1. 국가별 개인정보보호 관리체계
- 개인정보 보호 마크제도
- 개인정보보호 관련 일정 요건을 갖춘 사이트 대상 마크 부여
- 미국: BBBOnline마크제도, 미국 경영개선협회, 개인정보방침 심사
- 일본: 프라이버스 마크제도, 일본정보처리개발협회(JUPDEC), 개인정보보호 체계 심사
- 개인정보 보호 관리체계 인증 제도
- 개인정보를 안전하게 보호할 수 있도록 기술적, 관리적, 물리적, 조직적인 다양한 보호대책을 구현하고 지속적으로 관리, 운영하는 종합적인 체계
- 한국: ISMS-P, 과학기술 정보통신부, 개인정보위원회
- 정보보호 및 개인정보보호 관리체계 인증
- (적용대상) 개인정보의 흐름과 정보보호 영역 인증
- 국제표준: ISO 27001, ISO/IEC
- 경영시스템 중 정보보호관리체계 시스템 심사 및 인증
- 영국: BS 10012, BSI Group
- 개인정보경영시스템(PIMS) 심사 및 인증
- 한국: ISMS-P, 과학기술 정보통신부, 개인정보위원회
- 개인정보를 안전하게 보호할 수 있도록 기술적, 관리적, 물리적, 조직적인 다양한 보호대책을 구현하고 지속적으로 관리, 운영하는 종합적인 체계
- 공공기관의 개인정보 보호 평가제도
- 공공기관의 개인정보 관리체계 및 유출 예방 활동 등을 진단하여 국민의 개인정보가 안전하게 관리될 수 있는 기반 조성을 유도하기 위한 제도
- 한국
- PIA(개인정보 영향평가), 개인정보보호 위원회
- (적용대상) 개인정보파일을 구축, 운영 또는 변경하려는 공공기관
- 개인정보보호 수준진단, 개인정보보호 위원회
- (적용대상) 중앙행정기관 및 산하 공공기관, 지방자치단체, 지방공기업
- PIA(개인정보 영향평가), 개인정보보호 위원회
- 한국
- 공공기관의 개인정보 관리체계 및 유출 예방 활동 등을 진단하여 국민의 개인정보가 안전하게 관리될 수 있는 기반 조성을 유도하기 위한 제도
2. 개인정보보호 마크제도
- BBBOnline (미국)
- 프라이버시 마크와 신뢰성 마크로 구성
- 주관기관: 미국경영개선협회
- 심사 신청: 온라인
- 유효기간: 1년
- 심사대상: 개인정보방치
- 심사 항목
- 범위 및 이행, 정보수집, 접속 및 수정, 행위정보, 정보의 통합, 예측정보, 정보 접근제한, 민감정보, 사업영역, 정보공유, 어린이보호
- Privacy Mark
- 일본
- 주관기관: 일본정보처리개발협회 (JIPDEC)
- 오프라인, 서류심사, 현지조사
- 유효기관: 2년
- 심사대상: 개인정보보호체계
- 심사 항목
- 개인정보보호방침의 제정여부
- 개인정보의 특정
- 내부규정 정비여부
- 부문별 개인정보보호체제 권한, 책임에 관한 규정
- 개인정보 수집, 이용, 제공 및 관리에 관한 규정
- 정보주체로부터 개인정보에 관한 게시, 정정, 삭제에 관한 규정
- 개인정보보호 교육에 관한 규정
- 개인정보보호 감사에 관한 규정
- 내부규정의 위반에 관한 처벌 규정: 교육계획, 감사교육
- ISMS-P (대한민국)
- 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증 기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 제도
- 주관기관: 과학기술정보통신부, 개인정보보호위원회
- 인증대상: 정보보호 및 개인정보보호 관리체계
- 심사방법: 문서심사+ 현장심사
- 유효기간: 3년
- 사후관리심사: 연 1회 이상
- 인증기준
- (ISMS) 2개 영역
- 80개 인증 기준
- (ISMS-P) 3개 영역 102개의 인증기준
- ISO 27001 (국제)
- 정보보호경영시스템의 수립, 이행, 유지관리 및 지속적 개선 등을 위해, 정보보호 관리를 위한 표준화된 실무 규약, Gobal Best Practice 등을 기반으로 제정된 정보보호에 대한 국제표준
- 주관 기관: ISO/IEC
- 유효기간: 3년
- 사후관리 심사: 연 1회 이상
- 인증기준: PDCA 11개 영역 29개 통제항목
3. 국내 개인정보보호 관리체계 인증
- ISMS-P
- 정보보호 및 개인정보보호 관리체계 인증
- 개념
- 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷 진흥원 또는 인증기관이 증명하는 제도
- 대상
- 개인정보의 흐름과 정보보호 영역을 모두 인증하는 경우
- 개인정보 보유 조직
- 선택 기준
- 보호하고자 하는 정보서비스가 개인정보의 흐름을 가지고 있어 처리단계별 보안을 강화할 필요가 있는 경우
- 범위
- 정보서비스의 운영 및 보호를 위한 조직, 물리적 위치, 정보자산
- 개인정보처리를 위한 수집, 보유, 이용, 제공, 파기에 관여하는 개인정보처리시스템 및 취급자
- ISMS
- 정보보호 관리체계 인증
- 개념
- 정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증 기관이 증명하는 제도
- 대상
- 정보보호 영역만 인증하는 경우
- 개인정보 미보유 조직
- 기존 ISMS 의무대상 기업, 기관
- 선택 기준
- 정보서비스의 안정성, 신뢰성 확보를 위한 종합적인 체계를 갖추기 원하는 경우
- 범위
- 정보서비스의 운영 및 보호를 위한 조직, 물리적 위치, 정보자산
5. 인증심사의 종류
- 최초심사
- 정보보호관리체계 인증을 처음 취득 시 시행
- 인증 범위의 중요한 변경이 있어 다시 인증을 신청 시 실시
- 최초 인증을 취득하면 3년의 유효기간 부여
- 인증위원회: 개최
- 사후심사
- 인증 취득 이후 정보보호 관리체계가 지속적으로 유지되는 지를 확인하는 목적으로 인증 유효기간 중 매년 1회 이상 시행
- 인증위원회: 미개최
- 갱신심사
- 정보보호 관리체계 인증 유효기간 연장을 목적으로 하는 심사
- 인증위원회: 개최
'정보보안 자격증 > CPPG' 카테고리의 다른 글
| CPPG 32. 심사 의무대상자 정보통신 서비스 (0) | 2024.07.26 |
|---|---|
| CPPG 30. 정보보호 일반 (0) | 2024.07.26 |
| CPPG 예상문제 8 (0) | 2024.07.24 |
| CPPG 29. 접근통제 (0) | 2024.07.24 |
| CPPG 28. 접근 권한의 관리 (1) | 2024.07.23 |