인증제도 안내서

2017. 4

제도운영편

제도운영편

들어가기

본 안내서는 「개인정보 보호법」 제32조의2(개인정보 보호 인증) 및 「정보통신망 이용촉진 및 정보보호 등에

관한 법률」(이하 ‘정보통신망법’이라 함) 제47조의3(개인정보보호 관리체계의 인증), 「개인정보보호 관리체계

인증 등에 관한 고시」(행정자치부 고시 제2016-28호, 방송통신위원회 고시 제2015-29호)에서 규정하고 있는

사항에 대하여 보다 구체적으로 설명함을 목적으로 한다.

그간 민간기업과 공공기관 등은 정보통신망법상 개인정보보호 관리체계(PIMS) 인증 또는 개인정보보호법

상 개인정보 보호 인증(PIPL) 중 선택하여 취득하였으나, 기업의 혼란과 부담을 해소하기 위해 하나의 제도로

통합하게 되었다. ’16년도 시행되는 「개인정보보호 관리체계 인증 등에 관한 고시」 이후부터 개인정보보호

관리체계 인증(이하 ‘PIMS 인증’이라 함)으로 통합·운영되고 있다.

본 안내서는 지속적인 보완 작업을 통하여 변경될 수 있으므로 항상 최신 버전 여부를 확인 후 사용해야

한다. 또한, 안내서에 제시된 법령, 고시, 참고자료는 안내서 발간시점(2017.4)을 기준으로 작성된 것으로 수시

개정될 수 있으므로 해당 시점에서 최신 버전을 확인하여 적용하여야 한다.

본 안내서는 PIMS 인증제도 홈페이지(http://pims.kisa.or.kr)에 게재되어 있으며, 기타 문의 사항이 있으시면 아래로 문의해

주시기 바랍니다.

E-mail : pims@kisa.or.kr

1. 개인정보의 정의

1.1 개인정보란•81.2 개인정보의 유형 및 종류 • 91.3 개인정보 보호의 필요성 • 101.4 개인정보 처리 및 보호 • 11

2. 개인정보보호 관리체계(PIMS) 인증제도 소개

2.1 PIMS 인증제도 개요 • 122.2 PIMS 인증제도 추진경과 • 122.3 PIMS 인증의 기대효과 • 132.4 PIMS 인증의 표시 • 13

3. 개인정보보호 관리체계(PIMS) 인증 추진체계

3.1 정책기관 • 153.2 인증기관 • 163.3 인증위원회 • 163.4 신청기관 • 16

4. 개인정보보호 관리체계(PIMS) 인증심사 대상

4.1 신청기관의 유형 • 174.2 신청기관 유형별 심사기준 • 18

개인정보보호 관리체계(PIMS)

인증제도

I

표 1 개인정보 유형 • 10

표 2 개인정보보호 관리체계 담당기관, 책임 및 역할 • 16

표 3 신청기관의 유형 • 17

표 4 적용 유형별 인증기준 • 19

표 5 신청기관 유형별 인증기준 • 19

CONTENTS

표 차례

1. 개인정보보호 관리체계(PIMS) 인증 준비단계

1.1 구축 및 운영 • 231.2 인증심사 신청 및 접수 • 241.3 예비점검 • 241.4 계약 및 수수료 납부 • 25

2. 개인정보보호 관리체계(PIMS) 인증 심사단계

2.1 인증심사 시작회의 • 262.2 인증심사 • 272.3 결함보고서 검토 • 272.4 인증심사 종료회의 • 272.5 인증심사 보완조치 제출 • 28

3. 개인정보보호 관리체계(PIMS) 인증 인증단계

3.1 인증위원회 심의·의결 • 293.2 인증결과 통보 • 30

4. 개인정보보호 관리체계(PIMS) 인증 사후관리 단계

4.1 사후심사 • 314.2 갱신심사 • 31

개인정보보호 관리체계(PIMS)

인증절차

II

그림 1 개인정보처리시스템 식별 프로세스 • 11

그림 2 개인정보보호 관리체계 인증마크 • 14

그림 3 개인정보보호 관리체계 인증 추진체계 • 15

그림 4 개인정보보호 관리체계 인증절차 • 22

그림 5 준비단계 절차 • 23

그림 6 심사단계 절차 • 26

그림 7 인증단계 절차 •29

그림 8 사후관리단계 절차 • 31

그림 차례

| 부록 | 개인정보보호 관리체계 인증신청 가이드라인 v3.0 • 34

인증제도 안내서

개인정보보호 관리체계(PIMS)

인증제도Ⅰ개인정보의 정의

개인정보보호 관리체계(PIMS) 인증제도 소개

개인정보보호 관리체계(PIMS) 인증 추진체계

개인정보보호 관리체계(PIMS) 인증심사 대상

1

2

3

4

8 | PIMS 인증제도 안내서 제도운영편

01 개인정보의 정의

1.1 개인정보란?

• 개인정보는 개인의 성명, 주민등록번호 등 인적사항에서부터 교육, 건강·의료 및 정치적 성향

과 같은 민감정보에 이르기까지 그 종류가 다양하고 폭넓다. 그러한 개인정보를 관련법에서는

아래와 같이 정의 하고 있다.

• 「개인정보 보호법」 제2조제1호에서는 개인정보의 구성요소로 ①살아 있는 개인 ②특정 개인과

의 관련성 ③정보의 임의성 ④식별가능성으로 규정하고 있다.

• 「정보통신망 이용 촉진 및 정보보호 등에 관한 법률」(이하 ‘정보통신망법’ 이라 한다)에서는 ㉠

생존하는 ㉡개인에 관한 정보로서 ㉢특정 개인을 식별하거나 식별할 수 있는 모든 정보로 규정

한다.

관련 근거

개인정보 보호법 제2조(정의) 이 법에서 사용하는 용어의 뜻은 다음과 같다.

1. “개인정보”란 살아 있는 개인에 관한 정보로서 성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수

있는 정보(해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아볼 수 있는

것을 포함한다)를 말한다.

정보통신망법 제2조(정의) ① 이 법에서 사용하는 용어의 뜻은 다음과 같다.

6. “개인정보”란 생존하는 개인에 관한 정보로서 성명·주민등록번호 등에 의하여 특정한 개인을 알아볼 수

있는 부호·문자·음성·음향 및 영상 등의 정보(해당 정보만으로는 특정 개인을 알아볼 수 없어도 다른

정보와 쉽게 결합하여 알아볼 수 있는 경우에는 그 정보를 포함한다)를 말한다.

Ⅰ 개

인정

보보

호 관

리체

계(P

IMS) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

Ⅰ 개인정보의 개인정보보호 관리체계(PIMS) 인증제도 | 9

가. ①살아있는 개인 / ㉠생존하는

• 개인정보의 주체는 자연인(自然人)이어야 하며, 법인(法人) 또는 단체의 정보는 해당되지 않

는다. 또한, 현재 생존하고 있는 개인에 관한 정보에 한한다.

나. ②특정 개인과의 관련성 / ㉡개인에 관한 정보

• 개인정보는 살아 있는 개인에 ‘관한’ 정보이어야 한다. 즉 특정한 개인에 대한 사실, 판단, 평

가 등 그 개인과 관련성을 지닌 정보여야 하며 성명, 주민등록번호, 생일, 주소, 바이오정보

등이 이에 해당된다.

• 또한, 특정 개인의 과거 및 현재의 상황이나 상태를 나타낼 수 있는 정보(교육상황, 재정상황,

진료 및 건강 상태 등)가 이에 해당할 수 있다.

다. ④식별 가능성 / ㉢식별하거나 식별 가능한

• 개인정보는 개인을 ‘알아볼 수 있는’ 정보이어야 한다. 즉 특정한 개인을 ‘식별할 수 있는’ 정

보가 개인정보에 해당한다. 특정 개인을 전혀 모르던 사람이더라도 객관적으로 그 특정 개인

을 다른 사람과 구분/구별할 수 있다면 모두 개인정보에 포함될 수 있다.

• 이에 따라서 개인정보라 함은 “해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정

보와 쉽게 결합하여 알아볼 수 있는 것”을 포함할 수 있다.

라. ③정보의 임의성

• 개인정보를 ‘성명, 주민등록번호 및 영상 등을 통하여 개인을 알아볼 수 있는 정보’라고만 규

정하고 있을 뿐 정보의 종류, 형태, 성격, 형식 등에 대해서는 특별한 제한을 두고 있지 않아

개인을 알아볼 수 있는 정보에 해당하는 경우 모든 종류 및 형태의 정보를 개인정보라 볼 수

있다.

1.2 개인정보의 유형 및 종류

• 개인정보는 사업자의 서비스에 이용자가 직접 회원으로 가입하거나 등록할 때 사업자에게 제

공하는 정보(성명, 생년월일, 전화번호 등)뿐만 아니라, 이용자가 서비스를 이용하는 과정에서

생성되는 통화내역, 로그기록, 구매 내역 등도 개인정보라 판단할 수 있다.

10 | PIMS 인증제도 안내서 제도운영편

[표 1] 개인정보 유형

구분 내용

일반정보 일반정보이름, 주민등록번호, 주소, 전화번호, 생년월일, 출생지, 이메일주소, ID/PW, 가족관계

및 가족 구성원 정보, IP주소 등

신체적 정보 신체정보 얼굴, 지문, 홍채, 음성, 유전자정보, 키, 몸무게

의료/건강 건강상태, 진료기록, 신체장애, 장애등급

정신적 정보 기호/성향

도서, 비디오 대여기록, 잡지구독정보, 여행 등 활동내역, 식료품 등 물품구매내역,

인터넷 웹사이트 검색내역

신념/사상 종교 및 활동내역, 정당, 노조 가입여부 및 활동내역

재산적 정보 개인/금융

소득정보, 신용카드 번호 및 비밀번호, 통장계좌번호 및 비밀번호, 동산부동산 내역,

저축내용

신용정보 개인신용평가정보, 대출 또는 담보설정내역, 신용카드 사용내역

사회적 정보

교육정보 학력, 성적, 출석상황, 자격증보유내역, 상벌기록, 생활기록부

법적정보 전과, 범죄기록, 재판기록, 과태료 납부내역

근로정보 직장, 고용주, 근무처, 근로경력, 상벌기록, 직무평가기록

기타

통신정보 통화내역, 인터넷 웹사이트 접속내역, 이메일, 전화메시지

위치정보 IP주소, GPS 등에 의한 개인위치 정보

병역정보 병역여부, 군번, 계급, 근무부대

※ 본 안내서는 개인정보 유형을 설명하고 있지 않으며, 보다 자세한 내용은 관련 법 해설서를 참조

1.3 개인정보 보호의 필요성

• 해킹 등에 따라 대량의 개인정보 유출 사고가 발생하여 사회적으로 이슈가 되고 있어 개인정보

를 취급하는 기업에서는 개인정보에 대한 안전한 보호조치에 대한 관심이 높아지고 있다.

• 개인정보 보호는 크게 이용자의 권리, 즉 개인정보 자기결정권을 보장하기 위한 측면과 기업이

보유하고 있는 이용자의 개인정보에 대한 유출·변조·훼손 등을 방지하기 위한 개인정보의

기술적·관리적·물리적 보호조치를 적용하는 측면으로 나눠질 수 있다.

1.4 개인정보 처리 및 보호

• 개인정보의 기술적·관리적 보호조치는 이용자의 개인정보를 저장·조회·처리하는 개인정

보취급자와 개인정보처리시스템을 중심으로 적용하게 된다.

Ⅰ 개

인정

보보

호 관

리체

계(P

IMS) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

Ⅰ 개인정보의 개인정보보호 관리체계(PIMS) 인증제도 | 11

• 개인정보취급자란 개인정보에 접근할 수 있는 모든 자가 해당되므로, 개인정보 조회 권한만

가지고 있어도 개인정보취급자라고 할 수 있다.

• 관련 법에서 말하는 개인정보처리시스템이란 개인정보를 처리할 수 있도록 체계적으로 구성

한 데이터베이스 관리시스템(DBMS, Datebase Management System)을 말하며, 개인정보

DB에 접근하기 위한 중계서버, 어플리케이션 등도 이에 포함될 수 있다.

• 기업은 개인정보 보호를 위해 먼저 보유하고 있는 개인정보는 무엇인지, 개인정보를 저장·

조회·처리하는 개인정보취급자 및 개인정보처리시스템이 무엇인지를 식별해야 한다.

• 이렇게 식별된 개인정보취급자 및 개인정보처리시스템에 대하여 접근통제, 권한관리 등 기

술적·관리적 보호조치를 적용하여야 한다.

• 식별된 개인정보, 개인정보처리시스템, 개인정보취급자 등은 변경될 수 있으므로, 변경사항

이 지체 없이 식별되고 반영 될 수 있도록 절차를 마련하고 주기적으로 검토하여 지속적 관

리 및 업데이트를 수행한다.

<그림 1> 개인정보처리시스템 식별 프로세스

4321

5

개인정보처리시스템 식별

기술적·관리적보호조치 적용

개인정보취급자식별

개인정보 식별

지속적 관리 및 업데이트

12 | PIMS 인증제도 안내서 제도운영편

02 개인정보보호 관리체계(PIMS) 인증제도 소개

2.1 PIMS 인증제도 개요

• 기업은 개인정보 보호를 지속적으로 관리하기 위하여 정보보호 요구사항, 관련 법적 요구사

항 등을 고려한 개인정보보호 관리체계를 구축하여 운영하는 것이 필요하다.

• 개인정보보호 관리체계(PIMS, Personal Information Management System) 인증이란 기업이

개인정보보호 관리체계를 수립하여 운영하고 있는 서비스 범위가 인증심사 기준에 적합한지

여부를 인증기관이 평가하여 인증을 부여하는 제도이다.

• PIMS 인증대상은 업무를 목적으로 개인정보를 처리하는 공공기관, 민간기업, 법인, 단체 및

개인 등 모든 공공기관 및 민간 개인정보처리자이다.

관련 근거

개 인정보 보호법 제32조의2(개인정보 보호 인증) ① 행정자치부장관은 개인정보처리자의 개인정보 처리 및

보호와 관련한 일련의 조치가 이 법에 부합하는지 등에 관하여 인증할 수 있다.

정 보통신망법 제47조의3(개인정보보호 관리체계의 인증) ①방송통신위원회는 정보통신망에서 개인정보보호

활동을 체계적이고 지속적으로 수행하기 위하여 필요한 관리적·기술적·물리적 보호조치를 포함한 종합

적 관리체계(이하 “개인정보보호 관리체계”라 한다)를 수립·운영하고 있는 자에 대하여 제2항에 따른 기

준에 적합한지에 관하여 인증을 할 수 있다.

Ⅰ 개

인정

보보

호 관

리체

계(P

IMS) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

Ⅰ 개인정보의 개인정보보호 관리체계(PIMS) 인증제도 | 13

2.2 PIMS 인증제도 추진경과

• PIMS 인증제도는 ’10년 11월 방송통신위원회 의결(제2010-66-273호)로 시행되었으며, ’11년도

부터 주요 정보통신서비스 제공 사업자 대상으로 인증심사를 시행, ’12년도에는 개인정보보호

관리체계 인증제도의 법률적 근거를 마련하였다.

- 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조의3 (’12. 2월)

- 「개인정보보호 관리체계 인증 등에 관한 고시」(제2013-17호) (’13. 9월)

※ 인증심사항목 3개 분야, 124개 통제항목 (관리과정(13), 보호대책(79), 생명주기(32))

• 개인정보 보호 인증(PIPL, Personal Information Protection Level, 이하 ‘PIPL 인증’이라 함) 인

증제도는 ’13년에 개인정보 보호 인증제의 법률적 근거를 마련하였다.

- 「개인정보 보호법」 제13조의3 (’13. 3월)

- 「개인정보 보호 인증제 운영에 관한 규정」(행정자치부 고시 제2013-45호) (’13. 10월)

※ 유형1(공공기관, 대기업, 65항목), 유형2(중소기업, 52항목), 유형3(소상공인, 33항목)

• 기업의 혼란 해소를 위해 ’15년 12월 행정자치부와 방송통신위원회가 공동고시를 마련하여

PIPL 인증 제도와 PIMS 인증 제도가 통합되었다.

- 「개인정보보호 관리체계 인증 등에 관한 고시」(행자부 고시 제2016-28호)(’16. 7월)

- 「개인정보보호 관리체계 인증 등에 관한 고시」(방통위 고시 제2015-29호)(’16. 1월)

2.3 PIMS 인증의 기대효과

• PIMS를 구축·운영함으로서 체계적·지속적인 개인정보보호 활동이 가능하며 수행여부를

객관적으로 점검함으로써 개인정보보호 관리수준을 향상시킬 수 있다.

• 경영진 차원에서의 상시 모니터링 체계구축이 가능하고, 경영진이 직접 개인정보보호 의사

결정에 참여함으로써 개인정보 침해사고에 효율적인 대응이 가능하다.

• PIMS 인증을 취득한 기관은 국민 및 고객의 개인정보 보호에 대한 신뢰성을 높여 대외 이미

지를 제고할 수 있다.

14 | PIMS 인증제도 안내서 제도운영편

2.4 PIMS 인증의 표시

• 인증마크는 인증의 유형과 인증범위 및 유효기간을 표시하여야 한다.

<그림 2> 개인정보보호 관리체계 인증마크

인증유형 :

유효기간 :

인증범위 :

• 인증의 유효기간은 인증서 발급일로부터 3년이다.

• 인증마크는 기관의 홈페이지 또는 인증을 취득한 서비스 제공 등에 필요한 경우와 일반문서,

봉투, 홍보책자 등에 사용할 수 있다.

• 인증의 홍보는 인증 받은 해당범위에 한하여 가능하며 인증서를 발급받은 날로부터 인증유

효기간 동안에만 사용이 가능하다. 유효기간을 초과하거나 인증이 취소된 경우에는 사용을

중단하여야 한다.

Ⅰ 개

인정

보보

호 관

리체

계(P

IMS) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

Ⅰ 개인정보의 개인정보보호 관리체계(PIMS) 인증제도 | 15

03 개인정보보호 관리체계(PIMS) 인증 추진체계

• 개인정보보호 관리체계(PIMS) 인증제도는 운영을 위해 정책기관, 인증기관, 인증심사원, 인증

위원회를 갖추고 있다.

<그림 3> 개인정보보호 관리체계 인증 추진체계

행정자치부

•법·제도 개선 및 정책 결정•심사기관 지정

인증위원회

•인증심사결과 적합성 심의·의결

•인증취소 타당성 심의·의결

인증기관(한국인터넷진흥원)

• 인증제도 운영 및 인증서 부여

• 인증위원회 운영• 인증심사원 양성 및 자격관리

인증심사원

•인증심사 수행

•인증기간(심사팀장) 및 분야별 외부전문가로 구성

방송통신위원회

•법·제도 개선 및 정책 결정•심사기관 지정

3.1 정책기관

• 행정자치부와 방송통신위원회는 개인정보보호 관리체계 인증제도 관련 법제도 개선, 정책수립,

인증기관 지정 및 취소 등의 역할을 하는 정책기관이다.

16 | PIMS 인증제도 안내서 제도운영편

3.2 인증기관

• (문구 일부 삭제)행정자치부와 방송통신위원회가 지정한 한국인터넷진흥원(KISA) 또는 인증기

관은 개인정보보호 관리체계 인증에 관한 업무를 수행한다.,

• 인증기관은 심사팀을 구성하여 신청기관이 수립·운영하는 개인정보보호 관리체계를 인증기

준에 따라 심사하고, 심사기간에 발견된 결함사항의 보완조치 여부를 확인하여 인증기준에 적

합한 기관에 인증서를 발급한다.

• 인증기관은 인증위원회 운영, 인증심사원 양성 및 자격관리, 인증제도 및 기준 개선 등 개인정

보보호 관리체계 인증제도 전반에 걸친 업무를 수행한다.

3.3 인증위원회

• 개인정보보호 관리체계 인증위원회는 인증심사 결과가 인증기준에 적합한지 여부, 인증취소에

관한 사항, 이의신청에 관한 사항 등을 심의·의결한다.

• 인증위원회는 개인정보보호 전문가, 변호사, 교수 등 개인정보보호 분야에 학식과 경험이 있는

자 중에서 35명 이내의 위원으로 구성하여 운영한다.

3.4 신청기관

• 신청기관은 개인정보보호 활동의 체계적이고 지속적인 관리여부를 객관적으로 검증 받기 위

하여 개인정보보호 관리체계 인증을 취득하고자 신청하는 자를 의미한다.

• 신청기관은 개인정보보호 관리체계 인증을 신청하기 전에 인증기준에 따른 개인정보보호 관

리체계를 구축하여 반드시 최소 2개월 이상 운영하여야 한다.

[표 2] 개인정보보호 관리체계 담당기관, 책임 및 역할

담당 기관 책임 및 역할

정책기관

(행정자치부, 방송통신위원회)·인증관련 법·제도 개선 및 정책 결정

한국인터넷진흥원

(인증기관)

·인증심사 신청 접수

·인증심사 수행

·인증위원회 구성·운영

·인증서 부여 및 인증마크 발급

·인증심사원 양성 및 관리

·인증심사팀 구성·운영

인증위원회

·인증심사 결과 심의·의결

·이의신청 사항에 대한 심의·의결

·인증 취소에 대한 심의·의결

신청기관 ·인증 취득 및 유지관리

Ⅰ 개

인정

보보

호 관

리체

계(P

IMS) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

Ⅰ 개인정보의 개인정보보호 관리체계(PIMS) 인증제도 | 17

04 개인정보보호 관리체계(PIMS) 인증심사 대상

4.1 신청기관의 유형

• 「개인정보 보호법」을 적용 받는 개인정보처리자(공공기관, 민간기업, 법인, 단체 및 개인) 및

「정보통신망법」의 적용을 받는 정보통신서비스 제공자는 인증을 신청할 수 있다.

• 인증을 취득하고자 하는 개인정보처리자와 정보통신서비스제공자는 해당 유형으로 인증심

사를 신청하면 된다.

[표 3] 신청기관의 유형

유형 관련 근거

공공기관 「개인정보 보호법」 제2조제6호에 따른 공공기관에 해당하는 개인정보처리자

대기업/정보통신

서비스 제공자

「대·중소기업 상생협력 촉진에 관한 법률」 제2조제2호에 따른 대기업에 해당하는 사업자

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제2조제3호에 따른 정보통신서비스 제공자

중소기업 「중소기업기본법」 제2조에 따른 중소기업에 해당하는 사업자

소상공인「소상공인 보호 및 지원에 관한 법률」 제2조제1호 및 제2호에 따른 소상공인에 해당하는 사업자

및 그밖의 사업자

• (공공기관) 「개인정보 보호법」 및 동법 시행령에서 공공기관의 범위를 정함

- 「국회·법원·헌법재판소·중앙선거관리위원회의 행정사무를 처리하는 기관

- 「 중앙행정기관(대통령 소속 기관과 국무총리 소속 기관 포함) 및 그 소속기관

- 「지방자치단체

- 「국가인권위원회법」 제3조에 따른 국가인권위원회

- 「공공기관의 운영에 관한 법률」 제4조에 따른 공공기관

- 「지방공기업법」에 따른 지방공사 및 지방공단

- 「 특별법에 따라 설립된 특수법인

• 「초·중등교육법」, 「고등교육법」 및 그 밖의 다른 법률에 따라 설치된 각급 학교 「초ㆍ중등교육

법」, 「고등교육법」 및 그 밖의 다른 법률에 따라 설치된 각급 학교

18 | PIMS 인증제도 안내서 제도운영편

• (대기업) 「대·중소기업 상생협력 촉진에 관한 법률」 제2조제2호에 따라 중소기업이 아닌 기업

을 말한다.

• (중소기업) 「중소기업기본법」 제2조에 따른 중소기업의 범위를 만족하는 기업을 말한다.

• (소상공인) 「소상공인 보호 및 지원에 관한 법률」 제2조 따른 소상공인의 범위

관련 근거

개 인정보 보호법 제2조(정의) 6. “공공기관”이란 다음 각 목의 기관을 말한다.

가. 국회, 법원, 헌법재판소, 중앙선거관리위원회의 행정사무를 처리하는 기관, 중앙행정기관(대통령 소속 기

관과 국무총리 소속 기관을 포함한다) 및 그 소속 기관, 지방자치단체

나. 그 밖의 국가기관 및 공공단체 중 대통령령으로 정하는 기관

중 소기업 기본법 제2조(중소기업자의 범위) ① 중소기업을 육성하기 위한 시책(이하 “중소기업 시책”이라 한

다)의 대상이 되는 중소기업자는 다음 각 호의 어느 하나에 해당하는 기업(이하 “중소기업”이라 한다)을 영

위하는 자로 한다.

1. 다음 각 목의 요건을 모두 갖추고 영리를 목적으로 사업을 하는 기업

가. 업종별로 매출액 또는 자산총액 등이 대통령령으로 정하는 기준에 맞을 것

나. 지분 소유나 출자 관계 등 소유와 경영의 실질적인 독립성이 대통령령으로 정하는 기준에 맞을 것

2. 「사회적기업 육성법」 제2조제1호에 따른 사회적기업 중에서 대통령령으로 정하는 사회적기업

3. 「협동조합 기본법」 제2조제1호에 따른 협동조합 중 대통령령으로 정하는 협동조합

4. 「협동조합 기본법」 제2조제2호에 따른 협동조합연합회 중 대통령령으로 정하는 협동조합연합회

③ 제1항을 적용할 때 중소기업이 그 규모의 확대 등으로 중소기업에 해당하지 아니하게 된 경우 그 사유

가 발생한 연도의 다음 연도부터 3년간은 중소기업으로 본다. 다만, 중소기업 외의 기업과 합병하거나 그

밖에 대통령령으로 정하는 사유로 중소기업에 해당하지 아니하게 된 경우에는 그러하지 아니하다.

소 상공인 보호 및 지원에 관한 법률 제2조(정의) 이 법에서 “소상공인”이란 「중소기업기본법」 제2조제2항에

따른 소기업(小企業) 중 다음 각 호의 요건을 모두 갖춘 자를 말한다.

1. 상시 근로자 수가 10명 미만일 것

2. 업종별 상시 근로자 수 등이 대통령령으로 정하는 기준에 해당할 것

4.2 신청기관 유형별 심사기준

• 개인정보보호 관리체계 인증기준은 개인정보보호 관리과정(16), 생명주기 및 권리보장(20),

개인정보 보호조치(50) 총3개 분야 86개의 심사항목으로 구성되어 있다.

Ⅰ 개

인정

보보

호 관

리체

계(P

IMS) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

Ⅰ 개인정보의 개인정보보호 관리체계(PIMS) 인증제도 | 19

• 인증심사기준은 최대 86개 심사항목을 신청기관 유형별(공공기관, 대기업·정보통신서비스

제공자, 중소기업, 소상공인)로 중소기업·소상공인의 부담 완화하고 기업별 특성을 고려하

여 차등 적용된다.

※ 온라인의 특수성을 고려하여 정보통신망법상 “정보통신서비스제공자”는 대기업 기준 항목으로 심사

[표 4] 적용 유형별 인증기준

구분

적용 유형별 인증기준

공공기관대기업·정보

통신서비스제공자중소기업 소상공인

개인정보보호 관리과정(16개) 16 16 15 4

생명주기 및 권리보장(20개) 20 19 19 19

개인정보 보호조치(50개) 50 48 40 24

총 계 86 83 74 47

[표 5] 신청기관 유형별 인증기준

유형 항목수 적용기준

공공기관 86 ·법적 요구사항

·PIMS 수립 및 이행

·개인정보 흐름분석을 통한 위험분석 및 위험관리

·경영진 참여 및 의사결정

·개인정보 보호 강화를 위한 보호대책

대기업 및 정보통신서비스

제공자83

중소기업 74

·법적 요구사항

·PIMS 수립 및 이행

·개인정보 보호 강화를 위한 보호대책

소상공인 47 ·법적 요구사항

인증제도 안내서인증제도 안내서

개인정보보호 관리체계(PIMS)

인증절차Ⅱ개인정보보호 관리체계(PIMS) 인증 준비단계

개인정보보호 관리체계(PIMS) 인증 심사단계

개인정보보호 관리체계(PIMS) 인증 인증단계

개인정보보호 관리체계(PIMS) 인증 사후관리단계

1

2

3

4

22 | PIMS 인증제도 안내서 제도운영편

• 개인정보보호 관리체계 인증절차는 준비단계, 심사단계, 인증단계, 사후관리단계의 4단계로

이루어진다.

① 준비단계 : 인증 신청서 접수, 예비점검, 계약 협의 및 체결

② 심사단계 : 인증기준 적합 여부에 대한 서면 및 현장 심사

③ 인증단계 : 인증심사의 결과를 근거한 인증 적합성 심의

④ 사후관리단계 : 인증취득 후 매년 유지 상태에 대한 점검

<그림 4> 개인정보보호 관리체계 인증 절차

01

02

03

04

신청기관 한국인터넷진흥원 비고

준비단계

심사단계

인증단계

사후관리단계

소요기간: 2~3개월

① 최소 2개월 이상 PIMS 운영

② 인증신청서 제출서류

•인증신청 공문 •PIMS 인증범위서

•PIMS 인증신청서 •사업자등록증

•PIMS 명세서 •기타 증빙서류

인증신청

① 인증준비

② 신청접수

예비점검

계약체결

소요기간: 1.5~3개월

③ 인증심사 5~10일

④ 30일이내 보완조치(재조치 60일)

⑤ 인증위원회 개최 한달 전까지 제출

인증수수료 납부

※ 연1회 이상 사후심사 실시

※ 사후심사의 인증절차 및 방법은

최초 심사와 동일

신청접수

인증심사(서면/현장심사)

결함사항 보완조치 요청

인증유지 공문발송

사후심사신청

보완조치 및 결과 제출

소요기간: 1개월인증서 부여인증서 수령

인증위원회 개최

④ 결함사항 보완조치 요청

③ 인증심사(서면/현장심사)

보완조치 및 결과 제출

⑤ 심사결과보고서 작성

Ⅱ 개인정보보호 관리체계(PIMS) 인증 절차

I 개인

정보

보호

관리

체계

(PIM

S) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

Ⅱ 개인정보보호 관리체계(PIMS) 인증 절차 | 23

01 개인정보보호 관리체계(PIMS) 인증 준비단계

<그림 5> 준비단계 절차

PIMS구축 및 운영

인증심사신청 및 접수

예비 점검 계약 및수수료 납부

1.1 구축 및 운영

• 신청기관은 인증신청서를 제출하기 전에 인증기준에 따라 개인정보보호 관리체계를 구축하고

최소 2개월 이상 운영한 증적을 준비해야한다.

• 신청기관은 인증 받고자 하는 인증범위를 정할 때 개인정보 관련 업무를 상세하게 분석하여

Life-Cycle(수집·보유·이용·제공·폐기)에 따른 개인정보 흐름을 고려하여 모든 서비스, 인

력 등을 포함하여야 한다.

• 인증 받고자 하는 개인정보의 범위는 이용자 중심의 대외 서비스만 포함할 것인지 임직원이 이

용하는 내부 서비스 까지도 포함할 것인지에 대해서도 고려하여야 한다.

24 | PIMS 인증제도 안내서 제도운영편

1.2 인증심사 신청 및 접수

• 개인정보보호 관리체계 인증을 신청하려는 자는 다음의 신청서류를 인증기관에 제출한다.

① 인증신청공문

② 개인정보보호 관리체계 인증신청서

③ 개인정보보호 관리체계 명세서

④ 개인정보보호 관리체계 인증범위서

⑤ 사업자등록증

⑥ 인증심사부터 인증심사까지 예비점검, 계약, 심사원 모집 등 업무처리를 위한 기간이 필

요하므로 희망심사일 기준 최소 8주전에 신청하도록 한다.

※ 신청서 및 개인정보보호 관리체계 명세서 양식은 홈페이지 자료실(pims.kisa.or.kr) 참조

• 인증신청은 방문접수 또는 등기우편으로 신청할 수 있으며, 신청 서류의 미비로 인증기관의

보완요청이 있을 경우 신청서류를 재구비하여 제출하여야 한다.

• 인증심사부터 인증심사까지 예비점검, 계약, 심사원 모집 등 업무처리를 위한 기간이 필요하

므로 희망심사일 기준 최소 8주 전에 신청하도록 한다.

인증 상담

개인정보보호 관리체계 인증제도 관련하여 한국인터넷진흥원(KISA) 홈페이지(http://pims.kisa.or.kr)로

안내하고 있으며, 이메일(pims@kisa.or.kr)을 통하여 구체적인 상담 가능

1.3 예비점검

• 예비점검이란 인증기관의 심사팀장이 신청기관을 방문하여 개인정보시스템의 규모, 개인정

보흐름도, 위험분석보고서, 대책명세서 등 인증심사에 필요한 기초자료 구비 유무, 인증심사

준비상태 및 운영여부를 확인하는 것이다.

• 예비점검 기간에 신청기관의 개인정보보호 관리체계 운영상황을 확인하고 인증심사 가능여

부를 판단하여 심사일정을 조정한다.

- 신청기관의 담당자는 인증범위의 설명과 증적자료를 확인할 수 있도록 협조해야한다.

- 인증기관의 심사팀장은 신청기관의 개인정보 보호(관리)책임자(CPO, Chief Privacy

Officer) 또는 담당자과 예비점검 결과를 공유하고, 인증범위를 고려하여 심사일정을 확정

한다.

I 개인

정보

보호

관리

체계

(PIM

S) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

Ⅱ 개인정보보호 관리체계(PIMS) 인증 절차 | 25

예비점검에 필요한 준비자료

• 신청기관은 인증심사 예비점검 시 다음의 증적을 준비해야 한다.

- 상위 규정 및 정책(방침)서, 개인정보보호 정책/지침/절차서/매뉴얼

- 개인정보보호 관리체계 인증범위서, 개인정보 관련 자산목록, 위험분석보고서, 취약점 분석결과

보고서

- 개인정보보호계획서, 직무기술서, 내부심사 결과 등 각종 계획서 및 보고서

- 각종 점검 및 관리대장 등 이행증적 자료

- 개인정보보호 관리체계 명세서

- 개인정보 흐름도

- 업무관련 조직도, 심사지원 담당자 연락처 등 기타 관련 문서

1.4 계약 및 수수료 납부

• 인증기관은 신청기관과 인증의 범위, 심사 기간, 심사 인원, 심사팀 구성, 인증 수수료(홈페이지

참고) 등을 협의하여 개인정보보호 관리체계 인증심사 계약을 체결한다.

• 신청기관은 인증심사계약이 완료되면 계약에 따라 정해진 심사수수료를 인증심사 이전(계약

후 1개월 이내)에 완납하여야 한다.

• 신청기관은 최초심사, 사후심사 및 갱신심사 신청 시 수수료를 납부하여야 하며, 수수료를 납

부하지 않은 경우에 인증심사를 실시하지 아니할 수 있다.

• 인증심사 수수료는 신청기관이 인증기관에 납부하는 비용으로 인증심사 신청접수 및 계약, 예

비점검, 심사원 자문료 등에 소요되는 제비용을 의미한다.

• 인증심사 수수료는 직접인건비, 직접경비, 제경비, 기술료의 합으로 산정한다.

26 | PIMS 인증제도 안내서 제도운영편

02 개인정보보호 관리체계(PIMS) 인증 심사단계

• 신청기관은 인증심사를 수행하기 위하여 필요한 장소 및 관련 문서, 운영기록 등의 증적자료

제공, 담당자 면담 주선 등을 협조하여야 한다.

<그림 6> 심사단계 절차

인증심사시작회의

인증심사 결함보고서검토

인증심사종료회의

인증심사보완조치 제출

2.1 인증심사 시작회의

• 시작회의에서는 인증기관의 심사팀장이 개인정보보호 관리체계 인증제도의 개요, 심사원 소

개, 심사 계획 등을 설명하고, 신청기관의 담당자는 개인정보보호 관리체계 구축현황 및 운

영내역에 대해 간략하게 설명한다.

• 시작회의에는 인증심사팀과 신청기관의 CPO, 주요 개인정보취급부서장, 개인정보취급담당

자, 조직도상 관련 직무자, 유관부서 관련자(총무, 인사 등)들이 참석하여 진행한다.

I 개인

정보

보호

관리

체계

(PIM

S) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

Ⅱ 개인정보보호 관리체계(PIMS) 인증 절차 | 27

2.2 인증심사

• 인증심사는 개인정보보호 관리과정과 생명주기 및 권리보장, 개인정보 보호대책으로 구성된

개인정보보호 관리체계의 인증기준을 신청기관이 적절히 이행하고 있는지 확인한다.

• 신청기관이 개인정보보호 관리체계 관련 내부규정(정책, 지침, 절차 등)을 갖추고 있는지, 해

당 내부규정이 인증기준에서 제시하는 요구사항(통제항목)을 충족하는지 심사하고, 현장심사

의 일정을 조율한다.

- 각종 문서 및 이행 증적자료 검토, 보호대책 적용 여부 확인 등의 방법으로 관리적 요소를

심사한다.

• 문서에서 명시한 통제사항들의 실행 여부 및 서면심사에서 발견된 문제점의 원인을 확인하

고, 현장실사를 통해 기술적 대책, 물리적 대책을 이행하고 있는지 확인한다.

• 인증기준 통제사항의 이행여부는 신청기관의 담당자와 면담이나 이행에 따른 문서 증적 또

는 전자적 기록 등을 검토함으로써 확인한다.

2.3 결함보고서 검토

• 인증심사 후 심사원들은 서면심사 및 현장심사를 통하여 도출된 문제점에 대해 신청기관의 담

당자들과 회의를 통하여 상호 간 결과를 확인한다.

• 심사의 결과에 대한 결함보고서는 기업의 미흡한 사항에 대해 조치하도록 심사팀과 실무담당

자가 상호간 확인한 사항에 대하여 작성된다.

2.4 인증심사 종료회의

• 종료회의에는 신청기관의 임직원 및 담당자에게 심사기간에 발견된 결함보고서를 설명하고 보

완조치 기간, 인증위원회 개최 등에 대해 안내한다.

• 인증기관은 개인정보보호 관리체계 결함보고서를 신청기관에 전달하고, 결함보고서에 기술한

결함에 대해 신청기관에게 보완조치 요청서를 작성하여 통보한다.

28 | PIMS 인증제도 안내서 제도운영편

2.5 인증심사 보완조치 제출

• 신청기관은 보완조치 요청을 받은 날로부터 30일 이내 보완조치를 하고 보완조치 사항에 대해

보완조치 내역서를 작성하여 인증기관에 제출해야 한다.

• 인증기관이 신청기관이 제출한 보완조치 결과가 미흡하다고 판단하거나, 신청기관 스스로 보

완조치 기간이 추가로 필요다고 판단한 경우 공문을 통해 최대 60일까지 보완조치 기간을 연

장할 수 있다.

- 보완조치 기한 연장 시 보완조치요약서 및 완료된 결함사항에 대한 보완조치 내역서를 공

문과 같이 제출해야 함

• 총 90일의 보완조치 기간은 심사팀장이 보완조치 결과를 확인하기 위한 이행점검까지 끝낸 시

점까지를 포함하고 있다.

• 심사팀장은 신청기관의 보완조치 결과를 문서 및 현장확인을 통해 확인한다.

• 심사팀장은 보완조치 확인결과를 보완조치 완료확인서에 서명날인하는 것으로 보완조치 확인

을 마무리한다.

• 보완조치 내역은 조치전·후의 내용을 확인할 수 있도록 작성해야 한다.

- 보완조치의 이행계획은 보완조치가 완료되지 않은 것으로 판단한다.

인증심사 유의사항

인증기관은 신청기관이 고의로 인증심사의 실시를 지연 또는 방해하거나 신청기관의 귀책사유로

인하여 인증심사를 계속 진행하기가 곤란하다고 인정되는 경우 인증심사를 중단할 수 있다.

I 개인

정보

보호

관리

체계

(PIM

S) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

Ⅱ 개인정보보호 관리체계(PIMS) 인증 절차 | 29

03 개인정보보호 관리체계(PIMS) 인증 인증단계

<그림 7> 인증단계 절차

인증위원회심의·의결

인증결과통보

3.1 인증위원회 심의·의결

• 최초 또는 갱신심사의 경우 보완조치가 완료된 기관에 대하여 인증기관은 인증심사팀이 수

행한 심사결과에 대한 객관성과 공정성 확보 및 일정수준 이상의 품질 확보를 위하여 인증기

관의 장이 구성·운영하는 인증위원회에 심사 결과보고서를 상정한다.

• 인증위원회는 인증기관의 요구로 개최되며 인증심사 기간에 발견된 문제점에 대한 판단의

적합성과 보완조치 확인의 적절성을 검토하여 인증적합 여부를 심의한다.

• 인증위원회에서는 심의 결과에 따라 보완조치를 요구할 수 있다. 이 경우 심사팀장을 통해

신청기관에게 해당사항과 더불어 보완조치 기한이 전달된다.

• 보완조치사항을 전달받은 신청기관은 해당사항의 보완 완료 후 심사팀장에게 수정된 “보완

조치 내역서”를 제출하고 다음 회기 인증위원회에 상정하여 최종 인증부여 여부를 의결받게

된다.

• 인증위원회에서 의결이 완료되면 인증위원장은 인증심의 결과서와 심의의견서를 인증기관

에 제출한다.

30 | PIMS 인증제도 안내서 제도운영편

3.2 인증결과 통보

• 인증기관의 장은 인증위원회의 심의·의결 결과를 신청기관에 통보하고 개인정보보호 관리

체계 인증기준에 적합한 경우 인증서를 발급하며, 부적합 통보를 받은 신청기관은 이의신청을

할 수 있다.

• 인증취득기관은 개인정보보호 관리체계 인증 유효기간 동안 개인정보보호 관리체계를 지속적

으로 유지하고 관리하여야 한다.

I 개인

정보

보호

관리

체계

(PIM

S) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

Ⅱ 개인정보보호 관리체계(PIMS) 인증 절차 | 31

04 개인정보보호 관리체계(PIMS) 인증 사후관리단계

<그림 8> 사후관리단계 절차

1년 1년 1년

최초심사 사후심사 1차 사후심사 2차 갱신심사

4.1 사후심사

• 인증취득기관이 수립하여 운영 중인 개인정보보호 관리체계가 인증기준에 적합한 수준에서 지

속적 유지 여부를 확인하기 위해 인증 유효기간 중 매년 1회 이상 시행하는 인증심사를 말한다.

• 사후심사는 인증발급일 기준으로 매 1년 이전에 심사를 완료해야 하며, 인증유효기간 내 심사

를 받지 않을 경우 인증이 취소된다.

4.2 갱신심사

• 개인정보보호 관리체계 인증의 유효기간은 3년이며 갱신심사는 인증 유효기간이 만료되는 연

도에 유효기간의 연장을 목적으로 수행하는 심사이다.

• 갱신심사는 인증유효기간 내 심사를 받지 않을 경우 인증 효력을 상실한다.

인증제도 안내서인증제도 안내서

개인정보보호 관리체계 인증신청 가이드라인 v3.0

부록

개인정보보호 관리체계 인증 신청 가이드라인

□ 법적 근거

｢개인정보보호 관리체계 인증 등에 관한 고시｣ 제13조 ※ 방송통신위원회 고시 제2015-29호, 행정자치부 고시 제2016-28호

제13조(인증 신청 등) ① 인증을 취득하고자 하는 신청기관은 다음 각 호의 어느 하나에 해당하는 유형의 인증을 신청할 수 있다. 1. 「소상공인 보호 및 지원에 관한 법률」제2조제1호 및 제2호에 따른 소상공인에 해당하는 사업자

및 그 밖의 사업자(유형1) 2. 「중소기업기본법」제2조에 따른 중소기업에 해당하는 사업자(유형2) 3. 「대‧중소기업 상생협력 촉진에 관한 법률」제2조제2호에 따른 대기업에 해당하는 사업자 및 정보

통신망법 제2조제2호에 따른 “정보통신서비스 제공자”(유형3) 4. 「개인정보 보호법」제2조제6호에 따른 공공기관(유형4) ② 제1항에 따라 인증을 신청하는 기관은 인증의 대상을 특정 서비스·업무로 구분하여 신청하여야 한다. ③ 제1항에 따라 인증을 신청하고자 하는 기관은 별지 제7호 서식의 개인정보보호 관리체계 인증

신청서 및 인증심사와 관련되는 다음 각 호의 사항을 인터넷진흥원 또는 인증기관에 제출하여야 한다. 1. 인증범위 내의 개인정보 처리시스템의 목록 2. 개인정보보호 관리체계를 수립·운영하는 방법과 절차 3. 개인정보보호 관리체계 및 보호대책 구현과 관련되는 문서 목록 ④ 신청기관은 인증범위 및 일정 등을 인터넷진흥원 또는 인증기관과 사전 협의하여 신청하여야 한다. ⑤ 인터넷진흥원 또는 인증기관은 인증심사 실시 여부를 판단하기 위하여 제12조에 따른 신청기관

의 인증심사 준비 여부를 확인할 수 있으며, 신청기관의 준비가 미흡한 경우에는 신청기관에 이를 보완할 것을 요구할 수 있다.

⑥ 인터넷진흥원 또는 인증기관은 인증범위의 변경이 필요한 경우에 이를 신청기관과 협의하여 변경할 수 있다.

□ 인증심사 절차(2주) (4주) (1주~2주) (4주~12주) (8주) (1주)

신청서접수 ➡신청서검토

및 예비점검➡ 계약 및심사원모집 ➡ 인증

심사 ➡업체 보완조치및 현장점검 ➡ 인증위원회

심의·의결 ➡ 인증서발급

(부결時)

※ 최초심사 경우, 신청서 제출에서 인증서 부여까지 최소 20여주가 필요하므로 이점 고려하시어 신청을 부탁드립니다.

□ 제출 서류

개인정보보호 관리체계 인증신청서

개인정보보호 관리체계 명세서(2개월 이상 구축‧운영 사실 및 운영명세서 포함)

사업자등록증(또는 고유번호증)

중소기업․소상공인 증빙서류(해당 사업자)

※ 평균매출액 또는 연간 매출액, 자산총액 등 근거법률에서 정하는 기준을 포함해야함

□ 신청 방법 및 문의처

신청 방법 공문 제출을 통한 신청 ※ 우편 또는 직접방문 접수도 가능하나, 18:00시 이후 접수 불가

※ 전자문서의 경우, 이메일 제출 가능(공문 및 제출 자료 포함)

접수 및 문의처

I 개인

정보

보호

관리

체계

(PIM

S) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

인증 신청 제출 서류

개인정보보호 관리체계 인증신청서

개인정보보호 관리체계 명세서

개인정보보호 관리체계의 범위

개인정보처리시스템 및 관련 주요 정보통신설비 개인정보

처리 관련 정보자산 등 의 목록과 시스템 구성도

개인정보보호 관리체계 수립 운영 방법 및 절차

개인정보보호 관리체계 관련 주요 문서 목록

국내외 품질경영체제 인증서 취득 명세

별지 개인정보보호 관리체계 운영명세서

사업자등록증 또는 고유번호증

중소기업 소상공인 증빙서류 해당 사업자

1 개인정보보호 관리체계 인증신청서

■「개인정보보호 관리체계 인증 등에 관한 고시」 [별지 제7호 서식] <개정 2016.1.1>

※ [ ]에는 해당되는 곳에 √표를 하고, 어두운 부분은 신청인이 작성하지 않습니다.

접수번호 접수일자 발급일 처리기간

신청인

업체명 사업자등록번호

주소 전화번호

대표자

인증신청의 구분 ［ ］최초심사 ［ ］사후심사 ［ ］갱신심사

신청기관 유형

□(유형1)「소상공인 보호 및 지원에 관한 법률」제2조제1호 및 제2호에 따

른 소상공인에 해당하는 사업자 및 그 밖의 사업자

□(유형2)「중소기업기본법」제2조에 따른 중소기업에 해당하는 사업자

□(유형3)「대‧중소기업 상생협력 촉진에 관한 법률」제2조제2호에 따른 대기업에

해당하는 사업자 및「정보통신망 이용촉진 및 정보보호 등에 관한 법

률」제2조제2호에 따른 정보통신서비스 제공자

□(유형4)「개인정보 보호법」제2조제6호에 따른 공공기관

개인정보보호 관리체계의

범위

※ 인증을 받고자 하는 서비스명※ 사후 심사의 경우, 기존 인증서內 인증범위명과 동일하게 작성

개인정보보호 관리체계의

범위에 포함되어 있는

인원의 수

※ 개인정보취급자의 수 : 내부 및 외주 인력의 합산※ 명세서에 작성한 조직범위 총 인원수와 동일하게 작성

개인정보보호 관리체계의

범위에 포함되어 있는

시스템의 수

※ 서버(웹서버, DB서버 등), 네트워크 장비(라우터, L4이상 스위치 등), 보안장비(방화벽, IDS, IPS, DDos 대응시스템, 웹방화벽 등)를 포함하여 산정

※ 명세서에 작성한 수량과 동일하게 작성

「개인정보 보호법」 제32조제2호에 따라 위와 같이 개인정보보호 관리체계의 인증을 신청합니다. 또는,

「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제47조의3 제1항 및 동법 시행령 제47조에 따라

위와 같이 개인정보보호 관리체계의 인증을 신청합니다.

년 월 일

신청인(대표자) (서명 또는 인)

(한국인터넷진흥원) 귀중

신청(신고)인

제출서류개인정보보호 관리체계의 내역서 1부.

수수료

없음담당공무원

확인사항법인등기사항증명서

I 개인

정보

보호

관리

체계

(PIM

S) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

2 개인정보보호 관리체계 명세서

작성 항목 기재 내용 요약

사업자 유형 선택 근거

공공기관 대기업 중소기업 소상공인

공공 개 대기업 정보통신 개 중소기업 개 소상공인 개

근거 법률에서 정하는 기준 등을 기재하고 증빙서류 첨부

개인정보보호 관리체계의 범위

대국민 또는 이용자 대상 서비스

정보통신망을 통해 제공하는 서비스 등 정보통신서비스제공자

임직원 또는 사내 서비스

인증을 받고자하는 서비스명과 정의 등을 기재 해당항목만 작성

개인정보보호 관리체계의 범위에

포함되어 있는 주요 개인정보처리

시스템 및 정보통신설비의 목록과

시스템 구성도

인증범위 대상과 제외 대상을 적시하고 그 사유를 기재

개인정보보호 관리체계를 수립

운영하는 방법과 절차개인정보보호 관리체계 운영현황 자산식별 기준 취약점 점검등에 관한 내용을 기재

개인정보보호 관리체계와 관련된

주요 문서의 목록

개인정보보호 관리체계 관련 주요 문서 목록을 기재

개인정보보호 관리체계와 관련된

국내외 품질경영체제의 인증을

취득한 경우에는 그 명세현재 국내외 품질경영체계 인증을 취득하였을 경우 인증서 명 인증기관 취득일 등을 기재

※ 위 표에는 주요 내용만을 기재하고, 세부 사항은 이후 페이지에 기재

인증심사 희망일

16.00.00 ~ 00.00인증심사장

장소서울 송파구 중대로 벤처타워 층 회의실

No 서비스명 웹페이지인증범위 포함여부

제외사유

홍길동 쇼핑몰 Y

홍길동 그룹웨어 N 내부망 전용 서비스

Y/N

Y/N

인증희망 이유 법적요구 고객요구 내부 정책 등 고려사항을 기술

이용자(고객) 개인 내국인 외국인 법인 등 회원수 ________명

Ⅰ 개인정보보호 관리체계의 범위

□ 인증심사 진행 관련 정보

인증심사 담당자

직급 업무 부서 성명 연락처 이메일

개인정보관리보호책임자 정보보호관리본부 홍길동 abc@_________.kr

개인정보 책임자 개인정보관리실 성춘향 abc@_________.kr

개인정보 담당자 개인정보관리팀 이몽룡 abc@_________.kr

개인정보 담당자 개인정보관리팀

인증심사 관련 컨설팅 업체 및 담당자 업체 기간 담당자 조선시대 김갑돌

☞ PIMS인증심사 준비 시, 컨설팅 업체를 통하여 진행한 경우만 작성

인증심사 희망일 및 인증심사장 장소

※ 다수의 신청기관이 같은 날짜에 심사를 희망할 경우, 실제 인증심사일이 희망하는 날짜와 다를 수 있음

□ 전체 서비스(사업) 현황

사업자 구분

현재 제공 중인 전체 서비스 사업

☞ 인증범위 포함여부와 상관없이 신청기관이 제공하는 전체 서비스를 모두 기술

I 개인

정보

보호

관리

체계

(PIM

S) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

인증을 받고자 하는 서비스

서비스명

대국민 또는 이용자 대상 서비스 포털 서비스 인터넷 쇼핑몰 서비스 대국민홈

페이지서비스 등

임직원 또는 사내 서비스 출입통제 출입자관리 인사노무 재무회계 서비스 등

서비스 설명 및

개인정보 포함여부

서비스 상세 설명 및 개인정보 포함여부 표시

개인정보가 포함될 시 개인정보 유형 명시 이름 이메일 주소 핸드폰 등

웹페이지 홈페이지 및 관련 서비스 웹페이지 기술

관련 외주업체

활용현황

위탁 용역 수행업체 및 투입인력 명 파견 등 현황 기술

서비스 관련 개발이나 운영 등을 위해 활용되는 외주업체 현황을 기술

기타 특이사항 기술

인력 및 물리적 위치

전체 인력 xxx명(외주인력 포함)인증범위 내 인력

(개인정보취급자수)xxx명(외주인력 포함)

물리적 위치

명칭

(사업장명 또는 청사명)위치

명칭 위치

명칭 위치

전체 조직도 및 개인정보보호 조직도

전체 조직도

신청기관의 전체 조직도를 삽입하고 인증 범위에 해당하는 부서 표시

부서별로 사업장 위치 등이 상이할 경우 상세 내용 기술

예시

개인정보보호 조직도

신청기관의 개인정보보호 조직도 의사결정체계 를 삽입하고 개인정보보호 관련 부서 개인정보관리 보

호 책임자 개인정보보호실무자 개인정보보호위원회 등을 표기

개인정보보호 조직도는 개인정보보호활동의 주요 사항 등을 논의 결정하는 의사결정체계

및 개인정보보호위원회 구성원의 부서 직책 직위 기재 예 경영관리본부 본부장 상무

예시

I 개인

정보

보호

관리

체계

(PIM

S) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

Ⅱ개인정보처리시스템 및 관련 주요 정보통신설비 개인정보처리 관련 정보자산 등 의 목록과 시스템 구성도

□ 인증범위 대상

운영기간 년 개월 년 월 년 월

개인정보 분류 기준 개인정보 항목

대국민 또는 이용자 대상 서비스 임직원 또는 사내 서비스

개인정보 항목수집 보유하고 있는 모든 개인정보 이

용자 를 기술

수집 보유하고 있는 모든 개인정보 내

외부자 를 기술

개인정보 분류기준신청기관에서 수집하고 있는 개인정보 항목을 분류한 기준을 서술 중요도 등급 또

는 용도 등

개인정보취급자 선정기준

개인정보취급자를 선정하는 기준 및 이 기준에 따라 개인정보취급자를 식별하는 방법

개인정보 수집 경로 항목 및 수량

수집경로(온라인/오프라인)

개인정보 수집항목수량

필수항목 선택항목

회원가입 온라인 성명 성별 생년월일 전화번호 주소 만

멤버쉽카드신청

온라인 오프라인성명 주소 만

입사 오프라인 성명 주소 성별 주민번호

개인정보 흐름도 전체 서비스 흐름도

유형 소상공인 제외

개인정보 취급 업무별 흐름도는 심사 시 제출

서비스 전체 개인정보 흐름도 작성 예시

서비스 중 특정 업무의 개인정보 흐름도 업무별 흐름분석 작성 예시

I 개인

정보

보호

관리

체계

(PIM

S) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

NO 부서명 부서역할 개인정보처리업무(목적포함) 인력

1 인사팀 조직 인사관리 입사 퇴사자 관리 및 임직원 임금 지급 등 명

2 감사실

3 개인정보보호팀

4 네트워크관리팀

합 계 명

조직의 범위 및 개인정보취급부서

외부위탁 업무 현황

개인정보 취급 수탁사 현황

NO 수탁사명 개인정보처리업무(목적포함) 개인정보 제공 형태 및 방법 개인정보취급자수 상주여부

1 ㈜한국고객 문의 및 응대(고객센터)

파일형태

실시간 파일전송시스템

또는 이메일 등

명

2 물품배송(물류센터)

3

4

합 계 명

300명

개인정보 취급자수 신청기관의 연계된 개인정보 전송시스템 등의 접근권한을 갖거나 관련 개인정보취급

업무를 수행하는 자

적용서비스

구분 자산명 수량 용도 자산위치 관리부서

원격교육서비스

네트워크

보안

서버 보안

보안

사용자 보안 문서보안본사 층

전산실정보보안팀

그 외 수탁사 현황

수탁사명 수탁업무 상세 업무내용 정보처리자수 상주여부

1 정보시스템 개발

2 정보시스템 유지보수

3 서버운영

4 NW운영

합 계 명

주요 시스템 운영 현황

개인정보처리시스템

구분자산명

(URL‧어플리케이션 포함)주요기능

(선정기준 등 포함)소유부서 수량

회원 회원정보를 처리 및 저장 회원서비스팀

어플리케이션

계정관리시스템 사이트 운영을 위해 회원정보를 처리

회원관리패이지

쇼핑몰관리페이지

관리자페이지

파일시스템

상담녹취시스템

정보보호시스템 솔루션 운영 현황 분류하되 요약 작성

인증범위에 연관되는 정보시스템 인프라 인원에 대한 보안을 목적으로 운영되는 정보자산을 요약하여 기술

I 개인

정보

보호

관리

체계

(PIM

S) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

사업장명 위치 관련부서 수행업무 상주인력

서울 가락본동 대동빌딩 명

서비스 구분 자산명 수량 용도 자산위치 관리부서

서버통합 홈페이지 웹서버

네트워크

적용서비스

구분 자산명 수량 용도 자산위치 관리부서

서비스어플

리케이션

보안보안관제

기타 정보처리시스템 분류하되 요약 작성

위에서 명시한 개인정보처리시스템을 제외한 인증범위에 해당하는 정보자산을 요약하여 기술

구분은 신청기관의 자산 분류기준에 따른 자산 유형과 일치해야 함

전체 조직 및 시스템 중 인증범위에 제외한 부서 시스템 목록 및 사유

구분 부서명(시스템구분) 대상 제외 사유 규모

부서(인력)팀 명

서비스서버 대

물리적 범위 위부수탁사 포함

□ 시스템 및 네트워크 구성도

개인정보처리시스템과 중요 정보보호시스템이 표현될 수 있도록 표기함 필요시 인증범위 표시

< 작성 요령 >※ 인증범위 서비스를 운영하는 시스템을 중심으로 시스템 구성도 제출 시 아래 항목 포함

o DB 서버, 웹서버, 로그 모니터링 시스템 등

o IDC 및 물리적으로 구분된 경우, 해당 사항을 명시

o 시스템간의 네트워크 연결을 명시

※ 인증범위 서비스를 연결하는 네트워크 구성도 제출 시 아래 항목 포함

o 네트워크 장비(예. 라우터, 스위치 등)

o 정보보호 관련 장비 (예. 방화벽, 침입탐지시스템, 침입방지시스템 등)

o DMZ 구역, VPN 구간 등 (해당시)

I 개인

정보

보호

관리

체계

(PIM

S) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

구분 자산내역 장비대 수

신규도입

서버 대

네트워크

용도변경

폐기

□ 개인정보보호 관리체계 인증범위 내 환경변화

※ 사후/갱신심사 필수 작성, 최초심사의 경우 관련내용이 있는 경우에만 작성

조직 구성원 환경 변화

전년대비 구성원 수 변경 현황 기술

개인정보관리 보호 책임자 개인정보보호 책임자 담당자 등의 변경 사항 기술

조직구성 개인정보취급자 변경 사항 기술

정책 지침 개정 현황

주요 개정내용 및 개정배경 등 기술

개인정보보호책임자 개인정보보호 책임자 담당자 등에 대한 전년도 대비 변경 현황 기술

주요 자산 변경 현황 신규도입 용도변경 폐기

개인정보처리시스템 및 관련 주요 정보통신설비 개인정보처리 관련 정보자산 포함 신규도입 용도변경

폐기된 범위 내 자산 현황 기술

시스템 개발 환경변화 신규개발 등에 관한 변경사항

시스템 환경 변경 등

개발 환경에 대한 변화 신규 시스템 개발 전년도 개발 종료 등

정보보호 솔루션 시스템 도입 폐기 등 정보보호시스템 솔루션에 대한 변화

네트워크 환경변화

네트워크 구성 변경 사항에 대한 기술

물리적 환경변화

사무실 전산실 등의 물리적인 위치 변경 사항 기술

외주용역 환경변화

신규용역 용역해지 개인정보 위탁업체 등 포함 등의 변경 사항 기술

주요 활동 주기담당자

(부서/성함)실시유무

(O/X)최근 실시

개인정보보호정책수립 회 년 홍길동 개인정보관리팀 월

백업훈련 회 년 홍길동 개인정보관리팀 월

개인정보보호 관리체계 수립‧운영 방법 및 절차

□ 개인정보‧정보보호 규모 및 체계

개인정보 정보보호 인력 및 예산 규모 인증범위외 조직 및 비용 포함

개인정보 정보보호 인력 현황

개인정보보호와 정보보호 인력의 구분이 불가능하면 통합하여 기술단위 명

회사內 전체 인력 IT 인력 정보보호 인력 개인정보보호 전담인력

명 명 명 명

개인정보 정보보호 예산

개인정보보호와 정보보호 예산의 구분이 불가능하면 통합하여 기술비중 으로만 입력 금액으로 작성하지 말 것

단위

전체예산 대비 IT 예산 IT예산 대비 정보보호 예산 IT예산 대비 개인정보보호 예산

홈페이지 등을 통한 정보보호 활동 내역 공개 여부

□ 개인정보보호 관리체계 운영현황

주요 개인정보보호 활동 목록 구축 운영 순서대로 작성

< 작성 요령 >

※ 개인정보보호 관리체계를 지속적으로 운영하기 위해서 주기적 또는 상시적으로 수행하는 개인정보보호‧정보보호 활동을 목록화하여 기재(주기, 담당자, 실시유무 등)

I 개인

정보

보호

관리

체계

(PIM

S) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

개월 이상 구축 운영 증빙자료

※ 증빙할 수 있는 승인문서, 계약서, 구축운영 내용 등의 스캔 이미지 첨부

※ 문서명, 기관명, 주요내용 등을 포함

< 작성 요령 >

※ 인증신청 2개월 전 운영날짜가 확인 가능한 관리적, 기술적 항목에 대한 운영증적(산출물) 1건씩 첨부 예)정보보호정책 또는 위험평가 승인문서, 백업정책 승인 문서 등

□ 위험 관리

개인정보 자산분류 기준

자산을 분류한 유형을 기재 예 서버 네트워크 시설 인력 등

개인정보 관련 자산 중요도 산정방법

자산 중요도 산정기준 자산 등급 선정 계산방법 등을 기재 자산 중요도 산정기준은 자산분류별로 상

이할 수 있음

위험평가 방법론

관리적 기술적 법적 위험 식별 방법

구분 방법 산출물

관리적 위험 예 베이스라인 접근법 체크리스트 예 분석결과

기술적 위험 예 상세위험분석 방법

법적 위험 예 베이스라인 접근 체크리스트

위험평가를 위한 위험도 산정기준

수용 가능한 위험수준 선정 방법

위험수준 의 선정기준 승인자 최종 결재자 등 등 기술

위험관리 계획

위험관리를 수행하기 위하여 인력 구성 기간 단계별 구분 대상 방법 예산 등을 구체화하여 기재

□ 기술적 취약점 점검

취약점 점검 대상 선정방법 및 그 사유

정보자산 중 취약점 점검으로 선정한 방법 및 그 사유를 기재

취약점 점검 현황

기간(○.○월~○월)

대상 서비스 대상 자산 및 규모 점검툴취약점건수(점검시)

잔여취약점(현재)

개월월 월

웹서비스

서버 대 건 건네트워크장비 대 건 건보안장비 대 건 건

대 건 건대 건 건

< 작성 時 주요 착안사항 >※ 최근 3년간 외부 정보보호 컨설팅업체를 통하여 취약점 점검을 받은 내용을 기재※ 취약점 발견 건수 : 취약점 점검 당시 발견된 취약점 건수※ 잔여 취약점(현재) : 당시 발견한 취약점이 보완되지 않고 남아 있는 건수

I 개인

정보

보호

관리

체계

(PIM

S) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

□ PIMS 구축·운영 관련 외부업체 현황(최근 3년간)

※ PIMS를 구축‧운영하기 위해 외부업체로부터 관련자문, 기술지원 등을 받은 현황을 모두 기재(PIMS 인증

범위에 포함되어 있는 외주업체 포함)

※ PIMS 신청기관과 이해관계가 없는 심사원을 선정하기 위함이며, 신청기관이 이해관계가 있는 업체 현황을

기재하지 않을 경우 인증심사에 차질이 발생할 수 있음

분류 외부업체명 기간 내용

구축 컨설팅

보안취약점 점검

보안관제

시스템유지보수

출입관리 및 경비

시스템 개발

□ 기업이 준수해야 할 법적 요구사항 현황

구분 관련 법적 요구사항 비 고

예 데이터센터 운영 서비스

예 정보통신망법 제 조 제 조

예 집적정보 통신시설 보호지침

< 작성 時 주요 착안사항 >※ 국내・외 법규에 의거하여 신청기관이 의무로 시행하는 서비스를 기재

□ 내부감사 이력

No.기간

(년.월.일~월.일)

수행 인력

감사결과 및 조치사항 증빙자료부서 (또는 외주업체명)

성명 수행업무

개월 감사팀 홍길동 시스템개발 보안 점검

년 상반기 감사보고서

년 상반기 감사결과

보완조치 결과보고서

보안관리팀 아무개 보안취약점 점검

I 개인

정보

보호

관리

체계

(PIM

S) 인

증제

도Ⅱ

개인

정보

보호

관리

체계

(PIM

S) 인

증 절

차부

록 개

인정

보보

호 관

리체

계 인

증신

청 가

이드

라인

v3.0

구분 문 서 명관리

번호주요 내용

제개정 주체

(부서/성명)

정책

정보보호정책

개인정보보호정책

지침

개인 정보보호조직관리지침

자산분류 및 관리지침

정보보호정책관리지침

서버보안관리지침

보안관리지침

사업연속성계획관리지침

아웃소싱보안지침

절차

보안성검토절차

문서보안관리절차

침해사고대응절차

서버보안관리절차

보안관리절차

백업관리절차

암호관리절차

기록

및

로그

임직원 보안서약서

출입 관리대장

정보보호 대책 명세서

Ⅳ 개인정보보호 관리체계 관련 주요 문서 목록

※ 신청기관이 보유한 개인정보보호 관리체계 관련 문서 및 기록을 최대한 기재

※ 위 표 “문서 명”은 단지 예시이며 해당 문서 명으로 존재해야 한다는 의미는 아님

Ⅴ 국내외 품질경영체제 인증서 취득 명세

인증서명 인증기관 인증범위 유효기간

PIMS 인증제도 안내서 | 제도운영편

인 쇄 2017년 4월 인쇄

발 행 2017년 4월 발행

발행처 한국인터넷진흥원

05717 서울시 송파구 중대로 135(가락동 78) IT벤처타워 TEL. 405-5118 / FAX. 405-5119 / www.kisa.or.kr

제 작 호정씨앤피(02-2277-4718)

<비매품>