본문 바로가기
CPPG/개인정보 관리체계

개인정보 관리체계 - ② 주요 개인정보 관리체계 (비공개)

by JM's Dad 2022. 11. 13.
반응형

#01 개인정보 영향평가

 

개인정보 영향평가(Privacy Impact Assessment)란?

 

개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시, 시스템의 구축·운영이 기업의 고객은 물론 국민의 프라이버시에 미칠 영향에 대하여 미리 조사·분석·평가하는 체계적인 절차

 

평가시점

 

영향평가 수행은 개인정보처리 시스템 구축 전단계인 분석 또는 설계 단계에서 실시

 

법적 근거 및 적용 대상

 

 

개인정보 영향평가 시기

 

개인정보처리시스템을 신규로 구축 하거나 기존 시스템을 변경하려는 기관은 사업계획 단계에서 영향평가 의무대상 여부를 파악하여 예산을 확보한 후, 대상 시스템의 설계 완료 전에 영향평가를 수행해야 함. 또한 영향평가 결과는 시스템 설계 개발 시 반영해야 함

 

(개인정보보호위원회) 개인정보 영향평가에 관한 고시

제9조의2(영향평가 수행)

① 개인정보파일을 구축·운용 또는 변경하고자 하는 공공기관의 장은 별표 4의 필요한 사항이 반영될 수 있도록 설계완료 전에 영향평가를 수행하여야 한다.

② 공공기관의 장이 개인정보파일을 구축·운용 또는 변경하고자 할 때에는 제1항의 영향평가 결과를 반영한 조치를 이행하고 그 결과를 보호위원회에 제출하여야 한다.

 

영향평가 절차

 

영향평가는 사전준비단계, 수행 단계, 이행 단계 등 3단계로 구성된다.
[두음] 준수이

 

[ 영향평가 사전 준비 단계 ]

 1. 사업계획의 작성

 2. 영향평가 기관 선정

  - 개인정보보호위원회가 지정한 영향평가기관을 대상으로 평가기관 선정

 

[ 영향평가 수행 단계 ]

 1. 영향평가 수행 계획 수립

   - 영향평가기관의 평가수행 인력은 반드시 상주, 품질관리 담당자는 비상주 가능

 2. 평가자료 수집

 3. 개인정보 흐름 분석

 4. 개인정보 침해요인 분석

 5. 개선 계획 수립

 6. 영향평가서 작성

 

[ 영향평가 이행 단계 ]

 1. 이행 점검

 

2022.11.13 - [CPPG/개인정보 관리체계] - 개인정보 영향평가 (PIA) 개념, 의무 대상, 처리 절차 및 평가 절차

 

개인정보 영향평가 (PIA) 개념, 의무 대상, 처리 절차 및 평가 절차

개인정보 영향평가 (PIA : Privacy Impact Assessment)의 개념 개인정보를 활용하는 새로운 정보시스템의 도입 및 기존 정보시스템의 중요한 변경 시, 시스템의 구축·운영이 기업의 고객은 물론 국민의

taikun30.tistory.com

 

개인정보 영향평가 | 개인정보보호위원회 > > 정책 · 법령>공공정책 (pipc.go.kr)

 

개인정보보호위원회

해당 페이지의 만족도와 소중한 의견 남겨주세요.

pipc.go.kr

 

[두음] PIA, 개인정보 침해요인 분석 절차 - 항현침위

 

평가항목 구성, 개인정보 보호조치 현황 파악, 개인정보 침해요인 도출, 개인정보 위험도 산정

 

개인정보의 안전성 확보조치 기준과 관련된 평가항목은 대상기관의 유형에 따라 필수 · 선택 여부가 결정되므로, 대상기관이 어떤 유형에 속하는지 분석 필요

 

#02 개인정보보호 수준진단

 

공공기관의 개인정보 관리체계 및 유출 예방 활동 등을 진단하여 국민의 개인정보가 안전하게 관리될 수 있는 기반 조성을 유도하기 위한 제도

 

법적 근거 : 개인정보 보호법 제11조(자료제출 요구 등) 제 2항

 

개인정보 보호법

제11조(자료제출 요구 등) 

 

① 보호위원회는 기본계획을 효율적으로 수립하기 위하여 개인정보처리자, 관계 중앙행정기관의 장, 지방자치단체의 장 및 관계 기관ㆍ단체 등에 개인정보처리자의 법규 준수 현황과 개인정보 관리 실태 등에 관한 자료의 제출이나 의견의 진술 등을 요구할 수 있다. 

② 보호위원회는 개인정보 보호 정책 추진, 성과평가 등을 위하여 필요한 경우 개인정보처리자, 관계 중앙행정기관의 장, 지방자치단체의 장 및 관계 기관ㆍ단체 등을 대상으로 개인정보관리 수준 및 실태파악 등을 위한 조사를 실시할 수 있다. 

③ 중앙행정기관의 장은 시행계획을 효율적으로 수립ㆍ추진하기 위하여 소관 분야의 개인정보처리자에게 제1항에 따른 자료제출 등을 요구할 수 있다.

④ 제1항부터 제3항까지에 따른 자료제출 등을 요구받은 자는 특별한 사정이 없으면 이에 따라야 한다. 

⑤ 제1항부터 제3항까지에 따른 자료제출 등의 범위와 방법 등 필요한 사항은 대통령령으로 정한다.

 

#03 ISMS-P 인증기준

 

관리체계 수립 및 운영, 보호대책 요구사항, 개인정보 처리단계별 요구사항

 

[두음] ISMS-P 인증 기준 - 관보개

 

- 관리체계 수립 및 운영
- 보호대책 요구사항
- 개인정보 처리단계별 요구사항

 

[두음] ISMS-P 인증 기준, 보안 요구사항 검토 및 시험 - 법취코영

 

사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위하여 법적 요구사항 준수, 최신 보안취약점 점검, 안전한 코딩 구현, 개인정보영향평가 등의 검토 기준과 절차를 수립 · 이행하고, 발견된 문제점에 대한 개선조치를 수행하여야 한다.

 

반응형

'CPPG > 개인정보 관리체계' 카테고리의 다른 글

APEC CBPR 인증  (0) 2022.12.11
ISMS-P 인증심사 일부 생략의 범위 - "정인외물재"  (0) 2022.11.13
개인정보 관리체계 - ① 개인정보 관리체계 개요  (0) 2022.11.13
개인정보 영향평가 (PIA) 개념, 의무 대상, 처리 절차 및 평가 절차  (0) 2022.11.13
ISMS 인증 의무대상자 - "천오상만학 정백"  (0) 2022.11.12

관련글

댓글

티스토리툴바