본문 바로가기

개인정보 관리 컨설팅

개인정보 보호 인증(PIPL) 제도 소개3 3.3 인증심사 종류 O 최초심사 : 개인정보 보호 인증 취득을 위해 최초에 실시하는 인증 심사로서 인증의 유효기간은 3년으로 한다. O 유지관리심사 : 신청기관은 최초 인증심사 후 인증의 유효기간 중 연 1회 이상 유지관리심사를 인증긱관에 신청하고, 인증기관은 인증취득기관의 개인정보 보호가 지속적으로 유지되고 있는지의 여부를 심사한다. - 인증기관은 유지관리심사에서 인증취득기관의 개인정보 보호가 지속적으로 유지되지 않는다고 판단되는 경우 인증취득기관에 그 사실을 통보하고 30일의 유예기간을 주어 보완조치 할 것을 요청한다. - 인증기관은 인층취득기관이 특별한 이유 없이 1년 이상 유지관리 심사를 받지 않거나 인증심사 결과에 따른 보완조치를 하지 않은 경우에 인증위원회 심의·의결을 거쳐 인증을 취소할 수.. 더보기
개인정보 보호 인증(PIPL) 제도 소개2 3.1 인증심사원의 자격 요건 O 책임 심사원 가. 선임심사원 자격요건을 갖춘 자로서 3회 이상(인증심사 일수는 총 15일 이상) 인증심사 기획 및 총괄업무를 수행한 자 ※ 인증심사 총괄업무 경력은 신청일 기준 최근 3년 이내의 경력에 한해 인정 O 선임 심사원 가. 심사원의 자격을 갖춘 자로서 개인정보 보호 인증심사를 4회 이상(인증심사 일수는 총 15일 이상) 수행한 자 ※ 인증심사 경력은 신청일 기준 최근 3년 이내의 경력에 한해 인정 O 심사원 가. 4년제 대학졸업 이상 또는 이와 동등학력을 취득한 자로서 개인정보보호 실무경력 2년 이상 또는 정보보호 유관경력 3년 이상(이 중 개인정보보호 실무경력은 1년 이상)을 보유한 자 ※ "동등학력을 취득한 자"란 고등학교 졸업자는 4년 이상, 2년제 대학.. 더보기
개인정보 보호 인증(PIPL)제도 소개1 개인정보 보호 인증(PIPL) 인증 제도가 도입되었습니다.지난 2월달에 PIPL 인증 심사원 양성 교육에 참여하여 교육을 이수하였습니다. 교육 시 받았는 내용을 중심으로 내용 정리도 할 겸에서 인증제도 내용을 소개할까 합니다. 1. 국내 개인정보보호 관련 제도 현황 O KISA ISMA - 기업의 정보보호 관리절차와 과정을 체계적으로 수립하여 지속적으로 관리 운영하기 위한 종합적인 제도 O KISA PIMS - 기업이 개인정보보호 관리체계를 잘 수립 운영하고 있는지를 객관적인 입장에 있는 인증기관이 평가하여 인증을 부여하는 제도 O 개인정보영향평가(PIA) - 개인정보처리시스템의 구축 변경 시 프라이버시에 미치는 영향을 사전에 파악하고 그 영향을 줄이거나 없앨 수 있는 방안을 모색하는 제도 O G-Pir.. 더보기
개인정보 처리단계별 기술적보호조치 솔루션 더보기
개인정보보호 컨설팅 - 공공기관 개인정보영향평가-영향평가 결과정리 3. 영향평가 결과 정리 가. 개선 계획의 수립 ● 도출된 개선 방안을 기반으로 당해 기관내 보안 조치 현황, 예산, 인력, 정보화 사업 일정 등을 고려하여 개선 계획을 도출합니다. ● 도출된 개선 계획은 위험평가를 참고하여 위험도가 높은 순서의 개선방안을 먼저 실행하도록 개선 계획표를 작성합니다. ● 개선 계획을 수립하는 경우에는 다음의 사항을 고려하여야 합니다. - 위험 요소를 제거하거나 최소화할 수 있는 대처 방안을 마련 합니다. - 위험 요소 해결을 위해 유사 사례에 대한 벤치마킹 등을 수행합니다. - 담당자(개인정보취급자)들이 취약 사항을 시정하기 위해 취해야 할 조치 사항과 책임 사항 등을 마련합니다. 나. 보고서 작성 ● 평가 보고서는 사전 준비단계에서부터 위험관리까지 모든 절차와 내용과 결.. 더보기
개인정보보호 컨설팅 - 공공기관 개인정보영향평가-위험도 산정 및 개선방안 도출 다. 위험도 산정 ● 도출된 침해요인에 대해 전부 개선하여야 하나, 이를 해소하기 위한 기관 내 자원이 충분치 않은 경우에는 개선사항의 우선순위를 정하여 선택적으로 조치하여야 할 수도 있습니다. - 우선순위 선정을 위한 위험도 계량화에는 여러 가지 방법이 있으나, 본 안내서는 개인정보가 포함된 업무를 자산으로 보고, 업무내 개인정보의 조합 수준에 따라 자산가치를 산정하여 자산가치, 발생가능성, 법적 준거성을 조합하여 위험도를 평가하여 합산하는 방법을 제시합니다. - 이는 자산의 가치가 높을수록, 해당 개인정보 침해요인의 발생 가능성이 높을수록, 또한 법률에 규정된 의무사항일수록 해당 침해요인이 통제되지 못하는 경우에 이로 인한 개인정보 침해 위험도가 크다는 개념에서 출발한 위험도 산정 방안입니다. - 아.. 더보기
개인정보보호 컨설팅 - 공공기관 개인정보영향평가-개인정보 침해요인분석 나. 개인정보 침해 요인 분석 (1) 영향평가 영역 구성 ● 개인정보 침해요인을 분석하기 위해 개인정보를 취급하는 조직의 개인정보 관리체계와 평가대상 사업의 개인정보보호 관리체계, 개인정보 생명주기에 따른 개인정보 처리단계별 보호 조치 사항 등을 파악하고 분석하여야 합니다. - 또한, 이를 체계적으로 파악하고 평가 기준을 수립하고자 기관 실정에 맞도록 평가항목을 구성하는 것이 효율적입니다. ● 본 안내서는 개인정보 영향평가 영역을 총 4개 범주로 나누었으며, 각 범주의 분야중 평가대상 사업과 관계없는 부분은 제외 후 평가 가능합니다.(예: 개인정보를 외부기관에 위탁∙제공하지 않는 경우 ‘1.5 위탁 및 제공 시 안전조치’ 분야의 항목 제외) - 따라서, 평가항목은 변경 불가능한 절대적 기준이 있는 것이 .. 더보기
개인정보보호 컨설팅 - 공공기관 개인정보영향평가-개인정보관리현황분석2 - (취급 개인정보) 평가 업무명 단위로 취급되는 개인정보 기재 ※ 주소, 수급자 주소, 자택 주소, 자택 번지 등과 같이 유사한 항목이 상세히 쓰여져 있는 경우 “주소”와 같은 개인정보 항목으로 정리하여 기재합니다. - (개인정보 영향도) 취급개인정보의 중요도에 따라 영향도를 산정 ※ 평가 대상 시스템이나 사업을 통해 처리되는 업무 중 개인정보 취급이 발생하는 업무와 해당 업무를 통해 취급되는 개인정보의 현황과 각 개인정보 항목의 조합수준에 따른 영향도를 산정하여 자산(평가업무)의 가치를 측정하여 ‘개인정보 영향도’를 작성합니다. ※ 개인정보 영향도 등급표에는 기재되지 않았으나 기관 특성에 따라 중요도가 높다고 생각되는 자산은 주요 개인정보 자산으로 취급할 수 있습니다. ● 개인정보 취급 업무표는 엑셀.. 더보기
개인정보보호 컨설팅 - 공공기관 개인정보영향평가-개인정보관리현황분석 2. 개인정보 관리 현황 분석 가. 개인정보 흐름 분석 (1) 개인정보 취급 현황 분석 ● 영향평가 대상사업을 면밀히 분석하고 업무를 정의하여 해당 사업을 통해 처리되는 업무 중 개인정보 취급이 수반되는 업무를 도출하여 평가 범위를 명확히 합니다. - 예를 들어, 공공기관에서 홈페이지 구축사업에 대해 평가를 진행하고자 하는 경우, 홈페이지를 통해 처리되는 모든 업무가 개인정보와 관련이 있는 것은 아닙니다. 기관 홍보 및 정책 자료 게시 등의 업무는 개인정보 취급과는 전혀 무관하며, 웹사이트 회원 가입, 민원 접수∙처리, 정책 제안 게시판 활용 등의 일반 국민과의 접점이 발생하는 업무에 한해 개인정보 취급이 발생합니다. 따라서, 영향평가는 개인정보취급이 발생하는 업무를 대상으로 하므로, 전체 사업 분석을 .. 더보기
개인정보보호 컨설팅 - 공공기관 개인정보영향평가 절차2 라. 평가 자료 수집 ● 본격적인 개인정보 영향평가 수행에 앞서 평가 대상 및 개인정보 정책 환경을 분석하기 위한 관련 자료를 수집 할 필요가 있습니다. - 분석 대상 자료는 기관 내∙외부의 개인정보보호 관련 규정 및 정책 환경 등을 분석하기 위한 개인정보보호 관련 ① 내부정책 자료, ② 외부정책 자료, 사업 자체에 대한 이해를 위한 ③ 사업설명 자료 등으로 구분할 수 있습니다. (1) 내부 정책 자료 분석 ● 개인정보 영향평가 수행에 있어 해당 기관의 개인정보보호 관련 체계 및 규정의 수립 및 이행 여부는 중요한 평가 요소 중의 하나입니다.- 따라서, 본격적인 영향평가 수행 이전에 기관 내 개인정보보호 체계에 관한 사항을 검토합니다. ● 기관 내 정책 자료로는 기관의 전반적인 개인정보보호 체계 및 규정.. 더보기