정보보안 자격증/CPPG

CPPG 27. 안전조치 기준 적용

Rin.a.ya 2024. 7. 23. 23:43

1. 내부 관리 계획의 수립, 시행

  • 내부 관리계획 포함사항 (안전성 확보 조치기준)
    • 개인정보 보호 조직의 구성 및 운영에 관한 사항
    • 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
    • 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항
    • 개인정보취급자에 대한 관리, 감독 및 교육에 관한 사항
    • 접근 권한의 관리에 관한 사항
    • 접근 통제에 관한 사항
    • 개인정보의 암호화 조치에 관한 사항
    • 접속기록 보관 및 점검에 관한 사항
    • 악성프로그램 등 방지에 관한 사항
    • 개인정보의 유출, 도난 방지 등을 위한 취약점 점검에 관한 사항
    • 물리적 안전조치에 관한 사항
    • 개인정보 유출사고 대응 계획 수립, 시행에 관한 사항
    • 위험 분석 및 관리에 관한 사항
    • 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
    • 개인정보 내부 관리계획의 수립, 변경 및 승인에 관한 사항
    • 그 밖에 개인정보 보호를 위하여 필요한 사항
  • 개인정보 내부관리계획의 수립 및 승인에 관한 사항
    • 내부관리계획은 조직 전체를 대상으로 마련한다.
    • 이 기준에서 정하는 기술적, 관리적 및 물리적 보호 조치에 관한 사항은 모두 포함
    • 법률 또는 이 기준에서 규정하는 내용만을 그대로 반영하는 것이 아니라, 스스로의 환경에 맞는 내부계획을 수립
    • 내부관리계획을 구체적으로 수립하고, 이를 기초로 세부 지침, 절차, 가이드, 안내서 등을 추가적으로 수립
    • 내부관리계획은 전사적인 계획 내에서 시행될 수 있도록 사업주 또는 대표자에게 내부 결재 등의 승인을 득한다.
    • 사내 게시판 게시, 교육 등의 방법으로서 모든 임직원 및 관련자에게 전파한다.
    • 개인정보 처리 방법 및 환경 등의 변화로 인하여 내부관리계획에 중요한 변경이 있을 때에는 변경사항을 즉시 반영하고 내부관리계획을 승인한다.
    • 내부관리계획 수정, 변경 시 내용 및 시행 시기 등 그 이력의 관리 등을 한다.
  • 개인정보의 내부 관리계획 이행 여부의 내부 점검에 관한 사항
    • 이 기준에서 정하는 보호조치에 관한 사항은 모두 이행하여야 함
    • 내부관리계획의 적정성과 실효성을 보장하기 위하여 내부관리계획에 따른 보호조치의 이행 여부의 점검, 관리에 관한 사항을 포함하여야 함
    • 00년 개인정보 보호조치 이행 점검 계획 등과 같은 형태로 수립할 수 있으며, 점검 대상, 점검 항목 및 방법 등을 포함하도록 함
    • 이행 점검은 사내 독립성이 보장되는 부서(감사팀 등), 관련 부서(개인정보 보호팀) 또는 개인정보보호 전문업체 등에서 수행할 수 있음
    • 이행 점검은 개인정보취급자가 적절하게 개인정보 보호조치를 이행하고 있는지 여부 등을 파악할 수 있도록 정기적으로 점검
    • 이행 점검 결과는 '00년 개인정보 보호조치 이행 점검 결과'등과 같은 형태로 작성할 수 있으며, 필요하면 사업주 또는 대표자에게 점검결과 및 개선조치를 보호 가능

4. 개인정보보호 교육 고려사항

  • 개인정보의 안전한 처리를 위하여 개인정보 보호책임자 및 개인정보취급자에게 최소 연 1회 이상 필요한 교육 시행
  • 개인정보보호 교육의 구체적인 사항은 교육 목적 및 대상, 교육 내용,교육 일정 및 방법 등을 포함
  • 내부관리계획 등에 규정하거나 00년 개인정보보호 교육 계획등과 같은 형태로 수집
  • 교육내용은 개인정보 보호책임자 그리고 개인정보취급자의 지위, 직책, 담당 업무의 내용, 업무 숙련도 등에 따라 각기 다르게 할 필요가  있다.
  • 해당 업무를 수행하기 위한 분야별 전문기술 교육뿐만 아니라 개인정보보호 관련 법률 및 제도, 내부관리계획 등 필히 알고 있어야 하는 사항을 포함하여 교육을 시행
  • 교육 방법에는 사내교육, 외부 교육, 위탁교육 등 여러 종류가 있을 수 있으며, 조직의 여건 및 환경을 고려하여 집체 교육, 온라인 교육 등 다양한 방법 활용
  • 교육 결과의 세부 실적은 정보통신서비스 제공자등이 실시한 개인정보보호 관련 사내교육, 외부교육, 위탁교육 등에서 교육 과정별 수료증 등을 발급, 보관함으로써 관리할 수 있다.
  • 교육 참석자를 확인할 수 있는 정보로는 해당 교육 시간에 교육장소에 출입한 기록, 교육 참석자 명단에 수기로 서명한 자료 등을 활용할 수 있다.

'정보보안 자격증 > CPPG' 카테고리의 다른 글

CPPG 29. 접근통제  (0) 2024.07.24
CPPG 28. 접근 권한의 관리  (1) 2024.07.23
CPPG 26. 보호조치 기준 개요  (0) 2024.07.23
CPPG 예상문제 7  (0) 2024.07.21
CPPG 25. 영업의 양도 양수  (0) 2024.07.21

'정보보안 자격증/CPPG'의 다른글

  • 현재글CPPG 27. 안전조치 기준 적용

관련글

티스토리툴바