2. 차례
2
Ⅰ. GRC란?
Ⅱ. GRC와 Data Privacy Compliance Management
Ⅲ. HPE 솔루션
Ⅳ. Offerings
Ⅴ. HPE의 역량과 차별점
Ⅵ. Buying Factors
Ⅶ. Delivery model
3. 들어가며…
3
■ 본 Offering의 목적
• GRC에 대한 이해
• Data Privacy Compliance Management의 개념 아키텍처 정립
• Data Privacy Compliance Management 시스템 구축을 위한 상세 Offering 정의
: Advise, Transform, Manage
■ 향후 필요한 추가 작업
• Offering과 솔루션 상세화 : 각 비즈니스 레이어에 대한 상세화 작업
• 솔루션 모듈 중에서 상용 솔루션 또는 오픈 소스로 대체할 수 있는 솔루션 매핑
Best of breed로 사용/협력 가능한 솔루션 공급사 선정
해당 솔루션에 대한 심화 학습을 통한 전체 아키텍처 보완
4. 주요 용어
4
용어 의미
설문 Compliance 진단을 수행할 때 사용자에게 직접 보여주는 질문 항목으로 제품이나 서비스 기획, IT 개발, 약관 작성 등
실무 분야에서 개인정보 보호 규정을 준수하고 있는지를 점검
(Rule engine에서 Rule을 실행시킨 결과물)
법/규정 Compliance와 관련하여 기업이 지키고 확인하여야 하는 국가나 공공기관이 정한 법 또는 규정 (예, 개인정보보호법)
정책 개인정보 보호와 관련되어 기업이 정한 규정 (예, 전사 개인정보보호 정책)
정책관리 각종 규약과 Control을 관리
Control 설문의 기준/근거가 되는 규약 중에서 개인정보 보호와 관련된 항목을 추출한 것으로써 법/규정/정책을 Compliance 진
단과 평가에 적용하기 위해 상세화한 프로시저
Rule 설문을 만들기 위해 Rule engine에 입력하는 프로그램. 즉, 텍스트 상태의 control을 프로그래밍 언어로 바꾸는 것
Rule Engine 입력된 텍스트 상태의 control을 compliance assessment에서 사용되는 설문으로 만들어 주는 interpreter
프로젝트 개인정보 보호 관련 Compliance 여부의 진단을 시작하고 수행하는 단위.
HPE의 Data Privacy Compliance Management 솔루션과 관련된 주요 용어는 아래와 같습니다.
6. GRC란?
6
GRC란 기업이 비즈니스를 수행하면서 준수해야 하는 각종 법규의 준수 여부/수준(Compliance)과 이를 따르지
않았을 경우의 영향과 위험 관리(Risk), 그리고 준수 절차와 방법을 총괄 관리하는 것(Governance)입니다.
Governance
위험이나 규제관리를 위한
의사결정과 책임에 관한
프레임워크
Risk Management
위험으로부터 자산이나
사업 영역을 보호하기 위한
프로세스
Compliance
법령에서 요구하는
규제들을 준수하기 위한
규정(내용)과 절차
위험(Risk)
허용 규칙
위험(Risk) trade-off 결정
위험(Risk)
trade-off
결정
누가 무엇을 결정하고,
누가 프로세스를
준수해야 하는지 결정
위험(Risk) trade-off 결정
준수하지 않았을 경우의 영향과 위험
거버넌스 목표 선정
대상과 프로세스 선정
통제활동 정의 모니터링
규제 항목 정의
해당 규제 관련 프로세스 식별
통제활동 정의 모니터링
위험 정의
대상 위험 관련 프로세스 식별
통제활동 정의 모니터링
7. GRC 영역별 주요 내용
7
기업의 GRC에서 Governance는 규칙과 관제에 대한 관리를, Risk management는 준수/미준수에 따르는 영향과
위험을 관리하며, Compliance는 실제 준수해야 할 내용을 관리합니다.
영역 설명 목적 주요 내용/Activities 측정 방법(IT 관점)
Governance
기업활동과
관련되어 준수해야
할 문화, 목표,
프로세스, 정책,
법/규정에 대한 관리
완전한 관리
• 관리 조직(Governing bodies) 설계
• 기업의 위험관리와 위험 평가
• 비즈니스 성과 모니터링 & 보고 : balanced
scorecards, risk scorecards, operational controls
dashboards 등
• 비전 설정과 정책 수립
• 관제 목표 달성을 위한 IT 시스템의 활용
• 재검의 필요없이 제 때에 의사결정이 이루어짐
• 비즈니스 요구와 방향에 부합하는 IT 시스템의
안정성, 무결성, 가용성
• 시의적절하게 정책을 생성하고 관리
Risk
Management
기업의 목표달성에
영향을 미칠 수 있는
사건(위험)의
가능성과 영향도
관리
효율적인 위험
관리
• Risk 등록
• Risk 평가와 우선순위 결정
• Risk 분석
• 손실 내역과 사고대응 내역 관리
• 이슈의 근본 원인 분석과 완화
• 잠재 위협을 선제적으로 식별하고 관리
• 위험 식별을 위한 분명하고 문서화된 절차
• 영향과 가능성 결정
• 완화/이전/수용을 위한 우선순위 설정과 관리
• 적절한 통제 방법과 솔루션 식별
• IT 시스템의 안정성, 무결성, 가용성
Compliance
법/규정, 기업의
정책과 절차, 각종
표준 등을 준수하고
이를 입증하는 행위
규정, 법, 정책의
준수
• 요구사항 관리 : 법/규정 등의 요건 관리/현행화
• Control 관리 : controls 계층구조 관리, 테스트
• Findings and exceptions
• Compliance 증적 데이터 관리
• 진단과 감사
• 이슈 추적과 개선
• Analytics
• 비즈니스를 수행에 따른 규정과 법의 영향 관리
• 적용가능한 기업의 정책, 법, 규정 식별
• 법, 규정을 준수하도록 지원할 IT 시스템의 설계,
개발, 운영
• 측정 가능한 control 관리
8. GRC 관련 이슈
8
비즈니스의 확장에 따라 준수해야 할 법/규정이나 표준도 늘어나고 있으며, 또한 이들을 준수하지 않았을 경우
막대한 비용 손실과 기회의 박탈이 있으므로 GRC 구현을 통해 사전에 대응하는 체계를 만들어야 합니다.
기업이 준수해야 할 법/규정의 잦은 변경과 신규
생성
GRC 관련 법/규정, 표준 등의 준수와 기업내
통제 실패 사례의 증가
인재 관리 제도의 변화
위험 관리와 compliance 관련 기능들이
분산되어 있음
ERP와 GRC를 비효율적으로 사용
프로세스의 표준화 강화 추세
(GRC 위반으로 인한 잠재적 위험으로부터의)
비용 절감
운영 모델의 분권화
관련 이슈 기대 효과
위험 노출에 대한 즉각적이고 장기적인 해결책
수립
위험에 대한 사전 준비가 가능해지고
사건 발생시 대응 시간(event response time)의
개선
유연하고 확장 가능한 통제 환경 구축
모니터링과 개선 작업 등과 같은 기업 내/외의
위험 관련 활동을 통해서 비용 절감
(법/규정 위반으로 인한) 비즈니스 실패 위험 감소
가치 기반의 위험관리를 통해 기업 성과와 혁신
작업의 개선
GRC
구현
/
대응
9. GRC 성숙도 모델
9
GRC 관련 대응 체계를 수립은, 당장의 요건을 만족하기 위한 point solution에서 부터 기업 전반적인 GRC
체계와 시스템을 구축하는 enterprise transformation으로 나아가야 합니다.
<출처 : Ernst & Young, 2015>
전략적 목표를 지원하는 전사 차원의 GRC 프로그램 개발
위험 관리의 통합
위험 관리와 통제의 개혁
Driver 기반의 성과 관리로 통합
Business intelligence 통합
지속적인 모니터링
GRC의 특정 기능과 프로세스를 설계하고 구축
Compliance 관련 기능의 강화
정보 아키텍처(IA) 절차와 기술의 이행
분석(analytics) 가능, 사기 모니터링
프로세스 개선과 자동화 (예, 회계 마감 대사)
GRC를 활용하여 특정 이벤트나 상황에 대비
비즈니스와 IT 프로세스 수립, 통제 모니터링, 테스트
민감성 테스트, 접근 통제, 업무의 분리
주로 데이터 분석과 정보 관리 활동 중심
GRC
Functional
transformation
GRC
enterprise transformation
GRC
Point
solutions
10. Ⅱ. GRC와 Data Privacy Compliance
Management
• GRC와 Data Privacy Compliance Management
• 서비스 등의 개발 시 개인정보 보호 준수를 위한 절차
• 기업의 개인정보보호 Compliance 관리 동향
• 개인정보 보호 관련 법과 규정
11. GRC와 Data Privacy Compliance Management
11
HPE의 Data Privacy Compliance Management 솔루션은 GRC 이슈 중에서 개인정보 보호와 관련된 이슈의
규제 준수를 위한 솔루션입니다.
Data Privacy Compliance
Management는…
GRC 이슈 중에서 개인정보보호를
위하여 법/규정에서 요구하는 기본
사항을 충족하는 한편, 법/규정 이외의
내/외부 Risk를 종합적으로 관리하기
위해 필요한 의사결정과 책임에 관한
정책 프레임 워크
• 인적 사항 : 개인. 가족관계, 가족 구성원
• 신체 정보 : 신체 정보, 의료/건강 정보, 습관 등
• 정신 정보 : 성향, 사상, 신조, 종교, 대여 기록 등
• 재산 정보 : 개인 금융 정보, 신용 정보
• 사회 정보 : 교육, 전과기록, 근로, 병역 정보
• 기타 : 개인 위치정보, IP 정보, 전화통화 내역
GRC는 …
지배력, 위험관리, 규제준수는 경영목적에
부합되는 지속적인 경영활동을 보장하기 위한
핵심요소
(= 법규에 대응하기 위한 내부통제)
• Governance : 기업의
경영자가 추진하는 방향으로 나아갈 수 있도록
기업의 자원을 동원 하는 힘(지배력)
• Risk : 회사가 감당하게 될 수 있는 위험에 대한
사전 관리
• Compliance : 규제에 대한 수용 또는 준수
12. Data Privacy Compliance Management의 배경
12
IT 기술의 발전과 이에 기반한 각종 서비스의 확대에 따라 개인정보 보호 관련 규제의 준수가 매우 중요한 이슈가
되고 있습니다.
개인정보 보호 준수 규정과 관계된 각종
서비스의 개발/확대
Wearable 스마트 기기의 확산으로 인한 무분별한
개인정보의 취합과 저장
예) 구글 글래스, 스마트 워치 등
클라우드 서비스의 확대 국경없는 데이터 저장
Big Data와 IoT 기술의 발전과 관련 서비스의
확대 금융, 의료 관련 온갖 종류의 개인정보
데이터 취합, 응용 가능
예) 생체인식, 간편 결제 등
IT 기술의 발달과 확장으로 인한 손쉬운
개인정보 수집과 관리
개인정보 유출로 인한 피해의 증가
각국의 개인정보 보호 규제의 위반에 따른
제재의 증가
자국민의 개인정보보호를 위해 무분별한
데이터 국외이전을 제한
러시아
자국민의 개인정보를 수집하거나 처리하는 데이터
서버는 러시아 영토 내 설치 (’15.9월)
EU
EU 시민의 개인정보를 보호하기 위해 미국과
체결한 ‘세이프 하버(Safe Habor)’조약
무효화(’15.10월)
각국의 규제 강화개인정보를 취급하는 서비스의 확대
각종 이벤트에 개인정보의 수집
Wearable 스마트 기기
Connected Car
미국 FTC(연방거래위원회), 구글의 개인정보보호
정책 합의 위반에 대한 벌금 부과
FTC, 페이스북의 일방적인 개인정보정책 변경에
따른 개인정보보호 정책 합의
• 19 UK local government authorities
PII (개인 식별 정보) 유출
총 벌금 £1.885M 부과 ($2.884M, 약 31억 원)
• Zurich Insurance SA
64만 건의 개인정보가 저장된 백업 기기 분실
(암호화 미비) 벌금 £2.275M 부과 ($3.5M, 약
37억 원)
• HSBC Actuaries
18만 건의 개인정보가 저장된 데이터 저장 미디어
분실
벌금 £3.2M 부과 ($4.9M, 약 53억 원)
• 국민카드, NH농협카드, 롯데카드(2014년
1월 )
역대 최대 규모의 유출 사건. 중복 및 사망자
포함 약 1억명분의 개인정보가 유출
• 인터파크 개인정보 유출(2016.5)
인터파크 회원 1030만명의 정보가 사이버 범죄에
의해 침해
13. 개인정보 보호 관련 법과 규정
전세계 72개국에서 정보보호법을 시행 중이며 미국, 유럽, 한국에서는 규제 수준이 매우 높습니다. 2018년 EU에서
더 높은 수준의 GDPR(General Data Protection Regulation 개인정보보호 일반규정)을 발효/시행 할 예정입니다.
13
HEAVY ROBUST MODERATE LIMITEDRegulation & Enforcement
Argentina
Australia
Austria
Belgium
Brazil
British Virgin Islands
Bulgaria
Canada
Cayman Islands
France
Germany
Gibraltar
Greece
Guernsey
Honduras
Hong Kong
Hungary
Iceland
Macau
Malaysia
Malta
Mauritius
Mexico
Monaco
Morocco
Netherlands
New Zealand
Serbia
Singapore
Slovak Republic
South Africa
South Korea
Spain
Sweden
Switzerland
Taiwan
Chile
China
Colombia
Costa Rica
Cyprus
Czech Republic
Denmark
Egypt
Finland
India
Indonesia
Ireland
Israel
Italy
Japan
Jersey
Lithuania
Luxembourg
Norway
Pakistan
Panama
Peru
Philippines
Poland
Portugal
Romania
Russia
Thailand
Trinidad and Tobago
Turkey
UAE - Dubai (DIFC)
UAE - General
Ukraine
United Kingdom
United States
Uruguay
• 전세계 72개국에서 정보보호법 시행 중 주요 국가 정보보호법 현황
• United States
- Privacy Act, 1974 – including U.S. Department of Justice
Overview
- Privacy Protection Act, 1980 (PPA)
- The HIPAA Privacy Rule
• Canada
- The Privacy Act, 1983.6
- Personal Information Protection and Electronic Data Act
(PIPEDA), 2000 (Bill C-6)
• European Union
- Data Protection Directive, 1998
- EU Internet Privacy Law, 2002 (DIRECTIVE 2002/58/EC)
- The Privacy Act, 1983.6
• Japan
- Personal Information Protection Law (Act)
- Law Summary from Jonesday Publishing
- Law for the Protection of Computer Processed Data Held
by Administrative Organs, 1988.12
• Korea
- 개인정보보호법(법률 제13423호)
- 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2009)
14. 서비스 등의 개발 시 개인정보 보호 준수를 위한 절차
14
개인정보를 처리하는 신규 프로젝트/시스템 개발/약관개발/서비스나 제품 개발 시, 초기 기획단계에서부터
‘개인정보보호’에 대해 종합적으로 검토하고 의사결정이 시작되어야 합니다.
1. 회사의 법무부서(또는 법률전문가)로부터 신규 서비스 등에 대해 검토를 받는다.
개인정보의 처리가 발생하는 새로운 서비스의 개발, 신규 프로젝트의 착수, 새로운 시스템 개발 시 관련
법령에 대해 종합적인 검토를 통해 법적 으로 준수해야 하는 체크 리스트를 확인한다.
2. 법/규정 이외에 내•외부 Risk에 대해 정보보호 부서/법무 부서/정책 부서에서 검토하여 최종
의사결정을 받는다.
법령을 모두 준수하였지만, 고객으로부터 부정적인 평가를 불러오거나 언론의 된서리를 맞을 수 있는
프라이버시 관련 기능이나 기술이 포함되어 있는지 확인하고 이에 대한 Risk 검토를 해야 한다.
3. 서비스 부서와 기술 부서에서는 위 법/규정이나 정책결정 사항을 신규 서비스나 시스템 등에
반영한다.
신규 서비스나 새로운 시스템 기획 부서는 위에서 검토한 내용과 도출된 개선사항을 서비스나 시스템
기획서에 반영한다.
<출처 : “개인정보 보호 GRC“, NHN>
15. 기업의 개인정보보호 Compliance 관리 동향
국내/외 개인정보보호 Compliance를 위하여, 글로벌 기업은 조직, 시스템/솔루션, 인증 측면에서 Compliance 관리
체계를 구축하고 있으며, HPE는 글로벌 Compliance 관리 조직과 지원 시스템을 도입하여 이에 대응하고 있습니다.
Compliance
관리 조직 구성
Compliance
시스템/솔루션
도입
국내/외
Compliance
공인 인증 취득
전사 Compliance 관리 컨트롤 타워 역할
조직/프로세스/정책에 대한 거버넌스
Compliance 관련 준수 여부 모니터링 및 감사
관련 법/규정, 규제 동향 파악과 사고 대응
Compliance 관리를 위한 IT 시스템 도입
전문적인 Compliance 솔루션 도입 또는 구축
정보보안 솔루션과 연계 적용 (ESM)
정보보안 및 개인정보 보호 인증 취득
- ISO27001, BS10012, ISMS, PIMS 등
국내/외 Compliance 표준 준수 입증
고객으로부터 개인정보 보호 관련 신뢰성 확보
개인정보보호 Compliance 관리 체계 HPE의 글로벌 Compliance 관리 체계 구현 사례
[공인 인증]
BS 10012:2009 – PIMS
ISO 27001:2013 – ISMS
ISO 22301:2012 – BCMS
[조직] HPE Privacy Office
[시스템] HPE Privacy Advisor
[시스템] HPE Privacy Rulebook
15
16. 개인정보 유출, 위반 사례
2013년 영국에서의 A전자 Smart TV 개인정보 무단 수집 사건 등을 통해 글로벌 기업들의 개인정보 관리에 대한
관심이 높아졌습니다.
• 2013년 영국에서 A전자의 스마트TV에서 사생활 보호기능을
작동시켜도 고객동의 없이 시청정보가 무단으로 수집되는 현상
확인
• 영국 정보감독위원회(ICO)의 데이터보호법 위반 혐의 조사
• 북미 지역 판매 TV도 해당 기능이 있는지 논란이 됨
• 최근 A 전자는 노르웨이 인증기관인 DNV로 부터 개인정보
관리체계와 관련된 국제인증을 획득
A Smart TV 개인정보 무단 수집
16
18. Ⅲ. HPE의 솔루션
Data Privacy Compliance Management
• Data Privacy Compliance Management 시스템
• Data Privacy Compliance Management 시스템의 구조
• 각 영역별 설명 : Portal, 프로세스관리, 정책관리, 진단관리, 사고대응관리, 감사관리, 컨텐츠관리
• 기대 효과
19. 지원
Data Privacy Compliance Management 시스템
19
HPE의 Data Privacy Compliance Management 시스템은 기업의 개인정보 보호 규제 준수의 효율적인 관리를
위한 IT 시스템으로 데이터공통비즈니스프리젠테이션 레이어로 구성되어 있습니다.
Portal
프로세스 관리
모니터링
Logging워크플로우 분석 검색 엔진
법/규정
프리젠테이션
레이어
비즈니스
레이어
데이터
레이어
룰 엔진
대시보드 리포트 공지/알림 권한
진단 관리정책 관리 감사 관리사고대응 관리 컨텐츠 관리
약관 Control정책 설문
교육,훈련
인증
(ISO, BS)
번역
수집
공통
레이어
20. Data Privacy Compliance Management 시스템의 구조
20
HPE의 개인정보 보호 규정 준수 관리를 위한 시스템의 각각의 구성요소들간의 관계는 아래와 같습니다.
프로세스 관리
Assessment 프로세스 시작, 프로젝트/프로젝트 그룹 관리, 진행상황 모니터링
진단 관리
• 진단
• 결과보고서
• 지침/법무의견/승인
• 규약 변경 알림
정책 관리
• 규약 조회
• 규약 현행화
• Control 관리
• Control trade-off 결정
• 설문 작성
감사 관리
• 모니터링(포털)
• 증적관리 - 유형별
• 결과보고서
사고대응 관리
• 고객불만 접수
• 프로세스 처리결과
관리
컨텐츠 관리
• 법규 version 관리
• 매핑관리 : 법규-
control-설문
법/규정/정책/약관 데이터베이스
법/규정/정
책/약관의
개정, 추가
초기등록
/현행화
Rule engine
Rule
설문
검색엔진Workflow
DPCM Portal
설문 시작
수집
모니터링 업데이트
검색
업데이트업데이트
21. 비즈니스 레이어와 법규 데이터베이스로부터 데이터를 받아 Dashboard,
법규의 검색, 사용자권한관리, 알림, 리포팅/통계 기능을 제공
정의
Portal
DPCM의 포털은 각 업무 영역(Business Layer)에 접근하는 통로이자 각종 대시보드, 모니터링, 진행 현황 등에
대한 정보를 일목요연하게 보여줍니다.
Dashboard와 검색 기능
• 시스템상의 업무진행현황, 할당된 작업 현황 조회
• 포털 내부 정보에 대한 검색기능 지원
• 포털의 검색엔진은 DB와 파일시스템의 정보를 수집하여 사용자에게
통합검색을 가능케 하고 영역별 검색 결과를 보여줌
알림(Notification)
• 알림 규칙 설정을 통해 SMS/Mail을 통한 알림기능 지원
보고서/통계
• 다양한 View의 리포팅/통계 기능 제공
• 사용자/시스템/업무별 맞춤 정보 제공
• 다양한 통계정보 제공으로 업무현황 파악과 의사결정 기반 마련
주요 기능과 특성
SC Portal
게시판 자료실 FAQ 공지사항
게시판 내용 ……. 2014-10-18 14:04
게시판 내용 ……. 2014-10-18 14:04
게시판 내용 ……. 2014-10-18 14:04
게시판 내용 ……. 2014-10-18 14:04
게시판 내용 ……. 2014-10-18 14:04
게시판 내용 ……. 2014-10-18 14:04
Dashboard ComplianceProcess Policy Incident Audit
[진행현황 ]
약관개발 10건
사고처리 8건
요청처리 2건
홍길동님 안녕하세요 로그아웃
5
10
15
어드민 사이트맵
진행중인 프로젝트
[Admin 권한]
• 기획/요청
• 진단
• 약관개발
[사용자 권한]
• 조회
약관 사고처리 요청
English
프로젝트 시작일 단계 상태 비고
OO 약관 개발 프로젝트 2016.7.15 시작
XXXX 어플리케이션 개발 2016.3.20 법무검토 중 법무팀 의견 반영
KKK 서비스 개발 2016.8.2 진단 완료
21
22. 약관/제품/서비스/어플리케이션 개발 시 개인정보 보호와 관련된 법규의 준수
여부를 점검하기 위한 프로세스의 시작과 진행 과정을 모니터링
정의
프로세스 관리
프로세스 관리에서는 개발하고자 하는 약관/서비스/제품/어플리케이션 등이 개인정보 보호를 준수하는 지 여부를
진단하는 전체 프로세스를 모니터링하고 관련 작업의 세부 내역을 확인할 수 있습니다.
통합 Workflow 구현
• 개인정보 Compliance 생명주기 전반을 관리
• Workflow 기반의 통합된 E2E 프로세스 모니터링
• 진행상황 가시화를 통한 통제 가능
• 약관/제품/서비스/어플리케이션 기획/개발 프로세스 중 개발/검정 활동과
Compliance 프로세스의 연계
이슈관리와 품질관리, 감사 지원
• 제품/서비스 전체 단계에 발생한 이슈 트래킹 관리
• 품질검수를 위한 테스트 설계 변경 수행 검수완료 프로세스
지원
주요 기능과 특성프로세스
관리
Workflow
진단
Biz
Process
어플리케
이션/활동
기획 설계 개발/검증 출시/적용
약관
제품
서비스
App
시작 검토
법무팀
확인
조치
결과
완료
진단 관리 Portal
감사 관리
조치
업데이트
보고서, 공지
품질 관리이슈 관리
설문
평가
사고대응
관리
활용
22
23. 제품, 서비스, IT, 마케팅, 법무 등 조직 개인정보 Compliance 관리에 필요한 컨텐츠인 정책, 법/규정, Control, 설문,
약관을 한 곳에 게시하고, 업무상 개인정보를 취급하는 제품/서비스 기획
부서, IT 부서, 마케팅 부서 등이 컨텐츠를 손쉽게 조회
정의
정책 관리
정책 관리는 정책, 법/규정, Control, 설문, 약관에 대한 게시와 조회 기능을 지원하며, 변경된 법/규정의 내용과 동향
정보를 제공합니다.
• 정책, 법/규정, Control, 설문, 약관 등 컨텐츠 게시, 조회, 현행화
• 정책, 법/규정 변경/추가에 따라 영향 받는 Control의 우선순위 및
트레이드오프를 관리
• 다국어 검색 지원
∙ 다양한 국가별 언어로 법/규정 검색 가능
∙ 검색어에 대한 다국어 번역(교차어) 지원
• 제정시점/적용시점 별 법/규정 정보 검색 지원
• 법/규정 정보에 대한 알림/공지 구현
주요 기능과 특성
정책 관리
• 정책, 법/규정, Control, 설문, 약관 등 컨텐츠의 게시 및 조회
• Control의 우선순위 및 트레이드오프 관리
• 설문 텍스트의 조회 및 수정
컨텐츠 관리
• 컨텐츠의 등록 및 관리
• 컨텐츠의 버전 및 매핑 관리
• Control 변경/추가에 따라
영향 받는 설문 입력
진단 관리
• Compliance 진단 수행
• 보고서 및 가이드 생성
• 진단 프로젝트에 대한
라이프사이클 관리
설문 룰 입력
정책, 법/규정, Control, 설문, 약관 제공
정책, 법/규정, Control, 설문, 약관 제공 정책, 법/규정, Control, 설문, 약관 제공
23
24. Compliance 진단
• Compliance 진단 수행
∙ 개인정보 취급 업무에 대한 설문을 통한 진단
∙ 진단 결과에 대한 리뷰/승인/의견
• 보고서 및 가이드 생성
∙ 개인정보 취급 업무에 대한 설문 후 보고서 생성
∙ 진단 결과에 대한 가이드 및 상담 제공
• 진단 프로젝트에 대한 라이프사이클 관리
∙ 개인정보 취급 업무에 대한 진단 내용 및 이력 조회
∙ 컨텐츠 관리 모듈이 설문 룰 입력 시 리뷰/승인
• 선행 설문 답변을 근거로 관련 있는 후속 설문을 동적으로 생성
• 보고서는 Compliance/Risk 지표, Control 준수 상태, 추가 자료 (체크
리스트, 추가 Compliance 요건), 근거 자료 (위반 법/규정, 관련
Control)를 포함
주요 기능과 특성
진단 관리
진단 관리는 HPE의 개인정보보호 경험과 지식을 바탕으로, 업무 상 개인정보 취급 시 관련 Risk와 Compliance 이
슈를 진단하는 룰 엔진 기반 지능형 의사결정 지원 시스템 입니다.
제품 및 서비스 기획, 약관 제작, IT 개발, 마케팅 등의 업무를 수행할 때
개발/검증 단계에서 개인정보 관련 Risk와 Compliance 이슈를 진단하고,
사후에 개인정보보호 법/규정 및 Control 변경 시 영향 받는 업무를 식별하고
재 진단
정의
설문 응답
• 서비스/제품/약관
등 기획
• 진단 프로젝트
생성
• 업무 정보 입력
• 진단 설문 응답
• 추가 요건 대응
제품/서비스
기획 부서
진단 관리
• 설문 생성
• 응답 분석
• 보고서 생성
• 가이드 생성
• 진단 프로젝트
관리
진단 리뷰
• 진단 프로젝트
리뷰
• 관련 법/규정 확인
• 추가 요건 생성
• 진단 프로젝트
승인
• 설문 룰 입력 승인
Compliance
관리 부서
설문
응답
진단
결과
진단
결과
리뷰
결과
룰 엔진
24
정책 관리
참조
확인
정책 관리
참조
25. 개인정보 보호 Compliance 관련 사고에 대한 신속한 감지, 조사, 조치와
재발 방지 활동에 대한 통합적인 관리 또는 모니터링 활동
정의
사고대응 관리
콜센터, 미디어에 보도된 사고, 기타 신고 및 내부 감지된 Compliance 사고 대응 이력을 관리함으로써, 재발을 방지
하고 사후 대응에 활용합니다.
주요 기능과 특성
다양한 접수 채널
• 콜센터, 모니터링시스템, ITSM등 다양한 시스템 연계 제공을 통한 사고
접수 기능 제공
사고 처리 절차 지원
• Workflow기반의 사고처리 프로세스 지원
• 처리이력 기반 효율적 사고 처리 지원
• 사고 대응 프로세스의 가시성 제공
지속적 추적관리
• 동일사고 방지를 위한 지속적 모니터링 및 개선
• 사고 조치 실적 관리
사고유입
사고 유형 분류
사고조사
사고등록 사고전파
대응팀 구성
영향도 분석
조치계획 수립
사고 조치
조치결과 확인
결과 보고
내용 고유
모니터링
피드백
사고이력
사고대응 프로세스 지원
사고처리 이력 관리
조치결과 리포트
사고대응 관리
진단관리정책관리 감사관리 컨텐츠 관리
• 법/규정
• 정책
• control…
• 사고이력
정보
• 설문검토 • 진단검증
25
26. 감사관리는 운영활동 전반에 걸쳐 정기적이고 지속적인 감사와 사후 조치를
추적 관리
정의
감사 관리
정기적/비정기적으로 수행되는 기업 내부의 개인정보 보호 규정 준수 상태를 점검 또는 감사하는 프로세스를 지원하
는 모듈로써 감사 프로세스 관리 기능과, 감사 결과에 따른 사후 활동을 관리하는 기능으로 구성되어 있습니다.
주요 기능과 특성
주요 감사관리 대상
• Data Privacy Compliance 절차 준수 여부
• 법/규정과 Control의 적절한 현행화 수준
감사관리
• 감사 일정 계획 관리
• 감사 결과 등록과 공유
Action/Action item 관리
• 감사 결과와 연계된 Action Item 등록과 업무 분장 관리
• Action Item 수행 프로세스 지원
감사실적과 통계 관리
• 감사와 Action 수행 실적 (건수) 관리
• 감사와 Action 수행 지표 관리 (준수율, 적합도, 이행율)
감사 관리 Action 관리
Action Item01
등록
Audit
계획수립
Audit
실행
Action Item
도출
Audit
결과보고
Action Item02
등록
Action Item03
등록
Action Item01
조치결과등록
Action Item02
조치결과등록
Action Item03
조치결과등록
• Audit 대상
• Audit 조직
• Audit 일정
감사 실적관리
프로세스 준수율 규제대응 적합도 개선과제 이행율
정책관리 진단관리
• 법 /규정정보
• 정책 정보
• 진단이력
• 진단 결과
• Action Item
정보
• 감사결과 • 조치결과
26
27. 법규/정책/가이드 등의 데이터를 수집하여 초기 구축하고, 이후 법규와
control 공급사를 활용하여 변경내용을 현행화하고 법규-control-설문 간의
매핑 관계 관리
정의
컨텐츠 관리
컨텐츠 관리에서는 DPCM의 핵심인 컨텐츠, 즉 법/규정, 정책, 표준 등을 현행화하고 이들과 control 간의 매핑 관계
와 그 이력을 관리합니다. 또한 각종 법/규정 등의 파일을 보관합니다.
법규 현행화
• 법규 서비스 제공업체를 이용한 자동 수집과 분석
• 영향도 분석을 통해 필요한 법규정보를 DB에 반영 : 버전관리
• 법규정보에 대한 알림/공지 구현
계층적 상속성 확보를 위한 데이터 관리 구조
• 계층적(법규-항목-조문) 법규정보 관리
• 변경사항에 대한 이력 관리
• 제정시점/적용시점별 법규정보 검색 지원
매핑 관리
• 법규/정책/약관과 control, 설문항목 간의 매핑관리
• 매핑 이력/추적 관리
주요 기능과 특성
Control
library
provider
수집/정제/분류
(법/규정, 각종 표준 등의 수집)
법/규정
이력
정책
이력
약관
이력
Control
이력
파일
storage
매핑 정보
검색엔진
데이터 관리(법규 DB)
문서 관리자료 검색매핑관리버전관리
진단 관리
등록/업데이트활용(설문)
27
28. 비즈니스 레이어
정의
공통 기능
공통기능은 Portal과 Business Layer 영역의 프로세스, 법규 데이터베이스를 구현 또는 지원하기 위한 기능
모듈로써 분석, 검색엔진, 룰엔진, 워크플로우, logging이 있습니다.
주요 기능과 특성
법/규정
정책
Control
설문
진단관리정책관리 감사관리
사고대응
관리
컨텐츠 관리
분석
• 다양한 통계
• 업무보고서
• 진행현황 조회
포털과 업무 프로세스에서 사용되는 각종 통계, 설문 생성, 승인 절차 관리,
이력 관리 등을 지원
룰엔진 워크플로우 Logging
검색엔진
대상수집 형식변환 색인추출
질의해석 후보추출 검색결과도출
룰엔진
• 법/규정, 정책, Control 문서의 내용을 변환 입력하면, 정의된 규칙에
따라 설문을 생성함
워크플로우
• 설계된 업무프로세스에 따른 업무흐름을 지원함
Logging
• 각종 처리정보와 분석에 필요한 정보를 저장함
검색엔진
• 저장된 데이터에 대하 신속한 검색을 지원함
분석
• 저장된 데이터에 대하 신속한 검색을 지원함
비즈니스 수행결과
검색요청
검색결과
28
29. 29
법규 수집
• Regulation Library
- 세계 각국의 개인정보보호 관련 법과 규정의 수집과 제공
• UCF(Unified Compliance Framework) 라이브러리 제공
- 1,200건 이상의 규정 데이터 베이스 보유
- 법/규정과 표준에 대한 근거자료와 참고 문헌 제공
번역
• 서비스 대상 국가 정책과 법규 번역 서비스 지원
- 주요 언어 번역 서비스 제공
- 개인정보보호 관련 정책과 법규 번역 제공
• 관련 법규 변경 시 변경사항 번역 지원
- 실시간 번역 지원으로 빠른 대응 가능
인증 지원
• 인증 종류
- Data Privacy : ISO 27001, BSI 10012
- Compliance : ISO 19600
- Risk Management : ISO 31000
• 인증 위한 프로세스 제공, 실사 지원, 준비 산출물 Translation 수행
교육/훈련
• 변경된 법규에 대한 변화관리
- 변경 사항 전파와 교육/훈련 지원
• 교육/훈련 커리큘럼 제공
- 개인정보 보호 관련 법/규정에 대한 유형별, 레벨별 커리큘럼 구성
- 교육/훈련 BPO 서비스 제공
준비
사항
지원 기능
Data Privacy Compliance Management 시스템을 운영하기 위해서는 구축 이후 지속적인 법/규정의 현행화와 이에 따른
교육/훈련지원이 지속적으로 이루어져야 합니다.
30. 기대 효과
기업은 DPCM 시스템을 구축함으로써 개인정보 보호 관련 법/규정의 위반에 따른 위험과 비용 손실을 예방할 수 있
을 뿐만 아니라 구성원들이 개인정보 보호에 대한 인식을 강화할 수 있습니다.
개인정보 보호 관련 Risk
감소
능동적인 규제 동향 및 사고 수집을 통해 선제적 사고 대응 기반 마련
사전예방 : 제품/서비스의 개발/검증 단계에서 Compliance 위배 요소 사전 점검하여 Risk 감소
Compliance 비용 절감
법무 검토 비용, 규제 기관 보고 비용, 규제 위반 소송 비용, 법정 증거 준비 비용, 과징금 등 각종 비용의 절감
개인정보 Compliance 관리와 시스템 자동화를 통한 Compliance 운영 비용 절감
Compliance 관리
가시성
개인정보보호 Compliance 진단 프로세스에 대한 강제 및 진단 후 종합적인 리포트/가이드 제공
개인정보보호 Compliance 진단이 필요한 업무에 대한 프로세스 진행 및 진단 현황에 대한 가시성 확보
Compliance 인식 강화
제품/서비스의 개발/검증 단계에서 Compliance 진단 프로세스 강제하여 직원들에게 Compliance 인식 강화
법/규정, Control, 설문, 약관의 변경 발생 시, 유관 업무에 대한 Compliance 재진단 프로세스를 강제 적용
신속한 사고 대응
사후조치 : 법/규정 변화 및 사고 발생 시, 제품, 서비스, 약관 등에 대한 영향을 식별하여 신속한 사고 대응
법/규정 – Control – 설문 – 약관 간 매핑 및 이력 정보 관리하므로, 컨텐츠 별로 연관된 항목을 하나의 Thread로 연결
30
32. Breadth of HPE Services to Compliance Management
HPE의 Data Privacy Compliance Management 솔루션과 관련된 offering은 컨설팅부터 시작하여 시스템의
구축과 운영까지 모든 단계의 서비스를 제공합니다.
32
Transform
Manage
Advise
HPE Data Privacy
Compliance Management
• Governance 체계 수립
• Compliance를 위한 관제 방법과
절차의 합리화/최적화
• 장기적인 로드맵을 수립하고 단기간에
빨리 수행해야 할 요소(quick wins)
식별
• 업무상의 요건 정의
• Compliance Management 관련
솔루션(패키지 또는 In-house 개발,
Best-of-breed 등) 선정
• Compliance Management 시스템 운영
• 다른 업무 영역(어플리케이션)이나 조직과 업무
프로세스 통합
• 유지보수 프로그램 수립
• 개인정보 보호를 위한 Compliance
Management 시스템(어플리케이션) 구축
• 솔루션(시스템)의 핵심 요소들 중심의
개발/확장
• 모니터링과 통제의 자동화
• 지속적인 모니터링 수행
33. Advice 서비스
33
영역 설명 주요 내용/Activities 주요산출물
Awareness Workshop
개인정보 보호 관리의 개요와 발생/대응 사례
등을 공유함으로써 관라의 중요도나
필요성에 대한 고객 공감대 형성
• 개인정보 보호 관련 규제동향, 위반사례,
Global 기업 대응 사례 공유
• 개인정보 보호 관련 고객 이슈 공유
workshop 수행 후 개략적 솔루션 도출
• DPCM 시스템 주요기능 Demo 수행
• 개인정보 보호 관련 규제동향
• 개인정보 보호 관련 위반사례
• Global 기업 대응 사례
• 고객별 이슈 리스트
Assessment service
for gap analysis
고객사 개인정보 보호 관리 현황 분석을
통합하고 개선 과제 도출
• 고객사 개인정보 보호 관리 정책, 절차,
조직, 시스템 분석 수행
• 선진사례 및 관련 규제와의 Gap 분석
• To-Be 관리체계로 이행하기 위한
과제도출
• 고객사 개인정보 보호 현황 분석서
• Gap 분석서
• 과제 도출
• 과제별 우선순위 및 실행 로드맵 도출
• 개인정보 보호 Compliance 관리 시스템
요건 분석
개인정보 보호 거버넌스
체계 설계
고객사 개인정보 보호 거버넌스 체계에 대한
통합 컨설팅 서비스 제공
• 개인정보 보호 거버넌스 체계 정립
- 운영정책 정의, 문서화, 조직구성
- 모니터링 및 보고 체계 정의
- 운영 프로세스 정의
• 개인정보 보호 관련 거버넌스 정책서
• 개인정보 보호 거버넌스 운영프로세스
정의서
• 개인정보 보호 거버넌스 R&R 정의서
인증지원 서비스
Data Privacy 관련 ISO 국제 인증 취득
지원서비스
• 인증 규격에 다른 내부 시스템 사전 감사
수행
• 개선요건 도출 및 개선 작업 지원
• 인증 신과 취득 절차 가이드
• 인증 내부 감사 보고서
- 프로세스 개선요건
- 문서화 요구사항 보안사항
- 시스템 개선 요건 등
HPE는 개인정보 보호 관리 영역에 대한 깊은 이해와 다양한 구축과 운영 경험을 바탕으로 진단과 컨설팅 관련
서비스를 제공합니다.
34. Transform 서비스
34
영역 설명 주요 내용/Activities 주요산출물
Data Privacy
Compliance
Management(DPCM)
시스템 POC
DPCM 시스템이 고객 비즈니스 환경과
요구사항에 적합한지 여부에 대한 POC 진행
서비스
• 현행 시스템 분석
• 적용 대상 모듈 분석
• POC 시스템 구축
• 기능 검증
• POC 요건 정의서
• POC 환경정의서
• POC 결과보고서
Data Privacy
Compliance
Management(DPCM)
시스템 구축서비스
고객사 환경에 특화된 DPCM 시스템의
설계와 구축
- 솔루션기반
- In-house 개발
• 현행 시스템 분석
• 적용 대상 모듈 분석
• 요구사항 상세화
• 설계
• DPCM 시스템 구축
• 테스트
• 안정화
• 유관데이터 이관
• 요구사항정의서
• 분석서
• 설계서
• 테스트 시나리오
• 테스트 결과서
Transform 서비스는 Data Privacy Compliance Management 시스템 구축을 위한 POC와 구축서비스로 구성되며,
구축서비스는 고객의 요구사항에 따라 솔루션 기반 또는 In-House 개발 방식 모두 지원 가능합니다.
35. Manage 서비스
35
영역 설명 주요 내용/Activities 주요산출물
AMS
(Application
Management Service)
DPCM 시스템 운영
• 시스템 모니터링
• DPCM 관련 S/R (Service Request)
접수와 조치 수행
• 운영 성과 보고
• 룰엔진 업데이트 수행
• 운영보고서 (실적/성과)
• 개선 현황 보고서
Compliance 현행화
서비스
정책, 법규, 컨트롤, 설문, 약관 등 번역,
현행화 서비스
• 서비스 대상국가의 정책과 법규 제/개정
모니터링과 정보 제공
• 서비스 대상 국가에 적용되는 컨트롤을
작성하여 제공
• 신규 적용 대상 컨트롤 정보에 기준한
업데이트 설문 도출
• 서비스 대상국가 정책과 법규 번역 서비스
제공
• 서비스 대상국가 정책과 법규 문서
• 적용대상 컨트롤 문서
• 번역 산출물
• 업데이트 대상 설문
구축된 Data Privacy Compliance Management 시스템을 운영하기 위한 서비스로, 어플리케이션 운영과 각종
법규와 표준의 현행화 서비스로 구성됩니다.
37. 제품 서비스 IT
기획 개발 검수 운영
마케팅
기업의 조직과 업무 프로세스
법무
개인정보보호 Compliance 관리 토털 솔루션
Data Privacy Compliance Management는 IT 시스템 구축 뿐 아니라, 거버넌스 설계와 시스템의 운영, 각국의
법/규정과 Control의 현행화까지 포괄하는 개인정보보호 Compliance 관리 토털 솔루션 입니다.
■ 기존 IT 투자를 보호하는 유연한 솔루션
■ 개인정보보호 Compliance 관리 체계에 필요한 서비스
• 기업의 개인정보보호 Compliance 관리 체계에 필요한 모든 서비스 제공
∙ 기업 고객의 조직 및 프로세스와 정렬된 거버넌스 설계 및 인증
∙ 설계된 거버넌스를 지원하기 위한 IT 시스템 인 DPCM 시스템 구축
∙ Compliance 관리 업무 수행을 위한 DPCM 시스템 운영
∙ 정책, 법/규정, Control, 설문, 약관 등 DPCM 시스템이 사용하는
컨텐츠 운영
• 오퍼링, 솔루션 모듈, 관리 대상 컨텐츠, 제휴 솔루션을 요건에 맞게
유연하게 선택하여 기존 IT 투자를 보호
∙ 오퍼링 – Advise 서비스, Transform 서비스, Manage 서비스
∙ 솔루션 모듈 – 프로세스 관리, 정책 관리, 진단 관리,
사고대응 관리, 감사 관리, 컨텐츠 관리
∙ 관리 컨텐츠 – 정책, 법/규정, Control, 설문, 약관
∙ Best of breed – 해당 분야의 베스트 솔루션과 제휴
Data Privacy Compliance Management
Advise
거버넌스 설계
Transform
시스템 구축
Manage
기업의 Compliance 대응 프로세스
시스템 운영
컨텐츠 운영
37
38. 검증된 HPE Compliance Intelligence
HPE는 그 동안 경험한 개인정보보호 Compliance 관리와 글로벌 네트워크를 Compliance Intelligence로 체계화
하여, 2010년부터 HPE 전세계 조직뿐만 아니라 글로벌 기업 고객에게 서비스를 제공하고 있습니다.
Control법/규정 Control표준/지침 설문
법/규정, Control, 설문 구축 법/규정, Control, 설문 현행화 글로벌 인증 지원, Control 개발, 감사Compliance 진단 룰 엔진 셋업
개인정보 Compliance 진단을 위한
룰 엔진 기반 설문조사
국가별 개인정보보호 법/규정, Policy,
Standard, Specification 참조
국가별 개인정보보호 법/규정,
Control 수집 및 업데이트
HPE Privacy Advisor
(룰 엔진 기반 Compliance 진단)
HPE Global Network
(법/규정 및 Control 업데이트)
HPE GRC
(컨설팅, 구축, 운영 서비스)
HPE Privacy Rulebook
(개인정보보호 Rule 참조)
38
39. 시행착오를 최소화하는 DPCM 구축 Framework
HPE의 GRC, Data Privacy Audit, Information Security 등 관련 Framework에 기반한 DPCM Framework를 사용하여
글로벌 트랜드와 고객 요구사항에 맞는 개인정보보호 Compliance 관리 시스템을 구축합니다.
Data Privacy Compliance Mgmt 시스템
GRC Framework
• GRC 조직과 프로세스 설계, 구축
• 기업의 업무 별 컨트롤 타워와 R&R
• GRC 각 영역 별 업무 및 기능
Data Privacy Framework
• 정책 가시성 제공
• Risk 진단
• 능동적 개입/지원
• 보안 평가
• 교육/훈련
• 모니터링
Information Security Framework
• 인프라, 운영, 프로세스, 소프트웨어,
거버넌스 측면에서의 정보보안
• 계약, 운영, 기술, 감독 관련 Best Practice
Audit & Assurance Framework
• COSO 모델에 기반한 Control 및 감사 체계
• Control 환경 구축, Risk 진단, Control 활동,
정보공유, 소통, 모니터링
39
41. Are you READY?
기업이 개인정보 보호 관련 규제의 준수를 제대로 이행하고 있는지 여부는 조직, 위험관리, 관리 시스템, 법/규정의
현행화의 관점에서 점검해야 합니다.
41
서비스하는 대상국들의 관련
법/규정과 산업 표준은 항상
최신 상태로 유지되고
있는가?
개인정보에 대한 주요 Risk에
대해 최고 경영진에게 즉시
보고가 되고, 의사결정이
내려지는가?
개인정보의 수집부터
파기까지 전체 프로세스를
관리할 개인정보보호 전담
조직이 있는가?
개인정보 보호 관련 규제의
준수를 보장할 수 있는
전사적인 통합 IT 지원
시스템이 있는가?
Organization
& Process
Support
by IT
Risk
Management
Up-to-Date
42. Buying factors
HPE의 DPCM 솔루션은 개인정보 보호 관련 compliance를 통합 관리할 수 있는 시스템을 구축할 뿐만 아니라 자사
의 운영 노하우를 기반으로 법/규정과 진단 관리 서비스를 안정적으로 지원합니다.
What do customers want? What are the key buying factors when choosing a vendor?
A. 사업부별, 프로젝트 별로 분산 관리되고 있는 개인정보
보호 관련 Compliance의 통합 관리
• Compliance를 위한 일관되고 체계적인 절차와 방법의
부재(Governance)
• 감사 또는 위험에 대비한 증적 자료의 관리 미흡
B. 개인정보 보호 관련 Compliance를 위한 통합 관리
시스템과 절차의 도입
• E2E 프로세스에 대한 모니터링 부재
• 시스템이 구축되어 있지 않거나, 일부 부서에서만 또는
부서별로 따로 구축/운영하므로 통합 모니터링 불가
• 불이행 또는 잘못된 수행에 대한 통제 불가
• 법규DB, 정책관리, Compliance 평가, 사고관리 등과의
통합 관리 부재
C. 세계 각국의 관련 법규의 현행화를 통한 Compliance
Assessment의 최신 상태 유지
• 각국의 관련 법규 수집과 현행화의 어려움
• 현행화된 법규에 대한 Compliance 업데이트 어려움
• 법규와 compliance(를 위한 설문)간의 매핑 이력 정보
관리 어려움
1. 개인정보 보호 Compliance를 위한 Governance를 설계한 경험이 있는가?
• 각국의 개인정보 보호에 대한 충분한 이해와 관련 이슈와 위험에 대한 지식
• 개인정보 보호 Compliance를 위한 Governance를 설계한 경험과 지식
• 실제 개인정보 보호 Compliance를 위한 governance를 구축/운영하고 있는지
2. 개인정보 보호 Compliance를 위한 어플리케이션을 설계하고 구축한 경험이 있는가?
• 개인정보 보호 compliance를 위한 검증된 어플리케이션을 보유하고 있는지 아니면 해당
어플리케이션을 구축한 경험이 있는지
• 법규와 고객의 요구사항에 맞춰 유연하게 시스템을 구성할 수 있는지
• 다양한 솔루션(상용, 오픈 소스) 또는 Legacy와의 유기적인 결합이 가능한지
3. 각종 법규를 현행화하여 유지할 수 있는가?
• 법규 현행화 유지/관리 경험이 있는지
• 자체 법규 현행화 솔루션 또는 서비스가 있는지
• 법규와 control 공급사와의 interface 경험
• 법규와 control, 설문항목 간의 매핑 관리, 매핑 이력관리를 할 수 있는지
4. Global business 경험이 있는가?
• 글로벌 기업, 글로벌 비즈니스를 대상으로 한 컨설팅, 구축, 운영 경험이 있는지
• 법규, 기술 관련 글로벌 벤더들과의 네트워크가 있는지
42
44. 개인정보 보호 관련 Compliance 관리 강화를 목적으로 조직/프로세스, 관리시스템 구축, 인증 지원 등을 통해
통합 Data Privacy Compliance Management 체계를 완성합니다.
기존 신규
정보보안 ISO27001 ISO31000
개인정보 PIMS BS10012
개선활동
조직 Compliance 통제 조직 구성
프로세스
개인정보 Compliance
대응 프로세스 개선
Compliance
조직/프로세스
Compliance
관리 시스템
Compliance
공인 인증
&
법/규정 현행화
개인정보
Compliance
관리강화
개인정보 보호 Compliance 관리 체계
통합 개인정보 보호 Compliance 관리 체계 구축
프로세스 관리
진단 관리
정책 관리
사고대응 관리
감사 관리
컨텐츠 관리
사업부1 사업부2 사업부3 전사…
기획 설계/개발 검수 운영
Compliance 대응 프로세스
Data Privacy Compliance Management
거버넌스
설계
시스템
운영
Data Privacy Compliance
Mgmt 시스템 구축
법규
현행화
구체화
지원
44
1
2
3
45. Service Excellence
HPE는 체계적인 방법론에 기반한 숙련된 전문가들이 내부 운영 경험과 솔루션을 기반으로 하여 고객에게 최고의
솔루션/서비스를 제공합니다.
45
Methodology
어플리케이션 구축을 위한 통합 방법론
보유 (EDGE, Development
Methodology 등)
Experiences
관련 또는 유사 시스템 구축과 운영
경험
Solution
실제 HPE 내부에서 구축하여 운영
중인 시스템 기반의 통합 Compliance
Management 솔루션
GRC팀
Compliance 관련 요건 분석과
컨설팅 역량
각종 법규의 현행화
Global Delivery
HPE의 Compliance
Management 시스템의 구축과
운영 역량
End-to-end solution
관련 법규 관리부터 진단, 사고대응, 감사
지원 관리까지 개인정보 보호 Compliance를
위한 모든 기능 구현
Customized
고객의 상황과 요구사항에 맞춘 유연한
시스템 구축.
기 출시된 솔루션을 포함한 최적의 시스템
구축 가능
Up-to-date library
세계 각국의 관련 법규를 항상 최신 상태로
유지하고 이와 관련된 설문도 실시간
업데이트
HP ES HP Practice
Library
Provider
Service Excellence
Regulation Library
세계 각국의 개인정보 보호 관련
법과 규정 제공
Controls
Compliance 진단을 위한 설문
기준이 되는 control 제공
Vendors
• UCF
• Data Guidance
48. Data Privacy
ISO 27001
ISO 27001
• 1995년 BSI(British Standardization Institute)에서 개발한 BS 7799를 ISO와
IEC에서 표준화해서 2005년도에 공표
• 14개 도메인 113개 통제 항목으로 구성
• 기관의 주요 정보자산을 보호하기 위해 정보보호관리 절차와 과정을
체계적으로 수립하여 지속적으로 관리 및 운영하기 위해 구축한 종합적인 체계
• 계획수립(Plan) – 실행(Do) – 점검(Check) – 조치(Act) 프로세스의 순환적
활동
기대효과
• 위험 요소를 식별하고 이를 관리 또는 제거하는 제어 장치 역할
• 전체 비즈니스 또는 일부 선택된 부분에 유연하게 적용 가능
• 이해관계자와 고객의 데이터를 보호함으로써 신뢰 강화
• 컴플라이언스를 증명하여 공급자들의 선호도가 향상
• 컴플라이언스를 입증함으로써 조직에 대한 기대가 부드러워짐
ISO 27001 Framework & Structure
48
49. Data Privacy
BS 10012
기대효과
• 개인정보보호 분야의 세부 요구사항을 충족하는
개인정보관리체계를 구축한 기업에 부여
• 개인정보의 관리체계 수립, 이행과 운영
• 개인정보 관리 활동에 대한 감사 및 경영 검토
• 개인정보의 수집, 처리 및 저장과 폐기
• 기술적 보안 통제
PDCA cycle applied to the management of personal information
BS 10012
• 2009년도 BSI(British Standardization Institute)에서 공표
• Data Protection Act 1998(DPA)의 요구사항에 대한 컴플라이언스 향상과
유지를 위하여 조직이 개인정보경영시스템(PIMS: Personal Information
Management System)의 수립과 운영을 규정하기 위한 규격
• BS 10012의 구성
• 개인정보관리를 위한 기본 체계 및 신뢰를 제공하고, DPA 컴플라이언스에
대한 평가를 위해 내부 및 외부 평가가 효과적으로 이루어질 수 있도록 함
49
50. Compliance
ISO 19600
ISO 19600
• 2012년 호주표준인 AS 8306을 기반으로 ISO에 컴플라이언스 표준에 대한
개발을 제안을 바탕으로 ISO/PC 271이 결성
• 조직이 운영하고 있는 Compliance management 에 대한 기존의 접근방식을
개선하고 넓히는 것을 지원하고자 개발
• HLS 방식을 따르기 때문에, 기존 ISO 경영시스템들과 통합되어 적용
기대효과
• 올바른 행동은 결국 회사의 ‘운영 자격‘의 기초가 됨
• 준수해야 하는 법적 요구사항의 수의 증가와 그 요구사항의 복잡함에 대응하기
위해서는 조직 내에서 체계적이고 계획된 접근방법 필요
• 조직이 법과 규제를 더 진지하게 준수하고 이행하는 것에 대한 책임을
받아들일 때 정부 감사 및 감독기관으로부터 혜택을 받을 수 있음
• 본 표준 준수를 통해 조직의 준법경영이 준비가 되어 있기 때문에 당국의 강도
높은 감사도 유연하게 대처하여 많은 시간 손실 및 기업활동 제한의 어려움을
피할 수 있음
50
51. Risk Management
ISO 31000
ISO 31000
• 2009년도 ISO(International Organization for Standardization)에서 발행
• 효과적인 Risk 관리를 위한 원칙을 수립
• 조직이 운영 중인 관리 프로세스와의 연동을 위한 프레임웍 제공
• 모든 형태의 조직에서 효과적인 Risk 관리를 위해 범용적으로 적용
• Risk 기반 경영시스템(ISO 9001, ISO 14001, OHSAS 18001, ISO 22000,
SIO 27001, SIO 28000등)과의 호환성을 통한 시스템 효과성 및 효율성 증대
• 인증서 취득을 위한 규격은 아님
기대효과
• 목표달성 가능성 향상
• 적극적 관리를 촉진 관리 향상
• 조직 전반적 위험을 식별 및 처리할 필요성을 인식
• 기회와 위협 식별 향상
• 조직에 적절한 위험 관리 관행 적용
• 관련된 법규/규제 요구사항 및 국제 기준 준수
• 재무 보고 개선
• 이해관계자의 신임과 신뢰 향상
• 의사 결정과 기획의 신뢰할 만한 기반 수립
• 위험 처리를 위한 효과적 리소스 배분 및 활용
• 운영 효과성 및 효율성 향상
• 환경적 보호는 물론 보건 안전 성과 향상
• 손실 방지 및 사고 관리 향상
• 손실 최소화
• 조직적 학습 향상
• 조직의 복원력 향상
51