YesXYZ

아딸이 함께 만드는 세상

[CPPG] 고유식별정보 안전조치 관리실태 조사의 「개인정보 위험도 분석 기준」

by · 2024년 12월 01일

개인정보 위험도 분석 자체점검 26가지 항목

자체점검 26가지 항목
(출처: 개인정보 포탈 > 기업·공공 서비스 > 고유식별정보 실태조사 > 자체점검 > 고유식별정보 안전조치 매뉴얼)

  • ‘위험도 분석’은 개인정보처리시스템에 적용하고 있는 개인정보 보호조치 이행 여부와 개인정보 유출 시 정보주체의 권리를 침해할 위험의 정도를 ‘위험도 분석 기준’을 이용하여 분석하는 행위를 말합니다.
  • ‘위험도 분석 기준’은 개인정보처리자가 내부망에 고유식별정보(단, 주민등록번호 제외)를 암호화하지 않고 저장하는 경우 이행하여야 할 최소한의 보호조치 기준을 말합니다.
  • 위험도 분석 점검 결과, 어느 한 개의 항목이라도 ‘아니요’에 해당하는 경우라면 암호화하여야 합니다.(해당사항이 없는 경우 ‘해당없음’ 항목에 체크하며 ‘해당없음’ 체크 항목도 ‘예’로 적용합니다.)

위험도 분석 절차

위험도 분석 절차
(출처 : 개인정보 포탈 > 자료 > 자료보기 > 안내서 > 개인정보의 안전성 확보조치 기준 안내서(2024.10))


기관 기준 점검 항목(11개)

  • 정책기반
    1. 개인정보 보호책임자를 지정하여 운영하고 있습니까?
    2. 개인정보 보호를 위한 정책 또는 관리계획(침해사고 대응계획 포함)을 수립・운영하고 있습니까?
    3. 외주인력 보안관리를 위해 보안서약서 집행, 비밀번호 노출 예방 등 조치를 하고 있습니까?
    4. 데이터베이스 서버에 접속하는 장비(PC, 노트북 등)에서 불법 또는 비인가된 소프트웨어 사용을 방지하고 정품 소프트웨어만 사용하도록 하는 정책을 수립·운영하고 있습니까?
    5. 데이터베이스 서버에 접근 가능한 자(내부직원, 위탁인력, 개발자 등)를 대상으로 개인정보보호 관련 교육을 연 2회 이상 실시하고 있습니까?
  • 네트워크 기반
    1. 상시적으로 비인가 인터넷 프로토콜(IP) 주소의 접근을 통제하고 있습니까?
    2. 상시적으로 불필요한 서비스 포트 사용을 통제하고 있습니까?
    3. 상시적으로 불법적인 해킹시도를 방지하고, 이에 대해 모니터링을 실시하고 있습니까?
    4. 상시적으로 바이러스, 웜 등의 네트워크 유입을 차단하고 있습니까?
    5. 주기적으로 네트워크 접속에 대한 로그를 기록 및 분석하고, 안전하게 보관하고 있습니까?
    6. 네트워크 장비 및 정보보호시스템의 보안패치 발생 시 정당한 사유가 없는 한 즉시 업데이트를 수행하고 있습니까?

개인정보처리시스템 기준 점검 항목(15개)

  • 데이터베이스 및 애플리케이션 기반
    1. 상시적으로 네트워크를 통한 비인가자의 데이터베이스 접근을 통제하고 있습니까?
    2. 데이터베이스 서버 내에 불필요한 서비스 포트를 차단하고 있습니까?
    3. 상시적으로 데이터베이스 접속자 및 개인정보취급자의 접속 기록을 남기고 있습니까?
    4. 데이터베이스 접속기록을 주기적으로 모니터링하여 통제하고 있습니까?
    5. 데이터베이스 서버에 접속하는 관리자 PC가 인터넷 접속되는 내부망의 네트워크와 분리되어 있습니까?
    6. 개인정보취급자의 역할에 따라 데이터베이스 접근 권한을 개인정보취급자에게만 업무 수행에 필요한 최소한의 범위로 차등 부여하고 있습니까?
    7. 개인정보취급자 또는 개인정보취급자의 업무가 변경되었을 경우 지체 없이 데이터베이스 접근 권한을 변경하고 있습니까?
    8. 데이터베이스 접속자 및 개인정보취급자의 데이터베이스 로그인을 위한 인증수단을 안전하게 적용하고 관리하고 있습니까?
    9. 데이터베이스 접속자 및 개인정보취급자가 일정 횟수 이상 인증에 실패한 경우 개인정보처리시스템에 대한 접근을 제한하고 있습니까?
    10. 데이터베이스 및 데이터베이스 접속 애플리케이션 서버에 대한 물리적 접근을 인가된 자로 한정하고 있습니까?
    11. 데이터베이스 및 데이터베이스 접속 애플리케이션 서버에서 보조저장 매체(USB 등) 사용 시 관리자 승인 후 사용하고 있습니까?
    12. 데이터베이스 서버 및 데이터베이스 접속 애플리케이션 서버에 접속하는 모든 개인정보취급자의 단말기(PC, 노트북 등)의 운영체제 보안패치를 제조사 공지 후 정당한 사유가 없는 한 즉시 수행하고 있습니까?
    13. 하드디스크(HDD)등 데이터베이스 저장매체의 불용처리 시 (폐기, 교체 등) 저장매체에 저장된 개인정보는 모두 파기하고 있습니까?
  • 웹 기반(웹사이트를 운영하는 경우에만 해당)
    1. 신규 웹 취약점 및 알려진 주요 웹(Web) 취약점 진단·보완을 연 1회 이상 실시하거나, 상시적으로 비인가자에 의한 웹서버 접근, 홈페이지 위·변조 등을 자동으로 차단할 수 있는 보호조치를 하고 있습니까?
    2. 웹서버 프로그램과 운영체제 보안패치를 제조사 공지 후 정당한 사유가 없는 한 즉시 수행하고 있습니까?

Tags:

You may also like...

답글 남기기

이메일 주소는 공개되지 않습니다. 필수 필드는 *로 표시됩니다