주요 개인정보 관리체계

1. 개인정보 영향평가

 

• 공공기관 + 민감정보 or 5만명 이상 or 연계 = PIA 의무
• 민간기업은 의무 아님, 하지만 자율적 수행 권고됨
• 단순 필드 추가나 UI 개선 수준은 제외 가능

개인정보 수, 제 3자 제공, 정보주체 권리 해할 가능성 및 그 위험 정도
개인정보파일을 등록할 때 영향평가 결과를 함께 첨부해야함
영향평가 시 고려사항 : 민감정보/고유식별정보 처리 여부, 개인정보 보유기간, 개인정보의 수, 제3자 제공여부, 정보주체의 권리를 해할 가능성 및 그 위험 정도
평가대상 : 5만명 이상 민감정보/고유식별정보, 연계 결과 정보주체의 수가 50만명, 100만명 이상의 정보주체 수 포함
2개월, 1년
추후 100만건 넘을 예정 -> 권고
사립학교 의무적
종이 X
공공기관의 내부망에 저장된 인사정보도 영향평가 대상
민간기관은 필수 아님
- 개인정보흐름 분석 절차
처리업무 분석 -> 흐름표 작성 -> 흐름도 작성 -> 구조도 작성(병렬)
- 영향평가서 작성
사전준비단계~위험관리단계까지 모든 내용 정리한 문서
의견충돌 시 의사결정권자 토론 참여
최고 의사결정권자에게 보고
동시 영향평가 시 개인정보처리시스템 단위로 분리하여 작성
목차는 추진개요, 개인정보흐름분석, 영향평가 결과, 위험평가, 총평 순
- 침해요인 분석
평가항목 구성 - 현황 파악 - 침해요인 도출 - 위험도 산정
- 중앙부처가 응용프로그램 발급해도 지자체에 위치하는 경우 지자체가 주체
- 기관 고유의 위험분석 방법론이 있다면 사용하여 위험도 산정 가능
- 품질관리 담당자는 비상주로 업무 수행 가능

2. 개인정보보호 수준진단

3. ISMS-P 인증기준
심사신청 - 예비점검 -심사팀 구성 - 인증심사- 보완조치 결과제출 - 보고서 제출 - 심의 의결 요청 - 의결 결과 통보 - 인증서 발급
- 인증심사원 자격 요건
10년 이내 경력 한정, 6년 이상 보유, 자격증 보유자는 1년 경력 인정, 중복 시 합산x, 정보보호 경력이 있으면 정보 기술 경력 없어도 자격 요건 준수 가능
- 인증 절차
준비단계 : 구축 운영 2개월 이상
신청 : 반드시 신청서,명세서가 포함된 공문으로, 예비점검 수행
계약
심사 : 보완조치 40일간 수행
인증
- DoA
정보보호 조직과 관련 부서의 협의
- 콜센터 관련 시스템은 제외 가능