다시 뛰는 공정도시 서울!

문서번호 정보시스템담당관-10060 결재일자 2020.6.25. 공개여부 부분공개(5) 방침번호 시 민 실무사무관 개인정보보호팀장 정보시스템담당관 김세형 代김세형 06/25 한정우 협조 주무관 오지성 - 2020년 개인정보보호 관리수준 진단평가 대비 - 서울시 개인정보보호 추진현황 점검결과 2020. 6. 25.(목) 정보시스템담당관 목 차 1. 평가 개요 1 2. 개인정보 현황 2 3. 점검결과 3 ① 관리수준 진단 개선조치 및 자가진단 실적(매뉴얼 5.1b, 5.1c) 3 ？ 전년도 관리수준 진단 개선조치 계획 및 개선실적 ？ 개인정보 보호 자가진단 및 후속조치 실적 ② 개인정보 보호책임자 주도 실적(매뉴얼 5.2) 4 ？ 개인정보 홍보활동 ？ 기관장의 개인정보보호 관심제고 및 지원 ？ 개인정보보호 기술적 안전조치 강화 ③ 개인정보 처리시스템 위탁현황 보고서(매뉴얼 8.1.a) 7 ？ 개인정보 처리업무 위탁 현황 ④ 개인정보 유출사고 대응절차 전파 및 이행실적(매뉴얼 11.1.b) 8 ？ 개인정보 유출사고 대응 해킹메일 모의훈련 이행실적 ？ 개인정보 유출사고 대응 절차서 전파 실적 ⑤ 재난·재해 대응절차서 전파 및 이행실적 결과보고서(매뉴얼 11.2.b) 9 ？ 위기대응 절차서 전파실적 ⑥ 개인정보처리시스템별 접근권한 관리정책 수립(매뉴얼 12.1.a) 10 ？ 개인정보보호시스템별 접근권한 관리정책 수립 4. 향후계획 11 ※ 붙 임 1. 개인정보 보호책임자 주도실적(매뉴얼 5.2) 1부. 2. 개인정보 유출사고 대응 모의훈련 이행 실적(매뉴얼 11.1.b) 1부. 3. 개인정보처리시스템별 접근권한 관리정책 수립(매뉴얼 12.1.a) - 2020년 개인정보보호 관리수준 진단평가 대비 - 서울시 개인정보보호 추진현황 점검결과 서울시 개인정보보호책임자가 ‘20년 개인정보보호 관리수준 평가대비, 정보자산의 취약점 분석 및 위협요소 제거, 개인정보 보호 수준을 향상하기 위한 서울시 개인정보보호 추진현황 점검결과를 보고드림. 1 평가개요 ？？ 관련근거 : 개인정보보호법 제11조(자료제출 요구 등) ？？ 대상기관 : 779개 기관 (전년대비 7개 기관 증가) ○ 중앙부처(46)·산하기관(339), 광역(17)·기초(226) 자치단체, 지방공기업(151) ？？ 진단기간 : 2018.7.1.~2019.6.30. - 1년간 ？？ 진단내용 : 3개 분야 12개 지표 25개 항목 ○ 관리체계 구축 및 운영 분야 : 개인정보보호 교육 등 4개 지표 8개 항목 ○ 보호대책 수립 및 이행 분야 : 영상정보처리기기운영 등 4개 지표 9개 항목 ○ 침해대책 수립 및 이행 분야 : 침해대응 절차수립 등 4개 지표 8개 항목 ？？ 평가일정 ‘20.7 ？ ‘19.8~9 ？ ‘19.10~11 ？ ‘19.12 실적 등록 진단위원회 평가 중간결과통보, 증빙자료 재검증, 현장방문 최종결과 확정 및 개선지원 2 개인정보 현황 ？？ 임직원 현황 : 77,301명 (2019.1.1., 단위 : 명) 구분 계 서울시 서울 시의회 자치구 투자 출연기관 소계 본청 사업소 소방직 인력현황 77,301 17,509 4,562 5,945 7,002 326 34,175 25,291 기 관 수 122 73 35 38 - 1 25 23 ※ 자치구 산하 투자출연기관 별도(인력 등의 부족으로 현황관리 불가) ？？ 개인정보 보유현황 ○ 관리대상 : 서울시(본청·사업소) - 직접관리 ※ 제외기관(서울시의회, 자치구, 투자출연기관) : 간접관리(가이드라인 제공, 정책 및 기술지원) ○ 개인정보 보유 현황 (기준일 : 2020. 5. 31., 행정안전부 개인정보보호 종합지원시스템) ？？ CCTV 현황 : (2020.5.31., 단위 : 대) 구분 계 서울시 서울 시의회 자치구 투자 출연기관 소계 본청 사업소 3 점검결과 1 관리수준 진단 개선조치 및 자가진단 실적(매뉴얼 5.1.b, 5.1.c) ① 전년도 관리수준 진단 개선조치 계획 및 개선실적(매뉴얼 5.1.b) : 해당없음 1. 전년도 수준진단 후속조치 연번 요구된 개선사항 후속조치 이행 비 고 1 ※ 전년도 수준진단 최종결과서 상단의 각 지표별 개선조치사항 해당없음 ※ 해당없음 사유 : 지적사항 없음 2. 후속조치 실적 ② 개인정보 보호 자가진단 및 후속조치 실적(매뉴얼 5.1.c) 1. 자가진단 수행 확인서 - 2. 후속조치 내역 : “해당없음 연번 구 분 진단 분류 실시 일자 후속조치 이행 비고 1 본청 자가진단 2020.6.19 해당없음 ※ 해당없음 사유 : 지적사항 없음 2 개인정보 보호책임자 주도 실적(매뉴얼 5.2) ① 개인정보보호 홍보활동 : 2건 1. 개인정보의 날 운영 ？ 추진목적 : 개인정보 유·노출 및 오남용 방지 등 예방활동 강화 ？ 시 행 일 : 매월 첫째주 수요일 ？ 적용대상 : 서울시(본청 및 사업소) ？ 운영방안 : ‘개인정보 보호의 날’에 PC 내 개인정보 검사 및 암호화 수행 ？ 소요예산 : 비예산 2. 개인정보보호 퀴즈 실시 ？ 일 시 : 2020. 5. 25(월) ~ 6. 5(금) ？ 대 상 : 서울시(본청 및 사업소), 서울시의회 ？ 참여인원 : 1,719명(본청 832, 사업소 829, 시의회 58) ？ 포 상 : 문화상품권 지급(총20만원) ※ 1인당 1만원 문화상품권 지급 ② 기관장의 개인정보보호 관심제고 및 지원 : 3건 1. 서울시 개인정보보호 심의위원회 개최 ？ 일 시 : 2020. 6. 5(금) 10:50 ~ 13:00 ？ 참 석 자 : 13명(스마트도시정책관, 외부위원 12명) ？ 회의안건 - ‘19년 개인정보보호 추진실적 및 ’20년 추진 계획 보고 - 서울시 개인정보보호 기본계획 수립(심의/보고) - 포스트코로나 시대 개인정보 보호 정책(자문) - 데이터3법 개인정보 관련 법령 개정 사항 등(자문) - 서울특별시 개인정보 보호에 관한 조례 개정안(자문) 2. 개인정보 관리 우수직원 포상 및 인센티브 : 표창수여 ？ 건 명 : 2019년 하반기 시민·공무원 시장표창 계획(정보통신보안담당관-24385, ‘19.11.12) ？ 훈 격 : 서울특별시장 표창 ？ 표창인원 : 10명(시민 5, 공무원 5) ？ 시상일시 : 2019. 12. 23(월) 17:00~17:30 ？ 추천분야 : 정보통신 및 정보보안 유공 - 공공 무선인터넷(WiFi) 인프라 구축, IoT 사업, ICT 신기술 관련업무 - 스마트시티, 초고솔정보통신망, CCTV, 정보보안, 개인정보보호 - 다기능사무기기 및 사랑의 PC 보급, 정보통신공사업 및 자가전기통신설비 업무 3. 담당자 전문성 향상을 위한 자격(개인정보) 취득 지원(도서구매) ？ 구매일시 : 2020. 6. 17(수) ？ 구매장소 : 교보문고 광화문점 ？ 구매내역 : 개인정보보호 바이블 CPPG·PIMS 및 개인정보관리사 등 5권 ③ 개인정보보호 기술적 안전조치 강화 : 1건 1. 개인정보 검출 및 암화 솔루션 도입 ？ 건 명 : 정형·비정형데이터 검출 및 암호화시스템 도입 ？ 사업기간 : 2020. 4. ~ 9. ？ 적용대상 : 125개 홈페이지 서버(WEB, WAS) ？ 소요예산 : 1,275백만원 ？ 주요 구매내역 연 번 시스템명 구매내역 수 량 소요예산 (천원) 비 고 계 3종 - 1,275,657 1 정형데이터 검출 서버모듈 4식 374,996 에이전트 95개 2 비정형데이터 검출 서버모듈(WEB) 8식 437,952 서버모듈(WAS) 4식 관리서버 12식 3 정형·비정형데이터 암호화 키관리 SW 2식 462,709 3~4Core 40개 ？ 기성금 부분준공 : 2020. 6. 26 3 개인정보 처리업무 위탁현황 보고서(매뉴얼 8.1.a) ？？ 개인정보 처리업무 위탁 현황 : 7건 연번 개인정보 처리업무 위탁명 위탁받는 자 수탁기관 계약기간 계약형태 1 서울시 홈페이지 시스템 유지보수 및 운영 ㈜피씨엔 서울시 2020.1.1. ~ 12.31. 조달 2 서울시 홈페이지 실명확인 (나이스 I-PIN 인증, 휴대폰본인인증) 나이스평가정보(주) 서울시 2020.1.1. ~ 12.31. 조달 3 서울시 홈페이지 실명확인(공공 I-PIN 인증) 행정안전부 서울시 2020.1.1. ~ 12.31. 조달 4 서울시 홈페이지 음성 인증 ㈜싱크에이티 서울시 2020.1.1. ~ 12.31. 조달 5 서울시 임신출산 정보센터 유지보수 ㈜아사달 서울시 2020.1.1. ~ 12.31. 조달 6 생활복지통합정보시스템 구축 및 운영 ㈜아사달 서울시 2020.1.1. ~ 12.31. 조달 7 응답소 및 서식민원관리시스템 운영·유지관리 ㈜에스알포스트 서울시 2020.1.1. ~ 12.31. 조달 1. 개인정보 처리업무의 위탁 ？ 개인정보의 수집？관리업무 그 자체를 위탁하는 개인정보 처리업무 위탁 ？ 개인정보의 이용？제공이 수반되는 업무를 위탁하는 개인정보 취급업무 위탁 - 홍보/판매 등의 마케팅, 배달/애프터서비스 등 계약이행 업무의 위탁 2. 개인정보의 위탁 : 개인정보의 수집, 보관, 처리, 이용, 제공, 관리, 파기에 관한 업무를 위탁하는 것. 예) 홈페이지시스템 유지보수 업무를 위탁할 경우 유지보수업체가 홈페이지 회원정보에 접속하여 개인정보의 조회, 출력, 파기 등이 가능한 경우 ※ 서울시는 개인정보 처리업무를 개인정보취급자(담당공무원) 직접처리 4 개인정보 유출사고 대응절차 전파 및 이행실적(매뉴얼 11.1.b) ① 개인정보 유출사고 대응 해킹메일 모의훈련 이행 실적 : 1회 ？ 목 적 : 계정 탈취, 정보유출 등의 피해를 대비하여 사내 직원을 대상으로 악성메일 대응 모의훈련을 실시하여 정보보안 의식 향상 및 사이버위협 대응 역량 강화 ？ 수행대상 : 서울시 임직원 172명 ？ 훈련일시 : 2020. 6. 22 ~ 23 ？ 훈련결과 - 서울시 담당자 172명을 대상으로 해킹메일 모의훈련 수행 결과 점수는 75.4점, 보안 수준은 보통으로 지속적인 모의훈련과 보안 교육 등의 개선이 필요함 - 메일 열람 평가결과 미열람 50%(86명), 열람 50%(86명)으로 5점이 부여됨 - URL 링크이동 평가결과 미이동 83.7%(144명), 이동 16.3%(28명)으로 33.5점이 부여됨 ？ 모의훈련 절차 및 수행결과 수행 시나리오 수행결과 ② 개인정보 유출사고 대응 절차서 전파 실적 : 인트라넷 게시 5 재해·재난 대응절차서 전파 및 이행실적 결과보고서(매뉴얼 11.2.b) 1. 개인정보처리시스템 재해재난 복구 지침 개정 : 2020.6.23 ？ 제정목적 : 재해·재난 발생시 서울시 개인정보처리시스템 보호를 위한 대응절차에 대한 사항 규정 ？ 적용범위 : 서울시(본청 및 사업소)에서 개별 운영 중인 개인정보처리시스템 ？ 주요내용 : 제12조로 구성 - 목적, 적용범위 및 용어 정의, 역할 및 책임, 위기대응 절차, 위기대응 조직 구성 - 위기등급의 분류 및 위기등급별 대응계획, 복구목표 설정, 백업관리, 위기대응훈련, 비상연락망 관리 2. 위기대응 절차서 전파실적 : 인트라넷 홍보실적 6 개인정보처리시스템별 접근권한 관리정책 수립(매뉴얼 12.1.a) ？？ 개인정보처리시스템별 접근권한 관리정책 수립 4 향후계획 ？？ 2020년 개인정보보호 관리수준 진단평가 실적 등록 : ‘20.7. ○ ？？ 개인정보보호 관리수준 진단평가 진단위원회 진단 : ‘20.8.～9. ？？ 개인정보보호 관리수준 진단평가 증빙자료 재검증 : ‘20.10.～11. 붙임 1. 개인정보 보호책임자 주도실적(매뉴얼 5.2) 1부. 2. 개인정보 유출사고 대응 모의훈련 이행 실적(매뉴얼 11.1.b) 1부. 3. 개인정보처리시스템별 접근권한 관리정책 수립(매뉴얼 12.1.a) 1부. 끝.

20645644

20210928185449

본청

정보시스템담당관-10060

D0000040248262