The Journal of the Korea Contents Association (한국콘텐츠학회논문지)

The Korea Contents Association (한국콘텐츠학회)
권호 표지
DOI QR코드

DOI QR Code

Personal Information Protection by Privacy Impact Assessment in Information System Audit

정보시스템 감리에서 개인정보 영향평가를 통한 개인정보 보호

  • Received : 2011.02.07
  • Accepted : 2011.03.08
  • Published : 2011.03.28
Download PDF
⟨ Previous Next ⟩

Abstract

As the integrated and large-scale information is extended due to an advanced information system, a possibility of leaking out privacy increases as the time passes by. As a result, the necessity of using a privacy impact assessment (PIA) is emphasized because it can analyze and minimize the element of invasion of privacy. However, an essential audit for personal information protection is not fulfilled because most of the information system audit supervises over physical, managerial, and technical security items of system architecture area so that general items are the only things being checked. Consequently, this paper proposes that in order to minimize the invasion of personal information, the privacy impact assessment should be done. It also presents a procedure and method of personal information protection audit according to the result of the assessment. After applying the suggested method to two projects, it was confirmed that the improvements for protecting personal information were drawn from this paper.

정보 시스템 고도화로 인한 정보의 집적화, 대량화가 점차 확대됨에 따라 개인 정보의 유출 가능성은 날로 높아지고 있다. 이에 따라 개인정보 침해 요소를 사전에 분석하고 최소화 할 수 있는 개인정보 영향평가(PIA)의 필요성이 대두 되고 있다. 그러나, 대부분의 정보시스템 감리에서 시스템 아키텍쳐 영역의 물리적, 관리적, 기술적 보안 항목을 감리하여 일반적인 항목만을 체크하고 있어서 실질적인 개인정보보호를 위한 감리는 제대로 이루어 지지 않고 있다. 이에 따라 본 논문에서는 개인정보 침해를 사전에 최소화하기 위해 개인정보영향을 평가하고 그에 따른 개인정보보호 감리 절차 및 방법을 제시하였다. 본 논문에서 제시한 방법을 프로젝트에 적용한 결과 개인정보 보호를 위한 개선사항이 도출되었음을 확인할 수 있었다.

Keywords

References

  1. 남현수, 개인정보보호의 공법적 실현에 관한 연구, 숭실대학교 대학원 석사논문, 2008.
  2. 심봉권, 개인정보보호 측면에서의 보안감리 방법에 관한 연구, 건국대학교 대학원 석사논문, 2008.
  3. 서석배, 차세대 전자정부 서비스의 개인정보보호 아키텍처 설계 방안에 관한 연구, 건국대학교 대학원 석사논문, 2008.
  4. Ontario, A user's Guide - Privacy Impact Assessment, 2001.
  5. 한국정보보호진흥원, 개인정보 영향평가(PIA) 교육 교재, 한국정보보호진흥원, 2006a.
  6. 송세현, 개인정보보호를 위한 프라이버시 영향평가 (PIA) 모델, 경기대학교 대학원 석사논문, 2004.
  7. 박순희, 이동통신사를 위한 개인정보 영향평가 (PIA) 적용 방안에 관한 연구, 동국대학교 대학원 석사논문, 2006.
  8. 한국정보보호진흥원, 기업의 개인정보 영향평가 수행을 위한 가이드, 2005a.
  9. 한국정보보호진흥원, 정보시스템 구축단계별 정보보호 가이드라인, 2004.
  10. ISO/IEC, International standard ISO/IEC 17799 Information technology Code of practice for information security management, 2000.
  11. 한국정보보호진흥원, 정보보호 거버넌스 개념 도입을 위한 정보보호 관리체계(ISMS) 발전 방안 연구, 2009.
  12. ISO/IEC 27001, International standard - Information technology - Security techniques - Information security management systems - Requirements, 2005.
  13. 한국정보보호진흥원, 정보시스템 구축단계별 정보보호 가이드라인, 2004.
  14. 문승준, 내부정보유출 통제를 위한 보안수준 평가방법 개발에 관한 연구, 조선대학교 경영대학원 석사논문, 2009.
  15. 서세일, 웹상에서 신원도용 및 프라이버시 보호를 위한 사례 연구, 남서울대학원 석사논문, 2007
  16. British Standard Institute, BS ISO/IEC 27001:2005, 2005.