당신은 주제를 찾고 있습니까 “개인 정보 흐름도 – [KISA] 개인정보흐름도_01“? 다음 카테고리의 웹사이트 you.tfvp.org 에서 귀하의 모든 질문에 답변해 드립니다: https://you.tfvp.org/blog. 바로 아래에서 답을 찾을 수 있습니다. 작성자 KISA온라인강의 이(가) 작성한 기사에는 조회수 117회 및 803316 Like 개의 좋아요가 있습니다.
Table of Contents
개인 정보 흐름도 주제에 대한 동영상 보기
여기에서 이 주제에 대한 비디오를 시청하십시오. 주의 깊게 살펴보고 읽고 있는 내용에 대한 피드백을 제공하세요!
d여기에서 [KISA] 개인정보흐름도_01 – 개인 정보 흐름도 주제에 대한 세부정보를 참조하세요
PIMS 교육
개인 정보 흐름도 주제에 대한 자세한 내용은 여기를 참조하세요.
개인정보 흐름도 – 네이버 블로그
※ 개인정보생명주기 ( Life cycle) · 수집 – 이용/제공 – 저장/관리 – 파기 · · ※ 개인정보 흐름도 · 조직 내 개인정보가 어떻게 움직이고 어떠한 보안통제 …
Source: m.blog.naver.com
Date Published: 3/17/2022
View: 945
ABC공공기관 홈페이지 시스템 개인정보영향평가 결과보고서
업무 흐름도. 개인정보 흐름표. 개인정보 흐름도. 시스템 구성도. 담당자 인터뷰. 평가. 평가 수준 진단. 대상 시스템에 대해 평가영역 별로 평가항목.
Source: www.privacy.go.kr
Date Published: 8/28/2022
View: 3161
개인정보영향평가(PIA) 수행 절차 요약 – U시큐리티
② 개인정보 처리 업무표를 기반으로 개인정보 흐름표 작성 ③ 개인정보 흐름표를 기반으로 개인정보 흐름도 작성 ④ 기관 내 네트워크 및 보안시스템 …
Source: usecurity.net
Date Published: 9/28/2022
View: 8981
개인정보 흐름분석 – Always Practice
※ 개인정보 흐름분석 1. 개인정보 처리업무 분석 2. 개인정보 흐름표 3. 개인정보 흐름도 – 참고 : https://www.kisa.or.kr/uploadfile/201806/ …
Source: rootable.tistory.com
Date Published: 7/24/2022
View: 7422
개인정보 영향평가 수행 안내서 – 행정안전부
③ 개인정보 흐름표를 기반으로 개인정보 흐름도 작성. ④ 기관 내 네트워크 및 보안시스템 구조 등을 분석하여 정보시스템 구조도 작성. 수행주체. 영향평가팀.
Source: mois.go.kr
Date Published: 6/3/2021
View: 6877
Top 29 개인 정보 흐름도 The 48 Top Answers
Summary of article content: Articles about 개인정보 영향평가 수행안내서(2020.12) | 개인정보보호위원회 | 캐치시큐 개인정보 처리 업무 흐름도 작성 …
Source: toplist.avitour.vn
Date Published: 7/27/2022
View: 2534
개인정보 영향평가 수행안내서(2020.12) | 개인정보보호위원회
개인정보 처리 업무 흐름도 작성 3.3. 개인정보 흐름표 작성 3.4. 개인정보 흐름도 작성 3.5. 정보시스템 구조도 및 정보보호 시스템 목록 작성.
Source: www.catchsecu.com
Date Published: 8/7/2021
View: 6098
공공기관 개인정보영향평가-개인정보관리현황분석2
– 업무 흐름도는 개인정보 흐름도 작성의 준비단계로서 업무 흐름을 영향평가팀이 공유하기 위한 것으로 정형화된 서식이 있는 것은 아니며, 사업분석 …
Source: hewooso.tistory.com
Date Published: 5/28/2022
View: 9767
개인정보 영향평가(PIA)는 어떻게 이루어지는가?
이처럼, 세계는 다양한 개인정보 보호 이슈의 등장과 함께 EU 일반 개인정보 보호 … ③개인정보 흐름표를 기반으로 개인정보 흐름도 작성, …
Source: blog.lgcns.com
Date Published: 11/29/2021
View: 6467
주제와 관련된 이미지 개인 정보 흐름도
주제와 관련된 더 많은 사진을 참조하십시오 [KISA] 개인정보흐름도_01. 댓글에서 더 많은 관련 이미지를 보거나 필요한 경우 더 많은 관련 기사를 볼 수 있습니다.
![[KISA] 개인정보흐름도_01](https://i.ytimg.com/vi/i03z0S_XQng/maxresdefault.jpg)
주제에 대한 기사 평가 개인 정보 흐름도
- Author: KISA온라인강의
- Views: 조회수 117회
- Likes: 803316 Like
- Date Published: 2018. 2. 19.
- Video Url link: https://www.youtube.com/watch?v=i03z0S_XQng
개인정보 흐름도
※ 개인정보생명주기 ( Life cycle)
수집 – 이용/제공 – 저장/관리 – 파기
※ 개인정보 흐름도
조직 내 개인정보가 어떻게 움직이고 어떠한 보안통제를 적용하고 있는지 여부를 파악하여 그림으로 표현한 것
(인터뷰를 한 정보를 토대로 개인정보흐름도를 그린다. 추가적으로 필요한 정보가 있으면 다시 인터뷰 등 )
※PIA수행가이드 – 개인정보흐름표 (양식은 정해져있지 않음 자유)
Top 29 개인 정보 흐름도 The 48 Top Answers
[KISA] 개인정보흐름도_01 [KISA] 개인정보흐름도_01개인정보 흐름도 : 네이버 블로그
Article author: m.blog.naver.com
Reviews from users: 17370 Ratings
Ratings Top rated: 3.1
Lowest rated: 1
Summary of article content: Articles about 개인정보 흐름도 : 네이버 블로그 ※ 개인정보생명주기 ( Life cycle) · 수집 – 이용/제공 – 저장/관리 – 파기 · · ※ 개인정보 흐름도 · 조직 내 개인정보가 어떻게 움직이고 어떠한 보안통제 … …
Most searched keywords: Whether you are looking for 개인정보 흐름도 : 네이버 블로그 ※ 개인정보생명주기 ( Life cycle) · 수집 – 이용/제공 – 저장/관리 – 파기 · · ※ 개인정보 흐름도 · 조직 내 개인정보가 어떻게 움직이고 어떠한 보안통제 …
Table of Contents:
카테고리 이동
공부방
이 블로그
관리적 보안운영
카테고리 글
카테고리
이 블로그
관리적 보안운영
카테고리 글
개인정보 흐름도 : 네이버 블로그
Read More
개인 정보 흐름도
Article author: www.privacy.go.kr
Reviews from users: 7805 Ratings
Ratings Top rated: 4.7
Lowest rated: 1
Summary of article content: Articles about 개인 정보 흐름도 업무 흐름도. 개인정보 흐름표. 개인정보 흐름도. 시스템 구성도. 담당자 인터뷰. 평가. 평가 수준 진단. 대상 시스템에 대해 평가영역 별로 평가항목. …
Most searched keywords: Whether you are looking for 개인 정보 흐름도 업무 흐름도. 개인정보 흐름표. 개인정보 흐름도. 시스템 구성도. 담당자 인터뷰. 평가. 평가 수준 진단. 대상 시스템에 대해 평가영역 별로 평가항목.
Table of Contents:
개인 정보 흐름도
Read More
개인 정보 흐름도
Article author: usecurity.net
Reviews from users: 32212 Ratings
Ratings Top rated: 4.6
Lowest rated: 1
Summary of article content: Articles about 개인 정보 흐름도 ② 개인정보 처리 업무표를 기반으로 개인정보 흐름표 작성 ③ 개인정보 흐름표를 기반으로 개인정보 흐름도 작성 ④ 기관 내 네트워크 및 보안시스템 … …
Most searched keywords: Whether you are looking for 개인 정보 흐름도 ② 개인정보 처리 업무표를 기반으로 개인정보 흐름표 작성 ③ 개인정보 흐름표를 기반으로 개인정보 흐름도 작성 ④ 기관 내 네트워크 및 보안시스템 …
Table of Contents:
개인 정보 흐름도
Read More
개인정보 영향평가 수행안내서(2020.12) | 개인정보보호위원회 | 캐치시큐
Article author: www.catchsecu.com
Reviews from users: 38368 Ratings
Ratings Top rated: 3.3
Lowest rated: 1
Summary of article content: Articles about 개인정보 영향평가 수행안내서(2020.12) | 개인정보보호위원회 | 캐치시큐 개인정보 처리 업무 흐름도 작성 3.3. 개인정보 흐름표 작성 3.4. 개인정보 흐름도 작성 3.5. 정보시스템 구조도 및 정보보호 시스템 목록 작성. …
Most searched keywords: Whether you are looking for 개인정보 영향평가 수행안내서(2020.12) | 개인정보보호위원회 | 캐치시큐 개인정보 처리 업무 흐름도 작성 3.3. 개인정보 흐름표 작성 3.4. 개인정보 흐름도 작성 3.5. 정보시스템 구조도 및 정보보호 시스템 목록 작성. 개인정보 처리가 수반되는 사업 추진시 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 개인정보 침해사고를 사전에 예방하기위해 개인정보영향평가를 수행하여야 한다. 본 가이드는 개인정보영향평가 수행을 위한 안내서이다.가이드,정부발행문서
Table of Contents:
캐치시큐
최근 글
연락처
개인정보 영향평가 수행안내서(2020.12) | 개인정보보호위원회 | 캐치시큐
Read More
개인 정보 흐름도
Article author: mois.go.kr
Reviews from users: 10254 Ratings
Ratings Top rated: 3.4
Lowest rated: 1
Summary of article content: Articles about 개인 정보 흐름도 ③ 개인정보 흐름표를 기반으로 개인정보 흐름도 작성. ④ 기관 내 네트워크 및 보안시스템 구조 등을 분석하여 정보시스템 구조도 작성. 수행주체. 영향평가팀. …
Most searched keywords: Whether you are looking for 개인 정보 흐름도 ③ 개인정보 흐름표를 기반으로 개인정보 흐름도 작성. ④ 기관 내 네트워크 및 보안시스템 구조 등을 분석하여 정보시스템 구조도 작성. 수행주체. 영향평가팀.
Table of Contents:
개인 정보 흐름도
Read More
개인정보보호 컨설팅 – 공공기관 개인정보영향평가-개인정보관리현황분석2
Article author: hewooso.tistory.com
Reviews from users: 43308 Ratings
Ratings Top rated: 4.8
Lowest rated: 1
Summary of article content: Articles about 개인정보보호 컨설팅 – 공공기관 개인정보영향평가-개인정보관리현황분석2 – 업무 흐름도는 개인정보 흐름도 작성의 준비단계로서 업무 흐름을 영향평가팀이 공유하기 위한 것으로 정형화된 서식이 있는 것은 아니며, 사업분석 … …
Most searched keywords: Whether you are looking for 개인정보보호 컨설팅 – 공공기관 개인정보영향평가-개인정보관리현황분석2 – 업무 흐름도는 개인정보 흐름도 작성의 준비단계로서 업무 흐름을 영향평가팀이 공유하기 위한 것으로 정형화된 서식이 있는 것은 아니며, 사업분석 … – (취급 개인정보) 평가 업무명 단위로 취급되는 개인정보 기재 ※ 주소, 수급자 주소, 자택 주소, 자택 번지 등과 같이 유사한 항목이 상세히 쓰여져 있는 경우 “주소”와 같은 개인정보 항목으로 정리하여 기..
Table of Contents:
태그
‘개인정보 관리 컨설팅’ Related Articles
공지사항
최근 포스트
태그
검색
전체 방문자
개인정보보호 컨설팅 – 공공기관 개인정보영향평가-개인정보관리현황분석2
Read More
개인정보 영향평가(PIA)는 어떻게 이루어지는가?
Article author: blog.lgcns.com
Reviews from users: 20876 Ratings
Ratings Top rated: 3.1
Lowest rated: 1
Summary of article content: Articles about 개인정보 영향평가(PIA)는 어떻게 이루어지는가? 이처럼, 세계는 다양한 개인정보 보호 이슈의 등장과 함께 EU 일반 개인정보 보호 … ③개인정보 흐름표를 기반으로 개인정보 흐름도 작성, … …
Most searched keywords: Whether you are looking for 개인정보 영향평가(PIA)는 어떻게 이루어지는가? 이처럼, 세계는 다양한 개인정보 보호 이슈의 등장과 함께 EU 일반 개인정보 보호 … ③개인정보 흐름표를 기반으로 개인정보 흐름도 작성, … 지능정보화 기술의 발전에 따라 빅데이터, 사물인터넷 분야에서 개인정보 보호 이슈가 제기되고 있습니다. 이처럼, 세계는 다양한 개인정보 보호 이슈의 등장과 함께 EU 일반 개인정보 보호 규정(GDPR)의 채택에..
Table of Contents:
태그
‘IT SolutionsSecurity ‘ Related Articles
공지사항
최근 포스트
태그
검색
개인정보 영향평가(PIA)는 어떻게 이루어지는가?
Read More
Always Practice :: 개인정보 흐름분석
Article author: rootable.tistory.com
Reviews from users: 38577 Ratings
Ratings Top rated: 3.3
Lowest rated: 1
Summary of article content: Articles about Always Practice :: 개인정보 흐름분석 ※ 개인정보 흐름분석 1. 개인정보 처리업무 분석 2. 개인정보 흐름표 3. 개인정보 흐름도 – 참고 : https://www.kisa.or.kr/uploadfile/201806/ … …
Most searched keywords: Whether you are looking for Always Practice :: 개인정보 흐름분석 ※ 개인정보 흐름분석 1. 개인정보 처리업무 분석 2. 개인정보 흐름표 3. 개인정보 흐름도 – 참고 : https://www.kisa.or.kr/uploadfile/201806/ … ※ 개인정보 흐름분석 1. 개인정보 처리업무 분석 2. 개인정보 흐름표 3. 개인정보 흐름도 – 참고 : https://www.kisa.or.kr/uploadfile/201806/201806121113199760.pdf
Table of Contents:
개인정보 흐름분석
티스토리툴바
Always Practice :: 개인정보 흐름분석
Read More
See more articles in the same category here: https://toplist.avitour.vn/blog/.
개인정보 영향평가 수행안내서(2020.12)
개인정보 영향평가 수행안내서(2020.12) 본 가이드는 개인정보영향평가 수행을 위한 안내서이다. 공공기관은 개인정보 처리가 수반되는 사업 추진 시 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 개인정보 침해사고를 사전에 예방하기위해 개인정보영향평가를 수행하여야 한다. 제1장 총론 제1절 개인정보 영향평가 개요 1. 개념 2. 목적 및 필요성 3. 평가 대상 4. 평가 시기 5. 평가 수행 주체 6. 평가 수행 체계 제2절 용어정의 및 추진근거 1. 용어정의 2. 추진근거 제3절 개인정보 영향평가 수행절차 요약 제2장 영향평가 수행절차 제1절 영향평가 사전준비 단계 1. 사업계획의 작성 1.1. 영향평가 필요성 검토 1.2. 사전평가 수행 1.2. 사업계획서 작성 2. 영향평가 기관 선정 2.1. 제안요청서 작성 및 사업발주 2.2. 영향평가 기관 선정 제2절 영향평가 수행단계 1. 영향평가 수행계획 수립 1.1. 영향평가 수행계획 수립 1.2. 영향평가팀 구성방안 협의 1.3. 영향평가팀 역할 정의 1.4. 영향평가팀 운영계획 수립 2. 평가자료 수집 2.1. 내부 정책자료 분석 2.2. 외부 정책자료 분석 2.3. 대상시스템 관련 자료 분석 3. 개인정보 흐름 분석 3.1. 개인정보 처리 업무 현황 분석 3.2. 개인정보 처리 업무 흐름도 작성 3.3. 개인정보 흐름표 작성 3.4. 개인정보 흐름도 작성 3.5. 정보시스템 구조도 및 정보보호 시스템 목록 작성 4. 개인정보 침해요인 분석 4.1. 평가항목 구성 4.2. 개인정보 보호조치 현황 파악 4.3. 개인정보 침해요인 도출 4.4. 개인정보 위험도 산정 5. 개선계획 수립 5.1. 개선사항 도출 5.2. 개선계획 수립 6. 영향평가서 작성 제3절 이행단계 1. 이행점검 1.1. 개선사항 반영점검 1.2. 개선계획 이행점검
개인정보보호 컨설팅 – 공공기관 개인정보영향평가-개인정보관리현황분석2
– (취급 개인정보) 평가 업무명 단위로 취급되는 개인정보 기재 ※ 주소, 수급자 주소, 자택 주소, 자택 번지 등과 같이 유사한 항목이 상세히 쓰여져 있는 경우 “주소”와 같은 개인정보 항목으로 정리하여 기재합니다. – (개인정보 영향도) 취급개인정보의 중요도에 따라 영향도를 산정 ※ 평가 대상 시스템이나 사업을 통해 처리되는 업무 중 개인정보 취급이 발생하는 업무와 해당 업무를 통해 취급되는 개인정보의 현황과 각 개인정보 항목의 조합수준에 따른 영향도를 산정하여 자산(평가업무)의 가치를 측정하여 ‘개인정보 영향도’를 작성합니다. ※ 개인정보 영향도 등급표에는 기재되지 않았으나 기관 특성에 따라 중요도가 높다고 생각되는 자산은 주요 개인정보 자산으로 취급할 수 있습니다. ● 개인정보 취급 업무표는 엑셀 등과 같이 정리가 수월한 문서로 1차 작성하여 분석하면 업무별 취급 개인정보의 누락사항이나 오류사항 없이 진행할 수 있습니다. [개인정보 영향 평가 절차] ◇ 개인정보 취급 업무표 작성 방법은 다음과 같습니다. 1. 개인정보를 취급하는 단위업무를 파악합니다. 2. 단위업무별 개인정보에 해당하는 항목을 정리합니다. 3. 정리된 개인정보 항목은 동일한 항목임에도 업무별 명칭이 다르거나, 정보주체가 상이하더라도 동일 항목의 개인정보로 분류 가능한 경우 명칭을 통일합니다. ※ (예시) 주민등록번호, 주민번호 → 주민번호, 퇴직자성명, 수급자성명 → 성명 4. 또한, 개인정보 항목을 관리 가능한 수준으로 정리하기 위해 동일 분류로 묶일 수 있는 항목에 대해서는 하나의 항목으로 분류합니다. 단, 취급개인정보가 많지 않을 경우 재분류 작업은 하지 않습니다. ※ (예시) 퇴직등록번호, 직급, 재직기간 등 → 퇴직정보 5. 개인정보 항목에 대한 정리가 완료되면, 파악된 단위 업무를 관리 가능하도록 가능하면 10개 이내의 평가업무로 정리합니다. ※ (예시) 퇴직금지급내역 조회, 퇴직금지급 신청입력 업무 → 공통 상위업무인 퇴직금관리 업무로 분류 6. 개인정보영향도 등급표를 참고하여 평가업무별 개인정보 항목의 개인정보를 분류하여 개인정보 영향도를 측정합니다. ※ 등급표에는 영향도가 낮게 평가되더라도 해당 기관에서 중요 개인정보로 취급한다면 영향도 높게 평가 가능 7. 업무단위(업무명)별로 취급 개인정보를 하나의 셀에 정리하고 해당 업무에서 취급하는 개인정보의 영향도 중 가장 높은 숫자를 입력합니다. (2) 개인정보 취급 업무 흐름도 작성 ● 사업 분석을 통해 개인정보 관련 업무를 구분하였다면, 구분된 업무별로 보다 상세한 분석을 통해 ‘업무 흐름도’를 작성합니다. – 업무 흐름도는 개인정보 취급 업무별 세부 업무절차를 대략적으로 정리하기 위해 작성합니다. – 업무 흐름도는 해당 업무를 수행하는 인력 및 부서 등을 함께 표시하고, 연계기관(개인정보를 제공하거나 제공받는 기관)이 있는 경우 해당 기관도 포함하여 작성합니다. ● 다음 그림은 업무 흐름도의 작성 예시로써, 공용시설물 관리업무에 대한 흐름도 입니다. – 업무 흐름도는 개인정보 흐름도 작성의 준비단계로서 업무 흐름을 영향평가팀이 공유하기 위한 것으로 정형화된 서식이 있는 것은 아니며, 사업분석 참고자료에 업무 흐름도가 있으면 기존에 작성된 것을 사용합니다. (3) 개인정보 흐름표 작성 ● 개인정보를 취급 업무별로 개인정보의 수집∙보유∙이용/제공∙파기로 구분하여 구체적으로 분석하기 위해, 개인정보 흐름도를 작성하는 것이 좋습니다. ● 개인정보 흐름도 작성을 위한 준비단계로서, 개인정보 취급 단계별로 취급되는 개인정보 현황 및 처리 내역 등을 용이하게 식별 할 수 있도록 개인정보 흐름표를 작성합니다. – 개인정보 흐름표에는 업무명을 기반으로 개인정보의 수집-보유-이용∙제공-파기에 이르는 Life-Cycle별 현황 등을 기재하여 개인정보의 흐름을 한 눈에 이해할 수 있도록 작성합니다. 개인정보 생명주기란? 접기 ◎ 개인정보 생명주기(Life-Cycle) 이란? – 개인정보를 취득하여 활용하는 단계를 통상적으로 수집-보유-이용∙제공-파기의 4단계로 구분하므로 각각의 단계별로 개인정보보호 조치를 취하여야 합니다. – (수집) 정보 주체의 개인정보를 취득하는 단계로써, 통상적으로 웹사이트 회원 가입, 서면 신청서 작성, 민원 접수 등의 형태를 통해 이루어집니다. – (보유) 수집한 개인정보를 보유하는 단계로써, 보유한 개인정보를 안전하게 관리하며 정보주체의 개인정보 열람∙정정권리 등을 보장합니다. – (이용∙제공) 취득∙저장한 개인정보를 수집한 공공기관 외의 제 3의 기관에게 정보를 제공하는 행위를 말한다. 예를 들어 특정 자격제도를 운영함에 있어 자격 검정 시험을 주관하는 기관과 자격 제도를 운영하는 기관이 상이한 경우에는 자격 감정 시험 주관 기관이 합격자 명단을 자격제도 운영기관과 연계하여 제공하게 됩니다. – (파기) 수집 및 이용 목적이 달성된 개인정보를 파기하는 행위를 말합니다. 예를 들어 이용자가 웹사이트 회원을 탈퇴한 경우에는 특정한 사유가 없는 한 회원이 아닌 사람의 정보를 더 이상 보유하고 있을 필요가 없으므로 해당 정보를 파기합니다. 접기 ● 다음은 온∙오프라인을 통해 접수된 민원을 처리하는 업무에 대한 개인정보 흐름표의 작성 예시입니다. ● 앞서 제시된 예시에서 개인정보 흐름표 양식의 작성 내용은 다음과 같습니다. – (업무명) 평가 대상 사업 중 어떤 업무와 관련하여 개인정보를 취급하는지 기재 – (수집) 수집 방법과 수집 항목, 수집 담당자 등의 사항을 기재 ① 수집 항목 : 수집하는 개인정보 항목을 구체적으로 기재 ② 수집 경로 : 개인정보를 수집하는 방법이 온라인인지 오프라인, 해당 개인정보의 취득 경로 기재 ※ 일반적인 웹사이트 회원가입의 경우에는 수집경로가 온라인이고 서면 신청서 작성의 경우에는 오프라인에 해당됩니다. 정보 주체에게 직접 수집하는 경우가 아니라 외부 기관에게 제공받거나 연계하여 받는 경우가 있을 수 있습니다. ③ 수집 담당자 : 개인정보를 수집하는 부서 및 담당자 기재 ※ 서면으로 신청하는 경우는 서면 기재 사항을 입력하기 위한 업무 담당자가 별도로 존재하는 경우가 많습니다. ④ 수집 근거 : 수집목적에 따른 법률근거 및 사용자 동의획득 여부 기재 – (보유∙이용) 수집한 개인정보의 보유 형태, 이용 목적, 개인정보 취급자 현황을 기재 ① 보유 형태 : 수집한 개인정보 보유하는 장소 및 형태를 기재 ※ 일반적으로 수집한 개인정보는 시스템을 통해 DB에 저장하고, 신청서 등은 캐비넷에 보관하는 경우가 많습니다. ② 보유 시 암호화 항목 : 수집한 개인정보 저장 시 암호화하는 개인정보 항목을 기재 ※ 수집한 개인정보를 DB에 저장할 때 ‘보유 시 암호화 항목’에 해당하고, 신청서 등 다른 매체 보유는 암호화 항목에서 제외됩니다. ③ 이용 목적 : 개인정보를 이용하는 목적 기재 ④ 개인정보 취급자 : 수집한 개인정보를 취급하는 부서 및 사용자 기재 ⑤ 이용 방법 : 개인정보취급자가 정보를 이용하는 방법 기재 ※ 이용 목적 및 취급자 현황은 개인정보 이용 현황에 따라 복수로 기재될 수도 있습니다. – (제공) 개인정보를 제공 또는 연계하는 기관이 있다면 해당 기관명과 제공 목적을 기재 ※ 해당 사항이 없는 경우에는 기재하지 않습니다. ① 제공 목적 : 정보를 제공하는 목적을 상세히 기재 ② 제공자 : 정보를 제공하는 부서 및 관련 담당자 기재 ③ 수신자 : 정보를 제공하는 타 기관, 시스템명 기재 ④ 제공 정보 : 제공하는 상세 개인정보 항목을 기재 ⑤ 제공 방법 : 정보 제공 시 타 기관에 제공하는 방식 및 시스템 연계 시 연계방식 기재 ⑥ 제공 시 암호화 : 정보 제공 시 제공 데이터 암호화 여부 및 전송 시 암호화 여부 기재 ※ 해당사항이 없는 경우에는 기재하지 않습니다. ⑦ 제공 근거 : 개인정보를 제공하는 법적 근거 및 사유 기재 – (파기) 개인정보를 보유하는 기간 및 개인정보 파기 시 구체적인 파기 절차를 기재 ① 보유기간 : 정보를 수집한 후 파기하기 전까지의 보관 기간 명시 ※ 보관기간은 정확한 기한이 있을 경우‘1년’,‘ 10년’과 같이 표기하고, 정확한 기한이 없을 경우 ‘웹사이트 회원 탈퇴 시까지’등과 같이 보유 기간 산정 원칙을 명시합니다. ② 파기담당자 : 정보를 파기하는 부서 및 담당자 ③ 파기 절차 : 파기가 결정된 정보에 대해 파기 주기와 파기 방법 기재 (4) 개인정보 흐름도 작성 개인정보흐름도범례 설명 접기 ◎ 개인정보 흐름도 작성 방법 ① 개인정보 취급자(부서)를 정리하여 흐름도 상단에 기술 ※ 취급 부서 및 취급자는 필요에 따라 확장 ② 개인정보 취급(수집, 이용, 제공) 업무를 기술 ※ 업무에 따라 흐름도를 분리해야 할 경우 각각 나누어 작성 가능 ③ 각 업무에서 개인정보를 취급하는 수단을 기술 ※ 예 : PC, 신청서, 노트북, 전화, 대면, 의료기구 등 ④ 개인정보를 보유하는 DB시스템을 표현하며 평가 대상 시스템, DB명, 테이블명 또는 취급하는 개인정보의 함축적 의미를 가진 정보항목을 기술 ※ 예 : 신상 정보(이름, 주민번호, 주소, 전화번호 등), 의료 정보(혈압, 진단 내용 등) ⑤ 평가기관 내부 시스템과 연계하여 이용할 경우 시스템 명을 기재 ⑥ 개인정보 수집 시 수집하는 방법을 점선과 실선으로 표시 ※ 온라인은 실선으로 하며, 오프라인으로 개인정보 흐름이 발생할 경우 점선으로 구분 ⑦ 개인정보 취급과정에서 정보의 흐름방향을 화살표로 연결 ⑧ 개인정보 흐름을 표시한 화살표 상에 개인정보 항목을 기술 ⑨ 개인정보 흐름 목적/연계방식 등 개인정보 흐름파악에 필요한 설명을 간략히 기술 ⑩ 개인정보 외부 제공의 경우는 외부 기관명 또는 외부 업체명을 기재하고 제공 방식, 제공하는 개인정보항목을 기술 ※ 제공방식 : 시스템 연계(VPN, EAI 등), 우편(등기), 인편, Fax, 이메일 등 ⑪ 개인정보의 보유기간과 파기 방법 기술 접기 ● 앞서 설명한 바와 같이, 개인정보 취급이 수반되는 업무별로 개인정보의 수집∙보유∙이용/제공∙파기되는 개인정보의 흐름을 한 눈에 파악할 수 있도록, ‘개인정보 흐름도’를 작성합니다. – 개인정보 흐름도는 시스템 구조도와 함께 사업전체에 있어서 개인정보 흐름을 한눈에 파악하여 개인정보 영향평가 항목 평가나 추가적인 취약성 분석 과정에서 침해요인을 정확히 도출하는데 도움이 됩니다. – 개인정보 흐름도는 개인정보 흐름표를 참고하여 수집∙보유∙이용/제공∙파기 등의 생명주기를 기반으로 해당 업무처리자 및 시스템의 구성사항을 고려하여 작성합니다. ● 개인정보 흐름도 작성 방법은 아래 범례를 참고하여 작성합니다. ● 개인정보 흐름도 작성 범례를 참고하여 민원처리 시스템에 대한 흐름도 예시입니다. ● 개인정보 흐름도 좌측에 수집/보유/이용∙제공/파기와 관련한 개인정보 생명주기를 기입합니다. ● 개인정보 흐름도 상단에는 먼저 개인정보와 관련한 업무를 기재하고, 업무와 관련하여 개인정보 취급과 관련한 담당자 및 담당부서, 정보주체 등을 기입합니다. 개인정보의 외부 제공이 발생할 경우 관련한 유관기관명을 기재합니다. ● 개인정보 흐름도 본문에는 개인정보를 취급하는 관련업무, 취급과 관련하여 사용되는 매체(PC, 노트북, 신청서등의 문서)와 수집한 개인정보를 처리할 때 관련한 IT시스템(DB, 웹서버 등)을 표시하고 각 요소들 간의 이동 시 전송되는 개인정보 항목을 기재합니다. (5) 시스템 구조도 작성 ● 네트워크 접근제어의 미흡, 서비스 거부 공격에 대한 방어, 네트워크 가용성 확보 미흡 등과 같이 시스템 설계상 원천적으로 내재된 개인정보 침해요인을 분석, 위험도 산정 등에 활용하기 위해 시스템 구조도를 작성합니다. – 정보시스템 구조도는 방화벽, 침입탐지시스템과 같은 보안 메커니즘을 포함하여 전송 데이터 암호화, DB 암호화 등 개인정보보호를 위한 기술적∙물리적∙관리적 보안 메커니즘의 타당성을 검토할 수 있습니다. – 정보시스템 구조도는 사업 추진 계획서 등에서 작성된 경우 기존 자료를 활용할 수 있으며, 기관이나 사업의 특성을 고려하여 보안이 중요하여 공개가 불필요하다고 판단할 경우 비공개로 할 수 있으며, 평가를 위해 반드시 별도로 작성할 필요는 없습니다. 개인정보 안심 진단 서비스 – 개인정보보호 컨설팅 케이핌(www.kpim.co.kr)
개인정보 영향평가(PIA)는 어떻게 이루어지는가?
지능정보화 기술의 발전에 따라 빅데이터, 사물인터넷 분야에서 개인정보 보호 이슈가 제기되고 있습니다. 이처럼, 세계는 다양한 개인정보 보호 이슈의 등장과 함께 EU 일반 개인정보 보호 규정(GDPR)의 채택에 따른 변화를 주목하고 있다고 이전 글에서도 설명드렸는데요. 2016년, 개인정보 유출 사고에 대한 책임에 대해서 방송통신위원회가 44억 8천만 원이라는 역대 최고 과징금을 부과했습니다. 지금까지 개인정보 유출이나 오•남용은 언제, 어떻게 누구에 의해서 발생했는지 알기도 어려웠는데요. 특히, 정보주체는 손해배상을 받기가 더 어려웠으나, 2016년 7월부터 손쉽게 피해를 구제받을 수 있도록, 법정손해배상제도 및 징벌적 손해배상제도가 본격 시행되었습니다. l 개인정보 보호 관련 법규 공공기관의 개인정보 침해 예방을 위해, 제33조 제1항에 따라 개인정보 영향평가 수행은 의무화되어 있습니다. 개인정보 영향평가란 공공기관이 개인정보파일 운용 시 개인정보 침해가 우려되는 위험요인을 분석하고 개선함으로써 침해 사고를 사전에 방지하기 위해 마련된 평가제도입니다. 개인정보 보호호법 제33조(개인정보 영향평가) ① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보 주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 “영향평가”라 한다)를 하고 그 결과를 행정안전부 장관에게 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 행정안전부 장관이 지정하는 기관(이하 “평가기관”이라 한다) 중에서 의뢰하여야 한다. 개인정보 영향평가는 개인정보 침해 사고가 발생하면, 법정에서 법인•개인의 관리적 책임을 다했다고 입증하기 위한 수단이 될 수 있고, 영향평가를 통해 고유식별정보(주민등록번호를 제외)의 내부망 암호화 예외 처리 등 각 법인•개인이 처한 상황에 따른 적용이 가능합니다. 개인정보 보호법 제74조(양벌 규정) ① 업무에 관하여 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인을 7천만원 이하의 벌금에 처한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다. 안전성확보조치기준 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다. 1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과 2. 암호화 미적용시 위험도 분석에 따른 결과 상당한 주의와 감독에는 개인정보 영향평가수행, 안전성 확보조치, 내부관리계획 수립 후 이행, 이행점검 등이 포함됩니다. 그 중 이번에는 개인정보 영향평가에 대해서 조금 더 자세히 알아보려고 하는데요. 이번 글에서는 개인정보 영향평가(PIA)에 대한 개념•대상 및 단계별 수행절차 중심으로 설명하고, 다음 글에서는 개인정보 영향평가항목에 대해 살펴보겠습니다. 개인정보 영향평가(Privacy Impact Assessment)는 왜 필요할까? 개인 정보 파일을 운용하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보 처리 시스템의 중대한 변경 시, 시스템의 구축•운영•변경 등이 개인정보에 미치는 영향(impact)을 사전에 조사•예측•검토해야 합니다. 이와 같이 개인정보 처리가 수반되는 사업을 추진 시, 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 사업을 수행할 때, 개인정보 침해사고를 사전에 예방하고자 하는데 목적이 있습니다. 평가 대상 일정규모 이상의 전자적으로 처리하는 개인정보파일을 구축, 운영 또는 변경하려는 공공기관이나 개인정보파일 운영 시 개인정보 침해가 우려 되는 위험요인을 분석•개선함으로써 침해사고를 사전에 방지하고자 하는 민간에서는 개인정보 보호법 제33조 및 개인정보 보호법 시행령 제35조에 근거하여 영향평가를 수행해야 하거나 수행할 수 있습니다. 영향평가 수행 대상(개인정보 보호법 시행령 제35조) – 5만 명 이상의 민감 정보 또는 고유식별정보가 포함된 개인정보파일 – 내부 또는 외부 개인정보파일과 연계 결과 50만 명 이상의 개인정보가 포함된 개인정보파일 – 100만 명 이상의 개인정보가 포함된 개인정보파일 – 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하는 경우, 변경된 부분 그럼 평가 시기 및 절차는 어떻게 될까요? 영향평가는 사전준비, 수행, 이행의 3단계로 구성된다고 말씀드린 바 있습니다. 단계별 세부 수행 내용을 살펴보도록 하겠습니다. l 개인정보 영향평가 수행 안내서-영향평가 절차 1단계) 영향평가 사전준비단계 구축 또는 변경하고자 하는 정보시스템에 대해서 영향평가 필요성을 검토하고, 예산을 확보하기 위한 사업계획서를 작성한 뒤 영향평가 기관을 선정하게 됩니다. 사업 발주 시 유의 사항은 시스템 구축 사업의 일부분으로써 영향평가를 포함하여 발주할 경우, 영향평가의 독립성을 심각하게 저해할 수 있으므로, 구축사업과 분리하여 별도의 사업으로 발주하는 것이 필요합니다. 이 단계에서 SI 전문 회사인 LG CNS는 검증된 방법론과 Quick 점검 체크리스트를 보유•적용하여,제안 요청서 단계에서부터 적극적으로 활용할 수 있습니다. 또한, 공공기관은 행정안전부 장관이 지정한 평가기관에 영향평가를 의뢰해야 합니다. 2017년 8월 기준으로 LG CNS를 포함하여 18개 평가기관이 있고 개인정보 보호 종합포털(www.privacy.go.kr)에서 평가기관 목록 확인이 가능합니다. 2단계) 영향평가 수행단계 이 단계에서는 평가기관이 개인정보 침해요인을 분석하고 개선계획을 수립하여 영향평가서를 작성해야 합니다. 평가수행 계획이 수립되면 평가팀을 구성하게 되는데 대상기관 사업관리 담당자의 협조 하에 개인정보 보호 담당자, 유관부서 담당자, 외부 전문가 등이 참여하게 됩니다. 위탁 개발•관리되고 있는 시스템의 경우에는 실제 업무 담당자와 사업 담당자가 다르므로 현업 업무 담당자와 시스템 개발부서는 반드시 참여시키는 것이 좋습니다. 다음으로 대상사업 및 관련 기관 내•외부 정책환경 분석을 위한 자료를 수집하게 됩니다. 개인정보 보호 관련 법규는 기본이며, 상위기관의 지침과 해당 기관 내부 규정 현황을 파악해야 합니다. 그리고 평가대상 사업 추진 근거 법률 및 법령에 대해서는 상세한 분석이 필요합니다. l 외부정책자료 예시 다음은 대상 사업에서 처리되는 개인정보 흐름에 대한 파악을 위해 정보시스템 내 개인정보 흐름 분석이 필요합니다. ①개인정보 처리업무 분석(개인정보 영향도 등급표, 개인정보 처리 업무표 및 업무흐름도 작성), ②개인정보 처리 업무표를 기반으로 개인정보 흐름표 작성, ③개인정보 흐름표를 기반으로 개인정보 흐름도 작성, ④ 기관 내 네트워크 및 보안시스템 구조 등을 분석하여 정보시스템 구조도를 작성하고, 개인정보의 흐름에 따른 개인정보 조치사항 및 계획 등을 파악합니다. 개인정보 침해 위험성 도출을 위한 개인정보 침해요인 분석을 위한 평가항목은 4개 평가영역 25개 평가 분야에 대하여 총 78개의 지표로 구성되고 평가항목은 침해사고 사례, 법 제도의 변화, 대상 기관 및 대상 사업의 특성 등에 따라 추가•삭제•변경 등 탄력적으로 구성하여 사용할 수 있습니다. 특히 “V.특정 IT기술”영역에 명시되지 않은 특화된 IT기술을 적용하는 경우에는 해당기술이 개인정보에 미치는 영향에 대한 평가 항목을 개발하여 영향평가 시 반영해야 합니다. 추가 영향평가 항목을 개발하고 평가할 수 있는 것이 평가기관의 역량으로 간주할 수 있을 것입니다. LG CNS는 그룹사에서 수행하는 다양한 사업영역과 특화 기술이 적용된 상품•서비스에 적용하고, 검증된 평가 항목을 보유하고 있으며 적용할 수 있습니다. 특히, IoT 영역은 강점이 있다고 볼 수 있습니다. l 영향평가 평가영역 및 평가분야 단, 대상기관 개인정보 보호 관리체계 평가영역은 1년 이내에 수행된 이전 영향평가를 통해 먼저 평가를 수행한 경우 대상기관과의 협의를 거쳐 제외 가능합니다. 대상 사업의 특성에 맞게 작성된 평가항목을 바탕으로 자료검토, 시스템 점검, 현장실사, 인터뷰 등을 통해 개인정보 보호 조치사항을 파악하여 분석합니다. 평가항목별 평가는 상세한 근거와 함께 평가(부분이행, 미이행, 이행, 해당 없음)한 후, 상세한 사유 및 증거 자료를 같이 제시합니다. 분석 및 보호 조치 현황에 대한 평가결과를 기반으로 개인정보 침해요인을 분석하고, 침해요인은 유사 침해사고 사례, 업무특성 등을 반영하여 작성합니다. 특히, 법률 위반사항에 대해서는 별도로 표기하는 것이 필요합니다. (법적 의무사항은 필수적으로 조치 필요) 도출된 침해요인은 모두 개선하는 것이 원칙이나, 기관 내 자원이 부족한 경우 위험도 분석 결과에 따라 개선사항의 우선순위를 정하여 선택적 조치가 가동하도록 개인정보 영향도, 침해요인 발생 가능성 및 법적 준거성 고려해서 위험도를 산정합니다. 개인정보 침해 위험 위험도 산정예시 위험도 = 개인정보 영향도 + (침해 요인 발생 가능성 X 법적 준거성) X 2 식별된 침해 요인별 위험도를 측정하고 검토한 후, 위험요소를 제거하거나 최소화하려는 개선 방안을 도출하고 대상기관 내 보안 조치현황, 예산, 인력, 사업 일정 등을 고려하여 개선 계획을 수립합니다. 그리고 개선 계획 수립 시에는 위험도가 높은 순서, 법적•의무 사항은 빠른 시일 내에 모두 개선될 수 있도록 개선 계획표를 작성하는 것이 필요합니다. 마지막으로 영향평가 추진 경과 및 중간산출물 등의 내용을 정리하고 도출된 위험요소 및 개선계획 등 최종산출물들을 모두 취합하여 영향평가서를 작성하고, 최종적으로 검토 또는 승인할 수 있는 조직 내 최고 의사결정권자에게 보고합니다. 완료된 영향평가서는 해당 개인정보파일을 구축•운용하기 전에 행정안전부장관에게 제출하고, 기존에 운용 중이던 개인 정보 파일인 경우 영향평가 사업 완료 후 2개월 이내에 행정안전부 장관에게 제출해야 합니다. 「개인정보 영향평가에 관한 고시」에 따라 제5조에 따라 영향평가 수인 인력을 일반수행인력과 고급수행인력으로 구분할 수 있으나 전문인력 인증서를 받은 경우에만 영향평가 수행 가능하니, 투입인력의 영향평가 인증서를 확인해야 합니다. 3단계) 이행단계 개인정보 침해요인에 대한 조치내역을 확인하는 단계로 시스템 구축이나 변경사업의 경우에는 테스트 단계에서 침해 요인별 조치가 적절하게 수행되었는지 점검합니다. 일반적으로 영향평가 종료 후 영향평가 기관 사업 담당자가 사후 관리의 목적으로 개선 계획에 대한 이행 여부의 점검을 하지만, 대상기관 사업 주관부서 사업담당자가 직접 점검할 수 있고, 감리를 시행할 경우 감리 과정에 해당 내용을 포함시켜 조치여부를 확인•점검 가능합니다. 영향평가서를 제출받은 공공기관의 장은 개선사항으로 지적된 부분에 대한 이행 현황을 영향평가서를 제출받은 날로부터 1년 이내에 행정안전부 장관에게 제출하도록 하며, 이행점검 결과 미흡한 부분은 원인 등을 분석하여 계획대로 이행될 수 있도록 조치방안을 마련해야 합니다. 마치며 지금까지 간략하게 개인정보 영향평가 정의와 수행 절차 중심으로 알아보았습니다. 공공기관이 개인정보 파일 운영 시 개인정보 침해가 우려되는 위험요인을 분석•개선함으로써, 침해사고를 사전에 방지하기 위한 제도로 시작했으나, 앞으로는 개인정보 영향평가를 공공과 민간영역을 망라한 의무화 범위를 확대하고, 프로세스 운영 위주의 영향평가에서 개인정보를 처리하는 제품이나 서비스까지 확장해야 합니다. 또한, 개인정보 영향평가의 기준도 변경 중인 국제표준에 근거하여 개선 및 효율화해야 합니다. 그러기 위해서는 현재의 영향 평가 기관(18개 기관) 및 전문인력(16년 말 기준 1,027명)도 지속적으로 확대•육성해야 할 것입니다. 다음 글에서는 개인정보 영향평가 항목과 평가 수행 방법 중심으로 이야기해 보도록 하겠습니다. [참고] 관련 법규 및 참고 자료 – 개인정보 보호법 제33조(개인정보 영향평가) – 개인정보 보호법 시행령 제35조(개인정보 영향평가의 대상), – 개인정보 영향평가에 관한 고시 (행정안전부 고시 제2017-9호, 2017.9.25) – 2017년 개인정보 보호 연차보고서 (개인정보 보호 위원회) 글 | LG CNS 보안컨설팅팀 * 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다. * 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
So you have finished reading the 개인 정보 흐름도 topic article, if you find this article useful, please share it. Thank you very much. See more: isms-p 개인정보 흐름도, 개인정보흐름도 작성법, 개인정보 영향평가 수행 안내서 2021, 개인정보보호법, 개인정보 영향평가 수행 안내서 2022, 개인정보보호포털, 개인정보보호위원회, 개인정보 영향평가 가이드
개인정보 영향평가 수행안내서(2020.12)
개인정보 영향평가 수행안내서(2020.12)
본 가이드는 개인정보영향평가 수행을 위한 안내서이다.
공공기관은 개인정보 처리가 수반되는 사업 추진 시 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 개인정보 침해사고를 사전에 예방하기위해 개인정보영향평가를 수행하여야 한다.
제1장 총론
제1절 개인정보 영향평가 개요
1. 개념
2. 목적 및 필요성
3. 평가 대상
4. 평가 시기
5. 평가 수행 주체
6. 평가 수행 체계
제2절 용어정의 및 추진근거
1. 용어정의
2. 추진근거
제3절 개인정보 영향평가 수행절차 요약
제2장 영향평가 수행절차
제1절 영향평가 사전준비 단계
1. 사업계획의 작성
1.1. 영향평가 필요성 검토
1.2. 사전평가 수행
1.2. 사업계획서 작성
2. 영향평가 기관 선정
2.1. 제안요청서 작성 및 사업발주
2.2. 영향평가 기관 선정
제2절 영향평가 수행단계
1. 영향평가 수행계획 수립
1.1. 영향평가 수행계획 수립
1.2. 영향평가팀 구성방안 협의
1.3. 영향평가팀 역할 정의
1.4. 영향평가팀 운영계획 수립
2. 평가자료 수집
2.1. 내부 정책자료 분석
2.2. 외부 정책자료 분석
2.3. 대상시스템 관련 자료 분석
3. 개인정보 흐름 분석
3.1. 개인정보 처리 업무 현황 분석
3.2. 개인정보 처리 업무 흐름도 작성
3.3. 개인정보 흐름표 작성
3.4. 개인정보 흐름도 작성
3.5. 정보시스템 구조도 및 정보보호 시스템 목록 작성
4. 개인정보 침해요인 분석
4.1. 평가항목 구성
4.2. 개인정보 보호조치 현황 파악
4.3. 개인정보 침해요인 도출
4.4. 개인정보 위험도 산정
5. 개선계획 수립
5.1. 개선사항 도출
5.2. 개선계획 수립
6. 영향평가서 작성
제3절 이행단계
1. 이행점검
1.1. 개선사항 반영점검
1.2. 개선계획 이행점검
개인정보보호 컨설팅 – 공공기관 개인정보영향평가-개인정보관리현황분석2
– (취급 개인정보) 평가 업무명 단위로 취급되는 개인정보 기재
※ 주소, 수급자 주소, 자택 주소, 자택 번지 등과 같이 유사한 항목이 상세히 쓰여져 있는 경우 “주소”와 같은 개인정보 항목으로 정리하여 기재합니다.
– (개인정보 영향도) 취급개인정보의 중요도에 따라 영향도를 산정
※ 평가 대상 시스템이나 사업을 통해 처리되는 업무 중 개인정보 취급이 발생하는 업무와 해당 업무를 통해 취급되는 개인정보의 현황과 각 개인정보 항목의 조합수준에 따른 영향도를 산정하여 자산(평가업무)의 가치를 측정하여 ‘개인정보 영향도’를 작성합니다.
※ 개인정보 영향도 등급표에는 기재되지 않았으나 기관 특성에 따라 중요도가 높다고 생각되는 자산은 주요 개인정보 자산으로 취급할 수 있습니다.
● 개인정보 취급 업무표는 엑셀 등과 같이 정리가 수월한 문서로 1차 작성하여 분석하면 업무별 취급 개인정보의 누락사항이나 오류사항 없이 진행할 수 있습니다.
[개인정보 영향 평가 절차]◇ 개인정보 취급 업무표 작성 방법은 다음과 같습니다. 1. 개인정보를 취급하는 단위업무를 파악합니다. 2. 단위업무별 개인정보에 해당하는 항목을 정리합니다. 3. 정리된 개인정보 항목은 동일한 항목임에도 업무별 명칭이 다르거나, 정보주체가 상이하더라도 동일 항목의 개인정보로 분류 가능한 경우 명칭을 통일합니다.
※ (예시) 주민등록번호, 주민번호 → 주민번호, 퇴직자성명, 수급자성명 → 성명
4. 또한, 개인정보 항목을 관리 가능한 수준으로 정리하기 위해 동일 분류로 묶일 수 있는 항목에 대해서는 하나의 항목으로 분류합니다. 단, 취급개인정보가 많지 않을 경우 재분류 작업은 하지 않습니다.
※ (예시) 퇴직등록번호, 직급, 재직기간 등 → 퇴직정보
5. 개인정보 항목에 대한 정리가 완료되면, 파악된 단위 업무를 관리 가능하도록 가능하면 10개 이내의 평가업무로 정리합니다.
※ (예시) 퇴직금지급내역 조회, 퇴직금지급 신청입력 업무 → 공통 상위업무인 퇴직금관리 업무로 분류
6. 개인정보영향도 등급표를 참고하여 평가업무별 개인정보 항목의 개인정보를 분류하여 개인정보 영향도를 측정합니다.
※ 등급표에는 영향도가 낮게 평가되더라도 해당 기관에서 중요 개인정보로 취급한다면 영향도 높게 평가 가능
7. 업무단위(업무명)별로 취급 개인정보를 하나의 셀에 정리하고 해당 업무에서 취급하는 개인정보의 영향도 중 가장 높은 숫자를 입력합니다.
(2) 개인정보 취급 업무 흐름도 작성
● 사업 분석을 통해 개인정보 관련 업무를 구분하였다면, 구분된 업무별로 보다 상세한 분석을 통해 ‘업무 흐름도’를 작성합니다.
– 업무 흐름도는 개인정보 취급 업무별 세부 업무절차를 대략적으로 정리하기 위해 작성합니다.
– 업무 흐름도는 해당 업무를 수행하는 인력 및 부서 등을 함께 표시하고, 연계기관(개인정보를 제공하거나 제공받는 기관)이 있는 경우 해당 기관도 포함하여 작성합니다.
● 다음 그림은 업무 흐름도의 작성 예시로써, 공용시설물 관리업무에 대한 흐름도 입니다.
– 업무 흐름도는 개인정보 흐름도 작성의 준비단계로서 업무 흐름을 영향평가팀이 공유하기 위한 것으로 정형화된 서식이 있는 것은 아니며, 사업분석 참고자료에 업무 흐름도가 있으면 기존에 작성된 것을 사용합니다.
(3) 개인정보 흐름표 작성
● 개인정보를 취급 업무별로 개인정보의 수집∙보유∙이용/제공∙파기로 구분하여 구체적으로 분석하기 위해, 개인정보 흐름도를 작성하는 것이 좋습니다.
● 개인정보 흐름도 작성을 위한 준비단계로서, 개인정보 취급 단계별로 취급되는 개인정보 현황 및 처리 내역 등을 용이하게 식별 할 수 있도록 개인정보 흐름표를 작성합니다.
– 개인정보 흐름표에는 업무명을 기반으로 개인정보의 수집-보유-이용∙제공-파기에 이르는 Life-Cycle별 현황 등을 기재하여 개인정보의 흐름을 한 눈에 이해할 수 있도록 작성합니다.
개인정보 생명주기란? 접기 ◎ 개인정보 생명주기(Life-Cycle) 이란?
– 개인정보를 취득하여 활용하는 단계를 통상적으로 수집-보유-이용∙제공-파기의 4단계로 구분하므로 각각의 단계별로 개인정보보호 조치를 취하여야 합니다.
– (수집) 정보 주체의 개인정보를 취득하는 단계로써, 통상적으로 웹사이트 회원 가입, 서면 신청서 작성, 민원 접수 등의 형태를 통해 이루어집니다.
– (보유) 수집한 개인정보를 보유하는 단계로써, 보유한 개인정보를 안전하게 관리하며 정보주체의 개인정보 열람∙정정권리 등을 보장합니다.
– (이용∙제공) 취득∙저장한 개인정보를 수집한 공공기관 외의 제 3의 기관에게 정보를 제공하는 행위를 말한다. 예를 들어 특정 자격제도를 운영함에 있어 자격 검정 시험을 주관하는 기관과 자격 제도를 운영하는 기관이 상이한 경우에는 자격 감정 시험 주관 기관이 합격자 명단을 자격제도 운영기관과 연계하여 제공하게 됩니다.
– (파기) 수집 및 이용 목적이 달성된 개인정보를 파기하는 행위를 말합니다. 예를 들어 이용자가 웹사이트 회원을 탈퇴한 경우에는 특정한 사유가 없는 한 회원이 아닌 사람의 정보를 더 이상 보유하고 있을 필요가 없으므로 해당 정보를 파기합니다. 접기
● 다음은 온∙오프라인을 통해 접수된 민원을 처리하는 업무에 대한 개인정보 흐름표의 작성 예시입니다.
● 앞서 제시된 예시에서 개인정보 흐름표 양식의 작성 내용은 다음과 같습니다.
– (업무명) 평가 대상 사업 중 어떤 업무와 관련하여 개인정보를 취급하는지 기재 – (수집) 수집 방법과 수집 항목, 수집 담당자 등의 사항을 기재
① 수집 항목 : 수집하는 개인정보 항목을 구체적으로 기재 ② 수집 경로 : 개인정보를 수집하는 방법이 온라인인지 오프라인, 해당 개인정보의 취득 경로 기재 ※ 일반적인 웹사이트 회원가입의 경우에는 수집경로가 온라인이고 서면 신청서 작성의 경우에는 오프라인에 해당됩니다. 정보 주체에게 직접 수집하는 경우가 아니라 외부 기관에게 제공받거나 연계하여 받는 경우가 있을 수 있습니다.
③ 수집 담당자 : 개인정보를 수집하는 부서 및 담당자 기재 ※ 서면으로 신청하는 경우는 서면 기재 사항을 입력하기 위한 업무 담당자가 별도로 존재하는 경우가 많습니다.
④ 수집 근거 : 수집목적에 따른 법률근거 및 사용자 동의획득 여부 기재
– (보유∙이용) 수집한 개인정보의 보유 형태, 이용 목적, 개인정보 취급자 현황을 기재
① 보유 형태 : 수집한 개인정보 보유하는 장소 및 형태를 기재 ※ 일반적으로 수집한 개인정보는 시스템을 통해 DB에 저장하고, 신청서 등은 캐비넷에 보관하는 경우가 많습니다.
② 보유 시 암호화 항목 : 수집한 개인정보 저장 시 암호화하는 개인정보 항목을 기재 ※ 수집한 개인정보를 DB에 저장할 때 ‘보유 시 암호화 항목’에 해당하고, 신청서 등 다른 매체 보유는 암호화 항목에서 제외됩니다.
③ 이용 목적 : 개인정보를 이용하는 목적 기재 ④ 개인정보 취급자 : 수집한 개인정보를 취급하는 부서 및 사용자 기재 ⑤ 이용 방법 : 개인정보취급자가 정보를 이용하는 방법 기재 ※ 이용 목적 및 취급자 현황은 개인정보 이용 현황에 따라 복수로 기재될 수도 있습니다.
– (제공) 개인정보를 제공 또는 연계하는 기관이 있다면 해당 기관명과 제공 목적을 기재 ※ 해당 사항이 없는 경우에는 기재하지 않습니다.
① 제공 목적 : 정보를 제공하는 목적을 상세히 기재 ② 제공자 : 정보를 제공하는 부서 및 관련 담당자 기재 ③ 수신자 : 정보를 제공하는 타 기관, 시스템명 기재 ④ 제공 정보 : 제공하는 상세 개인정보 항목을 기재 ⑤ 제공 방법 : 정보 제공 시 타 기관에 제공하는 방식 및 시스템 연계 시 연계방식 기재 ⑥ 제공 시 암호화 : 정보 제공 시 제공 데이터 암호화 여부 및 전송 시 암호화 여부 기재 ※ 해당사항이 없는 경우에는 기재하지 않습니다.
⑦ 제공 근거 : 개인정보를 제공하는 법적 근거 및 사유 기재
– (파기) 개인정보를 보유하는 기간 및 개인정보 파기 시 구체적인 파기 절차를 기재
① 보유기간 : 정보를 수집한 후 파기하기 전까지의 보관 기간 명시 ※ 보관기간은 정확한 기한이 있을 경우‘1년’,‘ 10년’과 같이 표기하고, 정확한 기한이 없을 경우 ‘웹사이트 회원 탈퇴 시까지’등과 같이 보유 기간 산정 원칙을 명시합니다.
② 파기담당자 : 정보를 파기하는 부서 및 담당자 ③ 파기 절차 : 파기가 결정된 정보에 대해 파기 주기와 파기 방법 기재
(4) 개인정보 흐름도 작성
개인정보흐름도범례 설명 접기 ◎ 개인정보 흐름도 작성 방법
① 개인정보 취급자(부서)를 정리하여 흐름도 상단에 기술 ※ 취급 부서 및 취급자는 필요에 따라 확장
② 개인정보 취급(수집, 이용, 제공) 업무를 기술 ※ 업무에 따라 흐름도를 분리해야 할 경우 각각 나누어 작성 가능
③ 각 업무에서 개인정보를 취급하는 수단을 기술 ※ 예 : PC, 신청서, 노트북, 전화, 대면, 의료기구 등
④ 개인정보를 보유하는 DB시스템을 표현하며 평가 대상 시스템, DB명, 테이블명 또는 취급하는 개인정보의 함축적 의미를 가진 정보항목을 기술 ※ 예 : 신상 정보(이름, 주민번호, 주소, 전화번호 등), 의료 정보(혈압, 진단 내용 등)
⑤ 평가기관 내부 시스템과 연계하여 이용할 경우 시스템 명을 기재
⑥ 개인정보 수집 시 수집하는 방법을 점선과 실선으로 표시 ※ 온라인은 실선으로 하며, 오프라인으로 개인정보 흐름이 발생할 경우 점선으로 구분
⑦ 개인정보 취급과정에서 정보의 흐름방향을 화살표로 연결
⑧ 개인정보 흐름을 표시한 화살표 상에 개인정보 항목을 기술
⑨ 개인정보 흐름 목적/연계방식 등 개인정보 흐름파악에 필요한 설명을 간략히 기술
⑩ 개인정보 외부 제공의 경우는 외부 기관명 또는 외부 업체명을 기재하고 제공 방식, 제공하는 개인정보항목을 기술 ※ 제공방식 : 시스템 연계(VPN, EAI 등), 우편(등기), 인편, Fax, 이메일 등
⑪ 개인정보의 보유기간과 파기 방법 기술
접기
● 앞서 설명한 바와 같이, 개인정보 취급이 수반되는 업무별로 개인정보의 수집∙보유∙이용/제공∙파기되는 개인정보의 흐름을 한 눈에 파악할 수 있도록, ‘개인정보 흐름도’를 작성합니다.
– 개인정보 흐름도는 시스템 구조도와 함께 사업전체에 있어서 개인정보 흐름을 한눈에 파악하여 개인정보 영향평가 항목 평가나 추가적인 취약성 분석 과정에서 침해요인을 정확히 도출하는데 도움이 됩니다.
– 개인정보 흐름도는 개인정보 흐름표를 참고하여 수집∙보유∙이용/제공∙파기 등의 생명주기를 기반으로 해당 업무처리자 및 시스템의 구성사항을 고려하여 작성합니다.
● 개인정보 흐름도 작성 방법은 아래 범례를 참고하여 작성합니다.
● 개인정보 흐름도 작성 범례를 참고하여 민원처리 시스템에 대한 흐름도 예시입니다.
● 개인정보 흐름도 좌측에 수집/보유/이용∙제공/파기와 관련한 개인정보 생명주기를 기입합니다.
● 개인정보 흐름도 상단에는 먼저 개인정보와 관련한 업무를 기재하고, 업무와 관련하여 개인정보 취급과 관련한 담당자 및 담당부서, 정보주체 등을 기입합니다. 개인정보의 외부 제공이 발생할 경우 관련한 유관기관명을 기재합니다.
● 개인정보 흐름도 본문에는 개인정보를 취급하는 관련업무, 취급과 관련하여 사용되는 매체(PC, 노트북, 신청서등의 문서)와 수집한 개인정보를 처리할 때 관련한 IT시스템(DB, 웹서버 등)을 표시하고 각 요소들 간의 이동 시 전송되는 개인정보 항목을 기재합니다.
(5) 시스템 구조도 작성
● 네트워크 접근제어의 미흡, 서비스 거부 공격에 대한 방어, 네트워크 가용성 확보 미흡 등과 같이 시스템 설계상 원천적으로 내재된 개인정보 침해요인을 분석, 위험도 산정 등에 활용하기 위해 시스템 구조도를 작성합니다.
– 정보시스템 구조도는 방화벽, 침입탐지시스템과 같은 보안 메커니즘을 포함하여 전송 데이터 암호화, DB 암호화 등 개인정보보호를 위한 기술적∙물리적∙관리적 보안 메커니즘의 타당성을 검토할 수 있습니다.
– 정보시스템 구조도는 사업 추진 계획서 등에서 작성된 경우 기존 자료를 활용할 수 있으며, 기관이나 사업의 특성을 고려하여 보안이 중요하여 공개가 불필요하다고 판단할 경우 비공개로 할 수 있으며, 평가를 위해 반드시 별도로 작성할 필요는 없습니다.
개인정보 안심 진단 서비스 – 개인정보보호 컨설팅 케이핌(www.kpim.co.kr)
개인정보 영향평가(PIA)는 어떻게 이루어지는가?
지능정보화 기술의 발전에 따라 빅데이터, 사물인터넷 분야에서 개인정보 보호 이슈가 제기되고 있습니다. 이처럼, 세계는 다양한 개인정보 보호 이슈의 등장과 함께 EU 일반 개인정보 보호 규정(GDPR)의 채택에 따른 변화를 주목하고 있다고 이전 글에서도 설명드렸는데요.
2016년, 개인정보 유출 사고에 대한 책임에 대해서 방송통신위원회가 44억 8천만 원이라는 역대 최고 과징금을 부과했습니다. 지금까지 개인정보 유출이나 오•남용은 언제, 어떻게 누구에 의해서 발생했는지 알기도 어려웠는데요. 특히, 정보주체는 손해배상을 받기가 더 어려웠으나, 2016년 7월부터 손쉽게 피해를 구제받을 수 있도록, 법정손해배상제도 및 징벌적 손해배상제도가 본격 시행되었습니다.
l 개인정보 보호 관련 법규
공공기관의 개인정보 침해 예방을 위해, <개인정보 보호법> 제33조 제1항에 따라 개인정보 영향평가 수행은 의무화되어 있습니다. 개인정보 영향평가란 공공기관이 개인정보파일 운용 시 개인정보 침해가 우려되는 위험요인을 분석하고 개선함으로써 침해 사고를 사전에 방지하기 위해 마련된 평가제도입니다.
개인정보 보호호법 제33조(개인정보 영향평가) ① 공공기관의 장은 대통령령으로 정하는 기준에 해당하는 개인정보파일의 운용으로 인하여 정보 주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석과 개선 사항 도출을 위한 평가(이하 “영향평가”라 한다)를 하고 그 결과를 행정안전부 장관에게 제출하여야 한다. 이 경우 공공기관의 장은 영향평가를 행정안전부 장관이 지정하는 기관(이하 “평가기관”이라 한다) 중에서 의뢰하여야 한다.
개인정보 영향평가는 개인정보 침해 사고가 발생하면, 법정에서 법인•개인의 관리적 책임을 다했다고 입증하기 위한 수단이 될 수 있고, 영향평가를 통해 고유식별정보(주민등록번호를 제외)의 내부망 암호화 예외 처리 등 각 법인•개인이 처한 상황에 따른 적용이 가능합니다.
개인정보 보호법 제74조(양벌 규정) ① 업무에 관하여 위반행위를 하면 그 행위자를 벌하는 외에 그 법인 또는 개인을 7천만원 이하의 벌금에 처한다. 다만, 법인 또는 개인이 그 위반행위를 방지하기 위하여 해당 업무에 관하여 상당한 주의와 감독을 게을리하지 아니한 경우에는 그러하지 아니하다.
안전성확보조치기준 개인정보처리자가 내부망에 고유식별정보를 저장하는 경우에는 다음 각 호의 기준에 따라 암호화의 적용여부 및 적용범위를 정하여 시행할 수 있다. 1. 법 제33조에 따른 개인정보 영향평가의 대상이 되는 공공기관의 경우에는 해당 개인정보 영향평가의 결과 2. 암호화 미적용시 위험도 분석에 따른 결과
상당한 주의와 감독에는 개인정보 영향평가수행, 안전성 확보조치, 내부관리계획 수립 후 이행, 이행점검 등이 포함됩니다. 그 중 이번에는 개인정보 영향평가에 대해서 조금 더 자세히 알아보려고 하는데요. 이번 글에서는 개인정보 영향평가(PIA)에 대한 개념•대상 및 단계별 수행절차 중심으로 설명하고, 다음 글에서는 개인정보 영향평가항목에 대해 살펴보겠습니다.
개인정보 영향평가(Privacy Impact Assessment)는 왜 필요할까?
개인 정보 파일을 운용하는 새로운 정보시스템의 도입이나 기존에 운영 중인 개인정보 처리 시스템의 중대한 변경 시, 시스템의 구축•운영•변경 등이 개인정보에 미치는 영향(impact)을 사전에 조사•예측•검토해야 합니다.
이와 같이 개인정보 처리가 수반되는 사업을 추진 시, 해당 사업이 개인정보에 미치는 영향을 사전에 분석하고 이에 대한 개선방안을 수립하여 사업을 수행할 때, 개인정보 침해사고를 사전에 예방하고자 하는데 목적이 있습니다.
평가 대상
일정규모 이상의 전자적으로 처리하는 개인정보파일을 구축, 운영 또는 변경하려는 공공기관이나 개인정보파일 운영 시 개인정보 침해가 우려 되는 위험요인을 분석•개선함으로써 침해사고를 사전에 방지하고자 하는 민간에서는 개인정보 보호법 제33조 및 개인정보 보호법 시행령 제35조에 근거하여 영향평가를 수행해야 하거나 수행할 수 있습니다.
영향평가 수행 대상(개인정보 보호법 시행령 제35조) – 5만 명 이상의 민감 정보 또는 고유식별정보가 포함된 개인정보파일 – 내부 또는 외부 개인정보파일과 연계 결과 50만 명 이상의 개인정보가 포함된 개인정보파일 – 100만 명 이상의 개인정보가 포함된 개인정보파일 – 개인정보 검색체계 등 개인정보파일의 운용체계를 변경하는 경우, 변경된 부분
그럼 평가 시기 및 절차는 어떻게 될까요?
영향평가는 사전준비, 수행, 이행의 3단계로 구성된다고 말씀드린 바 있습니다. 단계별 세부 수행 내용을 살펴보도록 하겠습니다.
l 개인정보 영향평가 수행 안내서-영향평가 절차
1단계) 영향평가 사전준비단계
구축 또는 변경하고자 하는 정보시스템에 대해서 영향평가 필요성을 검토하고, 예산을 확보하기 위한 사업계획서를 작성한 뒤 영향평가 기관을 선정하게 됩니다. 사업 발주 시 유의 사항은 시스템 구축 사업의 일부분으로써 영향평가를 포함하여 발주할 경우, 영향평가의 독립성을 심각하게 저해할 수 있으므로, 구축사업과 분리하여 별도의 사업으로 발주하는 것이 필요합니다.
이 단계에서 SI 전문 회사인 LG CNS는 검증된 방법론과 Quick 점검 체크리스트를 보유•적용하여,제안 요청서 단계에서부터 적극적으로 활용할 수 있습니다. 또한, 공공기관은 행정안전부 장관이 지정한 평가기관에 영향평가를 의뢰해야 합니다. 2017년 8월 기준으로 LG CNS를 포함하여 18개 평가기관이 있고 개인정보 보호 종합포털(www.privacy.go.kr)에서 평가기관 목록 확인이 가능합니다.
2단계) 영향평가 수행단계
이 단계에서는 평가기관이 개인정보 침해요인을 분석하고 개선계획을 수립하여 영향평가서를 작성해야 합니다.
평가수행 계획이 수립되면 평가팀을 구성하게 되는데 대상기관 사업관리 담당자의 협조 하에 개인정보 보호 담당자, 유관부서 담당자, 외부 전문가 등이 참여하게 됩니다. 위탁 개발•관리되고 있는 시스템의 경우에는 실제 업무 담당자와 사업 담당자가 다르므로 현업 업무 담당자와 시스템 개발부서는 반드시 참여시키는 것이 좋습니다.
다음으로 대상사업 및 관련 기관 내•외부 정책환경 분석을 위한 자료를 수집하게 됩니다. 개인정보 보호 관련 법규는 기본이며, 상위기관의 지침과 해당 기관 내부 규정 현황을 파악해야 합니다. 그리고 평가대상 사업 추진 근거 법률 및 법령에 대해서는 상세한 분석이 필요합니다.
l 외부정책자료 예시
다음은 대상 사업에서 처리되는 개인정보 흐름에 대한 파악을 위해 정보시스템 내 개인정보 흐름 분석이 필요합니다. ①개인정보 처리업무 분석(개인정보 영향도 등급표, 개인정보 처리 업무표 및 업무흐름도 작성), ②개인정보 처리 업무표를 기반으로 개인정보 흐름표 작성, ③개인정보 흐름표를 기반으로 개인정보 흐름도 작성, ④ 기관 내 네트워크 및 보안시스템 구조 등을 분석하여 정보시스템 구조도를 작성하고, 개인정보의 흐름에 따른 개인정보 조치사항 및 계획 등을 파악합니다.
개인정보 침해 위험성 도출을 위한 개인정보 침해요인 분석을 위한 평가항목은 4개 평가영역 25개 평가 분야에 대하여 총 78개의 지표로 구성되고 평가항목은 침해사고 사례, 법 제도의 변화, 대상 기관 및 대상 사업의 특성 등에 따라 추가•삭제•변경 등 탄력적으로 구성하여 사용할 수 있습니다.
특히 “V.특정 IT기술”영역에 명시되지 않은 특화된 IT기술을 적용하는 경우에는 해당기술이 개인정보에 미치는 영향에 대한 평가 항목을 개발하여 영향평가 시 반영해야 합니다. 추가 영향평가 항목을 개발하고 평가할 수 있는 것이 평가기관의 역량으로 간주할 수 있을 것입니다.
LG CNS는 그룹사에서 수행하는 다양한 사업영역과 특화 기술이 적용된 상품•서비스에 적용하고, 검증된 평가 항목을 보유하고 있으며 적용할 수 있습니다. 특히, IoT 영역은 강점이 있다고 볼 수 있습니다.
l 영향평가 평가영역 및 평가분야
단, 대상기관 개인정보 보호 관리체계 평가영역은 1년 이내에 수행된 이전 영향평가를 통해 먼저 평가를 수행한 경우 대상기관과의 협의를 거쳐 제외 가능합니다. 대상 사업의 특성에 맞게 작성된 평가항목을 바탕으로 자료검토, 시스템 점검, 현장실사, 인터뷰 등을 통해 개인정보 보호 조치사항을 파악하여 분석합니다.
평가항목별 평가는 상세한 근거와 함께 평가(부분이행, 미이행, 이행, 해당 없음)한 후, 상세한 사유 및 증거 자료를 같이 제시합니다.
분석 및 보호 조치 현황에 대한 평가결과를 기반으로 개인정보 침해요인을 분석하고, 침해요인은 유사 침해사고 사례, 업무특성 등을 반영하여 작성합니다. 특히, 법률 위반사항에 대해서는 별도로 표기하는 것이 필요합니다. (법적 의무사항은 필수적으로 조치 필요)
도출된 침해요인은 모두 개선하는 것이 원칙이나, 기관 내 자원이 부족한 경우 위험도 분석 결과에 따라 개선사항의 우선순위를 정하여 선택적 조치가 가동하도록 개인정보 영향도, 침해요인 발생 가능성 및 법적 준거성 고려해서 위험도를 산정합니다.
개인정보 침해 위험 위험도 산정예시 위험도 = 개인정보 영향도 + (침해 요인 발생 가능성 X 법적 준거성) X 2
식별된 침해 요인별 위험도를 측정하고 검토한 후, 위험요소를 제거하거나 최소화하려는 개선 방안을 도출하고 대상기관 내 보안 조치현황, 예산, 인력, 사업 일정 등을 고려하여 개선 계획을 수립합니다. 그리고 개선 계획 수립 시에는 위험도가 높은 순서, 법적•의무 사항은 빠른 시일 내에 모두 개선될 수 있도록 개선 계획표를 작성하는 것이 필요합니다.
마지막으로 영향평가 추진 경과 및 중간산출물 등의 내용을 정리하고 도출된 위험요소 및 개선계획 등 최종산출물들을 모두 취합하여 영향평가서를 작성하고, 최종적으로 검토 또는 승인할 수 있는 조직 내 최고 의사결정권자에게 보고합니다.
완료된 영향평가서는 해당 개인정보파일을 구축•운용하기 전에 행정안전부장관에게 제출하고, 기존에 운용 중이던 개인 정보 파일인 경우 영향평가 사업 완료 후 2개월 이내에 행정안전부 장관에게 제출해야 합니다.
「개인정보 영향평가에 관한 고시」에 따라 제5조에 따라 영향평가 수인 인력을 일반수행인력과 고급수행인력으로 구분할 수 있으나 전문인력 인증서를 받은 경우에만 영향평가 수행 가능하니, 투입인력의 영향평가 인증서를 확인해야 합니다.
3단계) 이행단계
개인정보 침해요인에 대한 조치내역을 확인하는 단계로 시스템 구축이나 변경사업의 경우에는 테스트 단계에서 침해 요인별 조치가 적절하게 수행되었는지 점검합니다. 일반적으로 영향평가 종료 후 영향평가 기관 사업 담당자가 사후 관리의 목적으로 개선 계획에 대한 이행 여부의 점검을 하지만, 대상기관 사업 주관부서 사업담당자가 직접 점검할 수 있고, 감리를 시행할 경우 감리 과정에 해당 내용을 포함시켜 조치여부를 확인•점검 가능합니다.
영향평가서를 제출받은 공공기관의 장은 개선사항으로 지적된 부분에 대한 이행 현황을 영향평가서를 제출받은 날로부터 1년 이내에 행정안전부 장관에게 제출하도록 하며, 이행점검 결과 미흡한 부분은 원인 등을 분석하여 계획대로 이행될 수 있도록 조치방안을 마련해야 합니다.
마치며
지금까지 간략하게 개인정보 영향평가 정의와 수행 절차 중심으로 알아보았습니다.
공공기관이 개인정보 파일 운영 시 개인정보 침해가 우려되는 위험요인을 분석•개선함으로써, 침해사고를 사전에 방지하기 위한 제도로 시작했으나, 앞으로는 개인정보 영향평가를 공공과 민간영역을 망라한 의무화 범위를 확대하고, 프로세스 운영 위주의 영향평가에서 개인정보를 처리하는 제품이나 서비스까지 확장해야 합니다. 또한, 개인정보 영향평가의 기준도 변경 중인 국제표준에 근거하여 개선 및 효율화해야 합니다.
그러기 위해서는 현재의 영향 평가 기관(18개 기관) 및 전문인력(16년 말 기준 1,027명)도 지속적으로 확대•육성해야 할 것입니다.
다음 글에서는 개인정보 영향평가 항목과 평가 수행 방법 중심으로 이야기해 보도록 하겠습니다.
[참고] 관련 법규 및 참고 자료 – 개인정보 보호법 제33조(개인정보 영향평가) – 개인정보 보호법 시행령 제35조(개인정보 영향평가의 대상), – 개인정보 영향평가에 관한 고시 (행정안전부 고시 제2017-9호, 2017.9.25) – 2017년 개인정보 보호 연차보고서 (개인정보 보호 위원회)글 | LG CNS 보안컨설팅팀
* 해당 콘텐츠는 저작권법에 의하여 보호받는 저작물로 LG CNS 블로그에 저작권이 있습니다.
* 해당 콘텐츠는 사전 동의없이 2차 가공 및 영리적인 이용을 금하고 있습니다.
키워드에 대한 정보 개인 정보 흐름도
다음은 Bing에서 개인 정보 흐름도 주제에 대한 검색 결과입니다. 필요한 경우 더 읽을 수 있습니다.
이 기사는 인터넷의 다양한 출처에서 편집되었습니다. 이 기사가 유용했기를 바랍니다. 이 기사가 유용하다고 생각되면 공유하십시오. 매우 감사합니다!
사람들이 주제에 대해 자주 검색하는 키워드 [KISA] 개인정보흐름도_01
- 동영상
- 공유
- 카메라폰
- 동영상폰
- 무료
- 올리기
YouTube에서 개인 정보 흐름도 주제의 다른 동영상 보기
주제에 대한 기사를 시청해 주셔서 감사합니다 [KISA] 개인정보흐름도_01 | 개인 정보 흐름도, 이 기사가 유용하다고 생각되면 공유하십시오, 매우 감사합니다.
