1. 개인정보처리자는 정보통신망을 통한 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 안전조치를 하여야 한다. - 개인정보처리시스템에 대한 접속 한을 인터넷 프로토콜(IP) 주소 등으로 제한하여 인가받지 않은 접근을 제한 - 개인정보처리시스템에 접속한 인터넷 프로토콜(IP) 주소 등을 분석하여 개인정보 유출 시도 탐지 및 대응 2. 개인정보처리자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 인증서, 보안토큰, 일회용 비밀번호 등 안전한 인증수단을 적용하여야 한다. 다만, 이용자가 아닌 정보주체의 개인정보를 처리하는 개인정보처리시스템의 경우 가상사설망 등 안전한 접속수단 또는 안전한 인증수단을 적용할 수 있다. 3. 개인정보처리자는 처리하는 개인정보가 인터넷 홈페..

개인정보처리자는 비밀번호, 생체인식정보 등 인증정보를 데이터베이스, 파일 등으로 저장하는 경우에는 이를 안전한 암호 알고리즘으로 암호화하여야 한다.인증정보 - 비밀번호, 생체인식정보 등 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등에 접속을 요청하는 자의 신원을 검증하는 데 사용하는 정보개인정보처리자는 인증정보 중 비밀번호를 저장하는 경우에는 복호화되지 아니하도록 일방향 암호화하여 저장하여야 한다.일방향 암호화 - 개인정보취급자 및 정보주체 등이 입력한 비밀번호를 평문 형태가 아닌 해시함수 등을 통해 비가역적으로 암호화한 값으로 저장하는 것개인정보처리자는 비밀번호, 생체인식정보 등 인증정보를 정보통신망을 통하여 송수신하는 경우에는 이를 안전한 암호 알고리즘으로 암호화하여야 한다.정보통신망 - 내..

개인정보처리자는 처리하는 개인정보의 보유 수, 유형 및 정보주체에게 미치는 영향 등을 고려하여 스스로의 환경에 맞는 개인정보의 안전성 확보에 필요한 조치를 적용하여야 한다.이 기준에서 정하는 개인정보의 안전성 확보에 필요한 안전조치에 관한 사항을 모두 포함하여야 한다.개인정보처리자는 개인정보의 보유 수, 유형, 중요도, 개인정보를 처리하는 방법 및 환경, 정보주체에게 미치는 영향 등을 고려하여 이 기준에서 정한 것 이외에 필요한 추가적인 안전조치의 기준을 수립 및 적용, 점검하여 개인정보의 안전성 확보조치를 강화하여야 한다.

개인정보처리자는 개인정보처리시스템에 대한 접근 권한을 개인정보 취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하여야 한다.개인정보처리자는 개인정보취급자 또는 개인정보취급자의 업무가 변경되었을 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소하여야 한다.개인정보처리자는 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.개인정보처리자는 개인정보처리시스템에 접근할 수 있는 계정을 발급하는 경우 정당한 사유가 없는 한 개인정보취급자 별로 계정을 발급하고 다른 개인정보취급자와 공유되지 않도록 하여야 한다.개인정보처리자는 개인정보취급자 또는 정보주체의 인증수단을 안전하게 적용하고 관리하여야 한다.개인정보처리자는 정당한 권한을..

개인정보처리자는 개인정보의 분실, 도난, 유출, 위조, 변조 또는 훼손되지 아니하도록 내부 의사결정 절차를 통하여 다음 각 호의 사항을 포함하는 내부 관리계획을 수립, 시행하여야 한다. 다만, 1만명 미만의 정보주체에 관하여 개인정보를 처리하는 소상공인, 개인, 단체의 경우에는 생략할 수 있다.개인정보 보호 조직의 구성 및 운영에 관한 사항개인정보 보호책임자의 자격요건 및 지정에 관한 사항개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항개인정보취급자에 대한 관리, 감독 및 교육에 관한 사항접근 권한의 관리에 관한 사항접근 통제와 관한 사항개인정보의 암호화 조치에 관한 사항접속기록 보관 및 점검에 관한 사항악성프로그램 등 방지에 관한 사항개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 ..

이 기준에서 사용하는 용어의 뜻은 다음과 같다.“개인정보처리시스템”이란 데이터베이스시스템 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템을 말한다.“이용자”란 “정보통신망 이용촉진 및 정보보호 등에 관한 법률” 제2조제1항제4호에 따른 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자를 말한다.“접속기록”이란 개인정보처리시스템에 접속하는 자가 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 식별자, 접속일시, 접속지 정보, 처리한 정보주체 정보, 수행업무 등을 전자적으로 기록한 것을 말한다. 이 경우 “접속”이란 개인정보처리시스템과 연결되어 데이터 송신 또는 수신이 가능한 상태를 말한다.“정보통신망”이란 “정보통신망 이용촉진 및 정보보호 등에 관한 법률” 제2조제1항제1호의 “전..