다시 뛰는 공정도시 서울!

문서번호 정보통신보안담당관-13783 결재일자 2019.6.26. 공개여부 부분공개(5) 방침번호 시 민 실무사무관 개인정보보호팀장 정보통신보안담당관 서재호 도찬구 06/26 김완집 협조 2019년 개인정보보호 관리수준 진단평가 대비 - 서울시 개인정보보호 추진현황 점검결과 추진근거 대내(외) 협력 현황 사 업 비 부서(단체)명 협의내용 협의결과 자체방침 개인정보처리시스템운영부서 개인정보처리시스템 점검 및 조치결과 회신 완료 비예산 정보통신보안담당관 (개인정보보호팀) 목 차 1. 평가 개요 1 2. 개인정보 현황 2 3. 점검결과 3 ① 개인정보 처리업무 위수탁 점검(매뉴얼 7-1, 매뉴얼 7-2) 3 ？ 위수탁 현황, 위수탁 계약서, 관리감독 이행점검, 수탁자 교육의무 이행점검 ② 개인정보 유노출 방지 체계 구축(매뉴얼 9-1) 4 ？ 접근통제 구축운영, 전송구간 보안조치, 개인정보 노출점검, 접속 자동차단 ③ 개인정보처리시스템 접속기록 점검결과(매뉴얼 11-2) 6 ？ 접속기록 점검실적(2018년 하반기, 2019년 상반기) 4. 향후계획 10 ※ 붙임 1. 개인정보 처리업무 위·수탁 계약서(매뉴얼 7-1) 1부. 2. 개인정보 처리업무 수탁사 교육 및 관리감독 결과(매뉴얼 7-2) 1부. 3. 접근통제시스템 구축 현황(매뉴얼 9-1) 1부. 4. 개인정보 유노출 점검결과(매뉴얼 9-1) 1부. 5. 개인정보(고유식별정보) 암호화 점검결과(매뉴얼 9-1) 1부. 6. 개인정보처리시스템 웹취약점 점검결과(매뉴얼 9-1) 1부. 끝. 2019년 개인정보보호 관리수준 진단평가 대비 - 서울시 개인정보보호 추진현황 점검결과 서울시 개인정보보호책임자가 ‘19년 개인정보보호 관리수준 평가대비, 정보자산의 취약점 분석 및 위협요소 제거, 개인정보 보호 수준을 향상하기 위한 서울시 개인정보보호 추진현황 점검결과를 보고드림. 1 평가개요 ？？ 관련근거 : 개인정보보호법 제11조(자료제출 요구 등) ？？ 대상기관 : 779개 기관 (전년대비 7개 기관 증가) ○ 중앙부처(46)·산하기관(339), 광역(17)·기초(226) 자치단체, 지방공기업(151) ？？ 진단기간 : 2018.7.1.~2019.6.30. - 1년간 ？？ 진단내용 : 3개 분야 12개 지표 25개 항목 ○ 관리체계 구축 및 운영 분야 : 개인정보보호 교육 등 4개 지표 8개 항목 ○ 보호대책 수립 및 이행 분야 : 영상정보처리기기운영 등 4개 지표 9개 항목 ○ 침해대책 수립 및 이행 분야 : 침해대응 절차수립 등 4개 지표 8개 항목 ？？ 평가일정 ‘19.7 ？ ‘19.8~9 ？ ‘19.10~11 ？ ‘19.12 실적 등록 진단위원회 평가 중간결과통보, 증빙자료 재검증, 현장방문 최종결과 확정 및 개선지원 2 개인정보 현황 ？？ 임직원 현황 : 77,301명 (2019.1.1., 단위 : 명) 구분 계 서울시 서울 시의회 자치구 투자 출연기관 소계 본청 사업소 소방직 인력현황 77,301 17,509 4,562 5,945 7,002 326 34,175 25,291 기 관 수 122 73 35 38 - 1 25 23 ※ 자치구 산하 투자출연기관 별도(인력 등의 부족으로 현황관리 불가) ？？ 개인정보 보유현황 ○ 관리대상 : 서울시(본청·사업소) - 직접관리 ※ 제외기관(서울시의회, 자치구, 투자출연기관) : 간접관리(가이드라인 제공, 정책 및 기술지원) ○ 개인정보 보유 현황 (2019.5.14., 개인정보보호종합지원시스템 등록기준) 구 분 계 서울시 서울시의회 자치구 투자 출연기관 소계 본청 사업소 ？？ CCTV 현황 : (2019.3.31., 단위 : 대) 구분 계 서울시 서울 시의회 자치구 투자 출연기관 소계 본청 사업소 3 점검결과 1 개인정보 처리업무 위수탁 점검(매뉴얼 7-1, 매뉴얼 7-2) ① 개인정보 처리업무 위？수탁 현황 구분 부서명 개인정보처리시스템 파일이름 정보주체수 비고 1 2 3 1. 개인정보 처리업무의 위탁 개요(행정안전부) ？ 개인정보의 수집？관리업무 그 자체를 위탁하는 개인정보 처리업무 위탁 ？ 개인정보의 이용？제공이 수반되는 업무를 위탁하는 개인정보 취급업무 위탁 - 홍보/판 유 등의 마케팅, 배달/애프터서비스 등 계약이행 업무의 위탁 2. 개인정보의 위탁(개인정보보호 관리수준 진단매뉴얼 52쪽 ⑧) : 개인정보의 수집, 보관, 처리, 이용, 제공, 관리, 파기에 관한 업무를 위탁하는 것을 말함. 예를 들면, 홈페이지시스템의 유지보수 업무를 위탁할 경우 유지보수업체가 홈페이지 회원정보에 접속하여 개인정보의 조회, 출력, 파기 등이 가능할 경우 3. 서울특별시 : 개인정보 처리업무를 개인정보취급자(담당공무원)가 직접처리하고 있으며, 개인정보처리시스템 유지보수 용역업체 직원은 개인정보처리스템에 대한 접근권한이 없음. ② 위수탁 계약서 : 완료 구분 개인정보처리시스템 계약체결일 계약자 비고 1 2 3 4 5 ③ 수탁자 관리감독 이행점검 구분 개인정보처리시스템 점검일 대상기관 점검부서 점검자 비고 1 2 3 4 5 ④ 수탁자 교육의무 이행점검 구분 개인정보처리시스템 교육일 교육대상 교육장소 강사 참석자 1 2 3 4 5 2 개인정보 유노출 방지 체계 구축 (매뉴얼 9-1) 우리시에서 운영중인 홈페이지 및 개인정보처리시스템에 대해 개인정보 유·노출 방지 및 취약점 점검을 통해 불필요한 개인정보가 보관되거나, 저장된 개인정보의 노출 사전예방 ？？ 관련근거 ○ 개인정보 보호법 제29조(안전조치의무) ○ 개인정보보호법 시행령 제30조(개인정보의 안전성 확보 조치) ○ 개인정보의 안전성 확보조치 기준 제6조(접근통제) ○ 개인정보의 안전성 확보조치 기준 7조(개인정보의 암호화) ？？ 추진방향 ○ 개인정보처리시스템 내 불필요한 개인정보의 보유 방지 ○ 개인정보의 보관 및 전송간 암호화 등 보안조치로 안전한 관리 ？？ 점검 개요 ○ 기 간 : 2019.6.4(화) ~ 6.21(금) ○ 대 상 : 개인정보처리시스템 ○ 점 검 자 : 방송통신사무관 서재호 ○ 점검내용 - 개인정보 접근통제시스템 구축 현황 점검 - 개인정보 송·수신시 유·노출 방지조치 점검 - 개인정보 유·노출 방지를 위한 개인정보처리시스템 점검 - 개인정보처리시스템 접속 자동차단 점검 번호 개인정보처리시스템명 접근통제 구축운영 전송구간 보안조치 개인정보 노출점검 접속 자동차단 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 ？？ 점검결과 3 개인정보처리시스템 접속기록 점검결과(매뉴얼 11-2) ① 접속기록 점검실적(2018년 하반기) 우리시에서 운영중인 개인정보처리시스템에 대한 개인정보 접속기록 점검으로 비인가 접근 및 비정상 행위로 인한 개인정보 유？노출 사고 사전예방 ？？ 관련근거 ○ 개인정보보호법 제29조(안전조치 의무) ○ 개인정보의 안전성 확보조치 기준 제8조(접속기록의 보관 및 점검) ○ 서울특별시 개인정보보호에 관한 조례 제3조(개인정보 보호 원칙) 제③항 ？？ 추진방향 ○ 개인정보처리시스템을 업무목적 외로 열람하거나 유출하는 것을 방지 ○ 접속기록의 정기적 점검으로 개인정보보호에 대한 직원들의 인식제고 ？？ 점검개요 ○ 점검방법 : 인터넷 ？ 노출점검, 행정업무 ？ 서버 정형데이터점검 - 접속기록의 불법적인 접근 또는 행동을 확인한 후 비정상행위에 대한 적절한 조치 ○ 점검기간 : 2018.7.1.~12.31 ○ 점검대상 : 개인정보처리시스템 ？？ 점검결과 ○ 해당 개인정보처리시스템 서버에 접근기록 정보를 6개월 이상 보관 ○ 개인정보처리시스템 사용 승인된 개인정보취급자만 시스템 정상 접근 ○ 접속계정, 접속일시, 접속자정보 및 수행업무 등 접속기록 내역 이상없음 ○시스템별 세부 점검현황 번호 개인정보처리시스템명 11-2 접속기록 보관？관리 6개월 이상 보관 계정정보 접속자정보 접속일시 수행업무 ② 접속기록 점검실적(2019년 상반기) 우리시에서 운영중인 개인정보처리시스템에 대한 개인정보 접속기록 점검으로 비인가 접근 및 비정상 행위로 인한 개인정보 유？노출 사고 사전예방 ？？ 관련근거 ○ 개인정보보호법 제29조(안전조치 의무) ○ 개인정보의 안전성 확보조치 기준 제8조(접속기록의 보관 및 점검) ○ 서울특별시 개인정보보호에 관한 조례 제3조(개인정보 보호 원칙) 제③항 ？？ 추진방향 ○ 개인정보처리시스템을 업무목적 외로 열람하거나 유출하는 것을 방지 ○ 접속기록의 정기적 점검으로 개인정보보호에 대한 직원들의 인식제고 ？？ 점검개요 ○ 점검방법 : 인터넷 ？ 노출점검, 행정업무 ？ 서버 정형데이터점검 - 접속기록의 불법적인 접근 또는 행동을 확인한 후 비정상행위에 대한 적절한 조치 ○ 대상기간 : 2019.1.1.~6.21 ○ 점검대상 : 개인정보처리시스템 ？？ 점검결과 ○ 해당 개인정보처리시스템 서버에 접근기록 정보를 6개월 이상 보관 ○ 개인정보처리시스템 사용 승인된 개인정보취급자만 시스템 정상 접근 ○ 접속계정, 접속일시, 접속자정보 및 수행업무 등 접속기록 내역 이상없음 ○시스템별 세부 점검현황 번호 개인정보처리시스템명 11-2 접속기록 보관？관리 6개월 이상 보관 계정정보 접속자정보 접속일시 수행업무 4 향후계획 ？？ 개인정보처리시스템 안전성 확보조치 예산반영(`20년) ○ 개인정보 영향평가, 보안취약점 점검, 개인정보보호시스템 도입 등 ○ 개인정보보호 관리체계 인증 및 개인정보보호 관리수준 진단평가시스템 도입 ？？ 2019년 개인정보보호 관리수준 진단평가 철저 : ‘19년.7 ~ 12 ○ ？？ 개인정보처리시스템 접근권한？접속기록 보관 및 점검 강화 ○ 보관기간 : 접근권한 - 3년, 접속기록 - 1년, 접속기록 점검 - 매월 ？？ 서울시 개인정보보호의 날 운영 강화 ○ 시 행 일 : 매월 첫째주 수요일, 서울특별시(본청 및 사업소) ○ 운영방안 : PC(개인정보 탐지, 암호화 및 삭제) + 서버(WEB/WAS/DB) ○ 개인정보처리시스템 접속기록 정기점검 : 6개월 → 매월 붙임 1. 개인정보 처리업무 위·수탁 계약서(매뉴얼 7-1) 1부. 2. 개인정보 처리업무 수탁사 교육 및 관리감독 결과(매뉴얼 7-2) 1부. 3. 접근통제시스템 구축 현황(매뉴얼 9-1) 1부. 4. 개인정보 유노출 점검결과(매뉴얼 9-1) 1부. 5. 개인정보(고유식별정보) 암호화 점검결과(매뉴얼 9-1) 1부. 6. 개인정보처리시스템 웹취약점 점검결과(매뉴얼 9-1) 1부. 끝.

18113022

20210929095639

본청

정보통신보안담당관-13783

D0000037252009