프라이버시 리포트

프라이버시 리포트는 개인정보보호법제의 태동기부터 지금까지 보안담당자 2만명과 함께 해왔습니다.

프라이버시 리포트

2017.01.26 – 신용정보법③개인정보고시에 해당하는 신용정보법 규정

목록

Privacy Report
신용정보법③
<
개인정보보호법고시
개인정보의 안전성확보조치 기준>
에 해당하는 신용정보법 규정은 ?
2017.01
신용정보법①
신용정보법 적용대상은 어디인가?
신용정보법②
신용정보법의 신용정보는 무엇인가?
이전 리포트 보기
이전 리포트 보기
개인신용정보
• 접속기록 규정 및 이상과다
조회점검규정
• 전송 및 PC저장시 암호화
• (네트워크,프린트,매체를 통한)
유출통제보호조치
개인식별정보는
업무상 제공시 암호화
신용정보집중기관과
신용조회회사간 제공시
상용암호화SW or
안전한 알고리즘으로 암호화
처리위탁시 수탁자에게
암호화하여 제공
이외 신용정보
신용정보법고시 <신용정보업감독규정>의 별표3
<기술적·물리적·관리적보안대책 마련 기준>
주로 관리적보호대책임
2016.09.30일 시행
신용정보법 원문보기
2017.01.10일 시행
신용정보법 시행령 원문보기
2016.10.20일 시행
신용정보업감독규정 원문보기
2016.10.20일 시행 <기술적·물리적·관리적보안대책 마련 기준> 원문보기
3법 중 가장 강력한
보안대책 적용
신용정보법④
신용정보법고시 <기술적·물리적·관리적보안대책 마련 기준> 위반시 처벌은 무엇인가?
I
. 목적
신용정보법 시행령 16조①에서 정하는
신용정보의 기술적
·
물리적
·
관리적 보안대책과 관련된 구체적인 기준을 정함
II. 기술적
·
물리적 보안대책
내용
3법비교
보호조치
1
접근
통제
① 개인신용정보처리시스템 접근권한을 최소한의 인원에게만 부여
접근통제솔루션
[DB] DB-i
[WAS] WAS-i
[SAP] App-i
② 인사이동으로 개인신용정보취급자 변경시 지체없이 개인신용정보처리시스
템 접근권한을 변경 or 말소
③ 권한부여, 변경 or 말소내역
(①,②에 따른)
을 기록, 그 기록을 최소 3년 보관
④ 개인신용정보처리시스템에 침입차단시스템과 침입탐지시스템을 설치
⑤ 개인신용정보주체 및 개인신용정보취급자가 추측쉬운 숫자(생일, 주민번호,
전화번호 등)를 비밀번호로 이용하지 않도록 비밀번호 작성규칙 수립 &이행
⑥ 인터넷 홈페이지, P2P, 공유설정 등을 통하여 개인신용정보가 비권한자에게
공개되지 않도록 개인신용정보처리시스템 및 PC를 설정
[Network DLP]
Mail-i
[Endpoint DLP]
Privacy-i
⑦ (개인신용정보처리시스템, 신용평가모형 or 위험관리모형을)
제휴, 위탁, 외부주문으로 개발시 업무장소 및 전산설비를 (내부업무용과) 분리설
치·운영
프라이버시
컨설팅
⑧ 외부자에게 개인신용정보처리시스템 접근권한 부여는 업무상 불가피한 경우
로 한정, 권한부여기록 3년 이상 보관
접근통제솔루션
[DB] DB-i
[WAS] WAS-i
[SAP] App-i
2
접속
기록
위변조
방지
① 개인신용정보취급자가 개인신용정보처리시스템에 접속, 개인신용정보를
처리한 경우 접속기록(처리일시, 처리내역 등)저장
→월 1회 이상 접속기록 확인·감독
【개】 반기1회
【정】 월 1회
② 개인신용정보처리시스템
접속기록을 위·변조되지 않도록 별도저장장치에 1년 이상 백업 보관
【개】 【정】
6개월 보관
신용정보법고시
<기술적·물리적·관리적보안대책 마련 기준>
상세규정 보기
【신】신용정보법고시 <기술적·물리적·관리적보안대책 마련 기준>
【개】개인정보보호법고시 <개인정보의 안전성 확보조치 기준>
【정】정보통신망법고시 <개인정보의 기술적 관리적 보호조치 기준>
파른색 TEXT : 【신】에만 존재하는 규정
접속기록 점검주기 및 보관기간이 3법 중 가장 강력
내용
3법비교
보호조치
3
① 인증정보(비밀번호, 바이오정보 등)는 조회할 수 없도록 암호화저장
불가피하게 인증정보 조회시 조회사유·내용 등을 기록·관리
[DB]DB암호화
[서버]Server-i
[PC, 매체]
Privacy-i
[DRM]
[보안서버
(SSL 외)]
② 정보통신망을 통해
개인신용정보
및 인증정보를 송·수신시 보안서버 등으로
암호화 보안서버는 다음 중 하나의 기능을 갖추어야 한다:
1. 웹서버에 SSL인증서를 설치하여 개인신용정보를 암호화하여 송·수신
2.
웹서버에 암호화 응용프로그램을 설치하여 개인신용정보를 암호화하여 송·수신
【개】
【정】
은 암호화
대상이
고유식별
번호
③ 개인신용정보 PC저장시 암호화
1. 정보통신망을 통하여 송수신 or 보조저장매체로 전달시 암호화
【개】 【정】
에 따라
주민번호는
무조건 암호화
수준으로
개정예상
2. 인터넷구간 및 DMZ구간(인터넷과 내부망의 중간지점) 저장시 암호화
3. 내부망
저장시 암호
화 여부, 범위
가. 영향평가대상인 공공기관 ; 영향평가결과
나. 그외 : <개인신용정보처리시스템에 적용된 보호수단>과
<유출시 신용정보주체의 권익을 해할 가능성 및 위험도>
분석결과
4. PC or 모바일 저장시 상용암호화SW or 안전한 알고리즘으로 암호화
⑤ 신용정보집중기관과 신용조회회사 간에 <개인식별번호> 제공시
상용암호화SW or 안전한 알고리즘으로 암호화
<개인식별
번호>는
<개인식별
정보>로
용어변경
예상
⑥ 개인신용정보 처리위탁시 <개인식별번호>를 암호화하여 수탁자에게 제공
4
컴퓨터
바이러
스방지
① 개인신용정보처리시스템 및 정보처리기기(취급자가 개인신용정보처리에
이용하는)에 악성프로그램(컴퓨터바이러스, 스파이웨어 등) 침투여부를 항시
점검·치료하도록 백신 설치
백신
[악성코드
접속차단]
웹키퍼
② 백신은
월 1회
이상 주기적으로 갱신·점검,
바이러스경보 발령 및 업데이트 공지시 즉시 최신
SW로
갱신·점검
【개】
【정】
기준으로
일 1회로
개정예상
5
출력
·
복사시
보호
조치
① 개인신용정보처리시스템에서 개인신용정보 출력시(인쇄, 화면표시, 파일생성
등) 용도특정 및 용도에 따라 출력 항목 최소화.
【정】
에 존재
[Endpoint DLP]
Privacy-i
출력, 보조저장
매체시 저장,
차단, 결재,
기록관리,
출력물 워터마크
[Network DLP]
Mail-i
이메일 등
네트워크로
전송시차단,
결재, 기록관리
개인신용정보 조회(활용)시 조회자신원, 일시, 대상정보, 목적, 용도 등
기록관리
개인신용정보를 이메일 or 보조매체저장으로 외부전송시 관리책임자의
사전승인
(①, ② 준수에 필요한) 내부시스템 구축
사전승인시 승인신청자에게 관련 법령 준수의무 주지
정보통신망전송 및 PC저장시 암호화대상이 개인신용정보(개인식별정보포함)임
네트워크, 프린트, 매체를 통한 유출통제보호조치가 3법중 가장 강력
III. 관리적 보안대책
내용
3법비교
보호조치
1
신용
정보
관리·
보호인
신용정보관리보호인은
다음 각 호의 업무를 담당한다.
【개】
【정】
에는
내부관리
계획이
별도조항
으로 있음
전사적
개인신용정보
검출, 현황분석,
파기, 암호화
Privacy-i
개인신용정보유출시
차단 기록
[Endpoint DLP]
Privacy-i
[Network DLP]
Mail-i
1.
신용정보의
수집·이용
제공·폐기
등에 대한
관리 및 보호계획의 수립 및 시행
2.
관리 및 보호 실태와 관행에 대한 정기적인 조사 및 개선
3.
신용정보 열람 및 정정청구 등 신용정보주체의 권리행사 및 피해구제
4.
신용정보 유출 등을 방지하기 위한 내부통제시스템의 구축 및 운영
5. 임직원 및
전속모집인
등에 대한
신용정보보호 교육계획의 수립 및 시행
6.
신용정보보호 관련법령 및 규정 준수 여부 점검
② 업무처리기록
(①에 따른)
3년보존, 점검결과 경영진보고, 업무처리절차에 반영
2.
개인
신용
정보
조회
권한
구분
개인신용정보
조회기록의
적정성 여부를
주기적 점검
점검결과를
업무에 반영
1. <개인신용정보취급자의 개인신용정보취급상황>
확인수단정비
<확인수단>의 점검·감사체제 정비
2. 개인신용정보
이상과다 조회부서
및 직원 수시점검
가. 권한초과하여 일정횟수 이상
조회시도한 직원 통제장치 마련
개인신용정보
과다조회통제
[DB] DB-i
[WAS] WAS-i
[SAP] App-i
전사적
개인신용정보 검출
Privacy-i
나. 영업점 및 신용정보관리부서의
조회건수를 정기점검, 평소보다 급
증한 부서 및 직원을 샘플링점검
③ 신용정보 관리·보호인은 신용조회기록의 정확성
(ex. 개인신용정보취급자가 입력하는 조회사유의 정확성 등) 점검
3
개인
신용
정보
이용
제한
신용평가모형 or
위험관리모형을
① 위탁개발시 실제 개인신용정보를 제공할 수 없다.
(불가피한 경우) 변환제공한 후 개발완료 즉시 삭제
개인신용정보제공시
차단 기록
[Endpoint DLP]
Privacy-i
[Network DLP]
Mail-i
② 신용조회회사가 개발시 실제 개인신용정보를 사용할 수
없다 (불가피한 경우 제외)
4
제재
기준
마련
<개인신용정보> 오·남용에 대한 자체 제재기준 마련