■ PIMS의 개념 (Personal Information Management System)
- 기업이 개인정보 보호활동을 체계적ㆍ지속적으로 수행하기 위해 필요한 보호조치 체계를 구축하였는지 점검하여 일정 수준 이상의 기업에 인증을 부여하는 제도
■ PIMS의 인증체계
1) PIMS의 인증체계
- 3년간 인증이 유효하며, 1년에 한 번씩 사후관리를 수행해야 한다
2) PIMS 인증심사기준
관리과정 요구사항 (ISMS) | 보호대책 요구사항 | 생명주기 요구사항 |
- 개인정보 정책 수립 - 관리체계 범위 설정 - 위험관리 - 구현 - 사후관리 |
- 개인정보 보호정책 - 교육 및 훈련 - 기술적 보호조치 - 물리적 보호조치 - 내부검토 및 감사 - 개인정보 분류 |
- 개인정보 수집에 따른 조치 - 개인정보 이용 및 제공에 따른 조치 - 개인정보 관리 및 폐기에 따른 조치 |
3) PIMS의 장점 및 동향
- 개인정보침해 최소화 및 자발적 개인정보 보호활동 강화
- 기업 내부 및 해외 유출방지
- 2009년 기반 구축 → 2010년 제도 도입 → 2011년 제도 활성화 → 2012년 PIMS를 기반으로 국제 표준화 추진
■ PIMS (Personal Information Management System : 개인정보보호관리체계) 인증제도
- PIMS 인증제도는 기업이 전사차원에서 개인정보 보호활동을 체계적, 지속적으로 수행하기 위해 필요한 일련의 보호조치체계를 구축했는지 점검하여 일정 수준 이상의 기업에 인증을 부여하는 제도이다
- 한국인터넷진흥원(KISA)이 정보보호 활동을 계속하는 데 적합한 체계를 마련했는지를 살펴 인증해준다
- 기업으로부터 개인정보가 대량으로 누출되는 사고가 늘자 보안 수준을 높이기 위해 마련한 제도
- PIMS 인증을 받으면 개인정보 관련 사고가 일어났을 때 과징금ㆍ과태료의 절반(최대 경감치)까지 줄여 준다
- 그동안 방송통신위원회 의결로 인증제를 운용했고, 2013년 2월 '정보통신망 이용촉진 및 정보보호 등에 관한 법률'에 시행 근거를 마련한다
- 제도를 활성화하려는 뜻이다. PIMS 인증을 통해 시민이 개인정보를 잘 관리하는 기업을 식별하는 효과를 기대했다
★ PIMS의 인증대상
- 개인정보 보호활동을 체계적이고 지속적으로 수행하기 위하여 필요한 관리적ㆍ기술적ㆍ물리적 보호조치를 포함한 종합적 관리체계를 수립ㆍ운영하고 있는 개인정보 수집ㆍ취급 사어자들을 대상으로 한다
★ PIMS 인증심사 기준
① 인증기준은 국내ㆍ외의 표준과 '개인정보 보호법', '정보통신망 이용촉진 및 정보보호 등에 관한 법률', 국내환경을 고려하여 개발되었다
② 개인정보 유관 컴플라이언스 대응을 위한 최소 구현 사항, 법적 준거성, 체계적 운영 측면을 보완한다
③ 개인정보보호 관련 조직 및 담당자가 해야 할 실제 활용 부분을 강조한다
★ PIMS 구성 요소
1) 관리과정 요구사항
- 관리체계 수립 (정책, 범위, 조직 등)
- 실행 및 운영 (개인정보 식별, 위험관리, 구현 등)
- 검토 및 모니터링 (사후관리)
- 교정 및 개선 (개선활동, 교육)
2) 생명주기 및 권리보장 요구사항
- 생명주기 관리 (수집, 이용 및 제공, 보유, 파기)
- 정보주체 권리보장
3) 보호대책 요구사항
- 관리적 (인적, 침해사고)
- 기술적 (접근권한, 접근통제, 운영보안, 암호화, 개발보안)
- 물리적 (영상정보처리기기, 물리적 보안, 매체)
■ PIMS 특징
- 인증제도의 객관성 및 신뢰성 확보를 위해 정책기관, 인증기관, 인증위원회를 분리하여 운영한다
- 인증제도를 관리ㆍ감독하는 정책기관은 행정안전부/방송통신위원회가 직접 수행한다
- 한국인터넷진흥원은 인증기관으로서 인증제도를 운영한다
- PIMS 인증심사원은 산업계, 학계 등 관련 전문가 10명 이내로 각 분야별 외부 전문가로 인증위원호를 구성하여 인증결과를 심의한다
- 인증심사팀은 인증심사원 양성교육을 수료하고, 자격 요건을 갖춘 자들로 구성된다
- PIMS 인증취득 기업에 사고 발생 시 과징금 과태료가 경감된다
- 인증심사 기준은 개인정보관리과정과 개인정보보호 대책, 개인정보 생명주기 등이 있다
- PIMS는 기업이 자율적으로 심사를 신청하는 민간자율 제도로 운영한다
- 3년간 인증이 유효하며, 1년에 한 번씩 사후관리를 수행해야 한다
'정보보호론 > 정보보안관리' 카테고리의 다른 글
국내 보안인증 체계 비교 및 개인정보 보호제도 현황 (0) | 2020.09.25 |
---|---|
PIA (Privacy Impact Assessment : 개인정보영향평가) (0) | 2020.09.25 |
정보보호관리체계(ISMS) 인증 (0) | 2020.09.24 |
국제/국가 표준 및 인증체계 (0) | 2020.09.22 |
침해사고 대응 (0) | 2020.09.22 |