PP. 개인정보보호 관리체계의 개념

5장..

 

PIA, ISMS-P

 

 

ㅁ ISMS-P(개인정보보호 관리체계)

 - 개인정보보호 관리체계란 '위험의 정도를 평가하고 그 위험을  막기 위한 대책을 수립, 운영하기 위한 것'

 

ㅁ BS10012 

 -P-D-C-A

 

ㅁ 국내외 개인정보보호 관리체계의 유형 및 현황

 : 인터넷 사이트를 이용할 때 이를 확인할 수 있도록 마크를 부여하는 제도

 

1) 개인정보보호 마크제도

구분	BBBOnline	Privacy Mark	ePrivacy
국가	미국	일본	한국
주관기관	미국경영개선협회	일본정보처리개발협회	개인정보보호협회
신청	온라인	오프라인	온라인
심사	온라인	서류심사,현지심사	온라인, 서류, 현장
유효기간	1년	2년	1년
심사내용	민감정보, 어린이보호	내부규정	수집 온라인신청→서류심사→사실심사(현장심사)→인증위원회 개최→마크부여 ---------------------- 사후관리 모니터링(반기별)

 

2) 국내외 개인정보보호 관리체계 인증제도 (3개영역, 102개)

  O 정보보호 및 개인정보보호 관리체계 인증제도 : 신청전 최소 2개월 운영
   - 최초심사, 사후심사, 갱신심사
   - 인증기관 vs. (현장)심사기관
   - 3개분야 102개, 2개분야 80개

정보통신서비스 제공자	의무 대상자
정보통신서비스를 제공하는 자(ISP)  * 서비스 제공 지역이 서울특별시 및 모든 광역시 사업자	매출액 및 방문자수에 관계없이 인증 의무대상자
집적정보통신시설 사업자(IDC)
연간 매출액 또는 이용자 수 등이 대통령령으로 정하는 기준	-정보통신서비스 부문 전년도 매출액이 100억원 이상 - 전년도 말 기준 직전 3개월 간의 일일평균 이용자 100만명 이상 -연간 매출액 또는 세입이 1,500억원 이상인 자 중에서    @의료법에 따른 상급종합병원   @ 고등교육법의 재학생 수 1만명 이상 학교

 

O ISO 270001(정보보안경영시스템 인증)

 - 11개분야 133개 항목
 - 년1회 이상 사후관리를 받아야하며, 3년의 유효기관

 

 O BS10012 (해외 개인정보보호 관리체계)

 O 영향평가(공공기관)

   - (대상) 

     1) 개인정보를 다량 보유, 관리하는 정보시스템의 신규 구축 사업

     2) 신기술 또는 기존 기술의 통합으로 프라이버시 침해 가능성이 있는 기술을 사용하는 사업

     3) 개인정볼르 보유, 관리하는 기존 정보시스템을 변경하는 사업

     4) 개인정보의 수집,이용,보관,파기 등 개인정보의 Life-Cycle 내의 중대한 개인정보 침해 위험이 발생할 가능성이 있는 사업

 - 법33조

    1. 처리하는 개인정보의 수

    2. 개인정보의 제3자 제공 여부

    3. 정보주체의 권리를 해할 가능성 및 그 위험 정도

    4. 그 밖에 대통령령으로 정한 사항

 -(시기) 구춘전, 설계하는 단계
 - (평가기관 절차) 사전분석→개인정보관리 현황분석→영향평가 결과정리

  1. 사전분석

  2. 영향평가 실시

 

* 평가보고서에는 사전준비단계에서부터 위험관리까지 모든 결과를 정리한 것으로, 최종적으로 검토 또는 승인할 수 있는 조직 내 최고의사결정권자(기관장)에게 보고된다.

*