개인정보관리사 CPPG 두음달인 - ⑤ 개인정보 관리체계

---

#01 개인정보 관리체계 개요

[두음] ISMS-P 인증심사 종류 - 초삼후일갱

 

최초심사 : 최총 인증을 취득하면 3년의 유효기간 부여
사후심사 : 매년 1회 이상 시행
갱신심사 : 유효기간 연장을 목적으로 하는 심사

 

[두음] ISMS-P 인증 체계 - 정인위심신

 

정책기관, 인증기관, 인증위원회, 심사기관, 신청기관

 

[두음] ISMS-P 법적 근거 - 피사칠삼이

 

정보통신망법 제 47조, 개인정보 보호법 제 32조의 2

 

[두음] ISMS 인증 의무대상자 - 천오상만학 정백

 

ISP / IDC

연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우
- 「의료법」 제3조의 4에따른 상급종합병원
- 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」, 제2조에 따른 학교

정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인자
- 쇼핑몰, 포털, 게임사 등

전년도 직전 3개월간 정보통신서비스 일일평균 이용자수가 100만명 이상인자
- 쇼핑몰, 포털, 게임사, 예약, Cable-SO 등

 

[두음] 심사 의무대상자 정보통신서비스 - 대채비복공

 

대표 홈페이지, 채용 사이트, 비영리 사이트, 임직원 복지몰, 
기타 대외 서비스 및 업무처리를 위해 인터넷에 공개된 시스템

 

[두음] 심사 의무대상자 정보통신서비스 - 보420원315선

 

심사원보
심사원 - 심사원보 자격 취득자로서 인증심사에 4회 이상 참여하고 심사일수의 합이 20일 이상인 자
선임심사원 - 심사원 자격 취득자로서 정보보호 및 개인정보보호 관리체계 인증심사(ISMS-P)를 3회 이상 참여하고 심사일수의 합이 15일 이상인 자

 

[두음] ISMS-P 인증심사 일부 생략의 범위 - 정인외물재

 

- 정책, 조직, 자산 관리
- 인적 보안
- 외부자 보안
- 물리 보안
- 재해 복구

 

---

#02 주요 개인정보 관리체계

[두음] 개인정보 영향평가 의무수행 대상 - 전백 오십연 오민고

 

일정 규모 이상의 개인정보를 전자적으로 처리하는 개인정보파일을 구축‧운용 시 ~

100만명 이상의 개인정보파일을 구축․운용 또는 변경하는 경우
내·외부 시스템과 연계결과, 50만명 이상의 정보주체에 관한 개인정보파일을 구축·운용 또는 변경하는 경우
의료정보 등 민감정보 또는 주민등록번호 등 고유식별정보 포함 시 5만명 이상의 정보주체에 관한 개인정보파일 구축 운용 또는 변경하는 경우

 

[두음] 개인정보 영향평가 절차 - 준수이

 

사전 준비 단계, 수행 단계, 이행 단계

 

[두음] PIA, 개인정보 침해요인 분석 절차 - 항현침위

 

평가항목 구성, 개인정보 보호조치 현황 파악, 개인정보 침해요인 도출, 개인정보 위험도 산정

 

 

[두음] ISMS-P 인증 기준 - 관보개

 

- 관리체계 수립 및 운영
- 보호대책 요구사항
- 개인정보 처리단계별 요구사항

 

[두음] ISMS-P 인증 기준, 보안 요구사항 검토 및 시험 - 법취코영

 

사전 정의된 보안 요구사항에 따라 정보시스템이 도입 또는 구현되었는지를 검토하기 위하여
법적 요구사항 준수,
최신 보안취약점 점검,
안전한 코딩 구현,
개인정보영향평가 등의
검토 기준과 절차를 수립 · 이행하고, 발견된 문제점에 대한 개선조치를 수행하여야 한다.