KISAC Mail topM_Gline Contact us topM_Gline
 
인사말 회사비전 회사연혁 조직구성 찾아오시는 길
공지사항 자료실 채용정보 감리 및 IT소식
감리비산정 상담요청 FAQ
개인정보영향평가 ISMS PIMS 취약점분석평가 SW 보안 약점 진단
통신감리 U-CITY구축감리 지능형 교통체계 감리 사물지능 통신감리 VE컨설팅
PMO BPR/ISP 컨설팅
개발감리 운영감리 BPR/ISP 감리 ERP 구축 감리 GIS 구축 감리 DB 구축감리
보안
개인정보영향평가
ISMS
PIMS
취약점분석평가
SW 보안 약점 진단




개인정보평가지정
고객센터
HOME > 보안 > 개인정보영향평가

개인정보를 활용하는 새로운 정보시스템의 구축 또는 기존의 운영중인 개인정보시스템의 중대한 변경 시 동시스템의 구축,운영,변경 등이 프라이버시에 미치는 영향(Impact)에 대하여 사전에 조사, 예측, 검토하여 개선방안을 도출하는 체계적 절차
정보시스템의 구축, 변경 등이 완료되기 전에 평가 및 개선을 통해 국민의 프라이버시에 미치는 중대한 영향을 사전에 파악하여 그 위험요인을 제거하거나 최소화할 수 있는 방안을 모색하는 것

[ 배경 ]
• 정보화사회의 급속한 발전 : 행정, 교육, 의료등 다양한 분야에서 정보의존도 및 활용성 증대
• 새로운 유형의 개인정보 지속 생성 : RFID, 위치정보등 특정 정보통신기술을 활용한 개인정보 지속생성,이용
• 과도한 개인정보의 수집,오남용 :  프라이버시 침해 위험 급증

  • 개인정보 보호법 제33조(개인정보영향평가)
  • 시행령 제35조(개인정보영향평가의 대상), 제36조(영향평가시 고려사항)
  • 시행령 제37조(평가기관의 지정 및 취소), 제38조(영향평가의 평가기준 등)
  • 시행령 부칙 제6조(개인정보영향평가에 관한 경과조치)
  • 개인정보영향평가에 관한 고시 - 행정안전부 고시 제2011-39호(2011.09.30)
평가대상
  • 공공기관은 일정규모 이상의 개인정보파일을 운영하는 경우 "개인정보보호법" 제33조 및 "개인정보 보호법 시행령" 제35조에 근거하여 개인정보 영향평가 수행 의무화
  • 상위 법률상 규정된 대상시스템이 아니더라도 대량의 개인정보나 민감한 개인정보를 수집, 이용하는 기관은 개인정보 유출 및 오.남용으로 인한 사회적 피해를 막기 위해 PIA 수행 가능
수행시기
  • 개인정보를 수집, 이용하려는 대상기관이 본격적으로 정보화 사업을 추진하기 이전에 수행 의무
  • 새로운 정보시스템의 구축변경 시 침해요인사전분석 및 개선을 위해 구축전 분석,설계단계에서 실시 (감리단계에서 반영정도의 적절성 확인, 유지보수 단계에서는 자체적으로 지속점검 및 감사 권장)
  • 운영중인 개인정보 취급 시스템의 개인정보 수집, 이용 및 관리상의 중대한 침해위험 발생이 우려되는 경우
  • 전반적인 개인정보 관리체계를 점검하여 개선하기 위한 경우
평가절차
평가항목

18개분야 114개 평가항목 + 대상기관의 특성을 고려한 평가항목 추가

대상기관의
개인정보보호 관리체계
- 대상기관 개인정보 보호 조직
- 개인정보보호 계획
- 개인정보처리 방침
- 개인정보 위탁 및 제공시 안전조치
- 개인정보 침해 대응
- 정보주체 권익보호
- 개인정보 처리구역 보호
8분야 30평가 항목
대상시스템의
개인정보보호 관리체계
- 대상시스템의 개인정보 관리
- 개인정보 취급내용 공개
2분야 9평가 항목
개인정보 처리단별 보호 - 수집단계
- 저장 및 보유 단계
- 이용 및 연계. 제공 단계
- 파기단계
4분야 60평가 항목
특정 IT기술 활용 시
개인정보보호
- CCTV 활용
- RFID활용
- 바이오 정보 활용
- 위치정보 활용
4분야 14평가 항목



개인정보영향평가
자체 방법론
개인정보 영향평가 시행 단계를 사전분석, 평가계획, 평가자료 수집 및 법/규정 검토, 개인정보 흐름분석, 개인정보 침해 요인 분석, 개선계획 수립, 평가보고서 작성 7단계로 구분하여 정의함



각 단계별 산출물 목록은 다은과 같음.
서브 프로세스 활동 산출물
100 사전분석 101 요구사항 분석 요구사항 명세서
102 사전 분석 사전평가질문서
200 평가계획 수립 201 영향평가 수행주체 선정 평가팀 구성
평가팀운영계획서
202 평가계획 수립 평가계획서
300 현황분석 및 법제도
검토
301 내부정책자료 분석 자료 목록
302 외부정책자료/법제도 검토 대상사업별 적용
303 사업관련자료 검토 사업개요서
400 개인정보 흐름분석 401 업무절차도 작성 업무절차서
402 개인정보 현황표 작성 자산목록
자산 중요도
403 개인정보 흐름도 개인정보 흐름도
404 시스템 구조도 작성 시스템 구조도
500 개인정보 침해요인
분석
501 영향평가표 작성 영향평가 체크
상세 점검표
502 개인정보보호 조치현황 파악 상세 점검 결과서
503 개인정보 침해 위험요소 도출 위험요소 목록
504 위험도 산정 위험요소 위험도
600 개선계획 수립 601 개선방안 목록 작성 개선방안 목록
602 개선계획 수립 일정계획, 개선계획
700 평가보고서 작성 701 평가보고서 작성 평가보고서

대학 동양미래대학교 개인정보 영향평가
공공기관

국민연급공단 개인정보 위험도 분석 및 DB 암호화 분석 컨설팅
분당서울대학교병원 홈페이지 개편사업 개인정보영향평가
제주국제자유도시개발센터 – JDC지정면세점 영업관리시스템 개인정보 영향평가
한국의료분쟁조정중재원 – 개인정보영향평가 및 보안SW 도입 사업

중앙부처 경찰청 통합민원상담센터 개인정보 영향평가 행정안전부 민원24 개인정보 영향평가 사업
지방자치단체 괴산군 개인정보 영향평가
안산시 중앙도서관 정보시스템 개인정보 영향평가
  • 개인정보 침해 문제를 사전에 발견하여 정보시스템 구축, 운영에 있어 시행착오 예방 및 효과적인 대응책의 수립
  • 개인정보 침해에 관하여 고객의 불만 등 외부개입 이전에 내부적으로 문제를 파악, 처리하여 사업자에 대한 신뢰 증진
  • 사업 초기에 적절한 평가를 통해 적은 비용으로 개인정보보호 장치의 마련


회사소개 감리 통신/융합 보안 고객지원 KISAC Mail