개인정보 처리자 유형에 따른 안전성 확보조치 기준

1. 개인정보 안전성 확보조치 기준 유형별 적용 여부

조항	내용	유형1	유형2	유형3
제4조   내부 관리계획의  수립·시행	1. 개인정보 보호책임자의 지정에 관한 사항	미적용
	2. 개인정보 보호책임자 및 개인정보취급자의 역할·책임에 관한 사항	미적용
	3. 개인정보취급자에 대한 교육에 관한 사항	미적용
	4. 접근 권한의 관리에 관한 사항	미적용
	5. 접근 통제에 관한 사항	미적용
	6. 개인정보의 암호화 조치에 관한 사항	미적용
	7. 접속기록 보관 및 점검에 관한 사항	미적용
	8. 악성프로그램 등 방지에 관한 사항	미적용
	9. 물리적 안전조치에 관한 사항	미적용
	10. 개인정보보호조직에 관한 구성 및 운영에 관한 사항	미적용
	11. 개인정보 유출사고 대응 계획 수립·시행에 관한 사항	미적용
	12. 위험도 분석 및 대응방안 마련에 관한 사항	미적용	미적용
	13. 재해·재난대비 개인정보처리시스템의 물리적 안전조치에 관한 사항	미적용	미적용
	14. 개인정보처리업무를 위탁시 수탁자에 대한 관리·감독에 대한 사항	미적용	미적용
제5조  개인정보처리시스템  접근권한 관리	① 최소한의 범위로 권한 차등부여	미적용
	② 인사이동시 권한 변경·말소
	③ 권한 부여·변경·말소 기록 3년간 보관
	④ 취급자별 계정 부여. 공용 금지
	⑤ 비밀번호 생성 규칙 수립·적용
	⑥ 비밀번호 연속 오류 시 잠금	미적용
제6조  개인정보처리시스템  접근통제	① IP기반 접근통제
	② 외부 접속 시 VPN등 안전한 접속수단 적용	미적용
	③ 서버, 단말기 비인가 접근통제
	④ 고유식별정보 이용 시 홈페이지 연1회 취약점점검	미적용
	⑤ 일정 시간 미사용 시 접속 차단	미적용
	⑥ 모바일 기기 보안설정
제7조  개인정보의 암호화	① 고유식별정보, 비밀번호, 바이오정보 전송 시 암호화
	② 비밀번호 일방향 암호화 저장, 바이오정보 암호화 저장
	③ DMZ 고유식별번호 저장 시 암호화 저장
	④ 내부망 고유식별번호 저장 시 영향평가, 위험도 분석에 따라 암호화
	⑤ 암호화 저장 시 안전한 암호화 알고리즘 사용
	⑥ 암호화 키 관리 체계 마련	미적용	미적용
	⑦ 업무용 단말기에 개인정보 저장 시 암호화
제8조  접속기록의 보관·점검	① 접속 기록 6개월 이상 보관
	② 접속 기록 반기별 1회 이상 점검
	③ 접속 기록 안전하게 무결성 보장하여 보관
제9조  악성프로그램 등 방지	1. 백신 자동 업데이트 또는 일 1회 이상 업데이트
	2. 경보 발령 시 OS/SW 보안 업데이트 즉시 실시
	3. 발견된 악성프로그램 삭제 등 대응조치
제10조  관리용 단말기 안전조치	1. 비인가 접근·조작 못하도록 조치
	2. 본래 목적 외로 사용되지 않도록 조치
	3. 악성프로그램 감염 방지 등 보안조치
제11조  물리적 안전조치	① 전산실, 자료보관실 출입통제 절차 수립
	② 서류, 저장매체 잠금장치 있는 장소에 보관
	③ 보조저장매체 반출입 통제 보안대책 수립
제12조  재해·재난 대비 안전조치	① 재난 대응절차 마련, 정기적 점검	미적용	미적용
	② 재난 발생 시 개인정보처리시스템 백업 복구 계획 수립	미적용	미적용
제13조  개인정보의 파기	① 완전파괴, 디가우징, 완전삭제
	② 일부삭제시 마스킹·천공, 복구·재생되지 않도록 관리·감독

2. 개인정보처리자의 유형

구분	1만명 미만	1만~10만명 미만	10만명~100만명 미만	100만명 이상
대 기 업  중견기업  공공기관	유형2(표준)		유형3(강화)
중소기업	유형2(표준)			유형3(강화)
단     체	유형1(완화)	유형2(표준)		유형3(강화)
소상공인  개     인		유형2(표준)

2.1 암기포인트

-대기업, 중견기업, 공공기관은 동일한 기준을 적용받는다.

-기업이나 공공기관은 유형1(완화)을 적용받을 수 없다.

-소상공인, 개인은 동일한 기준을 적용받는다.

-소상공인, 개인은 유형3(강화)을 적용받을 수 없다.

-유형1,2,3을 모두 적용받을 수 있는 경우는 단체 뿐이다.

-대·중견기업, 공공기관과 중소기업의 차이는 유형3(강화)를 적용받는 정보주체의 수이다.