개인정보 위험도 분석

배경 : 개인정보처리시스템에 적용하고 있는 개인정보 보호조치 이행여부를 분석하여 개인정보 유출 및 침해사고를 예방하기 위함

근거:

❍ 「개인정보보호법」 제24조(안전조치의무) 및 시행령 제30조(개인정보의 안전성 확보 조치) ❍ 「개인정보의 안전성 확보조치 기준」 제4조(내부 관리계획의 수립·시행 및 점검) ❍ 「경기관광공사 내부관리계획」 제18조의2(위험 분석 및 관리)

점검방법 :

❍ 「위험도 분석 기준 및 해설서」를 통하여 개인정보 보호조치 이행 여부와 개인정보 유출시 정보주체의 권리를 침해할 정도를 측정 ❍ 현황조사, 위험도 분석 점검 항목을 통해 개인정보 위험도 분석

개인정보_위험도_분석_기준_및_해설서(2020.12월).pdf

| 개인정보

파일 명칭 취급 개인정보 네트워크 연결여부 보유량 개인정보 처리시스템명

이름, 이메일주소

클라우드 시스템

60,000개

 위험도 분석 점검 항목

❍점검 항목 ＊기관 전체 대상

 

정책기반	개인정보 보호책임자를 지정하여 운영하고 있습니까?	O
	개인정보 보호를 위한 정책 또는 관리계획(유출사고 대응계획 포함)을 수립․운영하고 있습니까?	O
	외주인력 보안관리를 위해 보안서약서 집행, 비밀번호 노출 예방 등 조치를 하고 있습니까?	O
	DB서버에 접속하는 장비(PC, 노트북 등)에서 불법또는 비인가된 S/W 사용을 방지하고 정품 S/W만 사용하도록 하는 정책을 수립․운영하고 있습니까?	O
	DB서버에 접근 가능한 자(내부직원, 위탁인력, 개발자 등) 대상으로 개인정보보호 관련 교육을 연 2회 이상 실시하고 있습니까?	O
네트워크
기반	상시적으로 비인가 IP주소의 접근을 통제하고 있습니까?	O
	상시적으로 불필요한 서비스 포트 사용을 통제하고 있습니까?	O
	상시적으로 불법적인 해킹시도를 방지하고, 이에 대해 모니터링을 실시하고 있습니까?	O
	상시적으로 바이러스, 웜 등의 네트워크 유입을 차단하고 있습니까?	O
	주기적으로 네트워크 접속에 대한 로그를 기록·백업하고, 분석하고 있습니까?	O
	네트워크 장비 및 정보보호시스템의 보안패치 발생 시 지체 없이 업데이트를 수행하고 있습니까?	O

❍ 개인정보처리시스템 점검 항목

 

DB 및 APP 기반	상시적으로 네트워크를 통한 비인가자의 DB 접근을 통제하고 있습니까?
	DB서버 내에 불필요한 서비스 포트를 차단하고 있습니까?
	상시적으로 DB 접속자 및 개인정보취급자의 접속기록을 남기고 있습니까?
	DB 접속기록을 주기적으로 모니터링하여 통제하고 있습니까?
	DB서버에 접속하는 관리자 PC가 인터넷 접속되는 내부망의 네트워크와 분리되어 있습니까?
	개인정보취급자의 역할에 따라 DB 접근권한을 업무 수행에 필요한 최소한의 범위로 차등 부여하고 있습니까?
	개인정보취급자의 전보, 이직, 퇴사 등 인사이동 발생 시 지체 없이 DB 접근권한을 변경하고 있습니까?
	DB접속자 및 개인정보취급자의 DB 로그인 비밀번호를 최소 3개월마다 변경하고 있습니까?
	DB접속자 및 개인정보취급자의 비밀번호 입력 시 5회 이상 연속 입력오류가 발생한 경우 계정 잠금 등 접근을 제한하고 있습니까?
	DB 및 DB접속 어플리케이션 서버에 대한 물리적 접근을 인가된 자로 한정하고 있습니까?
	DB 및 DB접속 어플리케이션 서버에서 보조저장매체(USB 등) 사용 시 관리자 승인 후 사용하고 있습니까?
	DB서버 및 DB접속 어플리케이션 서버에 접속하는 모든 개인정보취급자의 단말기(PC, 노트북 등)의 운영체제 보안패치를 제조사 공지 후 지체 없이 수행하고 있습니까?
	이동형 디스크 등 DB 저장매체의 불용처리 시(폐기, 교체 등) 저장매체에 저장된 개인정보는 모두 파기하고 있습니까?
웹(Web)
기반	신규 웹 취약점 및 알려진 주요 웹(Web) 취약점진단/보완을 연 1회 이상 실시하거나, 상시적으로 비인가자에 의한 웹서버 접근, 홈페이지 위·변조 등을 자동으로 차단할 수 있는 보호 조치를 하고 있습니까?
	웹서버 프로그램과 운영체제 보안패치를 제조사 공지 후 지체 없이 수행하고 있습니까?

 위험도 분석 점검 결과

 ❍ 26개 항목에 대하여 모두 만족하여, 암호화 불필요