개인정보의 보호조치 기준 -2

1. 악성프로그램 등 방지
일 1회 이상 업데이트
트로이목마 : 복제/전염 x
컴퓨터 바이러스 : 복제/전염 o, 감염대상 필요
웜 : 복제/전염 o, 독자적, 네트워크를 통해 스스로 전파
호스트 프로그램 독립형 : 웜, 좀비
호스트 프로그램 의존형 : 백도어, 논리폭탄, 트로이목마, 바이러스

2. 물리적 안전조치

3. 재해/재난 대비 안전조치
10만명 이상의 정보주체  처리하는 대기업/중견기업/공공기관 또는 100만명이상의 중소기업/단체
-> 위기대응 매뉴얼, 개인정보처리시스템 백업 및 복구
전체 백업 : 백업의 속도가 가장 느림, 데이터 복원 속도는 가장 빠름
차등 백업 : 마지막 전체 데이터 백업 이후 변경한 모든 파일 백업
증분 백업 : 모든 유형의 마지막 백업 이후 각각의 새로운 및 변경된 파일의 백업, 가장 느린 복원, 가장 빠른 백업, 가장 적은 공간 소모
미러사이트 : DB시스템 이중화로 실시간 이중 처리, RPO/RTO 0, 재해 즉시 업무대행, 고비용, 저빈도 업데이트
핫사이트 : 동일한 센터 구축, RPO 0 지향, RTO 4시간, 단시간 내 가동유지, 고비용, 고빈도 업데이트
웜사이트 : 장비 일부 설치하여 주요 업무만 복구, RPO 수시간~1일, RTO 수일~수주, 비용 저렴, 복구시간 다수 걸림, 복구수준 불완전
콜드사이트 : 시스템 가동 환경 유지하고 재해시 hw,sw 설치 사용, RPO 수일 ~ 수주, RTO 수주~수개월, 저비용, 복구시간 매우 김, 저신뢰도, 원격지 백업
BCP 업무연속성계획 : 프로젝트 범위 설정 및 기획 -> 사업영향평가 BIA -> 복구전략개발 -> 복구계획수립 -> 프로젝트 수행 테스트 및 유지보수
RTO : 목표복구시간, 서비스 중단 시점과 서비스 복원 시점 간에 허용되는 최대 지연 시간, 서비스를 사용할 수 없는 상태로 허용 되는 기간
RPO : 목표복구시점, 마지막 데이터 복구 시점 이후 허용되는 최대 시간, 마지막 복구 시점과 서비스 중단 시점 사이에 허용되는 데이터 손실량 결정
RlO : 목표 복구 위치
RLO : 목표 복구 수준
RSO : 목표 복구 범위
RCO : 목표 네트워크 복구시간
재해복구시스템 구축 유형
- 독자 구축 : 기관 전용, 구축/운영/보안성/복구신뢰성이 높다
- 공동 구축 : 두개 이상 기관, 상호구축 : 복수기관 또는 단일기관의 복수의 사이트 상호간 역할 수행
- 자체 운영, 공동운영, 위탁 운영

 

4. 출력/복사 시 보호조치

5. 개인정보의 파기
유사한 업무를 지원하기 위하여 단일 시스템을 구축하여 다른 기관이 접속하여 이용할 수 있도록 한 단일 접속 시스템 : 100만명이상, 개인정보취급자 수가 200명, 민감한 개인정보 처리
표준이 되는 시스템을 개발하여 표준배포시스템으로 행정업무/민원업무 처리용
기관의 고유한 업무 수행을 지원하기 위해 기관별로 운영하는 개별 시스템 : 100만명이상, 개인정보 취급자의 수가 200명, 주민등록정보시스템과 연계하여 운영, 총사업비가 100억원 이상
공공시스템 지정 X : 검색이 어려운 경우, 내부적 업무처리만을 위하여 사용, 유출될 가능성이 상대적으로 낮은 경우로 보호위원회가 인정하는 경우
접근권한 부여, 변경 또는 말소 내역 등을 분기별 1회 이상 점검
2023년 9월 15일 기준으로 매 3년이 되는 시점마다 타당성을 검토하여 개선 등의 조치해야함
공공기관은 내부 관리계획이 수립되어 있는 경우 개인정보 파기계획을 포함하여 시행할 수 있다.

데이터베이스 응용프로그램이 설치 되지 않은 것은 개인정보처리시스템에서 제외
개인정보가 포함되지 않거나, 회사 업무목적이 아닌 경우는 모바일 기기에서 제외
내부 관리계획 용어 말고 사용 가능

이용자의 접속 기록은 3개월 이상 보관

파기 3회 이상 권고