1. 정보보호 일반
기밀성, 무결성, 가용성, 부인방지, 인증, 책임추적성
위험감소, 위험회피, 위험전가, 위험수용
2. 개인정보 관리체계 개념
리비히의 최소량의 법칙 : 빈틈 하나로 큰 의미가 없다
기존의 기밀정보 보호중심의 보호체계의 한계 보완
침해사고 객관적 증빙의 필요성
외부적인 기대효과 : 법률적 대응, 대내외 신뢰 증진
내부적인 기대효과 : 사전 재산 피해 예방, 사전보호대책 수립, 지나친 법률 비용 부과 방지, 기술 및 노하우 축적
3. 국내외 개인정보보호 관리체계
미국 BBBOnline
프라이버시 마크 + 신뢰성 마크
미국경영갱선협회, 온라인, 유효기간 1년, 개인정보방침이 심사대상
일본 JIPDEC
프라이버시 마크, 일본정보처리 개발협회, 오프라인, 유효기간 2년
개인정보보호 체계가 심사대상
대한민국 ISMS-P
3개 영역
정책기관 : 과학기술정보통신부, 개인정보보호위원회
인증기관 : KISA, 금융보안원FSI
심사기관 : 정보통신진흥협회 KAIT, 정보통신기술협회 TTA, 개인정보보호협회 OPA
정보보호 및 개인정보보호 관리체계, 문서심사+현장심사
유효기간 3년, 사후관리 연 1회 이상
Kisa : 인증심사원 양성 및 자격 관리
(ISMS)2개 영역 80개 인증 기준
(-P)3개 영역 102개 기준
ISO 27001
정보보호관리체계 시스템, 11개 영역
유효기간 3년, 사후관리 연 1회 이상
11개영역, 133개 통제항목
영국 BS10012
7799가 ISO로 승격
개인정보경영시스템PIMS, PDCA 11개 영역 29개 통제항목
4. 국내 개인정보보호 관리체계 인증
ISMS-P : 개인정보처리시스템 및 취급자, 조직/물리적위치/정보자산, 개인정보의 흐름과 정보보호 영역 모두 인증, 개인정보 보유 조직
둘 중 하나만 인증받으면 됨
ISMS-P로 전환 시 개인정보 흐름에 해당하는 영역을 포함해야함
인증 기준 중 클라우드 보안, 국외이전 사항이 없는 경우 정책이나 지침 생략 가능
개인정보 흐름도 필수
혼합심사 신청 시 수수료, 중복심사 부담 완화 등의 이점이 있다.
개인정보 흐름을 포함하고 있더라도 반드시 -p를 받을 필요는 없다.
ISMS : 정보보호 영역만 인증, 개인정보 미보유 조직
최초심사 : 처음 취득 시 시행, 인증 범위의 중요한 변경이 있어 다시 인증을 신청 시 실시, 3년 유효기간, 인증위원회 개최
사후심사 : 유지되는지를 확인하는 목적, 인증 유효기간 중 매년 1회 이상 시행, 인증위원회 미개최
갱신심사 : 유효기간 연장 목적, 인증위원회 개최
보완조치 기간 확대 : 40일, 재조치 요구기간 60일, 신규기준부터 적용
보완조치 종료 시점 기준 : 심사팀장이 이행점검을 완료하고 완료확인서에 서명하는 일자가 최종 일자가 됨
사후관리 : 1년 주기로 심사
인증 유효기간 : 사후심사, 갱신심사 연장신청 불가, 갱신심사 유효기간 만료 3개월 전에 신청
인증위원회 : 35명 이하의 위원
ISMS 인증 의무대상자 기준
ISP : 정보통신망서비스를 제공하는 자
IDC : 집적정보통신시설 사업자(재판매사업자VIDC : 매출 100억 이상)
연간 매출액 또는 세입이 1500억원 이상(상급종합병원, 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상)
정보통신서비스 부문 전년도 매출액이 100억원 이상인 자
전년도 직전 3개월 간 정보통신서비스 일일평균 이용자 수가 100만명 이상
심사원보 - 인증심사원 양성과정 통과, 20만원
심사원 - 인증심사 4회 이상 참여, 심사일수 20일 이상, 30만원
선임심사원 - ISMS-P 3회 이상 참여, 심사일수 15일 이상, 35만원
책임심사원 - 인터넷진흥원은 매년 책임심사원 지정 가능, 45만원, ISMS-P 2회 포함/인증심사 4회 이상 참여, 심사일수 20일 이상, 최초 또는 갱신심사 1회 이상 참여, 심사원 평가 충족
심사원 평가 기준 : 인증기준 이해력, 심사보고서 작성능력, 피심자와의 의사소통 능력, 결함 판단 능력, 협업 및 심사태도, 인증심사 관련 이의제기
대상시스템의 설계 완료전에 영향평가를 수행해야한다.
이행조치 결과를 사업 완료 후 2개월 이내에 개인정보보호위원회에 제출해야함(개인정보보호 종합지원시스템)
5. ISO 27001
6. 정보보호, 개인정보보호 감사
'CPPG > 개인정보 관리체계' 카테고리의 다른 글
| 주요 개인정보 관리체계 (0) | 2025.03.21 |
|---|