장마가 시작되는 7월 입니다.
날씨도 무덥고, 습하기까지 하니 불쾌하고, 사소한 것에도 짜증이 나기 쉬운 계절입니다.
몸도 마음도 지치기 쉬운 계절인데, 아무쪼록 습도 관리 잘 하셔서
쾌적한 여름 보내시길 바랍니다.
이번 시간에는 개인정보보호 관리체계(PIMS) 인증에 대해 알아보는 시간을 갖도록 하겠습니다.
1. 정의 및 목적
▣ 정의 - PIMS란 Personal Information Management System의 약자로, 기업이 개인정보 보호 활동을 체계적, 지속적으로 수행하기 위해 필요한 보호조치 체계를 구축하였는지 점건하여 일정 수준 이상의 기업에 인증을 부여하는 제도를 말합니다.
▣ 목적 1. 개인정보보호 관리체계 제공을 통한 개인정보 침해 가능성 최소화 기업이 체계적이고 지속적인 개인정보보호 활동을 수행할 수 있는 방법론을 제공하여, 개인정보 취급자 부주의, 관리소홀 등으로 인한 개인정보 침해 가능성을 최소화 합니다.
2. 국민들에게 개인정보를 안전하게 관리하는 기업을 식별할 수 있는 기준 제공 신뢰할 수 있는 인증 부여를 통해 국민들이 개인정보 제공 여부를 결정할 수 있는 구체적이고도 믿을 수 있는 판단 근거를 제시합니다.
3. 국내 기업의 내부정보 및 국부의 해외 유출 방지 PIMS 인증제도의 도입은 향후 개인정보보호 관련 국내 인증 및 컨설팅 시장의 보호와 해외 인증기관으로의 기업 정보 및 재화 유출을 방지합니다. |
<출처 : KISA>
2. PIMS, PIPL "개인정보보호 관리체계 인증(PIMS)"으로 통합
현재의 PIMS는 방송통신위원회가 운영하던 PIMS와 행정자치부가 운영하는 PIPL을 인증제도 개선방안의 일환으로 통합된 것으로 2016년 1월 1일부터 통합 시행되고 있습니다. 달라진 점은 다음과 같습니다. 1. 관리체계 인증 명칭, 마크, 심사기관 단일화 명칭은 PIMS와 PIPL에서 PIMS로 통일되었고, 마크도 아래와 같이 통일 되었습니다. 인증마크의 경우 원본을 확대, 축소하여 사용할 수 있으나, 인증마크를 구분할 수 없을 정도의 작은 크기로 사용해서는 안되고, 색상은 KISA에서 제공하는 도안을 따르는 것을 원칙으로 하되, 불가피한 경우에는 흑백으로 표현할 수 있습니다.
또한, 한국인터넷진흥원(KISA), 한국정보화진흥원(NIA)에서 각각 수행하던 인증심사를 '한국인터넷진흥원' 및 '지정된 인증기관'이 수행하는 것으로 변경 되었습니다. 2. 개인정보보호 관리체계 인증 심사항목 조정 PIMS의 124개 심사항목과 PIPL의 65개 항목을 통합하여 86개로 조정하였고, 인증 신청기관 유형별로 심사항목을 차등화하여 중소기업, 소상공인의 부담을 완화하고자 하였습니다. 다만, 온라인의 특수성을 고려하여 정보통신방법상 '정보통신서비스제공자'는 대기업 기준 항목으로 심사를 받게 됩니다. ※ 적용 유형별 인증기준 ※ 신청기관 유형별 인증기준
통합에 따른 사업자들의 혼란 방지를 위하여 올해까지의 인증심사에 대해서는 PIMS(구)와 PIMS(통합) 심사항목 중 선택하여 심사를 받을 수 있습니다. |
<출처 : 한국융합기술교육원>
3. 법적근거
PIMS 인증제도는 '10년 11월 방통위의 의결(제2010-66-273호)로 시행되었으며, '11년도부터 주요 정보통신서비스 제공 사업자 대상으로 인증심사를 시행, '12년도에는 개인정보보호 관리체계 인증제 법률적 근거를 마련하였습니다.
- 정보통신망 이용촉진 및 정보보호 등에 관한 벌률 (제47조의3, '12년 2월) - 개인정보보호 관리체계 인증 등에 관한 고시 (제2013-17호, '13년 9월)
개인정보보호 인증(PIPL) 인증제도는 '13년에 개인정보보호 인증제 법률적 근거를 마련하였습니다.
- 개인정보보호법 (제13조의3, '13년 3월) - 개인정보보호 인증제 운영에 관한 규정 (행정자치부 고시 제2013-45호, '13년 10월)
기업의 혼란 해소를 위해 '15년 12월 행정자치부와 방송통신위원회가 공동고시를 마련하여 PIPL 인증 제도와 PIMS 인증 제도가 통합되었습니다.
- 개인정보보호 관리체계 인증 등에 관한 고시 (행자부 고시 제2015-52호, 방통위 고시 제2015-29호) |
4. 인증체계 구성
인증제도의 객관성 및 신뢰성 확보를 위해 인정기관, 인증위원회, 인증기관을 분리하여 운영합니다.
- 인증제도를 관리, 감독하는 인정기관을 방송통신위원회/행정자치부가 직접 수행합니다. - 산업계, 학계, 정부의 전문가로 인증위원회를 구성하여 인증결과를 심의합니다. - 한국인터넷진흥원을 인증기관으로 지정하여 심사의 객관성을 확보 하였습니다. 1. 인증운영 개인정보보호 관리체계를 구축, 운영하는 기업이 자율적으로 심사를 신청하고, 인증기관이 일정 수준 이상의 기업에 인증을 부여합니다. 개인정보보호 관리체계 인증은 다음과 같은 근거로 운영됩니다.
- 방송통신위원회 고시 제2015-29호 - 행정자치부 고시 제2015-52호 - "개인정보봏호 관리체계 인증 등에 관한 고시"
2. 구성요소 개인정보보호 관리체계 인증심사 기준은 개인정보 관리과정, 생명주기 및 권리보장, 보호대책 3개 분야의 86개 통제항목으로 구성되어 있습니다.
|
5. 인증 취득 시 혜택
PIMS 인증 취득기업의 개인정보 사고 발생 시, 정보통신망법 및 방송통신위원회 고시 등에 따라 부과되는 과징금의 경감을 고려합니다.
- (과징금) 개인정보보호 법규 위반에 대한 과징금 부과기준 (방통위 고시 제2015-30) - "추가적 가중, 감경 금액(제8조 관련)"의 감경 사유 및 비율 : 위반 전기통신사업자가 개인정보 보호를 위해 방송통신위원회가 인정하는 인정을 받은 경우 100분의 50이내
|
6. 인증신청 절차
① 신청기관은 개인정보봏호 관리체계(PIMS)를 구축 후 2개월 이상 운영해야 합니다. ② 신청기관은 "PIMS 인증신청서", "사업자등록증 1부(법인인 경우)"를 인증기관에 공문으로 제출합니다. ③ 인증기관은 사전점검을 통해 신청기관의 인증범위 및 구축, 운영 현황 등을 확인합니다. ④ 인증기관은 신청기관과 협의하여 인증심사 계약을 체결합니다. ⑤ 인증심사팀이 신청기관에 방문하여 심사를 수행합니다.
|
7. 인증절차
인증절차 기본 흐름 인증절차도(전체)
|
어떠셨나요?
개인정보보호 관리체계(PIMS) 인증에 대해 도움 및 이해가 되셨나요?
PIMS는 법적으로 강제되어 필수로 받아야 하는 인증은 아니지만, 인증을 받게 되면 많은 혜택을 받을 수 있습니다.
필요하다면 미리미리 준비하여 혜택을 받는 것이 좋을 것 같습니다.
'보안 이야기' 카테고리의 다른 글
모바일 보안, 스마트폰 보안위협과 대응방안 (0) | 2016.09.23 |
---|---|
랜섬웨어, 대응책과 예방법은? (0) | 2016.08.20 |
휴가철 정보보안 체크 리스트 10 (0) | 2016.06.22 |
정보보안 인증 체계(ISMS) 파헤치기 (0) | 2016.06.08 |
핀테크 보안, ‘블록체인(Blockchain)’으로 해결한다! (0) | 2016.05.20 |