3.3 인증심사 종류
O 최초심사 : 개인정보 보호 인증 취득을 위해 최초에 실시하는 인증 심사로서 인증의 유효기간은 3년으로 한다.
O 유지관리심사 : 신청기관은 최초 인증심사 후 인증의 유효기간 중 연 1회 이상 유지관리심사를 인증긱관에 신청하고, 인증기관은 인증취득기관의 개인정보 보호가 지속적으로 유지되고 있는지의 여부를 심사한다.
- 인증기관은 유지관리심사에서 인증취득기관의 개인정보 보호가 지속적으로 유지되지 않는다고 판단되는 경우 인증취득기관에 그 사실을 통보하고 30일의 유예기간을 주어 보완조치 할 것을 요청한다.
- 인증기관은 인층취득기관이 특별한 이유 없이 1년 이상 유지관리 심사를 받지 않거나 인증심사 결과에 따른 보완조치를 하지 않은 경우에 인증위원회 심의·의결을 거쳐 인증을 취소할 수 있다.
- 인증기관은 인증취득기관의 경영환경변화 등으로 인증대상의 범위를 변경할 필요가 있다고 판단될 때에는 인증취득기관에게 변경심사를 받을 것을 요구할 수 있으며, 인증취득기관은 특별한 사유가 없는 한 이에 응하여야 한다.
O 변경심사 : 신청기관은 아래의 사항 중 어느 하나에 해당하는 사유가 있는 경우에 그 사유가 발생한 날로부터 90일 이내에 인즈익관에 변경심사를 신청하여야 한다.
- 인증취득기관의 새로운 서비스·시스템의 도입·운영, 설계의 변경 등에 따라 인증 받은 인증대상의 범위가 확대 또는 축소 변경된 경우
- 인증취득기관의 사업장 변경, 합병 등 개인정보 보호 관리체계 변화로 개인정보 보호 인증범위가 변경된 경우
O 갱신심사 : 인증취드긱관은 인증 유효기간의 만료 90일 전까지 인증기관에 인증의 갱신을 신청한다.
- 인증기관은 인취득기관이 인증을 갱신하고자 하는 인증대상이 인증심사기준에 부합하는 경우에는 인증위원회의 심의·의결을 거처 인증의 유효기간을 3년간 연장할 수 있다.
3.4 개인정보 보호 인증 유형
O 개인정보 보호 인증제도는 신청기관의 유형에 따라 3개의 유형으로 구분된 인증기준을 적용한다.
O 유형 1 : 소상공인을 대상으로 개인정보보호법 기반의 법률 준수 의무사항을 심사기준으로 적용
- 개인정보 보호관리체계 영역 전체 미적용
- 개인정보 보호대책구현 영역 중 법률 준수 의무사항 적용
※ 소상공인 기준 : 「소기업 및 소상공인 지원을 위한 특별조치법」 제2조제2호에서 정한 상시 근로자가 10명 미만인 사업자(광업, 제조업, 운수업, 건설업을 제외한 업종은 5명 미만인 사업자 해당)
O 유형 2 : 중소기업을 대상으로 개인정보보호법 기반의 법률 준수 의무사항뿐만 아니라 개인정보 보호 관리체계 수립 및 이행에 대한 사항을 심사기준으로 적용
- 개인정보 보호관리체계 영역 중 IT 거버넌스 측면의 경영진의 책임 부문, 위험분석 및 위험관리 부문, 내부감사 부문 등은 미적용
- 개인정보 보호대책 영역 중 법률 준수 의무사항 외에 개인정보보호 강화를 위해 필요하다고 인정되는 사항을 추가적으로 적용
※ 중소기업 기준 : 「중소기업기본법」 제2조에 따른 상시종업원 수 및 매출액 기준이 다음 업종별 기준에 해당하는 사업자
해당 업종 |
규모 기준 |
제조업 |
상시 근로자 수 300명 미만 또는 자본금 80억원 이하 |
광업 |
상시 근로자 수 300명 미만 또는 자본금 30억원 이하 |
건설업 |
|
운수업 |
|
출판, 영상, 방송통신 및 정보서비스업 |
상시 근로자 수 300명 미만 또는 매출액 300억원 이하 |
사업시설관리 및 사업지원 서비스업 |
|
전문, 과학 및 기술 서비스업 |
|
보건업 및 사회복지 서비스업 |
|
농업, 임업 및 어업 |
상시 근로자 수 200명 미만 또는 매출액 200억원 이하 |
전기, 가스, 증기 및 수도사업 | |
| 도매 및 소매업 | |
| 숙박 및 음식점업 | |
| 금융 및 보험업 | |
| 예술, 스포츠 및 여가관련 서비스업 | |
| 하수·폐기물 처리, 원료재생 및 환경복원업 | 상시 근로자 수 100명 미만 또는 매출액 100억원 이하 |
| 교육 서비스업 | |
| 수리 및 기타 개인 서비스업 | |
| 부동산업 및 임대업 | 상시 근로자 수 50명 미만 또는 매출액 50억원 이하 |
O 유형 3 : 공공기관 및 대기업을 대상으로 개인정보 보호 인증기준 전체항목을 적용
- 경영진 책임, 위험분석 및 위험관리, 내부감사 등을 포함한 개인정보 보호관리체계 전체 적용
- 개인정보보호법에서 요구하는 법률 준수 의무사항 외에 개인정보보호를 위해 타 법률(정보통신망법 등)에서 요구하는 사항을 포함(예: 중요 개인정보취급자 PC의 망분리 등)
※ 대기업 기준 : 유형 2에서 정한 중소기업에 해당하지 않는 사업자
※ 공공기관 : 개인정보보호법 제2조제6호에서 정한 공공기관
개인정보보호 컨설팅 및 정보보호 분석/설계 전문 기업 - 케이핌(www.kpim.co.kr)
'개인정보 관리 컨설팅' 카테고리의 다른 글
| 개인정보 보호 인증(PIPL) 제도 소개2 (0) | 2014.03.10 |
|---|---|
| 개인정보 보호 인증(PIPL)제도 소개1 (0) | 2014.02.24 |
| 개인정보 처리단계별 기술적보호조치 솔루션 (0) | 2013.12.24 |
| 개인정보보호 컨설팅 - 공공기관 개인정보영향평가-영향평가 결과정리 (0) | 2012.06.05 |
| 개인정보보호 컨설팅 - 공공기관 개인정보영향평가-위험도 산정 및 개선방안 도출 (0) | 2012.06.04 |
