[CPPG] 개인정보 관리사 5단원 요약

● 개인정보 관리체계 개요

▶ 개인정보 관리체계의 개념

▷ 개인정보보호 관리체계의 배경
→ 1970년대 최초의 컴퓨터 보급 이후로 기업들에게 고객정보란 비즈니스 이익을 창출할 수 있는 원동력인 반면 고객정보 유출사고라고 발생하는 경우에는 기업에 엄청난 피해를 불러오게 되었다. 이에 개인정보보호에 관한 법제도의 필요성이 요구되어 오다가 1980년에는 OECD의 ‘개인정보보호 8원칙’이 최초의 국제규범을 채택한 이래 UN(1990), EU(1995), ILO(1996), APEC(2004) 등에서 잇따라 개인정보 보호원칙을 선언하였으며 대다수의 EU회원국과 캐나다, 호주, 뉴질랜드, 일본 등이 개인정보보호법을 보유하고 있다. 우리나라도 개인정보보호에 관해  2011년 3월 공공과 민간을 아우르는「개인정보보호법」을 제정하게 되었다.
→ 정보주체는 개인정보를 기업에게 안심하고 맡길 수 있는 객관적 판단기준이 필요하며, 기업은 개인정보 침해사고로 인해 법률 분쟁 시 개인정보보호 노력을 객관적으로 증빙할 수 있는 방법이 필요하다. 따라서 정보기술의 발전과 사회문화의 변화에 따른 개인정보의 안전관리가 이루어지도록 새로운 보호체계를 마련하여, 개인정보보호에 관한 대책의 구현, 체계적이고 지속적인 운영 및 유지ㆍ관리하도록 하여야 할 것이다.

▷ 개인정보보호 관리체계의 정의 - " 개인정보보호법 제32조의 2 " 
→ 개인정보보호 관리체계란 기업이 고객의 개인정보 보호활동을 체계적ㆍ지속적으로 수행하기 위해 필요한 일련의 보호조치이며, 기업이 정보주체의 개인정보를 안전하게 보호할 수 있도록 기술적ㆍ관리적ㆍ물리적ㆍ조직적인 다양한 보호대책들을 구현하고 지속적으로 관리ㆍ운영하는 종합적인 체계를 말한다.

→ 즉, 개인정보보호 관리체계는 개인정보의 기술적ㆍ관리적ㆍ물리적 보호조치 및 준거성을 달성하기 위하여 위험의 정도를 평가하고 그 위험을 막기 위한 대책을 수립ㆍ운영하기 위한 것이다.
→ 개인정보보호 관리체계는 위험정도를 평가한 후 어느 정도까지 이 위험을 수용할지 목표를 설정하고, 위험 기반 접근방법을 기반으로 한 위험관리 절차의 수립 및 이를 문서화에 의해, 필요에 따른 대책을 구현하여 지속적으로 운영ㆍ관리한다. 개인정보보호 관리체계에서 필요한 관리절차와 과정은 일반적인 사업통제의 관리주기와 마찬가지로 계획-실행-검토-반영의 주기를 갖고 다음 단계를 지속적으로 반복한다. 
① 명확한 목표를 정하고 전략을 세우는 계획 수립 단계
② 수립된 계획을 실행하는 단계
③ 수립 결과를 계획에 대비하여 검토하는 단계
④ 검토 결과를 차기 계획에 반영하는 단계

▷ 개인정보보호 관리체계 수립의 이점
→ 개인정보보호 관리체계의 수립으로 인해 조직은 대내ㆍ외의 신뢰를 증진시키는 등의 다음과 같은 이점을 가진다.
① 개인정보의 수집ㆍ이용 및 제공, 저장 및 관리, 파기에 이르는 생명주기를 지속적으로 관리함으로써 법률 측면에서 적절한 대응이 이루어질 수 있다.
② 개인정보 관리 수준을 목표 수준으로 제고하고 지속적으로 유지할 수 있다.
③ 유출사고 발생 피해와 보안 사고를 막기 위한 보호대책 간의 투자비용의 남용을 방지하고, 투자 균형을 맞출 수 있다.
④ 조직에 보안성 향상을 위한 인식제고에 영향을 미친다.
⑤ 개인정보보호 관리체계의 지속적인 운영을 통해 정보보호 관련 기술 및 노하우를 조직 내부에 축적할 수 있고, 장기적으로 사고에 적시 대응할 수 있는 능력을 갖추게 하여 사고발생 피해를 감소시킬 수 있다.

▶ 국내외 개인정보보호 관리체계의 유형 및 현황 

▷ 개인정보보호 마크제도
→ 개인정보보호를 기반으로 한 시스템의 안전과 보안, 소비자 보호의 항목에서 일정 수준의 요건을 갖춘 사이트에 대해 공신력 있는 제3의 기관이 이를 평가하여, 정보주체들은 인터넷 사이트를 이용할 때 이를 확인할 수 있도록 마크를 부여하는 제도

 ※ 미국 BBBOnline 마크제도
→ 신뢰성(Reliability)마크와 프라이버시(Privacy) 마크 등 두 가지 마크로 구성되어 있으며, 프라이버시마크는 BBB회원사의 개인정보보호방침(Privacy Policy)을 온라인으로 심사하여 마크를 부여

※ 일본의 프라이버시 마크제도
→ 일본정부의 개인정보보호 지침을 민간에게 확산시키기 위한 목적으로 정부가 주도하여 1998년에 도입하였으며, 기업에서 구축ㆍ운영하는 개인정보보호 체계를 평가하여 기업에 인증을 부여하는 제도로 인증심사는 서류심사를 중심으로 하되, 현장심사는 최소화(1/2日) 운영, 유효기간은 2년으로 사후관리 심사는 없다.

▷ 국내ㆍ외 개인정보보호 관리체계 인증제도

※ 정보보호 및 개인정보보호 관리체계 (ISMS-P) 인증제도

정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시(제2022-46호).pdf

0.11MB

( 관련 고시 및 인증기준 안내서 첨부)

ISMS-P 인증기준 안내서(2022.4.22).pdf

10.41MB

→ 정보보호 관리체계 인증 등에 관한 고시와 개인정보보호 관리체계 인증등에 관한 고시를  통합한 " 정보보호 및 개인정보보호 관리체계 인증 등에 관한 고시" 로 개정되어 시행되고 있음.
→ 인증심사는 문서심사와 현장심사로 이루어지며, 인증 유효기간은 3년으로 인증 취득 후 연1회 이상 사후 관리 심사를 받아야 한다. 인증을 신청하기 전에 인증기준에 따른 정보보호 관리체계를 구축하여 최소 2개월 이상 운영하여야 하며, 인증 신청 시 운영기간에 대한 증적자료를 포함하는 인증신청서류를 인증기관에 제출하여야 한다.

→ 인증 의무 대상자
① 정보통신망법 제47조제2항의 어느 한 가지 이상의 기준에 해당할 경우, 인증 의무대상자가 된다.
②인증 의무대상자 기준에 해당하지 않으나 자발적으로 정보보호 관리체계를 구축. 운영하는 기업은 자율신청기업으로 분류되며, 자율신청기업이 인증 취득을 희망할 경우 자율적으로 신청하여 인증심사를 받을 수 있다.

정보통신서비스 제공자 별 인증 의무 대상자

 

 

※ 글로벌 정보보호경영관리시스템 인증제도 (ISO 27001)
→ ISO27001은 조직의 경영시스템 중 정보보호관리체계 시스템을 심사하고 인증하는 제도로 ISO와 IEC가 2005년 제정한 국제표준이다. 각 나라별로 인정기관 및 인증기관을 지정하여 운영하고 있으며, 인증기관 내 인증위원회에서 인증결과를
심의하고 의결하고 있다.
→ ISO27001에서는 보안정책, 자산분류, 위험관리 등 11개 영역, 133개 통제항목에 대한 규격을 만족하는 기업이 엄격한 심사를 통과함으로써 획득할 수 있는 표준이다. 인증심사는 문서심사와 현장심사로 이루어지며, 인증 유효기관은 3년으로 인증취득 후 연 1회 이상 사후관리를 받아야 한다.

※ 프라이버시정보관리인증 ISO/IEC 27701
→ ISO/IEC 27701의 공식 명칭은 Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines입니다. 개인 식별 정보(Personally identifiable information, 이하 PII)의 처리를 보호하는 것은 법적 요구 사항 일뿐만 아니라 사회적 요구라고 언급하며 ISO/IEC 27701이 PII를 보호하기 위한 프로세스를 정의하고 가이드라인을 제공한다

 

※ 해외 개인정보보호관리체계 (BS 10012) 인증제도
→ BS 10012는 회사에 중대한 영향을 미칠 수 있는 개인정보 관련 사고의 발생가능성을 감소시키고, 개인정보를 다루는 조직 내외의 모든 활동에 대해서 검증을 거칠 수 있는 프레임워크를 제공하는 글로벌 개인정보경영시스템(Personal Information Management System) 표준이다.
o 개인정보보호 원칙으로 OECD 가이드라인과 유럽 및 영국 법규에 기초한 표준으로 글로벌 수준의 개인정보경영시스템(PIMS)을 Plan-Do-Check-Act 주기를 기반으로 조직에 구현할 수 있도록 한다.

▷ 공공기관의 개인정보보호 평가제도
※ 개인정보영향평가(PIA: Privacy Impact Assessment)
→ 개인정보영향평가 제도는 사전예방의 원칙 하에 정보시스템의 도입 또는 개인정보를 수집, 이용하는 정보시스템에 중대 변경이 발생할 경우 개인정보 수집ㆍ이용ㆍ저장ㆍ제공ㆍ파기의 라이프사이클을 분석하고 부정적 영향을 미리 조사ㆍ예측한 후 예방하는 제도이다. 이와 관련하여 미국은 전자정부법(E-Government Act; 2002년), 캐나다는 프라이버시 영향평가 지침 고시 등에서 영향평가 제도를 규정하고 있으며, 우리나라는 2011년「개인정보보호법」에 의해 규정하게 되었다.

※ 개인정보보호 수준진단
→ 공공기관의 개인정보보호 관리수준에 대하여 객관적으로 평가하고 미비점 보완 및 개선 유도로 개인정보 수준 향상에 목적을 가진다. 공공기관 개인정보보호 수준진단 지표는 개인정보보호 법령ㆍ지침 등 관련 규정 상의 준수사항으로 구성되어 있다.

 

● 주요 개인정보 관리체계

▶   개인정보 영향평가 - "개인정보보호법 제 33조"

개인정보 영향평가 수행 안내서(2020.12월).pdf

1.86MB

▷ 영향평가의 개념
→ 개인정보영향평가란 사업주체가 개인정보를 취급하는 새로운 정보시스템을 도입하거나, 개인정보를 취급하고 있는 기존 정보시스템의 중대한 변경 시 해당 시스템을 대상으로 개인정보의 침해 위험성을 사전 조사, 예측, 검토하고 침해요인을 분석하여 개선하도록 하는 사전 예방조치이다. 특히 ‘개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에 그 위험요인을 분석하고 개선사항을 도출하기 위한 평가’라고 정의 된다.

▷ 영향평가의 목적
→ 평가대상 시스템 활용에 따른 잠재적 위험을 평가하여 개인정보 침해에 따른 피해를 줄일 수 있는지를 미리 검토·반영하는 것

▷ 개인정보 영향평가의 실시 유형
① 개인정보파일을 신규 구축᛫운용 하려는 경우
② 기 운용 중인 개인정보파일의 수집, 보유, 이용᛫제공, 파기 등 처리절차를 변경하거나 개인정보 검색체계 등 개인정보파일 운용체계를 변경하려는 경우
③ 개인정보파일을 타 시스템과 연계᛫제공하려는 경우
※ 단, 개인정보의 수집ㆍ이용 등과 관련된 새로운 정보시스템의 구축이 기존 프로그램이 나 시스템에 대한 경미한 변경인 경우에는 개인정보 영향평가를 수행하지 않을 수 있다.

▷ 개인정보 영향평가의 대상
→ 개인정보영향평가 제도는「개인정보보호법」에 의해 공공기관이 일정규모의 개인정보를 취급할 경우 영향평가를 의무적으로 수행하도록 규정하고 있다.
1. 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일 : 구축·운용 또는 변경하려는 개인정보파일에 5만명 이상의 정보주체에 관한 개인정보가 포함된 경우
2. 다른 개인정보파일과 연계하려는 경우 : 해당 공공기관 내부 또는 외부에서 구축·운용하고 있는 다른 개인정보파일과 연계한 결과 50만명 이상의 정보주체에 관한 개인정보가 포함된 경우
3. 일반적인 개인정보 파일 : 구축·운용 또는 변경하려는 개인정보파일에 100만명 이상의 정보주체에 관한 개인정보가 포함된 경우
4. 영향평가를 받은 후 개인정보 검색 체계 등 개인정보파일의 운용 체계를 변경하려는 경우 : 해당 개인정보파일 중 변경된 부분

▷ 영향평가의 수행 방법 등
→ 공공기관의 장이 개인정보 영향평가를 수행하고자 하는 경우에는 보호위원회가 지정하는 평가기관 중에서 의뢰하여야 한다. 평가기관이란 영향평가 수행에 필요한 업무수행실적, 전문인력, 안전한 사무실·설비 등의 지정요건을 갖춘 법인으로 지정절차를 거쳐 보호위원회가 평가기관으로 지정한 기관을 말한다. 영향평가를 하는 경우에는 다음 각 호의 사항을 고려하여야 한다.
1. 처리하는 개인정보의 수
2. 개인정보의 제3자 제공 여부
3. 정보주체의 권리를 해할 가능성 및 그 위험 정도
4. 그 밖에 대통령령으로 정한 사항
  ① 민감정보 또는 고유식별정보의 처리 여부
  ② 개인정보 보유기간

→ 영향평가 시 평가기관은 평가기준에 따라 주관적인 견해를 배제하여 객관적인 평가를 수행하여야 하며, 거짓으로 영향평가서를 작성하여서는 안 된다.

▷ 개인정보 영향평가 결과의 활용
→ 공공기관의 장이 개인정보 영향평가를 수행한 때에는 그 결과를 보호위원회에 제출하여야 한다. 이 경우 보호위원회는 제출받은 영향평가 결과에 대하여 의견이 있을 때에는 해당 공공기관에 의견을 제시할 수 있다. 또한 공공기관의 장은 보호위원회에 개인정보파일을 등록할 때에는 개인정보 영향평가 결과도 함께 첨부하여야 한다.

▷ 영향평가의 절차
→ 영향평가의 시기로는 개인정보를 취급하는 신규시스템을 구축할 경우에는 정보시스템 구축 전 단계에서 정보시스템을 분석하거나 정보시스템을 설계하는 단계에서 실시하는 것이 적절하다. 기존 정보시스템을 통해 서비스가 운영 중일지라도, 개인정보의 수집ㆍ이용 및 관리 상에 중대한 침해위험이 발생할 우려가 있거나, 전반적인 개인정보관리체계를 점검하여 개선하기 위해서도 개인정보 영향평가를 할 수 있다

→ 영향평가기관이 진행하는 일련의 평가절차에는 영향평가를 수행하기 위한 세부과정이 진행되는데, 정보화사업(정보시스템)을 대상으로 ① 사전준비 ②영향평가의 수행 ③영향평가 결과정리 단계로 진행된다.
① "사전준비"는 사업계획의 작성, 영향평가 기관 선정 순으로 진행된다. 사업계획의 작성 단계에서는 정보화사업을 추진하는 과정에서 개인정보의 신규 수집·이용·연계 또는 처리절차상 변경 등이 발생하는지에 대해 영향평가 필요성 검토서 작성을 통해 영향평가 필요성을 판단하고, 영향평가 사업계획서(예산확보 관련 내용 포함)를 작성한다. 한편, 영향평가 기관 선정은 보호위원회가 지정한 영향평가기관 중에서 선정해야 한다.

②"영향평가의 수행" 단계는 영향평가 ㉠수행계획 수립 ㉡평가자료 수집 ㉢개인정보 흐름 분석 ㉣개인정보 침해요인 분석 ㉤개선계획 수립 ㉥영향평가서 작성 순으로 진행된다.
㉠수행계획 수립 단계에서는 효율적인 영향평가 수행을 위하여 사업 주관 부서가 영향평가팀을 구성하여 영향평가 수행계획을 수립한다. 한편, 수립한 계획서는 착수회의를 통해 영향평가팀은 물론 당해 사업과 관련하여 협조가 필요한 유관 부서, 외부기관, 외부 전문가 등과 공유해야 한다.

㉡평가자료 수집 단계에서는 평가 대상사업 및 개인정보보호 관련 내·외부 정책환경을 분석하기 위하여 개인정보보호 관련 법규 및 상위기관의 지침과 해당기관의 내부 규정 현황을 파악하고, 당해 사업을 이해하고 분석하기 위해 필요한 자료 등의 취합·분석이이루어진다. 분석 자료는 기관 내외부의 개인정보보호 관련 내부정책자료, 외부정책자료, 사업자체에 대한 이해를 위한 사업 설명 자료로 구분된다.

㉢개인정보 흐름 분석 
  1. 개인정보 흐름분석은 평가대상 시스템에서 개인정보를 취급하는 업무에서 그 흐름을 분석하는 단계이다. 특히, 개인정보 흐름분석을 통해 각 단위업무에서 사용되는 개인정보 항목을 파악하고 다음 단위업무로 이동 시에 전달되는 개인정보 항목을 확인할 수 있으며, 각 단위업무에서의 개인정보 항목에 대한 보호방안 및 전달 중의 데이터 보호에 대한 사항을 분석할 수 있어야 한다. 개인정보 흐름분석의 세부절차는 크게 개인정보 업무취급표 작성, 개인정보 흐름표 작성, 개인정보 흐름도 작성으로 나눌 수 있다.
  ◎ 개인정보 업무취급표는 사업의 특성에 따라 화면설계서 - , 개인정보파일 등 개인정보 파악이 가능한 문서를 참고하여 단위업무명, 취급하는 개인정보, 개인정보 영향도 등을 작성한다
  ◎ 개인정보 흐름표를 작성하기 위하여 선행되어야 할 사항은 단위업무를 평가 가능한 단위로 분류하여야 한다. 이를 평가업무라고 하는데 프로그램에서는 다음 그림과 같이 등록할 수 있도록 하였다. 이렇게 등록된 평가업무는 개인정보 생명주기의 어떤 단계에 해당하는지, 어떠한 매체로 누가 사용하는지 등의 세부적인 사항을 기록해야 한다.
  ◎ 작성된 개인정보 흐름표를 기준으로 개인정보의 수집, 보유 및 이용, 제공, 파기단계에 따라 개인정보의 흐름도를 작성한다.
  2. 개인정보 침해요인 분석 및 개선방안 도출은 평가항목 작성, 개인정보보호조치 현황 및 계획 파악, 개인정보 침해요인 도출, 개인정보 위험도 산정, 개선방안 도출로 진행된다.

㉣개인정보 침해요인 분석 단계에서는 개인정보의 흐름에 따른 개인정보 조치사항 및 계획 등을 파악하고 개인정보 침해 위험성을 도출한다.
㉤개선계획 수립 단계에서는 개인정보 침해 요인별 위험도 분석에 기반하여, 위험요소를 제거하거나 최소화하기 위한 개선방안을 도출하고 개선계획을 수립하며, 위험정도에 따라 단기, 중·장기적인 개선계획을 도출할 수 있다.
※ 개선계획을 수행하기 위해 위험평가를 참고하여 위험도가 높은 순서에 따라 먼저 실행하기 위한 개선계획표를 작성하는데, 우선순위에 따라 개선 과제명, 개선내용, 담당부서, 수행시기를 포함한다. 
㉥영향평가서 작성 단계에서는 영향평가 추진경과 및 중간산출물 등의 내용을 정리하고 도출된 위험요소 빛 개선계획 등 최종산출물을 모두 취합하여 작성한다.
※ 평가보고서는 영향평가를 수행하기 위한 사전준비단계에서부터 위험관리까지 모든 내용과 결과를 정리한 내용으로서, 영향평가팀이 최종적으로 검토 또는 승인할 수 있는 조직 내 최고의사결정자(기관장)에게 보고된다

▷ 영향평가 기준
→ 평가기관이 개인정보 영향평가를 할 때 평가기관은 처리되는 개인정보의 종류·성질, 데이터의 양(규모), 시스템 환경, 침해 위험 등을 종합적으로 고려하여야 한다.

→ 평가기관은 적합한 평가항목을 선정하여 영향평가를 수행하여야 한다.
①  대상기관 개인정보보호 관리체계
② 대상시스템의 개인정보보호 관리체계
③ 개인정보보호 처리단계 별 보호조치
④ 대상시스템의 기술적 보호조치
⑤ 특정 IT기술 활용시 개인정보보호

→ 평가기관은 개인정보를 취급하는 정보시스템이 안전성을 확보하고, 영향평가 시 모든 침해요인을 도출하여 개선할 수 있도록 필요한 평가항목을 선정하고, 그에 따라 개선방안을 제시하여야 한다. 단, 동일 대상기관이 같은 해에 여러 영향평가를 수행할 경우, 중복된 평가내용에 대해서는 선평가결과로 대체할 수 있다.

▷ 사후 관리
→ 보호위원회는 평가기관 지정 후 인력변동, 휴업·폐업, 양도·양수, 합병 등으로 인한 변동사항이 있는지 여부와 평가기관이 심사 당시의 평가기준에 적합한지 여부를 확인할 수 있으며, 이를 위하여 현장실사, 관련 자료 등의 제출을 요구할 수 있다. 또한, 평가기관은 영향평가 수행구역 및 설비에 대한 보호대책, 영향평가 수행 인원에 대한 보호대책, 문서 및 전산자료에 대한 보호대책, 그 밖에 일반 관리적 보호대책을 수립·시행하여야 하며, 보호위원회는 그 준수여부를 감독할 수 있다.

▶  개인정보보호 수준진단 
※ 개인정보 관리수준 진단 - 공공기관의 개인정보보호 관리수준에 대하여 객관적으로 평가하고 미비점 보완 및 개선 유도로 개인정보 수준 향상에 목적을 가진다.

▷ 진단대상
→ 약 800개 기관 (중앙부처 48, 지자체 243, 공공기관 350 등), "개인정보파일", "개인정보처리시스템" 운영기관
▷ 진단기준 
→ 23개 항목, 67개 세부지표 구성
→ 1차 자체진단 : 내부보고 및 결과제출 → 자체진단 점수 확정
→ 2차 외부전문가 진단 : 실적제출 → 서면진단 → 감점사항 확인
▷ 진단결과
→ 5개 등급 (S/ A/ B/ C/ D)으로 구분하여 공공기관 경영정보 공개시스템 내 기관별 관리수준 진단 결과(등급) 공시

 

▶ 개인정보 관리체계

▷ 정보보호 및 개인정보보호 관리체계 인증제도 ISMS-P

→ 인증 범위
인증 범위는 신청기관이 제공하는 정보통신서비스를 기준으로, 해당 서비스에 포함되거나 관련 있는 자산(시스템, 설비, 시설 등), 조직 등을 모두 포함한다.
※ 해당 서비스와 관련이 없더라도, 그 서비스의 핵심정보자산에 직·간접적으로 접근한다면 포함

→ 인증 기준 
정보보호 및 개인정보보호 관리체계 인증기준은 크게 ʻ1. 관리체계 수립 및 운영ʼ, ʻ2. 보호대책 요구사항ʼ, ʻ3. 개인정보처리 단계별 요구사항ʼ 3개의 영역에서 총 102개의 인증기준으로 구성되어 있다.
정보보호 관리체계(ISMS) 인증을 받고자 하는 신청기관은 ʻ1. 관리체계 수립 및 운영ʼ, ʻ2.보호대책 요구사항ʼ 2개 영역에서 80개의 인증기준을 적용받게 되며 정보보호 및 개인정보보호 관리체계(ISMS-P) 인증을 받고자 하는 신청기관은 ʻ3. 개인정보 처리 단계별 요구사항ʼ 을 포함하여 102개의 인증기준을 적용받게 된다.

→ 인증위원회
인증위원회는 인증심사 결과(최초심사 또는 갱신심사결과)가 인증기준에 적합한지 여부, 인증취소에 관한 사항, 이의신청에 관한 사항 등을 심의·의결한다. 인증위원회는 정보보호 분야에 경험이 있는 자 중 KISA 또는 인증기관의 장이 위촉한 35명 이내의 위원으로 구성하여 운영하며, 위원장은 위원 중에서 호선 한다.

→ 인증심사원
인증심사원은 한국인터넷진흥원으로부터 자격을 부여받고 인증심사를 수행하는 자를 말한다. 인증심사원은 인증심사 수행능력에 따라 심사원보, 심사원, 선임심사원으로 구분된다. 선임심사원 중 심사능력이 우수하고 참여율이 높은 심사원을 책임심사원으로 지정할 수 있다.

→ 인증 절차
정보보호 및 개인정보 보호 관리체계 인증은 ① 준비단계 ② 심사단계 ③ 인증단계 ④ 사후관리 단계로 이루어진다.

가. 준비단계
1) 구축 및 운영
신청기관은 인증신청서를 제출하기 전에 인증 기준에 따라 정보보호 및 개인정보보호 관리체계를 구축하고 최소 2개월 이상 운영해 왔다는 증빙 자료를 준비해야 한다. 특히 신청 기관은 인증받고자 하는 인증 범위를 정할 때 정보보호 및 개인정보 관련 업무를 상세하게 분석하여 정보서비스 및 LIFE-Cycle(수집·보유·이용·제공·폐기)에 따른 흐름을 고려하여 증적을 준비하고, 해당 증적에는 모든 서비스, 인력 등의 내용이 포함되어야 한다.
※ 인증 받고자 하는 인증범위는 이용자 중심의 대외 서비스만 포함할 것인지 내부 서비스까지도 포함할 것인지도 고려하여 결정하여야 한다.
2) 인증심사 신청 및 접수
인증신청은 방문접수 또는 등기우편으로 신청할 수 있으며, 신청 서류의 미비로 인증기관의 보완요청이 있을 경우 신청서류를 재구비하여 제출하여야 한다. 인증심사 신청부터 인증심사까지 예비점검, 계약, 심사원 모집 등 업무처리를 위한 기간이 필요하므로 희망심사일 기준 최소 8주 전에 신청하도록 한다.
3) 예비 점검
예비점검이란 심사수행기관의 심사팀장이 신청기관을 방문하여 인증범위 내 정보시스템의 규모, 정보서비스흐름도,
위험분석보고서, 대책명세서 등 인증심사에 필요한 기초자료 구비 유무, 인증심사 준비상태 및 운영여부를 확인해 인증
심사 가능여부를 판단하고 심사일정을 조정한다. 특히 신청기관의 담당자는 인증범위의 설명과
증적자료를 확인할 수 있도록 협조하여야 한다.
4) 계약 및 수수료 납부
심사수행기관은 신청기관과 인증의 범위, 심사 기간, 심사 인원, 심사팀 구성, 인증 수수료 등을 협의하여 정보보호 및 개인정보보호 관리체계 인증심사 계약을 체결한다. 계약에 따라 정해진 심사수수료를 인증심사 시작일 이전까지 납부하여야 한다. 신청기관은 매 심사 신청 시 수수료를 납부하여야 하며, 수수료를 납부하지 않은 경우에 심사수행기관은 인증심사를 실시하지 아니할 수 있다
※ 인증심사 수수료는 직접인건비, 직접경비, 제경비, 기술료의 합으로 산정

나. 심사단계
1) 인증심사
심사팀장은 심사수행기관 소속의 심사원 이상으로 인증심사팀을 구성하고, 인증심사는 정보보호 및 개인정보보호 관리체계 수립 및 운영, 보호대책, 개인정보 처리단계별 요구사항으로 구성된 관리체계의 인증기준을 신청기관이 적절히 이행하고 있는지를 심사하는 것으로, 신청기관을 방문하여 서면심사와 현장심사를 병행하는 방법으로 진행된다.
서면심사는 인증기준에 적합한지에 대하여 정책, 지침, 절차 및 이행의 증빙 자료 검토, 정보보호대책 및 개인정보 처리단계별 요구사항 적용 여부 확인 등의 방법으로 관리적 요소를 심사하고, 현장심사는 서면심사의 결과와 기술적·물리적 보호대책 이행여부를 확인하기 위하여 담당자 면담, 관련 시스템 확인 및 취약점 점검 등의 방법으로 기술적 요소를 심사한다
2) 인증심사 보완조치 제출
신청기관은 보완조치 요청을 받은 날로부터 총 100일 이내(재조치 기간 60일 포함) 보완조치를 하고 보완조치 사항에 대해 보완조치 내역서를 작성하여 심사수행기관에 제출해야 한다. 보완조치 기간은 심사팀장이 보완조치 결과를 확인하기 위한 이행점검까지 끝낸 시점까지를 포함한다.
심사수행기관은 신청기관의 보완조치 결과를 문서 및 현장확인을 통해 확인하며, 보완조치 확인결과를 보완조치 완료확인서에 서명 날인하는 것으로 보완조치 확인을 마무리한다.
3) 인증심사의 중단
인증심사 수행기관은 다음의 상황으로 인하여 인증심사 진행이 불가능하다고 판단되는 경우 인증심사를 중단할 수 있다
① 신청기관이 고의로 인증심사의 실시를 지연 또는 방해하거나 신청기관의 귀책사유로 인하여 인증심사를 계속 진행하기가 곤란하다고 인정되는 경우
② 신청기관이 제출한 관련 자료 등을 검토한 결과 인증 준비가 되었다고 볼 수 없는 경우
③ 인증심사 후 보완 조치를 최대 100일(재조치 요구 60일 포함) 이내에 완료하지 않은 경우
④ 천재지변 및 경영환경 변호 등으로 인하여 인증심사 진행이 불가능하다고 판단되는 경우

다. 인증단계
1) 인증위원회 심의 · 의결
심사수행기관은 인증심사팀이 수행한 심사결과에 인증위원회에 “인증심사 결과보고서”를 작성하여 인증위원회 안건으로 상정한다. 인증위원회는 한국인터넷진흥원 또는 인증기관의 요구로 개최되며 인증심사 기간에 발견된 문제점에 대한 판단의 적합성과 보완조치 확인의 적절성을 검토하여 인증적합 여부를 심의하며, 최종 인증부여 여부를 의결받아 의결이 완료되면 인증위원장은 인증심의 결과서와 심의의견서를 인증기관에 제출한다.
※심사수행기관은 심의 결과에 따라 인증위원회 종료 다음 날부터 30일 이내의 보완조치를 요구할 수 있다
2) 인증결과 통보
한국인터넷진흥원 또는 인증기관의 장은 인증위원회의 심의·의결 결과를 신청기관에 통보하고 정보보호 및 개인정보보호 관리체계 인증기준에 적합한 경우 인증서를 발급하며, 부적합 통보를 받은 신청기관은 통보받은 날로부터 15일 이내에 이의신청을 할 수 있다

라. 사후관리 단계
1) 사후심사
사후심사란 인증을 받거나 인증이 갱신된 후 매년 실시하는 인증심사를 말한다. 사후심사는 인증발급일 기준으로 매 1년 이전에 인증심사 완료 및 유지공문을 받아야 하며, 매 1년 내 인증 유지공문을 받지 못할 시 인증이 취소될 수 있다.
한편, 인증 취득한 범위와 관련하여 침해사고 또는 개인정보 유출사고가 발생한 경우 한국인터넷진흥원은 필요에 따라 인증 관련 보안향상을 위한 필요한 지원 등을 할 수 있다.
2) 갱신심사
정보보호 및 개인정보보호 관리체계 인증의 유효기간은 3년이므로 인증취득기관이 인증의 효력을 연장하고자 하는 경우 갱신심사를 신청하여 심사수행기관의 심사를 받아 인증을 갱신하여야 한다. 갱신심사 신청은 인증서 유효기간 만료 3개월 전까지 하여야 한다. 만일 인증취득기간이 인증의 갱신을 신청하지 않고 인증의 유효기간을 경과한 때에는 인증의 효력은 상실된다.

→ 인증의 표시 및 홍보
정보보호 및 개인정보보호 관리체계 인증을 받은 자는 인증 취득 사실을 홍보할 수 있으며, 인증 표시를 사용할 수 있다. 정보보호 및 개인정보보호 관리체계 인증 취득 사실의 홍보는 정보보호 및 개인정보보호 관리체계 인증서를 발급받은 날부터 효력이 유지되는 동안에만 사용이 가능하다. 또한 인증을 취득한 자는 인증의 사실을 과장되거나 불명확한 표현을 사용하여 광고할 수 없다. 한편 인증이 취소된 경우에는 인증에 대한 홍보, 정보보호 및 개인정보보호 관리체계 인증서 사용을 중지하여야 한다. 또한, 인증 표시를 사용하는 경우 유효기간, 인증범위, 인증 심사 생략 범위를 함께 표시하여야 한다.

→ 인증 취소
다음 각 호의 사유를 발견한 때는 인증위원회의 심의·의결을 거쳐 인증을 취소할 수 있다.
① 거짓 혹은 부정한 방법으로 인증을 취득한 경우
② 인증기준에 미달하게 된 경우
③ 인증 취득기관이 사후심사 또는 갱신심사를 받지 않았거나 보완조치를 하지 않은 경우
④ 인증받은 내용을 홍보하면 인증범위 및 유효기간을 허위로 표기하거나 누락한 경우
⑤ 인증을 취득한 기관이 사후관리를 거부 또는 방해하는 경우
⑥ 개인정보보호 관련 법령을 위반하고 그 위반사유가 중대한 경우

한국인터넷진흥원 또는 인증기관은 인증을 취소한 경우에 인증취득기관에 통지하고, 발급한 인증서를 회수한다. 인증취득기관은 인증 취소처분에 관하여 이의가 있는 때에는 그 결과를 통보받은 날로부터 15일 이내에 한국인터넷진흥원 또는 인증기관에 이의신청을 할 수 있다