54
Korea Communications Standard 방송통신표준 KCS.KO-12.0001 제정일: 2011년 12월 30일 개인정보보호 관리 체계(PIMS) Personal Information Management System(PIMS) 방송통신위원회 국립전파연구원
Korea C
om
mun
ications S
tandard
방송통신표준
KCS.KO-12.0001 제정일: 2011년 12월 30일
개인정보보호 관리 체계(PIMS)
Personal Information Management
System(PIMS)
방송통신위원회
국립전파연구원
방송통신표준
KCS.KO-12.0001 제정일: 2011년 12월 30일
개인정보보호 관리 체계(PIMS)
Personal Information Management System(PIMS)
방송통신위원회
국립전파연구원
본 문서에 대한 저작권은 방송통신위원회 국립전파연구원에 있으며, 방송통신위원회 국립전파연구원와 사전 협의 없이 이 문서의 전체 또는 일부를 상업적 목적으로 복제 또는 배포해서는 안 됩니다. Copyrightⓒ Korea Communications Commission National Radio Research Agency 2011.
All Rights Reserved.
방송통신표준
KCS.KO-12.0001i
서 문
1. 표준의 목적
본 표준은 개인정보를 수집, 취급하는 조직에서 개인정보보호와 관련된 업무 혹은 활동
을 수행하거나 이에 대한 책임을 지고 있는 자들이 효과적이고 체계화된 개인정보보호
관리 체계(PIMS)를 구축하여 운영하는데 필요한 요구 사항을 정의한다.
2. 주요 내용 요약
본 표준의 주요 내용은 개인정보보호 관리 체계의 정의, 관리 체계 구성 요소 및 구축
방법에 대하여 기술하고 있으며, 조직에서 관리 체계 구축 시 구체적인 실행 방법을 개
인정보 관리 과정, 보호 대책, 생명 주기 3 가지의 큰 틀로 구분하고 있다.
개인정보 관리 과정은 개인정보보호 정책 수립 및 조직 구성, 침해 위험 분석에 따른
보호 대책 적용 계획, 위험 관리 과정을 통한 개인정보 관리 계획 도출과 계획 내 대책
구현 및 운영, 이후 검토와 모니터링을 포함하는 사후 관리를 지속적으로 수행하기 위한
방법으로 이루어져 이다.
개인정보 보호 대책은 관리 체계를 구축하고 운영하기 위해 요구되는 기술적, 관리적,
물리적 보호 대책에 대한 세부적인 내용으로 개인정보 정책 수립, 조직의 구성, 개인정보
분류, 교육 및 훈련, 인적 보안, 침해 사고 처리 및 대응 절차, 내부 검토 및 감사 등에
대한 구체적인 실행 방법으로 이루어져 있다.
개인정보 생명 주기는 개인정보 취급 생명 주기(Life Cycle)와 관련된 법적 요구 사항
을 개인정보 수집에 따른 조치, 개인정보 이용 및 제공에 따른 조치, 개인정보 관리 및
파기에 따른 조치로 구분하여 각각에 대한 구체적인 실행 방법으로 이루어져 있다.
3. 표준 적용 산업 분야 및 산업에 미치는 영향
개인정보보호 관리 체계를 활성화함으로써 다양한 서비스를 제공하는 기업과 조직에서
관리 체계 구축을 통해 전 국민에게는 개인정보 유․노출 및 악용에 대한 불안감과 불신을 크게 감소시켜 줄 수 있으며, 국민은 개인정보를 안전하게 관리하는 기업을 객관적으로
식별할 수 있다. 그리고 관리 체계를 구축한 조직은 기업 스스로 고객의 개인정보를 보
호할 수 있는 지속적인 관리 활동을 추진할 수 있는 역량을 확보할 수 있다. 이를 통해
고객의 신뢰를 얻고 사회적 책임을 다함으로서 더 나은 비즈니스 기회를 가져다줄 수 있
다는 사회적 분위기를 조성시킬 수 있을 것으로 기대한다.
방송통신표준
KCS.KO-12.0001ii
분야 KCS.KO-12.0001 TTAS.KO-12.0036 비고
개인정보
관리 과정
요구 사항
1. 개인정보 정책수립 1. 정책 수립
기존 내용 변경
2. 관리 체계 범위 설정 2. 범위 설정
3. 위험 관리 3. 위험 관리
4. 구현 4. 구현
5. 사후 관리 5. 사후 관리
4. 참조 표준(권고)
4.1. 국외 표준(권고)
- ISO/IEC 27000, "Information technology - Security techniques - Information
security management systems - Overview and vocabulary", 2007
- ISO/IEC 27001, "Information technology - Security techniques - Information
security management systems - Requirements", 2005
- ISO/IEC 27002, "Information technology - Security techniques - Information
security management systems - Code of practice for information security
management", 2005
4.2. 국내 표준
- TTA, TTAK.KO-12.0103, "개인정보보호 수준 정의를 위한 공통 항목", 2009.12.
- TTA, TTAK.KO-12.0093, "조직의 정보보호 정책 수립 가이드", 2008.12.
- TTA, TTAS.KO-12.0036, "정보보호 관리 체계 수립 지침", 2006.12.
5. 참조 표준(권고)과의 비교
5.1. 참조 표준(권고)과의 관련성
본 표준은 국내 표준에서 정보보호 관리 체계 수립 지침(TTAS.KO-12.0036)과 해외
표준 ISO/IEC 27001의 내용을 기반으로 새롭게 구성하였다.
정보보호 관리 체계 수립 지침과 ISO/IEC 27001 표준이 정보보호 전반에 걸쳐 일반적
으로 적용될 수 있는 정보보호 요구 사항으로 구성되어 있다면 본 표준은 일반적인 요구
사항 뿐만 아니라 개인정보보호의 법률적 기준을 추가하고 개인정보 생명 주기 전체(수
집, 이용, 보유, 제공, 파기 등)를 관리 체계에 반영하여 조직이 개인정보보호 활동을 체
계적이고 효과적으로 관리할 수 있는 모델을 제공하고 있다.
5.2. 참조한 표준(권고)과 본 표준의 비교표
방송통신표준
KCS.KO-12.0001iii
개인정보
보호 대책
요구 사항
1. 개인정보보호정책 1. 정보보호 정책
기존 내용 변경2. 개인정보보호 조직 2. 정보보호 조직
3. 개인정보 분류 4. 정보자산 분류
분야 KCS.KO-12.0001 TTAS.KO-12.0036 비고
개인정보
보호 대책
요구 사항
4. 교육 및 훈련5. 정보보호
교육 및 훈련
기존 내용 변경
5. 인적 보안3. 외부자 보안
6. 인적 보안
6. 침해 사고 처리 및 대응 절차 13. 보안사고 관리
7. 기술적 보호 조치
8. 시스템개발보안
9. 암호 통제
10. 접근통제
11. 운영관리
8. 물리적 보호 조치 7. 물리적 보안
9. 내부 검토 및 감사 14. 검토, 모니터링 및 준수
- 15. 업무 연속성 관리
생명 주기
준거
요구 사항
1. 개인정보 수집에 따른 조치 -
신규 추가2. 개인정보 이용 및 제공에 따른 조치 -
3. 개인정보 관리 및 파기에 따른 조치 -
6. 지적재산권 관련사항
본 표준의 ‘지적재산권 취급 확약서’ 제출 현황은 국립전파연구원 웹사이트에서 확인할
수 있다.
※ 이 표준을 이용하는 자는 이용함에 있어 지적재산권이 포함되어 있을 수 있으므로,
확인 후 이용한다.
※ 본 표준과 관련하여 접수된 확약서 이외에도 지적재산권이 존재할 수 있다.
7. 적합 인증 관련 사항
7.1. 적합 인증 대상 여부
해당 사항 없음.
7.2. 시험표준 제정 여부
해당 사항 없음.
방송통신표준
KCS.KO-12.0001iv
8. 표준의 이력 정보
8.1. 표준의 이력
판수 제정일 내역
제1판 2011.12.30 제정KCS.KO-12.0001
8.2. 주요 개정 사항
해당 사항 없음.
방송통신표준
KCS.KO-12.0001v
Preface
1. The purpose of standard
This standard aims at providing necessary requirements needed to establish and
operate effective and systematized personal information management system(PIMS)
for person who are in charge of personal information(PI) protection or conduct
activities related with personal information protection in organization which collects
and deals with personal information
2. The summary of contents
Major content of this standard is about definition, constitution and establishing
method of Personal Information Management System(PIMS). This standard contains
3 major parts such as management process, protection measures and life cycle to
explain detailed implementation method when establishing management system in
organization.
Management process contains establishing personal information protection policy
and organizing PI protection organization, plan for applying protection measures
based on the risk management analysis, extracting personal information
management plan through risk management process and establishing and operating
measures in the plan, method of conducting continuous maintenance including
review and monitoring.
PI protection measure contains detailed technological, managerial and physical
protection measures required for establishing and operating PIMS. This consists of
specific implementation method for establishing PI protection policy, organizing PI
protection organization, PI classification, training and education, personnel
protection, responding procedure and handling PI infringement accident, etc.
PI life cycle explains detailed implementation method for complying with legal
requirement dividing three parts such as actions for PI collection, actions for use
and provision of PI and actions for managing and withdrawing PI.
3. The Applicable Fields of Industry and its Effect
Invigorating PIMS can highly decrease anxiety and distrust of PI misuse and
disclosure and people in public are able to objectively recognize organization
방송통신표준
KCS.KO-12.0001vi
managing PI safely from others.
And organizations establishing PIMS are able to obtain capabilities to propel
continuous management activities spontaneously to protect customer's PI. we
expect social environment which earning customer's trust and implementing social
responsibilities can bring better business opportunities.
4. The Reference Standards(Recommendations)
4.1. International standards(Recommendations)
- ISO/IEC 27000, "Information technology - Security techniques - Information
security management systems - Overview and vocabulary", 2007
- ISO/IEC 27001, "Information technology - Security techniques - Information
security management systems - Requirements", 2005
- ISO/IEC 27002, "Information technology - Security techniques - Information
security management systems - Code of practice for information security
management", 2005
4.2. Domestic standards
- TTA, TTAK.KO-12.0103, "Factors for determining the protection level of Personally
Identifiable Information", 2009.12.
- TTA, TTAK.KO-12.0093, "A guide to establishing information security policies of
Organization", 2008.12.
- TTA, TTAS.KO-12.0036, "The Guideline for Establishment of Information Security
Management System", 2006.12.
5. The Relationship to Reference Standards(Recommendations)
5.1. Relations with reference standard(recommendation)
This standard accept part of "ISO/IEC 27001" and "The Guideline for
Establishment of Information Security Management System(TTAS.KO-12.0036)" in
terms of content and function.
While TTAS.KO-12.0036 and ISO/IEC 27001 is composed of requirements for
general information security across information protection in general, this standard
includes legal standard for PI protection and life cycle(collection, use, retention,
방송통신표준
KCS.KO-12.0001vii
Control
AreaKCS.KO-12.0001 TTAS.KO-12.0036 Remarks
Manageme
nt
Process
1. Establishing PI policy 1.Establishing policy
Modification of
existing
content
2. Establishing scope of
management system2. Establishing scope
3. Risk Management 3. Risk Management
4. Implementation 4. Implementation
5. Maintenance 5. Maintenance
PI
protection
measures
1. PI policy 1. IS policy
Modification of
existing
content
2. PI protection organization2. IS protection
organization
3. PI Classification4. Information asset
classification
4. Training and education
5. training and
education for
Information
protection
5. Personnel security3. Outsider security
6. Personnel security
6. Managing incidents13. Managing security
accident
7. Technological protection
measures
8. system development
security
9. Code control
10. Access control
11. Operation
management
8. Physical protection
measures7. Physical security
9. Inner review and audit14. Review,
monitoring and
compliance
PI lifecycle
protection
1. Measures for collection of PI -
New content 2. Measures for use and provision of PI -
3. Measures for management and
destruction of PI-
provision, destruction, etc) within the management system as well as general
requirements, which enables to provide model for organization to manage PI
protection activities systematically and effectively.
5.2. Comparison of reference standard with the standard
방송통신표준
KCS.KO-12.0001viii
6. The Statement of Intellectual Property Rights
IPRs related to the present document may have been declared to RRA. The
information pertaining to these IPRs, if any, is available on the RRA Website.
No guarantee can be given as to the existence of other IPRs not referenced on
the RRA Website.
And, please make sure to check before applying the standard.
7. The Statement of Conformance Testing and Certification
7.1. The Object of Conformance Testing and Certification
None.
7.2. The Standard of Conformance Testing and Certification
None.
8. The History of Standard
8.1. The Change History
Edition Issued date Outline
The 1st edition 2011.12.30Established
KCS.KO-12.0001
8.2. The Revisions
None.
방송통신표준
KCS.KO-12.0001ix
목 차
1. 개요 ···········································································································································1
1.1 목적 ························································································································1
1.2 적용 범위 ··············································································································1
1.3 적용 대상 ··············································································································1
2. 표준의 구성 및 범위 ·······················································································1
3. 용어 정의 ···········································································································2
3.1. 개인정보보호 관리 체계 용어 ·········································································2
3.2. 기술적 용어 ···················································································································4
4. 개인정보 관리 체계 ·························································································5
4.1 개념 ························································································································5
4.2 구성 요소 ·························································································································5
5. 개인정보 관리과정 ·························································································6
5.1 개인정보보호 정책 수립 ····················································································6
5.2 개인정보 범위 설정 ····························································································7
5.3 위험 관리 ··············································································································7
5.4 구현 ························································································································8
5.5 사후 관리 ························································································································8
6. 개인정보 보호 대책 ·························································································9
6.1 개인정보보호정책 ································································································9
6.2 개인정보보호 조직 ····························································································10
6.3 개인정보 분류 ···································································································11
6.4 교육 및 훈련 ·····································································································12
6.5 인적 보안 ···········································································································12
6.6 침해 사고 처리 및 대응 절차 ·······································································14
6.7 기술적 보호 조치 ·····························································································15
6.8 물리적 보호 조치 ·····························································································20
방송통신표준
KCS.KO-12.0001x
6.9 내부 검토 및 감사 ···························································································21
7. 개인정보 생명 주기 ····················································································23
7.1 개인정보 수집에 따른 조치 ···········································································23
7.2 개인정보 이용 및 제공에 따른 조치 ···························································24
7.3 개인정보 관리 및 파기에 따른 조치 ···························································26
부속서 A. 개인정보보호 관리 체계 인증 심사 기준 ··································28
방송통신표준
KCS.KO-12.0001xi
Contents
1. Introduction ······································································································1
1.1 Objective ··············································································································1
1.2 Scope ··················································································································1
1.3 Object of application ·······················································································1
2. Constitution and Scope ···············································································1
3. Terms and Definitions ··················································································2
3.1. Terms for Management system ··································································2
3.2. Terms for technology ·····················································································4
4. Personal Information Management System ············································5
4.1 Concept ················································································································5
4.2 Constitution ·········································································································5
5. Personal Information Management Process ········································6
5.1 Personal Information Management Policy ·················································6
5.2 Scope setting ·····································································································7
5.3 Risk Management ······························································································7
5.4 Implementation ···································································································8
5.5 Maintenance ········································································································8
6. Personal Information Measures ·································································9
6.1 Policy ····················································································································9
6.2 PI protection organization ············································································10
6.3 Classification of PI ·························································································11
6.4 Education and Training ·················································································12
6.5 Personnel Security ··························································································12
6.6 Procedure of incident process and respond ········································14
6.7 Technological Protection measures ··························································15
6.8 Physical Protection measures ·····································································20
6.9 Internal reviews and audits ·········································································21
방송통신표준
KCS.KO-12.0001xii
7. Life cycle of Personal Information ··································································23
7.1 Measures for collection of PI ·····································································23
7.2 Measures for use and provision of PI ····················································24
7.3 Measures for management and destruction of PI ·······························26
Annex A. Review list of Personal Information Management System ····28
방송통신표준
KCS.KO-12.00011
개인정보보호 관리 체계(PIMS)
(Personal Information Management System(PIMS))
1. 개요
1.1. 목적
본 표준은 개인정보를 수집, 취급하는 조직에서 개인정보보호와 관련된 업무 혹은 활동
을 수행하거나 이에 대한 책임을 지고 있는 자들이 효과적이고 체계화된 개인정보보호
관리 체계(PIMS)를 구축하여 운영하는 데 필요한 요구 사항을 정의한다.
1.2. 적용 범위
이 표준은 조직의 규모와 특수성을 고려하여 적절하게 적용될 수 있으며, 각 조직은 위
험평가를 통해 도출된 보안 요구 사항에 따라 조직의 특성에 맞는 보호 대책을 선택․적용할 수 있다. 이 표준에서 제시하는 절차와 방법이 모든 조직에 적용 가능한 것은 아니나,
개인정보보호 관리 체계(PIMS)를 수립ㆍ이행하고자 하는 조직에게 표준 모델을 제시하고
있으며 이를 따르도록 권고한다.
1.3. 적용 대상
이 표준은 최고경영자가 조직의 개인정보보호에 대한 포괄적인 이해와 필요사항을 충
족시키는 방법을 얻는데 유용하게 사용될 수 있다. 또한 개인정보보호 책임자는 이 표준
에 따라 개인정보 관리의 기본 틀을 마련할 수 있으며 개인정보보호 관리 체계의 수립ㆍ
이행과 위험평가를 통한 각종 보호 대책의 채택, 운영, 평가와 관련된 중요한 착안 사항
과 점검항목을 얻을 수 있다.
2. 표준의 구성 및 범위
본 표준은 개인정보를 보유하고 처리하는 조직에서 개인정보보호 관리 체계를 구축하
고 지속적 개선이 이루어질 수 있도록 운영할 수 있는 방법과 절차를 명시하고 있으며
크게 세 개의 장으로 구성되어 있다.
첫 번째로 개인정보보호 관리 체계를 구축하여 지속적으로 운영할 수 있는 체계를 만
드는 관리과정으로 개인정보보호정책 수립, 개인정보보호 관리 체계 범위 설정, 위험 관
리, 구현, 사후 관리의 5 단계 과정을 통한 구축 및 운영의 틀을 마련하는 부분을 기술하고
있다.
방송통신표준
KCS.KO-12.00012
두 번째로 보호 대책에서는 위험 분석을 통해 조직이 가지고 있는 개인정보 자산에 대
하여 수용할 수 없는 수준의 위험이 식별된 경우, 그리고 통제를 구현하여 이 위험을 적
절한 수준으로 감소시키기로 결정한 부분에 대해 해당위험을 통제 가능한 수준으로 관리
할 수 있도록 관리적, 기술적, 물리적 방법으로 구분하여 구체적으로 기술하고 있다.
세 번째로 생명 주기를 통해 개인정보의 수명 주기 전체(수집, 이용, 보유, 제공, 파기
등) 라이프사이클(Lifecycle)상에서 개인정보와 관련된 법률 요구 사항을 위한 대책을 수
립하고 관리할 수 있는 체계를 마련하여 이에 대한 적용 방법들을 적절하게 선택, 관리
할 수 있도록 기술하고 있다.
특히, 본 표준의 이해를 위해서는 개인정보와 관련하여 기술적, 법률적 용어의 이해가
필수적으로 요구되는 만큼 용어 정의 부분을 세부적으로 정리하고 있다.
3. 용어 정의
3.1. 개인정보보호 관리 체계 용어
o 개인정보
‘개인정보’란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한
개인을 알아볼 수 있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정
개인을 알아볼 수 없어도 다른 정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보
를 포함한다)를 말한다.
o 정보 주체
'정보 주체'라 함은 개인정보에 의하여 식별되는 자로서 당해 정보의 주체가 되는 자를
말한다.
o 개인정보보호 정책
'개인정보보호 정책'이라 함은 조직 내 개인정보보호를 위한 전사적인 전략 및 방향을
기술한 문서로, 개인정보보호 관리 업무의 목적, 보호 대상, 책임, 적용 원칙, 수행 업무,
개인정보 처리 단계별 기술적/관리적/물리적 개인정보보호 대책, 개인정보 침해 사고 처
리 및 대응 정책, 개인정보보호 조직 및 책임, 교육 및 훈련, 모니터링 및 내부감사 등
개인정보보호를 위한 일련의 관리활동 및 책임을 포함하며 동 정책은 국가나 관련 산업
에서 정하는 법 규제를 만족하여야 한다.
방송통신표준
KCS.KO-12.00013
o 개인정보보호 조직
'개인정보보호 조직'이라 함은 조직 내 개인정보보호 활동이 체계적이고 효과적으로 진
행될 수 있도록 책임지는 개인정보보호책임자 및 관리자를 지정하고, 기존 부서의 관리
자, 취급자 등에 개인정보보호를 위한 책임을 할당하는 것으로, 조직 내 개인정보보호를
책임지는 구성원 지정 및 책임을 부여함으로써, 개인정보보호 활동의 체계적이고 조직적
인 관리를 가능케 한다.
o 개인정보관리 책임자(CPO, Chief Privacy Officer)
'개인정보관리 책임자'라 함은 회사의 고객 정보보호에 대한 책임을 지며, 모든 개인정
보보호 활동을 총괄적으로 관장하며, 개인정보보호를 위한 연간 계획을 수립하고 각 부
서가 계획대로 이행할 수 있도록 관리하고, 개인정보 취급자 및 관련자들의 업무 수행
시 고객 개인정보보호 방법론 결정 및 관리하는 등 고객 개인정보보호 준수에 대한 지원
및 관리 감독하고 고객 개인정보보호 점검을 위한 검사 항목과 절차에 대해 승인하여,
개인정보와 관련 있는 해당 조직의 개인정보보호 활동이 효과적으로 이루어질 수 있도록
독려하는 등 일련의 활동을 책임지는 임원급 담당자를 말한다.
o 개인정보 취급자
‘개인정보 취급자’라 함은 정보통신서비스 제공자의 사업장 내에서 이용자의 개인정보
를 수집, 보관, 처리, 이용, 제공, 관리 또는 파기 등의 업무를 하는 자를 말한다. 업무를
하는 자가 서비스 제공을 위해 개인정보 처리 시스템에 접속하여 이용자의 개인정보를
조회할 수 있는 권한만을 갖고 있다고 하더라도 개인정보 취급자에 포함한다.
o 개인정보 처리 시스템
‘개인정보 처리 시스템’이라 함은 개인정보를 처리할 수 있도록 체계적으로 구성한 데
이터베이스시스템을 말한다. 개인정보를 보관∙처리하기 위한 데이터베이스 시스템이며 일
반적으로 체계적인 데이터 처리를 위해 DBMS(Database Management System)를 사용
하고 있으나, 이용자의 개인정보 보관∙처리를 위해 파일처리 시스템 등으로 구성한 경우
개인정보 처리 시스템에 해당된다.
o 개인정보 취급 방침
‘개인정보 취급 방침’이라 함은 개인정보를 수집․취급하는 기업에서 해당 개인정보를 어떤 목적으로 어떻게 얼마나 사용할 것인지 등에 대한 설명 정보를 담은 것을 말한다.
동 취급방침에는 개인정보의 수집 및 이용목적, 수집하는 개인정보의 항목 및 수집방법,
방송통신표준
KCS.KO-12.00014
개인정보를 제3자에게 제공하는 경우 제공받는 자의 성명(법인의 경우 법인의 명칭), 제
공받는 자의 이용 목적 및 제공하는 개인정보 항목, 개인정보의 보유 및 이용기간, 개인
정보의 파기절차 및 방법(개인정보를 보존하려는 경우에는 그 보존근거 및 보존하는 개
인정보 항목을 포함), 개인정보 취급 위탁을 하는 업무의 내용 및 수탁자(해당되는 경우
에 한), 이용자 및 법정대리인의 권리와 그 행사 방법, 인터넷 접속 정보 파일 등 개인정
보 자동 수집 장치의 설치․운영 및 그 거부에 관한 사항, 개인정보관리책임자의 성명 또는 개인정보보호 업무 및 관련 고충 사항을 처리하는 부서의 명칭과 그 전화번호 등 연
락처 내용이 포함되어야 한다.
o 위탁 및 제공
‘위탁’이라 함은 자신의 업무와 직·간접적으로 관련된 업무의 일부를 타인(제3자)으로
하여금 그 책임과 권한으로 행하도록 하는 것이 위탁이며, 자신의 업무와 직·간접적으로
관련 없는 사항은 업무 위탁으로 볼 수 없다. 즉, 개인정보의 제3자 ‘제공’은 ‘제공받는
측의 사업목적’을 위하여 개인정보가 제공되는 경우로 볼 수 있으며, 반면 위탁은 ‘제공
하는 측의 사무 처리’를 위한 경우로 구분한다.
o 개인정보보호 관리 체계(PIMS, Personal Information Management System)
‘개인정보보호 관리 체계’라 함은 조직이 수집․이용․보유․제공․파기하는 모든 개인정보에 대해 안전성과 신뢰성을 제공함은 물론 이용자의 자기정보결정권을 보장하기 위한 체계
적인 활동을 말한다. 이는 단편적이고 일회적인 조치가 아니라, 체계적이고 지속적으로
개인정보를 보호할 수 있는 조치로 이루어진 일련의 시스템으로, 「정보통신망 이용촉진
및 정보보호 등에 관한 법률」 등 개인정보보호 관련 법령 뿐 아니라 각종 지침․안내서 및 기업 내부 규정 등을 포함하는 다양한 보호 조치로 이루어진다.
3.2. 기술적 용어
o 데이터베이스 관리시스템(DBMS, Database Management System)
‘DBMS((Database Management System)’라 함은 개인정보 등의 데이터를 조합하여
데이터베이스를 구성하고 이를 사용하기 위해 구성된 소프트웨어 시스템을 말한다. 사용
자나 응용 프로그램이 데이터베이스를 쉽게 이용할 수 있도록 도와주며 그 기능은 크게
구성 기능, 조작 기능, 제어 기능으로 나눌 수 있다.
o 보안 서버
‘보안 서버’라 함은 정보통신망을 통해 송∙수신하는 정보를 암호화하여 전송하도록 구
현된 웹서버를 말한다. 인터넷상에서 사용자 PC와 웹서버 사이에 송∙수신되는 개인정보
방송통신표준
KCS.KO-12.00015
를 암호화하여 전송하는 서버를 의미하며 사용자와 웹서버 간의 신뢰를 형성하고, 사용
자 PC의 웹브라우저와 웹서버 간에 전송되는 데이터의 암∙복호화를 통하여 보안 채널을
형성하도록 구현된 서버를 말한다.
o 정보통신망
‘정보통신망’이라 함은 「전기통신사업법」 제2조제2호에 따른 전기통신설비를 이용하
거나 전기통신설비와 컴퓨터 및 컴퓨터의 이용기술을 활용하여 정보를 수집ㆍ가공ㆍ저장
ㆍ검색ㆍ송신 또는 수신하는 정보통신체제를 말한다.
o 암호화 (Encryption)
‘암호화’라 함은 의미를 알 수 없는 형식(암호문)으로 정보를 변환하는 것을 말한다.
암호문의 형태로 정보를 기억 장치에 저장하거나 통신 회선을 통해 전송함으로써 정보를
보호할 수 있다. 암호화는 암호 키(특정의 비트열)를 사용하여 정보를 암호문으로 변환하
는 것을 말한다.
o 복호화 (Decryption)
‘복호화’라 함은 암호화 과정의 역 과정으로, 암호화 알고리듬에 의하여 암호문을 평문
으로 바꾸는 과정을 말한다. 암호 키로 암호화된 정보를 복호화 키를 사용하여 원래의
정보로 복원하는 것을 말한다.
4. 개인정보보호 관리 체계
4.1. 개념
개인정보보호 관리 체계는 이용자의 개인정보를 안전하게 보호할 수 있도록 기술적․관리적․물리적․조직적인 다양한 보호 대책들을 구현하고 단편적인 보호 대책이 아닌, 체계적이고 지속적인 개인정보 보호 활동을 위한 관리 체계를 구축하도록 함으로서 개인정보
침해 가능성을 최소화 할 수 있도록 관리, 운영하는 종합적인 체계를 말한다.
4.2. 구성 요소
개인정보보호 관리 체계는 개인정보보호 활동을 체계적․지속적으로 수행할 수 있도록 총 3개 분야로 구성된다.
개인정보보호 활동을 체계적․지속적으로 수행하기 위해 필요한 관리과정과 구체적인 관리적, 기술적, 물리적 보호 조치를 위한 보호 대책 부분, 개인정보의 라이프사이클에 따
라 법률에서 요구하고 있는 사항을 적용하기 위한 생명 주기로 구분하고 있다.
방송통신표준
KCS.KO-12.00016
그림 4.1 개인정보보호 관리 체계
5. 개인정보 관리 과정
5.1. 개인정보보호 정책 수립
5.1.1. 개인정보보호 정책 수립
가. 개인정보보호 정책 수립
조직 내 개인정보 침해 가능성의 관리 및 책임을 기술한 개인정보보호 관련 정책
을 수립하여야 하며, 동 정책은 국가나 관련 산업에서 정하는 법 규제를 만족하여
야 한다.
나. 조직 및 책임 설정
개인정보보호 활동에 대한 경영층의 명확한 지원 및 방향 제시를 보증할 수 있는
개인정보보호 및 위험 관리 조직을 구성하고 적절한 인원과 예산을 배정해야 한
다.
또한 개인정보 유출 및 침해 위험 관리 활동을 수행하고 검증하는 인력들에 대한
책임, 권한 및 상호연관관계를 정의하고 문서화하여야 한다.
방송통신표준
KCS.KO-12.00017
다. 내부 관리 계획의 수립
개인정보보호 정책에 따른 개인정보보호 조직 구성 및 운영 등이 포함된 내부 관
리 계획을 수립하여 이행하여야 한다.
내부 관리 계획 수립 시에는 다음 각 호의 사항이 포함되어야 한다.
1) 개인정보 관리 책임자의 자격요건 및 지정에 관한 사항
2) 개인정보 관리 책임자와 개인정보 취급자의 역할 및 책임에 관한 사항
3) 개인정보 내부관리 계획의 수립 및 승인에 관한 사항
4) 개인정보의 기술적․관리적 보호 조치 이행 여부의 내부 점검에 관한 사항 5) 그 밖에 개인정보보호를 위해 필요한 사항
5.2. 개인정보 범위 설정
5.2.1. 범위 설정
가. 개인정보 식별
조직의 개인정보 및 개인정보 관리 자산을 분류 및 식별하고 개인정보 자산의 형
태, 소유자, 관리자, 특성 등을 포함하여 목록을 만들어야 한다.
나. 개인정보보호 관리 체계 범위 설정
조직의 특성, 위치, 기술, 자산 등 내ㆍ외적 환경에 중대한 영향을 미치는 요소를
고려하여 개인정보보호 관리 체계의 범위를 설정하여야 한다.
5.3. 위험 관리
5.3.1. 위험 관리
가. 위험 관리 계획 수립
조직의 목표 및 정책, 법적 요구 사항 등을 고려하여 조직, 역할, 책임, 주요 과정
을 포함한 위험 관리 계획을 수립하고, 조직에 적합한 위험 관리 방법을 선택하여
야한다. 이 위험 관리 방법은 조직과 개인정보보호 환경 변화에 대응할 수 있도록
지속적으로 검토하여야 한다.
방송통신표준
KCS.KO-12.00018
나. 위험 평가
위험 관리 계획에 따라 위험평가를 수행하고 개인정보침해를 방지할 수 있는 목표
위험 수준이 설정되어 관리되어야 한다.
다. 위험 관리를 위한 보호 대책 및 이행 계획 수립
조직의 위험 관리를 위한 보호 대책과 목적에 부합하도록 위험을 수용 가능한 수준
으로 감소시켜야 한다. 이를 위해, 위험평가에 의거한 위험처리, 위험수용, 위험회
피, 위험전가 등의 전략을 설정하고, 이에 적합한 보호 대책을 선정하여야 한다. 선
정된 대책을 구현하기 위한 구체적인 일정 계획을 수립하고 최고경영진의 승인을 받아야
한다.
5.4. 구현
5.4.1. 구현
개인정보보호 대책의 이행 계획에 따라 보호 대책을 구현하고, 구현 후 검토 계획에 따
라 일정 시간이 흐른 후 구현 성과를 검토 및 보고하여야 한다.
5.5. 사후 관리
5.5.1. 사후 관리
가. 모니터링 및 개선
개인정보보호 관리 체계는 지속적으로 모니터링 하여 관련 문제점을 검출하고 해결
할 수 있도록 하며, 결과를 기록하여 분석한 후 이를 평가하여 지속적인 개선활동
을 수행하여야 한다.
나. 개인정보보호 관리 체계의 재검토
조직의 목표, 기술 등 내·외부의 변화와 내부감사 결과, 보안사고 등을 고려하여,
개인정보보호 관리 체계의 효율성, 범위의 적절성, 잔류 위험의 수준, 절차 등의 문
서를 공식적이고 정기적으로 재검토하여야 한다.
방송통신표준
KCS.KO-12.00019
6. 개인정보 보호 대책
6.1. 개인정보보호정책
6.1.1. 정책의 승인 및 공표
가. 정책의 승인
문서화된 개인정보보호 정책은 개인정보 취급 부서장들의 내부 검토를 거친 후에
최고경영자의 승인을 받아야 한다.
나. 정책의 공표
개인정보보호 정책은 이용자, 임직원 및 관련자에게 이해하기 쉬운 형태로 전달되
고 배포되어야 한다.
6.1.2. 정책의 체계
가. 지침, 절차 및 표준 수립
개인정보보호 정책을 구체적으로 시행하기 위한 지침, 절차 및 표준을 수립하여야 한다.
나. 정책 간의 일관성
개인정보보호 정책을 구체적으로 시행하기 위한 지침, 절차 및 표준은 서로 일관성
이 유지되어야 한다.
6.1.3. 정책의 유지관리
가. 정책의 주기적 검토
정기적으로 개인정보보호정책의 타당성을 검토하여야 하며, 중대한 개인정보 사고 발
생, 새로운 위협 또는 취약성의 발생, 기업 환경에 중대한 변화 등이 발생했을 경
우에는 관련된 사항의 타당성을 추가로 검토하여 반영하여야 한다.
나. 정책 문서 관리
개인정보보호정책과 정책 시행을 위한 관련 문서들은 문서의 발행 전 승인, 주기적
또는 필요 시 문서의 검토ㆍ갱신 및 재승인, 문서의 변경과 현재 개정상태의 식별,
방송통신표준
KCS.KO-12.000110
문서 배포, 폐기된 문서의 사용제한 및 표시 등의 통제를 정의한 절차를 수립하고
운영하여야 한다.
6.2. 개인정보보호 조직
6.2.1. 조직의 체계
가. 개인정보보호 조직 체계 구성
개인정보보호 업무를 체계적으로 이행하기 위한 내부 조직 체계가 구축되어 있어야
한다.
나. 개인정보 관리 책임자(CPO) 지정
이용자의 개인정보를 보호하고 개인정보와 관련한 이용자의 고충을 처리하기 위하
여 개인정보관리책임자를 지정하여야 한다.
다. 개인정보 취급 부서별 책임자 및 담당자 지정
개인정보보호 업무를 체계적으로 이행하기 위해 내부 조직 체계에서 개인정보를
직접 취급하는 부서별 책임자와 담당자를 지정하여 운영하여야 한다.
6.2.2. 책임 및 보고 체계
가. 역할 및 책임
개인정보관리책임자 및 개인정보를 취급하는 다양한 부서의 책임자, 담당자에 대한
역할과 책임 및 권한이 정의되어야 한다.
나. 보고 및 의사소통체계
개인정보관리책임자 및 개인정보를 취급하는 다양한 부서의 책임자, 담당자가 상호
의사소통할 수 있는 보고라인, 방법 및 절차가 정의되어 있어야 한다.
방송통신표준
KCS.KO-12.000111
6.3. 개인정보 분류
6.3.1. 개인정보 자산의 조사 및 책임 할당
가. 개인정보 자산 조사
조직의 개인정보 및 개인정보 관리 자산을 조사하고 개인정보 및 개인정보 관리 자
산별로 조직에서의 가치, 업무 영향, 법적 준수사항 등을 고려하여 중요도를 결정
하여야 한다.
나. 개인정보 및 개인정보 관리 자산별 책임 할당
조사된 개인정보 및 개인정보 관리 자산에 대하여 소유자, 관리자, 사용자를 확인
하고, 적절한 통제 유지를 위해 책임 소재를 명확히 하여야 한다.
6.3.2. 개인정보 자산의 분류 및 취급
가. 개인정보 흐름 분석
식별된 개인정보 자산별 개인정보 수집에서 파기까지의 취급 흐름을 파악하여야 한
다.
나. 개인정보 및 개인정보 자산 보안 등급과 취급
식별 및 분류된 개인정보 자산에 대해 보안 등급을 부여하고, 보안 등급 표시를 부
착, 관리하여야 한다. 또한 보안 등급의 부여에 따라 취급 절차를 정의하여 이행하여야
한다.
방송통신표준
KCS.KO-12.000112
6.4. 교육 및 훈련
6.4.1. 교육 및 훈련
가. 교육 및 훈련 대상
교육 및 훈련의 대상에는 조직의 임직원, 개인정보 취급자뿐만 아니라 수탁자 및
관련 외부자를 포함하여야 한다.
나. 교육 및 훈련 내용
교육내용은 개인정보보호 관련 법률 및 제도, 관리적 기술적 조치 및 이를 수행하기
위한 방법, 사내 규정 등 개인정보 취급자가 필수적으로 알아야 하는 사항을 포함
하여야 한다.
6.4.2. 시행 및 평가
가. 교육 및 훈련 시행
교육 및 훈련은 정기적으로 연 2 회 실시하여야 하며, 개인정보보호정책이나 절차
및 역할의 변경이 있는 경우에는 수시로 실시하고 이에 대한 기록을 남겨야 한다.
나. 교육 및 훈련 평가
교육 및 훈련 종료 후 검토를 통하여 차기 교육에 반영하여야 한다.
6.5. 인적 보안
개인정보 취급자는 최소한으로 제한하고 개인정보 취급자 명단 관리 및 책임 명시, 처
벌 규정을 마련하여야 한다.
6.5.1. 개인정보 취급자 관리
가. 개인정보 취급자 감독
업무상 개인정보를 취급해야 하는 개인정보 취급자는 최소한으로 제한하고 취급자
명단 관리 및 통제방안을 마련하여야 한다.
방송통신표준
KCS.KO-12.000113
나. 인사 규정
인사 규정 등에는 임직원 및 개인정보 취급자가 지켜야 할 책임 및 관련 법규상의
책임을 명시하여야 한다. 또한 직원이 책임을 이행하지 않는 경우를 대비한 적절한
처벌규정을 포함하여야 한다.
6.5.2. 개인정보보호 서약
개인정보 취급자와 임시직원 및 제3자에게 정보에 대한 접근 권한을 부여할 경우에도
그들로부터 개인정보보호 서약서에 서명을 받아야 한다. 직원의 고용 계약에 변경이 있을
경우, 특히 직원이 퇴사하거나 계약기간이 만료될 때에는 개인정보보호 서약서를 환기시
켜야 한다.
방송통신표준
KCS.KO-12.000114
6.6. 침해 사고 처리 및 대응 절차
6.6.1. 대응 계획 및 체계
가. 침해 사고 대응 계획 수립
개인정보의 노출, 유출, 변경, 삭제에 대응하기 위한 긴급 연락 체계, 개인정보보호
사고 발생 시 보고 및 대응 절차, 사고 대응 조직의 구성, 교육 계획 등을 포함한 개
인 정보사고 대응 계획을 수립ㆍ시행하여야 한다.
나. 침해 사고 대응 체계 구축
개인정보 사고의 대응이 신속하게 이루어질 수 있도록 중앙 집중적인 대응 체계를
구축하고, 대응 체계에는 내부직원뿐 아니라 외부기관 및 전문가들과의 협조체계를
반영하여야 한다.
6.6.2. 대응 및 복구
가. 침해 사고 대응 교육 및 훈련
개인정보사고 대응 계획, 절차 및 방법에 대한 정기적인 교육과 사고 처리 후 재발
방지를 위하여 필요한 교육ㆍ훈련을 실시하여야 한다.
나. 침해 사고 보고
사고의 징후 또는 개인정보사고 발생을 인지한 때에는 보고체계에 따라 가능한 신속히
보고하여야 한다. 시스템이나 네트워크의 보안취약점과 소프트웨어 기능 장애 또한
신속히 보고하여야 한다. 보고자에 대해서는 적절한 보상이 주어져야 하며 보고로
인해 불이익이 발생하지 않도록 해야 한다.
다. 침해 사고 처리 및 복구
개인정보사고 대응 시 처리, 복구 절차에 따라 처리와 복구를 신속히 수행하여야 한다.
6.6.3. 사후 관리
가. 침해 사고 분석 및 정보공유
개인정보사고가 처리되고 종결된 후 이에 대한 분석이 수행되어야 하며, 그 결과가
방송통신표준
KCS.KO-12.000115
보고되어야 한다. 또한 사고에 대한 정보와 발견된 취약성들이 관련조직과 인력에
공유되어야 한다.
나. 침해 사고 재발방지
개인정보 사고로부터 얻은 정보를 활용하여, 유사 사고가 반복되지 않도록 재발 방
지 대책을 수립하여야 한다. 이를 위해 필요한 경우 정책, 절차, 조직 등의 보안 체
계에 대한 변경도 이루어져야 한다.
6.7. 기술적 보호 조치
6.7.1. 접근통제
가. 접근통제 정책 수립
개인정보 및 처리시스템의 접근통제, 암호통제, 운영통제, 시스템개발 보안, 출력
및 복사 시의 통제, 개인정보 표시 제한 등에 대한 정책을 수립하고 문서화하여야 한다.
나. 개인정보 취급자 등록
개인정보 및 개인정보 처리 시스템에 대한 접근을 통제하기 위한 공식적인 사용자
등록 및 해지 절차를 마련하여야 한다.
다. 개인정보 취급자 권한관리
개인정보 처리 시스템에 대한 접근 권한을 서비스제공을 위하여 필요한 최소한의
인원에게만 부여하고 그 내역을 기록 관리하여야 한다.
라. 사용자 패스워드 관리
사용자 패스워드의 관리절차를 수립하고 이행하여야 한다.
마. 사용자의 접근권한 검토
개인정보나 개인정보 처리 시스템에 대한 접근을 관리하기 위해서 정기적으로 접근
권한에 대하여서 점검을 하여야 한다.
방송통신표준
KCS.KO-12.000116
바. 개인정보 취급자의 책임
시스템 및 패스워드 관리 책임은 사용자 자신에게 있음을 주지시키고 관리 지침을
제공하여야 한다.
사. 네트워크 접근
비 인가된 접근을 막기 위해 네트워크의 내ㆍ외부 연결통제, 사용자 터미널과 컴퓨
터 서비스 간에 물리적 및 논리적 경로의 통제, 사용자 인증, 고장 진단 포트에 대
한 접근 통제 등을 포함한 네트워크 접근정책을 수립하고 이행하여야 한다.
아. 운영체제 접근
안전한 로그온 절차, 식별 및 인증관리, 필요시 터미널 자동 확인 등을 포함하여
시스템의 운영체제 접근을 통제하여야 한다.
자. 응용프로그램 접근
사용자 접근이 허가되지 않은 응용 프로그램의 기능들에 대한 정보 제공을 제한하여야
한다. 또한 민감한 정보를 처리하는 응용 프로그램의 출력물은 허가된 위치에서만
전달하여야 한다. 민감한 응용 시스템은 반드시 일반적인 환경과 분리하여야 한다.
차. 데이터베이스 접근
데이터베이스의 뷰, 레코드 또는 필드 레벨에서의 데이터에 대한 접근통제, 데이터
사전 및 데이터베이스 유틸리티에 대한 접근통제, 민감 정보의 암호화 등을 통해
데이터베이스내의 정보를 보호하여야 한다.
6.7.2. 암호 통제
가. 암호 정책
개인정보의 암호화를 위한 문서화된 정책을 수립하여야 한다.
나. 암호 사용
암호 정책에 따라 암호 대상 개인정보의 암호화를 시행하여야 한다.
방송통신표준
KCS.KO-12.000117
다. 암호 키 관리
암호 키에 대한 관리 지침, 절차 및 방법을 마련하고 필요 시 복구 방안을 마련하
여야 한다.
6.7.3. 운영 통제
가. 정보자산의 변경 관리
정보 시스템 관련 자산들을 조사하고, 모든 변경 사항들을 반영할 수 있는 공식적인
관리 책임 및 절차를 수립하여야 한다.
나. 직무 분리
부주의에 의한 또는 고의적인 시스템 오용의 위험을 감소시키기 위해 직무를 분리
하고, 직무 분리가 어려운 특수한 경우 별도의 관리 감독 대책을 수립하여야 한다.
다. 개발과 운영환경의 분리
원칙적으로 개발, 테스트, 운영 환경을 분리하여야 한다. 또한 응용프로그램을 개발
환경으로부터 운영환경으로 이전하는 절차를 정의하고 문서화하여야 한다.
라. 네트워크 운영 대책
네트워크 운영 보안 유지를 위해 직무 분리, 접근 권한 통제, 원격 접속 설비 관리,
네트워크 분리 등을 위한 책임 및 절차 등을 포함한 대책을 수립하여야 한다.
마. 인터넷 접속 관리
개인정보 취급자의 PC 및 개인정보 처리 시스템을 보호하기 위하여 인터넷과의 접
속에 대한 통제 정책을 수립하고, 침입 차단 시스템 및 침입 탐지 시스템 등을 설
치하여 보호하여야 한다.
바. 원격 운영 관리
네트워크를 통해 시스템을 운영하는 경우 원칙적으로 시스템 관리는 내부의 특정 터
미널에서만 할 수 있도록 제한하고, 외부에서 네트워크를 통하여 시스템을 관리할 경
우에는 사용자 인증, 암호 및 접근통제 기능을 설정하여야 한다.
방송통신표준
KCS.KO-12.000118
사. 매체 취급 및 보관
허가되지 않은 유출이나 오용으로부터 개인정보를 보호하기 위해, 매체의 취급 및
보관에 대한 절차를 수립하고 운영하여야 한다.
아. 매체의 폐기
매체 폐기를 부주의하게 이행하여 외부자에게 개인정보가 누출되지 않도록 폐기지
침을 수립하고 운영하여야 한다.
자. 악성 소프트웨어 통제
바이러스 등의 악성 소프트웨어로부터 개인정보 처리 시스템 및 개인정보 취급자의
PC를 보호하기 위해 악성 소프트웨어들을 예방하고 탐지, 대응하는 대책을 수립하
여야 한다.
차. 이동 컴퓨팅
휴대용 정보통신기기의 사용 시에 사업 정보를 보호하기 위한 보안 정책을 수립하고,
내부 네트워크로의 연결 및 공공장소에서의 사용에 대한 정책을 수립하여야 한다.
카. 원격 작업
재택근무와 같은 원격 작업 수행 시 이에 대한 물리적, 논리적 보호를 위한 정책과
절차를 마련하여야 한다.
타. 공개 서버 보안 관리
웹서버 등을 통해 이용자의 개인정보를 처리하는 공개 서버의 경우 이를 통해 개인
정보 노출이 발생하지 않도록 기술적, 물리적 보안 대책을 수립하고 운영하여야 한
다.
6.7.4. 시스템 개발 보안
가. 분석 및 설계 보안 관리
개인정보 처리 시스템을 새로 개발 또는 구매하거나 기존 시스템 개선 시 개인정보
영향 평가를 수행하여야 하며 평가 결과에 따른 보안 요건을 포함하여 개발하여야 한
다.
방송통신표준
KCS.KO-12.000119
나. 구현 및 시험
개인정보 처리 시스템에 대한 보안요구 사항을 만족하는 대책을 구현하고 보안 요
구 사항에 대한 시험을 수행하여야 한다.
다. 운영 환경 이행 보안
운영 프로그램의 수정은 적절한 권한을 지닌 사람만이 시행하여야 하고, 운영시스
템은 실행코드만 보유하여야 한다. 실행코드는 성공적인 시험과 사용자 인수 후 실
행하여야 한다.
라. 테스트 데이터의 보안
운영 데이터를 시험용으로 사용하고자 할 경우 민감한 개인정보를 변경 또는 삭제
하고 개인정보관리 책임자의 승인 후에 시행하여야 한다. 또한 시험 환경에 대하여
운영 환경에 준하는 보안을 시행하고 시험 완료 후 운영 데이터는 테스트 시스템에
서 삭제하여야 한다.
마. 소스 프로그램의 접근 보안
소스 프로그램은 실제 운영 환경에 보관하지 않는 것을 원칙으로 하며, 소스 프로
그램 관리자는 각 운영시스템 별로 지정하여야 한다. 또한 소스 프로그램 접근에
대한 통제 절차를 수립하고 이행하여야 한다.
바. 변경 관리 절차
개인정보 처리 시스템의 변경에 따른 개인정보 노출, 손상, 파괴를 최소화하기 위
하여 공식적인 변경 관리 절차를 수립하고 이행하여야 한다.
사. 운영체제 변경시의 검토
운영체제 변경이 필요한 경우 개인정보 처리 시스템의 운영이나 보안에 미치는 영
향을 분석, 검토하여야 한다.
방송통신표준
KCS.KO-12.000120
아. 소프트웨어 패키지 변경
개인정보 처리를 위한 소프트웨어 패키지는 개인정보보호 정책 및 법적 요건을 만
족하여야 하며 패키지 변경 시에는 공급자의 동의를 얻으며, 수정이 가능한지 확인
하여야 한다. 모든 변경사항은 시험하고 문서화하여야 한다.
6.7.5. 출력, 복사 통제
가. 출력, 복사 시 용도 특정
개인정보 처리 시스템에서 개인정보의 출력 시 용도를 특정하여야 하며, 용도에 따라
출력 항목을 최소화하여야 한다.
나. 출력, 복사 시 기록 및 승인
개인정보를 테이프, 디스크, 출력물, 이동식 저장 장치 등에 복사할 경우 필요한 사
항을 기록하고 사전 승인을 받아야 한다.
6.7.6. 개인정보 표시 제한
가. 개인정보 마스킹
개인정보 업무 처리를 목적으로 개인정보 조회, 출력 등의 업무를 수행하는 과정에
서 개인정보를 마스킹을 통해 표시 제한을 수행하여야 한다.
6.8. 물리적 보호 조치
6.8.1. 물리적 보안 대책
가. 물리적 보호 구역
개인정보의 취급, 처리 및 저장 시설 및 장비를 권한 없는 자의 물리적 접근 및 각
종 물리적, 환경적 재난으로부터 보호하기 위하여 보호구역을 정의하고 이에 따른 보
안대책을 수립ㆍ이행하여야 한다.
나. 물리적 접근 통제
개인정보를 취급, 처리하는 보호 구역에 대한 출입 통제 기록을 남기고, 주기적으로
타당성을 검토해야 한다. 수립된 보안 절차에 따라 필요한 조치를 수행하고 주기적
방송통신표준
KCS.KO-12.000121
으로 검토하여야 한다.
6.8.2. 장비 보호
가. 케이블 보호
개인정보를 송ㆍ수신하거나 정보서비스를 지원하는 전력 및 통신 케이블은 방해되
거나 손상을 입지 않도록 보호하여야 한다.
나. 장비의 안전한 폐기 및 재사용
개인정보를 담고 있는 장비의 폐기 및 재사용 시에는 이를 물리적으로 파기하거나
폐기하기 전에 저장 매체에 기록된 내용이 완전히 삭제되어 복구가 불가능한지 확
인하여야 한다.
6.8.3. 사무실 보호
개인정보 취급자에 대하여 책상 위에 개인정보 문서나 저장 매체를 남겨놓지 않도록
하고, 통상 근무시간 동안이나 그 외의 시간에 비인가된 자에 의한 정보 접근, 손상을 방
지하기 위하여 컴퓨터 화면에 정보 처리에 관한 사항을 남겨놓지 않도록 하여야 한다.
6.9. 내부 검토 및 감사
6.9.1. 법적 요구 사항 준수 검토
조직의 개인정보에 대해 적용되는 모든 법, 규제, 계약상의 요구 사항을 정의하고
문서화하여야 하며, 이들 요구 사항을 개인정보보호 관리 체계에 포함시켜 문서화
한다.
6.9.2. 개인정보보호정책 및 대책 준수 검토
가. 정책의 준수 검토
개인정보 및 개인정보 처리 시스템을 다루는 부서장은 개인정보보호 정책, 절차가
준수되고 있는지 검토하여야 한다.
방송통신표준
KCS.KO-12.000122
나. 기술적 점검
개인정보 처리 시스템이 절차에 따라 운영 관리되고 있는지 정기적으로 점검하고
발견된 문제점에 대해 필요한 조치를 취하여야 한다.
6.9.3. 모니터링
가. 개인정보 처리 활동 모니터링
인가되지 않은 개인정보 처리 활동을 탐지하기 위해 모니터링 절차를 수립하고 시
행하여야 한다. 모니터링 결과는 정기적으로 점검하여야 하고 위험의 정도에 따라
점검 주기를 결정하여야 한다.
나. 개인정보 열람 기록 검토 및 오남용 방지
개인정보 취급자의 오남용을 방지하기 위하여 개인정보 열람에 대한 기록을 남기고
주기적으로 검토하여야 한다.
다. 개인정보 처리 기록 검토 및 위·변조 방지
개인정보 처리 시스템에 대한 접근을 기록하고 정기적으로 검토하여야 하며, 위·변
조를 막기 위한 조치를 취해야 한다.
라. 시각 동기화
이행 점검 기록의 명확성을 보장하기 위하여 시스템 시각을 정확히 설정하여야 한
다.
6.9.4. 보안 감사
가. 보안 감사 계획 및 이행
보안 감사 대상, 범위, 주기, 방법, 절차, 감사자, 감사 도구를 포함한 보안 감사 계
획을 수립하고 시행하여야 한다.
나. 감사 결과 및 사후 관리
감사의 결과에 따라 감사보고서를 작성하고 적정한 책임자에게 보고하며, 감사 지
적 내용이 이행 되도록 사후 관리하여야 한다.
방송통신표준
KCS.KO-12.000123
7. 개인정보 생명 주기
7.1. 개인정보 수집에 따른 조치
7.1.1. 최소한의 정보수집
가. 서비스 제공을 위해 필요한 최소한의 정보 수집
서비스 제공을 위해 필요한 최소한의 정보만을 수집하고, 추가적 정보의 수집을 원
할 경우, 정보 주체가 선택 제공할 수 있도록 필수와 선택 사항으로 구분하여야한
다. 이때 선택 사항의 정보를 제공하지 않는다는 이유로 서비스 제공을 거부하지 않
아야 한다.
나. 중요 정보 수집 제한
개인의 권리·이익이나 사생활을 뚜렷하게 침해할 우려가 있는 민감한 개인정보를 수
집하여서는 안 된다. 수집이 필요한 경우, 이용자의 동의를 받아야 한다.
다. 간접 수집 시 조치
시스템에 의한 수집 또는 개인정보 처리를 통해 생성한 간접 수집한 개인정보에 대
한 적절한 보호를 취해야 한다.
7.1.2. 개인정보 수집 시 고지 및 동의 획득
가. 정보 주체의 동의
개인정보는 정보주체의 동의를 얻은 후에 수집하여야 한다.
나. 법적대리인 동의 획득
14세 미만 아동의 개인정보를 수집하는 경우 법정 대리인의 동의를 받아야 한다.
다. 동의 기록 보관
이용자에게서 동의를 받은 기록은 보관하여야 한다.
방송통신표준
KCS.KO-12.000124
7.1.3. 개인정보 취급 방침 마련 및 게시
개인정보 취급 방침을 정하여 이용자가 언제든지 쉽게 확인할 수 있도록 적절한
방법에 따라 공개하여야 한다.
7.2. 개인정보 이용 및 제공에 따른 조치
7.2.1. 동의 범위 내 개인정보 사용
개인정보는 이용자에게 고지하고 동의 받은 범위를 넘어 이용하지 않아야 하고, 만약
그러할 경우, 정보주체로부터 추가적으로 동의를 받아야 한다.
7.2.2. 이용자 권리 보호
가. 이용자의 불만처리
개인정보와 관련한 이용자의 의견 및 불만을 접수․처리하기 위하여 상담창구를 운영하여야 한다.
나. 열람 정정 요구권 보장 및 처리
이용자가 자신의 개인정보에 대한 열람 또는 이용 및 제공 내역을 요청할 경우 이
에 대해 지체 없이 조치하여야 한다.
다. 동의 철회
이용자가 자신의 개인정보에 대한 동의 철회를 요청할 경우 이에 대해 지체 없이
조치하여야 한다.
라. 이용자 요청의 처리
이용자의 요청을 지체 없이 처리하고 기록을 남겨야 한다.
방송통신표준
KCS.KO-12.000125
7.2.3. 외부 위탁 시 개인정보 보호
가. 이용자 고지 및 동의
제3자에게 이용자의 개인정보를 처리할 수 있도록 업무를 위탁하는 경우에는 관련
사항을 이용자에게 알리고 동의를 얻어야 한다.
나. 위탁자 책임
위탁자는 수탁자가 안전하게 개인정보를 취급하도록 관리 감독하여야 하며, 수탁자
가 법 규정을 위반한 경우 손해배상 책임을 져야 한다.
다. 외부 위탁 관리 감독
조직의 개인정보 업무를 외부 위탁하는 경우에는 개인정보보호에 관한 요구 사항
및 관리감독에 관한 사항을 계약서 및 서비스 수준 협약서 상에 명시하여야 한다.
라. 외부 위탁 계약 관련 사항
외부 위탁 업체가 계약서 및 서비스 수준 협약에 명시된 사항을 충분히 이행하는지
상시 관리 감독하고 주기적으로 점검 또는 감사하여야 한다.
7.2.4. 제3자 제공 시 개인정보보호
가. 제3자 제공 시 동의
이용자의 개인정보를 제3자에게 제공하려는 경우 모든 사항에 대하여 이용자에게
알리고 동의를 얻어야 한다.
나. 제공받은 개인정보의 관리
개인정보를 타 기관으로부터 제공받은 경우 제공받은 목적 외의 용도로 이를 이용
하거나 제3자에게 제공하지 않아야 한다.
다. 제3자 보안 관리
조직이 제3자에게 개인정보 또는 개인정보에 대한 접근을 제공하는 경우에는 조직
의 개인정보보호정책 준수 및 법적 요건을 만족하기 위한 방안을 마련하여야 한다.
방송통신표준
KCS.KO-12.000126
라. 제3자 제공 시 계약 관련 사항
조직의 개인정보에 대한 제3자의 접근 또는 제공을 절차에 따라 통제하여야 한다.
7.2.5. 양도, 양수, 합병 등 개인정보 이전 시 개인정보보호
가. 개인정보를 이전하는 경우 보호 조치
영업의 양도, 합병 등으로 개인정보를 이전하는 경우 적절한 조치를 취하여야 한다.
나. 개인정보를 이전받는 경우 보호 조치
영업의 양도, 합병 등으로 개인정보를 이전받은 경우 적절한 조치를 취하여야 한다.
7.2.6. 해외 이전 시 개인정보보호
개인정보를 해외로 이전하는 경우 적절한 보호 조치를 취해야 한다.
7.3. 개인정보 관리 및 파기에 따른 조치
7.3.1. 개인정보의 저장 및 관리
가. 개인정보의 저장 및 관리
조직은 개인정보 파기 내부 규정을 마련하고 이에 따라 개인정보의 수집 목적이 달
성된 경우 개인정보를 안전한 방법으로 지체 없이 파기하여야 한다.
나. 파기 규정
개인정보의 보유 및 파기 관련 내부 규정이 마련되어야 한다.
다. 파기 시점
개인정보가 기입된 서류 등의 원본과 사본은 서비스 이용계약 해지 등 개인정보의
수집 목적이 달성된 경우 이를 지체 없이 파기해야 한다.
방송통신표준
KCS.KO-12.000127
라. 파기 방법
개인정보는 안전한 방법으로 파기하여야 한다.
마. 목적 달성 후 보유
개인정보의 수집목적이 달성된 경우 개인정보의 전부 또는 일부를 보유한다면 보유
근거, 보유 목적, 보유 기간 및 보유 항목에 대해서 정보 주체에게 고지하고 최소
한의 항목으로 제한하는 등의 보유에 대한 관리 대책이 마련되어야 한다.
방송통신표준
KCS.KO-12.000128
영역 도메인 통제목적 통제사항 통제내용
개인
정보
관리
과정
요구
사항
1.
개인
정보
정책
수립
1.1
개인정보보호 관련 정책
및 내부관리 계획 수립
을 통해 명확한 지원 및
방향제시를 보증하여야
한다.
1.1.1 개인정보보호정책 수립
조직 내 개인정보 침해 가능성의 관리 및
책임을 기술한 개인정보보호 관련 정책을
수립하여야 하며, 동 정책은 국가나 관련
산업에서 정하는 법규제를 만족하여야 한다.
1.1.2 조직 및 책임 설정
개인정보보호활동에 대한 경영층의 명확한
지원 및 방향제시를 보증할 수 있는 조직을
구성하여야 한다. 또한 개인정보보호 관리
활동을 수행하고 검증하는 인력들에 대한
역할 및 책임, 상호 연관관계 등을 정의하고
문서화하여야 한다.
1.1.3 내부관리 계획의 수립
개인정보보호 정책에 따른 개인정보보호
조직구성 및 운영 등이 포함된 내부관리
계획을 수립하여 이행하여야 한다.
2.
관리
체계
범위
설정
2.1
개인정보보호관리 체계
의 범위를 설정하고, 개
인정보 및 개인정보 관
리 자산을 분류 및 식별
하고 관리하여야 한다.
2.1.1 개인정보 식별
신청기관의 개인정보 및 개인정보 관리
자산을 분류 및 식별하고 개인정보 자산의
형태, 소유자, 관리자, 특성 등을 포함하여
목록을 만들어야 한다.
2.1.2개인정보보호관리 체계
범위 설정
신청사업자의 특성, 위치, 기술, 자산 등
내ㆍ외적 환경에 중대한 영향을 미치는
요소를 고려하여 개인정보보호관리 체계
의 범위를 설정하여야 한다.
3.
위험
관리
3.1
신청사업자는 개인정보
취급 서비스에 적합한
위험 관리 계획을 수립하
고, 위험 관리 계획에 따
라 보호 대책을 수립하
여야 한다.
3.1.1 위험 관리 계획 수립
신청사업자의 목표 및 정책, 법적 요구 사
항 등을 고려하여 조직, 역할, 책임, 주
요과정을 포함한 위험 관리 계획을 수립
하고, 신청기관에 적합한 위험 관리 방법
을 선택하여야 한다. 이 위험 관리 방법은
조직과 개인정보보호 환경변화에 대응할 수
있도록 지속적으로 검토하여야 한다.
3.1.2 위험평가
위험 관리 계획에 따라 위험평가를 수행하
고 개인정보침해를 방지할 수 있는 목표
위험수준이 설정되어 관리되어야 한다.
3.1.3위험 관리를 위한 보호
대책 및 이행 계획 수립
신청기관의 위험 관리를 위한 보호 대책
과 목적에 부합하도록 위험을 수용 가능
한 수준으로 감소시켜야 한다. 이를 위해,
위험평가에 의거한 위험처리, 위험수용,
위험회피, 위험전가 등의 전략을 설정하고,
이에 적합한 보호 대책을 선정하여야 한다.
선정된 대책을 구현하기 위한 구체적인 일
정계획을 수립하고 최고경영진의 승인을 받
아야 한다.
4.
구현4.1
개인정보보호 대책의 이
행계획에 따라 보호 대
책을 구현하고, 대책의 효
과성에 대하여 주기적인
4.1.1보호 대책의 효과적 구
현
개인정보보호 대책의 이행계획에 따라
대책을 구현하여야 한다. 구현 후 검토
계획에 따라 일정 시간이 흐른 후 구현
성과를 검토 및 보고 하여야 한다.
부속서 A
개인정보보호 관리 체계 인증 심사 기준
(방송통신위원회 의결(제2010-66-273호))
방송통신표준
KCS.KO-12.000129
영역 도메인 통제목적 통제사항 통제내용
검토를 수행하여야 한
다.
5.
사후
관리
5.1
개인정보보호관리 체계
에 대한 지속적인 개선활
동이 문서화되고, 정기적
으로 재검토하여야 한
다.
5.1.1 모니터링 및 개선
개인정보보호관리 체계는 지속적으로 모니터
링하여 관련 문제점을 검출하고, 해결할
수 있도록 하며, 결과를 기록하여 분석한
후, 이를 평가하여 지속적인 개선활동을
수행한다.
5.1.2개인정보보호관리 체계
의 재검토
신청기관의 목표, 기술 등 내·외부의 변화와
내부감사 결과, 보안사고 등을 고려하여,
개인정보보호관리 체계의 효율성, 범위의
적절성, 잔류위험의 수준, 절차 등의 문서를
공식적이고 정기적으로 재검토하여야 한다.
개인
정보
보호
대책
요구
사항
1.
개인
정보
보호
정책
1.1
개인정보보호정책은 최고
경영자의 승인을 득하고
접근용이한 형태로 공표
되어야 한다.
1.1.1 정책의 승인문서화된 개인정보보호정책은 최고경영자의
승인을 받아야 한다.
1.1.2 정책의 공표
개인정보보호정책은 이용자, 임직원 및
관련자에게 이해하기 쉬운 형태로 전달
하여야 한다.
1.2
개인정보보호정책은 개인
정보보호관리 체계를
체계적으로 수행할 수
있도록 구성되어야 한다.
1.2.1 지침, 절차 및 표준 수립개인정보보호정책을 구체적으로 시행하기
위한 지침, 절차 및 표준을 수립하여야 한다.
1.2.2 정책 간의 일관성
개인정보보호정책을 구체적으로 시행하기
위한 지침, 절차 및 표준은 체계적으로
구성되어 있으며, 관련 정책 간의 일관성이
유지되어야 한다.
1.3
개 인 정 보 보 호 정 책 의
주기적인 타당성을 검토
하고, 최신본으로 유지
및 관리하여야 한다.
1.3.1 정책의 주기적 검토
정기적으로 개인정보보호정책의 타당성을
검토하여야 하며, 중대한 개인정보 사고
발생, 새로운 위협 또는 취약성의 발생,
기업환경의 중대한 변화 등이 발생했을
경우에는 관련된 사항의 타당성을 추가로
검토하여 반영하여야 한다.
1.3.2 정책 문서 관리
개인정보보호정책과 정책 시행을 위한 관련
문서의 목록을 마련하고, 주기적으로 검토
하여 최신본으로 유지하여야 한다.
2.
개인
정보
보호
조직
2.1
개인정보보호 조직체계를
구성하여 개인정보관리
책임자 및 개인정보 취급
부서별 책임자, 담당자를
지정하여야 한다.
2.1.1개인정보보호 조직체계
구성
개인정보보호 업무를 체계적으로 이행하기
위한 내부조직체계가 구축되어 있어야 한다.
2.1.2개 인 정 보 관 리 책 임 자
(CPO) 지정
이용자의 개인정보를 보호하고 개인정보와
관련한 이용자의 고충을 처리하기 위하여
개인정보관리책임자를 지정하여야 한다.
2.1.3개인정보 취급부서별
책임자 및 담당자 지정
개인정보 취급부서의 개인정보보호 관련
의무 및 법규정 준수 여부를 감독하고
관리할 책임자 및 담당자가 지정되어
있어야 한다.
2.2
개인정보 관련 책임자,
담당자에 대한 역할 및
책임을 정의하고, 상호
의사소통할 수 있는 보고
체계를 수립하여야 한다.
2.2.1 역할 및 책임
개인정보관리책임자 및 개인정보를 취급
하는 다양한 부서의 책임자,담당자에 대한
역할 및 책임이 정의되어야 한다.
2.2.2 보고 및 의사소통체계
개인정보관리책임자 및 개인정보를 취급
하는 다양한 부서의 책임자,담당자가 상호
의사소통할 수 있는 보고라인, 방법 및
방송통신표준
KCS.KO-12.000130
영역 도메인 통제목적 통제사항 통제내용
절차가 정의되어 있어야 한다.
3.
개인
정보
분류
3.1
개인정보 취급 자산을
식별하고, 자산별 중요도를
결정하여 책임 소재를
명확히 하여야 한다.
3.1.1 개인정보 조사
신청사업자의 개인정보 및 개인정보 관리
자산을 조사하고 개인정보 및 개인정보
관리 자산별로 신청기관에서의 가치, 업무
영향, 법적 준수사항 등을 고려하여 중요도를
결정하여야 한다.
3.1.2개인정보 및 개인정보
관리 자산별 책임할당
조사된 개인정보 및 개인정보 관리 자산에
대하여 소유자, 관리자, 사용자를 확인하고,
적절한 통제 유지를 위해 책임 소재를
명확히 하여야 한다.
3.2
신청기관의 현황에 맞는
개인정보의 분류방식을
선택하여 개인정보 흐름도를
작성하고, 주기적인 검토를
통해 최신본으로 유지
하여야 한다.
3.2.2 개인정보 흐름 분석
분류 및 식별된 개인정보의 수집, 이용 및
제공, 저장 및 관리, 파기 등 취급 상의
개인정보 흐름을 파악하여야 한다. 또한,
개인정보 흐름도는 주기적으로 검토되어
취급 상의 변화를 반영하여 재작성 하여야
한다.
3.2.3개인정보 및 개인정보
자산 보안 등급과 취급
분류 및 식별된 개인정보 및 개인정보 관리
자산에 대하여 보안등급을 부여하고, 보안
등급 표시를 부착하여 관리하여야 한다.
또한 보안등급의 부여에 따라 취급 절차를
정의하여 이행하여야 한다.
4.
교육
및
훈련
4.1
개인정보보호 교육ㆍ훈련
계획을 수립하고, 관련자
모두에게 개인정보 취급
자가 필수적으로 알아야
하는 사항을 교육하여야
한다.
4.1.1 교육 및 훈련 대상
교육 및 훈련 대상에는 신청기관의 임직원,
개인정보 취급자, 관련자 모두를 포함하여
야 한다.
4.1.2 교육 및 훈련내용
교육내용은 개인정보보호 관련 법률 및
제도, 관리적 기술적 조치 및 이를 수행하기
위한 방법, 사내 규정 등 개인정보 취급자
가 필수적으로 알아야 하는 사항을 포함하
여야 한다.
4.2
교육 및 훈련은 정기적
으로 실시하여야 하며,
교육 및 훈련 종료 후
검토를 통하여 차기
교육에 반영하여야 한다.
4.2.1 교육 및 훈련 시행
교육 및 훈련은 정기적으로 실시하여야
하며, 개인정보보호정책의 절차 및 역할
변경이 있는 경우에는 정기적인 교육에
내용을 포함하고 이에 대한 기록을 유지
한다.
4.2.2 교육 및 훈련 평가교육 및 훈련 종료 후 검토를 통하여 차기
교육에 반영하여야 한다.
5.
인적
보안
5.1
개인정보 취급자는 최소
한으로 제한하고 개인정
보 취급자 명단 관리 및
책임명시, 처벌규정을 마
련하여야 한다.
5.1.1 개인정보 취급자 감독
업무상 개인정보를 취급해야 하는 개인정보
취급자는 최소한으로 제한하고 개인정보
취급자 명단 관리 및 통제방안을 마련
하여야 한다.
5.1.2 인사규정
인사규정 등에 임직원 및 개인정보 취급자
에 대�
