다시 뛰는 공정도시 서울!

문서번호 정보통신보안담당관-12329 결재일자 2019.6.5. 공개여부 부분공개(2) 방침번호 시 민 실무사무관 개인정보보호팀장 정보통신보안담당관 스마트도시정책관 서재호 도찬구 김완집 06/05 김태균 협 조 주무관 김혜경 주무관 오지성 2019년 개인정보보호 관리수준 진단평가 대비 - 서울시 개인정보보호 추진현황 점검결과 2019. 6. 스마트도시정책관 (정보통신보안담당관) 목 차 1. 평가 개요 1 2. 개인정보 현황 2 3. 평가 결과(‘18년) 5 4. 점검결과 6 ① CPO의 관리감독 및 제도개선 활동실적(매뉴얼 4-1) 7 ？ 내부관리계획, 개인정보파일, 자가진단, ’18년 진단 개선조치 ② 개인정보보호책임자 주도실적(매뉴얼 4-2) 9 ？ 위크숍, 심의위원회, 퀴즈대회, 홍보물, ISMS, 유공표창, 포럼, ③ 개인정보 파기(매뉴얼 6-3) 13 ？ 개인정보파일 정비결과, 개인정보파일 파기 관리대장 ④ 개인정보보호 매뉴얼 정비 15 ？ 개인정보 보호지침, 개인정보 내부관리계획, 개인정보 처리방침, 개인정보 목적외 이용 및 제공지침, CCTV운영 관리방침, 개인정보 유출사고 대응지침, 재해재난 복구지침, 접근권한 관리지침 ⑤ 개인정보 현황점검 17 ？ 개인정보 영향평가, 개인정보 처리업무 위수탁현황, 개인정보 제3자 제공현황 5. 향후 추진일정 18 ※ 붙임 1. ‘18년 개인정보보호 관리수준 진단평가 결과 2. 개인정보파일 현황 3. 자가진단 결과 및 확인증 1부. 끝. 4. 개인정보 보호지침 5. 개인정보 내부관리계획 6. 개인정보 처리방침(매뉴얼 5-1) 7. 개인정보 목적 외 이용 및 제3자 제공지침(매뉴얼 6-2) 8. 영상정보 처리기기 운영·관리 방침(매뉴얼 8-1) 9. 개인정보 유출사고 대응지침(매뉴얼 10-1) 10. 개인정보 처리시스템 재해·재난 복구지침(매뉴얼 10-2) 11. 개인정보 처리시스템 접근권한 관리지침(매뉴얼 11-1). 끝. 2019년 개인정보보호 관리수준 진단평가 대비 - 서울시 개인정보보호 추진현황 점검결과 ‘19년 개인정보보호 관리수준 평가대비, 정보자산의 취약점 분석 및 위협요소 제거, 개인정보보호 수준향상하기 위한 서울시 개인정보보호 추진현황 점검결과를 보고드림. 1 평가 개요 ？？ 관련근거 : 개인정보보호법 제11조(자료제출 요구 등) ○ 제②항 개인정보 보호 정책 추진, 성과평가 등을 위하여 필요한 경우 개인정보처리자, 지방자치단체의 장 및 관계 기관·단체 등을 대상으로 개인정보관리 수준 및 실태파악 등을 위한 조사를 실시할 수 있음. ？？ 대상기관 : 779개 기관 (전년대비 7개 기관 증가) ○ 중앙부처(46)·산하기관(339), 광역(17)·기초(226) 자치단체, 지방공기업(151) ？？ 진단내용 : 3개 분야 12개 지표 25개 항목 ○ 관리체계 구축 및 운영 분야 : 개인정보보호 교육 등 4개 지표 8개 항목 ○ 보호대책 수립 및 이행 분야 : 영상정보처리기기운영 등 4개 지표 9개 항목 ○ 침해대책 수립 및 이행 분야 : 침해대응 절차수립 등 4개 지표 8개 항목 ？？ 평가일정 ‘19.7 ？ ‘19.8~9 ？ ‘19.10~11 ？ ‘19.12 실적 등록 진단위원회 평가 중간결과통보, 증빙자료 재검증, 현장방문 최종결과 확정 및 개선지원 2 개인정보 현황 ？？ 임직원 현황 : 77,301명 (2019.1.1, 단위 : 명) 구분 계 서울시 서울 시의회 자치구 투자 출연기관 소계 본청 사업소 소방직 인력현황 77,301 17,509 4,562 5,945 7,002 326 34,175 25,291 기 관 수 122 73 35 38 - 1 25 23 ？？ 개인정보 보유현황 ○ 관리대상 : 서울시(본청·사업소) - 직접관리 ※ 제외기관(서울시의회, 자치구, 투자출연기관) : 간접관리(가이드라인 제공, 정책 및 기술지원) ○ 개인정보 보유 현황 (2019.5.14, 개인정보보호종합지원시스템 등록기준) ？？ CCTV 현황 : 80,503대 (2019.3.31., 단위 : 대) 구분 계 서울시 서울 시의회 자치구 투자 출연기관 소계 본청 사업소 CCTV 수량 80,503 8,063 1,866 6,197 66 55,493 16,881 CCTV 관제센터 수 27 2 1 1 0 25 0 ？？ 개인정보보호 조직체계 ○ 조직체계 개인정보 처리자 (서울특별시장) 개인정보 보호책임자 (CPO : 스마트도시정책관) 개인정보 총괄관리자 (정보통신보안담당관) 개인정보 관리책임자 (개인정보처리시스템 운영부서장) 개인영상정보 관리책임자 (CCTV 설치운영부서장) 개인정보 보호담당자 (개인정보보호팀 담당직원) 개인정보취급자 (단위업무별 담당자) 개인영상정보취급자 (CCTV 설치운영 담당자) ○ 역할분담 구 분 수행업무 개인정보보호책임자 (스마트도시정책관) · 개인정보 보호에 관한 업무 총괄, 개인정보 보호계획 수립 및 시행 · 개인정보 처리실태, 정기적인 조사 및 개선, 개인정보파일 보호 및 관리감독 개인정보총괄관리자 (정보통신보안담당관) · 개인정보보호책임자 업무를 보좌하여 해당기관의 개인정보 처리에 관한 실무를 총괄하는 사람 개인정보보호담당자 (개인정보보호팀 담당자) · CPO를 보좌하여 기관내 개인정보 보호 업무 전반에 관한 사항 · 시 전기관 개인정보보호 관련 업무전반 수행, 개인정보 유출 대응센터 운영 개인정보관리책임자 (개인정보 운영부서장) · 개인정보 처리방침의 수립 및 공개, 침해대응 및 기술적 보호조치 · 개인정보 파일 등 전반적인 처리 실태 관리(등록, 변경, 파기 등) · 개인정보 취급자에 대한 관리감독, 개인정보 보호 준수사항 확인 및 감독 개인정보취급자 (개인정보업무담당자) · 해당 기관의 개인정보 처리에 관한 실무를 담당하는 사람 · 개인정보 내부관리계획 및 추진계획 준수, 취급 개인정보 보호 철저 · 개인정보의 기술적, 관리적, 물리적 보호조치 기준 이행 개인영상정보관리책임자 (CCTV운영관리부서장) · 영상정보보호 계획 교육계획 수립 및 시행 · 영상정보 유출 및 오·남용 방지를 위한 내부통제시스템의 구축 · 소관업무의 수행을 위하여 CCTV를 실질적으로 설치？운영하는 부서의 장 개인영상정보취급자 (CCTV업무담당자) · 해당 기관의 CCTV 및 영상정보에 관한 실무를 담당하는 사람 · CCTV 및 영상정보의 기술적, 관리적, 물리적 보호조치 기준 이행 ？？ 서울시 개인정보보호 관련규정 연번 관련규정 관련근거 비고 1 개인정보 보호에 관한 조례 자치법규 자치법규 2 영상정보처리기기 설치 및 운영에 관한 조례 자치법규 3 정보통신 보안업무 처리규칙 자치법규 4 개인정보 처리방침 개인정보보호법 제30조 각 홈페이지별(홈페이지 공개) 5 개인정보 보호지침 표준 개인정보보호지침 기관별(시, 구, 시의회, 투출기관) 6 개인정보 내부관리계획 개인정보보호법 시행령 30조 “ 7 개인정보 유출사고 대응매뉴얼 표준 개인정보보호지침 18조 “ 8 개인정보처리시스템 재해·재난복구지침 개인정보안전성확보조치기준 12조 “ 9 개인정보처리시스템 접근권한 관리지침 개인정보보호관리수준 진단매뉴얼 “ 10 개인정보 목적 외 이용 및 제3자 제공지침 개인정보보호관리수준 진단매뉴얼 “ 11 개인정보처리시스템 암호키 관리지침 개인정보 보호지침 반영 폐지 12 개인정보 보호의 날 운영 지침 개인정보 보호지침 반영 폐지 3 `18년 평가결과 ？？ 총 점 : ？？ 평가항목 : 3개분야 12개지표 24개항목 ？？ 대상기간 : 2017.7.1. ~ 2018.6.30.(1년) ？？ 평가결과 ？？ 평균점수 4 점검 결과 1 CPO의 관리감독 및 제도개선 활동실적(매뉴얼 4-1) ① 내부 관리계획의 이행 실태점검 ○ 점검일시 : 2019.4.11~4.30 ○ 점검방법 : 개인정보보호 관련자료 제출 및 운영부서 방문 점검 ○ 점검결과 ② 개인정보파일 현황점검 ○ 점검기간 : 2019.4.11.~4.30 ○ 대상기관 : 서울시(본청, 및 사업소) ○ 개인정보파일 현황 : 붙임1참조 ③ 개인정보보호 자가진단 수행 ○ 수행일시 : 2019.5.31 ○ 진단방법 : 개인정보보호 종합지원시스템 자가진단 ○ 진단대상 : ○ 진단결과 ○ 자가진단 수행확인증 ④ ’18년 개인정보보호 관리수준 진단 개선조치 ○ 조치기간 : 2019.1.1.~5.31 ○ 대상항목 : ○ 점검결과 : 2 개인정보보호책임자 주도실적(매뉴얼 4-2) ① 서울시 개인정보보호 워크숍 ○ 개최일시 : 2019.3.21.(목)~22(금), 서천연수원 ○ 참 석 자 : 36명(서울시, 자치구 및 투자출연기관의 개인정보보호담당자) ○ 주요내용 : 개인정보보호분야 우수사례 공유, 현안사항 토론, 소통과 화합의 시간 ○ 현장사진 ② 서울시 개인정보보호 심의위원회 ○ 개최일시 : 2019.3.15.(금) ○ 구 성 : 15명(당연직 1, 위촉직 14 ; 위원장-스마트도시정책관) - ‘19.2.1 ○ 주요안건 : 서울시 개인정보보호에 관한 시책 및 제도개선 등 심의·자문 - 서울시 개인정보 보호 추진실적 및 추진계획 보고·자문, 위촉장 수여 - 서울시 스마트사업(AI, 빅데이터 등) 추진시 개인정보보호 이슈 검토 ③ 개인정보보호 퀴즈대회 운영 ○ 개최일시 : 2019.5.21.(화).~5.24(금) - 4일간 ○ 참여인원 : ○ 참여방법 : 시업무공지 → 개인정보보호 OX퀴즈 → 퀴즈참여하기 ○ 인센티브 : 도서상품권 지급(무작위 전산추첨 20명) ○ 출제문제 : 정보통보안담당관 ？ 5문제 < 개인정보보호 OX퀴즈! > 자동차번호는 개인정보이다. (O, X) 주민등록번호는 반드시 암호화하여 보관해야 한다. (O, X) 주민등록번호, 여권번호, 운전면허번호, 외국인등록번호는 개인정보다. (O, X) 4. 민감정보(사상·신념, 건강정보, 정치적 견해 등)는 개인정보에 해당되지 않는다. (O,X) 5. 비밀번호 작성규칙에 따르면 비밀번호에 특수문자가 반드시 포함되어야 한다. (O,X) ④ 개인정보보호 홍보물 제작？배포 ○ 교육대상 : 개인정보보호취급자, 개인(영상)정보보호담당자 및 일반직원 ○ 배 포 일 : 2019.5월 - ‘19.5.21(화) : 개인정보보호 및 휴대용저장매체 교육 - ’19.5.22(수) : 2019년 제2차 전직원 정보보안 인식제고 교육 ○ 홍 보 물 : 마우스패드(보안USB) 1,000개, 물휴지(인터넷보안수칙) 1,000개 ⑤ 서울시 정보보호체계(ISMS) 인증 ○ 인증심사 : 2018.10.30.~2018.11.2 ○ 인증획득 : 2019.2.13.(한국인터넷진흥원 보안인증지원단) ○ 유효기간 : 2016.11.19.~2019.11.18.(3년간) ⑥ 서울시 개인정보보호 활동에 대한 표창 ○ 유공표창 : 2018년 하반기(정보통신, 개인정보보호 및 정보보안분야 유공) ○ 표창일시 : 2019.1.10., 서울특별시장(장관급) ○ 표창대상 : 10명(시민 5명, 공무원 5명) - 개인정보보호 3명 순서 소 속 성 명 주요실적 비고 ⑦ 서울시 개인정보보호 포럼 ○ 개최일시 : 2019.6.26.(수), 코엑스 ○ 대상기관 : 서울시, 시의회, 자치구, 투자출연기관 및 전국 지자체 ○ 참석대상 : 개인(영상)정보보호 취급자 및 담당자, 참석 희망자 ○ 행사내용 : ‘스마트시티와 서울시의 미래’ 관련 특강 및 발표 ※ PIS FAIR 2019(제9회 개인정보보호 페어)와 동시개최 ○ 진행순서 시 간 구 분 내 용 비 고 13:00~13:50 회의 ？개인정보보호포럼 위원 사전회의 간 사 13:50~14:00 Break Time 14:00~14:03 14:03~14:10 축 사 ？정보통신보안담당관 서울특별시 김완집 과장 14:10~14:50 14:50~15:00 Break Time 15:00~16:30 16:30~17:00 질의응답 ？포럼 참석자 간 사 3 개인정보 파기·분리보관 (매뉴얼 6-3) ① 개인정보파일 정비결과 ○ 총괄 (2019.5.31일 기준) ○ 정비결과 ② 개인정보파일 파기 관리대장 4 개인정보보호 매뉴얼 정비 ① 개인정보 보호지침 ○ 목 적 : 개인정보 처리기준, 침해유형 및 예방조치 등 세부사항 규정 ○ 적용범위 : 전자적파일(PC 및 서버)를 운영하는 모든 개인정보취급자 ○ 주요내용 : 총8장 제63조로 구성 - 총칙, 개인정보보호 추진체계, 개인정보파일 등록 및 공개, 개인정보 처리 - 영상정보처리기기 설치·운영, 개인정보 유출대응, 정보주체 권익보호, 보칙 ② 개인정보 내부관리계획(매뉴얼 4-1) ○ 목 적 : 기술적？관리적 및 물리적 안전조치에 관한 상항 규정 ○ 적용범위 : 직원 및 외부업체 직원 포함 ○ 주요내용 : 총8장 제27조로 구성 - 목적, 적용범위, 용어, 내부관리계획의 수립·시행·공표, CPO 지정·의무·책임 - 개인정보의 기술적·관리적 안전조치, 침해대응？피해구제, 개인정보보호교육 ③ 개인정보 처리방침(매뉴얼 5-1) ○ 목 적 : 개인정보보호 규정준수 및 개인정보처리방침 홈페이지 공개 ○ 적용범위 : 서울특별시에서 처리하는 모든 개인정보파일 ○ 주요내용 : 총13조로 구성 - 처리목적, 항목, 보유기간, 3자 제공, 개인정보처리 위탁, 안전성 확보조치 - 정보주체의 권리의무 및 행사방법, 파기절차 및 방법, 권익침해 구제방법 ④ 개인정보 목적 외 이용 및 제3자 제공지침(매뉴얼 6-2) ○ 목 적 : 개인정보 목적외 이용 및 제3자 제공시 업무처리 기준제시 ○ 적용대상 : 서울특별시(본청 및 사업소) ○ 주요내용 : 총10개조로 구성 - 목적, 적용범위, 용어정의, 역할 및 책임, 목적외 이용 및 제3자제공 기준 - 목적외 이용 및 제3자 제공 절차·방법·이용제한·안전성 확보조치, 대장 공개 ⑤ 영상정보처리기기 운영？관리방침(매뉴얼 8-1) ○ 목 적 : 기관별 설치·운영되고 있는 CCTV의 체계적·효율적 관리 ○ 적용범위 : 서울특별시, 서울시의회, 자치구, 투자출연기관 ○ 주요내용 - 개인영상정보 보호방안 이행, 서울시 영상정보처리기기 운영관리 방침 - 서울시 영상정보처리기기 기술기준, 통합관제센터 구축 및 운영규정 등 ⑥ 개인정보 유출사고 대응지침(매뉴얼 10-1) ○ 목 적 : 개인정보 유출에 따른 피해 확산 및 추가 유출 방지 ○ 적용범위 : 서울특별시 소속 임직원 및 개인정보처리시스템 ○ 주요내용 - 목적, 적용범위, 용어정의, 유출사고시 대응절차, 유출 보고 및 통지 - 개인정보 침해사고 대응센터의 구성 및 운영, 개인정보 유출 신고 ⑦ 개인정보처리시스템 재해·재난 복구지침(10-2) ○ 목 적 : 재해재난 발생시 개인정보처리시스템 보호를 위한 대응절차 ○ 적용범위 : 서울특별시 운영 개인정보처리시스템 ○ 주요내용 : 총12개조로 구성 - 목적, 적용범위, 용어정의, 역할 및 책임, 위기대응 절차, 위기대응 구성 - 위기등급 분류·훈련, 위기등급별 대응계획, 복구목표 설정, 백업관리 등 ⑧ 개인정보처리시스템 접근권한 관리지침(11-1) ○ 목 적 : 개인정보처리시스템 접근권한과 접속기록에 대한 관리기준 ○ 적용범위 : 서울특별시 운영 개인정보처리시스템 ○ 주요내용 : 총15조로 구성 - 목적, 적용범위, 용어정의, 역할 및 책임, 접근권한 신청 - 접근권한 부여, 접근권한 내역 기록, 접속기록 보관 및 점검 5 개인정보 현황점검 ① 개인정보 영향평가 미수행 현황 ② 개인정보 처리업무 위？수탁현황 1. 개인정보 처리업무의 위탁 개요(행정안전부) ？ 개인정보의 수집？관리업무 그 자체를 위탁하는 개인정보 처리업무 위탁 ？ 개인정보의 이용？제공이 수반되는 업무를 위탁하는 개인정보 취급업무 위탁 - 홍보/판 유 등의 마케팅, 배달/애프터서비스 등 계약이행 업무의 위탁 2. 개인정보의 위탁(개인정보보호 관리수준 진단매뉴얼 52쪽 ⑧) : 개인정보의 수집, 보관, 처리, 이용, 제공, 관리, 파기에 관한 업무를 위탁하는 것을 말함. 예를 들면, 홈페이지시스템의 유지보수 업무를 위탁할 경우 유지보수업체가 홈페이지 회원정보에 접속하여 개인정보의 조회, 출력, 파기 등이 가능할 경우 3. 서울특별시 : 개인정보 처리업무를 개인정보취급자(담당공무원)가 직접처리하고 있으며, 개인정보처리시스템 유지보수 용역업체 직원은 개인정보처리스템에 대한 접근권한이 없음. ③ 개인정보 제3자 제공현황 6 향후계획 ？？ 개인정보처리시스템 안전성 확보조치 예산반영(`20년) ○ 개인정보 영향평가, 보안취약점 점검, 개인정보보호시스템 도입 등 ○ 개인정보보호 관리체계 인증 및 개인정보보호 관리수준 진단평가시스템 도입 ？？ 2019년 개인정보보호 관리수준 진단평가 철저 : ‘19년.7 ~ 12 ？？ 개인정보처리시스템 접근권한？접속기록 보관 및 점검 강화 ？？ 서울시 개인정보보호의 날 운영 강화 ○ 시 행 일 : 매월 첫째주 수요일, 서울특별시(본청 및 사업소) ○ 운영방안 : PC(개인정보 탐지, 암호화 및 삭제) + 서버(WEB/WAS/DB) ？？ 개인정보보호 지침 교육 및 전파(인트라넷 게시 및 교육) ○ 의무대상 : 개인정보 목적외 이용 및 제3자 제공지침, 개인정보 유출사고 대응지침, 개인정보처리시스템 재해·재난 복구지침 ○ 교육실시 : 기시행(개인정보보호교육 실시 - 2019.5.21.) ○ 인트라넷 : 서울시 행정포털내 시업무공지(2019.6.10.) 붙임 1. ‘18년 개인정보보호 관리수준 진단평가 결과 1부 2. 개인정보파일 현황 1부 3. 자가진단 결과 및 확인증 1부 4. 개인정보 보호지침 1부 5. 개인정보 내부관리계획(매뉴얼 4-1) 1부 6. 개인정보 처리방침(매뉴얼 5-1) 1부 7. 개인정보 목적 외 이용 및 제3자 제공지침(매뉴얼 6-2) 1부 8. 영상정보 처리기기 운영·관리 방침(매뉴얼 8-1) 1부 9. 개인정보 유출사고 대응지침(매뉴얼 10-1) 1부 10. 개인정보 처리시스템 재해·재난 복구지침(매뉴얼 10-2) 1부 11. 개인정보 처리시스템 접근권한 관리지침(매뉴얼 11-1) 1부. 끝.

17963271

20210929104818

본청

정보통신보안담당관-12329

D0000036807930