① | 개인정보취급자에게 개인정보처리시스템에 대한 접근권한을 각 개인정보취급자가 처리하는 업무의 성격에 따라 당해 업무수행에 필요한 최소한의 범위로 차등 부여하고, 사용자별 개인정보 접근권한을 관리하기 위한 조치를 취해야 한다.(신설 2022.6.15.) |
② | 전보 또는 퇴직 등 인사이동에 따라 개인정보취급자의 업무가 변경되는 경우에는 지체 없이 당해 개인정보취급자의 개인정보처리시스템에 대한 접근권한을 변경 또는 말소하여야 한다.(신설 2022.6.15.) |
③ | 제1항 및 제2항에 의한 권한 부여, 변경 또는 말소에 대한 내역을 기록하고, 그 기록을 최소 3년간 보관하여야 한다.(신설 2022.6.15.) |
④ | 개인정보처리시스템에 접속할 수 있는 사용자 계정을 발급하는 경우, 개인정보취급자 별로 한 개의 사용자계정을 발급하여야 하며, 다른 개인정보취급자와 공유되지 않도록 하여야 한다.(신설 2022.6.15.) |
⑤ | 개인정보처리시스템, 접근통제시스템, 인터넷 홈페이지 등에 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 다음 각 호의 사항을 적용하여야 한다.(신설 2022.6.15.) |
1. | 비밀번호 최소 길이 : 구성 문자의 종류에 따라 10자리 또는 8자리 이상으로 구성 |
2. | 추측하기 어려운 비밀번호 생성 |
3. | 비밀번호 주기적 변경 : 비밀번호 유효기간(3개월) 설정, 장기간 사용 금지 |
4. | 동일한 비밀번호 사용 제한 : 2개의 비밀번호 교대 사용 금지 |
5. | 국가정보보안 기본지침 제39조(비밀번호관리) 및 개인정보 안전성 확보조치 기준 제4조(접근권한의 관리) 준수 |
⑥ | 개인정보처리자는 권한 있는 개인정보취급자만이 개인정보처리시스템에 접근할 수 있도록 계정정보 또는 비밀번호를 일정 횟수 이상 잘못 입력한 경우 개인정보처리시스템에 대한 접근을 제한하는 등 필요한 기술적 조치를 하여야 한다.(신설 2022.6.15.) |