1. 개인정보보호 관리체계 정의
1) 정의
- 기업이 정보주체의 개인정보를 안전하게 보호할 수 있도록 기술적ㆍ관리적ㆍ물리적ㆍ조직적인 다양한 보호대책을 구현하고 지속적으로 관리ㆍ운영하는 종합적인 체계
2) 수립 시 고려사항
- 조직이 보호해야 하는 고객의 개인정보가 무엇이며 왜 중요한가?
- 고객의 개인정보는 어떻게 수집되어 이용ㆍ전달ㆍ저장ㆍ파기되는가?
- 고객의 개인정보는 어떤 수준으로 관리하고 보호해야 하는가?
- 고객의 개인정보를 보호하기 위해 어떤 방법을 도입하여 수행하는가?
3) PDCA
- 개인정보보호 관리체계에서 필요한 관리절차와 과정은 PDCA 주기를 가지고 반복한다.
4) 수립 시 이점
- 법률 측면에서 적절한 대응 가능, 개인정보 관리수준을 목표수준에서 유지 가능, 개인정보유출사고로 인한 자산 피해와 이를 막기 위한 보호대책 간 투자비용 남용 방지, 조직의 보안 인식 향상
2. 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증제도
1) 개요
- 법적 근거 : 정보통신망법 47조, 47조의2, 개인정보보호법 32조의2, 기타 시형령 및 시행규칙 등
- 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(과학기술정보통신부와 개인정보보호위원회 공동고시)
- ISMS : 정보보호 중심으로 인증하는 경우, 심사기관(KISA, KAIT, TTA, FSI, OPA), 소관부처(과학기술정보통신부)
- ISMS-P : 개인정보의 흐름과 정보보호 영역 모두 인증하는 경우, 심사기관(KISA, KAIT, TTA, FSI), 소관부처(과학기술정보통신부, 개인정보보호위원회), 인증기관(KISA, FSI(금보원)), 심사원 등급(심사원 보, 심사원, 선임심사원, 책임심사원)
- ISMS 구축한 기업은 ISMS-P 구축하려는 경우, 생명 주기만 추가하는 것이 아니라 개인정보처리시스템과 이와 관련된 조직 자산 등이 모두 포함되어야 한다.
- 인증심사는 문서심사와 현장심사로 이루어지며, 인증 유효기간은 3년으로 연 1회 이상 사후관리심사를 받아야 한다.
- 인증 의무대상자는 ISMS 의무인 것이고 ISMS-P는 자율이다.
2) 인증대상
- 정보통신망법 47조 2항의 어느 한 가지 이상 기준에 해당할 경우 ISMS 인증 의무대상자(ISMS-P는 선택)가 된다.
제47조(정보보호 관리체계의 인증)
② 「전기통신사업법」 제2조제8호에 따른 전기통신사업자와 전기통신사업자의 전기통신역무를 이용하여 정보를 제공하거나 정보의 제공을 매개하는 자로서 다음 각 호의 어느 하나에 해당하는 자는 제1항에 따른 인증을 받아야 한다.
1. 서울특별시 및 모든 광역시에서 정보통신망서비스를 제공하는 자(ISP)
2. 집적정보통신시설 사업자(IDC)
3. 연간 매출액 또는 세입 등이 1,500억원 이상(상급 병원 또는 재학생 수 1만명 이상의 학교)이거나
정보통신서비스 부문 전년도 매출액이 100억원 이상 또는 3개월간의 일일평균 이용자수 100만명
이상으로서, 대통령령으로 정하는 기준에 해당하는 자
- 임의신청자 : ISMS-P를 구축·운영하여 적합성 여부를 판단하고자 하는 모든 개인정보처리자(공공기관, 민간기업, 법인, 단체 및 개인)와 정보통신서비스제공자는 자율적으로 인증을 신청할 수 있다.
- 인증 의무대상자는 스스로 법에서 정한 인증 의무대상자 기준에 해당하는지 여부를 확인하여 인증을 받아야 하며, 만약 의무대상자임에도 불구하고 인증을 취득하지 않은 사실이 확인되는 경우 과태료 부과 대상이 될 수 있다.
- 준비부터 인증취득까지는 약 6개월 이상이 소요되고, 인증 신청을 위해서는 최소 2개월 이상의 운영 기간이 필요하다.
- ISMS 인증 의무대상자의 경우 ‘의무대상자’로 최초 해당된 연도의 다음 해 8월 31일까지 인증을 취득해야 한다.
3) 인증범위
- 신청기관이 제공하는 정보통신서비스를 기준으로, 해당 서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직 등을 모두 포함한다.
- 해당 서비스와 관련이 없더라도 그 서비스의 핵심정보자산에 직간접적으로 접근한다면 포함된다.
- 인증범위는 조직 규모와 성격에 따라 특정 서비스 범위로 한정 가능(그러나 콜센터 등 상담 조직은 개인정보 다루므로 반드시 포함)
4) 인증절차
- 준비단계 : 인증심사 신청 및 접수 -> 심사 준비상태 점검 -> 인증심사 계약 및 수수료 납부 -> 인증심사 사전준비
- 심사단계 : 인증심사 시작회의 -> 인증심사 -> 결함보고서 작성 및 검토 -> 인증심사 종료회의 -> 보완조치 완료 및 결과제출(보완조치 요청을 받은 날로부터 40일 이내, 추가 보완조치 기간은 60일)
- 인증단계 : 인증위원회 심의 의결 -> 인증결과 통보
- 사후관리 단계 : 최초심사 -(1년)> 사후심사(1차) -(1년)> 사후심사(2차) -(1년)> 갱신심사
5) 인증기준
- 관리체계 수립 및 운영(16개) / 보호대책 요구사항(64개) / 개인정보 처리단계별 요구사항(22개)
(1) 관리체계 수립 및 운영
- 관리체계 기반마련 -> 위험관리 -> 관리체계 운영 -> 관리체계 점검 및 개선
- 위험관리 관련 내용은 https://noredstone.tistory.com/89 에서 보기
(2) 보호대책 요구사항(조직 내부 목적과 운영 상황에 따라 선택적으로 구현)
- 정책,조직,자산 관리 / 인적보안 / 외부자보안 / 물리보안 / 인증 및 권한 관리 / 접근통제 / 암호화적용 / 정보시스템 도입 및 개발 보안 / 시스템 및 서비스 운영관리 / 시스템 및 서비스 보안관리 / 사고 예방 및 대응 / 재해복구
(3) 개인정보 처리단계별 요구사항(법적 준거성 기반)
- 수집시 보호조치 -> 보유 및 이용시 보호조치 -> 제공시 보호조치 -> 파기시 보호조치 -> 정보주체 권리보호
6) 인증 기대 효과
- 기업의 정보보호 및 개인정보보호 관리수준 향상
- 침해사고 및 개인정보 유출사고 발생 시 신속하게 대응, 피해 및 손실 최소화 가능
- 기업 경영진이 직접 정보보호 의사결정에 참여함으로써 책임성과 신뢰성 향상
- 인증 취득 기관은 정보보호 및 개인정보보호에 대한 신뢰성 높여 대외 이미지 향상
- 공공부문 사업 입찰 시 가산점 부여 등 인센티브
- 침해사고로부터 완전히(빈틈없이) 막을 수 있는 것은 아니다.
| 제도 | 구축 시 혜택 |
| ISMS | 공공부문의 정보시스템 기획ㆍ구축ㆍ운영 사업자, SW 개발 사업자 선정시 평가항목(기밀보안)에 만점(최대 5점)이 부여된다. |
| ISMS-P | 개인정보 유출사고 발생 시 과징금의 50%를 경감 받을 수 있다. |
3. 해외 개인정보보호 관리체계
| 구분 | BBBOnline | Privacy Mark |
| 국가 | 미국 | 일본 |
| 주관 기관 | 미국경영개선협회 | 일본정보처리개발협회 |
| 신청 | 온라인 | 오프라인 |
| 심사 | 온라인 심사 | 서류심사, 현장심사 |
| 유효기간 | 1년 | 2년 |
4. 국제표준 인증제도
1) ISO 27001
- ISO와 IEC가 2005년에 제정한 국제표준
- 조직의 경영시스템 중 정보보호 관리체계 시스템을 심사하고 인증하는 제도
- 심사기관 : ISO 27001 인증기관
- 인증심사는 문서심사와 현장심사로 이루어지며, 인증 유효기간은 3년으로 연 1회 이상 사후관리 받아야 한다.
2) BS 10012
- 영국표준협회에서 제정한 국제표준
- 정보자산 중에서 개인정보 보호를 위한 관리체계
- PIMS와 상호 인증의 효력 없고, 수출입시 별도 혜택 또한 없다.
5. 기타 인증제도
| 구분 | ePRIVACY | i-Safe |
| 관련 법률 | 정보통신망법 및 개인정보보호법 | 정보통신망법 및 개인정보보호법 |
| 인증대상 | 인터넷 사이트 운영 | 인터넷 사이트 운영 |
| 인증기관 | 개인정보보호협회 | 개인정보보호협회 |
| 심사기준 | (공공) 82개 항목 - 소비자 보호대책X (민간) 76개 항목 |
(공공) 105개 항목 (민간) 114개 항목 |
* 개인정보 수준진단과 개인정보 파일등록은 모든 공공기관이 의무, 개인정보 영향평가는 조건에 해당될 때만 실시해야 한다.
6. 개인정보보호 수준진단
1) 개요
- 공공기관의 개인정보 관리체계 및 유출 예방 활동 등을 진단하여 국민의 개인정보가 안전하게 관리될 수 있는 기반 조성을 유도하기 위한 제도
- 법적근거 : 개인정보보호법 11조 2항
- 적용대상 : 중앙행정기관 및 산하 공공기관, 지방자치단체, 지방공기업
- 개인정보 파일 등록과 개인정보 영향평가는 공공기관만의 의무사항(민간기관과의 차이)
- 매년 실시된다. 주민등록번호 수집 및 관리에 대한 평가항목 신설되었다.
- 제도 구축 시 혜택 : 공공기관 경영평가에 해당 결과가 반영된다.
2) 수준진단 지표(3개 분야, 13개 지표, 24개 항목)
- 관리체계 구축 : 개인정보보호 기반마련 / 위탁업무에 따른 개인정보보호 활동 / 개인정보보호 교육추진 / 개인정보보호 책임자의 역할수행
- 보호대책 수립 및 시행 : 개인정보 이용 및 제공 절차 운영 / 개인정보 파일관리 / 개인정보 영향평가 수행 / 영상정보처리기기 설치 및 운영
- 침해사고 대책 : 개인정보 노출방지 및 자율 개선 / 개인정보 침해사고 대응절차 수립 / 개인정보처리시스템의 안전한 이용 및 관리
7. 개인정보 영향평가(PIA, Privacy Impact Assessment)
1) 개요
- 사전예방의 원칙 하에서, 정보시스템의 도입 또는 중대한 변경이 있을 경우 개인정보 라이프사이클을 분석하고 부정적 영향을 미리 조사ㆍ예측한 후 예방하는 제도
- 법적근거 : 개인정보보호법 33조 및 시행령 35조
- 평가기관 : 공공기관 영향평가를 수행하기 위하여 개인정보보호위원회가 지정한 기관, 심사결과 총점 75점 이상인 경우 지정한다.
- 보호위원회 구성은 개인정보보호법 7조의2를 따른다.
2) 대상(공공기관)
- 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일
- 구축, 운용하고 있는 개인정보파일을 해당 공공기관 내부 또는 외부에서 구축, 운용하고 있는 다른 개인정보파일과 연계하려는 경우로서 연계결과 50만명 이상의 정보주체에 관한 개인정보가 포함되는 개인정보파일
- 100만명 이상의 정보주체에 관한 개인정보 파일
- 개인정보 영향평가 받은 후 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하려는 경우, 그 개인정보파일(이 경우 영향평가 대상은 변경된 부분으로 한정)
- 공공기관 외의 개인정보처리자는 의무대상자가 아니다.
- 특별법에 의하여 설립된 특수법인도 의무대상자이다.
3) 고려사항
- 개인정보 수 / 제3자 제공여부 / 정보주체의 권리 해할 가능성과 위험 정도 / 개인정보 보유기간, 민감정보 또는 고유식별정보 처리여부
- 평가기준 : 자산 가치, 발생 가능성, 법적 준거성을 조합(개인정보처리시스템의 침해사고 분석은 관련 X)
4) 시기
- 신규 시스템 구축할 경우, 정보 시스템 구축 전 단계에서 실시하는 것이 적절하다(시스템 개발 전인 설계단계에서 실시).
5) 절차
- 사전분석 -> 영향평가의 실시 -> 평가결과의 정리
(1) 사전분석
- 영향평가 필요성 검토항목 중 하나 이상 Y로 체크되면 영향평가 대상이 된다.
(2) 영향평가의 실시
- 평가자료 수집 : 내부정책자료, 외부정책자료, 대상시스템 설명자료
- 개인정보 흐름분석
- 개인정보 침해요인 분석
| 평가 영역 | 평가 분야 |
| 대상기관 개인정보보호 관리체계 | 개인정보보호 조직 / 계획 / 침해대응 / 정보주체 권리보장 |
| 대상시스템 개인정보보호 관리체계 | 개인정보취급자 관리 / 개인정보 파일관리 / 개인정보 처리방침 |
| 개인정보 처리단계별 보호조치 | 수집 / 보유 / 이용, 제공 / 위탁 / 파기 |
| 대상시스템 기술적 보호조치 | 접근권한 관리 / 접근통제 / 개인정보 암호화 / 접속기록 보관 및 점검 / 악성프로그램 등 방지 / 물리적 접근방지 / 개인정보 파기 / 기타 기술적 보호조치 / 개인정보처리구역 보호 |
| 특정 IT 기술 활용시 개인정보보호 | CCTV / RFID / 바이오정보 / 위치정보 |
(3) 평가결과의 정리
8. 정보보호 준비도 평가(Secu-Star)
1) 개요
- 기업의 통합적인 정보보호 수준을 향상시키기 위하여 자율적으로 진단 및 평가받을 수 있는 제도
- 대기업 뿐만 아니라 중소기업 및 비 IT분야 등 모든 기업이 받을 수 있는 제도
- 효과 : 기업의 정보보호 수준에 대한 객관적인 평가를 통해 정보보호 역량 강화 및 신뢰도 향상
- 제도 구축시 혜택 : 정보보호산업진흥법 2조에 따라 정부는 정보보호 준비도 평가를 받은 기업 평가 결과에 따라 포상 등 필요한 지원을 할 수 있으나 현재 구체적인 지원책은 검토 중이다.
- 한국정보방송통신대연합이 인증 기관 업무를 담당
- 평가 결과에 따라 보안 등급이 5단계로 구분(AAA, AA, A, BB, B)
2) 평가 기준
- 기반 지표 : 정보보호 리더십, 정보보호 자원관리
- 활동 지표 : 기술적ㆍ관리적ㆍ물리적 보호활동
- 선택 지표 : 개인정보보호
* 정보보호산업진흥법
- 공공기관 등은 정보보호시스템의 품질 보장을 위한 적정 수준의 대가 지급을 위해 노력해야하며, 과학기술정보통신부장관은 부당한 발주행위가 일어나지 않도록 조치해야 한다.
- 정보통신서비스 제공자로 하여금 정보보호 현황을 대통령령으로 정하는 바에 따라 공개할 수 있도록 한다.
- 정부는 공공기관 경영 실적 평가 시 정보보호 실적(기술적ㆍ관리적ㆍ물리적 조치 현황)을 반영하여 평가하도록 한다.
- 과학기술정보통신부장관은 매년 우수 정보보호 제품 및 서비스 등을 지정하여 우선 구매 등을 지원할 수 있고, 우수 정보보호 기업을 지정하여 자금 융자, 수출 및 세제지원 등을 할 수 있도록 한다.
