* 정보자산관리지침(2009.12.17 정부통합전산센터 훈련 제 42호)에 따르면 정보자산은 제6조의 분류기준에 따른 하드웨어, 소프트웨어, 네트워크 등으로 증설 부품/유지보수용 부품을 포함한다.
* 정보자산 관리체계 절차
신규입주/설치 절차 -> 구매/설치 절차 -> 운영/관리 절차 -> 처분 절차 -> 재사용 절차 -> 반출/보안관리 절차
* 정보보호컨설팅 - 조직의 목적을 달성하는 데 있어 전산 시스템과 네트워크 등 모든 정보기술(IT)자산과 조직에 일어날 수 있는 위험을 분석하고 이에 대한 대책을 수립함으로써 관리자와 조직이 그 대책을 실현할 수 있도록 지원하는 독립적인 자문 서비스
* 자산 소유자(Owner) - 자산의 보안 통제(산출+개발+유지보수+사용+장소) 을 위한 관리책임에 따라 승인
- 정보의 기밀성+무결성+가용성 확보를 위해 효과적인 통제를 보장하는 책임을 갖는 기능적 소유자
- 조직 임무 목표를 달성하는 것을 보장하기 위해 필수적인 비용 효과적인 의사결정 권한과 책임보유
- 정보에 대한 물리적/논리적인 적절한 보호수준 유지
* 자산 관리자(Custodian) - 정보보호에 책임을 갖는 소유자에 의해 지정되는 사람이고 통제는 소유자에 의해 확립
- 정보 공유 이전에 비지니스 프로세스 헤드의 사전승인을 받음
- 정기적인 백업을 실시하고 데이터 유효성 테스팅 수행
- 주기적으로 데이터 백업을 토대로 데이터 복구 수행
- 정보 소유자가 정한 접근통제를 이행
- 정기적인 관리 임무를 수행
* 기밀성(Confidentialiy) - 소유자가 원하는대로 정보의 비밀을 유지하는 것
- 명백히 허가된 대상에게만 정보가 제공되어야함
- 접근통제와 암호화로 구현
* 무결성(Integrity) - 비인가자에 의한 정보의 변경/삭제/생성을 막는것
- 정보의 정확성과 안정성을 보장
- 물리적 통제와 접근 통제로 변조되지 않음을 보장함
=> 정보가 권한이 없는 사용자(조직)의 악의적 또는 비 악의적 접근에 의해 변경되지 않는 것을 보장하는 원칙
* 가용성(Availability) - 적절한 방법으로 작동되고 정당한 방법으로 필요한 시점에 권한이 부여된 사용자에게 정보가 제공되는것
- 백업/중복성유지/위협요소로부터의 보호 등으로 사용성을 보장
=> 인가된 사용자(조직)가 정보시스템의 데이터 또는 자원을 필요로 할 때 지체없이 원하는 객체 또는 자원을 접근하고 사용하는 것을 보장하는 원칙
* ITIL(IT Infrastructure Library) - 영국정부에 의해 만들어졌으며 현재 전 세계 많은 기업으로부터 그 유효성 및 효율성을 검증받아 표준IT서비스 관리 프레임워크로 사용되고 있으며 전 세계적으로 기업의 크기나 사업분야에 관계없이 ITIL 프로세스를 구축/사용중이다. 과거에 많은 기업들의 IT조직이 내부적으로 기술적 중심으로 업무를 집중한 것에 비해, 현재의 IT조직은 비지니스 조직의 요구사항에 따라 IT서비스 품질 향상에 역량을 집중하고 있으며 고객 지향적인 접근방식을 채택하고 있다. 즉, IT비지니스로써 인식하고 관리하는 시대가 된 것이다. ITIL은 고품질의 IT서비스 제공에 초점을 맞추고 있으며 특히 고객과의 관계(IT조직, 고객 및 파트너와의 포괄적 관계를 의미)를 중점적으로 다루고 있다.
* ITIL 구성
1) 서비스 지원(Service Support) - 최종사용자와 관련된 IT 서비스 프로세스를 설명하고 있다. 여기에는 서비스 데스크, 장애관리, 문제관리, 구성관리, 변경관리, 이행관리 등이 포함
2) 서비스 제공(Service Delivery) - 서비스 수준관리, IT재무관리, 용량관리, 가용성관리, IT서비스 연속성관리 등이 포함됨
* 프로젝트에서 가장 대표적인 요구사항 변경 요인
- 이해 당사자간의 불충분한 이해
- 요구 사항의 모호성
- 사용자의 우선순위 변경
- 환경/조직의 변화 등 여러가지 요인
- 사용자 시스템에 대한 지식의 발전
* 정보보호계획 프로젝트 초기 요구사항의 명확한 정의란 '납기와 예산 범위 내의 성공적인 프로젝트 수행계획을 수립'하는 것.
* 정보통신망 - '전기통신사업법' 제2조 제2호에 따른 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용 기술을 활용하여 정보를 수집, 가공, 저장, 검색, 송신 또는 수신하는 정보통신체제를 말한다
* 정보통신서비스 - '전기통신사업법' 제2조 제6호에 따른 전기통신 역무와 이를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 것
* 정보통신서비스 제공자 - '전기통신사업법' 제2조 제8호에 따른 전기통신사업자와 영리를 목적으로 전기통신사업자의 전기통신 역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자를 말한다.
* 이용자 - 정보통신서비스 제공자가 제공하는 정보통신서비스를 이용하는 자
* 전자문서 - 컴퓨터 등 정보처리능력을 가진 장치에 의하여 전자적인 형태로 작성되어 송수신되거나 저장된 문서형식의 자료로서 표준화된것
* 개인정보 - 생존하는 개인에 관한 정보로서 성명, 주민등록번호 등에 의하여 특정한 개인을 알아볼 수 있는 부호/문자/음성/음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.
* 침해사고 - 해킹, 컴퓨터바이러스, 논리폭탄, 메일폭탄, 서비스 거부 또는 고출력 전자기파 등의 방법으로 정보통신망 또는 이와 관련된 정보시스템을 공격하는 행위를 하여 발생한 사태
* 정보보호산업 - 정보보호제품을 개발/생산 또는 유통하는 사업이나 정보호호에 관한 컨설팅 등과 관련된 산업
* 정보통신서비스 제공자는 이용자의 개인정보 를 보호하고, 건전하고 안전한 정보통신서비스를 제공하여 이용자의 권익보호와 정보이용능력의 향상에 이바지하여야 한다.
-> 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제3조(정보통신서비스 제공자 및 이용자의 책무)
* 미래창조과학부장관 또는 방송통신위원회 가 마련해야할 시책
1) 정보통신망에 관련된 기술의 개발/보급
2) 정보통신망의 표준화
3) 정보내용물 및 제11조에 따른 정보통신망 응용서비스의 개발 등 정보통신망의 이용 활성화
4) 인터넷 이용의 활성화
5) 인터넷 이용의 활성화
6) 정보통신망을 통하여 수집/처리/보관/이용되는 개인정보의 보호 및 그와 관련된 기술의 개발/보급
7) 정보통신망에서의 청소년 보호
8) 정보통신망의 안전성 및 신뢰성 제고
9) 그 밖에 정보통신망 이용촉진 및 정보보호 등을 위하여 필요한 사항
==> 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제4조(정보통신망 이용촉진 및 정보호호 등에 관한 시책의 마련)
* 통신과금서비스에 관하여 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'과 '전자금융거래법'의 적용이 경합한 때에는 정보통신망 이용촉진 및 정보보호 등에 관한 법률을 우선 적용한다
==> 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제5조(다른 법률과의 관계)
* 개인정보 수집 및 이용동의시 받아야하는 3가지
1) 개인정보 수집/이용목적
2) 수집하는 개인정보의 항목
3) 개인정보의 보유/이용기간
==> 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제22조(개인정보의 수집/이용 동의 등)
* 정보통신서비스 제공자는 사상, 신념, 과거의 병력 등 개인의 권리/이익이나 사생활을 뚜렷하게 침해할 우려가 있는 개인정보를 수집하여서는 아니된다. 다만, 제22조 1항에 따른 이용자의 동의를 받거나 다른 법률에 따라 특별히 수집대상 개인정보로 허용된 경우에는 그 개인정보를 수집할 수 있다.
* 정보통신서비스 제공자는 이용자의 개인정보를 제3자에게 제공하려면 제 22조 제2항 제2호에 해당하는 경우 외에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야한다.
1) 개인정보를 제공받는자
2) 개인정보를 제공받는 자의 개인정보 이용 목적
3) 제공하는 개인정보의 항목
4) 개인정보를 제공받는 자의 개인정보 보유 및 이용 기간
* 개인정보를 제 3자에게 취급 위탁시 동의받고 알려야 하는 사항
1) 개인정보 취급위탁을 받는자(또는 수탁자)
2) 개인정보 취급위탁을 하는 업무의 내용
* '정보통신망법'에서 정보통신서비스 제공자 등은 이용자의 개인정보로르 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하여 '개인정보 관리 책임자'를 지정하여야 한다. 다만, 종업원 수, 이용자 수등이 대통령령으로 정하는 기준에 해당하는 정보통신서비스 제공자등에의 경우에는 지정하지 아니할 수 있다. ==> 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제27조(개인정보 관리책임자 지정)
* '정보통신망법'에서 정보통신서비스 제공자 등은 이용자의 개인정보를 취급하는 경우 개인정보취급방침 을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록 대통령령으로 정하는 방법에 따라 공개해야 한다. => 정보통신 이용촉진 및 정보보호 등에 관한 법률 제 27조의 2( 개인정보 취급방침의 공개 )
* '정보통신망법'에서 정보통신서비스 제공자 등은 개인정보의 분실/도난/누출 사실을 안 때에는 지체없이 모든 사항을 해당 이용자에게 알리고 방송통신위원회에 신고하여야한다. 다만, 이용자의 연락처를 알 수 없는 등 정당한 사유가 있는 경우에는 대통령령으로 정하는 바에 따라 통지를 갈음하는 조치를 취할 수 있다
==> 정보통신망 이용촉진 및 정보보호등에 관한 법률 제27조의3(개인정보 누출 등의 통지/신고)
* 정보통신망법에서 정보통신서비스 제공자 등이 개인정보를 취급할 떄이ㅔ는 개인정보의 분실/도난/누출/변조 또는 훼손 을 방지하기 위하여 대통령령으로 정하는 기준에 따라 기술적/관리적 조치를 하여야한다. ==> 정보통신망 이용촉진 및 정보보호등에 관한 법률 제28조(개인정보의 보호조치)와 동법 제45조(정보통신 망 안전성 확보 등)을 헷갈리면 안된다.
* 정보통신망법에서 이용자의 개인정보를 취급하고 있거나 취급하였던 자는 직무상 알게 된 개인정보를 훼손/침해 또는 누설하여서는 아니된다.
==>정보통신망 이용촉진 및 정보보호등에 관한 법률 제28조의2(개인정보의 누설금지)
* 개인정보 누출시 방송통신위원회에 통지 신고해야하는 사항
1) 누출 등이 된 개인정보 항목
2) 누출 등이 발생한 시점
3) 이용자가 취할 수 있는 조치
4) 정보통신서비스 제공자 등의 대응 조치
5) 이용자가 상담 등을 접수할 수 있는 부서 및 연락처
==> 정보통신망 이용촉진 및 정보보호등에 관한 법률 제27조의 3(개인정보 누출 등의 통지/신고)
* 정보통신망법에 근거하여 정보통신서비스 제공자 등으로서 대통령령으로 정하는 기준에 해당하는 자가 이용자에게 통지하여야 하는 정보의 종류, 통지 주기 및 방법, 그 밖에 이용내역 통지에 필요한 사항
1) 정보통신망 법 제 20조의2제1항 본문에서 '대통령령으로 정하는 기준에 해당하는 자'란 전년도 말 기준 직전 3개월간 그 개인정보가 저장/관리되고 있는 이요자 수가 일일평균 100만명이상이거나 정보통신서비스 부문 전년도(법인은 전 사업연도)매출액이 100억원 이상인 정보통신서비스 제공자 등을 말한다.
2) 이용자에게 통지하여야하는 정보의 종류는 다음과 같다.
- 개인정보의 수집 / 이용 목적 및 수집한 개인정보 항목
- 개인정보를 제공받는 자와 그 제공 목적 및 제공한 개인정보의 항목
- 개인정보 취급위탁을 받은 자 및 그 취급위탁을 하는 업무의 내용
3) 법 제30조의2제1항에 따른 통지는 전자우편/서면/모사전송/전화 또는 이와 유사한 방법 중 어느 하나의 방법으로 연 1회 이상 하여야 한다.
* 정보토인망 안전성 확보를 위한 구체적으로 정한 보호조치를 무엇이라 하나? 정보보호지침
1) 정당한 권한이 없는 자가 정보통신망에 접근/침입하는 것을 방지하거나 대응하기 위한 정보보호시스템의 설치/운영 등 기술적/물리적 보호 조치
2) 정보의 불법 유출/변조/삭제 등을 방지하기 위한 기술적 보호조치
3) 정보통신망의 지속적인 이용이 가능한 상태를 확보하기 위한 기술적/물리적 보호조치
4) 정보통신망의 안정 및 정보보호를 위한 인력/조직/경비의 확보 및 관련 계획 수립등 관리적 보호조치
==> 정보통신망 이용촉진 및 정보보호등에 관한 법률 제45조(정보통신망의 안정성 확보등)
* 정보통신망법에 근거하여 미래창조과학부장관은 정보통신망의 안정성/신뢰성 확보를 위하여 관리적/기술적/물리적 보호조치를 포함한 종합적 관리체계'정보보호 관리체계'를 수립/운영하고 있는 자에 대하여 기준에 적합한지에 관하여 인증할 수 있다.
==> 정보통신망 이용촉진 및 정보보호등에 관한 법률 제47조(정보보호 관리체계의 인증)
* 방송통신위원회는 정보통신망에서 개인정보보호활동을 체계적이고 지속적으로 수행하기 위하여 필요한 관리적/기술적/물리적 보호조치에 포함한 종합적 관리체계를 수립/운영하고 있는 자에 대하여 기준에 적합한지를 인증할 수 있다.
==>정보통신망 이용촉진 및 정보보호등에 관한 법률 제47조의3(개인정보보호 관리체계의 인증)
* 정보통신망법에 근거하여 정보통신서비스 제공자 등은 이용자의 개인정보를 국외로 이전하려면 이용자의 동의를 받아야한다.
==>정보통신망 이용촉진 및 정보보호등에 관한 법률 제63조(국외 이전 개인정보의 보호)
* 정보통신망법에 따른 개인정보 이전시 이용자에게 모두 고지해야할 항목
1) 이전되는 개인정보 항목
2) 개인정보가 이전되는 국가, 이전일시 및 이전 방법
3) 개인정보를 이전받는 자의 성명(법인인 경우에는 그 명칭 및 정보관리책임자의 연락처를 말한다)
4) 개인정보를 이전받는 자의 개인정보 이용목적 및 보유/이용 기간
==>정보통신망 이용촉진 및 정보보호등에 관한 법률 제63조(국외 이전 개인정보의 보호)
* 개인정보관리책임자 - 정보통신서비스 제공자의 사업장 내에서 이용자의 개인정보보호 업무를 총괄하거나 업무처리를 최종 결정하는 임직원
* 정보통신서비스 제공자의 사업장 내에서 이용자의 개인정보를 수집,보관,처리,이용,제공,관리 또는 파기 등의 업무를 하는 자
* 정보서비스 제공자 등이 개인정보의 안전한 취급을 위하여 개인정보보호 조직의 구성, 개인정보 취급자의 교유그 개인정보 보호조치 등을 규정한 계획을 말한다.
* 개인정보처리 시스템 - 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템
* 망분리 - 외부 인터넷망을 통한 불법적인 접근과 내부정보 유출을 차단하기 위해 업무망과 외부 인터넷망을 분리하는 망 차단 조치
* 비밀번호 - 이용자 또는 개인정보 취급자 등이 시스템 또는 정보통신망에 접속할 때 식별자와 함께 입력하여 정당한 접속권한을 가지는 자라는 것을 식별할 수 있도록 시스템에 전달해야 하는 고유의 문자열로서 타인에게 공개되지 않는 정보
* 접속기록 - 이용자 또는 개인정보 취급자 등이 개인정보처리시스템에 접속하여 수행한 업무내역에 대하여 식별자, 접속일시, 접속지를 알 수 있는 정보, 수행업무 등 접속한 사실을 전자적으로 기록한 것
* 바이오정보 - 지문, 얼굴, 홍채, 정맥, 음성, 필적 등 개인을 식별할 수 있는 신체적 또는 행동적 특징에 관한 정보로서 그로부터 가공되거나 생성된 정보를 포함
* P2P - 정보통신망을 통해 서버의 도움없이 개인과 개인이 직접 연결되어 파일을 공유하는 것을 말한다.
* 공유설정 - 컴퓨터 소유자의 파일을 타인이 조회, 변경, 복사 등을 할 수 있도록 설정하는 것
* 보안서버 - 정보통신망에서 송/수신하는 정보를 암호화하여 전송하는 엡서버
* 인증정보 - 개인정보처리시스템 또는 정보통신망을 관리하는 시스템 등이 요구한 식별자 신원을 검증하는 데 사용되는 정보
* 개인정보 기술적/관리적 보호조치기준 고시(방통위원회 고시 제2012-50호) 에서 내부 관리체계 수립/시행시 정보통신 서비스 제공자는 개인정보관리책임자 및 개인정보취급자 대상으로 매년 2회이상 교육을 실시하여야 한다.
* 개인정보 기술적/관리적 보호조치기준 고시에서 접속기록을 보존/관리해야하는 기간은 6개월 이다.
* 개인정보기술적/관리적 보호조치기준 고시에 따르면 개인정보 암호화 조치에서 정보통신서비스 제공자 등은 비밀번호 및 바이오정보는 복호화되지 아니하도록 일방향 암호화하여 저장한다.
* 암호화 방식
1) 양방향 암호화 - ARIA, SEED, AES, 3DES
2) 일방향 암호화 - SHA, HAS
* 개인정보기술적/관리적 보호조치기준 고시에 따르면 개인정보 암호화 조치에서 정보통신서비스 제공자는 주민등록번호, 신용카드번호, 계좌번호에 대해서는 안전한 알고리즘으로 암호화하여 저장한다.
- 정보통신망법에서는 신용카드번호와 계좌번호가 포함된다는 사실을 기억
* 정보통신기반시설 - 국가안전보장/행정/국방/치안/금융/통신/운송/에너지 등의 업무와 관련된 전자적 제어/관리시스템 및 정보통신망 이용촉진 및 정보보호등에 관한 법률 제2조제1항제1호의 규정에 의한 정보통신망을 말한다.
* 침해사고 - 전자적 침해행위로 인하여 발생한 사태
* 정보통신기반보호법에서 정보통신기반보호위원회는 어느 소속인가 ? 국무총리
* 정보통신기반 보호법에서 주요 정보통신기반시설보호대책의 이행여부 확인할 수 있는 사람은 ? 미래창조과학부장관과 국가정보원장
* 주요정보통신기반시설로 지정된 첫회의 지정 후 취약성 분석평가 수행주기는 6개월이며, 최대 3개월까지 연장 가능하다
* 정보통신기반보호위원회 구성은 위원장1인을 포함한 25일으로 구성한다.
* 지식정보보안 컨설팅전문업체로 지정받을 수 있는 근거법률 - 정보통신산업진흥법
==> 정보통신산업진흥법 제33조 (지식정보보안 컨설팅전문업체의 지정)
* 전자문서 - 정보처리시스템에 의하여 전자적 형태로 작성되어 송신 또는 수신되거나 저장된 정보
* 전자서명 - 서명자를 확인하고 서명자가 당해 전자문서에 서명을 하였음을 나타내는데 이용하기 위하여 당해 전자문서에 첨부되거나 논리적으로 결합된 저잔적 형태의 정보
* 전자서명생성정보 - 전자서명을 생성하기 위하여 이용하는 전자적 정보
* 전자서명검증정보 - 전자서명을 검증하기 위하여 이용하는 전자적 정보
* 인증 - 전자서명생성정보가 가입자에게 유일하게 속한다는 사실을 확인하고 이를 증명하는 행위
* 인증서 - 전자서명생성정보가 가입자에게 유일하게 속한다는 사실 등을 확인하고 이를 증명하는 전자적 정보
* 서명자 - 전자서명생성정보를 보유하고 자신이 직접 또는 타인을 대리하여 서명을 하는 자
* 전자서명법에서 다른 법령에서 문서 또는 서면에 서명, 서명날인 또는 기명날인을 요하는 경우 전자문서에 공인전자서명이 있는 때에는 이를 충족한 것으로 본다.
* 공인전자서명이 있는 경우에는 당해 전자서명이 서명자의 서명, 서명날인 또는 기명날인이고, 당해 전자문서가 전자서명된 후 그 내용이 변경되지 아니하였다고 추정한다.
* 미래창조과학부장관 - 공인인증업무를 안전하고 신뢰성있게 수행할 능력이 있다고 인정되는 자를 공인인증기관으로 지정할 수 있다.
* 전자서명생성정보의 관리에 관한 사항
- 전자서명인증업무지침에는 다음의 사항이 포함되어야 한다.
1) 공인인증서의 관리에 관한 사항
2) 전자서명생성정보의 관리에 관한 사항
3) 공인인증기관 시설의 보호에 관한 사항
4) 그 밖에 인증업무 및 운영관리에 관한 사항
==> 전자서명법 제8조(공인인증기관의 업무수행)
* 개인정보 - 살아있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상등을 통하여 개인이 알아볼 수 있는 정보(해당 정보만으로는 특정 개인을 알아 볼 수 없더라도 다른 정보가 쉽게 결합하여 알아볼 수 있는것을 포함)을 말한다.
* 처리 - 개인정보의 수집, 생성, 기록, 저장, 보유, 가공, 편집, 검색, 출력, 정정, 복구, 이용, 제공, 공개, 파기, 그밖에 유사한 행위를 말함
* 정보주체 - 처리되는 정보에 의하여 알아볼 수 있는 사람으로서 그 정보의 주체가 되는 사람
* 개인정보파일 - 개인정보를 쉽게 검색할 수 있도록 일정한 규칙에 따라 체계적으로 배열하거나 구성한 개인정보의 집합물
* 개인정보처리자 - 업무를 목적으로 개인정보파일을 운용하기 위하여 스스로 또는 다른 사람을 통하여 개인정보를 처리하는 공공기관, 법인, 단체 및 개인등을 말한다.
* 공공기관 - 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관을 포함) 및 그 소속기관, 지방자치단체, 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관 등
* 영상정보처리기 - 일정한 공간에 지속적으로 설치되어 사람 또는 사물의 영상 등을 촬영하거나 이를 유/무선망을 통하여 전송하는 장치로서 대통령령으로 정하는 장치
* 개인정보보호 8원칙
1) 수집제한의 원칙 - 목적에 필요한 최소한 범위 안에서 적법하고 정당하게 수집
2) 정보정확성의 원칙 - 처리 목적 범위 안에서 정확성, 안정성, 최신성 보장
3) 목적 명확성의 원칙 - 처리 목적의 명확화
4) 이용제한의 원칙 - 필요 목적 범위 안에서 적합하게 처리, 목적 외 활용 금지
5) 안전보호의 원칙 - 정보주체의 권리 침해 위험성 등을 고려, 안전성 확보
6) 공개의 원칙 - 개인정보 처리 사항 공개
7) 개인참가의 원칙 - 열람청구권 등 정보주체의 권리 보장
8) 책임의 원칙 - 개인정보처리자의 책임준수 실천 신뢰성 확보 노력
* 개인정보보호법에 명시한 다른 법률과의 관계에서 특별법은 ? 정보통신망 이용촉진 및 정보보호 등에 관한 법률, 신용정보의 이용 및 보호에 관한 법률
* 개인정보보호에 관한 사항을 심의/의결하는 기관 - 개인정보 보호 위원회
* 개인정보보호에 관한 사항을 심의/의결하기 위하여 대통령 소속으로 개인정보보호위원회를 둔다 보호위원회는 그 권한에 속하는 업무를 독립하여 수행한다.
* 개인정보보호법은 정보통신망법과는 달리 동의를 거부할 권리가 있다는 사실과 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용을 알리고 동의를 받아야 하는 조항이 추가로 명시되어 있다.
==> 정보통신망 이용촉진 및 정보보호 등에 관한 법률 제22조 1항
- 정보통신서비스 제공자는 이용자의 개인정보를 이용하려고 수집하는 경우에는 다음 각 호의 모든 사항을 이용자에게 알리고 동의를 받아야한다. 다음 각 호의 어느 하나의 사항을 변경하려는 경우에도 또한 같다.
1) 개인정보의 수집/이용목적
2) 수집하는 개인정보의 항목
3) 개인정보의 보유/이용기간
==> 개인정보보호법 제15조 2항
- 개인정보처리자는 제1항제1호에 따른 동의를 받을 때에는 다음 각 호의 사항을 정보주체에게 알려야한다. 다음 각 호의 어느 하나의 사항을 변경하는 경우에도 이를 알리고 동의를 받아야 한다.
1) 개인정보의 수집/이용 목적
2) 수집하려는 개인정보의 항목
3) 개인정보의 보유 및 이용기간
4) 동의를 거부할 권리가 있다는 사실 및 동의 거부에 따른 불이익이 있는 경우에는 그 불이익의 내용
* 개인정보보호법 제23조(민감정보의 처리 제한) - 사상/신념, 노동조합/정당의가입/탈퇴, 정치적견해, 건강, 성생활 등에 관한 정보, 그 밖에 정보주체의 사생활을 현저히 침해할 우려가 있는 개인정보로서 대통령령으로 정하는 정보를 처리하여서는 아니된다.
* 개인정보보호법에 따른 고유식별정보 - 주민등록번호, 여권번호, 운전자면허번호, 외국인등록번호
* 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가를 개인정보영향평가 라 하고, 그 결과를 행정안전부장관에게 제출하여야한다.
* 개인정보처리자는 제1항 및 제2항에 따른 열람을 요구받았을 때에는 대통령령으로 정하는기간(10일) 내에 정보주체가 해당 개인정보를 열람할 수 있도록 하여야한다. 이 경우 해당 기간내에 열람할 수 없는 정당한 사유가 있을 때에는 정보주체에게 그 사유를 알리고 열람을 연기할 수 있으며, 그 사유가 소멸하면 지체없이 열람하게 하여야 한다.
==> 개인정보보호법 시행령 제41조(개인정보의 열람절차 등)
1) 정보주체는 법 제35조제1항 및 제2항에 따라 자신의 개인정보에 대한 열람을 요구하려는 경우에는 안전행정부령으로 정하는 바에 따라 다음 각 호의 사항 중 열람하려는 사항을 표시한 개인정보 열람요구서를 개인정보처리자에게 제출하여야 한다.
- 개인정보의 항목 및 내용
- 개인정보의 수집/이용의 목적
- 개인정보의 보유 및 이용기간
- 개인정보의 제3자 제공 현황
- ㅐ인정보 처리에 동의한 사실 및 내용
2) 정보주체가 법 제35조제2항에 따라 안전행정부장관을 통하여 자신의 개인정보에 대한 열람을 요구하려는 경우에는 제1항에 따른 개인정보 열람요구서를 안전행정부장관에게 제출하여야한다. 이 경우 안전행정부장관은 지체없이 그 개인정보 열람요구서를 해당 공공기관에 이송하여야 한다.
3) 법 제35조제3항 전단에서 대통령령으로 저하는 기간은 10일을 말한다.
4) 개인정보처리자는 제1항에 따른 개인정보 열람 요구서를 받은 날부터 10일 이내에 정보주체에게 해당 개인정보를 열람할 수 있도록 하는 경우와 제42조제1항에 따라 열람 요구 사항 중 일부를 열람하게 하는 경우에는 열람할 개인정보와 열람이 가능한 날짜/시간 및 장소 등(제42조제1항에 따라 열람 요구 사항 중 일부만을 열람하게 하는 경우에는 그 사유와 이의제기방법을 포함)을 안전행정부령으로 정하는 열람통지서로 해당 정보주체에게 알려야 한다.
* 개인정보보호법에 따르면 개인정보보호위원회는 법 제43조제1항에 따른 분쟁조정 신청을 받은 날로부터 60일 이내에 심사하여 조정안을 작성하여야 한다. 다마느 부득이한 사정이 있는 경우에는 분쟁조정위원회의 의결로 처리 기간을 연장할 수 있다.
* 개인정보처리시스템 - 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스 시스템, 다만, 소상공인 또는 중소사업자가 내부직원의 개인정보만을 보유한 시스템은 제외
* 위험도분석 - 개인정보처리시스템에 적용되고 있는 개인정보보호를 위한 수단과 유출시 정보주체의 권리를 해할 가능성과 그 위험의 정도를 분석하는 행위
* 고시 제4조 접근권한 관리에서 개인정보처리자는 제1항 및 제2항에 의한 권한부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.
* 개인정보 안전성 확보조치기준(안전행정부고시 제2011-43호)에 따르면 암호화 조치를 해야하는 개인정보는 ? 고유식별정보, 비밀번호, 바이오정보
==> 안전행정부고시 제2011-43호 제7조 개인정보암호화
- 영 제21조 및 영 제30조제1항3호에 따라 암호화하여야 하는 개인정보는 고유식별정보, 비밀번호 및 바이오정보를 말한다.
* 개인정보처리자는 개인정보취급자가 개인정보처리시스템에 접속한 기록을 최소 6개월이상 보관/관리한다.
* 개인정보보호를 위한 기술적인 방법으로는 개인정보 필터링 장비를 설치하는 방법, 개인정보관련 DB를 암호화하는 방법, 그리고 검색엔진의 로봇규약등이 있다. 이 중에서 로봇규약이란 검색엔진의 정보수집 에이전트가 홈페이지의 특정 서버에 접근하지 못하게 하기 위하여 검색엔진에서 접근할 수 있는 디렉토리와 접근할 수 있는 디렉토리를 robots.txt 화일에 기술하여 홈디렉토리에 올려놓으면 검색엔진은 접근 허용 디렉토리만 검색하게 됨으로써 개인정보가 검색엔진으로 노출되는것을 막을 수 있다. 예를들어 robots.txt 화일 내부에 Allow:/information, Disallow:/privacy 작성해 놓으면 검색엔진의 수집프로그램이 /information 디렉토리는 접근하여 정보를 가져가게되고 /privacy 디렉토리는 차단이므로 /privacy 디렉토리에 있는 내용은 가져가지 않는다.
* [0-9]{6}[:space:],~-]+[1-4][0-9]{6} - 주민등록번호를 알아내기 위한 정규식 표현
* 정보보호 책임자 - 정보보호조직의 구성 및 운영 및 각종 보호조치 이행 총괄등의 역할을 한다.
정보보호 관리자 - 정보보호 활동의 계획 및 관리 및 조정 등의 역할
정보보호 담당자 - 정보통신 설비 및 시설의 보안 계획, 방법, 절차 수립이행, 보안사고 모니터링 및 대응 등의 역할을 한다.
* 정보보호 사전점검 수행기관의 유효기간은 3년으로 한다.
==> 방통위고시 제2013-5호 정보보호사전점검에 관한 고시 제13조(사전점검 수행기관 지정의 유효기간)
* 방송통신위원회는 정보통신망법 제47조 제5항 및 영 제53조의 2에 따라 정보보호관리체계인증기관을 지정할 필요가 있는 때에는 지정대상 기관의 수, 업무의 범위 및 신청방법 등을 정하여 관보 및 인터넷 홈페이지에 20일 이상 공고하여야 한다.
==> 방통위고시 제2013-4호 정보보호관리체계인증에 관한 고시 제3조(인증기관의 지정)
- 방송통신위원회는 법 제47조제5항 및 영 제53조의2에 따라 인증기관을 지정할 필요가 있을 때에는 지정대상 기관의 수, 업무의 범위 및 신청방법 등을 정하여 관보 및 인터넷 홈페이지에 20일 이상 공고하여야 한다.
* 정보보호관리체계 신청기관은 정보보호 관리체계 인증을 신청하기 전에 인증기준에 따른 정보보호 관리체계를 구축하여 최소 2개월 이상 운영하여야 한다.
==> 방통위고시 제2013-4호 정보보호관리체계인증에 관한 고시 제15조(신청기관의 사전준비사항)
- 신청기관은 정보보호관리체계 인증을 신청하기 전에 인증기준에 따른 정보보호관리체계를 구축하여 최소 2개월 이상 운영하여야 한다.
* 정보보호관리체계 인증심사시 신청기관을 방문하여 심사하는 방법
1) 서면심사 - 인증기준에 적합한지에 대하여 정보보호관리체계 구축/운영 관련 정보보호정책, 지침, 절차 및 이행의 증적자료 검토, 정보보호대책 적용 여부 확인 등의 방법으로 관리적 요소를 심사
2) 현장심사 - 서면심사의 결과와 기술적/물리적 보호대책 이행여부를 확인하기 위하여 담당자 면담, 관련 시스템 확인 및 취약점 점검 등의 방법으로 기술적 요소를 심사한다
==> 방통위고시 제2013-4호 정보보호관리체계인증에 관한 고시 제20조(인증심사 방법 및 보완조치)
1) 인증심사는 신청기관을 방문하여 서면심사와 현장심사를 병행한다
2) 서면심사는 인증기준에 적합한지에 대하여 정보보호 관리체계 구축/운영관련 정보보호 정책, 지침, 절차 및 이행의 증적자료 검토, 정보보호대책 적용 여부 확인 등의 방법으로 관리적 요소를 심사한다.
3) 현장심사는 서면심사의 결과와 기술적/물리적 보호대책 이행 여부를 확인하기 위하여 담당자 면담, 관련시스템 확인 및 취약점 점검 등의 방법으로 기술적 요소를 심사한다.