Day 34: 개인정보 영향평가 (PIA)
1. 개인정보 영향평가의 개요
1.1 개인정보 영향평가(PIA)란?
정식 명칭 : Privacy Impact Assessment (PIA)
정의 : 개인정보를 대량으로 처리 하거나 새로운 시스템을 구축 할 때, 개인정보 침해 위험을 사전에 분석·평가 하여 위험을 감소 시키는 제도
“이 시스템/서비스가 개인정보 침해 위험이 있나?“를 미리 점검하는 사전 예방 제도입니다.
[PIA 의무 대상 예시]
- 사례 1 : 은행이 신용카드 시스템 구축 → 100만명 카드번호(고유식별정보) 처리 → PIA 의무 대상
- 사례 2 : 병원이 전자의무기록 시스템 도입 → 10만명 건강정보(민감정보) 처리 → PIA 의무 대상
- 사례 3 : 쇼핑몰 회원 5천명 → 일반 개인정보만 처리 → PIA 의무 아님 (자율)
1.2 도입 배경
2011년 개인정보보호법 제정 : PIA 제도 최초 도입, 개인정보 침해 사전 예방
2014년 카드사 개인정보 유출
- 1억건 유출 대형 사고
- 사후 대응의 한계 입증
- 사전 예방 중요성 부각
1.3 목적
제33조 (개인정보 영향평가)
“개인정보파일의 운용으로 인하여 정보주체의 개인정보 침해가 우려되는 경우에는 그 위험요인의 분석 과 개선 사항 도출 을 위한 평가를 하여야 한다”
핵심
- 위험 요인 사전 발견
- 개선 방안 마련
- 개인정보 침해 예방
1.4 영향평가 vs 인증
| 구분 | 개인정보 영향평가 (PIA) | ISMS-P 인증 |
|---|---|---|
| 목적 | 특정 시스템 위험 평가 | 전사 관리체계 평가 |
| 시점 | 구축 전 또는 변경 시 | 운영 중 |
| 대상 | 5만명 이상 민감정보 등 | 일정 규모 이상 정보통신서비스 제공자 |
| 평가 기관 | KISA 또는 전문기관 | KISA |
| 결과 | 개선 권고 | 인증서 발급 |
| 유효 기간 | 없음 (1회성) | 3년 |
2. 법적 근거
2.1 개인정보보호법 제33조
제1항 (평가 의무)
공공기관의 장은 다음 각 호에 해당하는 경우 위험요인 분석과 개선 사항 도출을 위한 영향평가를 하고 그 결과를 보호위원회 에 제출하여야 합니다.
- 1호 : 5만명 이상의 정보주체에 관한 민감정보 또는 고유식별정보의 처리가 수반되는 개인정보파일의 구축·운용 또는 변경
- 2호 : 개인정보의 국외 이전이 수반되는 개인정보파일의 구축·운용 또는 변경
- 3호 : 이미 구축·운용 중인 개인정보파일을 공공기관 외의 자와 공동으로 이용하려는 경우
- 4호 : 그 밖에 구축·운용 또는 변경으로 인하여 정보주체의 권리를 현저히 침해할 우려가 있는 경우
제2항 (평가 기관)
영향평가는 개인정보보호위원회가 지정하는 기관 이 해야 하며, 공공기관이 전문 인력 등 요건을 갖춘 경우에는 직접 평가 가 가능합니다.
제3항 (결과 제출)
영향평가를 한 공공기관의 장은 결과를 보호위원회 에 제출해야 합니다.
2.2 시행령 제35조 (평가 대상)
5만명 기준 (제1항)
- 1호 : 연간 5만명 이상의 민감정보
- 2호 : 연간 50만명 이상의 주민등록번호
- 3호 : 연간 5만명 이상의 주민등록번호 외 고유식별정보 (여권번호, 운전면허번호, 외국인등록번호)
국외 이전 기준 (제2항)
- 연간 1만명 이상의 개인정보를 국외 이전하는 경우
2.3 시행령 제36조 (평가 기관)
지정 기관
- 한국인터넷진흥원 (KISA)
- 개인정보보호위원회가 지정하는 전문기관 (약 30여개)
자체 평가 가능 요건
- 개인정보 보호 전담 조직 (3명 이상)
- 개인정보 보호 책임자 (CISO)
- 개인정보 보호 관련 인증 (ISMS-P, ISO 27701 등)
2.4 시행령 제37조 (필수 평가 항목)
- 처리하는 개인정보의 종류 및 규모
- 개인정보의 처리 및 보유 기간
- 개인정보의 처리 흐름 및 처리 현황
- 개인정보 보호 조치의 적정성
- 개인정보파일에 대한 접근통제 및 접근권한 관리
- 그 밖에 개인정보 보호를 위하여 필요한 사항
3. 평가 대상 (중요!)
3.1 대상 판단 기준
[PIA 의무 판단 흐름]
- Q1. 공공기관인가? → NO : 의무 없음 (자율 수행 가능)
- Q1. 공공기관인가? → YES : 다음 질문으로
- Q2. 아래 중 해당하는가?
- ① 5만명 이상 민감정보
- ② 50만명 이상 주민등록번호
- ③ 5만명 이상 기타 고유식별정보
- ④ 1만명 이상 국외 이전
- ⑤ 공공기관 외 공동 이용
- Q2. 해당 없음 → 의무 없음
- Q2. 해당 있음 → PIA 의무
3.2 대상 상세
(1) 5만명 이상 민감정보
민감정보 (개인정보보호법 제23조)
- 사상·신념, 노동조합·정당 가입·탈퇴, 정치적 견해
- 건강, 성생활 등
- 유전정보, 바이오정보
- 범죄 경력
기준 : 연간 5만명 이상 (누적 아님)
[예시]
- (O) 병원이 전자의무기록(EMR) 시스템 구축 → 연간 10만명 건강정보 처리 → PIA 의무
- (O) 보험회사가 건강보험 시스템 구축 → 연간 8만명 건강정보 처리 → PIA 의무
- (X) 헬스장 회원 관리 시스템 → 연간 3만명 (5만명 미만) → PIA 의무 아님
(2) 50만명 이상 주민등록번호
기준 : 연간 50만명 이상 (주민등록번호만 해당, 다른 고유식별정보는 5만명)
[예시]
- (O) 통신사 고객 관리 시스템 → 연간 100만명 주민등록번호 처리 → PIA 의무
- (O) 은행 신규 뱅킹 시스템 → 연간 80만명 주민등록번호 처리 → PIA 의무
- (X) 중소 쇼핑몰 → 연간 20만명 주민등록번호 → PIA 의무 아님
(3) 5만명 이상 기타 고유식별정보
고유식별정보 (주민등록번호 제외)
- 여권번호
- 운전면허번호
- 외국인등록번호
[예시]
- (O) 렌터카 회사 예약 시스템 → 연간 8만명 운전면허번호 처리 → PIA 의무
- (O) 출입국 관리 시스템 → 연간 6만명 여권번호 처리 → PIA 의무
(4) 1만명 이상 국외 이전
기준 : 연간 1만명 이상 개인정보를 외국으로 이전
[예시]
- (O) 글로벌 SaaS 도입 (서버 미국) → 연간 3만명 개인정보 미국 이전 → PIA 의무
- (O) 해외 콜센터 위탁 (필리핀) → 연간 5만명 개인정보 필리핀 이전 → PIA 의무
- (X) 소규모 글로벌 서비스 → 연간 5천명 개인정보 국외 이전 → PIA 의무 아님
(5) 공공기관 외 공동 이용
대상 : 기존 운영 중인 개인정보파일을 민간과 공동 이용 시작
[예시]
- (O) 정부 부처가 민간 연구기관과 데이터 공동 이용 → PIA 의무
- (O) 공공기관이 민간 기업과 시스템 공동 운영 → PIA 의무
3.3 평가 시점
(1) 구축 전
시스템 구축 전 평가 권장 (설계 단계에서 위험 제거 가능, 구축 후 수정 비용 큼)
[타임라인]
- 요구사항 정의 → PIA 실시 → 설계 → 개발 → 테스트 → 오픈
(2) 변경 시
[재평가 필요한 경우]
- 개인정보 처리 인원 2배 증가 (5만 → 10만)
- 민감정보 항목 추가
- 처리 목적 변경
[재평가 불필요한 경우]
- UI 변경 (개인정보 흐름 동일)
- 소프트웨어 버전 업그레이드 (기능 동일)
3.4 민간 기업은?
원칙 : PIA 의무 없음
자율 : 자발적으로 수행 가능 (권장, 특히 대규모 개인정보 처리 시)
이유
- 개인정보 침해 위험 감소
- 대외 신뢰도 향상
- 사전 예방으로 사고 비용 절감
4. 평가 수행 기관
4.1 평가 기관 유형
(1) 한국인터넷진흥원 (KISA)
- 장점 : 공신력, 전문성
- 단점 : 비용 높음, 일정 오래 걸림
(2) 개인정보보호위원회 지정 전문기관
유형 : 보안 컨설팅 회사, 법무법인, 회계법인 (현재 약 30여개 기관 지정)
- 장점 : 비용 상대적 저렴, 일정 유연
- 단점 : 기관별 전문성 차이
지정 요건
- 개인정보 보호 전문 인력 5명 이상
- PIA 수행 경험
- 기술적 역량
(3) 자체 평가
요건
- 개인정보 보호 전담 조직 (3명 이상)
- 개인정보 보호 책임자 (CISO)
- 개인정보 보호 관련 인증 (ISMS-P 등)
- 장점 : 비용 절감, 일정 자유
- 단점 : 객관성·전문성 부족 가능 (대부분 외부 기관 위탁)
4.2 평가 기관 선정 고려 사항
- 평가 경험 (레퍼런스)
- 전문 인력
- 비용
- 일정
- 보고서 품질
추천 : 중소 공공기관은 전문기관, 대규모 공공기관은 KISA 또는 전문기관
5. 평가 절차
5.1 전체 프로세스
[PIA 전체 프로세스]
- 1단계 : 평가 계획 수립 (1주)
- 2단계 : 평가팀 구성 (1주)
- 3단계 : 평가 수행 (4~8주)
- 4단계 : 평가 결과서 작성 (2주)
- 5단계 : 개인정보보호위원회 제출
- 6단계 : 위원회 의견 청취
- 7단계 : 개선 조치
총 소요 기간 : 최소 2개월, 평균 3~4개월
5.2 1단계 : 평가 계획 수립
[평가 범위 설정 예시 - 병원 EMR 시스템]
- 평가 대상 시스템 : 전자의무기록(EMR) 시스템
- 대상 개인정보 : 이름, 주민등록번호, 연락처, 진료 기록 (민감정보), 처방 기록 (민감정보)
- 평가 기간 : 2024년 4월 ~ 6월
[평가 일정 예시]
- 4월 1주 : 평가 계획 수립
- 4월 2주 : 평가팀 구성
- 4월 3주 ~ 5월 4주 : 평가 수행 (현황 조사, 위험 분석, 개선 방안 도출)
- 6월 1~2주 : 보고서 작성
- 6월 3주 : 개인정보보호위원회 제출
평가 기관 선정 (RFP 발송 후 평가 기준)
- 전문성 (40%)
- 비용 (30%)
- 일정 (20%)
- 레퍼런스 (10%)
5.3 2단계 : 평가팀 구성
필수 인력
- PM (Project Manager) : 1명
- 평가 전문가 : 2~3명
- 기술 전문가 : 1~2명
[역할]
- PM : 전체 일정 관리, 고객사 커뮤니케이션, 보고서 총괄
- 평가 전문가 : 법률 검토, 위험 분석, 개선 방안 도출
- 기술 전문가 : 시스템 아키텍처 검토, 보안 기술 검토, 기술적 개선 방안
[킥오프 미팅 안건]
- 프로젝트 소개
- 평가 범위 확정
- 일정 확정
- 협조 사항
- 제출 자료 요청 (시스템 개요서, 개인정보 흐름도, 처리방침, 내부 관리계획, 보안 정책 등)
5.4 3단계 : 평가 수행
(1) 현황 조사
[개인정보 항목 파악]
- 필수 : 이름, 주민등록번호, 연락처, 주소
- 선택 : 이메일
- 민감정보 : 진료 기록, 처방 기록, 검사 결과
[개인정보 처리 현황]
- 개인정보 주체 수 : 연간 처리 10만명, 누적 50만명
- 수집 방법 : 온라인 (병원 홈페이지 예약), 오프라인 (접수창구), 제3자 제공 (건강보험공단)
- 이용 목적 : 진료, 예약 관리, 진료비 청구
- 보유 기간 : 진료 기록 10년 (의료법), 예약 기록 1년
- 제3자 제공 : 건강보험공단 (진료비 청구), 보험회사 (보험금 청구, 동의 시)
- 위탁 : 콜센터 (예약 상담), IT 운영사 (시스템 운영)
- 파기 : 보유 기간 경과 시 자동 파기
[시스템 현황]
- 아키텍처 : 웹 서버 - 애플리케이션 서버 - DB 서버
- 네트워크 : 인터넷 - 방화벽 - DMZ - 내부망
- 보안 시스템 : 방화벽, IPS, WAF, DB 암호화, 접근통제 시스템
- 백업 : 일일 백업, 별도 장소 보관
[보안 정책 현황]
- 접근 권한 관리 : 최소 권한 원칙, 분기 1회 검토
- 암호화 : 주민등록번호·건강정보 AES-256, 비밀번호 SHA-256, 전송 TLS 1.2
- 접속기록 : 모든 접속 기록, 2년 보관, 월 1회 점검
- 교육 : 연 2회, 전 직원 대상
(2) 개인정보 흐름도 작성
개인정보의 전체 생명주기(수집 → 이용 → 제공 → 위탁 → 파기)를 파악합니다.
[개인정보 흐름도 - 병원 EMR 시스템]
- 수집 : 환자 → 홈페이지 예약 → 웹 서버 → DB / 환자 → 접수 창구 → 접수 시스템 → DB
- 저장 : DB 서버 (암호화 AES-256)
- 이용 : 의사·간호사 → EMR 시스템 → DB (진료 기록 조회/입력)
- 제공 : DB → 건강보험공단 (진료비 청구) / DB → 보험회사 (환자 동의 시)
- 위탁 : DB → 콜센터 (예약 상담) / DB → IT 운영사 (시스템 운영)
- 파기 : 보유 기간 경과 → 자동 파기
(3) 위험 분석
각 단계별로 위험 요인을 식별하고 위험도를 산정합니다.
[위험도 산정 기준]
- 발생 가능성 : 높음 (3점), 중간 (2점), 낮음 (1점)
- 영향도 : 높음 (3점, 대량 유출·민감정보), 중간 (2점), 낮음 (1점)
- 위험도 = 발생 가능성 × 영향도
- 고위험 (7~9) : 즉시 조치 / 중위험 (4~6) : 계획 조치 / 저위험 (1~3) : 모니터링
[위험 목록 예시]
- 고위험 R001 : 주민등록번호 평문 전송 (3×3=9)
- 고위험 R002 : 관리자 계정 공용 사용 (3×3=9)
- 고위험 R003 : 백업본 미암호화 (3×3=9)
- 중위험 R004 : 접속기록 6개월 보관 (2×3=6)
- 중위험 R005 : 비밀번호 8자 (2×2=4)
- 저위험 R006 : 교육 미참석자 일부 (1×2=2)
(4) 개선 방안 도출
[위험별 개선 방안]
- R001 (주민등록번호 평문 전송) : HTTPS (TLS 1.2 이상) 적용 / 우선순위 : 긴급 / 일정 : 즉시
- R002 (관리자 계정 공용 사용) : 개인별 관리자 계정 부여 / 우선순위 : 긴급 / 일정 : 1개월
- R003 (백업본 미암호화) : 백업본 AES-256 암호화 / 우선순위 : 긴급 / 일정 : 1개월
- R004 (접속기록 6개월 보관) : 2년 보관 (법적 요구) / 우선순위 : 높음 / 일정 : 2개월
- R005 (비밀번호 8자) : 10자 이상으로 변경 / 우선순위 : 중간 / 일정 : 3개월
(5) 법적 검토
[개인정보보호법 준수 여부]
- 동의 (제15조, 제22조)
- 목적 명시 (제15조)
- 최소 수집 (제16조)
- 안전성 확보 (제29조)
- 위탁 공개 (제26조)
[의료법 및 안전성 확보조치 기준 준수 여부]
- 진료 기록 10년 보관 (의료법 제22조)
- 암호화 (안전성 확보조치 기준 제6조)
- 접속기록 보관 (제7조)
- 접근 권한 관리 (제5조)
5.5 4단계 : 평가 결과서 작성
[평가 결과서 구성 (평균 80~150페이지)]
- 제1장 평가 개요 : 평가 배경, 목적, 범위, 기간, 팀 구성
- 제2장 개인정보파일 개요 : 파일 명칭, 항목, 주체 수 (연간 10만명), 처리 목적, 보유 기간
- 제3장 개인정보 처리 현황 : 흐름도, 시스템 구조, 보안 시스템, 보호 조치
- 제4장 위험 분석 : 위험 식별, 위험 평가, 위험 목록 (총 15개 - 고위험 3, 중위험 7, 저위험 5)
- 제5장 개선 방안 : 기술적·관리적·물리적 개선 방안 및 일정
- 제6장 법적 검토 : 개인정보보호법, 의료법, 안전성 확보조치 기준 준수 여부
- 제7장 결론 및 권고 사항
5.6 5단계 : 개인정보보호위원회 제출
제출 서류 : 영향평가 결과서, 개인정보 흐름도, 개선 계획서
제출 방법 : 개인정보보호 종합포털 (https://www.privacy.go.kr)
[제출 절차]
- 1. 포털 접속
- 2. 로그인 (공인인증서)
- 3. PIA 메뉴
- 4. 결과서 업로드
- 5. 제출 완료
5.7 6단계 : 위원회 의견 청취
검토 기간 : 30일 이내 (복잡한 경우 60일까지 연장 가능)
[의견 유형]
- 적정 : 문제 없음, 그대로 진행 가능
- 개선 권고 : 일부 미흡 사항, 개선 후 진행 권장
- 재평가 요구 : 중대한 문제, 재평가 후 재제출
[의견서 예시]
- 평가 대상 : ○○병원 전자의무기록(EMR) 시스템
- 종합 의견 : 개선 권고
- 세부 의견 1 : 주민등록번호 전송 시 HTTPS 적용 필요 (긴급)
- 세부 의견 2 : 백업본 암호화 필요 (긴급)
- 세부 의견 3 : 접속기록 보관 기간 2년으로 연장 필요
- 위 사항 개선 후 시스템 오픈 권장
5.8 7단계 : 개선 조치
[개선 계획 예시]
- HTTPS 적용 : 2024년 7월
- 백업본 암호화 : 2024년 8월
- 접속기록 2년 보관 : 2024년 8월
이행 확인 : 완료 후 증빙 제출 (선택), 개선 완료 후 시스템 정식 오픈 가능
6. 평가 비용
6.1 비용 범위
- KISA : 3천만원 ~ 1억원
- 전문기관 : 2천만원 ~ 5천만원
변수 : 시스템 규모, 개인정보 규모, 복잡도, 일정
6.2 비용 산정 예시
[중소 규모]
- 시스템 : 회원 관리 시스템
- 규모 : 5만명 민감정보
- 기간 : 2개월
- 비용 : 2,500만원
[대규모]
- 시스템 : 통합 고객 관리 시스템
- 규모 : 100만명 주민등록번호
- 기간 : 4개월
- 비용 : 8,000만원
7. 평가 결과 공개
7.1 공개 의무
제33조제5항
“공공기관의 장은 영향평가 결과를 홈페이지 등에 공개 하여야 한다”
7.2 공개 내용
필수 공개 : 평가 대상 시스템, 평가 결과 요약, 위원회 의견
제외 : 보안상 민감한 내용, 기술적 상세 정보
[공개 예시]
- 평가 대상 : 전자의무기록(EMR) 시스템
- 평가 일시 : 2024년 4월 ~ 6월
- 평가 기관 : ㈜ABC컨설팅
- 총 15개 위험 식별 : 고위험 3개 개선 완료 / 중위험 7개 개선 계획 / 저위험 5개 모니터링
- 위원회 의견 : 개선 권고 → 권고 사항 모두 개선 완료
8. 실무 사례
사례 1 : 은행 신규 모바일 뱅킹
배경 : A은행이 신규 모바일 뱅킹 앱 출시, 연간 80만명 주민등록번호 처리
PIA 수행
- 평가 기관 : KISA
- 기간 : 3개월
- 비용 : 6,000만원
주요 발견
- 비밀번호 평문 전송 (HTTP)
- 생체인증 데이터 미암호화
- 로그 미보관
개선 및 결과
- HTTPS 적용, 생체인증 데이터 AES-256 암호화, 로그 2년 보관
- 위원회 의견 : 적정 → 개선 후 앱 출시
사례 2 : 병원 전자의무기록 (EMR)
배경 : B병원이 종이 차트 → EMR 전환, 연간 10만명 건강정보 처리
PIA 수행
- 평가 기관 : 전문 컨설팅 회사
- 기간 : 2개월
- 비용 : 2,800만원
주요 발견
- 백업본 미암호화, 퇴직자 계정 미삭제, 접속기록 6개월 보관
개선 및 결과
- 백업본 암호화, 퇴직 즉시 계정 삭제, 접속기록 2년 보관
- 위원회 의견 : 개선 권고 → 개선 완료 후 시스템 오픈
사례 3 : 정부 부처 데이터 통합
배경 : C부처가 여러 시스템 데이터 통합 후 민간 연구기관과 공동 이용
PIA 수행
- 평가 기관 : KISA
- 기간 : 4개월
- 비용 : 9,000만원
주요 발견
- 민간 기관 보안 수준 미흡, 데이터 이용 목적 불명확, 재제공 통제 미흡
개선 및 결과
- 민간 기관 보안 강화 요구, 이용 목적 명확히 정의, 재제공 금지 계약 조항 추가
- 위원회 의견 : 재평가 요구 → 재평가 후 승인
9. 컨설팅 회사의 PIA 업무
9.1 수행 업무
[사전]
- 고객사 PIA 대상 여부 판단 지원
- 평가 계획 수립 지원
[평가]
- 현황 조사
- 개인정보 흐름도 작성
- 위험 분석
- 개선 방안 도출
- 법적 검토
[보고서 및 사후]
- 평가 결과서 작성, 위원회 제출 대행
- 개선 이행 지원, 재평가 (필요 시)
9.2 필요 역량
- 법률 : 개인정보보호법 및 관련 법령
- 기술 : 시스템 아키텍처, 보안 기술 (암호화·접근통제 등), 네트워크 보안
- 문서 : 보고서 작성, 개인정보 흐름도 작성
- 커뮤니케이션 : 고객사 인터뷰, 위원회 대응
9.3 프로젝트 수행 팁
[사전 준비]
- 제출 자료 미리 요청
- 일정 여유 확보
[현황 조사]
- 담당자 인터뷰 꼼꼼히
- 시스템 직접 확인 (문서만 믿지 말기)
[위험 분석]
- 고객사 입장에서 실현 가능한 개선 방안 도출
[보고서 및 위원회 대응]
- 명확하게 작성, 증빙 자료 첨부, 검토 여러 번
- 질문 예상 및 답변 준비
10. 체크리스트
PIA 대상 여부 체크
[아래 중 하나라도 YES면 PIA 의무]
- 공공기관인가?
- 연간 5만명 이상 민감정보 처리?
- 연간 50만명 이상 주민등록번호 처리?
- 연간 5만명 이상 기타 고유식별정보 처리?
- 연간 1만명 이상 개인정보 국외 이전?
- 공공기관 외와 공동 이용?
PIA 수행 체크
[수행 단계별 완료 확인]
- 평가 기관 선정 완료
- 평가 계획 수립 완료
- 킥오프 미팅 완료
- 현황 조사 완료
- 개인정보 흐름도 작성 완료
- 위험 분석 완료
- 개선 방안 도출 완료
- 법적 검토 완료
- 평가 결과서 작성 완료
- 위원회 제출 완료
- 위원회 의견 수령
- 개선 조치 완료
- 결과 공개 완료
학습 정리
오늘 학습한 핵심 내용
- PIA : 개인정보 침해 위험 사전 예방 제도
- 법적 근거 : 개인정보보호법 제33조
- 대상 : 공공기관 + (5만명 민감정보 / 50만명 주민번호 / 5만명 기타 고유식별정보 / 1만명 국외 이전 / 공동 이용)
- 민간 기업 : 의무 아님 (자율)
- 평가 기관 : KISA 또는 전문기관 (약 30개)
- 평가 절차 : 계획 수립 → 팀 구성 → 평가 수행 → 보고서 작성 → 위원회 제출 → 의견 청취 → 개선 조치
- 평가 수행 : 현황 조사 → 개인정보 흐름도 → 위험 분석 → 개선 방안 도출 → 법적 검토
- 소요 기간 : 2~4개월
- 비용 : 2천만원 ~ 1억원
- 위원회 의견 : 적정, 개선 권고, 재평가 요구
- 결과 공개 의무 (공공기관)
- 보안 컨설팅 회사 핵심 업무 중 하나
- 필요 역량 : 법률, 기술, 문서, 커뮤니케이션
다음 학습 주제
Day 35: ISMS-P 인증 실무