5장 - 개인정보 관리체계

1. 개인정보 관리체계 개요

 가. 개인정보 관리체계의 개념 

  - 개인정보 관리체계 : 개인정보의 안전한 관리를 위한 보호체계를 수립, 대책 구현, 체계적 지속적 운영 유지관리

  - 요구사항 : 정보주체 - 개인정보처리자에 대한 객관적 판단 수준 필요 / 개인정보처리자 - 법률분쟁 시 노력을 객관적으로 증빙하는 수단

  - 정의 : 공공기관 또는 민간기업이 고객의 개인정보 보호 활동 / 기술적관리적물리적조직적 보안대책 운영 / 위험관리 대책수립

  - 고려사항 : 중요성우선순위 / 수명주기 흐름 / 관리수준결정 / 구체적인대책 / 기밀성, 무결성, 준거성 / 위험관리절차, 문서화

  - 효익 : 법률적 대응 가능 / 목표 수준 제고 유지 / 투자비용 남용 방지 / 인식제고 / 보안사고 발생 피해 감소

나. 국내외 개인정보보호 관리체계의 유형 및 현황

구분	BBBOnline	Privacy Mark	개인정보보호마크(ePrivacy)
국가	미국	일본	한국
주관기관	미국경영개선협회	일본정보처리개발협회	개인정보보호협회
신청	온라인	오프라인	온라인
심사방법	온라인심사(보호방침)	서류심사중심으로 현지조사	온라인 , 서류심사, 현장심사
유효기간	1년	2년	1년
심사내용	• 범위 및 이행 • 정보수집 • 접속 및 수정 • 행위정보 • 정보의 통합 • 예측정보 • 정보 접근 제한 • 민감정보 • 사업영역 • 정보공유 • 어린이 보호	• 개인정보보호방침의 제정여부 • 개인정보의 특정 • 내부규정의 정비여부 - 부문별 개인정보보호체제, 권한, 책임에 관한 규정 - 개인정보 수집, 이용, 제공 및 관리에 관한 규정 - 정보주체로부터 개인정보에 관한 개시ㆍ정정ㆍ삭제에 관한 규정 - 개인정보교육에 관한 규정 - 개인정보보호 감사에 관한 규정 - 내부규정의 위반에 관한 처벌 규정 • 내부규정의 준수에 필요한 계획(교육 / 감사)	• 수집 • 이용 • 관리 • 정보주체의 권리 • 공개 및 책임 • 만 14세미만 아동에 관한 특별조치

 

다. 해외 인증제도

ISO 27001	정보보호에 대한 국제표준 및 인증 ＊정보시스템에 한정되지 않음 - ISO & IEC - 문서심사 & 현장심사 - 유효기간 3년, 인증 취득 후 연 1회이상 사후관리
ISO 27701	개인정보관리체계에 대한 국제표준 및 인증 - ISO & IEC - 문서심사 & 현장심사 - 유효기간 3년, 인증 취득 후 연 1회이상 사후관리
BS 10012	글로벌 개인정보경영시스템 표준 - OECD 가이드라인와 유럽 및 영국 법규 기초 - PDCA기반
APEC CBPR	APEC CBPR(6개분야 50가지 항목) - 9원칙 : 고수목선무보열책피   ①고지 ②수집제한 ③목적 내 이용 ④선택권 ⑤무결성 ⑥보호대책 ⑦열람·정정 ⑧책임성 ⑨피해 구제 - 참여국가(9개) : 미국, 멕시코, 일본, 캐나다, 싱가포르, 호주, 대만, 필리핀 - 인증심사 : 3~5개월 소요, 유효기간 1년   가. 인증심사 준비  : 1개월 이상 운영, 자가평가지 확인, 인증범위내 업무 확인   나. 인증심사 : 1)인증심사 사전준비                          2)인증심사 시작회의                          3)인증심사                          4)결함보고서 확인                          5)인증심사 종료회의                          6)보완조치 내역서 제출 : 40일이내(최대 100일) 보완조치, 최대 100일   다. 인증서 발급 : 1)인증위원회 심의의결                               2)인증서 수령   라. 인증 유지관리 : 인증서 갱신 신청
ISO 27017	클라우드 서비스 정보보호 국제 표준 및 인증
ISO 27018	클라우드 서비스 정보보호 및 개인정보보호 국제 표준 및 인증

 

2. 주요 개인정보 관리체계

가. 개인정보 영향평가

- 주요활동

  ① 법 제도 요구사항을 준수 프로세스 구축

  ② 개인정보 수집ㆍ이용ㆍ저장ㆍ제공ㆍ파기의 라이프사이클 분석

  ③ 위험평가를 통하여 부정적 영향도 평가

  ④ 효과적인 대응책 수립

- 고려사항

  ① 처리하는 개인정보 수

  ② 개인정보 제3자제공 여부

  ③ 정보주체의 권리를 해할 가능성 및 위험 정도

  ④ 민감정보·고유식별정보 처리여부

  ⑤ 개인정보 보유기간

- 평가대상 : 공공기관

  ① 5만명 민감고유

  ② 50만 연계

  ③ 100만명

  ④운용체계 변경 시

- 평가기준

  ① 개인정보의 종류·성질, 정보주체수

  ② 안전조치의무(민고주고이)

  ③ 위험요인별 조치여부

  ④ 그밖

- 제출서류

  ① 영향평가 대상 및 범위

  ② 평가분야 및 항목

  ③ 위험요인 분석·평가

  ④ 조치내용 및 개선계획

  ⑤ 영향평가 결과

  ⑥ 1~5 요약한 내용 ※ 2개월 이내 제출, 처리방침에 공개

- 평가기관 : 보호위원회가 지정

  ① 최근 5년 2억원 이상  ② 10명이상 ③ 신원확인·출입통제, 기록 및 자료 안전한관리

- 수행인력 자격

  ①기술사·기사 1년 ② 감리원(ISA) 1년 ③CISA 1년④CISSP 1년⑤ ISMS-P ⑥ CPPG 1년

- 고급인력 자격

  ① 일반수행인력 5년 ②박사 3년 ③기술사 3년

- 영향평가 전문교육

  · 한국인터넷진흥원 / 유효기간 3년 / 2년~3년 때 계속교육 

- 평가절차 : 사전 준비, 영행평가 수행, 이행 

  1) 사전 준비 : 사업계획 수립, 예산 확보, 평가기관 선정 

  2) 수행 : 85개 침해요인 분석 및 영향평가서 작성 ☆설계완료 전 영향평가 수행 

  3) 이행 : 개선계획 반영 점검 / 1년 이내 보호위원회 제출

- 평가항목 : 1년 이내 다른 평가있으면 제외

  ① 대상기관 개인정보보호 관리체계

  ② 대상시스템 개인정보보호 관리체계

  ③ 개인정보처리 단계별 보호 조치

  ④ 대상시스템의 기술적 보호조치(=안전성 확보 조치)

  ⑤ 특정 IT기술 활용시 개인정보보호

나. 개인정보 보호수준 평가

- (2024) 관리수준 진단 -> 보호수준 평가

- 평가수행기준, 평가계획 통보, 평가단 구성·운영 등 평가 세부절차 마련

- 제출한 기준으로 평가, 필요시 현장방문 또는 대면평가

- 자료제출범위, 보호수준 향상 지원 요청, 고시 위임 규정

- 평가대상

  ① 중앙행정기관 및 소속기관

  ② 지방자치단체

  ③ 공공기관

  ④ 지방공사공단

  ⑤ 특별법, 시‧도교육청 및 교육지원청

  ⑥ 보호위원회고시(가. 5만민감고유 / 나. 100만 / 다. 3년간 침해사고 2회or과징금or과태료 / 라. 그밖에)

- 평가기준

  ① 정책·업무 수행실적 및 개선정도

  ② 관리체계 적정성

  ③ 권리보장을 위한 조치사항 이행정도

  ④ 침해방지 및 안전성 확보 조치

  ⑤ 그밖에 

- 평가절차

  1) 평가계획 수립 및 통보 : 대상, 기준, 지표, 계획 마련하여 시행전 기관장에게 통보

  2) 평가단 구성 : ①조교수 3년 ② 개인정보 또는 정보보호·보안 3년 ③ 보호위원회 인정

  3) 평가자료 제출

  4) 평가 수행

  5) 평가결과 통지

- 평가결과 환류

  · 우수기관 및 소속직원 포상 / 개선권고, 조치결과 보호위원회 알림 / 미흡기관 / 업무평가에반영 / 지원요청

유의사항

  ·제출하지 않거나 거짓으로 제출 -> 1천만원이하 과태료

구분	관리수준진단(~2023)	보호수준평가
법적근거	개인정보 보호법 제11조(자료제출 요구 등)	개인정보 보호법 제11조의2(개인정보 보호수준 평가)
대상	· 중앙행정기관 · 광역 및 기초자치단체 · 공공기관 : 공기업,지방공사·공단 등	· 중앙행정기관 및 소속기관 · 광역 및 기초자치단체 · 시‧도교육청 및 교육지원청 · 공공기관 : 공기업,지방공사·공단 등
추진절차	수준진단에 필요한 자료제출 요구 → 자료제출 → 수준진단·검증 → 진단 결과 보도자료 배포 및 연차보고서 수록	· 평가에 필요한 자료제출 요구 → 자료제출 → 수준평가·검증 → 평가결과 연차보고서 및 홈페이지 공개
결과환류	미흡기관 현장컨설팅 및 기획점검 실시	· 평가결과 우수기관 및 우수직원 포상 · 개선권고 및 조치결과 요구 등 · 미흡기관 현장컨설팅 및 실태점검 실시
제재조치	-	· 자료 미제출·부실 제출에 대한 과태료 부과

 

다. 정보보호 및 개인정보보호 관리체계 인증

o 법적근거

- 정보통신망 이용촉진 및 정보보호에 관한 법률 제47조, 시행령 제47조~제54조, 시행규칙 제3조

- 개인정보보호법 제32조의2, 시행령 제34조의 2~8

- ‘정보보호 관리체계 인증 등에 관한 고시’

 

o 인증의무 대상자

정보통신서비스 제공자	인증 의무대상자 여부
정보통신망서비스를 제공하는 자 (ISP) ※ 서비스 제공 지역이 ‘서울특별시 및 모든 광역시’인 사업자	매출액 및 방문자 수에 관계없이 인증 의무대상자에 해당
집적정보통신시설 사업자 (IDC)
연간 매출액 또는 이용자 수 등이 대통령령으로 정하는 기준에 해당하는 자	- 정보통신서비스 부문 전년도(법인인 경우에는 전 사업연도를말한다) 매출액이 100억원 이상인 자 또는 - 전년도 말 기준 직전 3개월간의 일일평균 이용자 수가 100만명 이상인 자 또는 - 연간 매출액 또는 세입이 1,500억원 이상인 자 중에서 다음에 해당되는 경우 • 「의료법」 제3조의4에 따른 상급종합병원 • 직전연도 12월 31일 기준으로 재학생 수가 1만명 이상인 「고등교육법」 제2조에 따른 학교

 

o 인증 범위
  - 인증 범위는 신청기관이 제공하는 정보통신서비스를 기준으로, 해당 서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직 등을 모두 포함한다.
    ※ 해당 서비스와 관련이 없더라도, 그 서비스의 핵심정보자산에 직·간접적으로 접근한다면 포함
  - 인증을 신청하기 전에 인증기준에 따른 정보보호 관리체계를 구축하여 최소 2개월 이상 운영하여야 하며, 인증 신청 시 운영기간에 대한 증적자료를 포함하는 인증신청서류를 인증기관에 제출하여야 한다.

o 인증심사는 문서심사와 현장심사로 이루어지며, 인증 유효기간은 3년으로 인증 취득 후 연1회 이상 사후 관리 심사를 받아야 한다. 

o 인증 추진 체계
 과학기술정보통신부장관, 개인정보보호위원회는 정보보호 및 개인정보보호 관리체계 인증 운영에 관한 정책 사항을 협의하기 위하여 정보보호 및 개인정보보호 관리체계 인증 협의회를 운영하며, 다음 각 호의 사항을 협의한다.
  • 인증제도 연구 및 개선에 관한 사항
  • 인증제도 운영을 위한 제반사항 검토 및 품질관리에 관한 사항
  • 인증기관 및 심사기관의 지정·재지정 및 업무정지·지정 취소에 관한 사항
  • 인증기관 및 심사기관의 관리·감독에 관한 사항
  • 인증제도 운영에 따른 민원 처리 및 법적 분쟁에 관한 사항
  • 그 밖에 협의가 필요한 사항

 "인증기관"이란 인증에 관한 업무를 수행할 수 있도록 정보통신망법 제47조제6항, 「개인정보 보호법 시행령」제34조의6제1항제2호 및 제2항에 따라 과학기술정보통신부장관과 개인정보 보호위원회(이하 "보호위원회"라 한다)가 지정하는 기관을 말한다. 

 "심사기관"이란 인증심사 업무를 수행할 수 있도록 정보통신망법 제47조제7항, 「개인정보 보호법 시행령」제34조의6제1항제2호 및 제2항에 따라 과학기술정보통신부장관과 보호위원회가 지정하는 기관을 말한다. 

 

o 인증기준

정보보호 및 개인정보보호 관리체계 인증기준은 크게 ʻ1. 관리체계 수립 및 운영ʼ, ʻ2. 보호대책 요구사항ʼ, ʻ3. 개인정보처리 단계별 요구사항ʼ 3개의 영역에서 총 102개의 인증기준으로 구성되어 있다.

 

정보보호 관리체계(ISMS) 인증을 받고자 하는 신청기관은 ʻ1. 관리체계 수립 및 운영ʼ, ʻ2. 보호대책 요구사항ʼ 2개 영역에서 80개의 인증기준을 적용받게 되며

 

정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받고자 하는 신청기관은 ʻ3. 개인정보 처리 단계별 요구사항ʼ 을 포함하여 101개의 인증기준을 적용받게 된다.

 

o 인증심사원

"인증심사원"이란 한국인터넷진흥원으로부터 인증심사를 수행할 수 있는 자격을 부여받고 인증심사를 수행하는 자로,

- 4년제 대학졸업 이상 또는 이와 동등학력을 취득한 자로서 정보보호 및 개인정보보호 경력을 각 1년 이상 필수로 보유하고 정보보호, 개인정보보호 또는 정보기술 경력을 합하여 6년 이상을 보유하여야 한다.

CPPG 자격증 보유자의 경우, 개인정보보호 경력 1년에 대한 대체가 가능하다.

 

 

라. 클라우드 보안 인증 제도(CSAP) : 「클라우드컴퓨팅 발전 및 이용자 보호에 관한 법률」제23조의2

 - 과학기술정보통신부장관은 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」제52조에 따른 인증기관으로 하여금 보안인증에 관한 각 호의 업무를 수행하게 할 수 있다.

1. 인증평가

2. 인증평가 결과의 심의

3. 보안인증서의 발급

4. 보안인증의 사후관리

5. 보안인증평가원의 양성 및 자격관리

6. 그 밖에

- 평가종류

① 최초평가 : 처음, 중요한 변경

② 사후평가 : 5년동안 매년 시행

③ 갱신평가 : 5년 만료되기 전 연장

마. 정보보호 사전점검 :「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 45조의2

대상 : ①정보시스템 구축에 5억 이상 ②과학기술정보통신부장관이 사업비 지원하는 사업

절차 : 1)사전점검 준비 2)설계 검토 3)보호대책 적용 4)보호대책 구현현황 점검 5)사전점검 결과 정리