개인정보 안전성 확보조치 이행을 위해 필요한 일반적인 사항을 점검하는 데 활용할 수 있는 체크리스트입니다. 단체의 상황에 따라서는 꼭 들어맞지 않는 내용이 있을 수도 있고, 여기 적힌 내용만으로는 부족함이 있을 수도 있을 텐데요. 비영리단체 맥락에 보다 적합한 개인정보 보호 체크리스트를 앞으로 발전시켜 나갈 필요가 있겠습니다.
개인정보보호 정책, 자원
그렇다
아니다
해당없음
개인정보 보호책임자가 지정되어 있다
개인정보 보호책임자는 교육, 관리·감독 등 역할을 수행하고 있다
개인정보의 안전한 처리를 위한 내부 관리계획이 수립되어 있다
(CCTV 운영시) 개인영상정보 보호책임자 지정 및 역할을 수행하고 있다
개인정보보호 교육
그렇다
아니다
해당없음
개인정보보호 교육계획이 수립되어 있다
개인정보 보호책임자가 교육을 받고 있다
개인정보보호 교육을 수행하고 있다
개인정보처리방침
그렇다
아니다
해당없음
개인정보처리방침을 공개하고 있다
개인정보처리방침의 내용(처리 및 보유기간, 위탁사항 등)이 적절하다
개인정보처리방침의 변경 내용을 지속적으로 공개 및 이력관리한다
개인정보처리시스템 보안운영
그렇다
아니다
해당없음
개인정보를 처리하는 시스템·업무용컴퓨터에 백신소프트웨어를 설치·운영 하고 있다
(서비스 제공 업체가) 개인정보 유출 시도 탐지 및 대응, 비인가 접근 등에 대한 모니터링을 수행하고 있다
(웹사이트 운영시) 인터넷 홈페이지 취약점 점검 등을 수행하고 있다
개인정보처리시스템의 접근통제
그렇다
아니다
해당없음
개인정보처리시스템의 중요도(민감도) 및 업무연관성 등을 고려하여 담당자별 차등 접근권한 절차를 마련하고 있다
전보 또는 퇴직 인력에 대해 개인정보처리시스템의 접근권한을 즉시 삭제하고 있다
접근권한 부여·변경·말소에 대한 이력관리를 수행하고 최소 3년간 보관하고 있다
비인가된 P2P, 웹하드, 공개된 무선망 등 공유설정에 대한 차단을 하고 있다
개인정보처리시스템 접근관련, 개인정보취급자 별로 사용자계정 발급 및 사용자 인증(PKI, IP제한 등)을 하고 있다
전산실, 자료보관실 등 개인정보를 취급하는 공간에 대해 출입통제 절차를 수립.운영 하고 있다
개인정보가 포함된 서류 및 저장매체(USB, CD) 등에 대한 보안대책을 마련하고 있다
계정정보 또는 비밀번호의 일정 횟수 이상 잘못 입력 시 접근제한 등 필요적 기술 조치를 하고 있다
일정시간 이상의 업무처리 중지 시 자동 시스템 접속 차단을 실시하고 있다
개인정보 암호화
그렇다
아니다
해당없음
사용자 단말기에 저장된 개인정보파일을 암호화하고 있다
암호화된 개인정보의 안전한 보관을 위하여 안전한 암호키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행하고 있다
(서비스 제공 업체가) 고유식별정보(주민등록번호, 여권번호 등), 비밀번호, 바이오정보(지문, 얼굴 등)는 암호화하고 있다
(서비스 제공 업체가) 비밀번호는 일방향 암호화를 적용하여 저장한다
(서비스 제공 업체가) 개인정보 암호화 시, 안전한 알고리즘을 사용하고 있다
(서비스 제공 업체가) 사용자 단말기부터 웹서버 구간 간 암호화를 적용하고 있다
개인정보처리시스템 로그 관리
그렇다
아니다
해당없음
개인정보처리시스템 접속기록을 1년 이상(5만 명 이상의 개인정보를 처리하거나, 고유식별정보 또는 민감정보를 처리하는 경우는 2년이상) 보관·관리하고 있다
개인정보처리시스템 접속기록이 위·변조 및 도난, 분실되지 않도록 안전하게 보관하고 있다
개인정보처리시스템의 접속기록 점검 및 후속조치를 월 1회 이상 수행 하고 있다
개인정보 수집 동의
그렇다
아니다
해당없음
개인정보 수집 시, 정보주체의 동의를 받고 있다
만 14세 미만 아동의 개인정보를 수집 시, 법정대리인에게 동의를 받고 있다
개인정보 수집, 이용 및 제공
그렇다
아니다
해당없음
서비스 제공을 위해 꼭 필요한 최소한의 정보만을 수집한다
정보주체 이외로부터 수집한 개인정보를 처리할 때, 정보주체에게 알려주고 있다
제3자 제공에 관한 사항을 정보주체에게 알리고 동의를 받고 있다
개인정보 수집 목적을 넘어 이용하거나 제공하는 경우, 별도동의를 받거나 다른 법률에 근거하고 있다
영업양도, 합병 등으로 개인정보를 다른 사람에게 이전하는 경우, 정보주체에게 그 사실을 알린다
개인정보의 국외 이전 시, 정보주체에게 알리고 동의를 받는다
개인정보 운영, 파기
그렇다
아니다
해당없음
개인정보파일의 보유기간이 타당하다
개인정보파일이 불필요하게 되었을 때 지체 없이 파기한다
개인정보 처리목적 달성 시, 지체 없이 파기한다
개인정보를 파기할 때, 다시 복원하거나 재생할 수 없는 형태로 완벽하게 파기한다
개인정보 파기에 관한 사항을 기록하고 관리하고 있다
다른 법령에 따라 개인정보를 파기하지 않고 보존하는 경우, 다른 개인정보와 분리하여서 저장·관리한다