개인정보영향평가 썸네일형 리스트형 개인정보보호 컨설팅 - 공공기관 개인정보영향평가-영향평가 결과정리 3. 영향평가 결과 정리 가. 개선 계획의 수립 ● 도출된 개선 방안을 기반으로 당해 기관내 보안 조치 현황, 예산, 인력, 정보화 사업 일정 등을 고려하여 개선 계획을 도출합니다. ● 도출된 개선 계획은 위험평가를 참고하여 위험도가 높은 순서의 개선방안을 먼저 실행하도록 개선 계획표를 작성합니다. ● 개선 계획을 수립하는 경우에는 다음의 사항을 고려하여야 합니다. - 위험 요소를 제거하거나 최소화할 수 있는 대처 방안을 마련 합니다. - 위험 요소 해결을 위해 유사 사례에 대한 벤치마킹 등을 수행합니다. - 담당자(개인정보취급자)들이 취약 사항을 시정하기 위해 취해야 할 조치 사항과 책임 사항 등을 마련합니다. 나. 보고서 작성 ● 평가 보고서는 사전 준비단계에서부터 위험관리까지 모든 절차와 내용과 결.. 더보기 개인정보보호 컨설팅 - 공공기관 개인정보영향평가-위험도 산정 및 개선방안 도출 다. 위험도 산정 ● 도출된 침해요인에 대해 전부 개선하여야 하나, 이를 해소하기 위한 기관 내 자원이 충분치 않은 경우에는 개선사항의 우선순위를 정하여 선택적으로 조치하여야 할 수도 있습니다. - 우선순위 선정을 위한 위험도 계량화에는 여러 가지 방법이 있으나, 본 안내서는 개인정보가 포함된 업무를 자산으로 보고, 업무내 개인정보의 조합 수준에 따라 자산가치를 산정하여 자산가치, 발생가능성, 법적 준거성을 조합하여 위험도를 평가하여 합산하는 방법을 제시합니다. - 이는 자산의 가치가 높을수록, 해당 개인정보 침해요인의 발생 가능성이 높을수록, 또한 법률에 규정된 의무사항일수록 해당 침해요인이 통제되지 못하는 경우에 이로 인한 개인정보 침해 위험도가 크다는 개념에서 출발한 위험도 산정 방안입니다. - 아.. 더보기 개인정보보호 컨설팅 - 공공기관 개인정보영향평가-개인정보 침해요인분석 나. 개인정보 침해 요인 분석 (1) 영향평가 영역 구성 ● 개인정보 침해요인을 분석하기 위해 개인정보를 취급하는 조직의 개인정보 관리체계와 평가대상 사업의 개인정보보호 관리체계, 개인정보 생명주기에 따른 개인정보 처리단계별 보호 조치 사항 등을 파악하고 분석하여야 합니다. - 또한, 이를 체계적으로 파악하고 평가 기준을 수립하고자 기관 실정에 맞도록 평가항목을 구성하는 것이 효율적입니다. ● 본 안내서는 개인정보 영향평가 영역을 총 4개 범주로 나누었으며, 각 범주의 분야중 평가대상 사업과 관계없는 부분은 제외 후 평가 가능합니다.(예: 개인정보를 외부기관에 위탁∙제공하지 않는 경우 ‘1.5 위탁 및 제공 시 안전조치’ 분야의 항목 제외) - 따라서, 평가항목은 변경 불가능한 절대적 기준이 있는 것이 .. 더보기 개인정보보호 컨설팅 - 공공기관 개인정보영향평가-개인정보관리현황분석2 - (취급 개인정보) 평가 업무명 단위로 취급되는 개인정보 기재 ※ 주소, 수급자 주소, 자택 주소, 자택 번지 등과 같이 유사한 항목이 상세히 쓰여져 있는 경우 “주소”와 같은 개인정보 항목으로 정리하여 기재합니다. - (개인정보 영향도) 취급개인정보의 중요도에 따라 영향도를 산정 ※ 평가 대상 시스템이나 사업을 통해 처리되는 업무 중 개인정보 취급이 발생하는 업무와 해당 업무를 통해 취급되는 개인정보의 현황과 각 개인정보 항목의 조합수준에 따른 영향도를 산정하여 자산(평가업무)의 가치를 측정하여 ‘개인정보 영향도’를 작성합니다. ※ 개인정보 영향도 등급표에는 기재되지 않았으나 기관 특성에 따라 중요도가 높다고 생각되는 자산은 주요 개인정보 자산으로 취급할 수 있습니다. ● 개인정보 취급 업무표는 엑셀.. 더보기 개인정보보호 컨설팅 - 공공기관 개인정보영향평가-개인정보관리현황분석 2. 개인정보 관리 현황 분석 가. 개인정보 흐름 분석 (1) 개인정보 취급 현황 분석 ● 영향평가 대상사업을 면밀히 분석하고 업무를 정의하여 해당 사업을 통해 처리되는 업무 중 개인정보 취급이 수반되는 업무를 도출하여 평가 범위를 명확히 합니다. - 예를 들어, 공공기관에서 홈페이지 구축사업에 대해 평가를 진행하고자 하는 경우, 홈페이지를 통해 처리되는 모든 업무가 개인정보와 관련이 있는 것은 아닙니다. 기관 홍보 및 정책 자료 게시 등의 업무는 개인정보 취급과는 전혀 무관하며, 웹사이트 회원 가입, 민원 접수∙처리, 정책 제안 게시판 활용 등의 일반 국민과의 접점이 발생하는 업무에 한해 개인정보 취급이 발생합니다. 따라서, 영향평가는 개인정보취급이 발생하는 업무를 대상으로 하므로, 전체 사업 분석을 .. 더보기 개인정보보호 컨설팅 - 공공기관 개인정보영향평가 절차2 라. 평가 자료 수집 ● 본격적인 개인정보 영향평가 수행에 앞서 평가 대상 및 개인정보 정책 환경을 분석하기 위한 관련 자료를 수집 할 필요가 있습니다. - 분석 대상 자료는 기관 내∙외부의 개인정보보호 관련 규정 및 정책 환경 등을 분석하기 위한 개인정보보호 관련 ① 내부정책 자료, ② 외부정책 자료, 사업 자체에 대한 이해를 위한 ③ 사업설명 자료 등으로 구분할 수 있습니다. (1) 내부 정책 자료 분석 ● 개인정보 영향평가 수행에 있어 해당 기관의 개인정보보호 관련 체계 및 규정의 수립 및 이행 여부는 중요한 평가 요소 중의 하나입니다.- 따라서, 본격적인 영향평가 수행 이전에 기관 내 개인정보보호 체계에 관한 사항을 검토합니다. ● 기관 내 정책 자료로는 기관의 전반적인 개인정보보호 체계 및 규정.. 더보기 개인정보보호 컨설팅 - 공공기관 개인정보영향평가 절차 나. 영향평가 수행 주체의 선정 (1) 영향평가팀 구성 방안 협의● 개인정보 영향평가를 수행하기 위해서는 평가하고자 하는 사업 자체에 대한 이해와 개인정보보호 관련 법제 및 정책, 전략 수립, 기술∙시스템 분석 및 정보보안(Security) 등의 광범위하고 다양한 전문 지식과 정보를 필요로 합니다.● 따라서, 평가 대상 사업을 주관하는 담당자 혹은 기관 내 개인정보보호 담당자가 영향평가 수행을 위해 필요한 모든 지식과 소양을 갖춘다는 것은 현실적으로 어려움이 있으므로 기관 내 유관 부서, 사업을 구축하는 업체(개발용역업체), 외부 전문가 등과 협의하여 팀을 구성하여 수행하는 것이 적합합니다.● 일반적으로 개인정보 영향평가는 대상 사업 주관부서가 중심이 되어 수행하되, 개인정보관리책임관, 개인정보보호담당자.. 더보기 개인정보보호 컨설팅 - 공공기관 개인정보영향평가 방법1 개인정보보호법에 따라 공공기관은 운영중인 '개인정보 파일'에 대하여 '개인정보영향평가'를 수행해야 합니다.민간부문에서는 의무사항이 아니나 가급적 프라이버시 침해가 우려되는 사업을 시행할 때 '개인정보영향평가'를 시행할 것을 권장하고 있습니다. 점차 시간이 지나면 민간부문도 의무화가 되지 않을까 합니다. 행정안정부 및 KISA에서 발간한 '공공기관의 개인정보영향평가 수행 안내서'를 기초로 하여 관련 내용을 살펴보도록 하겠습니다. Ⅰ. 개인정보 영향평가 개요1. 개념● 개인정보 영향평가(PIA : Privacy Impact Assessment)란, 개인정보를 활용하는 새로운 정보시스템의 도입이나 개인정보 취급이 수반되는 기존 정보 시스템의 중대한 변경 시 동 시스템의 구축∙운영∙변경 등이 프라이버시에 미치는.. 더보기 이전 1 다음
