 미만 사업장 제외) 홈페이지나 업무용 프로그램이 접근권한 관리기능을 지원합니까? 홈페이지나 업무용 프로그램이 개인정보 마스킹(***)기능을 지원합니까? 업무용 PC에 백신 등 보안프로그램이 설치되어 있습니까? 개인정보 보관장소가 잠금장치 등 출입통제 되고 있습니까? 6. 개인정보 이용 목적이 달성 시, 반드시 파기 개인정보의 보유기간이 경과하거나, 개인정보의 처리목적이 달성되어 더 이상 불필요한 경우, 지체 없이 파기할 수 있도록 관리대장을 마련하여 개인정보의 보유기간, 파기방법, 파기여부 등을 관리합니까? 개인정보 파기 시, 문서 세절, 소각, Data 완전삭제 등 복구 또는 재생되지 않는 파기방법을 사용합니까? 7. 비밀번호 관리 철저 PC 내 로그인 계정의 비밀번호를 영대문/영소문/숫자/특수문자를 조합하여 사용하며, 8자리 이상으로 설정합니까? PC 내 로그인 계정의 비밀번호를 주기적으로 변경하고, 별도의 관리대장을 만들어 관리합니까? 8. e-Mail 확인 철저 발신인이 불분명하거나 수상한 메일은 열람(클릭)하지 말고 즉시 삭제합니까? 연락처, 주소 등의 개인정보나 계좌정보 등의 업데이트나 정보변경을 요구하는 이메일을 받을 경우, 열람(클릭)하지 말고, 해당회사 사이트에 가서 직접 확인합니까? 9. 첨부파일 확인 철저 이메일에 파일을 첨부할 경우, 해당 파일 자체에 암호를 설정하거나, 암호를 설정하여 압축합니까?

Thank you ! 감사합니다. 정보보호본부