인사이트

수탁사 개인정보보호, 업무PC에서는 어떻게 보호하나요?

최근 미디어를 통해 기업의 개인정보 유출에 대한 소식을 심심치 않게 접할 수 있습니다.
기업들의 고객 개인정보 유출사고에서 유출경로는 매우 다양한데요, 개인정보 수탁사라면 서비스가 운영되는 서버 뿐아니라 고객정보를 다루는 임직원 PC도 함께 신경써야 합니다.
고객의 개인정보를 수탁한 기업은 업무PC에서 어떻게 개인정보를 관리해야하는지 알려드립니다.

먼저, 수탁사의 임직원PC에서는 고객의 정보가 어떤식으로 유출되는지 알아야겠죠?
수탁사 고객정보유출의 가장 대표적인 3가지의 경로를 알려드립니다.

개인정보 유출경로

1. 사내 정보 관리 미흡 : 기업 내부에서 내부 임직원의 부주의, 임직원의 불법적인 접근, 보안체계의 결함 등
2. 외부 해킹 공격 : 해커가 기업의 네트워크나 시스템에 침입하여 정보를 유출
3. 제3자와 공유 : 기업이 정보를 공유한 제3자가 정보관리를 소홀히 하여 정보를 유출

위와 같은 유출을 방지하기 위해서는 기업이 개인정보 보호에 대한 적극적 대책을 마련하고 이를 지속적으로 관리해야 합니다.

기업에서는 '개인정보 보호법', '개인정보의 기술적ㆍ관리적 보호조치 기준'등에 명시된 바와 같이 고객(개인 또는 기업)의 개인정보를 안전하게 보관해야할 의무가 있으며 해당 법령 위반 시, 그에 해당하는 과태료 등의 벌급을 부과받게 됩니다.
그러므로 고객의 개인정보를 수탁한 기업에서는 1년에 한 번 이상 정기적으로 '수탁사 개인정보보호 체크리스트'를 기반으로 개인정보를 안전하게 관리하고 있는지 점검해야 합니다.

그러면 본격적으로 '수탁사 개인정보보호 체크리스트'에는 어떠한 항목들이 있고 , 어떻게 대비할 수 있는지 알아보겠습니다.

수탁사 개인정보보호 체크리스트 (PC)

위탁사의 수탁사 개인정보보호 관리, 감독에 대한 의무로 실제 보호조치가 어떻게 진행되었는지 증적자료준비가 필요할 수 있습니다.

점검 항목 비고
(개인정보를 안전하게 저장 및 전송할 수 있는 암호화 기술의 적용 또는 이에 상응하는 조치)
개인정보를 컴퓨터, 모바일 기기 및 보조저장매체 등에 저장할 때에 이를 암호화하고 있는가?
기술적, 관리적 보호조치 기준 고시 제6조 ④
(개인정보의 암호화)
(개인정보의 안전한 보관을 위한 보관시설의 마련 또는 잠금 장치의 설치 등 물리적 조치)
개인정보가 포함된 보조저장매체의 반출입 통제를 위한 보안대책을 마련하고 있는가?
기술적, 관리적 보호조치 기준 고시 제8조 ③
(물리적 접근 방지)
(개인정보에 대한 접근 통제 및 접근 권한의 제한 조치)
개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람 권한이 없는 자에게 공개되거나 외부에
유출되지 않도록 개인정보처리시스템 및 개인정보취급자의 컴퓨터와 모바일 기기에
조치를 취하고 있는가?
기술적, 관리적 보호조치 기준 고시 제4조 ⑨
(접근통제)
(개인정보에 대한 보안프로그램의 설치 및 갱신)
악성 프로그램 등을 방지, 치료할 수 있는 백신 소프트웨어 등의
보안프로그램을 설치, 운영하고 있는가?
기술적, 관리적 보호조치 기준 고시 제7조 ⑨
(악성프로그램 방지)

우리 기업의 서비스는 개인정보보호와 관련하여 얼마 만큼 준비되어 있는지 확인해 보셨나요?
혹, 개인정보보호 점검을 진행해 본적이 없어 어디서부터 어떻게 준비해야 할지 막막하다면 개인정보 보호를 시스템화할 수 있는 엑소스피어가 필요합니다.
지금부터 개인정보보호의 A to Z, 엑소스피어를 통해 개인정보보호 점검에 대비하는 방법을 알려드립니다.

PC에서 개인정보 관리하기

점검 항목 엑소스피어로 보호하는 법
개인정보를 컴퓨터, 모바일 기기 및
보조저장매체 등에 저장할 때에
이를 암호화하고 있는가?
모든 개인정보는 암호화하여 보관할 수 있습니다.
* 실시간 검사 및 예약 검사로 PC 내 개인정보가 포함된 파일 탐지 및 강제암호화 설정
* 암호화된 파일은 관리자 승인없이 암호화를 풀 수 없도록 권한을 관리자 승인으로 설정
* 관리자에게 승인받는 파일만 암호화 풀기 가능
PC에서 개인정보 관리하기-1
점검 항목 엑소스피어로 보호하는 법
개인정보가 포함된 보조저장매체의
반출입 통제를 위한 보안대책을
마련하고 있는가?
승인된 USB만 사용하고, 승인된 파일만 반출가능하게
보안정책을 운영할 수 있습니다.

* 이동식 디스크에 대해 연결차단으로 정책 설정 (승인되지 않은 매체 사용 차단)
*사내에서 지급한 USB등 업무상 승인된 USB는 개별 설정으로 허용 설정
PC에서 개인정보 관리하기-2
점검 항목 엑소스피어로 보호하는 법
개인정보가 인터넷 홈페이지, P2P, 공유설정 등을
통하여 열람 권한이 없는 자에게 공개되거나
외부에 유출되지 않도록 개인정보처리시스템 및
개인정보취급자의 컴퓨터와 모바일 기기에
조치를 취하고 있는가?
비 업무사이트 차단을 통해 강력한 URL제어 정책을
적용할 수 있습니다.

* P2P, 쇼핑, 증권, 취업, 게인 등 비업무 카테고리 차단설정
*그 외 차단이 필요한 비업무사이트가 있다면 개별설정으로 차단
PC에서 개인정보 관리하기-3
점검 항목 엑소스피어로 보호하는 법
악성 프로그램 등을 방지, 치료할 수 있는
백신 소프트웨어 등의 보안프로그램을
설치, 운영하고 있는가?
개인정보 취급자의 PC에 취약점이 없도록 유지할 수 있습니다.
* 최신 보안패치 점검 - 운영체제(OS)와 주요 소프트웨어 업데이트 점검
* 백신 및 방화벽 사용점검
*비밀번호 사용점검 - 안전한 비밀번호 규칙과 주기적 비밀번호 변경 점검
* 로그인 시 비밀번호 입력 - 화면보호기 사용여부 점검
*개인정보 공유 - 공유폴더 사용여부 점검
PC에서 개인정보 관리하기-4

처음 시작과 꾸준한 관리가 중요한 개인정보보호,
엑소스피어라면
보안담당자없이도 전문가 수준에서 누구나 손쉽게 기업의 정보보안을 시작할 수 있습니다.

인사이트
수탁사 개인정보보호, 업무PC에서는 어떻게 보호하나요?
최근 미디어를 통해 기업의 개인정보 유출에 대한 소식을 심심치 않게 접할 수 있습니다.
기업들의 고객 개인정보 유출사고에서 유출경로는 매우 다양한데요, 개인정보 수탁사라면 서비스가 운영되는 서버 뿐아니라 고객정보를 다루는 임직원 PC도 함께 신경써야 합니다.
고객의 개인정보를 수탁한 기업은 업무PC에서 어떻게 개인정보를 관리해야하는지 알려드립니다.
먼저, 수탁사의 임직원PC에서는 고객의 정보가 어떤식으로 유출되는지 알아야겠죠?
수탁사 고객정보유출의 가장 대표적인 3가지의 경로를 알려드립니다.
개인정보 유출경로
1. 사내 정보 관리 미흡 : 기업 내부에서 내부 임직원의 부주의, 임직원의 불법적인 접근, 보안체계의 결함 등
2. 외부 해킹 공격 : 해커가 기업의 네트워크나 시스템에 침입하여 정보를 유출
3. 제3자와 공유 : 기업이 정보를 공유한 제3자가 정보관리를 소홀히 하여 정보를 유출
위와 같은 유출을 방지하기 위해서는 기업이 개인정보 보호에 대한 적극적 대책을 마련하고 이를 지속적으로 관리해야 합니다.
기업에서는 '개인정보 보호법', '개인정보의 기술적ㆍ관리적 보호조치 기준'등에 명시된 바와 같이 고객(개인 또는 기업)의 개인정보를 안전하게 보관해야할 의무가 있으며 해당 법령 위반 시, 그에 해당하는 과태료 등의 벌급을 부과받게 됩니다.
그러므로 고객의 개인정보를 수탁한 기업에서는 1년에 한 번 이상 정기적으로 '수탁사 개인정보보호 체크리스트'를 기반으로 개인정보를 안전하게 관리하고 있는지 점검해야 합니다.
그러면 본격적으로 '수탁사 개인정보보호 체크리스트'에는 어떠한 항목들이 있고 , 어떻게 대비할 수 있는지 알아보겠습니다.
수탁사 개인정보보호 체크리스트 (PC)
위탁사의 수탁사 개인정보보호 관리, 감독에 대한 의무로 실제 보호조치가 어떻게 진행되었는지 증적자료준비가 필요할 수 있습니다.
우리 기업의 서비스는 개인정보보호와 관련하여 얼마 만큼 준비되어 있는지 확인해 보셨나요?
혹, 개인정보보호 점검을 진행해 본적이 없어 어디서부터 어떻게 준비해야 할지 막막하다면 개인정보 보호를 시스템화할 수 있는 엑소스피어가 필요합니다.
지금부터 개인정보보호의 A to Z, 엑소스피어를 통해 개인정보보호 점검에 대비하는 방법을 알려드립니다.
PC에서 개인정보 관리하기
PC에서 개인정보 관리하기-1
PC에서 개인정보 관리하기-2
PC에서 개인정보 관리하기-3
PC에서 개인정보 관리하기-4
처음 시작과 꾸준한 관리가 중요한 개인정보보호,
엑소스피어라면
보안담당자없이도 전문가 수준에서 누구나 손쉽게 기업의 정보보안을 시작할 수 있습니다.