BS10012인증지원컨설팅

개인정보경영시스템(BS10012) 소개
(주)케이씨에이는 고객의 개인정보경영시스템(BS10012) 인증 취득을 위하여 그 동안 쌓아온 KCA의 정보보안 컨설팅 노하우를 바탕으로 개인정보보호 관련 법령과 BS10012 프레임워크 절차에 따라 계획, 구축과 운영, 모니터링과 검토, 개선의 절차를 사전에 철저히 분석하고 평가하여 인증 취득을 위한 완벽한 대책 및 개선책을 제시하여 드립니다.
개인정보경영시스템(BS10012) 개요
· BS10012는 개인정보보호를 위한 유일한 글로벌 표준으로 EU 개인정보보호 지침, OECD 개인정보보호 8원칙, Data Protection Act of UK, Global Best Practice 등을 기반으로 2009년 영국표준협회(BSI : British Standards Institution)가 제정한 Personal Information Management System(PIMS)입니다.
· BS 10012는 조직에 중대한 영향을 미칠 수 있는 개인정보 관련 사고의 발생가능성을 감소시키고, 개인정보를 다루는 조직 내외의 모든 활동에 대해서 철저한 검증을 거칠 수 있는 프레임워크를 제공하며, 개인정보 관리체계의 수립, 개인정보관리체계의 이행과 운영, 개인정보관리활동에 대한 감사활동 및 경영검토 등 총 6개 분야의 모든 세부 항목들을 만족시켜야만 부여되는 개인정보관리 및 보호 분야 최고 권위의 인증 제도로 조직의 규모, 민간, 공공부분에 모두 적용될 수 있습니다.
BS10012 인증 프레임워크
BS10012는 ‘6개 Domain - 49개 Requirement’로 구성되어 있으며, 각 requirement 내에는 개인정보의 안전하고 적법한 보호를 위해 필요한 Global Best Practice에 기반한 세부 요구사항들이 포함되어 있습니다.
BS10012 Domain & Requirement
도메인 내용
계획
(Planning for a PIMS)
· 개인정보보호 관련 법규와 기준 준수를 위한 방향 수립과 지원 체계를 제공하는 개인정보경영시스템(PIMS)의 이행을 위한 계획 단계
· 범위 및 요구사항 정의, 조직의 목적과 의무, 위험의 수용 가능한 수준, 법적, 규제적, 계약적 의무와 이해관계자의 관심, 개인정보보호 정책
구축과 운영
(Implementing and operating the PIMS)
· 조직이 글로벌 수준의 최선의 실천사례에 부합한다는 것을 궁극적으로 보장하는 개인정보경영시스템의 구축과 운영을 위한 실행 단계
· 개인정보 책임자 지정 및 역할 정의, 개인정보의 범주이해, 개인정보의 사용 목적, 수집 경로, 폐기 방법, 교육 훈련, 위험관리, 개인정보보호 관련 법규와 기준에 대한 준수와 유지, 개인정보의 보유 기준과 폐기 절차, 개인정보 공여자의 권리, 기술적 보안 통제, 제3자 공개 절차
모니터링과 검토
(Monitoring and reviewing the PIMS)
· 개인정보경영시스템의 효과성과 효율성이 모니터링 되고 검토되는 것을 보장하기 위한 단계
· 개인정보 정책과 수립된 절차에 따른 운영, 기술적 요구사항들에 따른 이행 및 유지
개선
(Improving the PIMS)
· 예방조치와 시정조치를 통하여 개인정보경영시스템의 효과성과 효율성을 개선하는 단계
· 내부감사와 예방 및 시정조치, 경영검토 등을 통한 개인정보경영시스템의 지속적 개선

Domain Requirement
1. Scope -
2. Terms and definitions -
3. Planning for PIMS 3.1 Establishing and managing the PIMS
3.2 Scope and objectives the PIMS
3.3 Personal information management policy
3.4 Policy content
3.5 Responsibility and accountability
3.6 Provision of resources
3.7 Embedding the PIMS in the organization's culture
4. Implementing and operating the PIMS 4.1 Key appointments 4.1.1 Senior management
4.1.2 Day-to-Day responsibility
4.1.3 Data protection representatives
4.2 Identifying and recording uses of personal information 4.2.1 General
4.2.2 High risk personal information
4.3 Traning and awareness
4.4 Risk assessment
4.5 Keeping PIMS up-to-data
4.6 Notification
4.7 Fair and lawful processing 4.7.1 Collection and processing of personal information
4.7.2 Record of privacy notices and statements
4.7.3 Timing of privacy notices and statements
4.7.4 Accessibility of privacy notices and statements
4.7.5 Third parties
4.8 Processing personal information for specified process 4.8.1 Grounds for processing
4.8.2 Consent to new purpose
4.8.3 Data sharing
4.8.4 Data matching
4.9 Adequate, relevant and not excessive 4.9.1 Adequacy
4.9.2 Relevant and not excessive
4.10 Accuracy
4.11 Retention and disposal
4.12 individuals' rights 4.12.1 Rights of individuals
4.12.2 Complaints and appeals
4.13 Security Issues 4.13.1 Security controls
4.13.2 Storage and handling
4.13.3 Transmission
4.13.4 Access controls
4.13.5 Security assessments
4.13.6 Managing security incidents
4.14 Transfer of personal information ouside the nation
4.15 Disclosure to third parties
4.16 Sub-contracted processing
4.17 Maintenance
5. Monitoring and reviewing the PIMS 5.1 Internal audit 5.1.1 Audit planning
5.1.2 Selection of auditors
5.1.3 Audit requirements
5.2 Management review
6. Improving the PIMS 6.1 Preventive and corrective actions 6.1.1 General
6.1.2 Preventive actions
6.1.3 Corrective actions
6.2 Continual improvement
BS10012 PDCA Framework
BS10012는 조직의 Personal Information Management System(PIMS)에 BS10012 requirements가 효과적으로 반영되어 지속적으로 관리되고 있는지 확인하기 위해 아래의 PDCA(Plan-Do-Check-Act) Framework를 적용하였습니다.

BS10012 인증 심사
BS10012의 인증심사는 산출물 등에 대한 준비가 완료되면, 영국표준협회(BSI)에서 인증서 발급을 위한 최초 심사(Initial Assessment)를 진행하게 되며, 최초 심사의 경우 Stage-1과 Stage-2로 구분하여 심사가 진행됩니다.
단계 내용
Stage 1 Documentation Review라고 하며 BS10012에서 요구하는 문서들이 준비되었고, 요구하는 활동들이 문서화 되었는지 등이 검토된다.
Stage 2 Implementation Assessment라고 하며, 수립된 Personal Information Management System(PIMS)의 효과성과 개인정보 보호를 위한 policy, guide, process, procedure 등이 업무 프로세스에 반영되어 운영되고 있는지, 그리고 적용되는 법률과 규제를 준수하고 있는지 조직 전체를 대상으로 직접 확인하게 된다.
BS10012 인증 심사종류
위의 Stage 1, Stage 2 심사를 통과하게 되면 BS10012 인증서가 발행되고, 이렇게 발행된 인증서는 3년의 유효기간을 갖게 되며, 최초 심사를 통과해 인증서를 발급 받은 후에는 사후심사와 갱신심사를 진행하게 됩니다.
단계 내용
최초심사
(Initial Assessment)
신청기관이 처음으로 인증을 신청할 때 실시하는 심사 Stage 1, Stage 2
사후심사
(Continual Assessment)
최초 심사를 통과해 인증서를 발급 받은 후 유효기간이 만료되기 전 일정 주기마다 BS10012 requirements에 부합되도록 Personal Information Management System(PIMS)이 지속적으로 운영되고 있는지를 여부를 확인하는 심사
갱신심사
(Renewal Assessment)
유효기간이 도래하는 시점에 인증서 유효기간의 연장을 위해 심사하는 Stage 2와 유사한 수준의 심사
BS10012 인증 획득 및 유지 조건
BS10012의 requirements를 기반으로 조직의 Personal Information Management System(PIMS)을 수립 및 운영하고 있다면, 이를 기반으로 BS10012 인증을 획득할 수 있습니다.
BS10012 인증 기대효과
조직에 중대한 영향을 미칠 수 있는 개인정보 관련 사고의 발생가능성을 감소시키고, 개인정보를 다루는 조직 내외의 모든 활동에 대해서 철저한 검증을 거칠 수 있는 체계적 프레임워크를 제공하며, 개인정보경영시스템의 지속적 개선이 이루어집니다. 또한 개인정보관리를 위한 기본 체계 및 신뢰성을 제공하고, DPA 컴플라이언스에 대한 평가를 위해 내부 및 외부 평가가 효과적으로 이루어질 수 있게 됩니다.
K-BS10012 인증지원컨설팅

K-BS10012 인증지원컨설팅 개요
K-BS10012는 KCA의 보안컨설팅 노하우를 바탕으로 BS10012 인증심사 프레임워크에 따라 기관의 개인정보 처리업무 환경을 분석하여 최적의 개인정보경영시스템 인증 취득 전략 및 변경, 유지관리 전략을 수립하여 드리는 KCA만의 컨설팅 방법론입니다.
K-BS10012 인증지원컨설팅 수행범위 및 목표
개인정보경영시스템 종합 진단을 통한 BS10012 인증 취득은 물론 향후 개인정보보호 수준의 지속적 유지 및 개선이 가능한 효율적 개인정보보호 관리체계 구축으로 기관의 개인정보보호역량 강화가 목표입니다.

K-BS10012 인증지원컨설팅 수행절차
K-BS10012 인증지원 컨설팅은 고객 개인정보경영시스템의 환경 분석 및 범위 결정에서부터 개인정보 현황분석, 평가 PIMS 설계, 이행 및 인증까지 완벽한 컨설팅 프로세스에 의하여 수행됩니다.
K-BS10012 인증 준비 프로세스

K-BS10012 인증 준비 산출물
K-BS10012 인증을 위한 준비 과정을 마치면 BS10012에서 필수적으로 요구하고 있는 다음의 산출물 등을 얻을 수 있습니다.
문서 설명
Scope Definition PIMS 범위와 목적, 적용 법률, 이해관계자 등의 식별 등
Personal information management policy BS10012에서 요구하는 policy contents
PIMS awareness process 교육계획, 적격성, 교육 이행 증적 등
Management Review 개인정보보호에 대한 경영검토 기록 등
Personal Information Category & Flow Scope 내의 개인정보 카테고리 목록과 개인정보 흐름도 등
Risk assessment 위험평가 방법론, 위험 식별 및 평가와 조치계획 등
Internal Audit 내부감사 계획, 결과 및 시정조치 활동 등
Review of Privacy Art 적용되는 법률과 규제의 식별
Record of personal information security activities 개인정보 보호를 위한 policy, guide, process, procedure 등의 이행 증적 등
K-BS10012 인증지원컨설팅 기대효과