현 행

변 경

▶실천방안

①개인정보처리시스템 현황

※권한 부여 현황 내부결재 또는 대장으로 관리함.

▶실천방안

개인정보처리시스템 접근통제 현황

제22조(영상정보처리기기 운영)

① 영상정보처리기기운영자는 개인영상정보의 처리에 관한 업무를 총괄해서 책임질 개인영상

정보 관리책임자를 지정한다.

② 영상정보처리기기운영자는 영상정보처리기기 운영·관리 방침을 수립하거나 변경하는 경우에 정보주체가 쉽게 확인할 수 있도록 홈페이지에 공개하도록 한다.

별첨1 침해사고 대응 절차서

별첨2 개인정보처리업무 위탁업체 현황 및 관리감독

별첨3 개인정보파일 관리 및 파기절차

별첨4 개인정보 목적 외 이용 및 제3자 제공 절차

별첨5 기타서식[참조: 개인정보보호 업무편람(2020.3.)]

▶실천방안

①개인정보처리시스템 현황

※권한 부여 현황 내부결재 또는 대장으로 관리함

▶실천방안

개인정보처리시스템 접근통제 현황

제22조(영상정보처리기기 운영)

① 영상정보처리기기운영자는 개인영상정보의 처리에 관한 업무를 총괄해서 책임질 개인영상

정보 관리책임자를 지정한다.

② 영상정보처리기기운영자는 영상정보처리기기 운영·관리 방침을 수립하거나 변경하는 경우에 정보주체가 쉽게 확인할 수 있도록 홈페이지에 공개하도록 한다.

별첨1 침해사고 대응 절차서

별첨2 개인정보처리업무 위탁업체 현황 및 관리감독

별첨3 개인정보파일 관리 및 파기절차

별첨4 개인정보 목적 외 이용 및 제3자 제공 절차

별첨5 기타서식[참조: 개인정보보호 업무편람(2020.3.)]

별첨6 개인정보처리시스템 접근권한 관리 절차

□ 목적

○ 에서 운영 중인 개인정보처리시스템의 사용자 접근권한 관리의 기준 및 절차 등을 정하여 개인정보보호 업무수행에 필요한 사항을 규정

□ 관련 법령

○ 개인정보의 안전성 확보조치 기준(개인정보보호위원회고시 제2020-2호, 2020.8.11.)

○ 행정기관 정보시스템 접근권한 관리 규정(국무총리훈령 제696호, 2017.10.25.)

□ 정의

○ 개인정보처리시스템 - 개인정보의 수집, 가공, 저장, 검색 등 그 활동과 관련되는 기기와 소프트웨어의 조직화된 체계

○ 접근권한 - 개인정보취급자가 개인정보처리시스템에 접근하여 개인정보를 열람, 기록, 정정, 삭제 등을 수행할 수 있는 권한

○ 접근권한관리책임자 - 개인정보처리시스템의 운영.관리를 총괄하는 자

○ 접근권한관리담당자 - 개인정보처리시스템을 운영하는 담당자

○ 개인정보처리시스템 이용자 - 전자적 행정업무를 하는 업무담당자, 서비스를 이용하는 서비스이용자 및 시스템 관리자

○ 서비스이용자란 개인정보처리시스템을 이용하는 주체로서 행정업무를 다루지 않는 자

□ 적용 범위

○ 개인정보처리시스템을 통해 업무를 수행하는 이용자(직원) 및 개인정보처리시스템을 유지관리 하는 외부 인력

□ 개인정보처리시스템 본인확인 및 접근권한 관리 체계

○ 개인정보 본인확인 및 접근권한 확인

- 정보통신망을 통한 전자적 민원처리 및 행정업무의 수행을 위하여 정보시스템 또는 본인 개인정보에 접근하고자 하는 이용자에게 본인확인 및 접근권한 확인 절차를 운영

- 다만, 다음 사항에 대하여는 이용자 본인확인 및 접근권한 확인 절차 없이 정보 접근이 가능

1. 법령 등에 의하여 공개를 목적으로 작성된 정보의 열람

2. 일반 국민에게 알리기 위하여 작성된 각종 홍보자료의 열람

3. 그 밖에 행정기관의 장이 공개하기로 정한 정보의 열람

○ 접근권한 관리의 책임자 지정・운영

- 정보시스템 이용자에 대한 본인확인 및 접근권한 부여에 관한 책임자를 지정·운영

- 접근권한 관리 조직 운영

1. 권한관리책임자 : 개인정보처리시스템 운영 부서의 장

2. 권한관리담당자 : 개인정보처리시스템 운영 담당자

- 권한관리책임자의 역할

1. 이용자 본인확인 및 접근권한 관리 업무의 총괄

2. 이용자 본인확인 및 접근권한 관리와 관련된 기능의 구현

3. 이용자 본인확인 및 접근권한 부여의 기준 및 절차 수립

4. 이용자 등록・관리 및 접근부여 여부의 관리・감독

□ 접근권한 부여 기준 및 관리 체계

○ 접근권한 부여 기준

- 정보시스템의 종류 및 중요도에 따른 접근권한 부여 범위의 차등화

- 교육행정정보시스템의 접근권한은 업무분장에 의하고 홈페이지 등 개인정보처리시스템은 게시판별 관리자를 지정하여 권한 부여

- 개인정보처리시스템에 접속할 수 있는 사용자계정을 발급하는 경우 다른 개인정보취급자와 공유되지 않도록 개인정보취급자 별로 사용자계정을 발급

- 정당한 권한 보유자만 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 5회 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등의 기술적 조치를 취하고 비밀번호는 대전광역시교육청 정보보안기본지침 제74조(비밀번호 관리)의 작성규칙을 준수하고 이행

- 개인정보처리시스템 접근 시 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 수립

○ 접근권한 신청 및 심사

- 개인정보처리시스템을 이용하고자 하는 업무담당자, 시스템 관리자 및 외주 직원 등은 다음 각 호의 사항을 기재한 신청서[별지서식17]를 작성하여 권한관리책임자에게 승인 신청

1. 정보시스템 또는 행정정보의 이용 또는 활용 목적 및 근거

2. 이용 또는 활용하고자 하는 정보시스템 또는 행정정보의 범위

※ 단, 인사발령에 의한 업무분장 변경 시 담당자 변경은 인사발령으로 대체(대전교육정보원은 내부 관리 규정에 따라 관리)

- 접근권한 부여의 기준에 따라 다음 각 호의 사항을 심사하여 최소한의 접근권한을 부여하여야 하며, 정보시스템에 대한 접근권한 부여 내역을 주기적으로 점검

1. 정보시스템 또는 행정정보의 이용 또는 활용목적의 정당성

2. 정보시스템 또는 행정정보 이용 범위의 적정성

3. 신청내용의 타당성, 적합성, 공익성

- 접근권한을 부여할 때는 [별지서식18, 19]에 따라 개인정보보호 보안서약서를 징구

○ 접근통제

- 시스템관리자는 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한하고 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우에는 가상사설망이나 전용선을 이용하여 접속 ※ 접근통제시스템(HI-TAM 5.0) 운영

- 대전교육사이버안전센터를 통하여 개인정보처리시스템에 접속한 IP(Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도를 탐지하고 대응

- 개인정보처리자는 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기 및 관리용 단말기 등에 보안대책 수립

- 인터넷을 통해 개인정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점 점검 실시

- 개인정보취급자가 일정시간 이상 업무처리를 하지 않는 경우 자동으로 시스템 접속이 차단되도록 조치

○ 접근권한 점검 및 관리

- 조직개편·인사발령·사무분장의 변경 등으로 업무담당자의 접근권한을 변경해야 할 경우, 권한관리책임자는 그 변경된 인사 내용에 따라 지체없이 개인정보처리시스템의 접근권한을 변경 또는 말소

- 권한관리책임자는 접근권한 관리의 적절성 및 접근권한의 오·남용 여부를 월1회 사이버보안진단의 날 개인정보처리시스템 점검표[별지서식16]로 점검하고 접근권한 부여 기록을 최소 3년간 보관

□ 이용내역의 기록 및 보관

○ 이용내역의 기록

- 업무담당자가 개인정보처리시스템에 개인정보를 생성·수정·삭제·열람 등을 하고자 하는 경우 다음 각 호의 사항을 포함하는 정보이용 내역을 기록 관리

1. 이용자 접근 기록 및 이용 시간

2. 이용자 식별 정보

3. 이용자가 생성·변경·열람·삭제한 행정정보의 내용 및 사유

4. 시스템 관리자가 생성·변경·열람·삭제한 정보의 내용 및 사유

5. 그 밖에 접근권한의 오·남용 및 정보 유출 여부를 검증하기 위해 필요하다고 판단되는 정보

○ 이용 기록의 보관 관리

- 개인정보처리시스템의 접속기록은 최소한 1년 이상 보관 관리하고, 5만명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관·관리

- 이용내역에 대한 기록이 변경되거나 삭제될 수 없도록 관리하고 권한관리책임자의 사전 승인이 없는 한 시스템 관리자 외에는 접근할 수 없도록 관리

- 개인정보의 오·남용, 분실·도난·유출·위조·변조 또는 훼손 등에 대응하기 위하여 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검

[별지서식16]

개인정보처리시스템 점검표

※ 홈페이지 접속관리 점검시스템 월별 보고서를 첨부하여 보고(2020.10월부터)

[별지서식17]

※ 교육행정정보시스템(나이스 등) 및 홈페이지 접근권한담당자의 경우는 인사발령에 따른 업무분장으로 대신하고, 대전교육정보원은 내부 규정에 의한 자체 양식 사용

[별지서식18]

(내부직원) 개인정보보호 보안서약서

본인은 재직 중에 업무를 수행하면서, 개인정보 보호법 및 관련 법령을 준수하고 다음 사항에 해당하는 행위를 하지 않을 것을 서약합니다.

1. 법률상 규정이 있는 경우 등의 정당한 사유 없이 정보주체의 동의를 받지 않고 개인정보를 수집ㆍ이용ㆍ제공 하는 행위

2. 부정한 방법으로 개인정보를 취득하거나 처리에 관한 동의를 받는 행위

3. 업무 담당 중 또는 보직 이동, 퇴직 등의 원인으로 인하여 개인정보 처리업무를 하지 않게 되는 경우에도 업무상 알게 된 개인정보를 누설 또는 목적 외로 이용하거나 권한 없이 다른 사람이 이용하도록 제공하는 행위

4. 정당한 권한 없이 또는 허용된 권한을 초과하여 개인정보를 조회하거나, 훼손, 멸실, 변경, 위조 또는 유출하는 행위

본인은 이러한 서약에도 불구하고 업무상 알게 된 사항에 대해 누설하거나 정당한 사유없이 조회, 유출, 오용하는 등 상기 서약의 위반사항이 발생할 경우 형사상 민사상의 법률 조항 및 기관 규정이 정하는 바에 따라 제재를 받을 수 있음을 확인합니다.

20 년 월 일

소속(부서) :

성 명 : (서명)

[별지서식19]

(외부직원) 개인정보보호 보안서약서

본인은 0000년 00월 00일 ~ 0000년 00월 00일까지 000업무를 수행함에 있어 개인정보 보호법 및 관련 법령을 준수하고, 다음 사항에 대해 준수 할 것을 서약합니다.

업무를 수행함에 있어 000기관에서 정하는 개인정보보호 내부관리계획을 준수하겠습니다.

업무 목적으로 개인정보를 최소화하여 수집하며, 제공받거나 허가받은 업무 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하지 않겠습니다.

업무상 알게된 개인정보를 누설하거나 권한없이 처리하는 등 부당한 목적을 위하여 사용하지 않겠습니다.

정당한 권한없이 또는 허용된 권한을 초과하여 개인정보를 무단으로 조회하거나 훼손, 변경, 위조 또는 유출하는 행위를 하지 않겠습니다.

본인은 이러한 서약에도 불구하고 업무상 알게 된 사항에 대해 누설하거나 정당한 사유없이 조회, 유출, 오용하는 등 상기 서약의 위반사항이 발생할 경우 형사상 민사상의 법률 조항 및 기관 규정이 정하는 바에 따라 제재를 받을 수 있음을 확인합니다.

20 년 월 일

소 속 :

성 명 : (서명)

대전학생해양수련원장 귀하