KR20090000162A - 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템 및방법 - Google Patents

고객의 개인정보 보호를 위한 고객정보 영향평가 시스템 및방법 Download PDF

Info

Publication number
KR20090000162A
KR20090000162A KR1020070006469A KR20070006469A KR20090000162A KR 20090000162 A KR20090000162 A KR 20090000162A KR 1020070006469 A KR1020070006469 A KR 1020070006469A KR 20070006469 A KR20070006469 A KR 20070006469A KR 20090000162 A KR20090000162 A KR 20090000162A
Authority
KR
South Korea
Prior art keywords
information
customer
customer information
impact
project
Prior art date
Application number
KR1020070006469A
Other languages
English (en)
Inventor
김지희
강동석
박선호
박노철
김성훈
Original Assignee
에스케이 텔레콤주식회사
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 에스케이 텔레콤주식회사 filed Critical 에스케이 텔레콤주식회사
Priority to KR1020070006469A priority Critical patent/KR20090000162A/ko
Publication of KR20090000162A publication Critical patent/KR20090000162A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/04Forecasting or optimisation specially adapted for administrative or management purposes, e.g. linear programming or "cutting stock problem"

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Human Resources & Organizations (AREA)
  • Economics (AREA)
  • Strategic Management (AREA)
  • Marketing (AREA)
  • Game Theory and Decision Science (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Development Economics (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Tourism & Hospitality (AREA)
  • Physics & Mathematics (AREA)
  • General Business, Economics & Management (AREA)
  • General Physics & Mathematics (AREA)
  • Theoretical Computer Science (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

신규 사업 기획 시 고객정보의 수집/이용이 고객의 개인정보에 어떠한 영향을 미치는지에 대해 평가하여, 위협 요인을 도출하고, 대처방안을 수립 및 제공하는 고객정보 영향평가 시스템 및 방법을 제안한다.
본 발명의 고객정보 영향평가 시스템은 특정 사업/서비스 기획 과정에서 필요로 하는 고객 정보의 수집 및 이용이 고객의 개인정보에 미치는 영향을 평가하기 위한 고객정보 영향평가 시스템으로서, 고객정보 영향평가를 위한 기준 정보로서, 영향평가 점검표 및 취급대상 고객정보를 저장하며, 영향평가 수행이력 정보를 저장하는 데이터베이스와; 영향평가 대상 프로젝트에 대한 정보, 취급할 고객정보, 고객정보 취급현황 정보, 취급할 고객정보 별 상세분석을 위한 정보, 시스템 간 업무 분석을 위한 정보 중 적어도 하나 이상의 정보를 입력 받고, 상기 데이터베이스의 기준 정보를 이용하여 상기 입력된 정보를 기초로 점검항목을 결정하여 해당 점검항목으로 구성된 영향평가 점검표를 생성하며, 점검항목 별 권고대책을 포함하는 영향평가 결과 보고서를 제공하는 PIA 프로세스 모듈; 을 포함하여 구성됨에 기술적 특징이 있다.
PIA, 고객정보, 영향평가, 개인정보보호

Description

고객의 개인정보 보호를 위한 고객정보 영향평가 시스템 및 방법{System and Method of Privacy Impact Assessment for Protecting Customer's Privacy Information}
도 1은 본 발명을 설명하기 위한 프로젝트 개발 프로세스를 나타낸 도면,
도 2는 본 발명의 일 실시예에 따르는 고객정보 영향평가 시스템의 구성도,
도 3은 도 2의 PIA 프로세스 모듈의 구성도,
도 4는 본 발명의 일 실시예에 따르는 고객정보 영향평가 점검표의 부문/점검시점에 따른 점검항목 구분을 설명하기 위한 도면,
도 5는 본 발명의 일 실시예에 따르는 고객정보 영향평가 점검표의 고객정보 취급자에 따른 점검항목 구분을 설명하기 위한 도면,
도 6은 본 발명의 일 실시예에 따르는 위험도 및 보호수준 산출을 위한 고객정보 영향평가 등급을 설명하기 위한 도면,
도 7은 본 발명의 일 실시예에 따르는 위험도 및 보호수준 산출을 위한 서비스별 서비스 가중치 및 산정기준을 설명하기 위한 도면,
도 8은 본 발명의 일 실시예에 따르는 위험도 및 보호수준 산출 방안을 설명하기 위한 도면,
도 9는 본 발명의 일 실시예에 따르는 위험도 등급 및 보호수준 등급의 범위를 설명하기 위한 도면,
도 10은 본 발명의 일 실시예에 따르는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템의 동작 과정을 순차적으로 나타낸 흐름도,
도 11은 본 발명의 일 실시예에 따르는 영향평가 대상확인 과정을 설명하기 위한 도면,
도 12는 본 발명의 일 실시예에 따르는 영향평가 요청 과정을 설명하기 위한 도면,
도 13은 본 발명의 일 실시예에 따르는 영향평가 수행 과정을 설명하기 위한 도면,
도 14는 본 발명의 일 실시예에 따르는 이행계획 수립 과정 및 이행점검 과정을 설명하기 위한 도면,
도 15는 본 발명의 일 실시예에 따르는 정기점검 과정을 설명하기 위한 도면,
도 16은 본 발명의 일 실시예에 따르는 모니터링 과정을 설명하기 위한 도면이다.
< 도면의 주요 부분에 대한 부호의 설명 >
10 : 사용자 단말기
100 : 고객정보 영향평가 시스템(PIA 시스템)
110 : PIA 프로세스 모듈
111 : 영향평가 대상 판단부
112 : 현황 정보 획득부
113 : 영향평가 수행부
114 : 결과보고서 생성부
115 : 이행계획 수립부
116 : 이행 점검부
120 : 시스템 관리 모듈
130 : 데이터베이스
131 : PIA 이력 DB
132 : PIA 기준정보 DB
210 : 인사관리 DB
220 : 전자결재 시스템
230 : R&D 투자관리 시스템
240 : 보안진단관리 시스템
250 : 사내 인트라넷 시스템
본 발명은 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템 및 방법에 관한 것으로, 보다 자세하게는 신규 사업 기획 시 사업에 필요한 새로운 시스템의 도입이나, 기존 시스템의 변경, 이벤트/프로모션 혹은 고객정보의 수집/이용이 고객의 개인정보에 어떠한 영향을 미치는지에 대해 평가하여, 위협 요인을 도출하고, 대처방안을 수립 및 제공하는 고객정보 영향평가 시스템 및 방법에 관한 것이다.
최근 국가사회 정보화가 급속히 진전되고, 정부기관이 개인정보를 수집하고 활용하는 기회가 많아지면서 정부기관에 의한 개인의 프라이버시 침해 가능성도 급격히 증가함에 따라, 개인정보 유출 및 오용, 남용 방지를 위한 정부적 차원의 관련 법제화 추진이 진행되고 있으며, 더불어 기업적 차원의 개인정보 보호를 위한 다각도의 활동들이 전개되고 있다.
특히, 행정 정보의 공동이용 활성화로 개인정보의 공동이용 또한 급증함에 따라 대량의 개인정보를 보유하고 있는 기관에 의한 개인정보의 오용, 남용 및 정보 유출로 인한 개인의 프라이버시 침해 가능성으로 인해, 정보화 사업에 대한 일반 국민의 관심은 계속적으로 높아지고 있는 실정이며, 최근 정보통신부는 구체적인 예산을 책정해 발표하고 관련 토론회를 개최하는 등 본격적인 행보에 나서고 있다.
그러나, 기업적 차원에서는 아직까지 신규 사업의 기획 단계에서 사업의 성공을 위해 필요한 새로운 시스템의 도입이나 기존 시스템의 변경, 이벤트/프로모션 혹은 고객정보의 수집/이용이 고객의 개인정보에 어떠한 영향을 미칠 수 있는지에 대해서 철저히 고객의 개인정보 관점에서 영향도를 평가하여 고객정보에 대한 위협 요인을 도출하고, 그 위협에 대한 대처방안을 마련하는 사전적 의미의 대책 수립이 진행되지 못하고 있는 실정이다.
따라서, 본 발명은 상기와 같은 종래 기술의 제반 단점과 문제점을 해결하기 위한 것으로, 신규사업의 기획단계에서 사업에 필요한 시스템의 도입이나 기존 시스템의 변경, 이벤트/프로모션 혹은 고객정보의 수집/이용이 고객의 개인정보에 미치는 영향을 평가할 수 있도록 하는 절차 및 시스템을 제안하여, 사전적, 적극적 의미의 고객정보 보호를 실천하여 안전한 고객 서비스를 보장하고, 고객의 만족도를 높임과 동시에 고객 가치를 높이는데 기여할 수 있도록 함에 목적이 있다.
또한, 본 발명은 정보 시스템의 구축 및 운영에 있어서의 시행착오를 예방하고, 효과적인 고객정보 보호방안을 수립할 수 있도록 지원하여 기업의 고객정보 관리에 관한 신뢰성 증대에 기여할 수 있도록 하며, 고객정보 침해 등의 역기능으로 인한 재투자 등 불필요한 비용 투자를 사전에 방지할 수 있도록 함에 또 다른 목적이 있다.
아울러, 본 발명은 신규 사업 또는 서비스의 유형, 서비스에서 취급하는 고객정보에 대한 특성 분석 결과, 고객정보 취급자의 유형, 시스템의 구성 분석 결과를 토대로 고객정보에 미치는 영향을 분석하여 사업의 기획단계에서 보안 수준 결정, 세부 고객정보 침해 요인 도출, 침해 요인별 보안대책 도출을 통해 구체적인 적용 권고 방안을 제시하는 고객정보 영향평가를 수행함에 목적이 있다.
또한, 본 발명은 영향평가 결과를 토대로 개선 계획의 수립을 지원하여 수립된 개선 계획이 시스템 구축, 변경시 혹은, 이벤트/프로모션 시 반영되도록 하고, 계획이 이행되었는지의 여부를 이행점검과정에서의 고객정보 영향평가를 통해 서비스 개시 이전에 최종 보안수준 등을 산출하여 줌으로써, 보안의 수준을 높여 안정적이고 신뢰할 수 있는 서비스를 제공할 수 있도록 하는 것을 목적으로 한다.
본 발명의 상기 목적은 특정 사업/서비스 기획 과정에서 필요로 하는 고객 정보의 수집 및 이용이 고객의 개인정보에 미치는 영향을 평가하기 위한 고객정보 영향평가 시스템으로서, 고객정보 영향평가를 위한 기준 정보로서, 영향평가 점검표 및 취급대상 고객정보를 저장하며, 영향평가 수행이력 정보를 저장하는 데이터베이스와; 영향평가 대상 프로젝트에 대한 정보, 취급할 고객정보, 고객정보 취급현황 정보, 취급할 고객정보 별 상세분석을 위한 정보, 시스템 간 업무 분석을 위한 정보 중 적어도 하나 이상의 정보를 입력 받고, 상기 데이터베이스의 기준 정보를 이용하여 상기 입력된 정보를 기초로 점검항목을 결정하여 해당 점검항목으로 구성된 영향평가 점검표를 생성하며, 점검항목 별 권고대책을 포함하는 영향평가 결과 보고서를 제공하는 PIA 프로세스 모듈; 을 포함하는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템에 의해 달성된다.
또한, 본 발명의 상기 목적은 특정 사업/서비스 기획 과정에서 필요로 하는 고객 정보의 수집 및 이용이 고객의 개인정보에 미치는 영향을 평가하기 위한 고객정보 영향평가 방법으로서, 고객정보 영향평가 대상 여부를 확인하기 위하여, 수집/이용할 고객정보를 체크하도록 하는 제1단계와; 상기 체크된 고객정보에 근거하여 영향평가 대상인지의 여부를 판단하고, 판단 결과 영향평가 대상인 것으로 확인되면, 기본 현황 정보 입력 과정, 추가 정보 입력 과정, 사전 분석 과정, 데이터 분석 과정, 업무 분석 과정 및 점검표 작성 과정 중 적어도 하나 이상을 수행하여 영향평가를 위한 정보를 입력받는 제2단계와; 상기 입력된 정보 및 데이터베이스에 미리 저장된 기준 정보를 근거로 하여 해당 프로젝트가 고객정보에 미치는 영향평가를 수행하고, 그 결과에 따라 고객정보 보호를 위한 권고대책에 대한 정보를 포함하는 결과 보고서를 생성하여 출력하는 제3단계; 를 포함하는 고객의 개인정보 보호를 위한 고객정보 영향평가 방법에 의해 달성된다.
본 발명의 상기 목적과 기술적 구성 및 그에 따른 작용 효과에 관한 자세한 사항은 본 발명의 명세서에 첨부된 도면에 의거한 이하 상세한 설명에 의해 보다 명확하게 이해될 것이다.
먼저, 도 1은 본 발명을 설명하기 위한 프로젝트 개발 프로세스를 나타낸 도면이다.
본 발명은 고객정보(신상정보, 통화내역, 위치정보, 단말정보 등)를 이용하는 신규 사업 및 서비스를 위한 프로젝트 개발 과정에서 고객정보의 수집 및 이용 이 고객정보에 미치는 영향을 평가하기 위한 것이므로, 도 1에 도시한 바와 같이 본 발명의 고객정보 영향평가 프로세스는 프로젝트 개발 프로세스에 포함되거나 또는, 프로젝트 개발 프로세스와 동시에 진행된다.
일반적인 프로젝트 개발 프로세스는 기획서 및 제안서 제출, 개발 요건서 개발, 전자결재 시스템 등으로의 사업 발의 과정(1~3)을 순차적으로 수행함에 의해 시작되며, 해당 사업 승인이 이루어짐에 따라(8), 프로젝트를 개발하여 테스트 과정을 거친 후 프로젝트가 종료되면(9, 10), 그에 따르는 사업 개시 즉, 서비스 운영이 이루어진다(12).
본 발명의 고객정보 영향평가 프로세스는 사업 발의 단계(3)와 사업 승인 단계(8) 사이에 1차적으로 이루어지며, 고객정보 영향평가 결과에 따르는 권고대책(보호대책) 등이 프로젝트 개발 시에 반영되면 서비스 운영 단계(12) 이전에 2차적으로 수행되고, 서비스 운영 중에도 정기적으로 수행될 수 있으며, 1차 고객정보 영향평가를 사전 점검, 2차 고객정보 영향평가를 이행 점검, 서비스 운영 중의 과정을 정기 점검이라 한다.
본 발명의 고객정보 영향평가 프로세스 중 사전 점검 과정을 도면을 기초로 보다 상세히 설명하면 다음과 같다.
우선, 사내 전자결재 시스템으로의 사업 발의가 이루어지면(3), 전자결재 시스템은 본 발명의 고객정보 영향평가 시스템(이하, PIA 시스템이라 칭함)의 고객정보 영향평가 대상 확인을 위한 페이지로 링크시키며, 이에 따라 본 발명의 PIA 시스템은 우선 해당 프로젝트 관련 기초정보(프로젝트명)를 입력하도록 한 후, 제안 된 사업이 고객정보 영향평가 대상인지를 판단하기 위해 해당 서비스 기획 시 수집/이용할 고객정보를 선택하도록 하고 선택된 정보에 근거하여 대상 판단을 수행한다(4, 5).
여기서, 고객정보 영향평가 대상 여부를 판단하기 위한 고객정보는 신상정보(일반정보, 신용정보, 신체정보, 가족정보 등), 위치정보, 통화내역 정보, 단말기 정보, 기타 정보 등으로 분류되고, 각 카테고리 별 구체적인 정보 항목이 존재할 수 있으며, 제시된 항목은 모두 고객정보 관련 항목이므로, 그 중 어느 하나라도 선택되는 경우 고객정보 영향평가 대상으로 판단될 수 있다.
다음, 고객정보 영향평가 대상으로 판단되면, 본 발명의 PIA 시스템은 고객정보 영향평가 대상(PIA 대상)인지의 여부를 전자결재 시스템으로 자동 통보하여, 이후 전자결재 시스템에서 고객정보 영향평가 대상인 프로젝트 또는 사업에 대하여 이행점검, 정기점검 등을 수행하도록 하고, 그 결과에 따라 결재과정이 이루어질 수 있도록 한다.
또한, 본 발명의 PIA 시스템은 영향평가 대상으로 판단되면, 영향평가 수행 과정을 수행한다(6). 해당 시점에서의 영향평가 수행은 사전점검 과정으로서, 영향평가를 위한 사용자의 정보입력(영향평가 요청) 과정과, 입력된 정보를 토대로한 영향평가 과정으로 구성된다.
정보입력 과정 즉, 영향평가 요청 과정을 구체적으로 설명하면 다음과 같다.
우선 본 발명의 PIA 시스템은 영향평가를 위해 사용자가 해당 프로젝트 관련 기본정보로서 영향평가 요청인(사용자) 정보, 프로젝트 구분 정보, 프로젝트 유형, 고객정보를 볼 수 있는 취급자(개발자, 시스템, 시스템 관리자 등) 정보, 프로젝트 개발 일정, 운영 일정 등의 일정 정보, 관련 조직의 구성원 정보, 고객정보나, 유지보수 하드웨어, 소프트웨어 등의 위탁 현황 정보를 입력하도록 한다.
다음, 상기 PIA 시스템은 입력된 기본 정보 이외의 추가 정보를 입력하도록 하는 페이지를 제공하여, 시스템 현황 정보(취급할 고객정보의 구체 선택 등), 시스템 인프라 정보, 부가 정보 등을 입력하도록 하며, 이와 같이 기본 정보 및 추가 정보의 입력이 완료되면 입력된 정보를 토대로 하여 취급할 고객정보의 수집 방법, 취급 현황 등을 파악하기 위한 설문 조사 페이지를 제공하여, 설문 조사 결과를 토대로 사전 분석을 수행한다.
사전 분석 수행 결과는 고객정보 별 상세분석을 위한 데이터 분석에 이용되며, 구체적으로는 사전 분석 결과를 기초로 다시 고객정보의 수집 경로, 취급자, 고객정보 이용 목적, 고객정보의 저장매체, 고객정보 폐기 방법 등을 입력 받아 고객정보 흐름도를 자동으로 생성하게 된다.
또한, 고객정보 영향평가를 위해 본 발명의 PIA 시스템은 해당 서비스/사업에 대한 상대 서비스 즉, 연동 서비스의 존재 여부에 대한 정보와, 연동 서비스가 존재하는 경우 그 구체적인 정보를 입력 받고, 해당 시점까지 입력된 모든 정보를 기초로 DB로부터 고객정보 영향평가를 위해 검토해야 할 항목을 추출하고, 점검항목 별 질의내용을 포함하는 점검표를 제공하여 각 점검항목에 대한 질의내용에 대해 사용자가 응답내용을 입력하도록 한다(체크 또는 답변기입).
상기와 같이 고객정보 영향평가 요청 과정이 완료되면, 본 발명의 PIA 시스 템은 입력된 정보들과, DB에 미리 마련된 영향평가 기준정보를 토대로 하여 영향평가를 수행한다.
영향평가 수행 과정은 영향평가 요청 과정에서 입력된 모든 내용을 기초로 이루어지며, 부문별 권고사항 및 상세보안 이슈 추출, 그리고 미리 정해진 기준(산출식)에 따라 현재 상태에서의 보호수준 및 위험도를 산출하는 과정을 포함한다.
PIA 시스템은 상기와 같은 영향평가 결과를 이용하여 영향평가 결과 보고서를 생성하며(7), 생성된 영향평가 결과는 프로젝트 개발 과정에 반영된다(보호대책 이행).
한편, 도 1에는 도시하지 않았으나, 영향평가 결과 보고서 생성 후 사용자는 본 발명의 PIA 시스템은 상기 영향평가 결과를 기초로 이행계획을 수립할 수 있도록 하는 페이지를 제공하며, 이에 따라 사용자는 보호대책을 이행하기 위한 이행계획을 수립할 수 있다.
다음, 상기 설명한 영향평가 및 결과보고서 생성 과정은 프로젝트가 종료된 후 이행점검 단계에서 다시 한번 수행되며(11), 이행점검은 이전에 수립된 이행계획의 실천 여부의 자동 또는 수동 점검을 통해 획득한 점검결과를 입력 받아 다시 한번 고객정보 영향평가를 수행하는 과정이며, 그 영향평가 결과를 기초로 하여 서비스 운영이 시작되도록 하는 것이 바람직하다.
또한, 서비스 운영 중에도 본 발명의 PIA 시스템은 환경의 변화 등을 감안하여 정기적인 영향평가 즉, 정기점검을 수행할 수 있으며(13), 이를 위한 정기점검 계획 수립을 지원한다.
다음, 상기 설명한 바와 같은 고객정보 영향평가의 수행을 위한 본 발명의 PIA 시스템의 구성을 도 2및 도 3을 통해 설명하면 다음과 같다. 도 2는 본 발명의 일 실시예에 따르는 고객정보 영향평가 시스템의 구성도이고, 도 3은 도 2의 PIA 프로세스 모듈의 구성도이다.
도 2에 도시한 바와 같이, 본 발명의 PIA 시스템(100)은 고객정보 영향평가를 실시하기 위한 제반 기능을 가지는 PIA 프로세스 모듈(110), 부서/사용자 관리, 권한 관리, 접근 로그 관리, 통합 코드 관리 등을 위한 시스템 관리 모듈(120)을 포함하며, 고객정보 영향평가를 위한 기준 정보 및 수행 이력 저장을 위한 데이터베이스(130)를 포함하며, 사용자 단말기(10)가 접근하기 쉽도록 웹 어플리케이션 환경으로 구축되고, 다양한 내부 업무시스템들(210~250)과의 연동을 통해 업무 효율성의 향상을 도모하도록 구성된다.
본 발명의 PIA 시스템(100)과 연동 가능한 타 시스템으로는 사용자 정보의 연동을 위한 인사관리 데이터베이스(210), 결재정보 연동을 위한 전자결재 시스템(220), 프로젝트 및 사업 아이디 연동을 위한 R&D 투자관리 시스템(230), 프로젝트 정보의 연동을 위한 보안진단관리 시스템(240), 사원 아이디(사번)에 의한 통합 로그인을 적용하기 위한 사내 인트라넷 시스템(250) 등이 있을 수 있다.
PIA 시스템(100)을 구성하는 PIA 프로세스 모듈(110)은 앞서 언급한 고객정보 영향평가 수행 과정을 수행하기 위한 모듈로서, 고객정보 현황 파악, 고객정보 사전 분석, 고객정보 데이터 분석, 고객정보 흐름도 작성, 고객정보 업무분석, 고 객정보 영향평가 점검표 작성, 고객정보 영향평가 진행, 위험수준 및 보호수준 산출, 영향평가 업무 가시화, 이행계획 수립, 이행점검계획 수립, 이행점검결과 보고, 정기점거계획 수립, 대쉬 보드 및 모니터링 기능을 가지며, 그 구체적인 기능 블록은 도 3과 같다.
도 3에 도시한 바와 같이, 본 발명의 PIA 프로세스 모듈(110)은 영향평가 대상 판단부(111), 현황정보 획득부(112), 영향평가 수행부(113), 결과보고서 생성부(114), 이행계획 수립부(115) 및 이행 점검부(116)를 포함하여 구성된다.
상기 영향평가 대상 판단부(111)는 고객정보 영향평가 대상 판단을 위한 고객정보로서, 신상정보(일반정보, 신용정보, 신체정보, 가족정보 등), 위치정보, 통화내역 정보, 단말기 정보, 기타 정보 등으로 분류되고, 각 카테고리 별 구체적인 정보 항목을 제공하고, 제공된 항목 중 해당 서비스 기획 시 수집/이용할 고객정보를 선택하도록 하고 선택된 정보에 근거하여 대상 판단을 수행하고, 그 결과를 출력한다.
이 때, 제공된 정보 중 어느 하나라도 선택되는 경우 고객정보 영향평가 대상으로 판단할 수 있으며, 평가 대상으로 판단된 경우 현황정보 획득부(112)를 구동시키고, 고객정보 영향평가 대상(PIA 대상)인지의 여부를 전자결재 시스템으로 자동 통보한다.
현황정보 획득부(112)는, 영향평가 요청과정 수행을 통해 고객정보 영향평가를 위한 제반 정보를 사용자로부터 획득하는 역할을 수행하며, 구체적으로는 기본정보 획득, 추가 정보 획득, 사전 분석, 데이터 분석, 상대 서비스 정보 획득, 점 검표 작성 기능을 갖는다.
즉, 현황정보 획득부(112)는 영향평가를 위한 기본정보 획득 과정에서, 사용자가 해당 프로젝트 관련 기본정보로서 영향평가 요청인(사용자) 정보, 프로젝트 구분 정보, 프로젝트 유형 정보, 고객정보를 볼 수 있는 취급자(개발자, 시스템, 시스템 관리자 등) 정보, 프로젝트 개발/운영에 대한 일정 정보, 프로젝트 개발 관련 조직의 구성원 정보, 고객정보 및 유지보수 하드웨어/소프트웨어 등의 위탁 현황 정보를 입력하도록 한다.
그리고, 상기 현황정보 획득부(112)는 상기 입력된 기본 정보 이외의 추가 정보를 입력하도록 하는 페이지를 제공하여, 시스템 현황 정보(취급할 구체적인 고객정보), 시스템 인프라 정보, 부가 정보 등을 입력하도록 한다.
다음, 상기 현황정보 획득부(112)는 상기와 같이 기본 정보 및 추가 정보의 입력이 완료되면 입력된 정보를 토대로 하여 취급할 고객정보의 수집 방법, 취급 현황 등을 파악하기 위한 설문 조사 페이지를 제공하여, 설문 조사 결과를 토대로 사전 분석을 수행하며, 고객정보 별 상세분석을 위한 데이터 분석 시 상기 사전 분석 수행 결과를 이용한다.
즉, 상기 현황정보 획득부(112)는 상기 사전 분석 결과를 기초로 다시 고객정보의 수집 경로, 취급자, 고객정보 이용 목적, 고객정보의 저장매체, 고객정보 폐기 방법 등을 입력 받아 고객정보 흐름도를 자동으로 생성한다.
고객정보 영향평가를 위해 상기 현황정보 획득부(112)는 해당 서비스/사업에 대한 상대 서비스 즉, 연동 서비스의 존재 여부에 대한 정보를 입력 받고, 연동 서 비스가 존재하는 경우 그 구체적인 정보를 입력하도록 하며, 해당 시점까지 입력된 모든 정보를 기초로 PIA 기준정보 데이터베이스(132)에 저장된 영향평가 점검표 등의 기준 정보를 참조하여, 고객정보 영향평가를 위해 검토해야 할 항목을 추출하고, 점검항목 별 질의내용을 포함하는 점검표를 제공하여 각 점검항목에 대한 질의내용에 대해 사용자가 응답하도록 한다(체크 또는 답변기입).
상기 현황정보 획득 과정(영향평가 요청과정)이 완료되면, 현황정보 획득부(112)는 획득한 모든 정보를 영향평가 수행부(113)로 제공하거나, 영향평가 수행부(113)와 공유한다.
영향평가 수행부(113)는 상기 입력된 정보들과, PIA 기준정보 DB(132)에 미리 마련된 영향평가 기준정보를 토대로 하여 영향평가를 수행하는 블록으로서, 영향평가 요청 과정에서 입력된 모든 내용을 기초로 이루어지며, 부문별 권고사항 및 상세보안 이슈 추출, 그리고 미리 정해진 기준(산출식)에 따라 현재 상태에서의 보호수준 및 위험도를 산출하는 역할을 담당한다.
또한, 상기 영향평가 수행부(113)는 소정의 영향평가 담당자 그룹에 대한 정보를 가지며, 해당 그룹에 포함된 사용자 중 현재 영향평가를 수행한 대상 프로젝트에 대하여 평가 담당자를 지정하여, 이후 영향평가 수행을 담당하도록 한다. 이를 위해, 본 발명의 PIA 시스템(100)은 평가 담당자 그룹을 구성하는 기능을 지원하는 것이 바람직하다.
상기 영향평가 수행부(113)는 영향평가 결과를 결과보고서 생성부(114)로 제공하며, 이에 따라 결과 보고서 생성부(114)는 영향평가 결과를 이용하여 보고서를 생성하여 프로젝트 담당 부서로 전달한다. 영향평가 결과 보고서에는 영향평가 점검표의 각 점검항목에 대한 상세 위험, 권고 방안에 대한 정보 등 상기 영향평가 결과의 제반 정보가 포함된다.
이행계획 수립부(115)는 영향평가 수행 결과로서 도출된 각 권고방안에 대한 이행계획을 수립하는 역할을 수행하며, 이행 계획은 이행 담당자, 목표 이행률, 예정 이행완료 일시, 이행 내용 등으로 구성되며, 프로젝트 담당자에 의해 이루어진다.
또한, 상기 이행계획 수립부(115)는 프로젝트 별 이행계획에 대한 이행현황을 점검하기 위한 이행점검 계획을 수립하는 역할을 하며, 보안담당자(이행점검 담당자)가 이행점검 일정, 이행점검 담당자 지정 등을 수행할 수 있도록 지원한다.
이행 점검부(116)는 이행점검 담당자에 의한 이행점검 실사가 이루어진 후, 해당 담당자로부터 이행점검 결과를 등록 받고, 그 결과를 이용하여 고객정보 영향평가를 재수행한다.
이 때, 이행점검 결과에는 완료 이행률, 이행 담당자, 완료이행 일시, 이행 내용, 미이행 사유 등의 정보가 포함될 수 있으며, 이행점검 결과에 대한 이행점검 항목별 증빙서류의 첨부를 지원하는 것이 바람직하다.
또한, 앞서도 언급하였지만 서비스 운영 중에도 본 발명의 고객정보 수행평가는 정기적으로 이루어질 수 있으며, 이를 위해 상기 이행 점검부(116)는 정기적인 영향평가 즉, 정기점검을 수행하고, 이를 위한 정기점검 계획 수립을 지원한다.
한편, 상기 현황정보 획득부(112), 영향평가 수행부(113), 결과보고서 생성 부(114), 이행계획 수립부(115), 이행 점검부(116)는 고객정보 영향평가를 위해 획득한 정보 또는 고객정보 영향평가를 통해 도출한 정보(결과)를 PIA 이력 DB(131)에 저장하며, PIA 이력 DB(131)에 저장된 정보는 각 기능블록의 접근이 가능하도록 하여야 한다.
다음, 도 1 내지 도 3을 통해 설명한 본 발명의 PIA 시스템(100)의 기능을 도 4 내지 도 9를 통해 다시 한번 설명하면 다음과 같다.
우선, 도 4 및 도 5는 고객정보 영향평가 점검표를 설명하기 위한 도면이다.
본 발명의 PIA 시스템(100)은 고객정보 영향평가를 위한 영향평가 요청과정에서 영향평가 점검표를 작성하며, 영향평가 점검표에는 복수의 점검항목이 포함된다.
점검항목에 대한 정보는 PIA 기준정보 DB(132)에 관리되며, 본 발명에서 점검항목은 부문, 점검 시점, 고객정보 취급자에 따라 구분된다.
고객정보 영향평가를 위해 고려해야 할 항목들 중 고객정보 보호정책 및 관리 등을 평가하는 부문은 <관리/물리>로, 어플리케이션의 구축 및 시스템과 DB의 운영 등을 평가하는 부문은 <IT 체계>로 정의될 수 있으며, 이 경우 점검항목은 <관리/물리> 부문의 점검항목과, <IT 체계> 부문의 점검항목으로 구분될 수 있다.
또한, 본 발명에서 고객정보 영향평가는 그 평가 시점(점검 시점)에 따라 사전점검(영향 평가), 이행 점검, 정기점검으로 구분되며, 각 평가 시점에 따라 점검항목이 달라질 수 있다.
도 4에는 고객정보 영향평가 점검표의 부문/점검시점에 따른 점검항목의 수를 일 실시예로서 나타내었으며, 도시한 바와 같이 현업 사용자의 부담을 최소화하기 위해 영향평가(사전점검) 단계에서는 전체 점검항목인 167개 항목 중 70개의 수동점검 항목에 대하여만 평가하고, 나머지 항목들은 자동 평가되도록 하였다.
도 5에는 고객정보 취급자에 따른 점검항목을 나타내었으며, 도시한 바와 같이 본 발명에서 모든 고객정보 영향평가 점검항목들은 고객정보 취급자를 정의하며, 고객정보 영향평가 요청 시 해당 고객정보를 취급할 취급자에 따라 점검항목이 차별화되도록 함으로써, 고객정보의 보안 위험도를 가장 높일 수 있는 취급자에 대한 점검이 신뢰성있게 이루어지도록 한다.
도 5에서와 같이, 이동통신사의 고객정보 취급자는 관리/물리 부문에서는 대리점, 판매점, 수탁사, 직영센터, 콜센터, BP사, 프로모션, 외부수집처, 과금부서, 고객센터, 시스템, 시스템관리자, DM, 개발자 등으로 분류될 수 있고, IT 체계 부문에서는 고객정보를 이용할 어플리케이션, 고객정보를 저장할 DB로 분류될 수 있다.
한편, 고객정보 영향평가 점검표에는 보호대책 이행수준 항목이 포함되는데, 본 발명에서는 현업 사용자 및 평가 담당자의 보호대책(권고방안) 이행수준 산정 시 평가 기준의 일관성을 유지하기 위해 모든 점검항목에 대하여 보호대책 이행수준 평가 타입을 정의하여 이행수준을 선택하게끔 한다.
이행수준 평가 타입은, 이행 수준이 0 또는 100의 두가지로 구분되는 타입, 이행 수준이 0, 50, 100의 세가지로 구분되는 타입, 이행 수준이 0, 33, 66, 100의 네가지로 구분되는 타입, 이행 수준이 0, 20, 40, 60, 100 의 다섯가지로 구분되는 타입 등으로 이루어질 수 있다.
이와 같이, 고객정보 영향평가 점검표의 각 점검항목에 대하여 이행수준 평가타입이 정의되어 있으며, 타입 별 이행수준의 수치정보는 영향평가 수행 과정에서의 영향평가 위험도의 산출시에 이용된다.
위험도의 산정 시에는 평가 기준의 일관성을 유지하기 위해 모든 점검항목에 대하여 특정 기준에 의거해 위험도를 산정하며, 위험도 산정 기준은 예를 들어 고객정보 유출, 관련 법률, 시스템 운영 등과의 연관성이 미미한 경우, 시스템 운영, 사용자 공지, 로그 기록 등 관리 방법과 연관되어 고객정보 유출과 연관성이 낮은 경우, 관련 법률에 위배되거나 규정/절차와 연관되는 경우와 고객정보의 간접적인 유출 가능성이 낮은 경우, 고객정보의 간접적인 유출 가능성이 높거나 직접적인 유출 가능성이 낮은 경우, 고객정보의 직접적인 유출이나 분쟁, 손해배상 등이 발생할 가능성이 높은 경우 등의 조건에 근거하여 구분될 수 있다.
다음, 도 6은 본 발명의 일 실시예에 따르는 위험도 및 보호수준 산출을 위한 고객정보 영향평가 등급을 설명하기 위한 도면이고, 도 7은 본 발명의 일 실시예에 따르는 위험도 및 보호수준 산출을 위한 서비스별 서비스 가중치 및 산정기준을 설명하기 위한 도면이며, 도 8은 본 발명의 일 실시예에 따르는 위험도 및 보호수준 산출 방안을 설명하기 위한 도면, 도 9는 본 발명의 일 실시예에 따르는 위험도 등급 및 보호수준 등급의 범위를 설명하기 위한 도면이다.
우선, 본 발명의 PIA 시스템(100)은 정보통신부의 이동통신사 개인정보보호지침 및 이동통신사 내부 규정과, 환경분석 결과 파악된 다수개의 고객정보 중 직접적인 영향평가 대상으로 두어야 할 것으로 판단되는 민감정보에 대한 자료를 구축하고 있으며, 해당 민감정보들 중 1개라도 이용되는 시스템의 경우에는 영향평가 대상이 된다.
민감정보에는 단말기 정보(ESN, 일련번호, 단말 인증키, MIN, USIM 일련번호, SIM 일련번호, GSM 일련번호, CAS 번호, MSISDN 번호, IRM 번호 등), 신상 정보(가족 정보, 신용 정보, 일반 정보, 신체 정보 등), 통화 정보, 기타 정보(게시판 정보, 고객 비밀번호 등), 위치 정보(단말기 위치 등록 정보, 발신 기지국, 착신 기지국 등) 등이 포함될 수 있다.
한편, 본 발명의 PIA 시스템(100)은 고객정보 영향평가 결과의 수치화를 위해 직접적인 영향평가 대상 고객정보가 아니더라도, 도 6과 같이 조합에 따라 평가대상이 될 수 있는 영향평가 등급을 정하여 영향평가를 통해 위험도 및 보호 수준이 산출되도록 구현된다.
도면에서와 같이, 민감하지 않은 일반정보의 조합에 대한 고객정보 중요도는 1, 핸드폰 번호나 일반적인 민감정보, 일반적인 민감정보와 그외의 일반정보의 조합에 대한 고객정보 중요도는 2, 핸드폰 번호와 민감하지 않은 일반정보의 조합에 대한 중요도는 3, 개인 및 회사 고유의 식별 정보는 4, 개인 및 회사 고유 식별 정보와 민감하지 않은 일반정보의 조합은 5 등으로 중요도가 정의될 수 있으며, 이와 같이 정의되는 사유(원인)는 우측의 고객정보 중요도 설명 부분과 같다.
여기서, 개인 및 회사 고유의 식별정보의 경우 개인의 신분을 알수 있고, 회사에 지대한 피해를 미칠 수 있는 수준의 정보로서, 최근 리니지 게임의 개인정보 유출 사건과, 일본 야후의 개인정보 유출 사건에서 알수 있듯이, 그 중요도의 레벨은 높게 정의되어야 한다.
도 7에는 서비스 별 서비스 가중치의 일 예를 나타내었다.
도시한 바와 같이, 서비스 별 가중치의 산정은 고객정보 보유수, 타업무 영향도, 외부 연결성, 대고객 연관성 등의 항목에 따를 수 있으며, 고객정보 보유수의 경우 고객정보를 많이 보유하고 있는 서비스일수록 고객정보 보호가 중요하고, 보유하고 있는 고객수에 따라 차등적으로 수치가 결정되어야 한다.
또한, 타업무 영향도의 경우, 서비스가 중지되었을 때 타 업무에 미치는 영향이 클수록 중요하고, 그 범위에 따라 수치가 차등적으로 결정되어야 한다. 외부 연결성의 경우, 외부 기관, 업체 등과 연결되어 있을 경우 중요하고, 직접 연결이냐 간접 연결이냐에 따라 차등적으로 결정되는 것이 바람직하고, 대고객 연관성의 경우 고객이 직접 이용하거나 고객을 직접 대상으로 하는 서비스인 경우 중요하며, 그 고객 대상 범위에 따라 차등하다.
실시예에서, 숫자는 높을수록 그 정도가 크고 중요하며, 실시예에서 서비스 가중치는 산정기준의 각 항목별 수치 합계가 가장 높은 서비스의 가중치를 기준으로 산출된 것이며, 특정 서비스에 대한 산정기준의 각 항목별 수치 합계를 서비스 가중치가 가장 높은 서비스 즉, 산정기준의 각 항목별 수치의 합이 가장 높은 서비스(U.KEY)의 수치 합계로 나눈 값이다.
본 발명에서 서비스 가중치의 산출 시 이용되는 기준 정보로는 도면에서와 같이 고객정보 보유수, 타업무 영향도, 외부 연결성, 대고객 연관성 등이 이용되긴 하나, 가중치 산출 방법은 다양하게 변경될 수 있다.
다음, 도 8에는 영향평가 위험도 산출 및 보호수준(등급) 산출 기준을 나타내었다.
도시한 바와 같이, 본 발명의 PIA 시스템(100)은 고객정보 영향평가 시 영향평가 결과를 수치화하여 제공하며, 고객정보 중요도, 점검항목 별 위험도, 서비스 가중치, 항목별 보호대책 이행 수준 등의 값들을 구하고, 그에 따라 영향평가 위험도와 영향평가 보호수준을 도출한다.
일 실시예로서, 고객정보 중요도 값 및 점검항목 별 위험도 값은 1 내지 5의 범위에서 결정될 수 있고, 서비스 가중치는 0.1 내지 1.0의 범위 내에서 결정될 수 있으며, 항목별 보호대책 이행 수준은 0 내지 1의 범위 내에서 결정될 수 있다.
영향평가 위험도(E)는 고객정보 중요도값(A)과, 점검항목별 위험도 값(B) 및 1에서 보호대책 이행수준 값을 뺀 값(1-D)을 곱한 값의 총합을 점검항목의 개수(n)로 나눈 값과, 서비스 가중치에 1을 더한 값(1+C)을 연산함에 의해 산출될 수 있다.
이와 같은 영향평가 위험도 산출식에 의해 산출되는 위험도 값은 0~50의 범위 내로 결정되며, 영향평가 보호수준(F)은 상기 영향평가 위험도 값을 파라미터로 하여 도면의 산출식에 의해 산출될 수 있다.
상기에서 보호대책 이행수준 값(D)이 1(이행수준 100%)인 경우, 영향평가 위 험도 값(E)은 최소값(0)으로 결정되며, 고객정보 중요도가 5, 점검항목 별 위험도가 5, 서비스 가중치가 1, 보호대책 이행수준이 0 이면, 영향평가 위험도 값(E)은 최대값(50)으로 결정된다.
그리고, 도 9에 도시한 바와 같이, 영향평가 위험도값에 따라 영향평가 위험도의 등급이 결정될 수 있으며, 이와 같은 영향평가 위험도 등급 또는 위험도 값은 본 발명의 PIA 시스템 운영 시 사업 부서로 하여금 오픈 예정인 서비스의 보호수준 등급을 일정 등급 이상으로 향상시켜야 서비스 오픈이 가능하도록 유도하기 위한 기준이 될 수 있으며, 등급의 범위는 시스템 안정화 기간 동안 시뮬레이션 작업을 통해 등급 간 편차를 최소화하는 방향으로 최적화될 수 있다.
다음, 도 1 내지 도 9를 통해 설명한 본 발명의 PIA 시스템의 동작 과정을 도 10 내지 도 14를 통해 순차적으로 다시 한번 설명하면 다음과 같다.
먼저, 도 10은 본 발명의 일 실시예에 따르는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템의 동작 과정을 순차적으로 나타낸 흐름도이다.
도시된 바와 같이, 본 발명의 고객정보 영향평가 과정은 먼저, 사업 발의 시 본 발명의 PIA 시스템(100)으로 링크됨에 따라 수행되는 프로젝트 정보 입력 및 수집할 고객정보 체크 과정으로부터 시작된다(S101).
PIA 시스템(100)은 체크된 고객정보 유무에 따라 영향평가 대상인지의 여부를 판단하며(S103), 판단 결과 영향평가 대상인 것으로 확인되면 사용자가 영향평가 요청과정을 수행하도록 하고 영향평가를 위한 정보를 입력받는다(S105).
영향평가를 위한 정보 입력 과정(S105)에는 기본 현황 정보 입력 과정, 추가 정보 입력 과정, 사전 분석 과정, 데이터 분석 과정, 업무 분석 과정 및 점검표 작성 과정이 포함되며, 구체적으로는 다음과 같다.
우선, 기본 현황정보 입력 과정에서는, 영향평가 요청인(사용자) 정보, 프로젝트 구분 정보, 프로젝트 유형, 고객정보를 볼 수 있는 취급자(개발자, 시스템, 시스템 관리자 등) 정보, 프로젝트 개발 일정, 운영 일정 등의 일정 정보, 관련 조직의 구성원 정보, 고객정보나, 유지보수 하드웨어, 소프트웨어 등의 위탁 현황 정보를 입력하도록 한다.
다음, 본 발명의 PIA 시스템(100)은 기본 현황정보 입력이 완료되면, 입력된 정보를 기초로 하여 추가 정보를 입력하도록 하는 페이지를 제공하여, 시스템 현황 정보(취급할 고객정보의 구체 선택 등), 시스템 인프라 정보, 부가 정보 등을 입력하도록 하며, 이와 같이 기본 정보 및 추가 정보의 입력이 완료되면 입력된 정보를 토대로 하여 취급할 고객정보의 수집 방법, 취급 현황 등을 파악하기 위한 설문 조사 페이지를 생성 및 제공하고, 설문 조사 결과를 토대로 사전 분석을 수행한다.
상기 사전 분석 수행 결과는 고객정보 별 상세분석을 위한 데이터 분석에 이용되며, 구체적으로는 사전 분석 결과를 기초로 다시 고객정보의 수집 경로, 취급자, 고객정보 이용 목적, 고객정보의 저장매체, 고객정보 폐기 방법 등을 입력 받아 고객정보 흐름도를 자동으로 생성하게 된다.
또한, 고객정보 영향평가를 위해 본 발명의 PIA 시스템(100)은 해당 서비스/사업에 대한 상대 서비스 즉, 연동 서비스의 존재 여부에 대한 정보와, 연동 서비 스가 존재하는 경우 그 구체적인 정보를 입력 받고, 해당 시점까지 입력된 모든 정보를 기초로 DB로부터 고객정보 영향평가를 위해 점검항목을 추출하고, 점검항목 별 질의내용을 포함하는 점검표를 제공하여 각 점검항목에 대한 질의내용에 대해 사용자가 응답내용을 입력하도록 한다.
다음, 정보 입력이 완료되면, PIA 시스템(100)은 입력된 정보 및 점검표의 정보를 근거로 하여 영향평가를 수행하고, 그 결과에 따르는 결과 보고서를 생성한다(S107).
영향평가 수행과정은, 이전 과정에 의해 도출된 점검항목을 기반으로 기 적용 상태 또는 적용 계획 상태를 분석하여 고객정보를 침해할 수 있는 요인들을 도출하고, 침해요인 별 권고대책을 생성하는 과정으로서, 권고대책을 통해 프로젝트 개발자가 적용항목 및 적용시기들을 조율하여 개선 계획을 수립할 수 있도록 지원한다.
즉, 영향평가 수행 후 본 발명의 PIA 시스템(100)은 권고대책의 이행 계획 수립, 이행여부 및 이행정도 등을 점검하기 위한 점검 계획 수립 과정을 수행한다(S109, S111). 본 과정에서는 사업 요구 사항을 고려한 실무부서, 운영부서, 영향평가부서 간 협의를 통해 즉시 개선되어야 할 항목과, 장기적으로 개선되어야 할 항목들이 협의되어야 한다.
다음, 수립된 일정에 따라 이행점검 즉, 이행계획에 따르는 적용 실태점검이 이루어지고, 그 결과가 등록되면(S113), 본 발명의 PIA 시스템(100)은 등록된 이행점검 결과 및 이전 영향평가 수행이력을 기초로 최종 영향평가 결과 보고서를 생성 하여 제공하며(S115), 이와 같이 생성된 최종 보고서는 전자결재 시스템(220)과 공유되어 사업 또는 서비스의 운영에 대한 결재가 이루어질 수 있도록 한다.
다음, 도 10을 통해 설명한 본 발명의 PIA 프로세스에 대한 명확한 이해를 돕기 위해, 도 11 내지 도 16을 통해 구체적으로 다시 한번 설명하기로 한다.
먼저, 도 11은 본 발명의 일 실시예에 따르는 영향평가 대상확인 과정을 설명하기 위한 도면이다.
도시한 바와 같이, 본 발명의 PIA 시스템(100)은 R&D 투자관리 시스템(230)이나 보안진단관리 시스템(240) 등의 다양한 시스템과 연동함으로써 고객정보를 취급하는 모든 시스템에 대하여 영향평가 대상확인을 수행하고, 프로젝트 정보를 연동시킨다.
고객정보 영향평가 대상여부는 실무부서의 프로젝트 담당자가 직접 PIA 시스템(100)에 접근하여 확인하는 것이 바람직하며, PIA 시스템(100)은 고객정보 별 상세 분석을 통해 구축된 DB의 자료를 근거로 고객정보 영향평가가 필요한 고객정보의 리스트(항목)를 제공하여 프로젝트와 관련된 고객정보에 대하여 해당 여부를 체크하도록 한다.
이 때, 본 발명의 PIA 시스템(100)이 이동통신사에서 사용되는 경우, 상기 PIA 시스템(100)은 정보통신부의 이동통신사 개인정보보호 지침 및 이동통신사 내부 규정을 근거로 민감한 고객정보를 보유하는 모든 시스템을 고객정보 영향평가 대상으로 판정하여야 한다.
한편, 상기와 같은 영향평가 대상확인 결과, 영향평가 대상으로 확인되면 본 발명의 PIA 시스템(100)은 영향평가 요청 단계로 자동 이동되도록 하여 원활한 업무 진행을 도모한다.
다음, 도 12는 본 발명의 일 실시예에 따르는 영향평가 요청 과정을 설명하기 위한 도면이다.
영향평가 요청 과정은 사업부서 담당자가 영향평가대상 프로젝트에 대하여 기본 현황, 추가 정보, 사전 분석, 데이터 분석, 업무 분석, 점검표 작성(관리/물리, IT 체계 별)을 수행하여 영향평가를 요청하는 과정이다.
도시한 바와 같이, 기본현황 등록 과정에서는 프로젝트 구분, 프로젝트 개요, 프로젝트 조직 및 위탁업체 현황, 프로젝트 일정 등을 입력 받으며, 추가정보 등록 과정에서는 취급할 고객정보 선택, 인프라 현황, 구성도 등을 입력 받으며, 파일 첨부를 지원한다.
사전 분석 과정은 사전 질의응답을 통해 고객정보의 취급 현황을 파악하기 위한 과정으로서, 이전에 입력된 기본 현황 정보 및 추가 정보에 따라 설문 문항이 결정되거나, 이전 입력 정보와 무관한 소정의 설문 문항을 포함하는 설문 페이지를 제공하여 사용자가 설문에 응답하도록 한다.
데이터 분석 과정은 고객정보 별 상세분석 과정으로서, 이전까지 입력된 정보 및 설문 응답 정보를 기초로 하여 고객정보 수집시의 취급자 정보, 수집 경로 정보, 수집 매체 정보, 수집 목적 정보, 저장 매체 정보, 이용/가공/제공 시 취급 자, 취급 방법, 취급 매체 정보, 파기 시 취급자, 파기 방법 정보 등을 입력하도록 하며, 입력 정보에 따라 고객정보 흐름도를 자동으로 생성하여 준다.
업무 분석 과정은 시스템 간의 업무를 분석하기 위한 과정으로서, 상대 서비스 정보, 연동할 고객 정보, 연동의 목적에 대한 정보, 프로토콜/포트 정보, 전송 방향 정보, 관련 이벤트 정보 등의 정보를 입력하도록 하여, 업무를 분석한다.
점검표 작성 과정은 이전까지 입력된 모든 정보를 기초로 하여 부문, 시기, 취급자에 따라 구분되는 점검항목 중에서 현재까지 파악된 정보에 따라 점검이 필요한 대상 점검항목을 결정하여 자동으로 점검표를 생성하고 출력하며, 각 점검항목 별로 사용자가 응답한 후 영향 평가를 요청할 수 있도록 한다.
다음, 도 13은 본 발명의 일 실시예에 따르는 영향평가 수행 과정을 설명하기 위한 도면이다.
도시한 바와 같이, 영향평가 수행 과정에서는 보안 담당자 중 프로젝트 별 영향평가 담당자를 지정할 수 있으며, 지정된 평가 담당자는 영향평가 결과보고서를 자동으로 산출한 후 평가 담당자에 의한 보완작업 후 사업부서 담당자에게 통보한다.
즉, 영향평가 수행 과정은 평가 담당자 지정 과정, 영향평가 진행 과정, 영향평가 결과 보고서 자동 산출 과정으로 구분될 수 있다.
평가 담당자 지정 과정에서, PIA 시스템(100)은 평가 담당자 그룹에 포함된 사용자 중 대상 프로젝트의 평가 담당자를 지정하고, 이후 영향평가 수행을 담당하 도록 한다. 이 때, PIA 시스템(100)은 평가 담당자 그룹을 구성할 수 있는 기능을 지원하는 것이 바람직하다.
영향 평가 진행 과정에서, 평가 담당자는 영향평가 요청서를 참고하고, PIA 시스템(100)에 의해 자동 산출된 권고방안을 확인함에 의해 영향평가를 진행하며, 영향평가 점검항목에 대한 상세 위험, 권고 방안을 확인할 수 있고, 평가 담당자의 역할 수행이 완료되면 권고방안이 포함된 영향평가 결과보고서의 생성이 완료되고, 해당 결과보고서가 프로젝트 담당 부서로 전달된다.
도 14는 본 발명의 일 실시예에 따르는 이행계획 수립 과정 및 이행점검 과정을 설명하기 위한 도면이다.
본 발명의 PIA 시스템(100)은 사업부서 담당자가 이행계획을 수립하여 정해진 기간 내에 이를 이행하도록 유도하며, 보안 담당자는 이행점검계획을 수립한 후 이행현황 점검을 실시하고, 해당 결과를 작성하여 사업부서 담당자에게 통보한다.
프로젝트 담당자의 이행계획 수립 과정에서는, 영향평가 결과로서 도출된 각 권고방안에 대하여 이행 계획을 수립하며, 이행 계획은 이행 담당자, 목표 이행률, 예정 이행완료 일시, 이행 내용 등으로 구성된다.
보안 담당자의 이행점검계획 수립 과정에서는 프로젝트 별 이행계획에 대한 이행현황을 점검하기 위한 이행점검 계획이 수립되며, 이 때 이행점검 일정 및 이행점검 담당자를 지정 입력한다.
다음, 보안담당자 또는 이행점검 담당자에 의한 이행점검 실사가 이루어지 면, PIA 시스템(100)은 그에 따르는 이행점검 결과를 등록 받는다.
이행점검 결과에는 완료 이행률, 이행 담당자, 완료 이행 일시, 이행 내용, 미이행 사유 등의 정보가 포함되며, PIA 시스템(100)은 이행점검 결과에 대한 이행점검 항목별 증빙서류를 첨부할 수 있도록 하여, 보다 정확한 이행점검이 이루어질 수 있도록 한다.
도 15는 본 발명의 일 실시예에 따르는 정기점검 과정을 설명하기 위한 도면이다.
도시된 바와 같이, 본 발명의 PIA 시스템(100)은 운영중인 중요한 시스템 또는 영향평가 수행 후 변경이 발생한 시스템을 대상으로 정기점검 계획을 수립하고, 영향평가를 수행할 수 있도록 하는 기능을 포함한다.
IT 보안팀 담당자는 IT 환경의 변화 시 PIA 시스템(100)을 통해 정기점검 계획을 수립하고, 실무부서 담당자로 정기점검 계획을 통보하여 이후 정기점검 영향평가를 수행하도록 한다.
정기점검 계획 수립 과정에서는 영향평가 기수행 프로젝트 중 대상 프로젝트를 선정하거나, 운영중인 프로젝트를 신규 등록하며, 정기점검 기간, 담당자, 대상 프로젝트 등록 등을 수행한다.
그리고, 정기점검(영향평가) 과정에서는 기존 수행한 영향평가 정보를 활용하여 업무의 효율성을 극대화시킬 수 있도록 하며, 정기점검 업무에 대한 별도의 프로세스 관리를 지원한다.
도 16은 본 발명의 일 실시예에 따르는 모니터링 과정을 설명하기 위한 도면이다.
도시된 바와 같이, 본 발명의 PIA 시스템(100)은 대쉬 보드(Dash Board) 및 보고 기능을 구비할 수 있으며, 프로젝트별 진행 맵, 부서별 현황판, 다양한 보고서 생성 기능 등을 지원하여 고객정보 영향평가 업무 수행의 적시성, 고객정보 영향평가 결과의 적정성 등을 모니터링할 수 있도록 한다.
적시성에 대한 모니터링 내용으로는 영향평가 대상확인 여부, 영향평가 요청 작성 여부, 이행계획 수립 여부, 부서별 시스템 활용수준, 영향평가 단계별 수행 소요시간 정보 등이 있을 수 있고, 적정성에 대하여는 점검항목별 이행률, 위험 수준, 보호수준의 적정성, 부서별 이행률의 적정성, 이행계획의 적정성 등이 있을 수 있다.
그리고, PIA 시스템(100)은 프로세스 별 진행현황의 가시화를 통해 사용자가 수행할 업무를 쉽게 파악하고 대응할 수 있도록 하며, 보안 담당자가 고객정보 영향평가 업무의 진행 관리를 원활히 할 수 있도록 한다.
또한, 부서별 현황판 제공 기능은 부서별 고객정보 영향평가 참여 건수 및 활용도를 모니터링 하고, 프로젝트별 이행률, 위험 수준, 보호수준의 변동 현황을 모니터링하여 제공하는 기능이다.
아울러, 본 발명의 PIA 시스템(100)은 영향평가 요청서, 영향평가 결과 보고서, 이행 계획서, 이행점검 계획서, 이행점검 결과 보고서 등의 보고서를 산출하는 기능을 가지며, 사내 업무 보고서와 동일한 형식으로 출력하거나 저장할 수 있도록 하는 기능을 지원한다.
본 발명이 속하는 기술분야의 당업자는 본 발명이 그 기술적 사상이나 필수적 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있으므로, 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적인 것이 아닌 것으로서 이해해야만 한다. 본 발명의 범위는 상기 상세한 설명보다는 후술하는 특허청구범위에 의하여 나타내어지며, 특허청구범위의 의미 및 범위 그리고 그 등가개념으로부터 도출되는 모든 변경 또는 변형된 형태가 본 발명의 범위에 포함되는 것으로 해석되어야 한다.
따라서, 본 발명의 고객정보 영향평가 시스템에 의하면, 신규사업의 기획단계에서 사업에 필요한 시스템의 도입이나 기존 시스템의 변경, 이벤트/프로모션 혹은 고객정보의 수집/이용이 고객의 개인정보에 미치는 영향을 평가할 수 있도록 함으로써, 사전적, 적극적 의미의 고객정보 보호를 실천하여 안전한 고객 서비스를 보장하고, 고객의 만족도를 높임과 동시에 고객 가치를 높이는데 기여할 수 있게 된다.
또한, 본 발명에 따르면 정보 시스템의 구축 및 운영에 있어서의 시행착오를 예방할 수 있고, 효과적인 고객정보 보호방안을 수립할 수 있도록 지원함에 의해 기업의 고객정보 관리에 관한 신뢰성 증대에 기여할 수 있다는 효과가 있으며, 고객정보 침해 등의 역기능으로 인한 재투자 등 불필요한 비용 투자를 사전에 방지할 수 있다는 장점이 있다.
아울러, 본 발명은 신규 사업 또는 서비스의 유형, 서비스에서 취급하는 고객정보에 대한 특성 분석 결과, 고객정보 취급자의 유형, 시스템의 구성 분석 결과 등을 토대로 고객정보에 미치는 영향을 분석하여 사업의 기획단계에서 보안 수준 결정, 세부 고객정보 침해 요인 도출, 침해 요인별 보안대책 도출을 통해 구체적인 적용 권고 방안을 제시함으로써, 대책 수립이 용이하다는 장점이 있고, 영향평가 결과를 토대로 개선 계획의 수립을 지원하여 수립된 개선 계획이 시스템 구축, 변경시 혹은, 이벤트/프로모션 시 반영되도록 하고, 계획이 이행되었는지의 여부를 이행점검과정에서의 고객정보 영향평가를 통해 서비스 개시 이전에 최종 보안수준 등을 산출하여 줌으로써, 보안의 수준을 높여 안정적이고 신뢰할 수 있는 서비스를 제공할 수 있다는 효과가 있다.

Claims (23)

  1. 특정 사업/서비스 기획 과정에서 필요로 하는 고객 정보의 수집 및 이용이 고객의 개인정보에 미치는 영향을 평가하기 위한 고객정보 영향평가 시스템으로서,
    고객정보 영향평가를 위한 기준 정보로서, 영향평가 점검표 및 취급대상 고객정보를 저장하며, 영향평가 수행이력 정보를 저장하는 데이터베이스와;
    영향평가 대상 프로젝트에 대한 정보, 취급할 고객정보, 고객정보 취급현황 정보, 취급할 고객정보 별 상세분석을 위한 정보, 시스템 간 업무 분석을 위한 정보 중 적어도 하나 이상의 정보를 입력 받고, 상기 데이터베이스의 기준 정보를 이용하여 상기 입력된 정보를 기초로 점검항목을 결정하여 해당 점검항목으로 구성된 영향평가 점검표를 생성하며, 점검항목 별 권고대책을 포함하는 영향평가 결과 보고서를 제공하는 PIA 프로세스 모듈;
    을 포함하여 구성되는 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템.
  2. 제1항에 있어서,
    상기 PIA 프로세스 모듈은,
    프로젝트에 필요한 고객정보를 선택하도록 하고, 그 선택정보에 따라 해당프로젝트가 고객정보 영향평가 대상인지의 여부를 판단하는 영향평가 대상 판단부와;
    영향평가 대상으로 판단된 프로젝트에 대해 고객정보의 전반적인 취급, 관리 현황을 파악하고, 수집/이용/가공하는 고객정보의 종류, 서비스 유형, 고객정보 취급자, 시스템 인프라 현황에 따르는 점검항목을 도출하는 현황정보 획득부와;
    상기 데이터베이스의 정보를 참조로, 상기 현황정보 획득부에 의해 도출된 점검항목을 기초로 한 고객정보 침해요인 별 권고대책을 생성하는 영향평가 수행부와;
    상기 영향평가 수행부에 의해 생성된 권고대책을 포함하는 영향평가 결과 보고서를 제공하는 결과보고서 생성부;
    를 포함하는 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템.
  3. 제2항에 있어서,
    상기 현황정보 획득부는,
    사용자가 해당 프로젝트 관련 기본정보로서 영향평가 요청인 정보, 프로젝트 구분 정보, 프로젝트 유형 정보, 고객정보를 볼 수 있는 취급자 정보, 프로젝트 개발/운영에 대한 일정 정보, 프로젝트 개발 관련 조직의 구성원 정보, 고객정보 및 유지보수 하드웨어/소프트웨어 등의 위탁 현황 정보, 취급할 고객 정보, 시스템 인프라 정보 중 적어도 하나 이상의 정보를 획득하는 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템.
  4. 제2항에 있어서,
    상기 현황정보 획득부는,
    상기 획득한 정보를 토대로, 취급할 고객정보의 수집 방법 및 취급 현황을 파악하기 위한 설문 조사 페이지를 제공하여, 설문 조사 결과를 토대로 사전 분석을 수행하고, 사전 분석 결과를 기초로 고객정보의 수집 경로, 취급자, 고객정보 이용 목적, 고객정보의 저장매체, 고객정보 폐기 방법 중 적어도 하나 이상의 정보를 입력 받아 고객정보 영향평가를 위해 검토해야 할 항목을 추출하고, 점검항목 별 질의내용을 포함하는 점검표를 제공하는 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템.
  5. 제2항에 있어서,
    상기 현황정보 획득부는,
    해당 프로젝트의 서비스/사업에 대한 상대 서비스의 존재 여부에 대한 정보를 입력 받아, 상대 서비스 존재 여부에 따라 점검항목을 추출하는 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템.
  6. 제2항에 있어서,
    상기 영향평가 수행부는,
    상기 데이터베이스의 기준정보를 토대로, 상기 현황정보 획득부를 통해 입력받은 정보에 따라 결정되는 고객정보별 중요도, 점검항목 별 위험도, 서비스별 가중치, 점검항목별 보호대책 이행 수준 중 적어도 하나 이상의 값을 파라미터로 하여, 상기 고객정보 보호수준을 산출하는 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템.
  7. 제2항에 있어서,
    상기 영향평가 수행부는,
    상기 데이터베이스의 기준정보를 토대로, 상기 현황정보 획득부를 통해 입력받은 정보에 따라 결정되는 고객정보별 중요도, 점검항목 별 위험도, 서비스별 가중치, 점검항목별 보호대책 이행 수준 중 적어도 하나 이상의 값을 파라미터로 하여 영향평가 위험도를 산출하고, 상기 영향평가 위험도 산출값을 이용하여 고객정보 보호수준을 산출하는 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템.
  8. 제6항 또는 제7항에 있어서,
    상기 영향평가 수행부는,
    각 점검항목에 대하여 데이터베이스의 기준 정보에 의거하여 점검항목 별 위험도를 산출하며, 입력된 정보를 기초로 고객정보 유출, 관련 법률 및 시스템 운영과의 연관성, 시스템 운영, 사용자 공지 및 로그 기록 관리 방법 중 적어도 하나 이상을 기준으로 위험도를 산출하는 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템.
  9. 제6항 또는 제7항에 있어서,
    상기 영향평가 수행부는,
    고객정보 보유수, 타업무 영향도, 외부 연결성, 대고객 연관성 중 적어도 하나 이상을 기준으로 서비스별 가중치를 결정하는 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템.
  10. 제2항에 있어서,
    상기 PIA 프로세스 모듈은,
    영향평가 수행 결과로서 도출된 각 권고방안에 대한 이행계획의 수립을 지원하는 이행계획 수립부와;
    상기 수립된 이행계획에 따르는 이행점검 실사 결과 정보를 등록받아, 고객 정보 영향평가를 재수행하는 이행 점검부;
    를 더 포함하는 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템.
  11. 제10항에 있어서,
    상기 이행계획 수립부는,
    이행담당자, 목표이행률, 예정 이행완료일시, 이행내용 중 적어도 하나 이상을 포함하는 이행계획정보를 입력 받아 프로젝트 별 이행계획에 대한 이행현황을 점검하기 위한 이행계획을 수립하는 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템.
  12. 제10항에 있어서,
    상기 이행 점검부는,
    완료 이행률, 이행 담당자, 완료이행 일시, 이행 내용, 미이행 사유 중 적어도 하나 이상의 정보를 입력 받아, 이행 점검을 실시하는 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템.
  13. 제1항에 있어서,
    상기 고객정보 영향평가 시스템은,
    사용자 정보의 연동을 위한 인사관리 데이터베이스, 결재정보 연동을 위한 전자결재 시스템, 프로젝트 및 사업 아이디 연동을 위한 R&D 투자관리 시스템, 프로젝트 정보의 연동을 위한 보안진단관리 시스템, 사원 아이디에 의한 통합 로그인을 적용하기 위한 사내 인트라넷 시스템 중 적어도 하나 이상의 외부 시스템과 연동하는 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템.
  14. 제1항에 있어서,
    상기 데이터베이스에는 프로젝트의 부문별 점검항목, 점검시점 별 점검항목, 고객정보 취급자 별 점검항목 정보가 저장되며,
    상기 PIA 프로세스 모듈은,
    상기 프로젝트의 부문, 점검시점, 고객정보 취급자에 대한 정보를 근거로 하여 점검항목을 도출하고, 도출된 점검항목으로 구성되는 영향평가 점검표를 생성하는 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템.
  15. 제1항에 있어서,
    상기 고객정보 영향평가 시스템은,
    부서/사용자, 권한, 접근 로그 중 적어도 하나 이상을 관리하기 위한 시스템 관리 모듈;
    을 더 포함하는 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템.
  16. 특정 사업/서비스 기획 과정에서 필요로 하는 고객 정보의 수집 및 이용이 고객의 개인정보에 미치는 영향을 평가하기 위한 고객정보 영향평가 방법으로서,
    고객정보 영향평가 대상 여부를 확인하기 위하여, 수집/이용할 고객정보를 체크하도록 하는 제1단계와;
    상기 체크된 고객정보에 근거하여 영향평가 대상인지의 여부를 판단하고, 판단 결과 영향평가 대상인 것으로 확인되면, 기본 현황 정보 입력 과정, 추가 정보 입력 과정, 사전 분석 과정, 데이터 분석 과정, 업무 분석 과정 및 점검표 작성 과정 중 적어도 하나 이상을 수행하여 영향평가를 위한 정보를 입력받는 제2단계와;
    상기 입력된 정보 및 데이터베이스에 미리 저장된 기준 정보를 근거로 하여 해당 프로젝트가 고객정보에 미치는 영향평가를 수행하고, 그 결과에 따라 고객정보 보호를 위한 권고대책에 대한 정보를 포함하는 결과 보고서를 생성하여 출력하는 제3단계;
    를 포함하는 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영 향평가 방법.
  17. 제16항에 있어서,
    상기 제2단계에서,
    상기 기본 현황 정보 입력 과정은, 영향평가 요청인 정보, 프로젝트 구분 정보, 프로젝트 유형, 고객정보를 볼 수 있는 취급자 정보, 프로젝트 개발 일정/ 운영 일정 정보, 관련 조직 구성원 정보, 고객정보 및 유지보수 하드웨어/소프트웨어의 위탁 현황 정보 중 적어도 하나 이상의 정보를 입력받는 과정인 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 방법.
  18. 제16항에 있어서,
    상기 제2단계에서,
    상기 추가 정보 입력 과정은,
    시스템 현황 정보, 취급할 고객정보, 시스템 인프라 정보 중 적어도 하나 이상의 정보를 입력받는 과정인 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 방법.
  19. 제16항에 있어서,
    상기 제2단계에서,
    상기 사전 분석 과정은,
    취급할 고객정보의 수집 방법과, 취급 현황 정보를 파악하기 위한 설문 조사 페이지를 생성 및 제공하고, 설문 조사 결과를 토대로 사전 분석을 수행하는 과정인 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 방법.
  20. 제16항에 있어서,
    상기 제2단계에서,
    상기 데이터 분석 과정은,
    고객정보 별 상세분석을 위해 고객정보의 수집 경로, 취급자, 고객정보 이용 목적, 고객정보의 저장매체, 고객정보 폐기 방법 중 적어도 하나 이상의 정보를 입력 받아 고객정보 흐름도를 자동으로 생성하는 과정인 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 방법.
  21. 제16항 내지 제20항 중 어느 한 항에 있어서,
    상기 제2단계는,
    상기 기본 현황 정보 입력 과정, 추가 정보 입력 과정, 사전 분석 과정, 데 이터 분석 과정, 업무 분석 과정 중 적어도 하나 이상의 과정을 수행하고, 수행된 과정을 통해 획득한 정보를 기초로 데이터베이스로부터 고객정보 영향평가를 위한 점검항목을 추출하며, 추출한 점검항목 별 질의내용을 포함하는 점검표를 제공하여 점검항목 별 질의내용에 대한 사용자 응답 정보를 획득하는 점검표 작성 과정 을 수행하는 단계인 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 방법.
  22. 제21항에 있어서,
    상기 제3단계는,
    상기 제2단계에서 입력된 정보 및 상기 작성된 점검표의 정보를 근거로 하고, 데이터베이스의 정보를 참조하여, 상기 점검표의 각 점검항목을 기반으로 고객정보를 침해할 수 있는 요인들을 도출하고, 침해요인 별 권고대책을 생성하며, 생성된 권고대책을 포함하는 결과 보고서를 생성하는 단계인 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 방법.
  23. 제16항에 있어서,
    상기 고객정보 영향평가 방법은,
    상기 제3단계의 영향평가 결과에 근거하여, 권고대책의 이행 계획을 수립하 는 제4단계와;
    상기 수립된 이행 계획에 따르는 이행점검 결과 정보가 등록되면, 등록된 이행점검 결과 및 이전 영향평가 수행이력을 기초로 최종 영향평가 결과 보고서를 생성하여 제공하는 제5단계;
    를 더 포함하는 것을 특징으로 하는 고객의 개인정보 보호를 위한 고객정보 영향평가 방법.
KR1020070006469A 2007-01-22 2007-01-22 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템 및방법 KR20090000162A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020070006469A KR20090000162A (ko) 2007-01-22 2007-01-22 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템 및방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020070006469A KR20090000162A (ko) 2007-01-22 2007-01-22 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템 및방법

Publications (1)

Publication Number Publication Date
KR20090000162A true KR20090000162A (ko) 2009-01-07

Family

ID=40483386

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020070006469A KR20090000162A (ko) 2007-01-22 2007-01-22 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템 및방법

Country Status (1)

Country Link
KR (1) KR20090000162A (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113657849A (zh) * 2021-07-28 2021-11-16 上海纽盾科技股份有限公司 等保测评信息处理方法、装置及系统
KR102611451B1 (ko) * 2023-07-03 2023-12-08 대진정보통신 주식회사 지능형 게이트웨이 기반의 개인정보영향평가 자동 관리시스템

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002149957A (ja) * 2000-11-10 2002-05-24 Initia Consulting Inc 経営評価システム
KR20060023588A (ko) * 2006-02-06 2006-03-14 에프엑스코어솔루션(주) 기업의 영업환위험 관리 의사결정지원 시스템
KR20060077829A (ko) * 2004-12-31 2006-07-05 엔원(주) 시스템내 구성요소간 영향도 및 관계 분석 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002149957A (ja) * 2000-11-10 2002-05-24 Initia Consulting Inc 経営評価システム
KR20060077829A (ko) * 2004-12-31 2006-07-05 엔원(주) 시스템내 구성요소간 영향도 및 관계 분석 방법
KR20060023588A (ko) * 2006-02-06 2006-03-14 에프엑스코어솔루션(주) 기업의 영업환위험 관리 의사결정지원 시스템

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113657849A (zh) * 2021-07-28 2021-11-16 上海纽盾科技股份有限公司 等保测评信息处理方法、装置及系统
CN113657849B (zh) * 2021-07-28 2023-07-18 上海纽盾科技股份有限公司 等保测评信息处理方法、装置及系统
KR102611451B1 (ko) * 2023-07-03 2023-12-08 대진정보통신 주식회사 지능형 게이트웨이 기반의 개인정보영향평가 자동 관리시스템

Similar Documents

Publication Publication Date Title
US7823206B2 (en) Method and apparatus for establishing a security policy, and method and apparatus of supporting establishment of security policy
KR100755000B1 (ko) 보안 위험 관리 시스템 및 방법
US20060136327A1 (en) Risk control system
US20200287940A1 (en) Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
US20210112103A1 (en) Data processing systems for data-transfer risk identification, cross-border visualization generation, and related methods
Beckers et al. A structured comparison of security standards
Al-Karaki et al. GoSafe: On the practical characterization of the overall security posture of an organization information system using smart auditing and ranking
Canedo et al. Proposal of an Implementation Process for the Brazilian General Data Protection Law (LGPD).
Yee Visualization and prioritization of privacy risks in software systems
KR20090000162A (ko) 고객의 개인정보 보호를 위한 고객정보 영향평가 시스템 및방법
Suroso et al. Information System Audit Using Framework Cobit 4.1 on PT Klikfix Asia International
KR102127656B1 (ko) 정보보호 시스템 취약점의 자동 진단 분석을 위한 서버 및 그 시스템
Maingak et al. Information security assessment using ISO/IEC 27001: 2013 standard on government institution
Shimels et al. Maturity of information systems' security in Ethiopian banks: case of selected private banks
Yermalovich et al. Risk forecasting automation on the basis of MEHARI
EP1160643A2 (en) Method of establishing a security policy, and apparatus for supporting establishment of security policy
Romadhona et al. Evaluation of information security management in crisis response using KAMI index: The case of company XYZ
Czech Economic and legal aspects of employee monitoring, with particular emphasis on remote work
Taubenberger et al. IT Security Risk Analysis based on Business Process Models enhanced with Security Requirements.
Yoo et al. Public IT service strategy for social information security in the intelligence all-things environment
Wojcik Network cybersecurity indicators: Determining cybersecurity indicators that accurately reflect the state of cybersecurity of a network
Ziro et al. Research of the Information Security Audit System in Organizations
O’Connor et al. Security awareness in the software arena
Yee Visualization of privacy risks in software systems
Axelrod Creating data from applications for detecting stealth attacks

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E902 Notification of reason for refusal
E601 Decision to refuse application