개인정보보호
-
1.1 관리체계 기반 마련 - 1.1.2 최고책임자의 지정보안/ISMS-P 2021. 2. 24. 09:43
인증 기준 최고 경영자는 정보보호 업무를 총괄하는 정보보호 최고책임자와 개인정보보호 업무를 총괄하는 개인정보보호 책임자를 예산/인력 등 자원을 할당할 수 있는 임원급으로 지정하여야 한다. 주요 확인사항 최고경영자는 정보보호 및 개인정보보호 처리에 관한 업무를 총괄하여 책임질 최고책임자를 공식적으로 지정하고 있는가? 정보보호 최고책임자 및 개인정보 보호책임자는 예산, 인력 등 자원을 할당할 수 있는 임원급으로 지정하고 있으며 관련 법령에 따른 자격요건을 충족하고 있는가? 관련 법규 개인정보 보호법 제29조(안전조치의무), 제31조(개인정보 보호책임자의 지정) 정보통신망법 제27조(개인정보 보호책임자의 지정), 제 28조 (개인정보의 보호조치)., 제45조의3(정보보호 최고책임자의 지정 등) 개인정보의 안전..
-
개인정보 비식별 조치 방법 - 총계처리(Aggregation)보안/개인정보 비식별화 2021. 2. 23. 13:49
개념 통계값(전체 혹은 부분)을 적용하여 특정 개인을 식별할 수 없도록 함 대상 개인과 직접 관련된 날짜 정보(생일, 자격 취득일), 기타 고유 특징(신체정보, 진료기록, 병력정보, 특정소비기록 등 민감한 정보) 장단점 장점 : 민감한 수치 정보에 대하여 비식별 조치가 가능하며, 통계분석용 데이터 셋 작성에 유리함 단점 : 정밀 분석이 어려우며 집계 수량이 적을 경우 추론에 의한 식별 가능성 있음 실무적용 방법 1. 총계처리(Aggregation) 데이터 전체 또는 부분을 집계(종합, 평균 등) ※ 단, 데이터 전체가 유사한 특징을 가진 개인으로 구성되어 있을 경우 그 데이터의 대푯값이 특정 개인의 정보를 그대로 노출시킬 수도 있으므로 주의 ex) 집단에 소속된 전체 인원의 평균 나이값을 구한 후 각 개..
-
개인정보 비식별 조치 방법 - 가명처리 (Pseudonymization)보안/개인정보 비식별화 2021. 2. 23. 13:32
개념 개인 식별이 가능한 데이터를 직접적으로 식별할 수 없는 다른 값으로 대체하는 기법 대상 성명, 기타 고유 특징(출신학교, 근무처 등) 장단점 장점 : 데이터의 변형 또는 변질 수준이 적음 단점 : 대체 값 부여 시에도 식별 가능한 고유 속성이 계속 유지 실무적용 방법 1. 휴리스틱 가명화(Heuristic Pseudonymization) 식별자에 해당하는 값들을 몇 가지 정해진 규칙으로 대체하거나 사람의 판단에 따라 가공하여 자세한 개인정보를 숨기는 방법 (ex) 성명을 홍길동, 임꺽정 등 몇몇 일반화된 이름으로 대체하여 표기하거나 소속기관명을 화성, 금성 등으로 대체하는 등 사전에 규칙을 정하여 수행 식별자의 분포를 고려하거나 수집된 자료의 사전 분석을 하지 않고 모든 데이터를 동일한 방법으로 가..
-
개인정보 비식별 조치 기준보안/개인정보 비식별화 2021. 2. 23. 13:23
단계별 조치사항 1. 사전 검토 (개인정보 해당 여부 검토) 빅데이터 분석 등을 위해 정보를 처리하려는 사업자 등은 해당 정보가 개인정보인지 여부에 대해 아래 기준을 참조하여 판단 해당 정보가 개인정보에 해당하지 않는 것이 명백한 경우에는 별도 조치 없이 빅데이터 분석 등에 활용 가능 더보기 [ 참고 ] 개인정보 해당 여부 판단 기준 가. 개인정보 보호법 등 관련 법률에서 규정하고 있는 개인정보의 개념은 다음과 같으며, 이에 해당하지 않는 경우에는 개인정보가 아님 나. 개인정보는 ⅰ)살아 있는 ⅱ)개인에 관한 ⅲ)정보로서 ⅳ)개인을 알아수 있는 정보이며, 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 ⅴ)다른 정보와 쉽게 결합하여 알아볼 수 있는 정보를 포함 ⅰ) (살아있는) 자에 관한 정보이어야 하..
-
1.1 관리체계 기반 마련 - 1.1.1 경영진의 참여보안/ISMS-P 2021. 2. 23. 10:38
인증 기준 최고 경영자는 정보보호 및 개인정보보호 관리체계의 수립과 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정의 체계를 수립하여 운영하여야 한다. 주요 확인사항 정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 경영진의 참여가 이루어질 수 있도록 보고 및 의사결정 등의 책임과 역할을 문서화 하고 있는가? 경영진의 정보보호 및 개인정보보호 활동에 관한 의사결정에 적극적으로 참여할 수 있는지 보고, 검토 및 승인 절차를 수립, 이행하고 있는가? 세부 설명 정보보호 및 개인정보보호 관리체계의 수립 및 운영활동 전반에 의사결정권이 있는 경영진의 참여가 이루어질 수 있도록 보고, 의사결정 등의 책임과 역할을 문서화하여야 한다. 정보보호 및 개인정보보호 정책의 제정, 개정, 위..
-
1.1 관리체계 수립 및 운영보안/ISMS-P 2021. 2. 23. 10:20
아래와 같이 4개의 분야, 16개의 인증기준으로 구성되어있으며 정보보호 및 개인정보보호 관리체계를 운영하는 동안 Plan, Do, Check, Act 의 사이클에 따라 지속적이고 반복적으로 실행되어야 한다. 1.1 관리체계 마련 1.1.1 경영진의 참여 1.1.2 최고 책임자의 지정 1.1.3 조직 구성 1.1.4 범위 설정 1.1.5 정책 수립 1.1.6 자원 할당 1.2 위험 관리 1.2.1 정보자산 식별 1.2.2 현황 및 흐름 분석 1.2.3 위험 평가 1.2.4 보호대책 선정 1.3 관리체계 운영 1.3.1 보호대책 구현 1.3.2 보호대책 공유 1.3.3 운영현황 관리 1.4 관리체계 점검 및 개선 1.4.1 법적 요구사항 준수 검토 1.4.2 관리체계 점검 1.4.3 관리체계 개선