CPPG 공부용 범위 입니다.

 

3.2.3 컨트롤러(Controller)(제4조제7항)

  • 컨트롤러는 개인정보 처리의 목적과 수단을 결정하는 주체를 의미하며, 이와 같은 결 정은 컨트롤러 단독으로 하거나 또는 제3자와 공동으로 할 수 있다.
    자연인을 비롯하여 법인, 정부부처 및 관련기관, 기타 단체 등이 컨트롤러가 될 수 있다. 이 때 개인정보 처리의 목적과 수단이 EU 또는 회원국(member state)의 법률에 의해 결정되는 경우, 컨트롤러 또는 컨트롤러 지정을 위한 기준은 EU 또는 회원국의 법률에 의해 정의될 수 있다.

3.2.4 프로세서(Processor)(제4조제8항)

  • 프로세서는 컨트롤러를 대신하여 개인정보를 처리하는 자연인, 법인, 정부부처 및 관련기관, 기타 단체 등을 의미한다.
    프로세서는 컨트롤러의 지시에 따라 개인정보를 처리하며, 이 때 컨트롤러는 반드시 구속력 있는 서면 계약에 의해 프로세서를 지정하여야 한다.

3.2.5 수령인(Recipient)과 제3자(Third party)(제4조제9항~제10항)

  • 수령인은 제3자인지 여부와 관계없이 개인정보를 공개·제공받는 자연인이나 법인, 정부 부처 및 관련기관, 기타 단체 등을 의미한다.
    ※ 예외적으로 EU 또는 회원국 법률에 따라 특정한 문의·회신 및 조회 업무를 수행하는 상황에서 개인정보를 제공받는 정부부처 및 관련기관(예: 세관 당국이나 금융 시장 규제 당국)은 수령인에 해당하지 않는다.
  • 컨트롤러는 정보주체에게 그들의 개인정보가 어떤 수령인에게 공개·제공되었는지 알려 주어야 하는 의무를 부담하므로, 수령인 또는 수령인의 유형을 사전에 식별할 필요가 있다.
    제3자는 ① 정보주체, ② 컨트롤러, ③ 프로세서, ④ 컨트롤러·프로세서의 직접적 권한에 따라 개인정보를 처리할 수 있는 사람을 제외한 모든 자연인이나 법인, 정부부처 및 관련기관, 기타 단체 등을 의미한다.

3.2.6 프로파일링(Profiling)(제4조제4항)

  • 프로파일링은 개인의 특징을 분석하거나 예측하는 등 해당 개인의 특성을 평가하기 위하여 행해지는 모든 형태의 ‘자동화된(automatic)’ 개인정보 처리를 의미한다.
    예를 들면 개인의 업무 수행, 경제적 상황, 관심사, 지역적 이동 등을 분석하거나 예측하기 위하여 개인정보를 자동화된 방식으로 처리하는 경우 프로파일링에 해당한다.
  • 컨트롤러는 프로파일링의 경우에도 GDPR의 개인정보보호 원칙에 따른 보호조치를 취해야 하며, 프로파일링에 사용된 개인정보(input personal data)와 프로파일링 결과 생성된 정보(output data) 모두에 정보주체의 권리를 보장해야 한다.
  • 프로파일링을 통한 민감정보의 처리는 제9조제2항, 민감정보 처리 규정이 준수된 경우에만 가능하며 프로파일링을 포함한 자동화된 의사 결정에는 제22조를 통해 추가적인 보호조치를 적용해야 한다.

3.2.7 가명처리(Pseudonymisation)(제4조제5항)

  • 추가적 정보의 사용 없이는 더 이상 특정 정보주체를 식별할 수 없도록 개인정보를 처리하는 것을 가명처리라고 한다. 이 때 추가적 정보는 분리 보관하여야 하고, 해당 정보를 이용하여 개인을 식별할 수 없도록 기술적·관리적 조치를 취하여야 한다.
  • GDPR에서 가명처리를 거친 정보는 추가적 정보의 사용을 통하여 개인 식별 가능성이 있으므로, 개인정보로 본다(전문 제26항).
    개인정보를 가명처리 하는 경우, 해당 기업은 ① Data protection by design and by default 의무를 충족하는데 도움이 되고, ② 개인정보를 보호할 수 있는 보안적 수단으로써 장점 등을 가질 수 있다.

CPPG 동영상 강의에서 설명한 부분만 정리하였습니다.

 

1. GDP: 2018년 5월 25일부터 시행

 

2. GDPR을 적용받는 기업은 아래 어느 하나에 해당하는 기업으로써  EU 주민의 개인정보를 처리하는 경우에는 한국 기업도 적용 대상임

  • EU에 사업장을 운영하는 기업 (지점, 판매소, 영업소 등)
  • EU 지역에 사업장은 없지만, 인터넷 홈페이지를 통해 EU에 거주하는 주민에게 물품ㆍ서비스를 제공하는 기업
    (예) 현지어로 마케팅 활동을 하거나 현지 통화로 결제하는 경우
  • EU에 거주하는 주민의 행동을 모니터하는 기업
  • 특히 아래에 해당하는 기업은 특별히 주의해야 함
    ① EU 주민의 민감한 정보(건강, 유전자, 범죄경력 등)를 처리하거나, 아동의 정보를 처리하는 기업
    ② 공개적으로 접그 가능한 장소에 대한 대규모의 체계적인 모니터링을 하는 기업 (예: CCTV)

3. 개인정보의 처리 원칙: 적법성, 공정성, 투명성의 원칙, 목적 제한의 원칙, 개인정보처리의 최소화, 정확성의 원칙, 보관기간 제한의 원칙, 무결성 및 기밀성, 책임성을 기본 원칙으로하며, 다음 6가지 경우에는 개인정보를 적법하게 처리(수집ㆍ이용ㆍ제공 등) 할 수 있음

  ① 정보주체의 동의

  ② 정보주체와의 계약 이행이나 계약 체결을 위해 필요한 처리

  ③ 법적 의무 이행을 위해 필요한 처리

  ④ 정보주체 또는 다른 사람의 중대한 이익을 위해 필요한 처리

  ⑤ 공익을 위한 임무의 수행 또는 기업에게 부여된 공적 권한의 행사를 위해 필요한 처리

  ⑥ 기업 또는 제3자의 적법한 이익 추구 목적을 위해 필요한 처리

  ☞ 기업은 개인정보 처리 전에 반드시 적법한 처리 근거 확보 여부 확인 필요

 

4. 정보주체의 권리

  - 삭제요구권, ㅈ처리제한권, 정보이동권, 프로파일링 거부권 등 정보주체의 권리 보장 확대

권리 주요내용
처리 제한권 정보주체는 본인에 관한 개인정보의 처리를 차단하거나 제한을 요구할 권리를 가짐
정보 이동권 정보주체는 본인의 개인정보를 본인 또는 다른 사업자에게 전송토록 요구할 권리를 가짐
삭제권 정보주체는 본인에 관한 개인정보 삭제를 요구할 권리를 가짐
프로파일링 거부권 정보주체는 본인에게 중대한 영향을 미치는 사안을 프로파일링 등 자동화된 처리에 의해서만 결정하는 것에 반대할 권리를 가짐

 

5. 기업 책임성 강화를 위한 조치사항

  - DPO(개인정보보호책임자) 지정, 개인정보 처리활동의 기록, 대리인 지정, 개인정보 영향 평가 등 기업의 책임성 강화

  * DPO (Data Protection Officer)

DPO 필수 지정 - 공공기관 개인정보 처리
- 정보주체에 대한 정기적이고 체계적인 모니터링
- 건강, 범죄경력 등 민감정보에 대한 대규모의 처리
DPO 업무 - GDPR 등 준수의무 알리고 자문
- 내부 정보보호 활동 관리, GDPR 모니터링
- 정보제공, 조언, 권고사항 제시
- 영향평가에 대한 자문 및 평가 이행 감시
DPO 자질 - GDPR 등 개인정보 관련 법률에 대한 전문지식
- 개인정보처리 작업 이해
- 정보기술 및 보안 이해
- 기업 및 조직에 대한 지식
- 조직 내 개인정보보호 문화 활성화 능력
DPO 지위/책임 - 개인정보보호 관련 문제에 적절/적시에 관여 보장
- 시간, 재정적 자원, 인프라, 훈련 등 지원

 

6. 용어

  - 위탁자 : 컨트롤러

  - 수탁자 : 프로세서

 

7. 최근동향: 한-EU간 개인정보보호 적정성 결정(Adequacy Decision) 최종 통과 / 2021년 12월

  ※ 적정성 결정: 특정 국가의 개인정보법제가 EU와 동등한 수준인지 평가하여 EU 시민의 개인정보를 해당 국가로 자유롭고 안전하게 이전할 수 있도록 승인한 제도

  - 국내 기업들은 EU시민 개인정보를 추가적인 인증이나 절차 없이 국내로 이전 가능

  - 한국 기업들의 경우 표준계약 등 기존의 까다로운 절차가 면제

  - 사업자의 전반적인 GDPR 준수 의무가 없어지는 것은 아님

제가 외울 때 그나마 도움된 방식으로 작성하겠습니다.

 

 

회사의 규모를 기준으로 표를 분리했습니다.

1. 소상공인: 상시인원 10명 미만

  - 광업ㆍ제조업ㆍ건설업 및 운수업: 10명 미만

  - 그 밖의 업종: 5명 미만

2. 개인: 1명

3. 단체

(소상공인보다 적을수도 많을 수도 있는 게 단체이니까, 1만명 미만은 유형1, 100만명 미만은 유형2, 100만명 이상은 유형3으로 해~)

4. 중소기업

(단체보다 나은 환경의 기업이니까 유형1은 빼고100만명 미만까지는 유형2, 그 이상은 유형3으로 해~)

5. 중견기업 / 대기업 / 공공기관

(잘 나가는 기업이니까 10만명 기준으로 보호조치 해~)

 

개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준

유형 적용 대상 안전조치 기준
유형1
(완화)
- 1만명 미만의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인 - 제5조 : 제2항부터 제5항까지
- 제6조 : 제1항, 제3항, 제6항 및 제7항
- 제7조 : 제1항부터 제5항까지, 제7항
- 제8조, 제9조, 제10조, 제11조, 제13조
유형2
(표준)
- 100만명 미만의 정보주체에 관한 개인정보를 보유한 중소기업
- 10만명 미만의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
- 1만명 이상의 정보주체에 관한 개인정보를 보유한 소상공인, 단체, 개인
- 제4조 : 제1항제1호부터 제11호까지 및 제15호, 제3항부터 제4항까지
- 제5조
- 제6조 : 제1항부터 제7항까지
- 제7조 : 제1항부터 제5항까지, 제7항
- 제8조, 제9조, 제10조, 제11조, 제13조
유형3
(강화)
- 10만명 이상의 정보주체에 관한 개인정보를 보유한 대기업, 중견기업, 공공기관
- 100만명 이상의 정보주체에 관한 개인정보를 보유한 중소기업, 단체
- 제4조부터 제13조까지

 

암호화 대상 1. 주민등록번호
2. 여권번호
3. 운전면허번호
4. 외국인등록번호
5. 신용카드번호
6. 계좌번호
7. 생체인식정보
관련 근거 개인정보의 기술적ㆍ관리적 보호조치 기준

제6조(개인정보의 암호화)
② 정보통신서비스 제공자등은 다음 각 호의 정보에 대해서는 안전한 암호알고리즘으로 암호화하여 저장한다.

1. 주민등록번호
2. 여권번호
3. 운전면허번호
4. 외국인 등록번호
5. 신용카드번호
6. 계좌번호
7. 생체인식정보

 

암호화 적용 기준 요약표

구분 암호화 기준
정보통신망, 보조저장매체를 통한 송신 시 비밀번호, 생체인식정보, 고유식별정보 암호화 송신
개인정보처리시스템에 저장 시 비밀번호 일방향(해쉬 함수) 암호화 저장
생체인식정보 암호화 저장
고유식별정보 주민등록번호 암호화 저장
여권번호,
외국인 등록번호,
운전면허 번호
인터넷 구간, 인터넷 구간과 내부망의 중간 지점(DMZ) 암호화 저장
내부망에 저장 암호화 저장 또는 다음 항목에 따라 암호화 적용 여부ㆍ적용범위를 정하여 시행
① 개인정보 영향평가 대상이 되는 공공기관의 경우, 그 개인정보 영향평가의 결과
② 암호화 미적용시 위험도 분석에 따른 결과
업무용 컴퓨터, 모바일 기기에 저장 시 비밀번호, 생체인식정보, 고유식별정보 암호화 저장
※ 비밀번호는 일방향 암호화 저장

개인정보의 안전성 확보조치 기준의 권고 암호 알고리즘

 

CPPG 시험에서는 국내 알고리즘 숙지 필요

 

분류 미국(NIST) 일본(CRYPTEREC) 유럽(ECRYPT) 국내
대칭키
암호
알고리즘
- AES-128/192/256
- 3TDEA
- AES-128/192/256
- Camellia-128/192/256
- AES-128/192/256
- Camellia-128/192/256
- Serpent-128/192/256
- SEED
- HIGHT
- ARIA-128/192/256
- LEA-128/192/256
공개키
암호
알고리즘
(메시지 암ㆍ복호화)
- RSA
(사용 권고하는 키길이 확인 필요)
- RSAS-OAEP - RSA-OAEP - RSAES
일방향
암호
알고리즘
- SHA-224/256/384/512 - SHA-256/384/512 - SHA-224/256/384/512
- Whirlpool
- SHA-224/256/384/512

 

같은 성격끼리 색을 칠했습니다.

해당 조항별 봐야할 것들을 기재했습니다.

반드시 숙지 필요합니다.

 

개인정보의 기술적ㆍ관리적 보호조치 개인정보의 안전성 확보조치
제1조 목적 제1조 목적
제2조 정의 제2조 정의


- 소상공인 기준: 상시 근로자 수가 10명 미만일 것
  1. 광업ㆍ제조업ㆍ건설업 및 운수업: 10명 미만
  2. 그 밖의 업종: 5명 미만
- "개인정보처리시스템"이란 데이터베이스 등 개인정보를 처리할 수 있도록 체계적으로 구성한 시스템
- "위험도 분석"이란 개인정보 유출에 영향을 미칠 수 있는 다양한 위험요소를 식별ㆍ평가하고 해당 위험요소를 적절하게 통제할 수 있는 방안 마련을 위한 종합적으로 분석하는 행위
- "비밀번호"란 시스템에 전달해야하는 고유의 문자열로서 타인에게 공개되지 않는 정보
- "정보통신망"이란 전기통신설비를 이용하거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장ㆍ검색ㆍ송신 또는 수신하는 정보통신체계
- "내부망"이란 물리적 망분리, 접근 통제시스템 등에 의해 인터넷 구간에서의 접근이 통제 또는 차단되는 구간
  제3조 안전조치 기준 적용
  - 개인정보처리자 유형 및 개인정보 보유량에 따른 안전조치 기준 표 참조
제3조 내부관리계획의 수립ㆍ시행 제4조 내부 관리계획의 수립ㆍ시행
- "내부관리계획"이라 함은 정보통신서비스 제공자 
(기준적용 대상자 표 참조 필요)

- 최소 연 1회 이상 점검
- 개인정보 유출 사실을 알게 된 후 즉시(24시간 이내)
- 내부관리계획은 대표자에게 내부결재 등의 승인
- 최고경영층으로부터 내부결재 등의 승인
- 개인정보취급자가 정보통신망을 통해 외부에서 개인정보처리시스템에 접속하는 경우 안전한 접속수단 또는 안전한 인증수단을 적용
- 개인정보처리시스템의 접속기록 점검주기는 월 1회 이상
- 위험도 분석 및 대응방안 마련에 관한 사항 (유출 측면)
- 재해 및 재난 대비 개인정보처리시스템의 물리적 안전조치에 관한 사항 (재해 재난 측면)
- 내부 관리계획의 이행 실태를 연 1회 이상 점검ㆍ관리
  제5조 접근 권한의 관리
  - 최소한의 범위로 차등 부여
- 개인정보처리자의 인사이동이 발생한 경우 지체없이 개인정보처리시스템의 접근 권한을 변경 또는 말소
- 개인정보취급자의 접근 권한의 부여, 변경 또는 말소에 대한 내역을 기록 및 최소 3년간 보관
- 개인정보처리시스템에 접속할 수 있는 계정은 공유되지 않도록 한다.(책임 추적성)
- 개인정보취급자 또는 정보주체가 안전한 비밀번호를 설정하여 이행할 수 있도록 비밀번호 작성규칙을 수립하여 적용
- 비밀번호를 일정 횟수 이
상 잘못 입력한 경우 접근을 제한하는 등의 필요한 기술적 조치를 하여야 한다.
제4조 접근통제 제6조 접근통제
- 권한 부여, 변경 또는 말소에 대한 내역을 최소 5년간 보관
- 개인정보를 100만명 이상 보유하거나, 정보통신서비스 부문 저년도 매출액이 100억원 이상인 경우 망분리(물리적 또는 논리적) 필요
- 망분리 대상자: 개인정보를 다운로드 또는 파기할 수 있거나, 개인정보처리시스템에 대한 접근권한을 설정할 수 있는 개인정보취급자
- 개인정보취급자 대상으로 비밀번호 규칙 적용
- 비밀번호 유효기간은 반기별 1회 이상 변경
- 개인정보취급자의 최대 접속시간 제한 조치 (통상 10~30분 이내)
- 인가받지 않은 접근을 제한
- 유출 시도 탐지 및 대응
- 개인정보취급자가 정보통신망을 통해 외부에서 접근 시 "가상사설망" 또는 전용선 등 안전한 접속수단을 적용하거나 안전한 인증수단을 적용
- 무선접속장치의 안전한 비밀번호 프로토콜: WPA2(WiFi Protected Access 2)
- 고유식별정보를 처리하는 개인정보처리자는 인터넷 홈페이지를 통해 고유식별정보가 유출ㆍ변조ㆍ훼손되지 않도록 연 1회 이상 취약점을 점검하고 필요한 보완 조치를 하여야 한다.
- 일정시간 이상 업무처리를 하지 않는 경우에는 자동으로 시스템 접속이 차단되도록 하여야 한다.
제5조 접속기록의 위ㆍ변조 방지  
- 월 1회 이상 정기적 점검
- 최소 1년 이상 접속기록을 보존ㆍ관리
- 접속기록 항목
  1. 식별자
  2. 접속일시
  3. 접속지
  4. 수행업무
 
제6조 개인정보의 암호화 제7조 개인정보의 암호화
- 비밀번호는 일방향 암호화하여 저장
- 안전한 암호알고리즘으로 암호화 하여 저장
  1. 주민등록번호
  2. 여권번호
  3. 운전면허번호
  4. 외국인등록번호
  5. 신용카드번호
  6. 계좌번호
  7. 생체인식정보
- 사용권고 암호 알고리즘 중 국내알고리즘 숙지 필요
- 고유식별정보, 비밀번호, 생체인식정보를 정보통신망을 통하여 송신하거나 보조저장매체 등을 통하여 전달하는 경우 암호화
- 비밀번호는 일방향 암호화하여 저장
- 사용권고 암호 알고리즘 중 국내알고리즘 숙지 필요
- 암호화된 개인정보를 안전하게 보관하기 위하여 안전한 암호 키 생성, 이용, 보관, 배포 및 파기 등에 관한 절차를 수립ㆍ시행
- 업무용 컴퓨터 또는 모바일 기기에 고유식별정보를 저장하여 관리하는 경우 상용 암호화 소프트웨어 또는 안전한 암호화 알고리즘을 사용하여 암호화한 후 저장
  제8조 접속기록의 보관 및 점검
  - 개인정보취급자가 개인정보처리시스템에 접속한 기록을 1년 이상 보관ㆍ관리
- 5만 명 이상의 정보주체에 관하여 개인정보를 처리하거나, 고유식별정보 또는 긴감정보를 처리하는 개인정보처리시스템의 경우에는 2년 이상 보관ㆍ관리
- 개인정보처리시스템의 접속기록 등을 월 1회 이상 점검
- 개인정보를 다운로드한 것이 발견되었을 경우에는 내부 관리계획으로 정하는 바에 따라 그 사유를 반드시 확인
- 접속기록 항목
  1. 계정
  2. 접속일시
  3. 접속지 정보
  4. 처리한 정보주체 정보 ← 기술적ㆍ관리적 보호조치와 차이점
  5. 수행업무
제7조 악성프로그램 방지 제9조 악성프로그램 등 방지
- 자동 업데이트 기능을 사용하거나
- 일 1회 이상 업데이트
- 긴급 패치가 있는 경우 즉시 업데이트
- 자동 업데이트 기능을 사용하거나
- 일 1회 이상 업데이트
- 긴급 패치가 있는 경우 즉시 업데인트
  제10조 관리용 단말기의 안전조치
  - 개인정보 유출 등 개인정보 침해사고 방지를 위한 관리용 단말기의 안전조치
제8조 물리적 접근 방지 제11조 물리적 안전조치
- 물리적 보관 장소를 별도로 두고 있는 경우, 출입통제 절차를 수립ㆍ운영
- 개인정보가 포함된 서류, 보조저장매체 등은 잠금장치가 있는 안전한 장소에 보관
- 개인정보가 포함된 보조저장매체의 반출ㆍ입 통제를 위한 보안대책 마련
- 물리적 보관 장소를 별도로 두고 있는 경우, 출입통제 절차를 수립ㆍ운영
- 개인정보가 포함된 서류, 보조저장매체 등은 잠금장치가 있는 안전한 장소에 보관
- 개인정보가 포함된 보조저장매체의 반출ㆍ입 통제를 위한 보안대책 마련
제9조 출력 복사시 보호조치  
- 개인정보의 출력 시 용도를 특정하여야 하며, 출력항목을 최소화
- 개인정보의 출력ㆍ복사물을 안전하기 관리하기 위해 출력ㆍ복사 기록 등 필요한 보호조치를 갖추어야 한다
 
제10조 개인정보 표시 제한 보호조치  
- 개인정보의 조회, 출력 등의  업무를 수행하는 경우 개인정보를 마스킹하여 표시 제한 조치  
   
  제12조 재해 재난 대비 안전조치
  - 위기대응 매뉴얼 등 대응절차 마련하고 정기적 점검
- 개인정보처리시스템 백업 및 복구를 위한 계획 마련
  제13조 개인정보의 파기
  개인정보를 파기할 경우
  1. 완전파괴(소각ㆍ파쇄 등)
  2. 전용 소자장비를 이용하여 삭제
  3. 데이터가 복원되지 않도록 초기화 또는 덮어쓰기 수행
제11조 재검토 기한 제14조 재검토 기한
매 3년째의 8월 10일까지 매 3년째의 8월 10일까지

 

우선순위 1순위: 개인정보의 기술적 관리적 보호조치
2순위: 개인정보의 안전성 확보조치
관련 근거 제48조의2(개인정보의 안전성 확보 조치에 관한 특례) ① 정보통신서비스 제공자(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제3호에 해당하는 자를 말한다. 이하 같다)와 그로부터 이용자(같은 법 제2조제1항제4호에 해당하는 자를 말한다. 이하 같다)의 개인정보를 법 제17조제1항제1호에 따라 제공받은 자(이하 “정보통신서비스 제공자등”이라 한다)는 이용자의 개인정보를 처리하는 경우에는 (개인정보보호법 시행령) 제30조(개인정보의 안전성 확보 조치)에도 불구하고 (개인정보보호)법 제29조(안전조치의무)에 따라 다음 각 호의 안전성 확보 조치를 해야 한다.
1. 개인정보의 안전한 처리를 위한 다음 각 목의 내용을 포함하는 내부관리계획의 수립ㆍ시행
  가. 개인정보 보호책임자의 지정 등 개인정보 보호 조직의 구성ㆍ운영에 관한 사항
  나. 정보통신서비스 제공자등의 지휘ㆍ감독을 받아 이용자의 개인정보를 처리하는 자(이하 이 조에서 “개인정보취급자”라 한다)의 교육에 관한 사항
  다. 제2호부터 제6호까지의 규정에 따른 조치를 이행하기 위하여 필요한 세부 사항
2. 개인정보에 대한 불법적인 접근을 차단하기 위한 다음 각 목의 조치
  가. 개인정보를 처리할 수 있도록 체계적으로 구성한 데이터베이스시스템(이하 이 조에서 “개인정보처리시스템”이라 한다)에 대한 접근 권한의 부여ㆍ변경ㆍ말소 등에 관한 기준의 수립ㆍ시행
  나. 개인정보처리시스템에 대한 침입차단시스템 및 침입탐지시스템의 설치ㆍ운영
  다. 개인정보처리시스템에 접속하는 개인정보취급자의 컴퓨터 등에 대한 외부 인터넷망 차단[전년도 말 기준 직전 3개월간 그 개인정보가 저장ㆍ관리되고 있는 이용자 수가 일일평균 100만명 이상이거나 정보통신서비스(「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제1항제2호에 따른 정보통신서비스를 말한다. 이하 같다) 부문 전년도(법인인 경우에는 전 사업연도를 말한다) 매출액이 100억원 이상인 정보통신서비스 제공자등만 해당한다]
  라. 비밀번호의 생성 방법 및 변경 주기 등의 기준 설정 및 운영
  마. 그 밖에 개인정보에 대한 접근 통제를 위하여 필요한 조치
3. 접속기록의 위조ㆍ변조 방지를 위한 다음 각 목의 조치
  가. 개인정보취급자가 개인정보처리시스템에 접속하여 개인정보를 처리한 경우 접속일시, 처리내역 등의 저장 및 이의 확인ㆍ감독
  나. 개인정보처리시스템에 대한 접속기록을 별도의 저장장치에 백업 보관
4. 개인정보가 안전하게 저장ㆍ전송될 수 있도록 하기 위한 다음 각 목의 조치
  가. 비밀번호의 일방향 암호화 저장
  나. 주민등록번호, 계좌정보 및 제18조제3호에 따른 정보 등 보호위원회가 정하여 고시하는 정보의 암호화 저장
  다. 정보통신망을 통하여 이용자의 개인정보 및 인증정보를 송신ㆍ수신하는 경우 보안서버 구축 등의 조치
  라. 그 밖에 암호화 기술을 이용한 보안조치
5. 개인정보처리시스템 및 개인정보취급자가 개인정보 처리에 이용하는 정보기기에 컴퓨터바이러스, 스파이웨어 등 악성프로그램의 침투 여부를 항시 점검ㆍ치료할 수 있도록 하기 위한 백신소프트웨어 설치 및 주기적 갱신ㆍ점검 조치
6. 그 밖에 개인정보의 안전성 확보를 위하여 필요한 조치
② 보호위원회는 정보통신서비스 제공자등이 제1항에 따른 안전성 확보 조치를 하도록 시스템을 구축하는 등 필요한 지원을 할 수 있다.
③ 제1항에 따른 안전성 확보 조치에 관한 세부 기준은 보호위원회가 정하여 고시한다.

 

구분 개인정보의 기술적ㆍ관리적 보호조치 개인정보의 안전성 확보조치
개정 일 2022년 10월 2020년 12월
법적 근거 - 개인정보 보호법 제29조(안전조치의무)
- 같은 법 시행령 제48조의2의제3항(개인정보의 안전성 확보조치에 관한 특례)
- 개인정보보호법 제23조(민감정보의 처리 제한), 제24조(고유식별 정보의 처리 제한), 제29조(안전조치의무)
- 같은 법 시행령 제21조(고유식별정보의 안전성 확보 조치), 제30조 (개인정보의 안전성 확보 조치)
과징금 부과

벌칙
- 위반행위와 관련한 매출액의 100분의 3 이하의 과징금(법 제39조의15제1항제5호)
- 2년 이하의 징역 또는 2천만원 이하의 벌금(법 제73조제1호)
- 3천만원 이하의 과태료(법 제75조제2항제6호)
- 2년 이하의 징역 또는 2천만원 이하의 벌금(법 제73조제1호)
- 3천만원 이하의 과태료(법 제75조제2항제6호)
적용 대상 - 정보통신서비스 제공자
- 정보통신서비스 제공자로부터 개인정보를 제공받은 자
- 정보통신서비스 제공자로부터 개인정보 처리를 위탁받은 자(이하 ‘수탁자’, 준용)
- 방송사업자(준용)
- 개인정보처리자
- 개인정보처리자로부터 개인정보를 제공받은 자
- 개인정보처리자로부터 개인정보 처리를 위탁받은 자(이하 ‘수탁자’, 준용)
대상 범위 비교: 정보통신서비스 제공자 > 개인정보처리자
- 정보통신서비스 제공자: 개인정보의 기술적ㆍ관리적 보호조치
- 개인정보처리자: 개인정보의 안전성 확보조치
- 정보통신서비스 제공자 + 개인정보처리자: 개인정보의 기술적ㆍ관리적 보호조치 + 개인정보의 안전성 확보조치
목적 - 정보통신서비스 제공자등이 이용자의 개인정보를 처리할 때 개인정보가 분실ㆍ도난ㆍ유출ㆍ위조ㆍ변조 또는 훼손되는 것을 방지하고 개인정보의 안전성 확보를 위하여 필요한 보호조치의 기준을 정함 - 개인정보처리자가 개인정보를 처리함에 있어서 개인정보가 분실 도난 유출 위조 변조 또는 훼손되지 아니하도록 안전성 확보에 필요한 기술적 관리적 및 물리적 안전조치에 관한 최소한의 기준을 정함
성격 - 반드시 준수해야 하는 최소한의 기준

 

구분 항목 개인정보 기술적 관리적 보호조치 개인정보의 안전성 확보조치
1 내부관리계획의 이행실태 점검 및 관리 정기적 실시 년 1회 이상
2 접근 권한 계정 부여ㆍ삭제 등 기록 보관 최소 5년간 최소 3년간
3 접근 권한 검토 - -
4 비밀번호 유효 기간 반기 1회 이상 -
5 접근통제 점검 - -
6 홈페이지 취약점 점검 및 보완 조치 - 고유식별정보가 홈페이지 저장 시 년 1회 이상
7 접속기록 보관 ㆍ 관리 1년 이상
(기간통신 사업자의 경우 2년 이상)
1년 이상
5만명 이상의 개인정보나 고유식별정보가 있는 경우 2년 이상
8 접속기록 점검 월 1회 이상 월 1회 이상
9 개인정보 표시 보호 표시제한 적용 -

* 개인정보 표시 제한은 "개인정보 기술적 관리적 보호조치"에서만 적용

* 비밀번호 유효 기간은 "개인정보 기술적 관리적 보호조치"에서만 적용

 CPPG  공부로는 고시 제18조의2(가상자산사업자에 대한 인증)의 표시를 보시면 됩니다.

 

1. 인증번호 부여

  가. 인증번호는 유일성, 간결성, 관리의 용이성 등을 고려하여 최초심사, 갱신심사의 구분 없이 최초 발급 순서별로 부여한다.

  나. 인증번호는 아래와 같은 형식으로 부여한다.

2. 도안모형

3. 인증 표시에 대한 유의사항

  가. 인증 취득 사실의 홍보는 인증서를 발급받은 날부터 효력이 유지되는 동안에만 사용이 가능하다. 인증이 취소된 경우에는 인증에 대한 홍보, 인증서 사용을 중지하여야 한다.

  나. 인증 표시를 사용하는 경우 유효기간, 인증범위를 함께 표시하여야 한다.

  다. 인증을 취득한 자는 인증의 사실을 과장되거나 불명확한 표현을 사용하여 광고할 수 없다.

  라. 고시 제18조의 2에 따라 예비인증을 취득한 자는 예비인증 마크 사용과 함께 예비인증의 사실을 표시하여야 한다.

 

4. 인증 표시의 사용 방법

  가. 인증 표시는 지정된 색상으로 사용할 수 있다. 또한 색상이 명확하게 나타날 수 있는 바탕색 위에 흑백으로 사용하거나 표시된 인쇄물의 주된 단일색상으로 사용 할 수 있다.

  나. 인증 표시의 크기는 표시물 대상의 크기나 표시장소의 여건에 따라 조정할 수 있으며, 같은 비율로 축소 또는 확대하여 표시 할 수 있다.

  다. 일반문서, 편지의 상단, 송장, 홍보 책자 등에 인증 취득 사실의 내용을 홍보할 수 있다.

 

5. 인증명판 제작 시 유의사항

  가. 소재는 가급적 동판으로 제작한다.

  나. 바탕색은 가급적 연마하지 않은 황동색으로 한다.

  다. 도안 모형은 인증의 표지를 중앙에 둔다.

  라. 글씨 및 도형은 양각으로 한다.

  마. 크기는 사각형으로 하며 가로와 세로 비율을 3 : 2로 하여 일정 비율로 조정할 수 있다.

CPPG 공부를 하면서 봐야할 곳을 표시한 기록입니다.

 

정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시

[시행 2022. 7. 21.] [과학기술정보통신부고시 제2022-46호, 2022. 7. 21., 일부개정]
[시행 2022. 7. 21.] [개인정보보호위원회고시 제2022-1호, 2022. 7. 21., 일부개정]

과학기술정보통신부(사이버침해대응과), 044-202-6463
개인정보보호위원회(자율보호정책과), 02-2100-3084

 

제1장 총칙

제1조(목적) 이 고시는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」(이하 "정보통신망법"이라 한다) 제47조제3항ㆍ제4항, 같은 법 시행령 제47조부터 제53조의2까지의 규정 및 같은 법 시행규칙 제3조에 따른 정보보호 관리체계 인증과, 「개인정보 보호법」 제32조의2, 같은 법 시행령 제34조의2부터 제34조의8까지의 규정에 따른 개인정보보호 인증의 통합 운영에 필요한 사항을 정하는 것을 목적으로 한다.

 

제2조(용어의 정의) 이 고시에서 사용하는 용어의 정의는 다음 각 호와 같다.

1. "정보보호 및 개인정보보호 관리체계 인증"이란 인증 신청인의 정보보호 및 개인정보보호를 위한 일련의 조치와 활동이 인증기준에 적합함을 한국인터넷진흥원(이하 "인터넷진흥원"이라 한다) 또는 인증기관이 증명하는 것을 말한다. 

2. "정보보호 관리체계 인증"이란 인증 신청인의 정보보호 관련 일련의 조치와 활동이 인증기준에 적합함을 인터넷진흥원 또는 인증기관이 증명하는 것을 말한다. 

3. "인증기관"이란 인증에 관한 업무를 수행(한국인터넷진흥원/KISA, 금융보안원/FSI) 할 수 있도록 정보통신망법 제47조제6항, 「개인정보 보호법 시행령」제34조의6제1항제2호 및 제2항에 따라 과학기술정보통신부장관과 개인정보 보호위원회(이하 "보호위원회"라 한다)가 지정하는 기관을 말한다. 

4. "심사기관"이란 인증심사 업무를 수행(정보통신진흥협회/KAIT, 정보통신기술협회/TTA, 개인정보보호협회/OPA)할 수 있도록 정보통신망법 제47조제7항, 「개인정보 보호법 시행령」제34조의6제1항제2호 및 제2항에 따라 과학기술정보통신부장관과 보호위원회가 지정하는 기관을 말한다. 

5. "업무수행 요건ㆍ능력 심사"란 인증기관 또는 심사기관으로 지정받고자 신청한 법인 또는 단체의 업무수행 요건ㆍ능력을 심사하는 것을 말한다. 

6. "인증심사"란 신청기관이 수립하여 운영(각 신청기관 및회사)하는 관리체계가 인증기준에 적합한지의 여부를 인터넷진흥원ㆍ인증기관 또는 심사기관(이하 "심사수행기관"이라 한다)이 서면심사 및 현장심사의 방법(인증심사)으로 확인하는 것을 말한다. 

7. "인증위원회"란 인터넷진흥원 또는 인증기관의 장이 인증심사 결과 등을 심의ㆍ의결하기 위해 설치ㆍ운영하는 기구로서 위원장과 위원으로 구성된다. 

8. "인증심사원"이란 인터넷진흥원으로부터 인증심사를 수행할 수 있는 자격을 부여받고 인증심사를 수행하는 자를 말한다. 

8의2. "심사팀장"이란 인증심사를 수행하기 위해 구성한 팀의 책임자를 말한다. 

9. "최초심사"란 처음으로 인증을 신청하거나 인증범위에 중요한 변경이 있어서 다시 인증을 신청한 때 실시하는 인증심사를 말한다. 

10. "사후심사"란 인증(인증이 갱신된 경우를 포함한다)을 받고난 후 매년 사후관리를 위하여 실시하는 인증심사를 말한다. 

11. "갱신심사"란 유효기간 만료로 유효기간 갱신을 위해 실시하는 인증심사를 말한다.

 

제3조(적용범위) 이 고시는 정보보호 및 개인정보보호 관리체계 인증, 정보보호 관리체계 인증에 공통으로 적용하되, 각 인증에 따로 적용되는 내용이 있는 경우 별도 조항으로 정한다.

 

       제2장 정보보호 및 개인정보보호 관리체계 인증 협의회

 

제4조(협의회의 구성) 과학기술정보통신부장관보호위원회는 정보보호 및 개인정보보호 관리체계 인증 운영에 관한 정책 사항을 협의하기 위하여 정보보호 및 개인정보보호 관리체계 인증 협의회(이하 "협의회"라 한다)를 운영한다.

② 협의회 위원은 과학기술정보통신부과 보호위원회 소속의 인증업무를 담당하는 부서의 장으로 한다. 

③ 협의회 운영을 위하여 인터넷진흥원의 인증업무를 담당하는 부서의 장을 간사로 두며, 간사는 회의에 참석하여 발언할 수 있다.

 

제5조(협의회의 운영) ① 협의회는 정보보호 및 개인정보보호 관리체계 인증제도와 관련하여 다음 각 호의 사항을 협의한다.

1. 인증제도 연구 및 개선에 관한 사항 

2. 인증제도 운영을 위한 제반사항 검토 및 품질관리에 관한 사항 

3. 인증기관 및 심사기관의 지정ㆍ재지정 및 업무정지ㆍ지정 취소에 관한 사항 

4. 인증기관 및 심사기관의 관리ㆍ감독에 관한 사항 

5. 인증제도 운영에 따른 민원 처리 및 법적 분쟁에 관한 사항 

6. 그 밖에 협의가 필요한 사항 

② 협의회는 과학기술정보통신부장관 또는 보호위원회의 요구가 있거나 협의안건이 발생한 경우 개최할 수 있다. 

③ 인터넷진흥원은 협의회 개최 및 제1항 각 호에 따른 협의회 운영 업무를 지원할 수 있다. 

④ 협의회는 필요하다고 인정하는 때에는 관계기관의 공무원 및 임ㆍ직원, 그 밖의 전문가를 협의회에 참석하게 하여 그 의견을 들을 수 있다. 

⑤ 협의회는 협의회의 운영을 위한 별도의 규정을 정할 수 있다.

 

       제3장 인증기관 및 심사기관

 

제6조(지정공고) ① 과학기술정보통신부장관과 보호위원회는 인증기관을 지정할 필요가 있는 때에는 협의회에서 지정대상 기관의 수, 업무의 범위, 신청방법 등을 미리 협의하고, 관보 또는 인터넷 홈페이지에 20일 이상 공고하여야 한다.

② 제1항에 따라 인증기관으로 지정받으려는 자는 다음 각 호의 서류를 과학기술정보통신부장관과 보호위원회에 제출하여야 한다. 

1. 별지 제1호서식의 인증기관ㆍ심사기관 지정 신청서 

2. 별지 제2호서식의 인증심사 업무를 수행하는 직원 보유현황과 이를 증명할 수 있는 서류 

3. 별표 1의 업무수행 요건ㆍ능력 심사 제출서류 

③ 심사기관 지정 신청일을 기준으로 다음 각 호의 어느 하나에 해당하는 자는 심사기관으로 지정받을 수 없다. 

1. 최근 6개월 이내에 제7조제2항에 따른 심사에서 지정기준을 충족하지 못한 자 

2. 최근 1년 이내에 정보통신망 제47조의2제1항에 따라 지정이 취소된 자 

④ 과학기술정보통신부장관과 보호위원회는 인증기관 또는 심사기관의 지정, 재지정, 사후관리 등에 따른 업무를 인터넷진흥원에 위탁할 수 있다.

 

제7조(지정기준 및 지정절차) ① 인증기관 또는 심사기관의 업무수행 요건ㆍ능력 심사에 관한 세부기준은 별표 2와 같다.

② 과학기술정보통신부장관과 보호위원회는 제6조제2항에 따라 인증기관 또는 심사기관의 지정 신청을 받은 때에는 제1항에 따른 업무수행 요건ㆍ능력을 심사한다. 

③ 과학기술정보통신부장관과 보호위원회는 제2항에 따른 심사 결과를 바탕으로 협의하여 인증기관 또는 심사기관으로의 지정여부를 최종 결정한다. 

④ 과학기술정보통신부장관과 보호위원회는 인증기관으로 지정된 신청기관에 별지 제3호서식 정보보호 및 개인정보보호 관리체계 인증기관 지정서를, 심사기관으로 지정된 신청기관에 별지 제4호서식 정보보호 및 개인정보보호 관리체계 심사기관 지정서를 발급한다. 

⑤ 과학기술정보통신부장관과 보호위원회는 제4항에 따라 지정서를 발급받은 자를 관보 또는 인터넷 홈페이지에 공고하여야 한다.

 

제8조(인증기관 및 심사기관의 사후관리) 인증기관과 심사기관은 매년 1월 31일까지 다음 각 호의 서류를 작성하여 과학기술정보통신부장관과 보호위원회에 제출하여야 한다.

1. 별지 제5호서식의 인증실적 보고서(해당 시) 

2. 별지 제6호서식의 인증심사실적 보고서(해당 시) 

② 과학기술정보통신부장관과 보호위원회는 필요한 경우 인증기관 또는 심사기관이 지정기준에 적합한지 여부의 확인을 위해 자료요청 또는 현장실사를 할 수 있다. 

③ 과학기술정보통신부장관과 보호위원회는 제2항에 따른 지정기준의 충족여부 심사, 자료제출 요구 또는 현장심사에 관한 업무를 인터넷진흥원에 위탁할 수 있다. 

④ 과학기술정보통신부장관과 보호위원회는 사후관리 결과 지정기준의 충족여부 등에 결격사유가 확인될 경우 보완을 요구할 수 있다.

 

제9조(인증기관 및 심사기관의 재지정) ① 인증기관 및 심사기관 지정의 유효기간은 3년이며 유효기간이 끝나기 전 6개월부터 끝나는 날까지 재지정을 신청을 할 수 있으며 제6조제2항 각 호의 서류를 과학기술정보통신부장관과 보호위원회에 제출하여야 한다. 이 경우 재지정의 신청에 대한 처리결과를 통지받을 때까지는 그 지정이 계속 유효한 것으로 본다.

② 과학기술정보통신부장관과 보호위원회는 제1항에 따른 재지정 신청을 받은 때에는 별표 2 업무수행 요건ㆍ능력 심사에 관한 세부기준에 따른 적합 여부를 심사하여 신청을 받은 날부터 3개월 이내에 그 결과를 신청기관에 통지하고, 인증기관 또는 심사기관으로 지정되는 신청기관에 제7조제4항의 지정서를 발급하여야 한다. 

③ 인증기관 또는 심사기관이 재지정을 신청하지 않고 유효기간이 경과한 때에는 인증기관 또는 심사기관의 효력은 상실된다.

 

제10조(공정성 및 독립성 확보) 인증기관 및 심사기관은 인증심사의 공정성 및 독립성 확보를 위해 다음 각 호의 행위가 발생되지 않도록 노력하여야 한다.

1. 정보보호 및 개인정보보호 관리체계 구축과 관련된 컨설팅 업무를 수행하는 행위 

2. 정당한 사유 없이 인증절차, 인증기준 등의 일부를 생략하는 행위 

3. 조직의 이익 등을 위해 인증심사 결과에 영향을 주는 행위 

4. 그 밖에 인증심사의 공정성 및 독립성을 훼손할 수 있는 행위

 

제11조(인증기관 및 심사기관의 지정취소 등) ① 인증기관 및 심사기관이 다음 각 호의 어느 하나에 해당하면 그 지정을 취소하거나 1년 이내의 기간을 정하여 해당 업무의 전부 또는 일부의 정지를 명할 수 있다. 다만, 제1호나 제2호에 해당하는 경우에는 그 지정을 취소하여야 한다.

1. 거짓이나 그 밖의 부정한 방법으로 인증기관 또는 심사기관의 지정을 받은 경우 

2. 업무정지 기간 중에 인증 또는 인증심사를 한 경우 

3. 정당한 사유 없이 인증 또는 인증심사를 하지 아니한 경우 

4. 정보통신망법 제47조제11항 및 개인정보보호법 제32조의2제5항을 위반하여 인증 또는 인증심사를 한 경우 

5. 정보통신망법 제47조제12항 및 개인정보보호법 시행령 제34조의6제1항제2호에 따른 지정기준에 적합하지 아니하게 된 경우 

② 지정취소 및 업무정지에 대해서는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령(이하 "정보통신망법 시행령"이라 한다)」제54조에 따른 지정취소 및 업무정지에 관한 행정처분의 기준을 따른다. 

③ 과학기술정보통신부장관과 보호위원회는 제1항에 따라 지정을 취소하거나 업무정지를 명한 사실을 관보 또는 인터넷 홈페이지에 공고 하여야 한다.

 

       제4장 인증심사원

 

제12조(인증심사원의 자격 요건 등) 인증심사원은 심사원보, 심사원, 선임심사원으로 구분하며 등급별 자격 요건은 별표 3과 같다.

 

제13조(인증심사원 자격 신청) ① 인증심사원 자격을 신청하고자 하는 자는 별표 4의 인증심사원 자격 신청 요건을 갖추고 인터넷진흥원이 공고하는 신청기간 내에 별지 제7호 서식의 인증심사원 자격 신청서와 관련 서류를 제출하여야 한다.

② 인터넷진흥원은 제1항에 의해 제출한 신청서류가 자격 신청 요건에 적합한지를 검토하여야 한다. 

③ 제2항에 따른 서류검토 결과 적합한 자는 인터넷진흥원이 시행하는 인증심사원 양성과정을 수료하여야 한다.

 

제14조(인증심사원 자격 발급 및 관리) ① 인터넷진흥원은 인증심사원 양성과정을 수료한 자에게 별지 제8호서식의 정보보호 및 개인정보보호 관리체계 인증심사원 자격 증명서를 발급하여야 한다.

② 인터넷진흥원은 인증심사원의 자격 증명서 발급, 심사원등급, 인증심사 업무경력 등을 관리하여야 한다.

 

제15조(인증심사원 자격 유지 및 갱신) ① 인증심사원의 자격 유효기간은 자격을 부여 받은 날부터 3년으로 한다.

② 인증심사원은 자격유지를 위해 자격 유효기간 만료 전까지 인터넷진흥원이 인정하는 보수교육을 수료하여야 한다. 

③ 인터넷진흥원은 자격 유효기간 동안 1회 이상의 인증심사를 참여한 인증심사원에 대하여 제2항의 보수교육 시간 중 일부를 이수한 것으로 인정할 수 있다. 

④ 인터넷진흥원은 인증정보를 제공하는 홈페이지에 제2항의 보수교육 운영에 관한 세부내용을 공지하여야 한다. 

⑤ 인터넷진흥원은 제2항의 요건을 충족한 인증심사원에 한하여 별지 제8호서식의 정보보호 및 개인정보보호 관리체계 인증심사원 자격 증명서를 갱신하여 발급하고 자격 유효기간을 3년간 연장한다. 

⑥ 제5항에도 불구하고 인터넷진흥원은 다음 각 호의 어느 하나에 해당하면 인증심사원 자격의 유효기간을 연장할 수 있다. 

1. 제29조제2항에 따른 인증위원회 위원으로 인정된 자 

2. 「재난 및 안전관리 기본법」 제3조에 따른 재난의 발생 등 협의회가 인정하는 불가피한 경우 (코로나로 개정된 항목)

 

제16조(인증심사원 자격 취소) ① 인터넷진흥원은 다음 각 호의 어느 하나에 해당하는 사유를 발견한 경우 인증심사원의 자격을 취소할 수 있다.

1. 거짓이나 부정한 방법으로 인증심사원 자격을 부여 받은 경우 

2. 제15조제2항에 따른 자격 유지 기준을 충족하지 못한 경우 

3. 인증심사원으로서 객관적이고 공정한 인증심사를 수행하지 않은 경우 

4. 인증심사 과정에서 취득한 정보 또는 서류를 관련 법령의 근거나 인증신청인의 동의 없이 누설 또는 유출하거나 업무목적 외에 이를 사용한 경우 

5. 인증신청인으로부터 금전, 금품, 향응, 이익 등을 부당하게 수수하거나 요구한 경우 

② 인터넷진흥원의 장은 제1항에 따른 자격 취소의 적합여부를 심의ㆍ의결하기 위하여 자격심의위원회를 개최하여야 하며, 자격심의위원회는 제29조의 인증위원회 위원 3인 이상을 포함하여 구성한다. 

③ 제1항에 따른 자격 취소에 대하여 인증심사원은 30일 이내에 이의신청을 할 수 있다. 이 경우 인터넷진흥원은 해당 인증심사원의 자격을 제2항의 절차에 따라 재심의하여 처리결과를 통지하여야 한다.

 

       제5장 인증심사의 신청 및 수수료 납부

 

제17조(신청인의 사전 준비사항) ① 정보보호 및 개인정보보호 관리체계 인증을 취득하고자 하는 자(이하 "신청인"이라 한다)는 인증을 신청하기 전에 인증기준에 따른 정보보호 및 개인정보보호 관리체계 또는 정보보호 관리체계를 구축하여 최소 2개월 이상 운영하여야 한다. 다만, 제18조의2제1항제1호에 따른 예비인증의 경우에는 그러지 아니한다.

② 신청인은 인증심사를 위하여 다음 각 호의 사항을 인증심사 실시 전에 준비하여야 한다. 

1. 인증심사를 위한 문서 및 증거자료 

2. 인증심사 수행에 필요한 장소ㆍ시설ㆍ장비ㆍ기자재 등의 확보 

3. 그 밖에 인증심사를 원활하게 수행하기 위하여 심사수행기관이 요구하는 사항

 

제18조(인증 신청 등) ① 신청인은 다음 각 호의 인증을 선택하여 신청할 수 있다.

1. 정보보호 및 개인정보보호 관리체계 인증 

2. 정보보호 관리체계 인증 

② 신청인은 제1항의 인증 선택에 따른 별지 제9호서식의 정보보호 및 개인정보보호 관리체계 인증 신청서를 심사수행기관에 제출하여야 한다. 

③ 신청인은 인증범위 및 일정 등을 심사수행기관과 사전 협의하여 신청하여야 한다. 

④ 심사수행기관은 제17조에 따른 신청인의 인증심사 사전준비사항을 확인할 수 있으며, 신청인의 준비가 미흡한 경우에는 신청인에 이를 보완할 것을 요구할 수 있다

⑤ 심사수행기관은 인증범위의 변경이 필요한 경우에 이를 신청인과 협의하여 변경할 수 있다.

 

(무조건 숙지: 22.07.21 개정 항목)

제18조의2(가상자산사업자에 대한 인증) ① 「특정 금융거래정보의 보고 및 이용 등에 관한 법률」 제7조제1항에 따라 신고를 하려는 가상자산사업자(가상자산사업을 운영하려는 자를 포함한다. 이하 이 조에서 같다)에 대한 제18조제1항제2호의 인증은 다음 각 호로 구분한다.

1. 예비인증: 가상자산사업자 중 본인증을 신청하기 전에 인증기준에 따른 정보보호 관리체계를 구축하여 2개월 이상 운영하지 못한 자가 실제 서비스 운영 전 임시적으로 관련 시스템을 구축ㆍ운영(이하 "시험운영"이라 한다)하여 받는 인증으로서 제2호에 따른 본인증을 받기 위한 조건부 인증 

2. 본인증 : 예비인증을 취득한 자로서 인증을 신청하기 전에 인증기준에 따른 정보보호 관리체계를 구축하여 2개월 이상 운영한 자를 대상으로 하는 인증 

② 인터넷진흥원 또는 인증기관은 가상자산사업자에게 제1항제1호에 따른 예비인증을 부여할 때에는 다음 각 호의 조건을 붙여야 한다. 

1. 예비인증 취득한 날부터 3개월 이내에 「특정 금융거래정보의 보고 및 이용 등에 관한 법률」 제7조에 따른 신고를 할 것 

2. 「특정 금융거래정보의 보고 및 이용 등에 관한 법률」 제7조에 따라 신고가 수리된 날부터 6개월 이내에 제1항제2호에 따른 본인증을 취득할 것(다만, 본인증 절차가 완료 될 때까지는 예비인증의 효력은 유효한 것으로 본다). 

③ 예비인증 신청자가 제17조제2항에 따른 사전 준비사항을 준비하는 경우 정보보호 관리체계 구축 후에 시험운영 결과를 토대로 그 준비사항을 제출하여야 한다. 

④ 인터넷진흥원 또는 인증기관은 제1항제1호에 따른 예비인증을 부여할 때에는 제32조에 따른 인증서 및 제34조에 따른 인증의 표시에 그 사실을 표기 및 표시하여야 한다. 

⑤ 제1항제1호에 따른 예비인증은 제23조제1항제2호의 인증기준을 적용하되 시험운영을 통해 정보보호 관리체계가 적합한지에 대해 확인할 수 있는 범위로 한정한다.

 

제19조(정보보호 관리체계 인증 의무대상자) ① 정보보호 관리체계 인증 의무대상자(이하 "의무대상자"라 한다)란 정보통신망법 제47조제2항, 같은 법 시행령 제49조에 해당하는 자를 말한다.

② 제1항에 해당하는 자 중 집적정보통신시설 사업자가 마련한 시설의 일부를 임대하여 집적정보통신시설 사업을 하는 자에 대하여는 정보통신망법 시행령 제49조제2항의 기준을 준용한다. 

③ 의무대상자는 제18조제1항제2호의 정보보호 관리체계 인증을 받아야 한다. 이때 의무대상자가 같은 항 제1호의 인증을 받은 경우에도 인증의무를 이행한 것으로 본다. 

④ 의무대상자에 해당하는 자는 다음 해 8월 31일까지 인증을 받아야 한다. 

⑤ 「재난 및 안전관리 기본법」제3조에 따른 재난의 발생 등 협의회가 인정하는 불가피한 사유로 제4항의 기한까지 인증을 받지 못한 경우 의무대상자의 인증 의무 이행 기한을 협의회가 정하는 바에 따라 연장할 수 있다.

 

제20조(인증심사의 일부 생략 신청 등) ① 신청인이 제18조제1항제2호의 정보보호 관리체계 인증을 신청한 자가 다음 각 호의 어느 하나에 해당하는 인증을 받거나 정보보호 조치를 취한 경우 별표 5의 인증심사 일부 생략의 범위 내에서 인증심사의 일부를 생략할 수 있다.

1. 국제인정협력기구에 가입된 인정기관이 인정한 인증기관으로부터 받은 ISO/IEC 27001 인증 

2. 「정보통신기반 보호법」제9조에 따른 주요정보통신기반시설의 취약점 분석ㆍ평가 

② 제1항에 따라 정보보호 관리체계 인증심사의 일부를 생략하려는 경우에는 다음 각 호의 요건을 모두 충족하여야 한다. 

1. 해당 국제표준 정보보호 인증 또는 정보보호 조치의 범위가 정보보호 관리체계 인증의 범위와 일치할 것 

2. 정보보호 관리체계 인증 신청 및 심사 시에 해당 국제표준 정보보호 인증이나 정보보호 조치가 유효하게 유지되고 있을 것 

③ 제1항에 따른 인증심사 일부 생략을 신청하고자하는 자는 별지 제10호서식의 인증심사 일부 생략 신청서를 심사수행기관에 제출하여야 한다. 

④ 심사수행기관은 별표 5의 인증심사 일부 생략의 범위를 생략하여 심사하고 인터넷진흥원 또는 인증기관이 인증을 부여할 때에는 그 사실을 인증서에 표기하여야 한다. 

⑤ 정보통신망법 시행규칙 제3조제3항에서 "과학기술정보통신부장관이 고시하는 결과"란 「교육부 정보보안 기본지침」 제94조제1항에 따른 정보보안 수준에 대한 해당 연도의 평가결과가 만점의 100분의 80 이상인 것을 말한다. 

⑥ 심사수행기관은 신청인의 인증범위 내에서 업무를 위탁받아 처리하는 자가 제18조제1항 각 호의 인증을 받은 범위의 현장심사를 생략할 수 있다.

 

제21조(수수료의 산정) ① 인증 수수료는 별표 6의 인증 수수료 산정 및 심사원 보수 기준을 적용하여 산정한다.

② 심사수행기관은 제1항에 따라 산정된 인증 수수료를 공지하여야 한다. 

③ 심사수행기관은 신청인이 다음 각 호의 어느 하나에 해당하는 경우 수수료를 감면 또는 조정할 수 있다.

1. 「중소기업기본법」제2조제2항에 따른 소기업 

2. 제20조에 따른 인증심사 일부 생략 신청을 하는 경우 

3. 「정보보호산업의 진흥에 관한 법률」제13조에 따라 정보보호 현황을 공시한 자 

4. 그 밖에 신청인과 협의하여 수수료 조정이 필요하다고 판단되는 경우

 

제22조(수수료의 납부) 신청인은 최초심사, 사후심사 및 갱신심사 신청 시 인증 수수료를 청구 받은 날부터 인증심사 시작일 이전까지 심사수행기관에 납부하여야 하며, 수수료를 납부하지 않은 경우 심사수행기관은 인증심사를 실시하지 아니할 수 있다.

 

       제6장 인증심사의 기준과 방법

 

제23조(인증심사 기준) ① 다음 각 호의 인증의 구분에 따라 별표 7의 인증기준을 적용한다.

1. 정보보호 및 개인정보보호 관리체계 인증 : 별표 7 가목부터 다목 (102개 항목)

2. 정보보호 관리체계 인증 : 별표 7 가목 및 나목 (80개 항목)

② 과학기술정보통신부장관과 보호위원회는 신청인과 협의를 통해 별표 7의 인증기준 내에서 인증범위, 업무특성, 기업규모 등을 고려하여 구체적인 확인사항을 관보 또는 인터넷 홈페이지에 공고할 수 있다.

 

제24조(인증심사팀 구성) ① 심사수행기관은 인증심사 일정이 확정된 때에는 인터넷진흥원에 심사원 모집을 요청하여 인증심사팀을 구성하여야 한다.

② 인증심사팀 구성 시 신청인의 인증범위, 사업유형, 기술의 다양성 등을 고려하여 심사팀원을 구성하여야 한다. 

③ 인증심사원은 신청인의 정보보호 또는 개인정보보호 컨설팅에 참여하였거나 소속직원 등 신청인과 이해관계를 가지는 경우 사전에 소명하여야 하며, 심사수행기관은 인증심사원을 인증심사팀의 구성원에서 배제하여야 한다.

 

제25조(인증심사 방법 및 보완조치) ① 인증심사는 신청인을 방문하여 서면심사와 현장심사를 병행한다.

서면심사는 별표 7의 인증기준에 적합한지에 대하여 정보보호 및 개인정보보호 관리체계 구축ㆍ운영 관련 정책, 지침, 절차 및 이행의 증거자료 검토, 정보보호대책 및 개인정보 처리단계별 요구사항 적용 여부 확인 등의 방법으로 관리적 요소를 심사한다. 

현장심사는 서면심사의 결과와 기술적ㆍ물리적 보호대책 이행여부를 확인하기 위하여 담당자 면담, 관련 시스템 확인 및 취약점 점검 등의 방법으로 기술적 요소를 심사한다. 

④ 심사수행기관은 인증심사에서 발견된 결함에 대해 심사종료 다음날부터 최대 100일(재조치 요구 60일 포함) 이내에 보완조치를 완료하도록 신청인에게 요청할 수 있다. 

⑤ 심사수행기관은 인증위원회 심의결과에 따라 인증위원회 종료 다음날부터 30일 이내에 신청인에게 추가 보완조치를 요구할 수 있다. 

⑥ 제1항에도 불구하고 「재난 및 안전관리 기본법」 제3조에 따른 재난의 발생 등 협의회가 인정하는 불가피한 경우 원격심사를 병행할 수 있다.

 

제26조(심사중단) ① 심사수행기관은 다음 각 호의 사유가 발생한 경우에는 인증심사를 중단할 수 있다.

1. 신청인이 고의로 인증심사의 실시를 지연 또는 방해하거나 신청인의 귀책사유로 인하여 인증심사팀장이 인증심사를 계속 진행하기가 곤란하다고 판단하는 경우 

2. 신청인이 제출한 관련 자료 등을 검토한 결과 인증심사를 받을 준비가 되었다고 볼 수 없는 경우 

3. 인증심사 후 제25조제4항에 따른 보완조치를 최대 100일(재조치 요구 60일 포함) 이내에 완료하지 않은 경우 

4. 「재난 및 안전관리 기본법」제3조에 따른 재난의 발생 또는 경영환경 변화 등으로 인하여 인증심사 진행이 불가능하다고 판단되는 경우 

② 심사수행기관은 제1항에 따라 인증심사를 중단하는 때에는 그 사유를 신청인에 서면으로 통보하여야 한다. 

③ 심사수행기관은 제1항의 인증심사 중단 사유가 해소되거나 제36조에 따른 이의신청 처리결과에 따라 인증심사를 재개하거나 종결할 수 있다.

 

제27조(사후관리) ① 인증을 취득한 자는 인증서 유효기간 중 연 1회 이상 심사수행기관에 사후심사를 신청하여야 한다.

② 사후심사는 제5장 및 제6장을 준용하여 진행한다. 

③ 인증 취득한 범위와 관련하여 침해사고 또는 개인정보 유출사고가 발생한 경우 인터넷진흥원은 필요에 따라 인증관련 항목의 보안향상을 위한 필요한 지원 등을 할 수 있다.

 

제28조(인증의 갱신) ① 인증을 취득한 자는 인증서 유효기간 만료 3개월 전에 갱신심사를 신청하여야 한다.

② 갱신심사는 제5장 및 제6장을 준용하여 진행한다. 

③ 인증을 취득한 자가 제1항에 따른 인증의 갱신을 신청하지 않고 인증의 유효기간이 경과한 때에는 인증의 효력은 상실된다.

 

       제7장 인증위원회 구성과 운영

 

제29조(인증위원회의 구성) ① 인터넷진흥원 또는 인증기관의 장은 다음 각 호의 사항을 심의ㆍ의결하기 위하여 인증위원회를 설치ㆍ운영하여야 한다.

1. 최초심사 또는 갱신심사 결과가 인증기준에 적합한지 여부 

2. 제35조제1항에 따른 인증의 취소에 관한 사항 

3. 제36조에 따른 이의신청에 관한 사항 

4. 그 밖에 정보보호 및 개인정보보호 관리체계 인증과 관련하여 위원장이 필요하다고 인정하는 사항 

② 인증위원회는 35인 이내의 위원으로 구성하되, 위원은 정보보호 및 개인정보보호 관련 분야에 학식과 경험이 있는 자 중에서 인터넷진흥원 또는 인증기관의 장이 위촉하며, 위원장은 위원 중에서 호선한다. 

③ 위원장은 인증위원회의 업무를 통할하며 위원회를 대표한다. 

④ 인터넷진흥원 또는 인증기관의 장은 위원이 법령 또는 이 규정을 위반한 때에는 해당 위원을 해촉할 수 있다.

 

제30조(인증위원회의 운영) ① 인증위원회의 회의는 인터넷진흥원 또는 인증기관의 요구로 개최하되, 회의마다 위원장과 인증위원의 전문분야를 고려하여 6인 이상의 인증위원으로 구성한다. 단, 위원장이 부득이한 사유로 직무를 수행할 수 없는 경우 위원장이 사전에 지명한 위원이 위원장의 직무를 대행한다.

② 인터넷진흥원 또는 인증기관의 장은 인증위원회의 심의안건을 검토하여 위원회 개최 5일 전까지 인증위원회에 제출한다. 다만, 긴급한 경우나 부득이한 사유가 있는 경우에는 그러하지 아니하다. 

③ 인증위원회 위원장은 제29조제1항의 각 호의 사항에 대한 심의ㆍ의결 결과를 인터넷진흥원 또는 인증기관의 장에게 제출한다. 

④ 인증위원회는 심의를 위하여 필요하다고 인정되는 경우에는 인증심사에 참여한 인증심사원 또는 관련 전문가로부터 그에 관한 의견을 들을 수 있다. 

⑤ 인터넷진흥원 또는 인증기관의 장은 인증위원회의 심의ㆍ의결 결과를 제출받은 때에는 신청인에게 결과를 통보하여야 한다.

 

제31조(제척ㆍ기피ㆍ회피) ① 인증위원회 위원은 신청인과 다음 각 호의 사항 중 어느 하나에 해당하는 때에는 심의ㆍ의결에 관여할 수 없다.

1. 위원 본인과 직접적인 이해관계가 있는 사항 

2. 위원 본인과 친족관계에 있거나 있었던 자와 관련된 사항 

3. 위원이 되기 전에 감사ㆍ수사 또는 조사에 관여한 사항 

② 위원에게 심의ㆍ의결의 공정을 기대하기 어려운 사정이 있는 경우 신청인은 기피신청을 할 수 있고, 위원회는 의결로 이를 결정한다. 

③ 위원은 제척사유 또는 기피사유에 해당하는 경우에는 자기 스스로 심의ㆍ의결을 회피할 수 있다.

 

       제8장 인증서의 발급ㆍ관리 및 홍보

 

제32조(인증서의 발급 등) ① 인터넷진흥원 또는 인증기관의 장은 인증위원회에서 인증적합으로 판정된 경우 그 결과에 따라 신청인에게 별지 제11호서식의 정보보호 및 개인정보보호 관리체계 인증서 또는 별지 제12호서식의 정보보호 관리체계 인증서를 발급하여야 한다.

② 인증서 발급 시 인증번호는 별표 8의 인증의 표시를 따른다. 

③ 제1항에 따른 인증서의 유효기간은 3년으로 한다.

 

제33조(인증서 관리 및 재발급) ① 인터넷진흥원 또는 인증기관은 발급된 인증서의 인증번호, 발급일, 유효기간 등 인증서를 관리하여야 한다.

② 인증을 취득한 자는 인증서의 분실 등으로 인해 재발급을 받고자 할 경우 별지 제13호서식의 인증서 재발급 신청서를 인터넷진흥원 또는 인증기관에 제출하여야 한다. 

③ 인증을 취득한 자가 주소, 업체명 등 인증서 기재사항의 변경을 요청하고자 하는 경우 별지 제14호서식의 인증서 변경 신청서를 인터넷진흥원 또는 인증기관에 제출하여야 한다.

 

제34조(인증의 표시 및 홍보) ① 「개인정보 보호법 시행령」제34조의7 및 정보통신망법 시행령 제52조에 따른 인증의 표시는 별표 8과 같다.

② 제1항에 따른 인증의 표시를 사용하는 경우에는 인증범위 및 유효기간을 함께 표시하여야 한다. 

③ 인터넷진흥원은 인증정보를 제공하는 홈페이지를 통해 인증현황을 공개하여야 한다.

 

제35조(인증의 취소) ① 인터넷진흥원 또는 인증기관은 다음 각 호의 사유를 발견한 때는 인증위원회 심의ㆍ의결을 거쳐 인증을 취소할 수 있다.

1. 거짓 혹은 부정한 방법으로 인증을 취득한 경우 

2. 제23조에 따른 인증기준에 미달하게 된 경우 

3. 인증을 취득한 자가 제27조제1항에 따른 사후심사 또는 제28조제1항에 따른 갱신심사를 받지 않았거나 제25조제4항에 따른 보완조치를 하지 않은 경우 

4. 인증 받은 내용을 홍보하면서 제34조제2항에 따른 인증범위 및 유효기간을 허위로 표기하거나 누락한 경우 

5. 인증을 취득한 자가 제27조 및 제28조에 따른 사후관리를 거부 또는 방해하는 경우 

6. 개인정보보호 관련 법령을 위반하고 그 위반사유가 중대한 경우 

② 인터넷진흥원 또는 인증기관은 제1항에 따라 인증을 취소한 경우에 그 결과를 통지하고, 제32조에 따라 발급한 인증서를 회수한다.

 

제36조(이의신청) ① 신청인 또는 인증을 취득한 자가 인증심사 결과 또는 인증 취소처분에 관하여 이의가 있는 때에는 그 결과를 통보받은 날부터 15일 이내에 별지 제15호서식의 이의신청서를 인터넷진흥원 또는 인증기관에 제출하여야 한다.

② 인터넷진흥원 또는 인증기관은 제1항에 따른 이의신청이 이유가 있다고 인정되는 경우에는 인증위원회에 재심의를 요청할 수 있다. 

③ 인터넷진흥원 또는 인증기관은 이의신청에 대한 처리결과를 신청인 또는 인증을 취득한 자에 통지하여야 한다.

 

       제9장 인증업무 일반 등

 

제37조(비밀유지 등) ① 인터넷진흥원, 인증기관, 심사기관, 인증위원회 위원, 인증심사원 등 인증심사 업무에 종사하는 자 또는 종사하였던 자는 정당한 권한 없이 또는 허용된 권한을 초과하여 업무상 지득한 비밀에 관한 정보를 누설하거나 이를 업무 목적 이외에 사용하여서는 아니 된다.

② 인터넷진흥원, 인증기관, 심사기관, 인증위원회 위원, 인증심사원 등 인증심사 업무에 종사하는 자 또는 종사하였던 자는 인증에 관련하여 일체의 금전, 금품, 이익 등을 부당하게 수수하여서는 아니 된다.

 

제38조(업무 지침 등) 인터넷진흥원, 인증기관 또는 심사기관은 인증 또는 심사업무 수행을 위해 필요한 경우 법령의 범위 내에서 인증 또는 심사업무에 관한 지침을 마련하여 시행할 수 있다.

 

제39조(재검토 기한) 과학기술정보통신부장관과 보호위원회는 「행정규제기본법」 및 「훈령ㆍ예규 등의 발령 및 관리에 관한 규정」에 따라 이 고시에 대하여 2019년 1월 1일을 기준으로 매3년이 되는 시점(매 3년째의 12월 31일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.

CPPG 공부를 하면서 봐야할 곳을 표시한 기록입니다.

 

 

(개인정보보호위원회) 개인정보 영향평가에 관한 고시

[시행 2020. 8. 11.] [개인정보보호위원회고시 제2020-4호, 2020. 8. 11., 제정]

개인정보보호위원회(자율보호정책과), 02-2100-3084

 

       제1장 총칙

 

제1조(목적) 이 고시는 「개인정보 보호법」(이하 "법"이라 한다) 제33조와 「개인정보 보호법 시행령」(이하 "영"이라 한다) 제38조에 따른 평가기관의 지정 및 영향평가의 절차 등에 관한 세부기준을 정함을 목적으로 한다.

 

제2조(용어의 정의) 이 고시에서 사용하는 용어의 정의는 다음과 각 호와 같다.

 

1. "개인정보 영향평가(이하 "영향평가"라 한다)"란 법 제33조제1항에 따라 공공기관의 장이 영 제35조에 해당하는 개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에 그 위험요인의 분석과 개선 사항 도출을 위한 평가를 말한다. 

2. "대상기관"이란 영 제35조에 해당하는 개인정보파일을 구축·운용, 변경 또는 연계하려는 공공기관을 말한다. 

3. "개인정보 영향평가기관(이하 "평가기관"이라 한다)"이란 영 제37조제1항 각 호의 요건을 모두 갖춘 법인으로서 공공기관의 영향평가를 수행하기 위하여 개인정보 보호위원회(이하 "보호위원회"라 한다)가 지정한 기관을 말한다. 

4. "대상시스템"이란 영 제35조에 해당하는 개인정보파일을 구축·운용, 변경 또는 연계하려는 정보시스템을 말한다. 

5. "개인정보 영향평가 관련 분야 수행실적(이하 "영향평가 관련 분야 수행실적"이라 한다)"이란 영 제37조제1항제1호에 따른 영향평가 업무 또는 이와 유사한 업무, 정보보호 컨설팅 업무 등을 수행한 실적을 말한다.

 

       제2장 개인정보 영향평가기관의 지정

 

제3조(평가기관 지정절차) ① 영 제37조에 따른 평가기관의 지정절차는 지정신청 공고, 지정신청 서류 접수 및 검토, 현장실사, 종합심사의 순으로 진행된다.

② 보호위원회는 평가기관으로 지정받으려는 자가 지정 신청을 할 수 있도록 관보 등을 통해 15일 이상 지정신청공고를 하여야 한다. 

③ 평가기관으로 지정받으려는 자는 「개인정보 보호법 시행규칙」(이하 "규칙"이라 한다) 별지 제3호서식의 "개인정보 영향평가기관 지정신청서"와 함께 다음 각 호의 서류를 보호위원회에 제출한다. 

1. 별지 제1호서식의 개인정보 영향평가 수행실적 명세서 

2. 별지 제2호서식의 개인정보 영향평가 수행실적물 관리카드 

3. 별지 제3호서식의 개인정보 영향평가 수행인력의 경력 및 실적 증명서 

4. 별지 제4호서식의 개인정보 영향평가 수행인력 관리카드 

5. 별지 제5호서식의 개인정보 영향평가 수행능력 세부 심사자료 

6. 별지 제6호서식의 개인정보 영향평가 관련 기술자산 보유목록 

④ 보호위원회는 제3항에 따른 평가기관 지정신청을 받은 경우 지정기준의 적합여부를 심사하기 위하여 평가기관 지정심사위원회(이하 "지정심사위원회"라 한다)를 구성·운영한다. 

⑤ 보호위원회는 지정심사위원회의 심사결과를 검증한 후 평가기관 지정을 확정한다. 

⑥ 평가기관의 유효기간은 보호위원회가 평가기관으로 지정한 날로부터 3년으로 한다. 

⑦ 평가기관의 유효기간을 연장하고자 하는 자는 유효기간 만료일 3개월 전까지 제3조제3항에 따른 서류를 보호위원회에 제출해야 한다.

 

제4조(지정심사위원회의 구성 및 운영) ① 제3조에 따른 지정심사위원회는 다음 각 호의 자격을 가진 자 중에서 보호위원회가 위촉하는 5인 이상 15인 이내의 위원으로 구성한다.

1. 「고등교육법」제2조제1호·제2호 또는 제5호에 따른 학교나 공인된 연구기관에서 조교수 이상의 직 또는 이에 상당하는 직에 있거나 있었던 자로 개인정보 보호 연구경력이 8년 이상인 사람 

2. 개인정보 보호 관련 업체, 기관 또는 단체(협회, 조합)에서 8년 이상 개인정보 보호 업무에 종사한 사람 

3. 그 밖에 개인정보 보호에 관한 학식과 경험이 풍부한 사람 

② 지정심사위원회는 영 제37조제1항에 따른 신청한 법인의 자격 및 업무수행능력 등을 검토한다. 

③ 지정심사위원회의 위원 임기는 3년으로 하되, 연임할 수 있다. 

④ 지정심사위원회의 회의는 필요에 따라 보호위원회가 소집한다.

 

제5조(영향평가 수행인력 자격) ① 영향평가 수행인력은 다음 각 호와 같이 일반수행인력과 고급수행인력으로 구분할 수 있다.

1. 일반수행인력의 자격은 다음 각 목과 같다. 

가. 영 제37조제1항제2호의 전문인력 자격을 갖춘 사람 

나. 한국CPO포럼이 시행하는 개인정보관리사 자격을 취득한 후 1년 이상 개인정보 영향평가 관련 분야 수행실적이 있는 사람 

2. 고급수행인력의 자격은 다음 각 목과 같다. 

가. 제1호의 일반수행인력의 자격을 갖춘 후 5년 이상의 영향평가 관련 분야 수행실적이 있는 사람 

나. 관련 분야 박사학위를 취득한 후 3년 이상의 영향평가 관련 분야 수행실적이 있는 사람 

다. 「국가기술자격법 시행규칙」 제3조에 따른 정보관리기술사, 컴퓨터시스템응용기술사, 정보통신기술사 자격을 취득한 후 3년 이상의 영향평가 관련 분야 수행실적이 있는 사람 

② 제1항에 따른 영향평가 수행인력은 제6조제2항에 따른 전문교육을 이수하고 제6조제3항에 따른 전문인력 인증서를 받은 경우에 영향평가를 수행할 수 있다.

 

제6조(영향평가 전문교육의 운영 및 실시) ① 보호위원회는 영향평가 전문인력 양성을 위한 세부 교육계획 수립 및 교육 운영 등의 업무를 효율적으로 추진하기 위하여 한국인터넷진흥원을 전문교육기관으로 지정한다.

② 전문교육기관의 장은 영향평가 전문인력 양성을 위한 세부 교육계획을 수립하여 전문교육 등을 실시하여야 한다. 

③ 전문교육기관의 장은 전문교육 이수자에 대한 평가를 실시하고 그 결과에 따라 개인정보 영향평가 전문인력 인증서를 교부한다. 

④ 전문교육기관의 장은 다음 각 호의 1에 해당되는 경우에는 제3항에 따른 전문인력 인증서를 교부받은 자에 대한 계속교육을 실시하여야 하며, 이수 여부에 따라 전문인력 인증서를 갱신하여 교부한다. 

1. 인증서를 교부받은 후 매 2년이 경과한 경우 (3년을 의미)

2. 법령 또는 평가기준 등의 개정에 따른 변경사항이 발생하여 교육의 실시가 필요하다고 판단되는 경우 

⑤ 제3항 또는 제4항에 따라 전문인력 인증서를 교부받은 자가 전문교육기관의 장이 정하는 기간 내에 제4항의 계속교육을 이수하지 아니하여 인증서를 갱신하지 못한 경우 기존 인증서의 효력은 정지된다.

 

제7조(영향평가 수행능력심사의 세부평가 및 지정기준) ① 평가기관의 영향평가 수행능력심사의 세부평가기준은 별표 1과 같다.

② 보호위원회는 영향평가 수행능력심사 세부평가기준에 따른 심사결과가 총점 75점 이상인 경우 신청한 법인을 평가기관으로 지정한다. 

③ 평가기관의 유효기간을 연장하고자 하는 자에 대한 세부평가기준은 별표 2와 같다.

 

제8조(사후관리) ① 보호위원회는 평가기관이 영 제37조제1항의 평가기관 지정요건을 충족하는 지 여부와 영 제37조제6항에 따른 변경사항을 확인하기 위하여 현장실사, 관련 자료제출 요구 등을 할 수 있다.

② 평가기관은 다음 각 호를 포함한 보호대책을 별표 3과 같이 수립·시행하여야 하며, 보호위원회는 그에 대한 준수여부를 점검할 수 있다. 

1. 영향평가 수행구역 및 설비에 대한 보호대책 

2. 영향평가 수행 인력에 대한 보호대책 

3. 문서 및 전산자료에 대한 보호대책 

4. 일반 관리적 보호대책 

③ 보호위원회는 평가기관이 영 제37조제5항제3호부터 제6호까지의 규정에 해당하는 경우에는 지정취소 이전에 시정 및 보완을 요구할 수 있다.

 

       제3장 개인정보 영향평가의 절차 등

 

제9조(평가절차) 대상기관은 다음 각 호와 같이 사전 준비, 영향평가 수행, 이행 단계로 영향평가를 수행한다.

1. 사전 준비 단계(대상기관)에서는 영향평가 사업계획을 수립하여 예산을 확보하고 평가기관을 선정한다. 

2. 영향평가(평가기관) 수행 단계에서는 평가기관이 개인정보 침해요인을 분석하고 개선계획을 수립하여 영향평가서를 작성한다. 

3. 이행 단계(대상기관)에서는 영향평가서의 침해요인에 대한 개선계획이 반영되는 가를 점검한다.

 

제9조의2(영향평가 수행) ① 개인정보파일을 구축·운용 또는 변경하고자 하는 공공기관의 장은 별표 4의 필요한 사항이 반영될 수 있도록 (구축하는 회사가)설계완료 전에 영향평가를 수행하여야 한다.

② 공공기관의 장이 개인정보파일을 구축·운용 또는 변경하고자 할 때에는 제1항의 영향평가 결과를 반영한 조치를 이행하고 그 결과를 보호위원회에 제출하여야 한다.

 

제9조의3(영향평가 개선계획 반영여부의 확인) 공공기관의 장은 개인정보 영향평가 수행 후(1회), 영향평가 개선계획의 반영여부를 정보시스템 감리 시(1회) 확인하여야 한다. 단, 감리를 수행하지 않은 경우에는 정보시스템 테스트단계에서 영향평가 개선계획의 반영여부를 확인하여야 한다.

 

제10조(평가영역 및 평가분야) 영 제38조제1항의 영향평가기준에 따른 평가영역은 별표 4와 같다. 다만, 대상기관이 1년 이내에 다른 정보시스템의 영향평가를 받은 경우에는 대상기관의 개인정보 보호 관리체계에 대한 평가는 생략할 수 있다.

 

제11조(평가항목) ① 평가기관은 별표 4에 따라 적합한 평가항목을 선정하여 영향평가를 수행하여야 한다. 다만, 대상기관이 1년 이내에 이미 평가받은 항목은 그 변경이 없는 때에는 평가항목에서 제외된다.

② 별표 4에 명시되지 않은 특화된 IT기술을 적용하는 경우에는 해당 기술이 개인정보 보호에 미치는 영향에 대한 평가항목을 개발하여 영향평가 시 반영하여야 한다.

 

제12조(영향평가서의 제출) 영 제38조제2항에 따라 영향평가서를 제출받은 대상기관의 장은 2개월 이내에 평가결과에 대한 내부승인 절차를 거쳐 영향평가서를 보호위원회에 제출하여야 한다. (제9조의3의 개인정보 영향평가 수행 후)

 

제13조(영향평가 수행안내서) 보호위원회는 영향평가에 필요한 세부기준 및 절차, 평가항목 등을 구체화하는 "영향평가 수행안내서"를 마련하여 제공할 수 있다.

 

제14조(영향평가 개선사항 이행) 영 제38조제2항에 따라 영향평가서를 제출받은 공공기관의 장은 개선사항으로 지적된 부분에 대한 이행계획 등을 별지 제8호서식에 따라 영향평가서를 제출받은 날로부터 1년 이내에 보호위원회에 제출하여야 한다.

(제9조의3의 영향평가 개선계획의 반영여부를 정보시스템 감리 시)

 

제15조(재검토 기한) 보호위원회는 「훈령·예규 등의 발령 및 관리에 관한 규정」에 따라 이 고시에 대하여 2020년 8월 11일을 기준으로 매 3년이 되는 시점(매 3년째의 8월 10일까지를 말한다)마다 그 타당성을 검토하여 개선 등의 조치를 하여야 한다.

+ Recent posts