공단은 「개인정보 보호법」 제29조에 따라 다음과 같이 안전성 확보에 필요한 기술적, 관리적, 물리적 조치를 하고 있습니다.
'개인정보의 안전성 확보조치 기준' 에 의거 다음의 사항이 포함된 내부관리계획을 수립 및 시행합니다.
- 가. 개인정보 보호책임자의 자격요건 및 지정에 관한 사항
- 나. 개인정보 보호책임자와 개인정보취급자의 역할 및 책임에 관한 사항
- 다. 개인정보취급자에 대한 관리·감독 및 교육에 관한 사항
- 라. 접근 권한 관리 및 접근통제에 관한 사항
- 마. 개인정보의 암호화 조치에 관한 사항
- 바. 접속기록 보관 및 점검에 관한 사항
- 사. 악성프로그램 등 방지에 관한 사항
- 아. 물리적 안전조치에 관한 사항
- 자. 개인정보 보호조직에 관한 구성 및 운영에 관한 사항
- 차. 개인정보 유출사고 대응계획 수립 · 시행에 관한 사항
- 카. 위험도 분석 및 대응방안 마련에 관한 사항
- 타. 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항
- 파. 개인정보 처리업무를 위탁하는 경우 수탁자에 대한 관리 및 감독에 관한 사항
- 하. 그 밖에 개인정보 보호를 위하여 필요한 사항
- 가. 개인정보처리시스템에 대한 접근권한은 업무 수행에 필요한 최소한의 범위로 차등 부여하고 있습니다.
- 나. 전보·퇴직 등 인사이동 시 지체없이 접근권한을 변경·말소하고 있으며, 접근권한의 부여, 변경 또는 말소에 대한 내역을 최소 3년간 보관되고 있습니다.
- 다. 개인정보취급자별로 사용자 계정을 발급하고 다른 개인정보취급자와 공유되지 않도록 엄격히 관리하고 있습니다.
- 가. 개인정보처리시스템에 대한 접속 권한을 IP(Internet Protocol) 주소 등으로 제한하여 인가받지 않은 접근을 제한하고 있으며 침입차단시스템과 침입방지시스템을 이용하여 외부로부터의 무단 접근을 통제하고 있습니다.
- 나. 취급하는 개인정보가 열람권한이 없는 자에게 공개·유출되지 않게 개인정보처리시스템, 업무용컴퓨터, 모바일기기, 관리용단말기, 보조기억매체 등에 접근을 통제하고 있습니다.
- 다. 개인정보취급자의 업무용 컴퓨터 및 모바일 기기의 분실·도난 등으로 개인정보가 유출되지 않도록 비밀번호 설정 등의 보호조치를 하고 있습니다.
개인정보처리시스템에 접속한 기록(웹 로그, 요약정보, 다운로드 등)을 월 1회 이상 점검하고 있으며, 접속기록은 최소 2년 이상 보관 및 관리하고 있습니다.
이용자의 개인정보는 암호화되어 저장 및 관리되고 있습니다. 또한 중요한 데이터는 저장 및 전송 시 암호화하여 사용하는 등의 별도 보안기능을 사용하고 있습니다.
- 가. 고유식별정보, 비밀번호, 생체인식정보 등을 정보통신망을 통하여 송신 하거나 보조저장매체 등을 통하여 전달하는 경우 암호화하고 있으며 비밀번호를 저장하는 경우에는 복호화하지 아니하도록 일방향 암호화하여 저장
- 나. 인터넷 구간 및 인터넷 구간과 내부망의 중간 지점((DMZ)에 고유식별정보를 저장하는 경우에는 이를 암호화
- 다. 업무용 컴퓨터나 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 알고리즘을 사용하여 해당 파일을 암호화한 후 저장하고 있으며 암호화 된 개인정보를 안전하게 보관하기 위해 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립·시행
악성 프로그램 등을 통해 개인정보가 위·변조, 유출되지 않도록 백신 소프트웨어 등 보안 프로그램을 설치·운영하고 다음 각 호의 사항 준수하고 있습니다.
- 가. 보안 프로그램은 실시간 감시상태를 유지하고 자동 업데이트 기능을 사용하거나, 일 1회 이상 주기적으로 업데이트를 실시하여 최신 상태 유지
- 나. 악성프로그램 관련 경보가 발령되거나 보안 업데이트 공지가 있는 경우 즉시 이에 따른 업데이트 실시
- 다. 발견된 악성 프로그램 등에 대하여 삭제 등 대응 조치
개인정보 유출 등 개인정보 침해사고 방지를 위하여 관리용 단말기에 대해 다음의 안전조치를 취하고 있습니다.
- 가. 인가 받지 않은 사람이 관리용 단말기에 접근하여 임의로 조작하지 못하도록 조치
- 나. 목적외 사용 금지
- 다. 악성프로그램 감염방지 등을 위한 보안조치 적용
개인정보를 보관하고 있는 개인정보시스템의 물리적 보관 장소를 별도로 두고 이에 대해 출입통제 절차를 수립·운영하고 있습니다.
화재, 홍수, 단전 등의 재해·재난 발생 시 개인정보처리시스템 보호를 위한 위기대응 매뉴얼 등 대응체계 수립하고 개인정보처리시스템 백업 및 복구를 위한 계획을 마련하고 있습니다.
또한, 개인정보처리시스템의 위기가 발생할 경우 피해를 최소화하기 위해 재해·재난대비 모의훈련을 연 1회 이상 실시하고 있습니다.