개인정보처리자는 악성프로그램 등을 통해 개인정보가 위, 변조, 유출되지 않도록 이를 방지하고 치료할 수 있는 보안 프로그램을 설치, 운영하여야 한다.보안 프로그램은 그 목적과 기능에 따라 다양한 종류의 제품이 있으므로, 개인정보처리자는 스스로의 환경에 맞는 보안 프로그램을 설치하도록 한다.개인정보처리자는 설치한 보안 프로그램을 적절하게 운영하여야 한다.보안 프로그램 설치 후, 최신 상태의 보안 업데이트 적용보안 프로그램의 정책, 환경 설정 등을 통해 사내의 보안정책을 적용보안 프로그램을 통해 발견되는 악성 프로그램 등 확산 방지 조치웹서버나 파일서버 등 외부에서 파일 업로드 시 파일 내용을 검사하여 악성 코드가 포함되었는지를 검사하고 감염을 예방할 수 있도록 개인정보처리시스템에 조치클라우드컴퓨팅서비스를 ..

개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속하여 처리한 업무내역 등의 접속기록을 1년 이상 보관, 관리하여야 한다.다만, 고유식별정보 또는 민감정보를 처리하거나 대량의 개인정보를 처리하는 경우 개인정보 유출 등으로 인한 피해 가능성이 매우 높으므로 다음의 개인정보취급자가 개인정보처리시스템에 접속하여 처리한 업무내역 등의 접속기록은 최소 2년 이상 보관, 관리하여야 한다.5만명 이상의 정보주체에 관한 개인정보를 처리하는 개인정보처리시스템에 해당하는 경우고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템에 해당하는 경우개인정보처리자로서 “전기통신사업법” 제6조제1항에 따라 등록을 하거나 같은 항 단서에 따라 신고한 기간통신사업자에 해당하는 경우접속기록에는 식별자, 접속일시, 접속지 정보, 처..

1. 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 안전조치를 하여야 한다. - 개인정보처리시스템에 대한 접속 한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가받지 않은 접근을 제한 - 개인정보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응 2. 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다. 3. 개인정보처리자는 처리하는 개인정보가 인터넷 홈페..

개인정보처리자는 비밀번호, 생체인식정보 등 인증정보를 데이터베이스, 파일 등으로 저장하는 경우에는 이를 안전한 암호 알고리즘으로 암호화하여야 한다.인증정보 - 비밀번호, 생체인식정보 등 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속을 요청하는 자의 신원을 검증하는 데 사용하는 정보개인정보처리자는 인증정보 중 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.일방향 암호화 - 개인정보취급자 및 정보주체 등이 입력한 비밀번호를 평문 형태가 아닌 해시함수 등을 통해 비가역적으로 암호화한 값으로 저장하는 것개인정보처리자는 비밀번호, 생체인식정보 등 인증정보를 정보통신망을 통하여 송수신하는 경우에는 이를 안전한 암호 알고리즘으로 암호화하여야 한다.정보통신망 - 내..

개인정보처리자는 처리하는 개인정보의 보유 수, 유형 및 정보주체에게 미치는 영향 등을 고려하여 스스로의 환경에 맞는 개인정보의 안전성 확보에 필요한 조치를 적용하여야 한다.이 기준에서 정하는 개인정보의 안전성 확보에 필요한 안전조치에 관한 사항을 모두 포함하여야 한다.개인정보처리자는 개인정보의 보유 수, 유형, 중요도, 개인정보를 처리하는 방법 및 환경, 정보주체에게 미치는 영향 등을 고려하여 이 기준에서 정한 것 이외에 필요한 추가적인 안전조치의 기준을 수립 및 적용, 점검하여 개인정보의 안전성 확보조치를 강화하여야 한다.

개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 개인정보 취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다.개인정보처리자는 개인정보취급자 또는 개인정보취급자의 업무가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.개인정보처리자는 개인정보처리시스템에 접근할 수 있는 계정을 발급하는 경우 정당한 사유가 없는 한 개인정보취급자 별로 계정을 발급하고 다른 개인정보취급자와 공유되지 않도록 하여야 한다.개인정보처리자는 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다.개인정보처리자는 정당한 권한을..