① | 개인정보 보호책임자는 정보통신망을 통한 인가되지 않은 내ㆍ외부자의 불법적인 접근 및 침해사고 방지를 위해 다음 각 호의 기능을 포함한 조치를 하여야 한다.(신설 2022.6.15.) |
1. | 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol)주소 등으로 제한하여 인가받지 않은 접근을 제한 |
2. | 개인정보처리시스템에 접속한 IP(Internet Protocol)주소 등을 분석하여 불법적인 개인정보 유출 시도 탐지 및 대응 |
② | 개인정보 보호책임자는 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하려는 경우 가상사설망(VPN : Virtual Private Network) 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용하여야 한다.(신설 2022.6.15.) |
③ | 개인정보 보호책임자는 취급 중인 개인정보가 인터넷 홈페이지, P2P, 공유설정, 공개된 무선망 이용 등을 통하여 열람권한이 없는 자에게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터 및 모바일기기 등에 다음 각 호의 조치를 취하여야 한다.(신설 2022.6.15.) |
1. | 인터넷 홈페이지의 취약점으로 인한 노출 방지 |
2. | 개인정보취급자의 부주의로 인한 개인정보 및 개인정보파일 인터넷 홈페이지 게시 방지 |
3. | P2P 프로그램·공유 폴더 사용 원칙적 금지, 부득이한 경우 전체 또는 불필요한 폴더 공유 금지, 공유폴더에 개인정보 파일의 포함 여부 정기적 점검 |
④ | 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출·변조·훼손되지 않도록 연 1회 이상 취약점을 점검하여야 한다. 점검하고 필요한 보완 조치를 하여야 한다.(신설 2022.6.15.) |
⑤ | 개인정보처리시스템에 대한 불법적인 접근 및 침해사고 방지를 위하여 개인정보취급자가 일정시간(예:30분) 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 한다.(신설 2022.6.15.) |
⑥ | 업무부서가 별도의 개인정보처리시스템을 이용하지 아니하고 업무용 컴퓨터 또는 모바일 기기를 이용하여 개인정보를 처리하는 경우에는 제1항을 적용하지 아니할 수 있으며, 이 경우 업무용 컴퓨터의 운영체제나 보안프로그램 등에서 제공하는 접근통제 기능을 이용할 수 있다.(신설 2022.6.15.) |
⑦ | 개인정보처리자는 업무용 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 해당 모바일 기기에 비밀번호 설정 등의 보호조치를 하여야 한다.(신설 2022.6.15.) |