SlideShare a Scribd company logo

HP의 compliance management 솔루션

Seong-Bok Lee
Seong-Bok Lee

개인정보 보호 규제 준수와 관련된 HP의 솔루션

Business
1 of 51
Download to read offline
HP Korea Compliance Management Solutions - 기업의 개인정보 보호 Compliance Management 2016.8 Enterprise Services 한국 휴렛팩커드
차례 2 Ⅰ. GRC란? Ⅱ. GRC와 Data Privacy Compliance Management Ⅲ. HPE 솔루션 Ⅳ. Offerings Ⅴ. HPE의 역량과 차별점 Ⅵ. Buying Factors Ⅶ. Delivery model
들어가며… 3 ■ 본 Offering의 목적 • GRC에 대한 이해 • Data Privacy Compliance Management의 개념 아키텍처 정립 • Data Privacy Compliance Management 시스템 구축을 위한 상세 Offering 정의 : Advise, Transform, Manage ■ 향후 필요한 추가 작업 • Offering과 솔루션 상세화 : 각 비즈니스 레이어에 대한 상세화 작업 • 솔루션 모듈 중에서 상용 솔루션 또는 오픈 소스로 대체할 수 있는 솔루션 매핑  Best of breed로 사용/협력 가능한 솔루션 공급사 선정  해당 솔루션에 대한 심화 학습을 통한 전체 아키텍처 보완
주요 용어 4 용어 의미 설문 Compliance 진단을 수행할 때 사용자에게 직접 보여주는 질문 항목으로 제품이나 서비스 기획, IT 개발, 약관 작성 등 실무 분야에서 개인정보 보호 규정을 준수하고 있는지를 점검 (Rule engine에서 Rule을 실행시킨 결과물) 법/규정 Compliance와 관련하여 기업이 지키고 확인하여야 하는 국가나 공공기관이 정한 법 또는 규정 (예, 개인정보보호법) 정책 개인정보 보호와 관련되어 기업이 정한 규정 (예, 전사 개인정보보호 정책) 정책관리 각종 규약과 Control을 관리 Control 설문의 기준/근거가 되는 규약 중에서 개인정보 보호와 관련된 항목을 추출한 것으로써 법/규정/정책을 Compliance 진 단과 평가에 적용하기 위해 상세화한 프로시저 Rule 설문을 만들기 위해 Rule engine에 입력하는 프로그램. 즉, 텍스트 상태의 control을 프로그래밍 언어로 바꾸는 것 Rule Engine 입력된 텍스트 상태의 control을 compliance assessment에서 사용되는 설문으로 만들어 주는 interpreter 프로젝트 개인정보 보호 관련 Compliance 여부의 진단을 시작하고 수행하는 단위. HPE의 Data Privacy Compliance Management 솔루션과 관련된 주요 용어는 아래와 같습니다.
Ⅰ. GRC란? • GRC란? • GRC 영역별 주요 내용 • GRC 관련 이슈 • GRC 성숙도 모델
GRC란? 6 GRC란 기업이 비즈니스를 수행하면서 준수해야 하는 각종 법규의 준수 여부/수준(Compliance)과 이를 따르지 않았을 경우의 영향과 위험 관리(Risk), 그리고 준수 절차와 방법을 총괄 관리하는 것(Governance)입니다. Governance 위험이나 규제관리를 위한 의사결정과 책임에 관한 프레임워크 Risk Management 위험으로부터 자산이나 사업 영역을 보호하기 위한 프로세스 Compliance 법령에서 요구하는 규제들을 준수하기 위한 규정(내용)과 절차 위험(Risk) 허용 규칙 위험(Risk) trade-off 결정 위험(Risk) trade-off 결정 누가 무엇을 결정하고, 누가 프로세스를 준수해야 하는지 결정 위험(Risk) trade-off 결정 준수하지 않았을 경우의 영향과 위험 거버넌스 목표 선정  대상과 프로세스 선정  통제활동 정의  모니터링 규제 항목 정의  해당 규제 관련 프로세스 식별  통제활동 정의  모니터링 위험 정의  대상 위험 관련 프로세스 식별  통제활동 정의  모니터링
GRC 영역별 주요 내용 7 기업의 GRC에서 Governance는 규칙과 관제에 대한 관리를, Risk management는 준수/미준수에 따르는 영향과 위험을 관리하며, Compliance는 실제 준수해야 할 내용을 관리합니다. 영역 설명 목적 주요 내용/Activities 측정 방법(IT 관점) Governance 기업활동과 관련되어 준수해야 할 문화, 목표, 프로세스, 정책, 법/규정에 대한 관리 완전한 관리 • 관리 조직(Governing bodies) 설계 • 기업의 위험관리와 위험 평가 • 비즈니스 성과 모니터링 & 보고 : balanced scorecards, risk scorecards, operational controls dashboards 등 • 비전 설정과 정책 수립 • 관제 목표 달성을 위한 IT 시스템의 활용 • 재검의 필요없이 제 때에 의사결정이 이루어짐 • 비즈니스 요구와 방향에 부합하는 IT 시스템의 안정성, 무결성, 가용성 • 시의적절하게 정책을 생성하고 관리 Risk Management 기업의 목표달성에 영향을 미칠 수 있는 사건(위험)의 가능성과 영향도 관리 효율적인 위험 관리 • Risk 등록 • Risk 평가와 우선순위 결정 • Risk 분석 • 손실 내역과 사고대응 내역 관리 • 이슈의 근본 원인 분석과 완화 • 잠재 위협을 선제적으로 식별하고 관리 • 위험 식별을 위한 분명하고 문서화된 절차 • 영향과 가능성 결정 • 완화/이전/수용을 위한 우선순위 설정과 관리 • 적절한 통제 방법과 솔루션 식별 • IT 시스템의 안정성, 무결성, 가용성 Compliance 법/규정, 기업의 정책과 절차, 각종 표준 등을 준수하고 이를 입증하는 행위 규정, 법, 정책의 준수 • 요구사항 관리 : 법/규정 등의 요건 관리/현행화 • Control 관리 : controls 계층구조 관리, 테스트 • Findings and exceptions • Compliance 증적 데이터 관리 • 진단과 감사 • 이슈 추적과 개선 • Analytics • 비즈니스를 수행에 따른 규정과 법의 영향 관리 • 적용가능한 기업의 정책, 법, 규정 식별 • 법, 규정을 준수하도록 지원할 IT 시스템의 설계, 개발, 운영 • 측정 가능한 control 관리
GRC 관련 이슈 8 비즈니스의 확장에 따라 준수해야 할 법/규정이나 표준도 늘어나고 있으며, 또한 이들을 준수하지 않았을 경우 막대한 비용 손실과 기회의 박탈이 있으므로 GRC 구현을 통해 사전에 대응하는 체계를 만들어야 합니다.  기업이 준수해야 할 법/규정의 잦은 변경과 신규 생성  GRC 관련 법/규정, 표준 등의 준수와 기업내 통제 실패 사례의 증가  인재 관리 제도의 변화  위험 관리와 compliance 관련 기능들이 분산되어 있음  ERP와 GRC를 비효율적으로 사용  프로세스의 표준화 강화 추세  (GRC 위반으로 인한 잠재적 위험으로부터의) 비용 절감  운영 모델의 분권화 관련 이슈 기대 효과  위험 노출에 대한 즉각적이고 장기적인 해결책 수립  위험에 대한 사전 준비가 가능해지고 사건 발생시 대응 시간(event response time)의 개선  유연하고 확장 가능한 통제 환경 구축  모니터링과 개선 작업 등과 같은 기업 내/외의 위험 관련 활동을 통해서 비용 절감  (법/규정 위반으로 인한) 비즈니스 실패 위험 감소  가치 기반의 위험관리를 통해 기업 성과와 혁신 작업의 개선 GRC 구현 / 대응
GRC 성숙도 모델 9 GRC 관련 대응 체계를 수립은, 당장의 요건을 만족하기 위한 point solution에서 부터 기업 전반적인 GRC 체계와 시스템을 구축하는 enterprise transformation으로 나아가야 합니다. <출처 : Ernst & Young, 2015> 전략적 목표를 지원하는 전사 차원의 GRC 프로그램 개발  위험 관리의 통합  위험 관리와 통제의 개혁  Driver 기반의 성과 관리로 통합  Business intelligence 통합  지속적인 모니터링 GRC의 특정 기능과 프로세스를 설계하고 구축  Compliance 관련 기능의 강화  정보 아키텍처(IA) 절차와 기술의 이행  분석(analytics) 가능, 사기 모니터링  프로세스 개선과 자동화 (예, 회계 마감 대사) GRC를 활용하여 특정 이벤트나 상황에 대비  비즈니스와 IT 프로세스 수립, 통제 모니터링, 테스트  민감성 테스트, 접근 통제, 업무의 분리  주로 데이터 분석과 정보 관리 활동 중심 GRC Functional transformation GRC enterprise transformation GRC Point solutions
Ⅱ. GRC와 Data Privacy Compliance Management • GRC와 Data Privacy Compliance Management • 서비스 등의 개발 시 개인정보 보호 준수를 위한 절차 • 기업의 개인정보보호 Compliance 관리 동향 • 개인정보 보호 관련 법과 규정
GRC와 Data Privacy Compliance Management 11 HPE의 Data Privacy Compliance Management 솔루션은 GRC 이슈 중에서 개인정보 보호와 관련된 이슈의 규제 준수를 위한 솔루션입니다. Data Privacy Compliance Management는… GRC 이슈 중에서 개인정보보호를 위하여 법/규정에서 요구하는 기본 사항을 충족하는 한편, 법/규정 이외의 내/외부 Risk를 종합적으로 관리하기 위해 필요한 의사결정과 책임에 관한 정책 프레임 워크 • 인적 사항 : 개인. 가족관계, 가족 구성원 • 신체 정보 : 신체 정보, 의료/건강 정보, 습관 등 • 정신 정보 : 성향, 사상, 신조, 종교, 대여 기록 등 • 재산 정보 : 개인 금융 정보, 신용 정보 • 사회 정보 : 교육, 전과기록, 근로, 병역 정보 • 기타 : 개인 위치정보, IP 정보, 전화통화 내역 GRC는 … 지배력, 위험관리, 규제준수는 경영목적에 부합되는 지속적인 경영활동을 보장하기 위한 핵심요소 (= 법규에 대응하기 위한 내부통제) • Governance : 기업의 경영자가 추진하는 방향으로 나아갈 수 있도록 기업의 자원을 동원 하는 힘(지배력) • Risk : 회사가 감당하게 될 수 있는 위험에 대한 사전 관리 • Compliance : 규제에 대한 수용 또는 준수
Data Privacy Compliance Management의 배경 12 IT 기술의 발전과 이에 기반한 각종 서비스의 확대에 따라 개인정보 보호 관련 규제의 준수가 매우 중요한 이슈가 되고 있습니다. 개인정보 보호 준수 규정과 관계된 각종 서비스의 개발/확대  Wearable 스마트 기기의 확산으로 인한 무분별한 개인정보의 취합과 저장 예) 구글 글래스, 스마트 워치 등  클라우드 서비스의 확대  국경없는 데이터 저장  Big Data와 IoT 기술의 발전과 관련 서비스의 확대  금융, 의료 관련 온갖 종류의 개인정보 데이터 취합, 응용 가능 예) 생체인식, 간편 결제 등 IT 기술의 발달과 확장으로 인한 손쉬운 개인정보 수집과 관리 개인정보 유출로 인한 피해의 증가 각국의 개인정보 보호 규제의 위반에 따른 제재의 증가 자국민의 개인정보보호를 위해 무분별한 데이터 국외이전을 제한  러시아 자국민의 개인정보를 수집하거나 처리하는 데이터 서버는 러시아 영토 내 설치 (’15.9월)  EU EU 시민의 개인정보를 보호하기 위해 미국과 체결한 ‘세이프 하버(Safe Habor)’조약 무효화(’15.10월) 각국의 규제 강화개인정보를 취급하는 서비스의 확대  각종 이벤트에 개인정보의 수집  Wearable 스마트 기기  Connected Car  미국 FTC(연방거래위원회), 구글의 개인정보보호 정책 합의 위반에 대한 벌금 부과  FTC, 페이스북의 일방적인 개인정보정책 변경에 따른 개인정보보호 정책 합의 • 19 UK local government authorities PII (개인 식별 정보) 유출 총 벌금 £1.885M 부과 ($2.884M, 약 31억 원) • Zurich Insurance SA 64만 건의 개인정보가 저장된 백업 기기 분실 (암호화 미비) 벌금 £2.275M 부과 ($3.5M, 약 37억 원) • HSBC Actuaries 18만 건의 개인정보가 저장된 데이터 저장 미디어 분실 벌금 £3.2M 부과 ($4.9M, 약 53억 원) • 국민카드, NH농협카드, 롯데카드(2014년 1월 ) 역대 최대 규모의 유출 사건. 중복 및 사망자 포함 약 1억명분의 개인정보가 유출 • 인터파크 개인정보 유출(2016.5) 인터파크 회원 1030만명의 정보가 사이버 범죄에 의해 침해
개인정보 보호 관련 법과 규정 전세계 72개국에서 정보보호법을 시행 중이며 미국, 유럽, 한국에서는 규제 수준이 매우 높습니다. 2018년 EU에서 더 높은 수준의 GDPR(General Data Protection Regulation 개인정보보호 일반규정)을 발효/시행 할 예정입니다. 13 HEAVY ROBUST MODERATE LIMITEDRegulation & Enforcement Argentina Australia Austria Belgium Brazil British Virgin Islands Bulgaria Canada Cayman Islands France Germany Gibraltar Greece Guernsey Honduras Hong Kong Hungary Iceland Macau Malaysia Malta Mauritius Mexico Monaco Morocco Netherlands New Zealand Serbia Singapore Slovak Republic South Africa South Korea Spain Sweden Switzerland Taiwan Chile China Colombia Costa Rica Cyprus Czech Republic Denmark Egypt Finland India Indonesia Ireland Israel Italy Japan Jersey Lithuania Luxembourg Norway Pakistan Panama Peru Philippines Poland Portugal Romania Russia Thailand Trinidad and Tobago Turkey UAE - Dubai (DIFC) UAE - General Ukraine United Kingdom United States Uruguay • 전세계 72개국에서 정보보호법 시행 중 주요 국가 정보보호법 현황 • United States - Privacy Act, 1974 – including U.S. Department of Justice Overview - Privacy Protection Act, 1980 (PPA) - The HIPAA Privacy Rule • Canada - The Privacy Act, 1983.6 - Personal Information Protection and Electronic Data Act (PIPEDA), 2000 (Bill C-6) • European Union - Data Protection Directive, 1998 - EU Internet Privacy Law, 2002 (DIRECTIVE 2002/58/EC) - The Privacy Act, 1983.6 • Japan - Personal Information Protection Law (Act) - Law Summary from Jonesday Publishing - Law for the Protection of Computer Processed Data Held by Administrative Organs, 1988.12 • Korea - 개인정보보호법(법률 제13423호) - 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2009)
서비스 등의 개발 시 개인정보 보호 준수를 위한 절차 14 개인정보를 처리하는 신규 프로젝트/시스템 개발/약관개발/서비스나 제품 개발 시, 초기 기획단계에서부터 ‘개인정보보호’에 대해 종합적으로 검토하고 의사결정이 시작되어야 합니다. 1. 회사의 법무부서(또는 법률전문가)로부터 신규 서비스 등에 대해 검토를 받는다. 개인정보의 처리가 발생하는 새로운 서비스의 개발, 신규 프로젝트의 착수, 새로운 시스템 개발 시 관련 법령에 대해 종합적인 검토를 통해 법적 으로 준수해야 하는 체크 리스트를 확인한다. 2. 법/규정 이외에 내•외부 Risk에 대해 정보보호 부서/법무 부서/정책 부서에서 검토하여 최종 의사결정을 받는다. 법령을 모두 준수하였지만, 고객으로부터 부정적인 평가를 불러오거나 언론의 된서리를 맞을 수 있는 프라이버시 관련 기능이나 기술이 포함되어 있는지 확인하고 이에 대한 Risk 검토를 해야 한다. 3. 서비스 부서와 기술 부서에서는 위 법/규정이나 정책결정 사항을 신규 서비스나 시스템 등에 반영한다. 신규 서비스나 새로운 시스템 기획 부서는 위에서 검토한 내용과 도출된 개선사항을 서비스나 시스템 기획서에 반영한다. <출처 : “개인정보 보호 GRC“, NHN>
기업의 개인정보보호 Compliance 관리 동향 국내/외 개인정보보호 Compliance를 위하여, 글로벌 기업은 조직, 시스템/솔루션, 인증 측면에서 Compliance 관리 체계를 구축하고 있으며, HPE는 글로벌 Compliance 관리 조직과 지원 시스템을 도입하여 이에 대응하고 있습니다. Compliance 관리 조직 구성 Compliance 시스템/솔루션 도입 국내/외 Compliance 공인 인증 취득  전사 Compliance 관리 컨트롤 타워 역할  조직/프로세스/정책에 대한 거버넌스  Compliance 관련 준수 여부 모니터링 및 감사  관련 법/규정, 규제 동향 파악과 사고 대응  Compliance 관리를 위한 IT 시스템 도입  전문적인 Compliance 솔루션 도입 또는 구축  정보보안 솔루션과 연계 적용 (ESM)  정보보안 및 개인정보 보호 인증 취득 - ISO27001, BS10012, ISMS, PIMS 등  국내/외 Compliance 표준 준수 입증  고객으로부터 개인정보 보호 관련 신뢰성 확보 개인정보보호 Compliance 관리 체계 HPE의 글로벌 Compliance 관리 체계 구현 사례 [공인 인증] BS 10012:2009 – PIMS ISO 27001:2013 – ISMS ISO 22301:2012 – BCMS [조직] HPE Privacy Office [시스템] HPE Privacy Advisor [시스템] HPE Privacy Rulebook 15
개인정보 유출, 위반 사례 2013년 영국에서의 A전자 Smart TV 개인정보 무단 수집 사건 등을 통해 글로벌 기업들의 개인정보 관리에 대한 관심이 높아졌습니다. • 2013년 영국에서 A전자의 스마트TV에서 사생활 보호기능을 작동시켜도 고객동의 없이 시청정보가 무단으로 수집되는 현상 확인 • 영국 정보감독위원회(ICO)의 데이터보호법 위반 혐의 조사 • 북미 지역 판매 TV도 해당 기능이 있는지 논란이 됨 • 최근 A 전자는 노르웨이 인증기관인 DNV로 부터 개인정보 관리체계와 관련된 국제인증을 획득 A Smart TV 개인정보 무단 수집 16
개인정보 침해 사고 유형별 현황(한국, 2011) 17
Ⅲ. HPE의 솔루션 Data Privacy Compliance Management • Data Privacy Compliance Management 시스템 • Data Privacy Compliance Management 시스템의 구조 • 각 영역별 설명 : Portal, 프로세스관리, 정책관리, 진단관리, 사고대응관리, 감사관리, 컨텐츠관리 • 기대 효과
지원 Data Privacy Compliance Management 시스템 19 HPE의 Data Privacy Compliance Management 시스템은 기업의 개인정보 보호 규제 준수의 효율적인 관리를 위한 IT 시스템으로 데이터공통비즈니스프리젠테이션 레이어로 구성되어 있습니다. Portal 프로세스 관리 모니터링 Logging워크플로우 분석 검색 엔진 법/규정 프리젠테이션 레이어 비즈니스 레이어 데이터 레이어 룰 엔진 대시보드 리포트 공지/알림 권한 진단 관리정책 관리 감사 관리사고대응 관리 컨텐츠 관리 약관 Control정책 설문 교육,훈련 인증 (ISO, BS) 번역 수집 공통 레이어
Data Privacy Compliance Management 시스템의 구조 20 HPE의 개인정보 보호 규정 준수 관리를 위한 시스템의 각각의 구성요소들간의 관계는 아래와 같습니다. 프로세스 관리 Assessment 프로세스 시작, 프로젝트/프로젝트 그룹 관리, 진행상황 모니터링 진단 관리 • 진단 • 결과보고서 • 지침/법무의견/승인 • 규약 변경 알림 정책 관리 • 규약 조회 • 규약 현행화 • Control 관리 • Control trade-off 결정 • 설문 작성 감사 관리 • 모니터링(포털) • 증적관리 - 유형별 • 결과보고서 사고대응 관리 • 고객불만 접수 • 프로세스 처리결과 관리 컨텐츠 관리 • 법규 version 관리 • 매핑관리 : 법규- control-설문 법/규정/정책/약관 데이터베이스 법/규정/정 책/약관의 개정, 추가 초기등록 /현행화 Rule engine Rule 설문 검색엔진Workflow DPCM Portal 설문 시작 수집 모니터링 업데이트 검색 업데이트업데이트
비즈니스 레이어와 법규 데이터베이스로부터 데이터를 받아 Dashboard, 법규의 검색, 사용자권한관리, 알림, 리포팅/통계 기능을 제공 정의 Portal DPCM의 포털은 각 업무 영역(Business Layer)에 접근하는 통로이자 각종 대시보드, 모니터링, 진행 현황 등에 대한 정보를 일목요연하게 보여줍니다.  Dashboard와 검색 기능 • 시스템상의 업무진행현황, 할당된 작업 현황 조회 • 포털 내부 정보에 대한 검색기능 지원 • 포털의 검색엔진은 DB와 파일시스템의 정보를 수집하여 사용자에게 통합검색을 가능케 하고 영역별 검색 결과를 보여줌  알림(Notification) • 알림 규칙 설정을 통해 SMS/Mail을 통한 알림기능 지원  보고서/통계 • 다양한 View의 리포팅/통계 기능 제공 • 사용자/시스템/업무별 맞춤 정보 제공 • 다양한 통계정보 제공으로 업무현황 파악과 의사결정 기반 마련 주요 기능과 특성 SC Portal 게시판 자료실 FAQ 공지사항 게시판 내용 ……. 2014-10-18 14:04 게시판 내용 ……. 2014-10-18 14:04 게시판 내용 ……. 2014-10-18 14:04 게시판 내용 ……. 2014-10-18 14:04 게시판 내용 ……. 2014-10-18 14:04 게시판 내용 ……. 2014-10-18 14:04 Dashboard ComplianceProcess Policy Incident Audit [진행현황 ] 약관개발 10건 사고처리 8건 요청처리 2건 홍길동님 안녕하세요 로그아웃 5 10 15 어드민 사이트맵 진행중인 프로젝트 [Admin 권한] • 기획/요청 • 진단 • 약관개발 [사용자 권한] • 조회 약관 사고처리 요청 English 프로젝트 시작일 단계 상태 비고 OO 약관 개발 프로젝트 2016.7.15 시작 XXXX 어플리케이션 개발 2016.3.20 법무검토 중 법무팀 의견 반영 KKK 서비스 개발 2016.8.2 진단 완료 21
약관/제품/서비스/어플리케이션 개발 시 개인정보 보호와 관련된 법규의 준수 여부를 점검하기 위한 프로세스의 시작과 진행 과정을 모니터링 정의 프로세스 관리 프로세스 관리에서는 개발하고자 하는 약관/서비스/제품/어플리케이션 등이 개인정보 보호를 준수하는 지 여부를 진단하는 전체 프로세스를 모니터링하고 관련 작업의 세부 내역을 확인할 수 있습니다.  통합 Workflow 구현 • 개인정보 Compliance 생명주기 전반을 관리 • Workflow 기반의 통합된 E2E 프로세스 모니터링 • 진행상황 가시화를 통한 통제 가능 • 약관/제품/서비스/어플리케이션 기획/개발 프로세스 중 개발/검정 활동과 Compliance 프로세스의 연계  이슈관리와 품질관리, 감사 지원 • 제품/서비스 전체 단계에 발생한 이슈 트래킹 관리 • 품질검수를 위한 테스트 설계  변경  수행  검수완료 프로세스 지원 주요 기능과 특성프로세스 관리 Workflow 진단 Biz Process 어플리케 이션/활동 기획 설계 개발/검증 출시/적용 약관 제품 서비스 App 시작 검토 법무팀 확인 조치 결과 완료 진단 관리 Portal 감사 관리 조치 업데이트 보고서, 공지 품질 관리이슈 관리 설문 평가 사고대응 관리 활용 22
제품, 서비스, IT, 마케팅, 법무 등 조직 개인정보 Compliance 관리에 필요한 컨텐츠인 정책, 법/규정, Control, 설문, 약관을 한 곳에 게시하고, 업무상 개인정보를 취급하는 제품/서비스 기획 부서, IT 부서, 마케팅 부서 등이 컨텐츠를 손쉽게 조회 정의 정책 관리 정책 관리는 정책, 법/규정, Control, 설문, 약관에 대한 게시와 조회 기능을 지원하며, 변경된 법/규정의 내용과 동향 정보를 제공합니다. • 정책, 법/규정, Control, 설문, 약관 등 컨텐츠 게시, 조회, 현행화 • 정책, 법/규정 변경/추가에 따라 영향 받는 Control의 우선순위 및 트레이드오프를 관리 • 다국어 검색 지원 ∙ 다양한 국가별 언어로 법/규정 검색 가능 ∙ 검색어에 대한 다국어 번역(교차어) 지원 • 제정시점/적용시점 별 법/규정 정보 검색 지원 • 법/규정 정보에 대한 알림/공지 구현 주요 기능과 특성 정책 관리 • 정책, 법/규정, Control, 설문, 약관 등 컨텐츠의 게시 및 조회 • Control의 우선순위 및 트레이드오프 관리 • 설문 텍스트의 조회 및 수정 컨텐츠 관리 • 컨텐츠의 등록 및 관리 • 컨텐츠의 버전 및 매핑 관리 • Control 변경/추가에 따라 영향 받는 설문 입력 진단 관리 • Compliance 진단 수행 • 보고서 및 가이드 생성 • 진단 프로젝트에 대한 라이프사이클 관리 설문 룰 입력 정책, 법/규정, Control, 설문, 약관 제공 정책, 법/규정, Control, 설문, 약관 제공 정책, 법/규정, Control, 설문, 약관 제공 23
Compliance 진단 • Compliance 진단 수행 ∙ 개인정보 취급 업무에 대한 설문을 통한 진단 ∙ 진단 결과에 대한 리뷰/승인/의견 • 보고서 및 가이드 생성 ∙ 개인정보 취급 업무에 대한 설문 후 보고서 생성 ∙ 진단 결과에 대한 가이드 및 상담 제공 • 진단 프로젝트에 대한 라이프사이클 관리 ∙ 개인정보 취급 업무에 대한 진단 내용 및 이력 조회 ∙ 컨텐츠 관리 모듈이 설문 룰 입력 시 리뷰/승인 • 선행 설문 답변을 근거로 관련 있는 후속 설문을 동적으로 생성 • 보고서는 Compliance/Risk 지표, Control 준수 상태, 추가 자료 (체크 리스트, 추가 Compliance 요건), 근거 자료 (위반 법/규정, 관련 Control)를 포함 주요 기능과 특성 진단 관리 진단 관리는 HPE의 개인정보보호 경험과 지식을 바탕으로, 업무 상 개인정보 취급 시 관련 Risk와 Compliance 이 슈를 진단하는 룰 엔진 기반 지능형 의사결정 지원 시스템 입니다. 제품 및 서비스 기획, 약관 제작, IT 개발, 마케팅 등의 업무를 수행할 때 개발/검증 단계에서 개인정보 관련 Risk와 Compliance 이슈를 진단하고, 사후에 개인정보보호 법/규정 및 Control 변경 시 영향 받는 업무를 식별하고 재 진단 정의 설문 응답 • 서비스/제품/약관 등 기획 • 진단 프로젝트 생성 • 업무 정보 입력 • 진단 설문 응답 • 추가 요건 대응 제품/서비스 기획 부서 진단 관리 • 설문 생성 • 응답 분석 • 보고서 생성 • 가이드 생성 • 진단 프로젝트 관리 진단 리뷰 • 진단 프로젝트 리뷰 • 관련 법/규정 확인 • 추가 요건 생성 • 진단 프로젝트 승인 • 설문 룰 입력 승인 Compliance 관리 부서 설문 응답 진단 결과 진단 결과 리뷰 결과 룰 엔진 24 정책 관리 참조 확인 정책 관리 참조
개인정보 보호 Compliance 관련 사고에 대한 신속한 감지, 조사, 조치와 재발 방지 활동에 대한 통합적인 관리 또는 모니터링 활동 정의 사고대응 관리 콜센터, 미디어에 보도된 사고, 기타 신고 및 내부 감지된 Compliance 사고 대응 이력을 관리함으로써, 재발을 방지 하고 사후 대응에 활용합니다. 주요 기능과 특성  다양한 접수 채널 • 콜센터, 모니터링시스템, ITSM등 다양한 시스템 연계 제공을 통한 사고 접수 기능 제공  사고 처리 절차 지원 • Workflow기반의 사고처리 프로세스 지원 • 처리이력 기반 효율적 사고 처리 지원 • 사고 대응 프로세스의 가시성 제공  지속적 추적관리 • 동일사고 방지를 위한 지속적 모니터링 및 개선 • 사고 조치 실적 관리 사고유입 사고 유형 분류 사고조사 사고등록 사고전파 대응팀 구성 영향도 분석 조치계획 수립 사고 조치 조치결과 확인 결과 보고 내용 고유 모니터링 피드백 사고이력 사고대응 프로세스 지원 사고처리 이력 관리 조치결과 리포트 사고대응 관리 진단관리정책관리 감사관리 컨텐츠 관리 • 법/규정 • 정책 • control… • 사고이력 정보 • 설문검토 • 진단검증 25
감사관리는 운영활동 전반에 걸쳐 정기적이고 지속적인 감사와 사후 조치를 추적 관리 정의 감사 관리 정기적/비정기적으로 수행되는 기업 내부의 개인정보 보호 규정 준수 상태를 점검 또는 감사하는 프로세스를 지원하 는 모듈로써 감사 프로세스 관리 기능과, 감사 결과에 따른 사후 활동을 관리하는 기능으로 구성되어 있습니다. 주요 기능과 특성  주요 감사관리 대상 • Data Privacy Compliance 절차 준수 여부 • 법/규정과 Control의 적절한 현행화 수준  감사관리 • 감사 일정 계획 관리 • 감사 결과 등록과 공유  Action/Action item 관리 • 감사 결과와 연계된 Action Item 등록과 업무 분장 관리 • Action Item 수행 프로세스 지원  감사실적과 통계 관리 • 감사와 Action 수행 실적 (건수) 관리 • 감사와 Action 수행 지표 관리 (준수율, 적합도, 이행율) 감사 관리 Action 관리 Action Item01 등록 Audit 계획수립 Audit 실행 Action Item 도출 Audit 결과보고 Action Item02 등록 Action Item03 등록 Action Item01 조치결과등록 Action Item02 조치결과등록 Action Item03 조치결과등록 • Audit 대상 • Audit 조직 • Audit 일정 감사 실적관리 프로세스 준수율 규제대응 적합도 개선과제 이행율 정책관리 진단관리 • 법 /규정정보 • 정책 정보 • 진단이력 • 진단 결과 • Action Item 정보 • 감사결과 • 조치결과 26
법규/정책/가이드 등의 데이터를 수집하여 초기 구축하고, 이후 법규와 control 공급사를 활용하여 변경내용을 현행화하고 법규-control-설문 간의 매핑 관계 관리 정의 컨텐츠 관리 컨텐츠 관리에서는 DPCM의 핵심인 컨텐츠, 즉 법/규정, 정책, 표준 등을 현행화하고 이들과 control 간의 매핑 관계 와 그 이력을 관리합니다. 또한 각종 법/규정 등의 파일을 보관합니다.  법규 현행화 • 법규 서비스 제공업체를 이용한 자동 수집과 분석 • 영향도 분석을 통해 필요한 법규정보를 DB에 반영 : 버전관리 • 법규정보에 대한 알림/공지 구현  계층적 상속성 확보를 위한 데이터 관리 구조 • 계층적(법규-항목-조문) 법규정보 관리 • 변경사항에 대한 이력 관리 • 제정시점/적용시점별 법규정보 검색 지원  매핑 관리 • 법규/정책/약관과 control, 설문항목 간의 매핑관리 • 매핑 이력/추적 관리 주요 기능과 특성 Control library provider 수집/정제/분류 (법/규정, 각종 표준 등의 수집) 법/규정 이력 정책 이력 약관 이력 Control 이력 파일 storage 매핑 정보 검색엔진 데이터 관리(법규 DB) 문서 관리자료 검색매핑관리버전관리 진단 관리 등록/업데이트활용(설문) 27
비즈니스 레이어 정의 공통 기능 공통기능은 Portal과 Business Layer 영역의 프로세스, 법규 데이터베이스를 구현 또는 지원하기 위한 기능 모듈로써 분석, 검색엔진, 룰엔진, 워크플로우, logging이 있습니다. 주요 기능과 특성 법/규정 정책 Control 설문 진단관리정책관리 감사관리 사고대응 관리 컨텐츠 관리 분석 • 다양한 통계 • 업무보고서 • 진행현황 조회 포털과 업무 프로세스에서 사용되는 각종 통계, 설문 생성, 승인 절차 관리, 이력 관리 등을 지원 룰엔진 워크플로우 Logging 검색엔진 대상수집 형식변환 색인추출 질의해석 후보추출 검색결과도출  룰엔진 • 법/규정, 정책, Control 문서의 내용을 변환 입력하면, 정의된 규칙에 따라 설문을 생성함  워크플로우 • 설계된 업무프로세스에 따른 업무흐름을 지원함  Logging • 각종 처리정보와 분석에 필요한 정보를 저장함  검색엔진 • 저장된 데이터에 대하 신속한 검색을 지원함  분석 • 저장된 데이터에 대하 신속한 검색을 지원함 비즈니스 수행결과 검색요청 검색결과 28
29 법규 수집 • Regulation Library - 세계 각국의 개인정보보호 관련 법과 규정의 수집과 제공 • UCF(Unified Compliance Framework) 라이브러리 제공 - 1,200건 이상의 규정 데이터 베이스 보유 - 법/규정과 표준에 대한 근거자료와 참고 문헌 제공 번역 • 서비스 대상 국가 정책과 법규 번역 서비스 지원 - 주요 언어 번역 서비스 제공 - 개인정보보호 관련 정책과 법규 번역 제공 • 관련 법규 변경 시 변경사항 번역 지원 - 실시간 번역 지원으로 빠른 대응 가능 인증 지원 • 인증 종류 - Data Privacy : ISO 27001, BSI 10012 - Compliance : ISO 19600 - Risk Management : ISO 31000 • 인증 위한 프로세스 제공, 실사 지원, 준비 산출물 Translation 수행 교육/훈련 • 변경된 법규에 대한 변화관리 - 변경 사항 전파와 교육/훈련 지원 • 교육/훈련 커리큘럼 제공 - 개인정보 보호 관련 법/규정에 대한 유형별, 레벨별 커리큘럼 구성 - 교육/훈련 BPO 서비스 제공 준비 사항 지원 기능 Data Privacy Compliance Management 시스템을 운영하기 위해서는 구축 이후 지속적인 법/규정의 현행화와 이에 따른 교육/훈련지원이 지속적으로 이루어져야 합니다.
기대 효과 기업은 DPCM 시스템을 구축함으로써 개인정보 보호 관련 법/규정의 위반에 따른 위험과 비용 손실을 예방할 수 있 을 뿐만 아니라 구성원들이 개인정보 보호에 대한 인식을 강화할 수 있습니다. 개인정보 보호 관련 Risk 감소  능동적인 규제 동향 및 사고 수집을 통해 선제적 사고 대응 기반 마련  사전예방 : 제품/서비스의 개발/검증 단계에서 Compliance 위배 요소 사전 점검하여 Risk 감소 Compliance 비용 절감  법무 검토 비용, 규제 기관 보고 비용, 규제 위반 소송 비용, 법정 증거 준비 비용, 과징금 등 각종 비용의 절감  개인정보 Compliance 관리와 시스템 자동화를 통한 Compliance 운영 비용 절감 Compliance 관리 가시성  개인정보보호 Compliance 진단 프로세스에 대한 강제 및 진단 후 종합적인 리포트/가이드 제공  개인정보보호 Compliance 진단이 필요한 업무에 대한 프로세스 진행 및 진단 현황에 대한 가시성 확보 Compliance 인식 강화  제품/서비스의 개발/검증 단계에서 Compliance 진단 프로세스 강제하여 직원들에게 Compliance 인식 강화  법/규정, Control, 설문, 약관의 변경 발생 시, 유관 업무에 대한 Compliance 재진단 프로세스를 강제 적용 신속한 사고 대응  사후조치 : 법/규정 변화 및 사고 발생 시, 제품, 서비스, 약관 등에 대한 영향을 식별하여 신속한 사고 대응  법/규정 – Control – 설문 – 약관 간 매핑 및 이력 정보 관리하므로, 컨텐츠 별로 연관된 항목을 하나의 Thread로 연결 30
Ⅳ. Offerings Advise, Transform, and Manage
Breadth of HPE Services to Compliance Management HPE의 Data Privacy Compliance Management 솔루션과 관련된 offering은 컨설팅부터 시작하여 시스템의 구축과 운영까지 모든 단계의 서비스를 제공합니다. 32 Transform Manage Advise HPE Data Privacy Compliance Management • Governance 체계 수립 • Compliance를 위한 관제 방법과 절차의 합리화/최적화 • 장기적인 로드맵을 수립하고 단기간에 빨리 수행해야 할 요소(quick wins) 식별 • 업무상의 요건 정의 • Compliance Management 관련 솔루션(패키지 또는 In-house 개발, Best-of-breed 등) 선정 • Compliance Management 시스템 운영 • 다른 업무 영역(어플리케이션)이나 조직과 업무 프로세스 통합 • 유지보수 프로그램 수립 • 개인정보 보호를 위한 Compliance Management 시스템(어플리케이션) 구축 • 솔루션(시스템)의 핵심 요소들 중심의 개발/확장 • 모니터링과 통제의 자동화 • 지속적인 모니터링 수행
Advice 서비스 33 영역 설명 주요 내용/Activities 주요산출물 Awareness Workshop 개인정보 보호 관리의 개요와 발생/대응 사례 등을 공유함으로써 관라의 중요도나 필요성에 대한 고객 공감대 형성 • 개인정보 보호 관련 규제동향, 위반사례, Global 기업 대응 사례 공유 • 개인정보 보호 관련 고객 이슈 공유 workshop 수행 후 개략적 솔루션 도출 • DPCM 시스템 주요기능 Demo 수행 • 개인정보 보호 관련 규제동향 • 개인정보 보호 관련 위반사례 • Global 기업 대응 사례 • 고객별 이슈 리스트 Assessment service for gap analysis 고객사 개인정보 보호 관리 현황 분석을 통합하고 개선 과제 도출 • 고객사 개인정보 보호 관리 정책, 절차, 조직, 시스템 분석 수행 • 선진사례 및 관련 규제와의 Gap 분석 • To-Be 관리체계로 이행하기 위한 과제도출 • 고객사 개인정보 보호 현황 분석서 • Gap 분석서 • 과제 도출 • 과제별 우선순위 및 실행 로드맵 도출 • 개인정보 보호 Compliance 관리 시스템 요건 분석 개인정보 보호 거버넌스 체계 설계 고객사 개인정보 보호 거버넌스 체계에 대한 통합 컨설팅 서비스 제공 • 개인정보 보호 거버넌스 체계 정립 - 운영정책 정의, 문서화, 조직구성 - 모니터링 및 보고 체계 정의 - 운영 프로세스 정의 • 개인정보 보호 관련 거버넌스 정책서 • 개인정보 보호 거버넌스 운영프로세스 정의서 • 개인정보 보호 거버넌스 R&R 정의서 인증지원 서비스 Data Privacy 관련 ISO 국제 인증 취득 지원서비스 • 인증 규격에 다른 내부 시스템 사전 감사 수행 • 개선요건 도출 및 개선 작업 지원 • 인증 신과 취득 절차 가이드 • 인증 내부 감사 보고서 - 프로세스 개선요건 - 문서화 요구사항 보안사항 - 시스템 개선 요건 등 HPE는 개인정보 보호 관리 영역에 대한 깊은 이해와 다양한 구축과 운영 경험을 바탕으로 진단과 컨설팅 관련 서비스를 제공합니다.
Transform 서비스 34 영역 설명 주요 내용/Activities 주요산출물 Data Privacy Compliance Management(DPCM) 시스템 POC DPCM 시스템이 고객 비즈니스 환경과 요구사항에 적합한지 여부에 대한 POC 진행 서비스 • 현행 시스템 분석 • 적용 대상 모듈 분석 • POC 시스템 구축 • 기능 검증 • POC 요건 정의서 • POC 환경정의서 • POC 결과보고서 Data Privacy Compliance Management(DPCM) 시스템 구축서비스 고객사 환경에 특화된 DPCM 시스템의 설계와 구축 - 솔루션기반 - In-house 개발 • 현행 시스템 분석 • 적용 대상 모듈 분석 • 요구사항 상세화 • 설계 • DPCM 시스템 구축 • 테스트 • 안정화 • 유관데이터 이관 • 요구사항정의서 • 분석서 • 설계서 • 테스트 시나리오 • 테스트 결과서 Transform 서비스는 Data Privacy Compliance Management 시스템 구축을 위한 POC와 구축서비스로 구성되며, 구축서비스는 고객의 요구사항에 따라 솔루션 기반 또는 In-House 개발 방식 모두 지원 가능합니다.
Manage 서비스 35 영역 설명 주요 내용/Activities 주요산출물 AMS (Application Management Service) DPCM 시스템 운영 • 시스템 모니터링 • DPCM 관련 S/R (Service Request) 접수와 조치 수행 • 운영 성과 보고 • 룰엔진 업데이트 수행 • 운영보고서 (실적/성과) • 개선 현황 보고서 Compliance 현행화 서비스 정책, 법규, 컨트롤, 설문, 약관 등 번역, 현행화 서비스 • 서비스 대상국가의 정책과 법규 제/개정 모니터링과 정보 제공 • 서비스 대상 국가에 적용되는 컨트롤을 작성하여 제공 • 신규 적용 대상 컨트롤 정보에 기준한 업데이트 설문 도출 • 서비스 대상국가 정책과 법규 번역 서비스 제공 • 서비스 대상국가 정책과 법규 문서 • 적용대상 컨트롤 문서 • 번역 산출물 • 업데이트 대상 설문 구축된 Data Privacy Compliance Management 시스템을 운영하기 위한 서비스로, 어플리케이션 운영과 각종 법규와 표준의 현행화 서비스로 구성됩니다.
Ⅴ. HPE의 역량과 차별점 • 개인정보보호 Compliance 관리 토털 솔루션 • 검증된 HPE Compliance Intelligence • 시행착오를 최소화하는 DPCM 구축 Framework
제품 서비스 IT 기획 개발 검수 운영 마케팅 기업의 조직과 업무 프로세스 법무 개인정보보호 Compliance 관리 토털 솔루션 Data Privacy Compliance Management는 IT 시스템 구축 뿐 아니라, 거버넌스 설계와 시스템의 운영, 각국의 법/규정과 Control의 현행화까지 포괄하는 개인정보보호 Compliance 관리 토털 솔루션 입니다. ■ 기존 IT 투자를 보호하는 유연한 솔루션 ■ 개인정보보호 Compliance 관리 체계에 필요한 서비스 • 기업의 개인정보보호 Compliance 관리 체계에 필요한 모든 서비스 제공 ∙ 기업 고객의 조직 및 프로세스와 정렬된 거버넌스 설계 및 인증 ∙ 설계된 거버넌스를 지원하기 위한 IT 시스템 인 DPCM 시스템 구축 ∙ Compliance 관리 업무 수행을 위한 DPCM 시스템 운영 ∙ 정책, 법/규정, Control, 설문, 약관 등 DPCM 시스템이 사용하는 컨텐츠 운영 • 오퍼링, 솔루션 모듈, 관리 대상 컨텐츠, 제휴 솔루션을 요건에 맞게 유연하게 선택하여 기존 IT 투자를 보호 ∙ 오퍼링 – Advise 서비스, Transform 서비스, Manage 서비스 ∙ 솔루션 모듈 – 프로세스 관리, 정책 관리, 진단 관리, 사고대응 관리, 감사 관리, 컨텐츠 관리 ∙ 관리 컨텐츠 – 정책, 법/규정, Control, 설문, 약관 ∙ Best of breed – 해당 분야의 베스트 솔루션과 제휴 Data Privacy Compliance Management Advise 거버넌스 설계 Transform 시스템 구축 Manage 기업의 Compliance 대응 프로세스 시스템 운영 컨텐츠 운영 37
검증된 HPE Compliance Intelligence HPE는 그 동안 경험한 개인정보보호 Compliance 관리와 글로벌 네트워크를 Compliance Intelligence로 체계화 하여, 2010년부터 HPE 전세계 조직뿐만 아니라 글로벌 기업 고객에게 서비스를 제공하고 있습니다. Control법/규정 Control표준/지침 설문 법/규정, Control, 설문 구축 법/규정, Control, 설문 현행화 글로벌 인증 지원, Control 개발, 감사Compliance 진단 룰 엔진 셋업 개인정보 Compliance 진단을 위한 룰 엔진 기반 설문조사 국가별 개인정보보호 법/규정, Policy, Standard, Specification 참조 국가별 개인정보보호 법/규정, Control 수집 및 업데이트 HPE Privacy Advisor (룰 엔진 기반 Compliance 진단) HPE Global Network (법/규정 및 Control 업데이트) HPE GRC (컨설팅, 구축, 운영 서비스) HPE Privacy Rulebook (개인정보보호 Rule 참조) 38
시행착오를 최소화하는 DPCM 구축 Framework HPE의 GRC, Data Privacy Audit, Information Security 등 관련 Framework에 기반한 DPCM Framework를 사용하여 글로벌 트랜드와 고객 요구사항에 맞는 개인정보보호 Compliance 관리 시스템을 구축합니다. Data Privacy Compliance Mgmt 시스템 GRC Framework • GRC 조직과 프로세스 설계, 구축 • 기업의 업무 별 컨트롤 타워와 R&R • GRC 각 영역 별 업무 및 기능 Data Privacy Framework • 정책 가시성 제공 • Risk 진단 • 능동적 개입/지원 • 보안 평가 • 교육/훈련 • 모니터링 Information Security Framework • 인프라, 운영, 프로세스, 소프트웨어, 거버넌스 측면에서의 정보보안 • 계약, 운영, 기술, 감독 관련 Best Practice Audit & Assurance Framework • COSO 모델에 기반한 Control 및 감사 체계 • Control 환경 구축, Risk 진단, Control 활동, 정보공유, 소통, 모니터링 39
Ⅵ. Buying factors
Are you READY? 기업이 개인정보 보호 관련 규제의 준수를 제대로 이행하고 있는지 여부는 조직, 위험관리, 관리 시스템, 법/규정의 현행화의 관점에서 점검해야 합니다. 41 서비스하는 대상국들의 관련 법/규정과 산업 표준은 항상 최신 상태로 유지되고 있는가? 개인정보에 대한 주요 Risk에 대해 최고 경영진에게 즉시 보고가 되고, 의사결정이 내려지는가? 개인정보의 수집부터 파기까지 전체 프로세스를 관리할 개인정보보호 전담 조직이 있는가? 개인정보 보호 관련 규제의 준수를 보장할 수 있는 전사적인 통합 IT 지원 시스템이 있는가? Organization & Process Support by IT Risk Management Up-to-Date
Buying factors HPE의 DPCM 솔루션은 개인정보 보호 관련 compliance를 통합 관리할 수 있는 시스템을 구축할 뿐만 아니라 자사 의 운영 노하우를 기반으로 법/규정과 진단 관리 서비스를 안정적으로 지원합니다. What do customers want? What are the key buying factors when choosing a vendor? A. 사업부별, 프로젝트 별로 분산 관리되고 있는 개인정보 보호 관련 Compliance의 통합 관리 • Compliance를 위한 일관되고 체계적인 절차와 방법의 부재(Governance) • 감사 또는 위험에 대비한 증적 자료의 관리 미흡 B. 개인정보 보호 관련 Compliance를 위한 통합 관리 시스템과 절차의 도입 • E2E 프로세스에 대한 모니터링 부재 • 시스템이 구축되어 있지 않거나, 일부 부서에서만 또는 부서별로 따로 구축/운영하므로 통합 모니터링 불가 • 불이행 또는 잘못된 수행에 대한 통제 불가 • 법규DB, 정책관리, Compliance 평가, 사고관리 등과의 통합 관리 부재 C. 세계 각국의 관련 법규의 현행화를 통한 Compliance Assessment의 최신 상태 유지 • 각국의 관련 법규 수집과 현행화의 어려움 • 현행화된 법규에 대한 Compliance 업데이트 어려움 • 법규와 compliance(를 위한 설문)간의 매핑 이력 정보 관리 어려움 1. 개인정보 보호 Compliance를 위한 Governance를 설계한 경험이 있는가? • 각국의 개인정보 보호에 대한 충분한 이해와 관련 이슈와 위험에 대한 지식 • 개인정보 보호 Compliance를 위한 Governance를 설계한 경험과 지식 • 실제 개인정보 보호 Compliance를 위한 governance를 구축/운영하고 있는지 2. 개인정보 보호 Compliance를 위한 어플리케이션을 설계하고 구축한 경험이 있는가? • 개인정보 보호 compliance를 위한 검증된 어플리케이션을 보유하고 있는지 아니면 해당 어플리케이션을 구축한 경험이 있는지 • 법규와 고객의 요구사항에 맞춰 유연하게 시스템을 구성할 수 있는지 • 다양한 솔루션(상용, 오픈 소스) 또는 Legacy와의 유기적인 결합이 가능한지 3. 각종 법규를 현행화하여 유지할 수 있는가? • 법규 현행화 유지/관리 경험이 있는지 • 자체 법규 현행화 솔루션 또는 서비스가 있는지 • 법규와 control 공급사와의 interface 경험 • 법규와 control, 설문항목 간의 매핑 관리, 매핑 이력관리를 할 수 있는지 4. Global business 경험이 있는가? • 글로벌 기업, 글로벌 비즈니스를 대상으로 한 컨설팅, 구축, 운영 경험이 있는지 • 법규, 기술 관련 글로벌 벤더들과의 네트워크가 있는지 42
Ⅶ. Delivery model • 통합 개인정보 보호 Compliance 관리 체계 구축 • Service Excellence
개인정보 보호 관련 Compliance 관리 강화를 목적으로 조직/프로세스, 관리시스템 구축, 인증 지원 등을 통해 통합 Data Privacy Compliance Management 체계를 완성합니다. 기존 신규 정보보안 ISO27001 ISO31000 개인정보 PIMS BS10012 개선활동 조직 Compliance 통제 조직 구성 프로세스 개인정보 Compliance 대응 프로세스 개선 Compliance 조직/프로세스 Compliance 관리 시스템 Compliance 공인 인증 & 법/규정 현행화 개인정보 Compliance 관리강화 개인정보 보호 Compliance 관리 체계 통합 개인정보 보호 Compliance 관리 체계 구축  프로세스 관리  진단 관리  정책 관리  사고대응 관리  감사 관리  컨텐츠 관리 사업부1 사업부2 사업부3 전사… 기획 설계/개발 검수 운영 Compliance 대응 프로세스 Data Privacy Compliance Management 거버넌스 설계 시스템 운영 Data Privacy Compliance Mgmt 시스템 구축 법규 현행화 구체화 지원 44 1 2 3
Service Excellence HPE는 체계적인 방법론에 기반한 숙련된 전문가들이 내부 운영 경험과 솔루션을 기반으로 하여 고객에게 최고의 솔루션/서비스를 제공합니다. 45 Methodology 어플리케이션 구축을 위한 통합 방법론 보유 (EDGE, Development Methodology 등) Experiences 관련 또는 유사 시스템 구축과 운영 경험 Solution 실제 HPE 내부에서 구축하여 운영 중인 시스템 기반의 통합 Compliance Management 솔루션 GRC팀 Compliance 관련 요건 분석과 컨설팅 역량 각종 법규의 현행화 Global Delivery HPE의 Compliance Management 시스템의 구축과 운영 역량 End-to-end solution 관련 법규 관리부터 진단, 사고대응, 감사 지원 관리까지 개인정보 보호 Compliance를 위한 모든 기능 구현 Customized 고객의 상황과 요구사항에 맞춘 유연한 시스템 구축. 기 출시된 솔루션을 포함한 최적의 시스템 구축 가능 Up-to-date library 세계 각국의 관련 법규를 항상 최신 상태로 유지하고 이와 관련된 설문도 실시간 업데이트 HP ES HP Practice Library Provider Service Excellence Regulation Library 세계 각국의 개인정보 보호 관련 법과 규정 제공 Controls Compliance 진단을 위한 설문 기준이 되는 control 제공 Vendors • UCF • Data Guidance
감사합니다
첨부
Data Privacy ISO 27001 ISO 27001 • 1995년 BSI(British Standardization Institute)에서 개발한 BS 7799를 ISO와 IEC에서 표준화해서 2005년도에 공표 • 14개 도메인 113개 통제 항목으로 구성 • 기관의 주요 정보자산을 보호하기 위해 정보보호관리 절차와 과정을 체계적으로 수립하여 지속적으로 관리 및 운영하기 위해 구축한 종합적인 체계 • 계획수립(Plan) – 실행(Do) – 점검(Check) – 조치(Act) 프로세스의 순환적 활동 기대효과 • 위험 요소를 식별하고 이를 관리 또는 제거하는 제어 장치 역할 • 전체 비즈니스 또는 일부 선택된 부분에 유연하게 적용 가능 • 이해관계자와 고객의 데이터를 보호함으로써 신뢰 강화 • 컴플라이언스를 증명하여 공급자들의 선호도가 향상 • 컴플라이언스를 입증함으로써 조직에 대한 기대가 부드러워짐 ISO 27001 Framework & Structure 48
Data Privacy BS 10012 기대효과 • 개인정보보호 분야의 세부 요구사항을 충족하는 개인정보관리체계를 구축한 기업에 부여 • 개인정보의 관리체계 수립, 이행과 운영 • 개인정보 관리 활동에 대한 감사 및 경영 검토 • 개인정보의 수집, 처리 및 저장과 폐기 • 기술적 보안 통제 PDCA cycle applied to the management of personal information BS 10012 • 2009년도 BSI(British Standardization Institute)에서 공표 • Data Protection Act 1998(DPA)의 요구사항에 대한 컴플라이언스 향상과 유지를 위하여 조직이 개인정보경영시스템(PIMS: Personal Information Management System)의 수립과 운영을 규정하기 위한 규격 • BS 10012의 구성 • 개인정보관리를 위한 기본 체계 및 신뢰를 제공하고, DPA 컴플라이언스에 대한 평가를 위해 내부 및 외부 평가가 효과적으로 이루어질 수 있도록 함 49
Compliance ISO 19600 ISO 19600 • 2012년 호주표준인 AS 8306을 기반으로 ISO에 컴플라이언스 표준에 대한 개발을 제안을 바탕으로 ISO/PC 271이 결성 • 조직이 운영하고 있는 Compliance management 에 대한 기존의 접근방식을 개선하고 넓히는 것을 지원하고자 개발 • HLS 방식을 따르기 때문에, 기존 ISO 경영시스템들과 통합되어 적용 기대효과 • 올바른 행동은 결국 회사의 ‘운영 자격‘의 기초가 됨 • 준수해야 하는 법적 요구사항의 수의 증가와 그 요구사항의 복잡함에 대응하기 위해서는 조직 내에서 체계적이고 계획된 접근방법 필요 • 조직이 법과 규제를 더 진지하게 준수하고 이행하는 것에 대한 책임을 받아들일 때 정부 감사 및 감독기관으로부터 혜택을 받을 수 있음 • 본 표준 준수를 통해 조직의 준법경영이 준비가 되어 있기 때문에 당국의 강도 높은 감사도 유연하게 대처하여 많은 시간 손실 및 기업활동 제한의 어려움을 피할 수 있음 50
Risk Management ISO 31000 ISO 31000 • 2009년도 ISO(International Organization for Standardization)에서 발행 • 효과적인 Risk 관리를 위한 원칙을 수립 • 조직이 운영 중인 관리 프로세스와의 연동을 위한 프레임웍 제공 • 모든 형태의 조직에서 효과적인 Risk 관리를 위해 범용적으로 적용 • Risk 기반 경영시스템(ISO 9001, ISO 14001, OHSAS 18001, ISO 22000, SIO 27001, SIO 28000등)과의 호환성을 통한 시스템 효과성 및 효율성 증대 • 인증서 취득을 위한 규격은 아님 기대효과 • 목표달성 가능성 향상 • 적극적 관리를 촉진  관리 향상 • 조직 전반적 위험을 식별 및 처리할 필요성을 인식 • 기회와 위협 식별 향상 • 조직에 적절한 위험 관리 관행 적용 • 관련된 법규/규제 요구사항 및 국제 기준 준수 • 재무 보고 개선 • 이해관계자의 신임과 신뢰 향상 • 의사 결정과 기획의 신뢰할 만한 기반 수립 • 위험 처리를 위한 효과적 리소스 배분 및 활용 • 운영 효과성 및 효율성 향상 • 환경적 보호는 물론 보건 안전 성과 향상 • 손실 방지 및 사고 관리 향상 • 손실 최소화 • 조직적 학습 향상 • 조직의 복원력 향상 51

Recommended

Blueplanet Inventory & Federation - Alvaro Osle, blueplanet
Blueplanet Inventory & Federation - Alvaro Osle, blueplanetBlueplanet Inventory & Federation - Alvaro Osle, blueplanet
Blueplanet Inventory & Federation - Alvaro Osle, blueplanetNeo4j
 
Cloud Computing and the Next-Generation of Enterprise Architecture - Cloud Co...
Cloud Computing and the Next-Generation of Enterprise Architecture - Cloud Co...Cloud Computing and the Next-Generation of Enterprise Architecture - Cloud Co...
Cloud Computing and the Next-Generation of Enterprise Architecture - Cloud Co...Stuart Charlton
 
WebKit and GStreamer
WebKit and GStreamerWebKit and GStreamer
WebKit and GStreamercalvaris
 
Why You Cannot Use Neural Engine to Run Your NN Models on A11 Devices?
Why You Cannot Use Neural Engine to Run Your NN Models on A11 Devices?Why You Cannot Use Neural Engine to Run Your NN Models on A11 Devices?
Why You Cannot Use Neural Engine to Run Your NN Models on A11 Devices?Koan-Sin Tan
 
HPE Solutions for Challenges in AI and Big Data
HPE Solutions for Challenges in AI and Big DataHPE Solutions for Challenges in AI and Big Data
HPE Solutions for Challenges in AI and Big DataLviv Startup Club
 
Part 10: 5G Use cases - 5G for Absolute Beginners
Part 10: 5G Use cases - 5G for Absolute BeginnersPart 10: 5G Use cases - 5G for Absolute Beginners
Part 10: 5G Use cases - 5G for Absolute Beginners3G4G
 
Enterprise Architecture Toolkit Overview
Enterprise Architecture Toolkit OverviewEnterprise Architecture Toolkit Overview
Enterprise Architecture Toolkit OverviewMike Walker
 
TOGAF 9.2 - the update
TOGAF 9.2 - the updateTOGAF 9.2 - the update
TOGAF 9.2 - the updateDanny Greefhorst
 

Recommended

Blueplanet Inventory & Federation - Alvaro Osle, blueplanet
Blueplanet Inventory & Federation - Alvaro Osle, blueplanetBlueplanet Inventory & Federation - Alvaro Osle, blueplanet
Blueplanet Inventory & Federation - Alvaro Osle, blueplanetNeo4j
 
Cloud Computing and the Next-Generation of Enterprise Architecture - Cloud Co...
Cloud Computing and the Next-Generation of Enterprise Architecture - Cloud Co...Cloud Computing and the Next-Generation of Enterprise Architecture - Cloud Co...
Cloud Computing and the Next-Generation of Enterprise Architecture - Cloud Co...Stuart Charlton
 
WebKit and GStreamer
WebKit and GStreamerWebKit and GStreamer
WebKit and GStreamercalvaris
 
Why You Cannot Use Neural Engine to Run Your NN Models on A11 Devices?
Why You Cannot Use Neural Engine to Run Your NN Models on A11 Devices?Why You Cannot Use Neural Engine to Run Your NN Models on A11 Devices?
Why You Cannot Use Neural Engine to Run Your NN Models on A11 Devices?Koan-Sin Tan
 
HPE Solutions for Challenges in AI and Big Data
HPE Solutions for Challenges in AI and Big DataHPE Solutions for Challenges in AI and Big Data
HPE Solutions for Challenges in AI and Big DataLviv Startup Club
 
Part 10: 5G Use cases - 5G for Absolute Beginners
Part 10: 5G Use cases - 5G for Absolute BeginnersPart 10: 5G Use cases - 5G for Absolute Beginners
Part 10: 5G Use cases - 5G for Absolute Beginners3G4G
 
Enterprise Architecture Toolkit Overview
Enterprise Architecture Toolkit OverviewEnterprise Architecture Toolkit Overview
Enterprise Architecture Toolkit OverviewMike Walker
 
TOGAF 9.2 - the update
TOGAF 9.2 - the updateTOGAF 9.2 - the update
TOGAF 9.2 - the updateDanny Greefhorst
 
Togaf notes
Togaf notesTogaf notes
Togaf notesMohammed Omar
 
10 reasons why to choose Pure Storage
10 reasons why to choose Pure Storage10 reasons why to choose Pure Storage
10 reasons why to choose Pure StorageMarketingArrowECS_CZ
 
Industry-ready NLP Service Framework Based on Kafka (Bernhard Waltl and Georg...
Industry-ready NLP Service Framework Based on Kafka (Bernhard Waltl and Georg...Industry-ready NLP Service Framework Based on Kafka (Bernhard Waltl and Georg...
Industry-ready NLP Service Framework Based on Kafka (Bernhard Waltl and Georg...confluent
 
What is a Private 5G Network.pdf
What is a Private 5G Network.pdfWhat is a Private 5G Network.pdf
What is a Private 5G Network.pdfAntenna Manufacturer Coco
 
Preparing OpenSHMEM for Exascale
Preparing OpenSHMEM for ExascalePreparing OpenSHMEM for Exascale
Preparing OpenSHMEM for Exascaleinside-BigData.com
 
An Introduction to IT Management with COBIT 2019
An Introduction to IT Management with COBIT 2019An Introduction to IT Management with COBIT 2019
An Introduction to IT Management with COBIT 2019Gregor Polančič
 
David Soldani, Huawei
David Soldani, HuaweiDavid Soldani, Huawei
David Soldani, HuaweiHilary Ip
 
Google edge tpu
Google edge tpuGoogle edge tpu
Google edge tpuRouyun Pan
 
ITIL 4 Drive Stakeholder Value – When service marketing finally met ITIL
ITIL 4 Drive Stakeholder Value – When service marketing finally met ITILITIL 4 Drive Stakeholder Value – When service marketing finally met ITIL
ITIL 4 Drive Stakeholder Value – When service marketing finally met ITILitSMF Belgium
 
Hw09 Large Scale Transaction Analysis
Hw09 Large Scale Transaction AnalysisHw09 Large Scale Transaction Analysis
Hw09 Large Scale Transaction AnalysisCloudera, Inc.
 
Togaf 9.1 ADM summary
Togaf 9.1 ADM summaryTogaf 9.1 ADM summary
Togaf 9.1 ADM summaryMarco Bakker
 
Orchestration in Action
Orchestration in ActionOrchestration in Action
Orchestration in ActionEricsson
 
디지털 트랜스포메이션의 개념 및 사례 분석 2018.02.03
디지털 트랜스포메이션의 개념 및 사례 분석 2018.02.03디지털 트랜스포메이션의 개념 및 사례 분석 2018.02.03
디지털 트랜스포메이션의 개념 및 사례 분석 2018.02.03Hakyong Kim
 
Présentation des offre Neoxia Maroc
Présentation des offre Neoxia MarocPrésentation des offre Neoxia Maroc
Présentation des offre Neoxia MarocMouhsine LAKHDISSI
 
IT CMF Patterns
IT CMF Patterns IT CMF Patterns
IT CMF Patterns Vishal Sharma
 
Applying reference models with archi mate
Applying reference models with archi mateApplying reference models with archi mate
Applying reference models with archi mateBas van Gils
 
Using the Kentico CMS API
Using the Kentico CMS APIUsing the Kentico CMS API
Using the Kentico CMS APIThomas Robbins
 
Janus @ Meetup Tokyo #12
Janus @ Meetup Tokyo #12Janus @ Meetup Tokyo #12
Janus @ Meetup Tokyo #12Lorenzo Miniero
 
Clean architecture
Clean architectureClean architecture
Clean architectureLieven Doclo
 
Towards a New Internet for the Year 2030 and Beyond
Towards a New Internet for the Year 2030 and BeyondTowards a New Internet for the Year 2030 and Beyond
Towards a New Internet for the Year 2030 and Beyond3G4G
 
Digital 시대의 Open Banking Platform 구축 전략
Digital 시대의 Open Banking Platform 구축 전략Digital 시대의 Open Banking Platform 구축 전략
Digital 시대의 Open Banking Platform 구축 전략Seong-Bok Lee
 
HR과 빅데이터
HR과 빅데이터HR과 빅데이터
HR과 빅데이터Seong-Bok Lee
 

More Related Content

What's hot

10 reasons why to choose Pure Storage
10 reasons why to choose Pure Storage10 reasons why to choose Pure Storage
10 reasons why to choose Pure StorageMarketingArrowECS_CZ
 
Industry-ready NLP Service Framework Based on Kafka (Bernhard Waltl and Georg...
Industry-ready NLP Service Framework Based on Kafka (Bernhard Waltl and Georg...Industry-ready NLP Service Framework Based on Kafka (Bernhard Waltl and Georg...
Industry-ready NLP Service Framework Based on Kafka (Bernhard Waltl and Georg...confluent
 
Preparing OpenSHMEM for Exascale
Preparing OpenSHMEM for ExascalePreparing OpenSHMEM for Exascale
Preparing OpenSHMEM for Exascaleinside-BigData.com
 
An Introduction to IT Management with COBIT 2019
An Introduction to IT Management with COBIT 2019An Introduction to IT Management with COBIT 2019
An Introduction to IT Management with COBIT 2019Gregor Polančič
 
David Soldani, Huawei
David Soldani, HuaweiDavid Soldani, Huawei
David Soldani, HuaweiHilary Ip
 
Google edge tpu
Google edge tpuGoogle edge tpu
Google edge tpuRouyun Pan
 
ITIL 4 Drive Stakeholder Value – When service marketing finally met ITIL
ITIL 4 Drive Stakeholder Value – When service marketing finally met ITILITIL 4 Drive Stakeholder Value – When service marketing finally met ITIL
ITIL 4 Drive Stakeholder Value – When service marketing finally met ITILitSMF Belgium
 
Hw09 Large Scale Transaction Analysis
Hw09 Large Scale Transaction AnalysisHw09 Large Scale Transaction Analysis
Hw09 Large Scale Transaction AnalysisCloudera, Inc.
 
Togaf 9.1 ADM summary
Togaf 9.1 ADM summaryTogaf 9.1 ADM summary
Togaf 9.1 ADM summaryMarco Bakker
 
Orchestration in Action
Orchestration in ActionOrchestration in Action
Orchestration in ActionEricsson
 
디지털 트랜스포메이션의 개념 및 사례 분석 2018.02.03
디지털 트랜스포메이션의 개념 및 사례 분석 2018.02.03디지털 트랜스포메이션의 개념 및 사례 분석 2018.02.03
디지털 트랜스포메이션의 개념 및 사례 분석 2018.02.03Hakyong Kim
 
Présentation des offre Neoxia Maroc
Présentation des offre Neoxia MarocPrésentation des offre Neoxia Maroc
Présentation des offre Neoxia MarocMouhsine LAKHDISSI
 
Applying reference models with archi mate
Applying reference models with archi mateApplying reference models with archi mate
Applying reference models with archi mateBas van Gils
 
Using the Kentico CMS API
Using the Kentico CMS APIUsing the Kentico CMS API
Using the Kentico CMS APIThomas Robbins
 
Janus @ Meetup Tokyo #12
Janus @ Meetup Tokyo #12Janus @ Meetup Tokyo #12
Janus @ Meetup Tokyo #12Lorenzo Miniero
 
Clean architecture
Clean architectureClean architecture
Clean architectureLieven Doclo
 
Towards a New Internet for the Year 2030 and Beyond
Towards a New Internet for the Year 2030 and BeyondTowards a New Internet for the Year 2030 and Beyond
Towards a New Internet for the Year 2030 and Beyond3G4G
 

What's hot (20)

Togaf notes
Togaf notesTogaf notes
Togaf notes
 
10 reasons why to choose Pure Storage
10 reasons why to choose Pure Storage10 reasons why to choose Pure Storage
10 reasons why to choose Pure Storage
 
Industry-ready NLP Service Framework Based on Kafka (Bernhard Waltl and Georg...
Industry-ready NLP Service Framework Based on Kafka (Bernhard Waltl and Georg...Industry-ready NLP Service Framework Based on Kafka (Bernhard Waltl and Georg...
Industry-ready NLP Service Framework Based on Kafka (Bernhard Waltl and Georg...
 
What is a Private 5G Network.pdf
What is a Private 5G Network.pdfWhat is a Private 5G Network.pdf
What is a Private 5G Network.pdf
 
Preparing OpenSHMEM for Exascale
Preparing OpenSHMEM for ExascalePreparing OpenSHMEM for Exascale
Preparing OpenSHMEM for Exascale
 
An Introduction to IT Management with COBIT 2019
An Introduction to IT Management with COBIT 2019An Introduction to IT Management with COBIT 2019
An Introduction to IT Management with COBIT 2019
 
David Soldani, Huawei
David Soldani, HuaweiDavid Soldani, Huawei
David Soldani, Huawei
 
Google edge tpu
Google edge tpuGoogle edge tpu
Google edge tpu
 
ITIL 4 Drive Stakeholder Value – When service marketing finally met ITIL
ITIL 4 Drive Stakeholder Value – When service marketing finally met ITILITIL 4 Drive Stakeholder Value – When service marketing finally met ITIL
ITIL 4 Drive Stakeholder Value – When service marketing finally met ITIL
 
Hw09 Large Scale Transaction Analysis
Hw09 Large Scale Transaction AnalysisHw09 Large Scale Transaction Analysis
Hw09 Large Scale Transaction Analysis
 
Togaf 9.1 ADM summary
Togaf 9.1 ADM summaryTogaf 9.1 ADM summary
Togaf 9.1 ADM summary
 
Orchestration in Action
Orchestration in ActionOrchestration in Action
Orchestration in Action
 
디지털 트랜스포메이션의 개념 및 사례 분석 2018.02.03
디지털 트랜스포메이션의 개념 및 사례 분석 2018.02.03디지털 트랜스포메이션의 개념 및 사례 분석 2018.02.03
디지털 트랜스포메이션의 개념 및 사례 분석 2018.02.03
 
Présentation des offre Neoxia Maroc
Présentation des offre Neoxia MarocPrésentation des offre Neoxia Maroc
Présentation des offre Neoxia Maroc
 
IT CMF Patterns
IT CMF Patterns IT CMF Patterns
IT CMF Patterns
 
Applying reference models with archi mate
Applying reference models with archi mateApplying reference models with archi mate
Applying reference models with archi mate
 
Using the Kentico CMS API
Using the Kentico CMS APIUsing the Kentico CMS API
Using the Kentico CMS API
 
Janus @ Meetup Tokyo #12
Janus @ Meetup Tokyo #12Janus @ Meetup Tokyo #12
Janus @ Meetup Tokyo #12
 
Clean architecture
Clean architectureClean architecture
Clean architecture
 
Towards a New Internet for the Year 2030 and Beyond
Towards a New Internet for the Year 2030 and BeyondTowards a New Internet for the Year 2030 and Beyond
Towards a New Internet for the Year 2030 and Beyond
 

Viewers also liked

Digital 시대의 Open Banking Platform 구축 전략
Digital 시대의 Open Banking Platform 구축 전략Digital 시대의 Open Banking Platform 구축 전략
Digital 시대의 Open Banking Platform 구축 전략Seong-Bok Lee
 
클라우드 이행전략과 HP의 사례
클라우드 이행전략과 HP의 사례클라우드 이행전략과 HP의 사례
클라우드 이행전략과 HP의 사례Seong-Bok Lee
 
Cloud native application 입문
Cloud native application 입문Cloud native application 입문
Cloud native application 입문Seong-Bok Lee
 
API Management Reference Architecture
API Management Reference ArchitectureAPI Management Reference Architecture
API Management Reference ArchitectureSeong-Bok Lee
 
협력의 진화 V1.1
협력의 진화 V1.1협력의 진화 V1.1
협력의 진화 V1.1Seong-Bok Lee
 
능력주의는 허구다
능력주의는 허구다능력주의는 허구다
능력주의는 허구다Seong-Bok Lee
 
PECB Webinar: Minimizing the Documentation of an Environmental Management System
PECB Webinar: Minimizing the Documentation of an Environmental Management SystemPECB Webinar: Minimizing the Documentation of an Environmental Management System
PECB Webinar: Minimizing the Documentation of an Environmental Management SystemPECB
 
클라우드 컴퓨팅 이젠 비즈니스다
클라우드 컴퓨팅 이젠 비즈니스다클라우드 컴퓨팅 이젠 비즈니스다
클라우드 컴퓨팅 이젠 비즈니스다BaeJaeHak
 
Deview2013 presentation ver1.8_final
Deview2013 presentation ver1.8_finalDeview2013 presentation ver1.8_final
Deview2013 presentation ver1.8_finalNAVER D2
 
Tata steel, industrial marketing B2B
Tata steel, industrial marketing B2BTata steel, industrial marketing B2B
Tata steel, industrial marketing B2BRevati Bargale
 
옆에 다가 온 클라우드, 어떻게 같이 갈 것인가?
옆에 다가 온 클라우드, 어떻게 같이 갈 것인가?옆에 다가 온 클라우드, 어떻게 같이 갈 것인가?
옆에 다가 온 클라우드, 어떻게 같이 갈 것인가?Marcetto Co., Ltd
 
PECB Webinar: Identification of Environmental Aspects and Evaluation of Impact
PECB Webinar: Identification of Environmental Aspects and Evaluation of ImpactPECB Webinar: Identification of Environmental Aspects and Evaluation of Impact
PECB Webinar: Identification of Environmental Aspects and Evaluation of ImpactPECB
 
기업혁신을 위한 클라우드 여정 20141104 이영훈
기업혁신을 위한 클라우드 여정 20141104 이영훈기업혁신을 위한 클라우드 여정 20141104 이영훈
기업혁신을 위한 클라우드 여정 20141104 이영훈Software in Life
 
클라우드를 적용한 ISV 기업들의 비지니스 모델 변화
클라우드를 적용한 ISV 기업들의 비지니스 모델 변화클라우드를 적용한 ISV 기업들의 비지니스 모델 변화
클라우드를 적용한 ISV 기업들의 비지니스 모델 변화Marcetto Co., Ltd
 
Big data application architecture 요약2
Big data application architecture 요약2Big data application architecture 요약2
Big data application architecture 요약2Seong-Bok Lee
 
클라우드 컴퓨팅에 대한 이해, 비즈니스 혁신 전략(2)
클라우드 컴퓨팅에 대한 이해, 비즈니스 혁신 전략(2)클라우드 컴퓨팅에 대한 이해, 비즈니스 혁신 전략(2)
클라우드 컴퓨팅에 대한 이해, 비즈니스 혁신 전략(2)mosaicnet
 

Viewers also liked (20)

Digital 시대의 Open Banking Platform 구축 전략
Digital 시대의 Open Banking Platform 구축 전략Digital 시대의 Open Banking Platform 구축 전략
Digital 시대의 Open Banking Platform 구축 전략
 
HR과 빅데이터
HR과 빅데이터HR과 빅데이터
HR과 빅데이터
 
클라우드 이행전략과 HP의 사례
클라우드 이행전략과 HP의 사례클라우드 이행전략과 HP의 사례
클라우드 이행전략과 HP의 사례
 
Cloud native application 입문
Cloud native application 입문Cloud native application 입문
Cloud native application 입문
 
SaaS 동향
SaaS 동향SaaS 동향
SaaS 동향
 
API Management Reference Architecture
API Management Reference ArchitectureAPI Management Reference Architecture
API Management Reference Architecture
 
협력의 진화 V1.1
협력의 진화 V1.1협력의 진화 V1.1
협력의 진화 V1.1
 
Intro to r & hadoop
Intro to r & hadoopIntro to r & hadoop
Intro to r & hadoop
 
능력주의는 허구다
능력주의는 허구다능력주의는 허구다
능력주의는 허구다
 
PECB Webinar: Minimizing the Documentation of an Environmental Management System
PECB Webinar: Minimizing the Documentation of an Environmental Management SystemPECB Webinar: Minimizing the Documentation of an Environmental Management System
PECB Webinar: Minimizing the Documentation of an Environmental Management System
 
클라우드 컴퓨팅 이젠 비즈니스다
클라우드 컴퓨팅 이젠 비즈니스다클라우드 컴퓨팅 이젠 비즈니스다
클라우드 컴퓨팅 이젠 비즈니스다
 
Deview2013 presentation ver1.8_final
Deview2013 presentation ver1.8_finalDeview2013 presentation ver1.8_final
Deview2013 presentation ver1.8_final
 
Tata steel, industrial marketing B2B
Tata steel, industrial marketing B2BTata steel, industrial marketing B2B
Tata steel, industrial marketing B2B
 
옆에 다가 온 클라우드, 어떻게 같이 갈 것인가?
옆에 다가 온 클라우드, 어떻게 같이 갈 것인가?옆에 다가 온 클라우드, 어떻게 같이 갈 것인가?
옆에 다가 온 클라우드, 어떻게 같이 갈 것인가?
 
PECB Webinar: Identification of Environmental Aspects and Evaluation of Impact
PECB Webinar: Identification of Environmental Aspects and Evaluation of ImpactPECB Webinar: Identification of Environmental Aspects and Evaluation of Impact
PECB Webinar: Identification of Environmental Aspects and Evaluation of Impact
 
기업혁신을 위한 클라우드 여정 20141104 이영훈
기업혁신을 위한 클라우드 여정 20141104 이영훈기업혁신을 위한 클라우드 여정 20141104 이영훈
기업혁신을 위한 클라우드 여정 20141104 이영훈
 
클라우드를 적용한 ISV 기업들의 비지니스 모델 변화
클라우드를 적용한 ISV 기업들의 비지니스 모델 변화클라우드를 적용한 ISV 기업들의 비지니스 모델 변화
클라우드를 적용한 ISV 기업들의 비지니스 모델 변화
 
클라우드 도입 전략과 프로세스(강연자료)
클라우드 도입 전략과 프로세스(강연자료)클라우드 도입 전략과 프로세스(강연자료)
클라우드 도입 전략과 프로세스(강연자료)
 
Big data application architecture 요약2
Big data application architecture 요약2Big data application architecture 요약2
Big data application architecture 요약2
 
클라우드 컴퓨팅에 대한 이해, 비즈니스 혁신 전략(2)
클라우드 컴퓨팅에 대한 이해, 비즈니스 혁신 전략(2)클라우드 컴퓨팅에 대한 이해, 비즈니스 혁신 전략(2)
클라우드 컴퓨팅에 대한 이해, 비즈니스 혁신 전략(2)
 

Similar to HP의 compliance management 솔루션

security framework2.20
security framework2.20security framework2.20
security framework2.20skccsocial
 
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)Lee Chanwoo
 
리얼스캔 비즈 개인정보
리얼스캔 비즈 개인정보 리얼스캔 비즈 개인정보
리얼스캔 비즈 개인정보 시온시큐리티
 
(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료
(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료
(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료훈 박
 
[법무법인 민후] 빅데이터(Big data) 시대의 개인정보 활용과 보호
[법무법인 민후] 빅데이터(Big data) 시대의 개인정보 활용과 보호[법무법인 민후] 빅데이터(Big data) 시대의 개인정보 활용과 보호
[법무법인 민후] 빅데이터(Big data) 시대의 개인정보 활용과 보호MINWHO Law Group
 
150324 한국cpo포럼 정보침해 법정사례에서 얻은 전사정보보호문화 구...
150324 한국cpo포럼 정보침해 법정사례에서 얻은 전사정보보호문화 구...150324 한국cpo포럼 정보침해 법정사례에서 얻은 전사정보보호문화 구...
150324 한국cpo포럼 정보침해 법정사례에서 얻은 전사정보보호문화 구...TEK & LAW, LLP
 
Compliance 발표자료
Compliance 발표자료Compliance 발표자료
Compliance 발표자료기태 김
 
제2회 테크앤로 정보보호세미나
제2회 테크앤로 정보보호세미나제2회 테크앤로 정보보호세미나
제2회 테크앤로 정보보호세미나TEK & LAW, LLP
 
제2회 테크앤로 정보보호법 세미나
제2회 테크앤로 정보보호법 세미나제2회 테크앤로 정보보호법 세미나
제2회 테크앤로 정보보호법 세미나TEK & LAW, LLP
 
제5회 사내기술세미나-IT Compliance-김동한-2009-12-4
제5회 사내기술세미나-IT Compliance-김동한-2009-12-4제5회 사내기술세미나-IT Compliance-김동한-2009-12-4
제5회 사내기술세미나-IT Compliance-김동한-2009-12-4Donghan Kim
 
20111115 개인정보침해와디지털포렌식
20111115 개인정보침해와디지털포렌식20111115 개인정보침해와디지털포렌식
20111115 개인정보침해와디지털포렌식TEK & LAW, LLP
 
Gdpr basic lecture
Gdpr basic lectureGdpr basic lecture
Gdpr basic lecture재림 이
 
지능정보시대를 위한 빅데이터, 이대로 좋은가
지능정보시대를 위한 빅데이터, 이대로 좋은가지능정보시대를 위한 빅데이터, 이대로 좋은가
지능정보시대를 위한 빅데이터, 이대로 좋은가r-kor
 
소개서 FTA원산지시스템 솔루션
소개서 FTA원산지시스템 솔루션소개서 FTA원산지시스템 솔루션
소개서 FTA원산지시스템 솔루션춘웅 석
 
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & ProcessorsEU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & ProcessorsDavid Lee
 
정보활용과 데이터보안
정보활용과 데이터보안정보활용과 데이터보안
정보활용과 데이터보안eungjin cho
 
04.a sis to be_정보보호체계 제언1
04.a sis to be_정보보호체계 제언104.a sis to be_정보보호체계 제언1
04.a sis to be_정보보호체계 제언1시온시큐리티
 
2015-4 혁신기술로서의 빅데이터 국내 기술수용 초기 특성연구- 김정선
2015-4 혁신기술로서의 빅데이터 국내 기술수용 초기 특성연구- 김정선2015-4 혁신기술로서의 빅데이터 국내 기술수용 초기 특성연구- 김정선
2015-4 혁신기술로서의 빅데이터 국내 기술수용 초기 특성연구- 김정선datasciencekorea
 
[코세나, kosena] 빅데이터 구축 및 제안 가이드
[코세나, kosena] 빅데이터 구축 및 제안 가이드[코세나, kosena] 빅데이터 구축 및 제안 가이드
[코세나, kosena] 빅데이터 구축 및 제안 가이드kosena
 

Similar to HP의 compliance management 솔루션 (20)

security framework2.20
security framework2.20security framework2.20
security framework2.20
 
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
[이찬우 강사] Study on isms-p integration issues and major defects(20181017)
 
리얼스캔 비즈 개인정보
리얼스캔 비즈 개인정보 리얼스캔 비즈 개인정보
리얼스캔 비즈 개인정보
 
(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료
(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료
(주)하이라인닷넷 개인정보보호법 2012년 상반기 교육자료
 
정보보호체계 제언
정보보호체계 제언 정보보호체계 제언
정보보호체계 제언
 
[법무법인 민후] 빅데이터(Big data) 시대의 개인정보 활용과 보호
[법무법인 민후] 빅데이터(Big data) 시대의 개인정보 활용과 보호[법무법인 민후] 빅데이터(Big data) 시대의 개인정보 활용과 보호
[법무법인 민후] 빅데이터(Big data) 시대의 개인정보 활용과 보호
 
150324 한국cpo포럼 정보침해 법정사례에서 얻은 전사정보보호문화 구...
150324 한국cpo포럼 정보침해 법정사례에서 얻은 전사정보보호문화 구...150324 한국cpo포럼 정보침해 법정사례에서 얻은 전사정보보호문화 구...
150324 한국cpo포럼 정보침해 법정사례에서 얻은 전사정보보호문화 구...
 
Compliance 발표자료
Compliance 발표자료Compliance 발표자료
Compliance 발표자료
 
제2회 테크앤로 정보보호세미나
제2회 테크앤로 정보보호세미나제2회 테크앤로 정보보호세미나
제2회 테크앤로 정보보호세미나
 
제2회 테크앤로 정보보호법 세미나
제2회 테크앤로 정보보호법 세미나제2회 테크앤로 정보보호법 세미나
제2회 테크앤로 정보보호법 세미나
 
제5회 사내기술세미나-IT Compliance-김동한-2009-12-4
제5회 사내기술세미나-IT Compliance-김동한-2009-12-4제5회 사내기술세미나-IT Compliance-김동한-2009-12-4
제5회 사내기술세미나-IT Compliance-김동한-2009-12-4
 
20111115 개인정보침해와디지털포렌식
20111115 개인정보침해와디지털포렌식20111115 개인정보침해와디지털포렌식
20111115 개인정보침해와디지털포렌식
 
Gdpr basic lecture
Gdpr basic lectureGdpr basic lecture
Gdpr basic lecture
 
지능정보시대를 위한 빅데이터, 이대로 좋은가
지능정보시대를 위한 빅데이터, 이대로 좋은가지능정보시대를 위한 빅데이터, 이대로 좋은가
지능정보시대를 위한 빅데이터, 이대로 좋은가
 
소개서 FTA원산지시스템 솔루션
소개서 FTA원산지시스템 솔루션소개서 FTA원산지시스템 솔루션
소개서 FTA원산지시스템 솔루션
 
EU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & ProcessorsEU GDPR Survival Guide for Korean Controllers & Processors
EU GDPR Survival Guide for Korean Controllers & Processors
 
정보활용과 데이터보안
정보활용과 데이터보안정보활용과 데이터보안
정보활용과 데이터보안
 
04.a sis to be_정보보호체계 제언1
04.a sis to be_정보보호체계 제언104.a sis to be_정보보호체계 제언1
04.a sis to be_정보보호체계 제언1
 
2015-4 혁신기술로서의 빅데이터 국내 기술수용 초기 특성연구- 김정선
2015-4 혁신기술로서의 빅데이터 국내 기술수용 초기 특성연구- 김정선2015-4 혁신기술로서의 빅데이터 국내 기술수용 초기 특성연구- 김정선
2015-4 혁신기술로서의 빅데이터 국내 기술수용 초기 특성연구- 김정선
 
[코세나, kosena] 빅데이터 구축 및 제안 가이드
[코세나, kosena] 빅데이터 구축 및 제안 가이드[코세나, kosena] 빅데이터 구축 및 제안 가이드
[코세나, kosena] 빅데이터 구축 및 제안 가이드
 

HP의 compliance management 솔루션

  • 1. HP Korea Compliance Management Solutions - 기업의 개인정보 보호 Compliance Management 2016.8 Enterprise Services 한국 휴렛팩커드
  • 2. 차례 2 Ⅰ. GRC란? Ⅱ. GRC와 Data Privacy Compliance Management Ⅲ. HPE 솔루션 Ⅳ. Offerings Ⅴ. HPE의 역량과 차별점 Ⅵ. Buying Factors Ⅶ. Delivery model
  • 3. 들어가며… 3 ■ 본 Offering의 목적 • GRC에 대한 이해 • Data Privacy Compliance Management의 개념 아키텍처 정립 • Data Privacy Compliance Management 시스템 구축을 위한 상세 Offering 정의 : Advise, Transform, Manage ■ 향후 필요한 추가 작업 • Offering과 솔루션 상세화 : 각 비즈니스 레이어에 대한 상세화 작업 • 솔루션 모듈 중에서 상용 솔루션 또는 오픈 소스로 대체할 수 있는 솔루션 매핑  Best of breed로 사용/협력 가능한 솔루션 공급사 선정  해당 솔루션에 대한 심화 학습을 통한 전체 아키텍처 보완
  • 4. 주요 용어 4 용어 의미 설문 Compliance 진단을 수행할 때 사용자에게 직접 보여주는 질문 항목으로 제품이나 서비스 기획, IT 개발, 약관 작성 등 실무 분야에서 개인정보 보호 규정을 준수하고 있는지를 점검 (Rule engine에서 Rule을 실행시킨 결과물) 법/규정 Compliance와 관련하여 기업이 지키고 확인하여야 하는 국가나 공공기관이 정한 법 또는 규정 (예, 개인정보보호법) 정책 개인정보 보호와 관련되어 기업이 정한 규정 (예, 전사 개인정보보호 정책) 정책관리 각종 규약과 Control을 관리 Control 설문의 기준/근거가 되는 규약 중에서 개인정보 보호와 관련된 항목을 추출한 것으로써 법/규정/정책을 Compliance 진 단과 평가에 적용하기 위해 상세화한 프로시저 Rule 설문을 만들기 위해 Rule engine에 입력하는 프로그램. 즉, 텍스트 상태의 control을 프로그래밍 언어로 바꾸는 것 Rule Engine 입력된 텍스트 상태의 control을 compliance assessment에서 사용되는 설문으로 만들어 주는 interpreter 프로젝트 개인정보 보호 관련 Compliance 여부의 진단을 시작하고 수행하는 단위. HPE의 Data Privacy Compliance Management 솔루션과 관련된 주요 용어는 아래와 같습니다.
  • 5. Ⅰ. GRC란? • GRC란? • GRC 영역별 주요 내용 • GRC 관련 이슈 • GRC 성숙도 모델
  • 6. GRC란? 6 GRC란 기업이 비즈니스를 수행하면서 준수해야 하는 각종 법규의 준수 여부/수준(Compliance)과 이를 따르지 않았을 경우의 영향과 위험 관리(Risk), 그리고 준수 절차와 방법을 총괄 관리하는 것(Governance)입니다. Governance 위험이나 규제관리를 위한 의사결정과 책임에 관한 프레임워크 Risk Management 위험으로부터 자산이나 사업 영역을 보호하기 위한 프로세스 Compliance 법령에서 요구하는 규제들을 준수하기 위한 규정(내용)과 절차 위험(Risk) 허용 규칙 위험(Risk) trade-off 결정 위험(Risk) trade-off 결정 누가 무엇을 결정하고, 누가 프로세스를 준수해야 하는지 결정 위험(Risk) trade-off 결정 준수하지 않았을 경우의 영향과 위험 거버넌스 목표 선정  대상과 프로세스 선정  통제활동 정의  모니터링 규제 항목 정의  해당 규제 관련 프로세스 식별  통제활동 정의  모니터링 위험 정의  대상 위험 관련 프로세스 식별  통제활동 정의  모니터링
  • 7. GRC 영역별 주요 내용 7 기업의 GRC에서 Governance는 규칙과 관제에 대한 관리를, Risk management는 준수/미준수에 따르는 영향과 위험을 관리하며, Compliance는 실제 준수해야 할 내용을 관리합니다. 영역 설명 목적 주요 내용/Activities 측정 방법(IT 관점) Governance 기업활동과 관련되어 준수해야 할 문화, 목표, 프로세스, 정책, 법/규정에 대한 관리 완전한 관리 • 관리 조직(Governing bodies) 설계 • 기업의 위험관리와 위험 평가 • 비즈니스 성과 모니터링 & 보고 : balanced scorecards, risk scorecards, operational controls dashboards 등 • 비전 설정과 정책 수립 • 관제 목표 달성을 위한 IT 시스템의 활용 • 재검의 필요없이 제 때에 의사결정이 이루어짐 • 비즈니스 요구와 방향에 부합하는 IT 시스템의 안정성, 무결성, 가용성 • 시의적절하게 정책을 생성하고 관리 Risk Management 기업의 목표달성에 영향을 미칠 수 있는 사건(위험)의 가능성과 영향도 관리 효율적인 위험 관리 • Risk 등록 • Risk 평가와 우선순위 결정 • Risk 분석 • 손실 내역과 사고대응 내역 관리 • 이슈의 근본 원인 분석과 완화 • 잠재 위협을 선제적으로 식별하고 관리 • 위험 식별을 위한 분명하고 문서화된 절차 • 영향과 가능성 결정 • 완화/이전/수용을 위한 우선순위 설정과 관리 • 적절한 통제 방법과 솔루션 식별 • IT 시스템의 안정성, 무결성, 가용성 Compliance 법/규정, 기업의 정책과 절차, 각종 표준 등을 준수하고 이를 입증하는 행위 규정, 법, 정책의 준수 • 요구사항 관리 : 법/규정 등의 요건 관리/현행화 • Control 관리 : controls 계층구조 관리, 테스트 • Findings and exceptions • Compliance 증적 데이터 관리 • 진단과 감사 • 이슈 추적과 개선 • Analytics • 비즈니스를 수행에 따른 규정과 법의 영향 관리 • 적용가능한 기업의 정책, 법, 규정 식별 • 법, 규정을 준수하도록 지원할 IT 시스템의 설계, 개발, 운영 • 측정 가능한 control 관리
  • 8. GRC 관련 이슈 8 비즈니스의 확장에 따라 준수해야 할 법/규정이나 표준도 늘어나고 있으며, 또한 이들을 준수하지 않았을 경우 막대한 비용 손실과 기회의 박탈이 있으므로 GRC 구현을 통해 사전에 대응하는 체계를 만들어야 합니다.  기업이 준수해야 할 법/규정의 잦은 변경과 신규 생성  GRC 관련 법/규정, 표준 등의 준수와 기업내 통제 실패 사례의 증가  인재 관리 제도의 변화  위험 관리와 compliance 관련 기능들이 분산되어 있음  ERP와 GRC를 비효율적으로 사용  프로세스의 표준화 강화 추세  (GRC 위반으로 인한 잠재적 위험으로부터의) 비용 절감  운영 모델의 분권화 관련 이슈 기대 효과  위험 노출에 대한 즉각적이고 장기적인 해결책 수립  위험에 대한 사전 준비가 가능해지고 사건 발생시 대응 시간(event response time)의 개선  유연하고 확장 가능한 통제 환경 구축  모니터링과 개선 작업 등과 같은 기업 내/외의 위험 관련 활동을 통해서 비용 절감  (법/규정 위반으로 인한) 비즈니스 실패 위험 감소  가치 기반의 위험관리를 통해 기업 성과와 혁신 작업의 개선 GRC 구현 / 대응
  • 9. GRC 성숙도 모델 9 GRC 관련 대응 체계를 수립은, 당장의 요건을 만족하기 위한 point solution에서 부터 기업 전반적인 GRC 체계와 시스템을 구축하는 enterprise transformation으로 나아가야 합니다. <출처 : Ernst & Young, 2015> 전략적 목표를 지원하는 전사 차원의 GRC 프로그램 개발  위험 관리의 통합  위험 관리와 통제의 개혁  Driver 기반의 성과 관리로 통합  Business intelligence 통합  지속적인 모니터링 GRC의 특정 기능과 프로세스를 설계하고 구축  Compliance 관련 기능의 강화  정보 아키텍처(IA) 절차와 기술의 이행  분석(analytics) 가능, 사기 모니터링  프로세스 개선과 자동화 (예, 회계 마감 대사) GRC를 활용하여 특정 이벤트나 상황에 대비  비즈니스와 IT 프로세스 수립, 통제 모니터링, 테스트  민감성 테스트, 접근 통제, 업무의 분리  주로 데이터 분석과 정보 관리 활동 중심 GRC Functional transformation GRC enterprise transformation GRC Point solutions
  • 10. Ⅱ. GRC와 Data Privacy Compliance Management • GRC와 Data Privacy Compliance Management • 서비스 등의 개발 시 개인정보 보호 준수를 위한 절차 • 기업의 개인정보보호 Compliance 관리 동향 • 개인정보 보호 관련 법과 규정
  • 11. GRC와 Data Privacy Compliance Management 11 HPE의 Data Privacy Compliance Management 솔루션은 GRC 이슈 중에서 개인정보 보호와 관련된 이슈의 규제 준수를 위한 솔루션입니다. Data Privacy Compliance Management는… GRC 이슈 중에서 개인정보보호를 위하여 법/규정에서 요구하는 기본 사항을 충족하는 한편, 법/규정 이외의 내/외부 Risk를 종합적으로 관리하기 위해 필요한 의사결정과 책임에 관한 정책 프레임 워크 • 인적 사항 : 개인. 가족관계, 가족 구성원 • 신체 정보 : 신체 정보, 의료/건강 정보, 습관 등 • 정신 정보 : 성향, 사상, 신조, 종교, 대여 기록 등 • 재산 정보 : 개인 금융 정보, 신용 정보 • 사회 정보 : 교육, 전과기록, 근로, 병역 정보 • 기타 : 개인 위치정보, IP 정보, 전화통화 내역 GRC는 … 지배력, 위험관리, 규제준수는 경영목적에 부합되는 지속적인 경영활동을 보장하기 위한 핵심요소 (= 법규에 대응하기 위한 내부통제) • Governance : 기업의 경영자가 추진하는 방향으로 나아갈 수 있도록 기업의 자원을 동원 하는 힘(지배력) • Risk : 회사가 감당하게 될 수 있는 위험에 대한 사전 관리 • Compliance : 규제에 대한 수용 또는 준수
  • 12. Data Privacy Compliance Management의 배경 12 IT 기술의 발전과 이에 기반한 각종 서비스의 확대에 따라 개인정보 보호 관련 규제의 준수가 매우 중요한 이슈가 되고 있습니다. 개인정보 보호 준수 규정과 관계된 각종 서비스의 개발/확대  Wearable 스마트 기기의 확산으로 인한 무분별한 개인정보의 취합과 저장 예) 구글 글래스, 스마트 워치 등  클라우드 서비스의 확대  국경없는 데이터 저장  Big Data와 IoT 기술의 발전과 관련 서비스의 확대  금융, 의료 관련 온갖 종류의 개인정보 데이터 취합, 응용 가능 예) 생체인식, 간편 결제 등 IT 기술의 발달과 확장으로 인한 손쉬운 개인정보 수집과 관리 개인정보 유출로 인한 피해의 증가 각국의 개인정보 보호 규제의 위반에 따른 제재의 증가 자국민의 개인정보보호를 위해 무분별한 데이터 국외이전을 제한  러시아 자국민의 개인정보를 수집하거나 처리하는 데이터 서버는 러시아 영토 내 설치 (’15.9월)  EU EU 시민의 개인정보를 보호하기 위해 미국과 체결한 ‘세이프 하버(Safe Habor)’조약 무효화(’15.10월) 각국의 규제 강화개인정보를 취급하는 서비스의 확대  각종 이벤트에 개인정보의 수집  Wearable 스마트 기기  Connected Car  미국 FTC(연방거래위원회), 구글의 개인정보보호 정책 합의 위반에 대한 벌금 부과  FTC, 페이스북의 일방적인 개인정보정책 변경에 따른 개인정보보호 정책 합의 • 19 UK local government authorities PII (개인 식별 정보) 유출 총 벌금 £1.885M 부과 ($2.884M, 약 31억 원) • Zurich Insurance SA 64만 건의 개인정보가 저장된 백업 기기 분실 (암호화 미비) 벌금 £2.275M 부과 ($3.5M, 약 37억 원) • HSBC Actuaries 18만 건의 개인정보가 저장된 데이터 저장 미디어 분실 벌금 £3.2M 부과 ($4.9M, 약 53억 원) • 국민카드, NH농협카드, 롯데카드(2014년 1월 ) 역대 최대 규모의 유출 사건. 중복 및 사망자 포함 약 1억명분의 개인정보가 유출 • 인터파크 개인정보 유출(2016.5) 인터파크 회원 1030만명의 정보가 사이버 범죄에 의해 침해
  • 13. 개인정보 보호 관련 법과 규정 전세계 72개국에서 정보보호법을 시행 중이며 미국, 유럽, 한국에서는 규제 수준이 매우 높습니다. 2018년 EU에서 더 높은 수준의 GDPR(General Data Protection Regulation 개인정보보호 일반규정)을 발효/시행 할 예정입니다. 13 HEAVY ROBUST MODERATE LIMITEDRegulation & Enforcement Argentina Australia Austria Belgium Brazil British Virgin Islands Bulgaria Canada Cayman Islands France Germany Gibraltar Greece Guernsey Honduras Hong Kong Hungary Iceland Macau Malaysia Malta Mauritius Mexico Monaco Morocco Netherlands New Zealand Serbia Singapore Slovak Republic South Africa South Korea Spain Sweden Switzerland Taiwan Chile China Colombia Costa Rica Cyprus Czech Republic Denmark Egypt Finland India Indonesia Ireland Israel Italy Japan Jersey Lithuania Luxembourg Norway Pakistan Panama Peru Philippines Poland Portugal Romania Russia Thailand Trinidad and Tobago Turkey UAE - Dubai (DIFC) UAE - General Ukraine United Kingdom United States Uruguay • 전세계 72개국에서 정보보호법 시행 중 주요 국가 정보보호법 현황 • United States - Privacy Act, 1974 – including U.S. Department of Justice Overview - Privacy Protection Act, 1980 (PPA) - The HIPAA Privacy Rule • Canada - The Privacy Act, 1983.6 - Personal Information Protection and Electronic Data Act (PIPEDA), 2000 (Bill C-6) • European Union - Data Protection Directive, 1998 - EU Internet Privacy Law, 2002 (DIRECTIVE 2002/58/EC) - The Privacy Act, 1983.6 • Japan - Personal Information Protection Law (Act) - Law Summary from Jonesday Publishing - Law for the Protection of Computer Processed Data Held by Administrative Organs, 1988.12 • Korea - 개인정보보호법(법률 제13423호) - 정보통신망 이용촉진 및 정보보호 등에 관한 법률(2009)
  • 14. 서비스 등의 개발 시 개인정보 보호 준수를 위한 절차 14 개인정보를 처리하는 신규 프로젝트/시스템 개발/약관개발/서비스나 제품 개발 시, 초기 기획단계에서부터 ‘개인정보보호’에 대해 종합적으로 검토하고 의사결정이 시작되어야 합니다. 1. 회사의 법무부서(또는 법률전문가)로부터 신규 서비스 등에 대해 검토를 받는다. 개인정보의 처리가 발생하는 새로운 서비스의 개발, 신규 프로젝트의 착수, 새로운 시스템 개발 시 관련 법령에 대해 종합적인 검토를 통해 법적 으로 준수해야 하는 체크 리스트를 확인한다. 2. 법/규정 이외에 내•외부 Risk에 대해 정보보호 부서/법무 부서/정책 부서에서 검토하여 최종 의사결정을 받는다. 법령을 모두 준수하였지만, 고객으로부터 부정적인 평가를 불러오거나 언론의 된서리를 맞을 수 있는 프라이버시 관련 기능이나 기술이 포함되어 있는지 확인하고 이에 대한 Risk 검토를 해야 한다. 3. 서비스 부서와 기술 부서에서는 위 법/규정이나 정책결정 사항을 신규 서비스나 시스템 등에 반영한다. 신규 서비스나 새로운 시스템 기획 부서는 위에서 검토한 내용과 도출된 개선사항을 서비스나 시스템 기획서에 반영한다. <출처 : “개인정보 보호 GRC“, NHN>
  • 15. 기업의 개인정보보호 Compliance 관리 동향 국내/외 개인정보보호 Compliance를 위하여, 글로벌 기업은 조직, 시스템/솔루션, 인증 측면에서 Compliance 관리 체계를 구축하고 있으며, HPE는 글로벌 Compliance 관리 조직과 지원 시스템을 도입하여 이에 대응하고 있습니다. Compliance 관리 조직 구성 Compliance 시스템/솔루션 도입 국내/외 Compliance 공인 인증 취득  전사 Compliance 관리 컨트롤 타워 역할  조직/프로세스/정책에 대한 거버넌스  Compliance 관련 준수 여부 모니터링 및 감사  관련 법/규정, 규제 동향 파악과 사고 대응  Compliance 관리를 위한 IT 시스템 도입  전문적인 Compliance 솔루션 도입 또는 구축  정보보안 솔루션과 연계 적용 (ESM)  정보보안 및 개인정보 보호 인증 취득 - ISO27001, BS10012, ISMS, PIMS 등  국내/외 Compliance 표준 준수 입증  고객으로부터 개인정보 보호 관련 신뢰성 확보 개인정보보호 Compliance 관리 체계 HPE의 글로벌 Compliance 관리 체계 구현 사례 [공인 인증] BS 10012:2009 – PIMS ISO 27001:2013 – ISMS ISO 22301:2012 – BCMS [조직] HPE Privacy Office [시스템] HPE Privacy Advisor [시스템] HPE Privacy Rulebook 15
  • 16. 개인정보 유출, 위반 사례 2013년 영국에서의 A전자 Smart TV 개인정보 무단 수집 사건 등을 통해 글로벌 기업들의 개인정보 관리에 대한 관심이 높아졌습니다. • 2013년 영국에서 A전자의 스마트TV에서 사생활 보호기능을 작동시켜도 고객동의 없이 시청정보가 무단으로 수집되는 현상 확인 • 영국 정보감독위원회(ICO)의 데이터보호법 위반 혐의 조사 • 북미 지역 판매 TV도 해당 기능이 있는지 논란이 됨 • 최근 A 전자는 노르웨이 인증기관인 DNV로 부터 개인정보 관리체계와 관련된 국제인증을 획득 A Smart TV 개인정보 무단 수집 16
  • 17. 개인정보 침해 사고 유형별 현황(한국, 2011) 17
  • 18. Ⅲ. HPE의 솔루션 Data Privacy Compliance Management • Data Privacy Compliance Management 시스템 • Data Privacy Compliance Management 시스템의 구조 • 각 영역별 설명 : Portal, 프로세스관리, 정책관리, 진단관리, 사고대응관리, 감사관리, 컨텐츠관리 • 기대 효과
  • 19. 지원 Data Privacy Compliance Management 시스템 19 HPE의 Data Privacy Compliance Management 시스템은 기업의 개인정보 보호 규제 준수의 효율적인 관리를 위한 IT 시스템으로 데이터공통비즈니스프리젠테이션 레이어로 구성되어 있습니다. Portal 프로세스 관리 모니터링 Logging워크플로우 분석 검색 엔진 법/규정 프리젠테이션 레이어 비즈니스 레이어 데이터 레이어 룰 엔진 대시보드 리포트 공지/알림 권한 진단 관리정책 관리 감사 관리사고대응 관리 컨텐츠 관리 약관 Control정책 설문 교육,훈련 인증 (ISO, BS) 번역 수집 공통 레이어
  • 20. Data Privacy Compliance Management 시스템의 구조 20 HPE의 개인정보 보호 규정 준수 관리를 위한 시스템의 각각의 구성요소들간의 관계는 아래와 같습니다. 프로세스 관리 Assessment 프로세스 시작, 프로젝트/프로젝트 그룹 관리, 진행상황 모니터링 진단 관리 • 진단 • 결과보고서 • 지침/법무의견/승인 • 규약 변경 알림 정책 관리 • 규약 조회 • 규약 현행화 • Control 관리 • Control trade-off 결정 • 설문 작성 감사 관리 • 모니터링(포털) • 증적관리 - 유형별 • 결과보고서 사고대응 관리 • 고객불만 접수 • 프로세스 처리결과 관리 컨텐츠 관리 • 법규 version 관리 • 매핑관리 : 법규- control-설문 법/규정/정책/약관 데이터베이스 법/규정/정 책/약관의 개정, 추가 초기등록 /현행화 Rule engine Rule 설문 검색엔진Workflow DPCM Portal 설문 시작 수집 모니터링 업데이트 검색 업데이트업데이트
  • 21. 비즈니스 레이어와 법규 데이터베이스로부터 데이터를 받아 Dashboard, 법규의 검색, 사용자권한관리, 알림, 리포팅/통계 기능을 제공 정의 Portal DPCM의 포털은 각 업무 영역(Business Layer)에 접근하는 통로이자 각종 대시보드, 모니터링, 진행 현황 등에 대한 정보를 일목요연하게 보여줍니다.  Dashboard와 검색 기능 • 시스템상의 업무진행현황, 할당된 작업 현황 조회 • 포털 내부 정보에 대한 검색기능 지원 • 포털의 검색엔진은 DB와 파일시스템의 정보를 수집하여 사용자에게 통합검색을 가능케 하고 영역별 검색 결과를 보여줌  알림(Notification) • 알림 규칙 설정을 통해 SMS/Mail을 통한 알림기능 지원  보고서/통계 • 다양한 View의 리포팅/통계 기능 제공 • 사용자/시스템/업무별 맞춤 정보 제공 • 다양한 통계정보 제공으로 업무현황 파악과 의사결정 기반 마련 주요 기능과 특성 SC Portal 게시판 자료실 FAQ 공지사항 게시판 내용 ……. 2014-10-18 14:04 게시판 내용 ……. 2014-10-18 14:04 게시판 내용 ……. 2014-10-18 14:04 게시판 내용 ……. 2014-10-18 14:04 게시판 내용 ……. 2014-10-18 14:04 게시판 내용 ……. 2014-10-18 14:04 Dashboard ComplianceProcess Policy Incident Audit [진행현황 ] 약관개발 10건 사고처리 8건 요청처리 2건 홍길동님 안녕하세요 로그아웃 5 10 15 어드민 사이트맵 진행중인 프로젝트 [Admin 권한] • 기획/요청 • 진단 • 약관개발 [사용자 권한] • 조회 약관 사고처리 요청 English 프로젝트 시작일 단계 상태 비고 OO 약관 개발 프로젝트 2016.7.15 시작 XXXX 어플리케이션 개발 2016.3.20 법무검토 중 법무팀 의견 반영 KKK 서비스 개발 2016.8.2 진단 완료 21
  • 22. 약관/제품/서비스/어플리케이션 개발 시 개인정보 보호와 관련된 법규의 준수 여부를 점검하기 위한 프로세스의 시작과 진행 과정을 모니터링 정의 프로세스 관리 프로세스 관리에서는 개발하고자 하는 약관/서비스/제품/어플리케이션 등이 개인정보 보호를 준수하는 지 여부를 진단하는 전체 프로세스를 모니터링하고 관련 작업의 세부 내역을 확인할 수 있습니다.  통합 Workflow 구현 • 개인정보 Compliance 생명주기 전반을 관리 • Workflow 기반의 통합된 E2E 프로세스 모니터링 • 진행상황 가시화를 통한 통제 가능 • 약관/제품/서비스/어플리케이션 기획/개발 프로세스 중 개발/검정 활동과 Compliance 프로세스의 연계  이슈관리와 품질관리, 감사 지원 • 제품/서비스 전체 단계에 발생한 이슈 트래킹 관리 • 품질검수를 위한 테스트 설계  변경  수행  검수완료 프로세스 지원 주요 기능과 특성프로세스 관리 Workflow 진단 Biz Process 어플리케 이션/활동 기획 설계 개발/검증 출시/적용 약관 제품 서비스 App 시작 검토 법무팀 확인 조치 결과 완료 진단 관리 Portal 감사 관리 조치 업데이트 보고서, 공지 품질 관리이슈 관리 설문 평가 사고대응 관리 활용 22
  • 23. 제품, 서비스, IT, 마케팅, 법무 등 조직 개인정보 Compliance 관리에 필요한 컨텐츠인 정책, 법/규정, Control, 설문, 약관을 한 곳에 게시하고, 업무상 개인정보를 취급하는 제품/서비스 기획 부서, IT 부서, 마케팅 부서 등이 컨텐츠를 손쉽게 조회 정의 정책 관리 정책 관리는 정책, 법/규정, Control, 설문, 약관에 대한 게시와 조회 기능을 지원하며, 변경된 법/규정의 내용과 동향 정보를 제공합니다. • 정책, 법/규정, Control, 설문, 약관 등 컨텐츠 게시, 조회, 현행화 • 정책, 법/규정 변경/추가에 따라 영향 받는 Control의 우선순위 및 트레이드오프를 관리 • 다국어 검색 지원 ∙ 다양한 국가별 언어로 법/규정 검색 가능 ∙ 검색어에 대한 다국어 번역(교차어) 지원 • 제정시점/적용시점 별 법/규정 정보 검색 지원 • 법/규정 정보에 대한 알림/공지 구현 주요 기능과 특성 정책 관리 • 정책, 법/규정, Control, 설문, 약관 등 컨텐츠의 게시 및 조회 • Control의 우선순위 및 트레이드오프 관리 • 설문 텍스트의 조회 및 수정 컨텐츠 관리 • 컨텐츠의 등록 및 관리 • 컨텐츠의 버전 및 매핑 관리 • Control 변경/추가에 따라 영향 받는 설문 입력 진단 관리 • Compliance 진단 수행 • 보고서 및 가이드 생성 • 진단 프로젝트에 대한 라이프사이클 관리 설문 룰 입력 정책, 법/규정, Control, 설문, 약관 제공 정책, 법/규정, Control, 설문, 약관 제공 정책, 법/규정, Control, 설문, 약관 제공 23
  • 24. Compliance 진단 • Compliance 진단 수행 ∙ 개인정보 취급 업무에 대한 설문을 통한 진단 ∙ 진단 결과에 대한 리뷰/승인/의견 • 보고서 및 가이드 생성 ∙ 개인정보 취급 업무에 대한 설문 후 보고서 생성 ∙ 진단 결과에 대한 가이드 및 상담 제공 • 진단 프로젝트에 대한 라이프사이클 관리 ∙ 개인정보 취급 업무에 대한 진단 내용 및 이력 조회 ∙ 컨텐츠 관리 모듈이 설문 룰 입력 시 리뷰/승인 • 선행 설문 답변을 근거로 관련 있는 후속 설문을 동적으로 생성 • 보고서는 Compliance/Risk 지표, Control 준수 상태, 추가 자료 (체크 리스트, 추가 Compliance 요건), 근거 자료 (위반 법/규정, 관련 Control)를 포함 주요 기능과 특성 진단 관리 진단 관리는 HPE의 개인정보보호 경험과 지식을 바탕으로, 업무 상 개인정보 취급 시 관련 Risk와 Compliance 이 슈를 진단하는 룰 엔진 기반 지능형 의사결정 지원 시스템 입니다. 제품 및 서비스 기획, 약관 제작, IT 개발, 마케팅 등의 업무를 수행할 때 개발/검증 단계에서 개인정보 관련 Risk와 Compliance 이슈를 진단하고, 사후에 개인정보보호 법/규정 및 Control 변경 시 영향 받는 업무를 식별하고 재 진단 정의 설문 응답 • 서비스/제품/약관 등 기획 • 진단 프로젝트 생성 • 업무 정보 입력 • 진단 설문 응답 • 추가 요건 대응 제품/서비스 기획 부서 진단 관리 • 설문 생성 • 응답 분석 • 보고서 생성 • 가이드 생성 • 진단 프로젝트 관리 진단 리뷰 • 진단 프로젝트 리뷰 • 관련 법/규정 확인 • 추가 요건 생성 • 진단 프로젝트 승인 • 설문 룰 입력 승인 Compliance 관리 부서 설문 응답 진단 결과 진단 결과 리뷰 결과 룰 엔진 24 정책 관리 참조 확인 정책 관리 참조
  • 25. 개인정보 보호 Compliance 관련 사고에 대한 신속한 감지, 조사, 조치와 재발 방지 활동에 대한 통합적인 관리 또는 모니터링 활동 정의 사고대응 관리 콜센터, 미디어에 보도된 사고, 기타 신고 및 내부 감지된 Compliance 사고 대응 이력을 관리함으로써, 재발을 방지 하고 사후 대응에 활용합니다. 주요 기능과 특성  다양한 접수 채널 • 콜센터, 모니터링시스템, ITSM등 다양한 시스템 연계 제공을 통한 사고 접수 기능 제공  사고 처리 절차 지원 • Workflow기반의 사고처리 프로세스 지원 • 처리이력 기반 효율적 사고 처리 지원 • 사고 대응 프로세스의 가시성 제공  지속적 추적관리 • 동일사고 방지를 위한 지속적 모니터링 및 개선 • 사고 조치 실적 관리 사고유입 사고 유형 분류 사고조사 사고등록 사고전파 대응팀 구성 영향도 분석 조치계획 수립 사고 조치 조치결과 확인 결과 보고 내용 고유 모니터링 피드백 사고이력 사고대응 프로세스 지원 사고처리 이력 관리 조치결과 리포트 사고대응 관리 진단관리정책관리 감사관리 컨텐츠 관리 • 법/규정 • 정책 • control… • 사고이력 정보 • 설문검토 • 진단검증 25
  • 26. 감사관리는 운영활동 전반에 걸쳐 정기적이고 지속적인 감사와 사후 조치를 추적 관리 정의 감사 관리 정기적/비정기적으로 수행되는 기업 내부의 개인정보 보호 규정 준수 상태를 점검 또는 감사하는 프로세스를 지원하 는 모듈로써 감사 프로세스 관리 기능과, 감사 결과에 따른 사후 활동을 관리하는 기능으로 구성되어 있습니다. 주요 기능과 특성  주요 감사관리 대상 • Data Privacy Compliance 절차 준수 여부 • 법/규정과 Control의 적절한 현행화 수준  감사관리 • 감사 일정 계획 관리 • 감사 결과 등록과 공유  Action/Action item 관리 • 감사 결과와 연계된 Action Item 등록과 업무 분장 관리 • Action Item 수행 프로세스 지원  감사실적과 통계 관리 • 감사와 Action 수행 실적 (건수) 관리 • 감사와 Action 수행 지표 관리 (준수율, 적합도, 이행율) 감사 관리 Action 관리 Action Item01 등록 Audit 계획수립 Audit 실행 Action Item 도출 Audit 결과보고 Action Item02 등록 Action Item03 등록 Action Item01 조치결과등록 Action Item02 조치결과등록 Action Item03 조치결과등록 • Audit 대상 • Audit 조직 • Audit 일정 감사 실적관리 프로세스 준수율 규제대응 적합도 개선과제 이행율 정책관리 진단관리 • 법 /규정정보 • 정책 정보 • 진단이력 • 진단 결과 • Action Item 정보 • 감사결과 • 조치결과 26
  • 27. 법규/정책/가이드 등의 데이터를 수집하여 초기 구축하고, 이후 법규와 control 공급사를 활용하여 변경내용을 현행화하고 법규-control-설문 간의 매핑 관계 관리 정의 컨텐츠 관리 컨텐츠 관리에서는 DPCM의 핵심인 컨텐츠, 즉 법/규정, 정책, 표준 등을 현행화하고 이들과 control 간의 매핑 관계 와 그 이력을 관리합니다. 또한 각종 법/규정 등의 파일을 보관합니다.  법규 현행화 • 법규 서비스 제공업체를 이용한 자동 수집과 분석 • 영향도 분석을 통해 필요한 법규정보를 DB에 반영 : 버전관리 • 법규정보에 대한 알림/공지 구현  계층적 상속성 확보를 위한 데이터 관리 구조 • 계층적(법규-항목-조문) 법규정보 관리 • 변경사항에 대한 이력 관리 • 제정시점/적용시점별 법규정보 검색 지원  매핑 관리 • 법규/정책/약관과 control, 설문항목 간의 매핑관리 • 매핑 이력/추적 관리 주요 기능과 특성 Control library provider 수집/정제/분류 (법/규정, 각종 표준 등의 수집) 법/규정 이력 정책 이력 약관 이력 Control 이력 파일 storage 매핑 정보 검색엔진 데이터 관리(법규 DB) 문서 관리자료 검색매핑관리버전관리 진단 관리 등록/업데이트활용(설문) 27
  • 28. 비즈니스 레이어 정의 공통 기능 공통기능은 Portal과 Business Layer 영역의 프로세스, 법규 데이터베이스를 구현 또는 지원하기 위한 기능 모듈로써 분석, 검색엔진, 룰엔진, 워크플로우, logging이 있습니다. 주요 기능과 특성 법/규정 정책 Control 설문 진단관리정책관리 감사관리 사고대응 관리 컨텐츠 관리 분석 • 다양한 통계 • 업무보고서 • 진행현황 조회 포털과 업무 프로세스에서 사용되는 각종 통계, 설문 생성, 승인 절차 관리, 이력 관리 등을 지원 룰엔진 워크플로우 Logging 검색엔진 대상수집 형식변환 색인추출 질의해석 후보추출 검색결과도출  룰엔진 • 법/규정, 정책, Control 문서의 내용을 변환 입력하면, 정의된 규칙에 따라 설문을 생성함  워크플로우 • 설계된 업무프로세스에 따른 업무흐름을 지원함  Logging • 각종 처리정보와 분석에 필요한 정보를 저장함  검색엔진 • 저장된 데이터에 대하 신속한 검색을 지원함  분석 • 저장된 데이터에 대하 신속한 검색을 지원함 비즈니스 수행결과 검색요청 검색결과 28
  • 29. 29 법규 수집 • Regulation Library - 세계 각국의 개인정보보호 관련 법과 규정의 수집과 제공 • UCF(Unified Compliance Framework) 라이브러리 제공 - 1,200건 이상의 규정 데이터 베이스 보유 - 법/규정과 표준에 대한 근거자료와 참고 문헌 제공 번역 • 서비스 대상 국가 정책과 법규 번역 서비스 지원 - 주요 언어 번역 서비스 제공 - 개인정보보호 관련 정책과 법규 번역 제공 • 관련 법규 변경 시 변경사항 번역 지원 - 실시간 번역 지원으로 빠른 대응 가능 인증 지원 • 인증 종류 - Data Privacy : ISO 27001, BSI 10012 - Compliance : ISO 19600 - Risk Management : ISO 31000 • 인증 위한 프로세스 제공, 실사 지원, 준비 산출물 Translation 수행 교육/훈련 • 변경된 법규에 대한 변화관리 - 변경 사항 전파와 교육/훈련 지원 • 교육/훈련 커리큘럼 제공 - 개인정보 보호 관련 법/규정에 대한 유형별, 레벨별 커리큘럼 구성 - 교육/훈련 BPO 서비스 제공 준비 사항 지원 기능 Data Privacy Compliance Management 시스템을 운영하기 위해서는 구축 이후 지속적인 법/규정의 현행화와 이에 따른 교육/훈련지원이 지속적으로 이루어져야 합니다.
  • 30. 기대 효과 기업은 DPCM 시스템을 구축함으로써 개인정보 보호 관련 법/규정의 위반에 따른 위험과 비용 손실을 예방할 수 있 을 뿐만 아니라 구성원들이 개인정보 보호에 대한 인식을 강화할 수 있습니다. 개인정보 보호 관련 Risk 감소  능동적인 규제 동향 및 사고 수집을 통해 선제적 사고 대응 기반 마련  사전예방 : 제품/서비스의 개발/검증 단계에서 Compliance 위배 요소 사전 점검하여 Risk 감소 Compliance 비용 절감  법무 검토 비용, 규제 기관 보고 비용, 규제 위반 소송 비용, 법정 증거 준비 비용, 과징금 등 각종 비용의 절감  개인정보 Compliance 관리와 시스템 자동화를 통한 Compliance 운영 비용 절감 Compliance 관리 가시성  개인정보보호 Compliance 진단 프로세스에 대한 강제 및 진단 후 종합적인 리포트/가이드 제공  개인정보보호 Compliance 진단이 필요한 업무에 대한 프로세스 진행 및 진단 현황에 대한 가시성 확보 Compliance 인식 강화  제품/서비스의 개발/검증 단계에서 Compliance 진단 프로세스 강제하여 직원들에게 Compliance 인식 강화  법/규정, Control, 설문, 약관의 변경 발생 시, 유관 업무에 대한 Compliance 재진단 프로세스를 강제 적용 신속한 사고 대응  사후조치 : 법/규정 변화 및 사고 발생 시, 제품, 서비스, 약관 등에 대한 영향을 식별하여 신속한 사고 대응  법/규정 – Control – 설문 – 약관 간 매핑 및 이력 정보 관리하므로, 컨텐츠 별로 연관된 항목을 하나의 Thread로 연결 30
  • 32. Breadth of HPE Services to Compliance Management HPE의 Data Privacy Compliance Management 솔루션과 관련된 offering은 컨설팅부터 시작하여 시스템의 구축과 운영까지 모든 단계의 서비스를 제공합니다. 32 Transform Manage Advise HPE Data Privacy Compliance Management • Governance 체계 수립 • Compliance를 위한 관제 방법과 절차의 합리화/최적화 • 장기적인 로드맵을 수립하고 단기간에 빨리 수행해야 할 요소(quick wins) 식별 • 업무상의 요건 정의 • Compliance Management 관련 솔루션(패키지 또는 In-house 개발, Best-of-breed 등) 선정 • Compliance Management 시스템 운영 • 다른 업무 영역(어플리케이션)이나 조직과 업무 프로세스 통합 • 유지보수 프로그램 수립 • 개인정보 보호를 위한 Compliance Management 시스템(어플리케이션) 구축 • 솔루션(시스템)의 핵심 요소들 중심의 개발/확장 • 모니터링과 통제의 자동화 • 지속적인 모니터링 수행
  • 33. Advice 서비스 33 영역 설명 주요 내용/Activities 주요산출물 Awareness Workshop 개인정보 보호 관리의 개요와 발생/대응 사례 등을 공유함으로써 관라의 중요도나 필요성에 대한 고객 공감대 형성 • 개인정보 보호 관련 규제동향, 위반사례, Global 기업 대응 사례 공유 • 개인정보 보호 관련 고객 이슈 공유 workshop 수행 후 개략적 솔루션 도출 • DPCM 시스템 주요기능 Demo 수행 • 개인정보 보호 관련 규제동향 • 개인정보 보호 관련 위반사례 • Global 기업 대응 사례 • 고객별 이슈 리스트 Assessment service for gap analysis 고객사 개인정보 보호 관리 현황 분석을 통합하고 개선 과제 도출 • 고객사 개인정보 보호 관리 정책, 절차, 조직, 시스템 분석 수행 • 선진사례 및 관련 규제와의 Gap 분석 • To-Be 관리체계로 이행하기 위한 과제도출 • 고객사 개인정보 보호 현황 분석서 • Gap 분석서 • 과제 도출 • 과제별 우선순위 및 실행 로드맵 도출 • 개인정보 보호 Compliance 관리 시스템 요건 분석 개인정보 보호 거버넌스 체계 설계 고객사 개인정보 보호 거버넌스 체계에 대한 통합 컨설팅 서비스 제공 • 개인정보 보호 거버넌스 체계 정립 - 운영정책 정의, 문서화, 조직구성 - 모니터링 및 보고 체계 정의 - 운영 프로세스 정의 • 개인정보 보호 관련 거버넌스 정책서 • 개인정보 보호 거버넌스 운영프로세스 정의서 • 개인정보 보호 거버넌스 R&R 정의서 인증지원 서비스 Data Privacy 관련 ISO 국제 인증 취득 지원서비스 • 인증 규격에 다른 내부 시스템 사전 감사 수행 • 개선요건 도출 및 개선 작업 지원 • 인증 신과 취득 절차 가이드 • 인증 내부 감사 보고서 - 프로세스 개선요건 - 문서화 요구사항 보안사항 - 시스템 개선 요건 등 HPE는 개인정보 보호 관리 영역에 대한 깊은 이해와 다양한 구축과 운영 경험을 바탕으로 진단과 컨설팅 관련 서비스를 제공합니다.
  • 34. Transform 서비스 34 영역 설명 주요 내용/Activities 주요산출물 Data Privacy Compliance Management(DPCM) 시스템 POC DPCM 시스템이 고객 비즈니스 환경과 요구사항에 적합한지 여부에 대한 POC 진행 서비스 • 현행 시스템 분석 • 적용 대상 모듈 분석 • POC 시스템 구축 • 기능 검증 • POC 요건 정의서 • POC 환경정의서 • POC 결과보고서 Data Privacy Compliance Management(DPCM) 시스템 구축서비스 고객사 환경에 특화된 DPCM 시스템의 설계와 구축 - 솔루션기반 - In-house 개발 • 현행 시스템 분석 • 적용 대상 모듈 분석 • 요구사항 상세화 • 설계 • DPCM 시스템 구축 • 테스트 • 안정화 • 유관데이터 이관 • 요구사항정의서 • 분석서 • 설계서 • 테스트 시나리오 • 테스트 결과서 Transform 서비스는 Data Privacy Compliance Management 시스템 구축을 위한 POC와 구축서비스로 구성되며, 구축서비스는 고객의 요구사항에 따라 솔루션 기반 또는 In-House 개발 방식 모두 지원 가능합니다.
  • 35. Manage 서비스 35 영역 설명 주요 내용/Activities 주요산출물 AMS (Application Management Service) DPCM 시스템 운영 • 시스템 모니터링 • DPCM 관련 S/R (Service Request) 접수와 조치 수행 • 운영 성과 보고 • 룰엔진 업데이트 수행 • 운영보고서 (실적/성과) • 개선 현황 보고서 Compliance 현행화 서비스 정책, 법규, 컨트롤, 설문, 약관 등 번역, 현행화 서비스 • 서비스 대상국가의 정책과 법규 제/개정 모니터링과 정보 제공 • 서비스 대상 국가에 적용되는 컨트롤을 작성하여 제공 • 신규 적용 대상 컨트롤 정보에 기준한 업데이트 설문 도출 • 서비스 대상국가 정책과 법규 번역 서비스 제공 • 서비스 대상국가 정책과 법규 문서 • 적용대상 컨트롤 문서 • 번역 산출물 • 업데이트 대상 설문 구축된 Data Privacy Compliance Management 시스템을 운영하기 위한 서비스로, 어플리케이션 운영과 각종 법규와 표준의 현행화 서비스로 구성됩니다.
  • 36. Ⅴ. HPE의 역량과 차별점 • 개인정보보호 Compliance 관리 토털 솔루션 • 검증된 HPE Compliance Intelligence • 시행착오를 최소화하는 DPCM 구축 Framework
  • 37. 제품 서비스 IT 기획 개발 검수 운영 마케팅 기업의 조직과 업무 프로세스 법무 개인정보보호 Compliance 관리 토털 솔루션 Data Privacy Compliance Management는 IT 시스템 구축 뿐 아니라, 거버넌스 설계와 시스템의 운영, 각국의 법/규정과 Control의 현행화까지 포괄하는 개인정보보호 Compliance 관리 토털 솔루션 입니다. ■ 기존 IT 투자를 보호하는 유연한 솔루션 ■ 개인정보보호 Compliance 관리 체계에 필요한 서비스 • 기업의 개인정보보호 Compliance 관리 체계에 필요한 모든 서비스 제공 ∙ 기업 고객의 조직 및 프로세스와 정렬된 거버넌스 설계 및 인증 ∙ 설계된 거버넌스를 지원하기 위한 IT 시스템 인 DPCM 시스템 구축 ∙ Compliance 관리 업무 수행을 위한 DPCM 시스템 운영 ∙ 정책, 법/규정, Control, 설문, 약관 등 DPCM 시스템이 사용하는 컨텐츠 운영 • 오퍼링, 솔루션 모듈, 관리 대상 컨텐츠, 제휴 솔루션을 요건에 맞게 유연하게 선택하여 기존 IT 투자를 보호 ∙ 오퍼링 – Advise 서비스, Transform 서비스, Manage 서비스 ∙ 솔루션 모듈 – 프로세스 관리, 정책 관리, 진단 관리, 사고대응 관리, 감사 관리, 컨텐츠 관리 ∙ 관리 컨텐츠 – 정책, 법/규정, Control, 설문, 약관 ∙ Best of breed – 해당 분야의 베스트 솔루션과 제휴 Data Privacy Compliance Management Advise 거버넌스 설계 Transform 시스템 구축 Manage 기업의 Compliance 대응 프로세스 시스템 운영 컨텐츠 운영 37
  • 38. 검증된 HPE Compliance Intelligence HPE는 그 동안 경험한 개인정보보호 Compliance 관리와 글로벌 네트워크를 Compliance Intelligence로 체계화 하여, 2010년부터 HPE 전세계 조직뿐만 아니라 글로벌 기업 고객에게 서비스를 제공하고 있습니다. Control법/규정 Control표준/지침 설문 법/규정, Control, 설문 구축 법/규정, Control, 설문 현행화 글로벌 인증 지원, Control 개발, 감사Compliance 진단 룰 엔진 셋업 개인정보 Compliance 진단을 위한 룰 엔진 기반 설문조사 국가별 개인정보보호 법/규정, Policy, Standard, Specification 참조 국가별 개인정보보호 법/규정, Control 수집 및 업데이트 HPE Privacy Advisor (룰 엔진 기반 Compliance 진단) HPE Global Network (법/규정 및 Control 업데이트) HPE GRC (컨설팅, 구축, 운영 서비스) HPE Privacy Rulebook (개인정보보호 Rule 참조) 38
  • 39. 시행착오를 최소화하는 DPCM 구축 Framework HPE의 GRC, Data Privacy Audit, Information Security 등 관련 Framework에 기반한 DPCM Framework를 사용하여 글로벌 트랜드와 고객 요구사항에 맞는 개인정보보호 Compliance 관리 시스템을 구축합니다. Data Privacy Compliance Mgmt 시스템 GRC Framework • GRC 조직과 프로세스 설계, 구축 • 기업의 업무 별 컨트롤 타워와 R&R • GRC 각 영역 별 업무 및 기능 Data Privacy Framework • 정책 가시성 제공 • Risk 진단 • 능동적 개입/지원 • 보안 평가 • 교육/훈련 • 모니터링 Information Security Framework • 인프라, 운영, 프로세스, 소프트웨어, 거버넌스 측면에서의 정보보안 • 계약, 운영, 기술, 감독 관련 Best Practice Audit & Assurance Framework • COSO 모델에 기반한 Control 및 감사 체계 • Control 환경 구축, Risk 진단, Control 활동, 정보공유, 소통, 모니터링 39
  • 41. Are you READY? 기업이 개인정보 보호 관련 규제의 준수를 제대로 이행하고 있는지 여부는 조직, 위험관리, 관리 시스템, 법/규정의 현행화의 관점에서 점검해야 합니다. 41 서비스하는 대상국들의 관련 법/규정과 산업 표준은 항상 최신 상태로 유지되고 있는가? 개인정보에 대한 주요 Risk에 대해 최고 경영진에게 즉시 보고가 되고, 의사결정이 내려지는가? 개인정보의 수집부터 파기까지 전체 프로세스를 관리할 개인정보보호 전담 조직이 있는가? 개인정보 보호 관련 규제의 준수를 보장할 수 있는 전사적인 통합 IT 지원 시스템이 있는가? Organization & Process Support by IT Risk Management Up-to-Date
  • 42. Buying factors HPE의 DPCM 솔루션은 개인정보 보호 관련 compliance를 통합 관리할 수 있는 시스템을 구축할 뿐만 아니라 자사 의 운영 노하우를 기반으로 법/규정과 진단 관리 서비스를 안정적으로 지원합니다. What do customers want? What are the key buying factors when choosing a vendor? A. 사업부별, 프로젝트 별로 분산 관리되고 있는 개인정보 보호 관련 Compliance의 통합 관리 • Compliance를 위한 일관되고 체계적인 절차와 방법의 부재(Governance) • 감사 또는 위험에 대비한 증적 자료의 관리 미흡 B. 개인정보 보호 관련 Compliance를 위한 통합 관리 시스템과 절차의 도입 • E2E 프로세스에 대한 모니터링 부재 • 시스템이 구축되어 있지 않거나, 일부 부서에서만 또는 부서별로 따로 구축/운영하므로 통합 모니터링 불가 • 불이행 또는 잘못된 수행에 대한 통제 불가 • 법규DB, 정책관리, Compliance 평가, 사고관리 등과의 통합 관리 부재 C. 세계 각국의 관련 법규의 현행화를 통한 Compliance Assessment의 최신 상태 유지 • 각국의 관련 법규 수집과 현행화의 어려움 • 현행화된 법규에 대한 Compliance 업데이트 어려움 • 법규와 compliance(를 위한 설문)간의 매핑 이력 정보 관리 어려움 1. 개인정보 보호 Compliance를 위한 Governance를 설계한 경험이 있는가? • 각국의 개인정보 보호에 대한 충분한 이해와 관련 이슈와 위험에 대한 지식 • 개인정보 보호 Compliance를 위한 Governance를 설계한 경험과 지식 • 실제 개인정보 보호 Compliance를 위한 governance를 구축/운영하고 있는지 2. 개인정보 보호 Compliance를 위한 어플리케이션을 설계하고 구축한 경험이 있는가? • 개인정보 보호 compliance를 위한 검증된 어플리케이션을 보유하고 있는지 아니면 해당 어플리케이션을 구축한 경험이 있는지 • 법규와 고객의 요구사항에 맞춰 유연하게 시스템을 구성할 수 있는지 • 다양한 솔루션(상용, 오픈 소스) 또는 Legacy와의 유기적인 결합이 가능한지 3. 각종 법규를 현행화하여 유지할 수 있는가? • 법규 현행화 유지/관리 경험이 있는지 • 자체 법규 현행화 솔루션 또는 서비스가 있는지 • 법규와 control 공급사와의 interface 경험 • 법규와 control, 설문항목 간의 매핑 관리, 매핑 이력관리를 할 수 있는지 4. Global business 경험이 있는가? • 글로벌 기업, 글로벌 비즈니스를 대상으로 한 컨설팅, 구축, 운영 경험이 있는지 • 법규, 기술 관련 글로벌 벤더들과의 네트워크가 있는지 42
  • 43. Ⅶ. Delivery model • 통합 개인정보 보호 Compliance 관리 체계 구축 • Service Excellence
  • 44. 개인정보 보호 관련 Compliance 관리 강화를 목적으로 조직/프로세스, 관리시스템 구축, 인증 지원 등을 통해 통합 Data Privacy Compliance Management 체계를 완성합니다. 기존 신규 정보보안 ISO27001 ISO31000 개인정보 PIMS BS10012 개선활동 조직 Compliance 통제 조직 구성 프로세스 개인정보 Compliance 대응 프로세스 개선 Compliance 조직/프로세스 Compliance 관리 시스템 Compliance 공인 인증 & 법/규정 현행화 개인정보 Compliance 관리강화 개인정보 보호 Compliance 관리 체계 통합 개인정보 보호 Compliance 관리 체계 구축  프로세스 관리  진단 관리  정책 관리  사고대응 관리  감사 관리  컨텐츠 관리 사업부1 사업부2 사업부3 전사… 기획 설계/개발 검수 운영 Compliance 대응 프로세스 Data Privacy Compliance Management 거버넌스 설계 시스템 운영 Data Privacy Compliance Mgmt 시스템 구축 법규 현행화 구체화 지원 44 1 2 3
  • 45. Service Excellence HPE는 체계적인 방법론에 기반한 숙련된 전문가들이 내부 운영 경험과 솔루션을 기반으로 하여 고객에게 최고의 솔루션/서비스를 제공합니다. 45 Methodology 어플리케이션 구축을 위한 통합 방법론 보유 (EDGE, Development Methodology 등) Experiences 관련 또는 유사 시스템 구축과 운영 경험 Solution 실제 HPE 내부에서 구축하여 운영 중인 시스템 기반의 통합 Compliance Management 솔루션 GRC팀 Compliance 관련 요건 분석과 컨설팅 역량 각종 법규의 현행화 Global Delivery HPE의 Compliance Management 시스템의 구축과 운영 역량 End-to-end solution 관련 법규 관리부터 진단, 사고대응, 감사 지원 관리까지 개인정보 보호 Compliance를 위한 모든 기능 구현 Customized 고객의 상황과 요구사항에 맞춘 유연한 시스템 구축. 기 출시된 솔루션을 포함한 최적의 시스템 구축 가능 Up-to-date library 세계 각국의 관련 법규를 항상 최신 상태로 유지하고 이와 관련된 설문도 실시간 업데이트 HP ES HP Practice Library Provider Service Excellence Regulation Library 세계 각국의 개인정보 보호 관련 법과 규정 제공 Controls Compliance 진단을 위한 설문 기준이 되는 control 제공 Vendors • UCF • Data Guidance
  • 48. Data Privacy ISO 27001 ISO 27001 • 1995년 BSI(British Standardization Institute)에서 개발한 BS 7799를 ISO와 IEC에서 표준화해서 2005년도에 공표 • 14개 도메인 113개 통제 항목으로 구성 • 기관의 주요 정보자산을 보호하기 위해 정보보호관리 절차와 과정을 체계적으로 수립하여 지속적으로 관리 및 운영하기 위해 구축한 종합적인 체계 • 계획수립(Plan) – 실행(Do) – 점검(Check) – 조치(Act) 프로세스의 순환적 활동 기대효과 • 위험 요소를 식별하고 이를 관리 또는 제거하는 제어 장치 역할 • 전체 비즈니스 또는 일부 선택된 부분에 유연하게 적용 가능 • 이해관계자와 고객의 데이터를 보호함으로써 신뢰 강화 • 컴플라이언스를 증명하여 공급자들의 선호도가 향상 • 컴플라이언스를 입증함으로써 조직에 대한 기대가 부드러워짐 ISO 27001 Framework & Structure 48
  • 49. Data Privacy BS 10012 기대효과 • 개인정보보호 분야의 세부 요구사항을 충족하는 개인정보관리체계를 구축한 기업에 부여 • 개인정보의 관리체계 수립, 이행과 운영 • 개인정보 관리 활동에 대한 감사 및 경영 검토 • 개인정보의 수집, 처리 및 저장과 폐기 • 기술적 보안 통제 PDCA cycle applied to the management of personal information BS 10012 • 2009년도 BSI(British Standardization Institute)에서 공표 • Data Protection Act 1998(DPA)의 요구사항에 대한 컴플라이언스 향상과 유지를 위하여 조직이 개인정보경영시스템(PIMS: Personal Information Management System)의 수립과 운영을 규정하기 위한 규격 • BS 10012의 구성 • 개인정보관리를 위한 기본 체계 및 신뢰를 제공하고, DPA 컴플라이언스에 대한 평가를 위해 내부 및 외부 평가가 효과적으로 이루어질 수 있도록 함 49
  • 50. Compliance ISO 19600 ISO 19600 • 2012년 호주표준인 AS 8306을 기반으로 ISO에 컴플라이언스 표준에 대한 개발을 제안을 바탕으로 ISO/PC 271이 결성 • 조직이 운영하고 있는 Compliance management 에 대한 기존의 접근방식을 개선하고 넓히는 것을 지원하고자 개발 • HLS 방식을 따르기 때문에, 기존 ISO 경영시스템들과 통합되어 적용 기대효과 • 올바른 행동은 결국 회사의 ‘운영 자격‘의 기초가 됨 • 준수해야 하는 법적 요구사항의 수의 증가와 그 요구사항의 복잡함에 대응하기 위해서는 조직 내에서 체계적이고 계획된 접근방법 필요 • 조직이 법과 규제를 더 진지하게 준수하고 이행하는 것에 대한 책임을 받아들일 때 정부 감사 및 감독기관으로부터 혜택을 받을 수 있음 • 본 표준 준수를 통해 조직의 준법경영이 준비가 되어 있기 때문에 당국의 강도 높은 감사도 유연하게 대처하여 많은 시간 손실 및 기업활동 제한의 어려움을 피할 수 있음 50
  • 51. Risk Management ISO 31000 ISO 31000 • 2009년도 ISO(International Organization for Standardization)에서 발행 • 효과적인 Risk 관리를 위한 원칙을 수립 • 조직이 운영 중인 관리 프로세스와의 연동을 위한 프레임웍 제공 • 모든 형태의 조직에서 효과적인 Risk 관리를 위해 범용적으로 적용 • Risk 기반 경영시스템(ISO 9001, ISO 14001, OHSAS 18001, ISO 22000, SIO 27001, SIO 28000등)과의 호환성을 통한 시스템 효과성 및 효율성 증대 • 인증서 취득을 위한 규격은 아님 기대효과 • 목표달성 가능성 향상 • 적극적 관리를 촉진  관리 향상 • 조직 전반적 위험을 식별 및 처리할 필요성을 인식 • 기회와 위협 식별 향상 • 조직에 적절한 위험 관리 관행 적용 • 관련된 법규/규제 요구사항 및 국제 기준 준수 • 재무 보고 개선 • 이해관계자의 신임과 신뢰 향상 • 의사 결정과 기획의 신뢰할 만한 기반 수립 • 위험 처리를 위한 효과적 리소스 배분 및 활용 • 운영 효과성 및 효율성 향상 • 환경적 보호는 물론 보건 안전 성과 향상 • 손실 방지 및 사고 관리 향상 • 손실 최소화 • 조직적 학습 향상 • 조직의 복원력 향상 51