다시 뛰는 공정도시 서울!

문서번호 정보통신보안담당관-25335 결재일자 2017.12.29. 공개여부 부분공개(5) 방침번호 시 민 실무사무관 개인정보보호팀장 정보통신보안담당관 정보기획관 여인선 이명원 김완집 12/29 정헌재 협 조 2017년 개인정보 영향평가 및 관리실태 점검 용역 완료보고 2017.12 정보기획관 (정보통신보안담당관) 개인정보보호법 지속 가능성 ● 정책·계획 등의 지속가능성을 검토하였습니까? 예) 지역경제 발전, 사회적 형평성, 환경의 보전 등 □ ■ “2017년 개인정보 영향평가 및 관리실태 점검” 용 역 완 료 보 고 우리시에서 운영중인 개인정보처리시스템의 개인정보 유출 위험요인을 조사？분석하고 개선사항을 도출, 보완하고자 개인정보 영향평가 및 관리실태 점검을 실시하고 그 결과를 보고함 Ⅰ 사 업 개 요 ？？ 관련근거 ○ 개인정보보호법 제29조(안전성 확보조치 의무), 제33조(개인정보 영향평가) ○ 개인정보의 안전성 확보조치 기준, 개인정보 영향평가에 관한 고시 ？？ 용역개요 ○ 사 업 명 : 2017년 개인정보 영향평가 및 관리실태 점검 용역 ○ 사업기간 : ‘17. 6. 1 ~ ’17.12.27(7개월) ○ 계약금액 : 금 146,000천원 (계약업체 : 키삭(주)) ○ 사업범위 - 4시스템 개인정보 영향평가 - 8시스템 ‘15년~’16년 영향평가 결과 개선사항 이행여부 점검 - 164시스템 개인정보 관리실태 점검 - 36시스템 ‘15년~’16년 관리실태 점검결과 개선사항 이행여부 점검 - 146홈페이지 개인정보 관리실태 원격점검 - 개인정보보호 지침서(접근권한관리 등 4종) 개발 제공 ？？ 추진경과 ○ 용역사업 계약체결 : ’17.6. 1 ○ 착수보고회 개최 : ‘17. 6.13 ○ 시스템 분석 및 점검자료 제출, 현장방문 인터뷰 : ‘17.6 ~ ’17.8 ○ 용역수행 : ‘17.8 ~ ’17.11 ○ 사업준공 : ‘17.12.15 Ⅱ 용 역 수 행 세 부 결 과 가. 개인정보 영향평가 ○ 대상 : 서울시 대표 홈페이지 등 4개 시스템 ○ 평가항목 : 개인정보보호 관리체계 등 4영역 69항목 ○ 결과 : 69항목중 “이행 49, 부분이행 6, 미이행 1” 이행률 93.2% 평가대상 평가결과 이행율 개선과제 이행 부분이행 미이행 서울시 대표 홈페이지 56 4 0 96.7% 관리자 인증 강화 접속기록 주기점검 다산콜센터 상담관리시스템 46 6 0 94.2% 통신구간 암호화 적용 개인정보처리 위탁공개 출력물 보호조치 강화 인재개발원 홈페이지 및 교육운영관리시스템 46 8 2 89.3% 외부접속시 다운로드 권한 통제 강화 암호키 관리대장 작성 기록관리 아동복지센터 아동복지관리시스템 48 8 0 92.9% 관리자 인증 강화 수탁사 관리감독 강화 접속기록 내역 관리 화면 및 키보드 보안 강화 ※ 상세 평가결과 [붙임1] 참조 나.‘15년,‘16년 영향평가 결과 개선사항 이행점검 ○ 대상 : 동행프로젝트 등 8개 시스템 ○ 점검항목 : 지적사항 72건 - ‘15년 6시스템 58건(부분이행 7, 미이행 51) - ‘16년 2시스템 14건(부분이행 11, 미이행 3) ○ 결과 : 72건 중 “이행 71, 미이행 1” 누적이행률 99% 기관(부서)명 점검대상 (시스템명) 개선 과제 점검결과 과년도 이행률 누적 이행률 이행 미이행 정보통신보안 담당관 ‘15년 관리체계 3 2 1 (내부관리계획 개정 미수행) 94 97 ‘16년 관리체계 4 4 83 100 상수도사업 본부 PDA검침시스템 4 4 82 100 서울도서관 서울도서관 홈페이지 10 10 84 100 서울시자원봉사센터 동행자원봉사 관리시스템 14 14 65 100 시민봉사담당관 정책고객관리 (PCRM)시스템 6 6 88 100 “ 응답소시스템 5 5 91 100 은평병원 은평병원 원무전산시스템 13 12 1 (키보드 해킹방지 등 미설치) 75 97 데이터센터 급여관리시스템 8 8 86 100 인사과 인사관리시스템 2 2 96 100 ※ 상세 평가결과 [붙임2] 참조 다. 개인정보 관리실태 점검 ○ 대상 : 세무종합 등 164개 시스템 ○ 점검항목 : 3영역 24항목 - 관리적 보호조치(7) : 개인정보 목적외 이용 또는 제3자 제공 등 - 기술적 보호조치(14) : 접근권한 관리 등 - 물리적 보호조치(3) : 개인정보 관리용 단말기 보호조치 등 ○ 점검결과 구분 점검항목 평가결과 이행율 이행 부분이행 미이행 관리적 보호조치 개인정보 목적외 이용 또는 제3자 제공시 동의절차 6 4 1 70 개인정보 목적외 이용 또는 제3자 제공 대장 관리 3 1 4 42 개인정보 파기 대장 관리 24 7 22 51 기술적 보호조치 접근권한 관리 (최소3년간 보관) 93 7 17 82 접속기록 관리 (6개월이상 보관, 주기적 점검) 45 45 31 55 암호키 관리 14 7 22 40 물리적 보호조치 개인정보 관리용 단말기 보호조치(백신 등 설치) 116 1 2 98 합 계 301 72 99 72% ※ 상세 평가결과 [붙임3] 참조 라.‘15년,‘16년 관리실태 이행점검 ○ 대상 : 서울시 환지관리시스템 등 36개 시스템 ○ 점검항목 : 지적사항 138건 개선 이행여부 점검 - ‘15년 21시스템 75건(부분이행 19, 미이행 56) - ‘16년 15시스템 63건(부분이행 25, 미이행 38) ○ 결과 : 138개 항목중 “이행 93, 부분이행 18, 미이행 27” 이행률 92% 구분 점검결과 기존 이행률 누적 이행률 이행 부분이행 미이행 계 93 18 27 76.5 92 2015년 60 4 11 77 96 2016년 33 14 16 76 88 ※ 상세 평가결과 [붙임4] 참조 마. 홈페이지 관리실태 원격점검 ○ 대상 : 146개 사이트(본청 110, 사업소 36) ○ 점검항목 : 2영역 2항목 점검 - 관리적 보호조치(1) : 개인정보 목적 외 이용 또는 제3자 제공시 동의절차 - 기술적 보호조치(1) : 웹필터 S/W모듈 적용여부 구분 점검결과 이행률 이행 미이행 관리적 보호조치 20 13 61% 기술적 보호조치 41 22 65% 합 계 61 35 63% ○ 결과 : 2항목중 “이행 61, 미이행 35” 이행률 63% ※ 상세 평가결과 [붙임5] 참조 Ⅲ 영향평가 및 관리실태 점검결과 개선계획(안) □ 추진방향 ○ 용역 결과보고서 지적사항 해당부서 통보 및 즉시이행 조치 ○ 해당부서 지적사항 이행점검 및 지속적 지도감독 □ 개선과제 및 이행기한 가. 개인정보 영향평가 구분 담당부서 대상시스템 개선과제 이행기한 개인정보 영향평가 정보통신보안 담당관 - ○ ‘16.9개정된 개인정보보호법 반영 “내부 관리계획“ 개정 3개월이내 정보기획담당관 서울시 대표 홈페이지 ○ 관리자 로그인 시 알림 등의 보호기능 없음 ○ 접속기록에 대한 모니터링 기능 미흡 6개월이내 시민봉사 담당관 다산콜센터 상담관리시스템 ○ 장기 미접속에 대한 계정잠금 미흡 ○ 비밀번호 등 통신망 전송 시 암호화 미흡 ○ 접속기록에 대한 모니터링 기능 미흡 ○ 우클릭 제한, 복사·화면캡쳐 방지 및 키보드 해킹방지 등 보호대책 미흡 1년이내 인재 개발원 인재개발원 홈페이지 및 교육운영관리시스템 ○ 비밀번호 변경시 추가 인증 미흡 ○ 외부 다운로드 등의 일부권한 관리 미흡 ○ 개인정보취급자의 접속기록 관리 미흡 ○ 출력, 복사물의 보호기능 미흡 1년이내 아동복지센터 아동복지관리 시스템 ○ 관리자 로그인 시 알림 등의 보호기능 없음 ○ 암호키 관리대장 등을 통한 암호키 관리미흡 ○ 개인정보취급자의 접속기록 관리 미흡 ○ 접속기록에 대한 모니터링 기능 미흡 6개월이내 나. ‘15년~’16년 영향평가 개선사항 이행점검 구분 담당부서 대상시스템 개선과제 이행기한 ‘15년~’16년 개인정보 영향평가 개선사항 이행점검 정보통신보안 담당관 - ○ 정보주체 이외 수집에 대한 고지 절차 수립 ○ 개인정보 취급자의 역할 및 책임 규정 3개월이내 서울시 자원봉사센터 동행자원봉사 관리시스템 ○ 외부접속시 안전한 접속수단 적용 ○ 비인가된 접근에 대한 모니터링 ○ 개인정보처리 화면보안(키보드 해킹방지 등) 1년이내 시민소통기획관 정책고객관리 (PCRM)시스템 ○ 개인정보처리 화면보안(키보드 해킹방지 등) 1년이내 “ 응답소 시스템 ○ 접속시 동일ID의 동시접속 제한 ○ 개인정보처리 화면보안(키보드 해킹방지 등) 1년이내 은평병원 원무전산 시스템 ○ 비인가된 접근에 대한 모니터링 ○ 개인정보처리 화면보안(키보드 해킹방지 등) ○ 접속시 동일ID의 동시접속 제한 1년이내 데이터 센터 급여관리 시스템 ○ 관리자 계정 로그인 시 관리자에게 자동고지 ○ 키보드 해킹방지 6개월이내 인사과 인사관리 시스템 ○ 장기 미접속시 계정 잠금 ○ 관리자 계정 로그인 시 관리자에게 자동고지 6개월이내 다. 개인정보 관리실태 점검 구분 점검 항목 개선과제 대상시스템 이행기한 개인정보 관리실태 점검 관리적 보호조치 ○ 목적외 이용 및 제3자제공 대장 기록관리 8개시스템 (전자상거래 등) 3개월이내 ○ 개인정보 파기시 파기대장 기록관리 28개시스템 (응답소 등) 3개월이내 기술적 보호조치 ○ 접속기록 관리(ID, 접속시간, IP 등) ○ 접속기록 6개월단위 점검보고 39개시스템 (세무종합 등) 1년이내 ○ 암호키 현황 파악 ○ 암호키 생명주기별 기록관리 32개시스템 (급여관리 시스템 등) 1년이내 라. ‘15~’16년 관리실태 점검결과 개선사항 이행점검 구분 점검 항목 개선과제 대상시스템 이행기한 ‘15년~’16년 개인정보 관리실태 점검결과 개선사항 이행점검 관리적 보호조치 ○ 개인정보 위탁관리(위탁계약서 작성, 수탁자 개인정보 처리 실태점검, 수탁자 대상 개인정보보호 교육) 6개시스템 (요양보호사 관리시스템 등) 6개월이내 ○ 개인정보 파기관리(파기 방법 및 절차) 7개시스템 (하천관리시스템 등) 3개월이내 ○ 개인정보파일 대장관리(1개파일 1개 대장 작성 관리) 7개시스템 (주거복지통합시스템 등) 3개월이내 마. 홈페이지 관리실태 원격점검 구분 점검항목 개선과제 대상시스템 이행기한 홈페이지관리실태 원격점검 관리적 보호조치 ○ 개인정보 목적외 이용 및 제3자 제공 근거 안내 및 동의를 구할 경우 목적, 항목, 보유 및 이용기간, 거부권 등 5개항목 모두 고지 7개홈페이지 (서울관광(영문) 등) 6개월이내 기술적 보호조치 ○ 주민등록번호 및 개인정보가 포함된 파일을 첨부 파일로 등록할 경우 웹필터에 의한 차단 22개사이트 (교통방송 등) 1년이내 Ⅳ 준 공 검 사 ○ 검수기간 : ‘17.12.15 ~ 12.22 ○ 검수방법 : 과업별 점검항목 체크리스트에 의해 결과보고서 검수 ○ 검 수 자 : 개인정보보호팀장 이명원, 여인선 사무관, 조성현 주무관 ○ 검수내용 : 과업별 용역 수행내역 구분 과업 대상시스템 또는 내역 성과산출물 입회자 검수자 결과 개인정보 영향평가 개인정보 영향평가 서울시 대표 홈페이지 결과보고서 및 CD 정보기획담당관 진수진 이명원 팀장, 여인선 사무관, 조성현 주무관 정상 다산콜센터 상담관리시스템 시민소통담당관 김태한 인재개발원 홈페이지 및 교육운영관리시스템 인재기획과 고윤미, 윤경애 아동복지센터 아동복지관리시스템 아동복지센터 김옥연 ‘15년~’16년 영향평가 이행점검 인사관리 등 8개 결과보고서 및 CD 해당부서 담당자 정상 개인정보 관리실태 개인정보 관리실태 점검 세무종합 등 164개 결과보고서 및 CD 해당부서 담당자 정상 ‘15년~’16년 관리실태 이행점검 응답소 등 36개 결과보고서 및 CD 해당부서 담당자 정상 홈페이지 원격점검 교통방송 등 146개 결과보고서 및 CD 해당부서 담당자 정상 지침서 지침서 개발 제공 접근권한 관리 등 4종 지짐서 및 CD 정보통신보안 담당관 여인선 정상 Ⅱ 향 후 계 획 ○ ‘17년 개인정보 영향평가 결과 행정안전부 제출 : ‘18.1.12 ~ 1.13 ○ 평가결과 및 개선 이행관련 실무자 회의 : ‘18.1.25 ~ 1.26 ○ 시스템(부서별) 개선 이행여부 점검 및 자료제출 : ‘18.2 ~9월 ○ 개선 이행여부 점검 및 결과 자료 행안부 제출 : ‘18.10월 [붙임] 1. 영향평가 결과보고서 각 1부. 2. ‘15년, ’16년 영향평가 개선사항 이행점검 결과보고서 1부. 3. 개인정보 관리실태 점검 결과보고서 1부. 4. ‘15년, ’16년 관리실태 개선사항 이행점검 결과보고서 1부. 5. 홈페이지 관리실태 원격점검 결과보고서 1부. 끝.

14347837

20210926033144

본청

정보통신보안담당관-25335

D0000032501799