KISA, ‘개인정보 영향평가 대가산정 가이드’ 발표
한국인터넷진흥원(KISA, 원장 이원태)은 소프트웨어(SW) 사업 일환인 개인정보 영향평가 사업 적정대가 산정과 품질 제고를 위해 ‘개인정보 영향평가 대가산정 가이드’를 발표했다.
개인정보 영향평가는 개인정보보호법 제33조 등에 따라 개인정보파일(시스템) 구축·변경 시 사전에 정보주체의 개인정보 침해 위험요인 분석 및 개선사항 도출을 위한 제도이다.
공공기관 등은 개인정보 영향평가를 수행하기 위해 소요예산을 산정해야 한다. 이를 위해 ‘SW사업 대가산정 가이드’의 정보보안 컨설팅 대가산정 기준을 준용해 산정했으나, 개인정보 영향평가 사업의 특수성 미반영 및 평균 투입공수 등 명확한 기준이 제시되지 않아 적정한 대가산정에 어려움이 발생했다. 이에 따라 개인정보 영향평가 사업금액을 낮게 책정해 사업을 추진하는 경우 영향평가 수행품질이 저하되는 문제로까지 이어졌다는 게 KISA의 설명이다.
KISA는 이러한 문제를 개선하고자 개인정보 영향평가 사업의 적정대가 기준 및 산정방법을 제시한 ‘개인정보 영향평가 대가산정 가이드’를 마련했다. 이 가이드는 기존 대가산정 방식인 ‘투입공수 방식’ 외에 영향평가 업무의 가중치·난이도를 고려해 신설한 ‘컨설팅 업무량 방식’의 내용을 담고 있다.
투입공수 방식은 영향평가 사업의 포괄적인 대가를 산정할 때 활용할 수 있으며, 컨설팅 업무량 방식은 영향평가 수행 업무량 및 시스템 구분별 난이도 값을 기반으로 사업 유형에 따라 세부적으로 대가를 산정할 때 활용할 수 있다.
또 국세청의 자동 연말정산 계산 서비스와 같이 손쉽게 영향평가 대가를 산정할 수 있도록 자동 대가산정 계산기를 제공한다. 개인정보 영향평가 대가산정 가이드 및 대가산정 계산기는 개인정보보호 포털(www.privacy.go.kr)에서 확인할 수 있다.
KISA 오용석 개인정보정책단장은 “23년부터 공공기관이 영향평가 사업 추진 시 금번 발표된 대가산정 가이드를 적극적으로 활용하여 영향평가 수행품질을 높이고, 더 나아가 영향평가 사업이 더욱 활성화되어 공공기관의 개인정보 관리수준이 더욱 높아지길 바란다”고 밝혔다.
글. 바이라인네트워크
<이유지 기자>yjlee@byline.network
![[RSAC2018] ‘가장 위험한 사이버공격 기법’ 5선](https://byline.network/wp-content/uploads/2018/04/RSAC2018_5dangerous_th-e1524177574827.jpg)
