Part 5. 개인정보 관리체계

1. 개념

구분		개인정보보호 관리체계
개념		- 각종 위협으로부터 주요 정보자산을 보호하기 위해 수립ㆍ관리ㆍ운영하는 종합적인 체계 - 기업이 고객의 개인정보 보호활동을 체계적ㆍ지속적으로 수행하기 위해 필요한 일련의 조치 - 기업이 정보주체의 개인정보를 안전하게 보호할 수 있도록 기술적ㆍ관리적ㆍ물리적ㆍ조직적인 다양한 보호대책을 구현하고 지속적으로 관리ㆍ운영하는 종합적인 체계
등장배경		- 고객 개인정보는 비즈니스 이익 창출의 원동력과 유출사고로 인한 리스크 요소 - 침해시도 행위의 목적은 기존의 실력과시에서 금전적 이익 획득으로 변화하고 있음 - OECD의 개인정보보호 8원칙이 최초 국제규범으로 채택되고 대다수의 국가가 개인정보보호법을 보유 - 전사적 차원의 개인정보보호활동에 대한 기존의 기밀정보 보호중심의 보호체계의 한계 - 개인정보 침해사고로 인한 법률 분쟁시, 개인정보보호 노력에 대한 객관적 증빙 필요
기대효과	외부	- 적절한 법률적 대응 - 대내외 신뢰 증진
	내부	- 개인정보 관리수준 제고 및 지속적 유지 - 유출사고로 인한 재산 피해와 사전 보호대책을 위한 지나친 투자비용 남용 방지 - 개인정보보호 관련 기술 및 노하우 축적

 

구분	개인정보보호 관리체계
수립시 고려사항	- (보호대상) 조직이 보호해야 하는 고객의 개인정보와 그 가치의 근거 - (처리과정) 고객의 개인정보의 수집, 이용, 전달, 저장, 파기 과정 - (보호수준) 고객의 개인정보의 적절한 관리와 보호의 수준 - (보호방안) 고객의 개인정보의 보호를 위한 적절한 방법
위험요소	- (기밀성) 허가되지 않은 사람에 대한 개인정보자산의 노출 여부 - (무결성) 허가되지 않은 사람에 의한 개인정보자산의 변경ㆍ훼손 여부 - (준거성) 관련하여 법률적으로 규정된 사항에 대한 준수 여부
관리절차 (PDCA)	- (계획) 명확한 목표 설정 및 전략 수립 - (실행) 수립된 계획을 실행 - (검토) 수립된 계획대비 실행의 결과를 검토 - (반영) 검토결과를 차기 계획에 반영

 

2. 국내외 개인정보보호 관리체계

구분	내용	국가	인증명	주간기관	비고
개인정보 보호 마크제도	개인정보보호 관련 일정 요건을 갖춘 사이트 대상 마크 부여	미국	BBBOnline 마크제도	미국 경영개선협회	개인정보방침 심사
		일본	프라이버시 마크제도	일본정보처리 개발협회 (JIPDEC)	개인정보보호 체계심사
개인정보보호 관리체계 인증 제도	개인정보를 안전하게 보호할 수 있도록 기술적ㆍ관리적ㆍ물리적ㆍ조직적인 다양한 보호대책을 구현하고 지속적으로 관리ㆍ운영하는 종합적인 체계	한국	ISMS-P (정보보호 및 개인정보보호 관리체계 인증)	과기부, 개보위	정보보호 및 개인정보 보호 관리체계 인증 (적용대상) 개인정보의 흐름과 정보보호 영역 인증
		국제표준	ISO 27001	ISO/IEC	경영시스템 중 정보보호관리체계 시스템 심사 및 인증
		영국	BS 10012	BSI Group	개인정보경영시스템(PIMS) 심사 및 인증
공공기관의 개인정보 보호 평가제도	공공기관의 개인정보 관리체계 및 유출 예방 활동 등을 진단하여 국민의 개인정보가 안전하게 관리될 수 있는 기반 조성을 유도하기 위한 제도	한국	PIA (개인정보 영향평가)	개보위	개인정보 영향평가 (적용대상) 개인정보 파일을 구축ㆍ운영 또는 변경하려는 공공기관
			개인정보보호 수준진단	개보위	공공기관 관리수준 진단 (적용대상) 중앙행정기관 및 산하 공공기관, 지방자치단체, 지방공기업

 

3. 주요 개인정보 관리체계

3.1 개인정보 영향평가 

KISA 한국인터넷진흥원

(개인정보보호위원회) 개인정보 영향평가에 관한 고시

 

3.2 공공기관 개인정보보호 수준진단

개인정보보호위원회

 

3.3 개인정보보호관리체계

KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 제도소개

KISA 정보보호 및 개인정보보호관리체계 인증 ISMS-P 자료실