개인정보 보호 인증(PIPL) 제도 소개2

3.1 인증심사원의 자격 요건

O 책임 심사원

 가. 선임심사원 자격요건을 갖춘 자로서 3회 이상(인증심사 일수는 총 15일 이상) 인증심사 기획 및 총괄업무를 수행한 자

  ※ 인증심사 총괄업무 경력은 신청일 기준 최근 3년 이내의 경력에 한해 인정

O 선임 심사원

 가. 심사원의 자격을 갖춘 자로서 개인정보 보호 인증심사를 4회 이상(인증심사 일수는 총 15일 이상) 수행한 자

 ※ 인증심사 경력은 신청일 기준 최근 3년 이내의 경력에 한해 인정

O 심사원

 가. 4년제 대학졸업 이상 또는 이와 동등학력을 취득한 자로서 개인정보보호 실무경력 2년 이상 또는 정보보호 유관경력 3년 이상(이 중 개인정보보호 실무경력은 1년 이상)을 보유한 자

 ※ "동등학력을 취득한 자"란 고등학교 졸업자는 4년 이상, 2년제 대학 졸업자는 2년 이상 정보기술 실무경력을 보유한 자

 ※ 해당 경력은 신청일 기준 최근 5년 이내의 경력에 한해 인정

 ※ 개인정보보호 실무경력 또는 정보보호 유관경력의 대체요건에 해당하는 자격이 있는 경우 해당 기간을 경력 기간으로 인정

 나. 변호사법에 따른 변호사로서 개인정보보호 실무경력 1년 이상 또는 정보보호 유관경력 1년 이상을 보유한 자

 ※ 해당 경력은 신청일 기준 최근 5년 이내의 경력에 한해 인정

 ※ 인증기관과 대한변호사협회가 정한 IT · 개인정보보호관련 교육 · 연수과정을 이수한 경우(신청일 기준 최근 2년 이내)에는 실무경력 또는 유관경력을 대체 인정

 다. "가" 또는 "나"인 자가 인증기관이 정하는 개인정보보호 교육 과정을 이수하고 시험에 합격한 자

 ※ 교육 및 시험합격 유효기간은 신청일 기준 최근 2년 이내

3.2 개인정보 보호 인증 상세 절차

 O 준비단계 : 준비단계는 신청기관이 인증심사를 사전에 준비하는 단계로서 신청기관은 인증심사 준비를 완료하여 인증기관에 인증신청을 하고, 인증기관은 신청기관의 인증준비 상태를 사전에 점검하여 인증심사 준비여부를 확인한 후에 계약을 체결하게 된다.

 (1) 인증준비

  - 신청기관은 기관의 개인정보 처리 현황을 파악하여 인증대상 범위를 설정

  - 신청기관은 인증대상 범위에 대해 개인정보 보호 관리체계를 구축하고, 보호 관리체계에 따라 보호대책을 수립하여 3개월 이상 이행실적을 관리

   ※ 소상공인이나 이행실적 및 증적자료의 준비가 완료된 기관은 3개월 이내에도 신청이 가능

 (2) 인증 신청

  - 신청기관의 유형(공공기관, 대기업, 중소기업, 소상공인)에 맞게 인증심사를 신청

  - "인증신청서"와 인증심사에 관련된 "인증신청 내역서" 제출

  - 인증범위는 기관·기업·사업부문 전체 또는 특정 서비스·업무로 구분하여 신청

 (3) 사전 점검

  - 인증기관은 신청기관이 제출한 인증신청서 및 관련 서류를 검토하고 인증심사 실시 전 심사수행에 문제가 없는지를 점검

  

 (4) 계약체결 및 수수료 산정

  - 인증기관은 신청기관이 제출한 신청서 및 관련 서류를 검토하고 신처익관의 인증심사 준비현황을 파악한 후 인증심사 계약 체결

  - 인증심사 수수료는 직접인건비, 직접경비, 기술료, 제경비를 고려하여 산정

 O 심사 단계 : 인증 심사단계에서는 인증심사팀 구성 및 심사계획 통보, 인증심사 수행, 보완조치 요청 등이 이루어진다.

 (1) 인증심사팀 구성 및 심사계획 통보

  - 인증기관은 인증심사 수행을 위한 인증심사팀을 구성

  - 심사팀장은 인증심사팀 구성, 심사일정, 심사 시 준비사항 등을 포함한 심사계획을 신청기관에 통보

 (2) 착수 회의

  - 신청기관은 인증범위 내의 개인정보 보호 구축현황 및 운영 내역 설명

  - 인증기관은 인증제에 대한 소개와 인증심사의 진행 과정에 대해 간략하게 설명

 

 (3) 인증 심사

  - 심사팀은 서면심사와 현장심사를 실시하여 인증기준에 부적합 사항에 대해 문제점과 개선사항을 "부적합 보고서"로 작성

 (4) 종료회의 및 보완조치 요청

  - 인증심사팀은 인증심사 결과에 대한 부적합 사항 및 개선 권고사항 설명 및 신청기관의 개인정보 보호 관리체계에 대한 운영현황 및 심사이후 일정계획 설명

  - 심사종료 이후 심사팀은 신청기관이 제출한 자료를 모두 반납하고 심사원의 전산장비(노트북 등)에서 인증심사와 관련된 모든 자료 삭제

  - 신청기관은 부적합 사항에 대해 30일 이내 보완조치를 완료하고 "보완조치 내역서" 및 증비자료를 인증기관에 제출

 O 인증단계: 인증단계에서는 인증위원회를 개최하여 인증적합 여부를 심의하고 인증 여부를 의결한다. 인증기관은 인증위원회에서 인증을 부여하기로 의결한 경우 신처익관에 "개인정보 보호 인증"를 발급한다.

  - 인증위원회는 인증적합 여부를 심의하여 인증심사가 미흡하다고 판단될 때에는 기간을 정하여 인증기관에 보완을 요청할 수 있다.

개인정보보호 컨설팅 및 정보보호 분설/설계 전문 기업 - 케이핌(www.kpim.co.kr)