개인정보 침해사고 대응지침
시행일 : 2013. 11. 14
제1장 총칙
|
|
제1조 (목적) |
본 지침은 「경희대학교 개인정보 관리지침」에 의거하여 개인정보침해사고 발생 시 사고대응 및 처리방법과 이를 위한 사전 준비사항을 정의함을 목적으로 한다.
|
|
제2조 (근거) |
본 지침은 「개인정보 보호법」 및 「개인정보 보호법 시행령」ㆍ 「개인정보 보호법 시행규칙」, 「표준 개인정보 보호지침」과 같은 관련 고시 및 지침에 근거한다.
|
|
제3조 (용어정의) |
본 대응지침에서 사용되는 용어의 정의는「경희대학교 개인정보 관리지침」과 세부절차의 정의를 따른다.
제2장 개인정보침해사고에 관한 책임
|
|
제4조 (개인정보보호책임자) |
① 개인정보보호책임자는 개인정보침해사고 예방, 처리 및 재발방지의 총괄 관리 책임을 진다.
② 개인정보보호책임자는 개인정보침해사건 발생 시 침해사고 처리책임자를 지정하고 개인정보침해사고 대응팀을 소집하여 운영한다.
|
|
제5조 (개인정보침해사고 대응팀) |
① 개인정보보호조직의 구성원으로 구성되며 개인정보보호책임자가 해당 침해사고 분석, 대응 및 복구에 필요한 관련자를 지정하여 소집한다. 필요시 업무담당자, 개인정보보호담당자, 대변인, 외부 전문가 등이 포함될 수 있다.
② 대변인은 개인정보침해사고 대응팀의 입장을 공식적으로 전달하는 역할을 하며, 필요시 개인정보보호책임자가 본교 구성원으로 지정한다.
③ 개인정보침해사고 대응팀은 감사행정원에 법률자문을 구할 수 있다.
|
|
제6조 (침해사고 처리책임자) |
해당 침해사고 발생 부서의 부서장으로 지정되며 처리 및 재발방지에 대한 책임을 지고 개인정보침해사고 대응팀과 협력하여 사고를 해결한다.
|
|
제7조 (개인정보보호담당자) |
① 개인정보침해사고를 접수하고 본 지침 제10조의 기준에 따라 등급을 분류하여 침해사고 대응 절차를 개시한다.
② 개인정보침해사고 대응팀의 간사로서 대내외 비상연락망을 관리하고 팀 내 연락 및 조정을 담당한다.
③ 개인정보침해기록을 관리하고 필요시 관련자 및 기관에 보고한다.
④ 필요 시 정보보안에 대한 기술적인 분석을 담당한다.
|
|
제8조 (전직원) |
경희대학교(이하 ‘본교'라함)의 내부직원(계약직 등 비정규직 포함)은 개인정보에 대한 침해가 발생한 것을 인지한 경우, 지체없이 개인정보보호담당자에게 신고하여야 한다.
제3장 침해사고의 분류
|
|
제9조 (개인정보침해의 분류) |
개인정보침해사고는 다음과 같이 3등급으로 분류한다.
1. 1등급 침해는 법적 근거, 규정 또는 본인의 동의 없이 개인정보가 경희대학교 외부의 제3자에게 노출 또는 제공된 것을 말한다.
2. 2등급 침해는 법적 근거, 규정 또는 본인의 동의 없이 개인정보를 수집, 접근, 분석, 이용, 내부자에게 제공, 저장, 파기하는 것을 말한다.
3. 3등급 침해는 안전하지 않은 상태로 개인정보를 저장하거나, 파기해야 할 정보를 파기하지 않는 등 세부지침의 규정을 위반한 것을 말한다.
침해등급 | 예시 | 비고 |
1등급 | 해킹, DDOS, 내부자에 의한 개인정보 유출 등 |
|
2등급 | 개인정보취급 권한이 없는 직원이 개인정보를 취급하는 경우, 개인정보 수집시 동의없이 개인정보를 수집/이용 하는 경우 등 |
|
3등급 | 주요 개인정보(고유식별번호 등) 암호화 미실시, 개인정보 보유목적 달성 후 미파기 등 |
|
제4장 개인정보침해 대응 절차
|
|
제10조 (개인정보침해 예방 및 탐지) |
① 개인정보보호담당자는 웹사이트를 통한 개인정보 노출을 예방하기 위하여 개인정보 노출차단 솔루션을 운영하고 월별 현황을 관리한다.
② 개인정보보호담당자는 분기별로 웹페이지, 붙임파일, 소스코드 및 외부 검색엔진 상의 노출을 점검하고 분기별 현황을 관리한다.
③ 구성원(또는 외부인)이 게시판 등에 자료를 게재할 때 개인정보 노출에 대하여 주의를 환기시키기 위한 경고를 제공하여야 한다.
④ 개인정보보호담당자는 연 1회 보안취약점 점검을 시행하고 개인정보보호책임자에게 결과를 보고한다.
|
|
제11조 (개인정보침해의 신고) |
본교의 내부직원(계약직 등 비정규직 포함)이 취급하는 개인정보에 대하여 본 지침 제10조에서 정의한 침해가 발생한 것을 인지한 경우 또는 그러한 침해의 발생이 의심되는 경우 지체없이 본교 개인정보보호담당자에게 알린 후 개인정보침해 업무를 담당하는 정부기관에 신고하여야 한다.
(예 : KISA "개인정보침해신고센터" (privacy.kisa.or.kr) 등)
|
|
제12조 (개인정보침해사고의 접수) |
① 개인정보보호담당자는 개인정보침해사고를 접수한 경우 [붙임1] "개인정보 침해사고 관리대장" 에 사고 접수를 기록한다.
② 개인정보보호담당자는 접수 후 지체 없이 개인정보보호책임자에게 보고 한다.
|
|
제13조 (개인정보침해 대응체계) |
① 개인정보보호책임자는 노출 또는 제공된 정보의 종류에 따라, 발생 부서의 부서장으로 침해사고 처리책임자를 지정하고 개인정보침해사고 대응팀을 구성한다.
② 발생 부서를 적시할 수 없거나 발생 부서의 부서장이 침해사고에 연루된 경우 개인정보보호책임자가 임의로 침해사고 처리책임자를 지정할 수 있다.
③ 2등급 또는 3등급 침해의 경우 개인정보보호책임자는 침해사고처리책임자와 협의하여 개인정보침해사고 대응팀을 구성하지 않을 수 있다.
④ 개인정보보호책임자는 필요시 외부 전문가에게 분석을 의뢰할 수 있다.
⑤ 1만명 이상의 개인정보가 유출된 경우에는 개인정보 침해 통지 및 조치 결과를 지체 없이 개인정보침해 업무를 담당하는 정부기관에 신고하여야 한다.
|
|
제14조 (침해사고의 분석) |
① 침해사고 처리책임자는 침해 사실 여부를 확인하고 사실로 확인될 경우 침해의 규모, 경위, 방법, 원인 및 관련자를 조사한다.
② 침해사고 처리책임자는 필요한 경우 개인정보침해사고 대응팀 또는 개인정보보호책임자가 승인한 외부 전문가의 지원을 받아 증거자료를 수집한다.
|
|
제15조 (침해사고의 대응 및 복구) |
① 1등급 침해의 경우 침해사고 처리책임자는 해당 개인정보를 파기 또는 회수하기 위한 조치를 취한다.
② 2등급 침해의 경우 침해사고 책임자는 해당 개인정보를 파기, 회수 또는 복구하기 위한 조치를 취하거나 정보주체의 사후 동의를 받아 근거를 마련한다.
③ 3등급 침해의 경우 침해사고 처리책임자는 해당 개인정보를 적절히 보호하거나 파기하기 위한 조치를 취한다.
④ 침해사고 처리책임자는 즉각적 조치가 가능한 경우 재발방지 조치를 취한다.
|
|
제16조 (침해사고의 종료) |
① 침해사고 처리책임자는 [붙임2] 개인정보침해사고 처리보고서를 작성하여 개인정보보호책임자에게 제출한다.
② 개인정보보호책임자는 개인정보침해사고 처리보고서를 검토하고 승인한다.
③ 개인정보보호책임자는 개인정보침해 관련자에 대한 처분(징계 등)을 해당부서에 요청할 수 있다.
④ 개인정보보호담당자는 개인정보침해사고 처리보고서를 관리하고 처분(징계 등) 결과를 기록한다.
|
|
제17조 (침해사고 사후분석) |
① 침해사고 처리책임자는 처리보고서 제출 후 30일 이내 근본원인 분석, 교훈 및 예방을 위한 개선대책을 마련하여 개인정보보호책임자에게 제출한다.
② 개인정보보호책임자는 개선안을 검토하여 시행 및 변경 여부와 시기를 결정한다.
③ 개인정보보호책임자는 필요하다고 판단할 경우 사고의 교훈을 적절한 대상을 지정하여 전파 및 교육을 할 수 있다.
④ 개인정보보호책임자는 개선안 시행, 교훈 전파 및 교육 후 그 성과를 검토한다.
제5장 개인정보침해사고의 관리
|
|
제18조 (개인정보침해사고의 보고) |
① 개인정보보호책임자는 1등급 사고의 경우 발생 즉시 및 수시로 그 진행 현황을 총장에게 보고한다.
② 개인정보보호담당자는 연간 등급별ㆍ유형별 침해사고 발생 및 처리현황을 개인정보보호책임자에게 보고한다.
|
|
제19조 (개인정보침해사고의 현황 관리) |
개인정보보호책임자는 개인정보침해사고 현황을 분석하여 추가적인 개선대책이 필요한 경우 개선 대책을 마련하여 시행한다. 개선 대책에는 교육자료 활용 등을 포함할 수 있다.
|
|
제20조 (개인정보침해사고 교육훈련) |
① 개인정보보호책임자는 전 직원에게 연1회 이상 개인정보침해사고의 유형과 보고 방법 등에 대해 교육하여야 한다.
제6장 기타
|
|
제21조 (개인정보침해 신고자의 보호) |
① 개인정보침해 신고자의 신분은 침해사고 대응에 반드시 필요한 경우 반드시 필요한 담당자 및 권한자에게만 제공되어야 하며 외부로 노출되어서는 아니 된다.
② 개인정보침해 신고자는 어떠한 경우에도 신고로 인해 불이익을 당하는 경우가 없어야 한다.
|
|
제22조 (개인정보침해 당사자에게 통보) |
침해사고 처리책임자가 개인정보 유출사실을 인지하였을 경우 지체 없이 해당 정보주체에게 관련 사실을 통지한다.
[별표/서식 파일]
※ gif 파일은 미리보기 파일입니다. 미리보기 시, 해당 별표/서식의 첫 번째 페이지만 보입니다.
전문은 다운로드를 통해 확인하실 수 있습니다.
[붙임1] 개인정보침해사고 관리대장.hwp
|
|
[붙임2] 개인정보침해사고 처리보고서.hwp
|
|
[붙임3] 개인정보 침해사실 신고서.hwp
|
|
[별표1] 개인정보침해사고 모의시나리오.hwp
|
