내부 관리 계획서 양식

1 조【 목 적 】
개인정보보호 내부관리계획은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 (이하 ‘정보통신망
법’이라 한다.) 제28조 제1항에 따라 개인정보를 안전하게 처리하기 위하여 필요한 기술적·관리적 및
물리적 보호조치에 관한 사항을 정하는 것을 목적으로 한다.

제 2 조【 적용범위 】

 
본 계획은 회사가 개인정보를 처리하거나 회사의 개인정보 처리 업무를 위탁받아 처리하는 수탁자에
대해 적용된다.

제 3 조【 개인정보 보호책임자의 지정 】
회사는 정보통신망법 제27조와 동법 시행령 제13조에 따라 개인정보의 처리에 관한 업무를 총괄하여
책임질 개인정보 보호책임자(CPO)를 회사의 (직책 OOO) (예시. 대표 김철수) (으)로 한다.

제 4 조【 개인정보 보호책임자의 역할 및 책임 】
1. 개인정보 보호책임자는 다음 각 호의 업무를 수행한다.
1) 개인정보 보호계획의 수립 및 시행
2) 개인정보 처리 실태 및 관행의 정기적인 조사 및 개선
3) 개인정보 처리와 관련한 불만의 처리 및 피해 구제
  4) 개인정보 유출 및 오남용 방지를 위한 내부통제시스템의 구축
5) 개인정보보호 교육 계획의 수립 및 시행
6) 개인정보파일의 보호 및 관리감독
7) 정보통신망법 제27조의2에 따른 개인정보 처리방침의 수립·변경 및 시행
8) 개인정보 보호 관련 자료의 관리
9) 처리목적이 달성되거나 보유기간이 지난 개인정보의 파기

2. 개인정보 보호책임자는 제1항의 업무를 수행함에 있어서 필요한 경우 개인정보의 처리 현황, 처리
체계 등에 대하여 수시로 조사하거나 관계 당사자로부터 보고를 받을 수 있다.

3. 개인정보 보호책임자는 개인정보보호와 관련하여 이 법 및 다른 관계 법령의 위반 사실을 알게 된
경우에는 즉시 개선조치를 하여야 하며, 필요하면 회사의 대표에게 개선조치를 보고하여야 한다.

제 5 조【 개인정보취급자의 범위 및 역할과 책임 】
1. 개인정보취급자는 회사의 지휘·감독을 받아 개인정보를 처리하는 업무를 담당하는 자로서 임직원,
계약직원, 아르바이트 직원 등의 시간제 근로자뿐만 아니라 외부기관에서 또는 외부기관으로 파견
된 근로자 등 모두를 포함한다.

2. 개인정보취급자는 개인정보를 처리함에 있어서 개인정보가 안전하게 관리될 수 있도록 동 계획은
물론, 개인정보보호와 관련한 법령 및 규정 등을 준수하여야 한다.

3. 개인정보취급자는 규정에서 정하는 각자의 책임과 의무를 명시한 보안(비밀유지)서약서를 작성하고
이를 회사에 제출하여야 한다.

제 6 조【 개인정보보호 교육 】
1. 회사는 개인정보 보호책임자 및 개인정보취급자를 대상으로 다음 각 호의 사항을 정하여 연 1회
이상 개인정보보호와 관련된 교육을 실시한다.
1) 교육 목적 및 대상
2) 교육 내용
3) 교육 일정 및 방법

2. 개인정보 보호책임자는 제1항에 따라 개인정보보호 교육을 실시한 결과 또는 이를 입증할 수 있는
관련 자료 등을 기록·보관하여야 한다.

제 7 조【 기술적·관리적 보호조치 】
1. 개인정보에 대하여 분실, 도난, 누출 또는 훼손되지 않도록 안전성 확보를 위하여 아래와 같은 기
술적 대책을 강구해야 한다.
1) 개인정보처리시스템에 대한 접근권한을 업무수행에 필요한 최소한의 범위로 업무 담당자에 따라
차등 부여하여야 한다. (예: 셀러툴, 물류센터 WMS 등)
2) 회사는 전보 또는 퇴직 등 인사이동이 발생하여 개인정보취급자가 변경되었을 경우 지체없이 개
인정보처리시스템의 접근권한을 변경 또는 말소하여야 한다.
3) 방화벽 등 접근통제시스템 설치‧운영 (업무용 컴퓨터만을 이용해 개인정보 처리 시 OS 보안프로
그램의 접근통제기능 이용)
4) 개인정보가 안전하게 저장‧전송될 수 있도록 암호화 등 조치 (암호화 대상 : 고객 주문정보 엑셀
파일)
5) 자체 개인정보처리시스템 사용 시 접속기록의 보관 및 위변조 방지를 위한 조치 (최소 6개월 이
상 보관)
6) 보안프로그램의 설치 및 주기적인 갱신‧점검 조치 (백신소프트웨어 등 보안프로그램 설치, 자동
또는 일1회 이상 업데이트)
7) 회사는 취급중인 개인정보가 인터넷 홈페이지, P2P, 공유설정 등을 통하여 열람권한이 없는 자에
게 공개되거나 외부에 유출되지 않도록 개인정보처리시스템, 업무용 컴퓨터, 모바일 기기에 조치
를 취하여야 한다.

2. 개인정보보호를 위한 다음 각 호의 생활수칙을 의무화 한다.
1) 자동업데이트가 가능한 백신 소프트웨어 설치 및 실시간 감시기능 사용
2) 출처 및 첨부파일이 의심스러운 E-mail은 열람하지 말고 삭제
3) 운영체계(윈도우 등)에서 제공하는 자동업데이트 및 방화벽 기능의 사용
4) 패스워드는 영문, 숫자, 특수기호 등을 조합하여 유추가 어렵도록 설정하고 주기적으로 변경
  5) 개인 컴퓨터에 부팅, 로그인, 화면보호기의 패스워드를 설정하고 반드시 사용
6) 공유폴더 사용은 최소화하고 필요할 경우 반드시 비밀번호를 설정하여 사용
7) 웹사이트 방문 시 설치하는 프로그램은 인증서 및 디지털 서명을 참고하여 신뢰성 확인 후 설치
8) 중요 자료는 패스워드를 설정하여 저장
9) 정품소프트웨어 사용
10) 중요 자료는 메일을 통해 주고받지 않고, 불가피한 경우 첨부파일에 비밀번호 설정

3. 회사는 업무용 컴퓨터 또는 모바일 기기에 개인정보가 포함된 파일을 저장하여 관리하는 경우 상
용 암호화 소프트웨어 또는 파일 암호 설정을 이용하여 암호화한 후 저장하여야 한다.

제 8 조【 개인정보 유출 사고 대응 】
1. 개인정보 유출 사실을 알게 된 경우, 개인정보 보호책임자는 즉시 회사의 대표에게 보고하고 개인
정보 유출 신속대응팀을 구성하여 추가 유출 및 이용자 피해발생 방지를 위한 조치를 강구하여야
한다.

2. 개인정보 유출원인을 신속히 파악한 후 유출경로별 추가유출 방지를 위한 다음 각 호의 개선조치
를 실시한다.
1) 해킹 : 시스템 일시정지, 비밀번호 변경 등 긴급조치 후 미비한 부분 원인 파악하여 즉시 보완조
치
2) 내부자 유출 : 개인정보 유출자의 접속이력 확인, 우회경로를 파악하여 접속 차단
3) 이메일 오발송 : 이메일 회수가 가능한 경우 즉시 회수, 불가능한 경우 수신자에게 즉시 삭제 요
청
4) 개인정보 노출 : 노출된 사이트의 개인정보 삭제, 검색엔진에 개인정보 삭제 요청, 검색엔진 접근
차단

3. 개인정보 유출 사실을 알게 된 경우 방통위·한국인터넷진흥원에 즉시(24시간 이내) 신고하고 이용
자에게 유출 사실을 개별 통지한다.

4. 이용자 피해구제 방법을 안내하고, 유사 사고의 재발방지를 위해 대책을 마련한다.

제 9 조【 물리적 접근제한 】
1. 회사는 전산실, 자료보관실 등 개인정보를 보관하고 있는 물리적 보관 장소를 별도로 두고 있는 경
우에는 이에 대한 출입통제 절차를 수립·운영하여야 한다.

2. 회사는 개인정보가 포함된 서류, 보조저장매체 등을 보관하는 경우 잠금장치가 있는 안전한 장소에
보관하여야 한다.