• Version
  • Download 345
  • File Size 4.44 MB
  • File Count 1
  • Create Date 2016년 12월 25일
  • Last Updated 2021년 8월 26일

개인정보 내부 관리계획이란?

○ “개인정보 내부 관리계획”이란 개인정보처리자가 개인정보의 분실․도난․유출․위조․변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적․관리적 및 물리적 안전조치에 관한 사항 등을 규정한 계획, 규정, 지침 등을 말한다.

 

개인정보 내부 관리계획수립 근거

○ 개인정보처리자는 「개인정보 보호법」제29조(안전조치의무) 등에 따라 내부 관리계획을 수립하여야 한다.

 

개인정보 내부 관리계획수립 대상

○ ‘개인정보의 안전성 확보조치 기준’ 제4조(내부 관리계획의 수립․시행)에 따라 다음과 같이 유형별로 내부 관리계획 수립 여부를 다르게 적용한다.

- 유형1(완화)에 해당하는 개인정보처리자는 내부 관리계획을 수립하지 아니할 수 있다.

- 유형2(표준) 및 유형3(강화)에 해당하는 개인정보처리자는 내부 관리계획을 수립하여야 한다.

구 분

개인정보처리자의 개인정보 보유량 (전체 총합)

1만명 미만

1만명~10만명 미만

10만명~100만명 미만

100만명 이상

개인정보처리자
유형

공공기관

유형2(표준) 유형3(강화)

대기업

중견기업

중소기업

유형2(표준)

유형3(강화)

소상공인

유형1(완화)

유형2(표준)

개인

단체 유형1(완화) 유형2(표준)

유형3(강화)

 

개인정보 내부 관리계획구성 항목

○ ‘개인정보의 안전성 확보조치 기준’ 제4조(내부 관리계획의 수립․시행)에 따라 다음과 같이 유형별로 내부 관리계획 구성 항목을 다르게 적용한다.

- 유형2(표준)에 해당하는 개인정보처리자는 아래 구성 항목의 제12호부터 제14호까지를 내부 관리계획에 포함하지 아니할 수 있다.

- 유형3(강화)에 해당하는 개인정보처리자는 아래 구성 항목을 모두 포함하여야 한다.

구성 항목

유형2
(표준)

유형3
(강화)

1. 개인정보 보호책임자의 지정에 관한 사항

2. 개인정보 보호책임자 및 개인정보취급자의 역할 및 책임에 관한 사항

3. 개인정보취급자에 대한 교육에 관한 사항

4. 접근 권한의 관리에 관한 사항

5. 접근 통제에 관한 사항

6. 개인정보의 암호화 조치에 관한 사항

7. 접속기록 보관 및 점검에 관한 사항

8. 악성프로그램 등 방지에 관한 사항

9. 물리적 안전조치에 관한 사항

10. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항

11.개인정보 유출사고 대응 계획 수립·시행에 관한 사항

12. 위험도 분석 및 대응방안 마련에 관한 사항

13. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항

14. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항

15. 그 밖에 개인정보 보호를 위하여 필요한 사항

 

주의 사항

작성 예시는 개인정보처리자의 이해를 도모하고자 마련한 것으로서, 개인정보 내부 관리계획을 수립하는데 있어서 표준을 제시한 것은 아니다.

작성 예시에는 법적 의무사항과 그 밖의 권고사항이 포함되어 있다.

- ‘개인정보의 안전성 확보조치 기준에서 유형별로 정하는 사항은 내부 관리계획에 반드시 포함되어야 한다.

- 그 밖의 사항은 개인정보처리자가 처리하는 개인정보의 종류 및 중요도, 개인정보를 처리하는 방법 및 환경 등에 따라 다르게 적용될 수 있다.

작성 예시는 유형3(강화)에 해당하는 개인정보처리자가 내부 관리계획을 수립하는 경우 포함하는 사항을 위주로 작성 되었다.

- 유형2(표준)에 해당하는 개인정보처리자는 작성 예시의 제18(위험도 분석 및 대응), 19(수탁자에 대한 관리 및 감독) 및 제21(재해 및 재난 대비 안전조치)를 내부 관리계획에 포함하지 않을 수 있다.

작성 예시안전성 확보조치 기준에서 정하는 사항(문구) 위주로 작성 되었다.

 

그 밖에 개인정보보호 관련 사항에 대해 알아보려면 여기를 확인하세요. 


Download
메뉴
error: 컨덴츠는 보호됩니다.